7.11. Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные

7.11.1. СИБ банковского платежного технологического процесса, в рамках которого обрабатываются персональные данные, должна соответствовать требованиям пункта 7.8 настоящего стандарта.

СИБ банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные вне ИСПДн, должна соответствовать требованиям пункта 7.9 настоящего стандарта.

СИБ банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные в ИСПДн, должна соответствовать требованиям пунктов 7.9 и 7.11 настоящего стандарта.

7.11.2. Все ИСПДн организаций БС РФ относятся к специальным в соответствии с пунктом 8 Порядка проведения классификации информационных систем персональных данных, утвержденного Приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" [7].

7.11.3. В организации БС РФ должны быть определены и документально зафиксированы критерии классификации ИСПДн и порядок проведения классификации ИСПДн.

Классификация ИСПДн должна проводиться в том числе на основе категорий обрабатываемых в ИСПДн персональных данных.

Результаты классификации ИСПДн должны быть документально определены и утверждены руководством организации БС РФ.

7.11.4. Требования по обеспечению безопасности персональных данных при их обработке в ИСПДн определяются для каждого класса ИСПДн на основе:

- требований 7-го и 8-го разделов настоящего стандарта с учетом положений рекомендаций в области стандартизации Банка России РС БР ИББС-2.3 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации", детализирующих указанные требования;

Требования 7-го и 8-го разделов настоящего стандарта направлены на нейтрализацию актуальных <*> (применительно к большинству организаций БС РФ) угроз безопасности персональных данных при обработке в ИСПДн организаций БС РФ и образуют базовый набор требований, применимый к большинству организаций БС РФ. С учетом специфики обработки и обеспечения безопасности персональных данных в организациях БС РФ угрозы утечки персональных данных по техническим каналам являются для организаций БС РФ неактуальными.

--------------------------------

<*> Актуальными являются те угрозы, риск реализации которых в организации БС РФ является недопустимым.

- оценки рисков нарушения безопасности персональных данных.

Результатом оценки рисков нарушения безопасности персональных данных является Модель угроз безопасности персональных данных, содержащая актуальные для организации БС РФ угрозы ИБ, на основе которой вырабатываются требования, учитывающие особенности обработки персональных данных в конкретной организации БС РФ, и расширяющие требования 7-го и 8-го разделов настоящего стандарта и (или) положения рекомендаций в области стандартизации Банка России РС БР ИББС-2.3 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации".