Письмо Ассоциации российских банков от 7 июня 2011 г. N А-02/5-398 "О средствах защиты информации, применяемых при обработке персональных данных"

Письмо Ассоциации российских банков от 7 июня 2011 г. N А-02/5-398
"О средствах защиты информации, применяемых при обработке персональных данных"

ГАРАНТ:

См. ответ, приведенный в письме ЦБР от 17 ноября 2011 г. N 015-16-9/4713

В Ассоциацию российских банков обращаются кредитные организации по вопросам о применения ими Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в части сертификации средств защиты информации.

В соответствии с частью 2 статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" Правительство РФ устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Так, на основании Постановления Правительства Российской Федерации от 17.11.2007 N 781 утверждено Положение "Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - Положение), согласно пункту 5 которого средства защиты информации (далее - СЗИ) должны в установленном порядке проходить процедуру оценки соответствия.

Процедура оценки соответствия регулируется Федеральным законом от 27.12.2002 N 184-ФЗ "О техническом регулировании" (далее - Закон 184-ФЗ).

В статье 2 Закона 184-ФЗ указано, что оценка соответствия заключается в прямом или косвенном определении соблюдения требований, предъявляемых к объекту согласно техническим регламентам, положениям стандартов, сводам правил или условиям договоров, по результатам чего выдается подтверждение соответствия.

Подтверждение соответствия может быть добровольным или обязательным (статья 20 Закона 184-ФЗ). Обязательное подтверждение соответствия проводится только в случаях, установленных техническим регламентом на основании соответствия его требованиям (пункта 1 статьи 23 Закона 184-ФЗ).

Поскольку в настоящее время технический регламент, устанавливающий требования к СЗИ не принят, то у операторов персональных данных отсутствует обязанность использования СЗИ, прошедших процедуру соответствия.

Однако, специалисты по защите персональных данных дают прямо противоположный ответ, ссылаясь при этом на Положение, а также Постановление Правительства РФ от 15.05.2010 N 330, имеющее гриф "ДСП" и нигде не опубликованное.

Учитывая необходимость для кредитных организаций выяснения официальной позиции Банка России, Ассоциация российских банков просит Вас ответить на следующий вопрос:

- влечет ли нарушение действующего законодательства Российской Федерации использование кредитными организациями, осуществляющими обработку персональных данных, средств защиты информации, не прошедших оценку соответствия?


Президент

Г.А. Тосунян



Письмо Ассоциации российских банков от 7 июня 2011 г. N А-02/5-398 "О средствах защиты информации, применяемых при обработке персональных данных"


Текст письма официально опубликован не был


Откройте нужный вам документ прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.