5. Общий подход к определению требований по обеспечению безопасности персональных данных в информационных системах персональных данных

5. Общий подход к определению требований

по обеспечению безопасности персональных данных

в информационных системах персональных данных

5.1. Выбор требований по обеспечению безопасности персональных данных в информационных системах персональных данных (ИСПДн) осуществляется в зависимости от результатов классификации ИСПДн.

5.2. В соответствии с действующим стандартом СТО БР ИББС-1.0 все ИСПДн организаций БС РФ относятся к специальным. ИСПДн организации БС РФ классифицируются на основе категорий обрабатываемых в ИСПДн персональных данных. Выделяются следующие основные классы ИСПДн:

ИСПДн обработки специальных категорий персональных данных (далее - ИСПДн-С);

Примечание.

В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] к специальным категориям персональных данных относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

ИСПДн обработки биометрических персональных данных (далее - ИСПДн-Б);

Примечание.

В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] к биометрическим персональным данным относятся сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.

ИСПДн обработки персональных данных, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным (далее - ИСПДн-И);

ИСПДн обработки общедоступных и (или) обезличенных персональных данных (далее - ИСПДн-Д).

Примечание.

В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] к общедоступным персональным данным относятся персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

5.3. Для обеспечения выполнения требований СТО БР ИББС-1.0 в ИСПДн организации БС РФ для каждой ИСПДн должны быть реализованы:

- общие требования по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн любого класса (раздел 6.1 настоящих рекомендаций);

- требования по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн соответствующего класса (разделы 6.2 - 6.5 настоящих рекомендаций).

5.4. Связь положений СТО БР ИББС-1.0 и требований настоящего документа, необходимых для реализации этих положений, приведена в Приложении.

5.5. При проведении оценок соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 (самооценок и внешних оценок соответствия) вопросы частных показателей СТО БР ИББС-1.2 в части банковских технологических процессов, в рамках которых обрабатываются персональные данные, детализируются и конкретизируются вопросами, составленными на основе требований настоящего документа. Перечень указанных детализирующих и конкретизирующих вопросов, а также подход к проведению оценок соответствия ИБ содержатся в СТО БР ИББС-1.2.