Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

7.11.1. СИБ банковского платежного технологического процесса, в рамках которого обрабатываются персональные данные, должна соответствовать требованиям пункта 7.8 настоящего стандарта.
СИБ банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные, должна соответствовать требованиям пункта 7.9 и 7.11 настоящего стандарта 

7.11.2. Реализация требований по обеспечению ИБ, установленных в разделе 7 и разделе 8 настоящего стандарта, рекомендуется для обеспечения выполнения требований к защите персональных данных для третьего и четвертого уровня защищенности ПДн при их обработке в ИСПДн, установленных Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”. 

7.11.3. Требования по обеспечению информационной безопасности, установленные в разделе 7 и разделе 8 настоящего стандарта, направлены на нейтрализацию актуальных (применительно к большинству организаций БС РФ, актуальными являются те угрозы, риск реализации которых в организации БС РФ является недопустимым) угроз безопасности персональных данных. 
7.11.4. С учетом специфики обработки и обеспечения безопасности персональных данных в организациях БС РФ, угрозы утечки персональных данных по техническим каналам, а также угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать неактуальными для организаций БС РФ.
7.11.5. Результатом оценки рисков нарушения безопасности персональных данных является Модель угроз безопасности персональных данных, содержащая актуальные для организации БС РФ угрозы безопасности персональных данных, на основе которой вырабатываются требования, учитывающие особенности обработки персональных данных в конкретной организации БС РФ и расширяющие требования разделов 7 и 8 настоящего стандарта.
7.11.6. Для выполнения требований к защите персональных данных для второго уровня защищенности ПДн при их обработке в ИСПДн, установленного Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, рекомендуется реализовывать следующие меры: в части обеспечения ИБ АБС на стадиях жизненного цикла:

в части обеспечения ИБ при управлении доступом и регистрации:

7.11.7. В организации БС РФ должны быть реализованы защита периметров сегментов вычислительной сети, в которых расположены ИСПДн, и контроль информационного взаимодействия между сегментами вычислительных сетей.
В организации БС РФ должны быть определены и контролироваться правила информационного взаимодействия ИСПДн с иными АБС. 

7.11.8. Использование в ИСПДн сертифицированных по требованиям безопасности информации средств защиты информации осуществляется в соответствии с требованиями приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”. 

7.11.9. Для каждой ИСПДн должен быть назначен работник организации БС РФ, ответственный за обеспечение безопасности персональных данных в ИСПДн.