Письмо Ассоциации российских банков от 7 июня 2011 г. N А-02/5-398 \"О средствах защиты информации, применяемых при обработке персональных данных\"

Письмо Ассоциации российских банков от 7 июня 2011 г. N А-02/5-398 \"О средствах защиты информации, применяемых при обработке персональных данных\"

В Ассоциацию российских банков обращаются кредитные организации по вопросам о применения ими Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части сертификации средств защиты информации.

В соответствии с частью 2 статьи 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» Правительство РФ устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Так, на основании Постановления Правительства Российской Федерации от 17.11.2007 № 781 утверждено Положение «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Положение), согласно пункту 5 которого средства защиты информации (далее – СЗИ) должны в установленном порядке проходить процедуру оценки соответствия.

Процедура оценки соответствия регулируется Федеральным законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» (далее – Закон 184-ФЗ).

В статье 2 Закона 184-ФЗ указано, что оценка соответствия заключается в прямом или косвенном определении соблюдения требований, предъявляемых к объекту согласно техническим регламентам, положениям стандартов, сводам правил или условиям договоров, по результатам чего выдается подтверждение соответствия.

Подтверждение соответствия может быть добровольным или обязательным (статья 20 Закона 184-ФЗ). Обязательное подтверждение соответствия проводится только в случаях, установленных техническим регламентом на основании соответствия его требованиям (пункта 1 статьи 23 Закона 184-ФЗ).

Поскольку в настоящее время технический регламент, устанавливающий требования к СЗИ не принят, то у операторов персональных данных отсутствует обязанность использования СЗИ, прошедших процедуру соответствия.

Однако, специалисты по защите персональных данных дают прямо противоположный ответ, ссылаясь при этом на Положение, а также Постановление Правительства РФ от 15.05.2010 № 330, имеющее гриф «ДСП» и нигде не опубликованное.

Учитывая необходимость для кредитных организаций выяснения официальной позиции Банка России, Ассоциация российских банков просит Вас ответить на следующий вопрос:

- влечет ли нарушение действующего законодательства Российской Федерации использование кредитными организациями, осуществляющими обработку персональных данных, средств защиты информации, не прошедших оценку соответствия?

С уважением,

Президент

Г.А.Тосунян

8 июня, 2011