Совершенно случайно наткнулся в Гаранте на письмо ЦБ от от 17 ноября 2011 г. № 015-16-9/4713 "О средствах защиты информации, применяемых при обработке персональных данных", которое является ответом на запрос Ассоциации Российских Банков о проблемах в реализации требований законодательства в области обеспечения безопасности персональных данных (письмо № А-02/5-398 от 07.06.2011 г.).
Ответ Банка России примечателен и гласит следующее: "Отсутствие в настоящее время технических регламентов, устанавливающих требования к средствам защиты информации (СЗИ), используемым для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, делает невозможным как оценку соответствия, так и добровольное или обязательное подтверждение соответствия СЗИ.
Таким образом, до выпуска документов, обеспечивающих выполнение требований законодательства, считаем возможным применение для обеспечения безопасности персональных данных при их обработке в информационных системах встроенных защитных мер, сертифицированных СЗИ, а также средств защиты, не включённых в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами - участниками таможенного союза, в рамках Евразийского экономического сообщества в торговле с третьими странами."
По сути, это тоже что и написано в СТО БР ИББС 1.0, но... статус письма совершенно иной. Подписан он Сенаторовым М.Ю. и вляется официальной позицией и рекомендацией регулятора, в отличие от СТО, который носит характер рекомендательный.
Интересно, если АРБ направит такой же запрос относительно средств защиты в НПС, то будет ли ответ таким же?...
Ответ Банка России примечателен и гласит следующее: "Отсутствие в настоящее время технических регламентов, устанавливающих требования к средствам защиты информации (СЗИ), используемым для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, делает невозможным как оценку соответствия, так и добровольное или обязательное подтверждение соответствия СЗИ.
Таким образом, до выпуска документов, обеспечивающих выполнение требований законодательства, считаем возможным применение для обеспечения безопасности персональных данных при их обработке в информационных системах встроенных защитных мер, сертифицированных СЗИ, а также средств защиты, не включённых в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами - участниками таможенного союза, в рамках Евразийского экономического сообщества в торговле с третьими странами."
По сути, это тоже что и написано в СТО БР ИББС 1.0, но... статус письма совершенно иной. Подписан он Сенаторовым М.Ю. и вляется официальной позицией и рекомендацией регулятора, в отличие от СТО, который носит характер рекомендательный.
Интересно, если АРБ направит такой же запрос относительно средств защиты в НПС, то будет ли ответ таким же?...