В Ассоциацию российских банков обращаются кредитные организации по вопросам о применения ими Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части сертификации средств защиты информации.
В соответствии с частью 2 статьи 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» Правительство РФ устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Так, на основании Постановления Правительства Российской Федерации от 17.11.2007 № 781 утверждено Положение «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Положение), согласно пункту 5 которого средства защиты информации (далее – СЗИ) должны в установленном порядке проходить процедуру оценки соответствия.
Процедура оценки соответствия регулируется Федеральным законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» (далее – Закон 184-ФЗ).
В статье 2 Закона 184-ФЗ указано, что оценка соответствия заключается в прямом или косвенном определении соблюдения требований, предъявляемых к объекту согласно техническим регламентам, положениям стандартов, сводам правил или условиям договоров, по результатам чего выдается подтверждение соответствия.
Подтверждение соответствия может быть добровольным или обязательным (статья 20 Закона 184-ФЗ). Обязательное подтверждение соответствия проводится только в случаях, установленных техническим регламентом на основании соответствия его требованиям (пункта 1 статьи 23 Закона 184-ФЗ).
Поскольку в настоящее время технический регламент, устанавливающий требования к СЗИ не принят, то у операторов персональных данных отсутствует обязанность использования СЗИ, прошедших процедуру соответствия.
Однако, специалисты по защите персональных данных дают прямо противоположный ответ, ссылаясь при этом на Положение, а также Постановление Правительства РФ от 15.05.2010 № 330, имеющее гриф «ДСП» и нигде не опубликованное.
Учитывая необходимость для кредитных организаций выяснения официальной позиции Банка России, Ассоциация российских банков просит Вас ответить на следующий вопрос:
- влечет ли нарушение действующего законодательства Российской Федерации использование кредитными организациями, осуществляющими обработку персональных данных, средств защиты информации, не прошедших оценку соответствия?
С уважением,
Президент
Г.А.Тосунян
В соответствии с частью 2 статьи 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» Правительство РФ устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Так, на основании Постановления Правительства Российской Федерации от 17.11.2007 № 781 утверждено Положение «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Положение), согласно пункту 5 которого средства защиты информации (далее – СЗИ) должны в установленном порядке проходить процедуру оценки соответствия.
Процедура оценки соответствия регулируется Федеральным законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» (далее – Закон 184-ФЗ).
В статье 2 Закона 184-ФЗ указано, что оценка соответствия заключается в прямом или косвенном определении соблюдения требований, предъявляемых к объекту согласно техническим регламентам, положениям стандартов, сводам правил или условиям договоров, по результатам чего выдается подтверждение соответствия.
Подтверждение соответствия может быть добровольным или обязательным (статья 20 Закона 184-ФЗ). Обязательное подтверждение соответствия проводится только в случаях, установленных техническим регламентом на основании соответствия его требованиям (пункта 1 статьи 23 Закона 184-ФЗ).
Поскольку в настоящее время технический регламент, устанавливающий требования к СЗИ не принят, то у операторов персональных данных отсутствует обязанность использования СЗИ, прошедших процедуру соответствия.
Однако, специалисты по защите персональных данных дают прямо противоположный ответ, ссылаясь при этом на Положение, а также Постановление Правительства РФ от 15.05.2010 № 330, имеющее гриф «ДСП» и нигде не опубликованное.
Учитывая необходимость для кредитных организаций выяснения официальной позиции Банка России, Ассоциация российских банков просит Вас ответить на следующий вопрос:
- влечет ли нарушение действующего законодательства Российской Федерации использование кредитными организациями, осуществляющими обработку персональных данных, средств защиты информации, не прошедших оценку соответствия?
С уважением,
Президент
Г.А.Тосунян
