ДБО
Политика обработки и защиты персональных данных
Перечень законодательных и иных актов, регламентирующих использование технологий и средств обеспечения информационной безопасности применяемых систем ДБО
1. Конституция РФ от 12 декабря 1993 г.
2. Кодексы:
1. Гражданский кодекс РФГК РФ) от 30 ноября 1994 № 51-ФЗ.
3. Доктрины:
«Доктрина информационной безопасности РФ», утверждена Указом Президента Российской Федерации от 5 декабря 2016 г. № 646.
4. Федеральные законы:
1. Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
2. Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе»;
3. Федеральный закон от 29 июля 2004 № 98-ФЗ «О коммерческой тайне»;
4. Федеральный закон от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
5. Федеральный закон от 04 мая 2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»;
6. Федеральный закон от 06 апреля 2011 № 63-ФЗ «Об электронной подписи»;
7. Федеральный закон от 27 декабря 2002 № 184-ФЗ «О техническом регулировании»;
8. Федеральный закон от 07 июля 2003 № 126-ФЗ «О связи».
9. Федеральный закон от 02 декабря 1990 г. N 395-1 «О банках и банковской деятельности»
5. Указы:
1. Указ Президента РФ от 03 апреля 1995 № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»;
2. Указ Президента РФ от 17 марта 2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
3. Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Перечень сведений конфиденциального характера».
6. Постановления:
1. Постановление Правительства РФ от 16 апреля 2012 № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»;
2. Постановление Правительства РФ от 21 ноября 2011 № 957 «Об организации лицензирования отдельных видов деятельности»;
3. Постановление Правительства РФ от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
4. Постановление Правительства РФ № 687 от 15 сентября 2008г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
5. Постановление Правительства РФ № 512 от 06 июля 2008г. «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
7. Положения, инструкции, стандарты, приказы, руководящие документы, требования, методические рекомендации:
1. Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях по обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;
2. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ–2005), утв. приказом ФСБ РФ № 66 от 09 февраля 2005 г.;
3. Временное Положение Центрального Банка России от 10 февраля 1998 № 17-П «О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями»;
4. «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утв. Приказом ФАПСИ при Президенте РФ № 152 от 13 июня 2001 г.;
5. Стандарт Банка России СТО БР ИББС-1.2-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» (принят и введен в действие Распоряжением Банка России от 17 мая 2014 № Р-399;
6. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014» (принят и введен в действие Распоряжением Банка России от 17 мая 2014 № Р-399);
7. Приказ ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
8. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утв. ФСТЭК России 15 февраля 2008г.;
9. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утв. ФСТЭК от 14 февраля 2008г.;
10. Приказ ФСБ, ФСТЭК №416/489 от 31 августа 2010 г. «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»;
11. ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
12. ГОСТ Р 34.10-12 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»;
13. Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» РС БР ИББС-2.5-2014 (приняты и введены в действие Распоряжением Банка России от 17.05.2014 № Р-400);
14. Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» РС БР ИББС-2.2-2009, приняты и введены в действие Распоряжением Банка России от 11 ноября 2009 № Р-1190;
15. Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» РС БР ИББС-2.0-2007 (приняты и введены в действие Распоряжением Банка России от 28 апреля 2007 № Р-348);
16. Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0» РС БР ИББС-2.1-2007 (приняты и введены в действие Распоряжением Банка России от 28 апреля 2007 № Р-347);
17. «Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации», утв. Банком России, АРБ, Ассоциацией региональных банков России (Ассоциация «Россия»).
8. Письма, указания ЦБ РФ:
1. Письмо Банка России от 27 апреля 2007 № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)»;
2. Письмо Банка России от 07 декабря 2007 № 197-Т «О рисках при дистанционном банковском обслуживании»;
3. Письмо Банка России от 31 марта 2008 № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем Интернет-банкинга»;
4. Письмо Банка России от 30 января 2009 № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга»;
5. Письмо Банка России от 30 августа 2006 № 115-Т «Об исполнении Федерального закона "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)»;
6. Письмо Банка России от 05 апреля 2007 № 44-Т «О проверке осуществления кредитными организациями идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)».
9. Другие федеральные законы и принимаемые в соответствии с ними иные нормативные правовые акты Российской Федерации, а также осуществляется соглашение сторон.
Лицензии банка на осуществление видов деятельности (на предоставление услуг ДБО)
Краткое описание технологий и средств обеспечения информационной безопасности применяемых систем ДБО (Интернет сервис) и меры информационной безопасности, которые рекомендуется применять клиентам ПАО «Норвик Банк», пользующимся услугами дистанционного банковского обслуживания выложены здесь: