пятница, 12 февраля 2016 г.

Банк России приводит Модель Угроз ПДн к общему знаменателю с П №21 ФСТЭК

Банк России несомненно является  один из драйверов в области законодательного обеспечения информационной безопасности наряду с ФСТЭК и Росконадзором.   И вот, пожалуй стоит рассказать об изменениях отраслевой модели угроз безопасности персональным данных для финансовых институтов попадающих под регуляцию ЦБ.  Напомним, что это рассматриваемая версия имеет отношение к  2015 году. До этого все внимание уделялось прежнему документу в редакции от 2013 года.


И так несколько слов о самых явных изменениях. Прежде всего документ значительно увеличился в объеме -  4 страницы в старом  против 22 новой редакции. Заметим, что в  прошлой версии модели  большое внимание уделялось систематизации типов внешних и внутренних нарушителей, а также способов реализации угроз безопасности. В прошлой редакции существовало понятие  "степень актуальности угрозы"  вносившая немало замешательства в обеспечении защитных мер. Но мы можем ликовать, в нынешнем варианте от этого полностью ушли.

Отличия между  моделями угроз ПДн 2013-го и 2015-го годов
И наконец, отметим, что в прошлом варианте документа говорилось не о перечне актуальных угроз, а скорее о комбинации 4-х элементов, а именно:   источнике угрозы, категории нарушителя, способе реализации угрозы и  актуальности угрозы. То, что в новом документа называется угрозой, в прежней версии называлось способом реализации угроз. Вот такая игра слов. Что же нам не привыкать. И тогда их было 21 угроза, а сейчас всего 10, как видим произошло сокращение почти в 2 раза.

Можно задать вопросом, что же нам это несет? В целом стоит сказать, что текущая модель стала гораздо проще и понятнее. Произошла унификация требований по защите с другими документами о защите ПДн (отмена ПП-781 и приятие ПП-1119, отмена "приказа трех" с заменой на П №21 ФСТЭК), а так же консолидация с П-382. Указанный перечень из 10 угроз идет в купе с 382-П, в случае если речь идет ПДн в рамках денежных переводов, и на 21-й приказ ФСТЭК и 378-й приказ ФСБ, если речь идет обо всех остальных вариантах. При этом законодатель  не требуется создавать своих моделей угроз по методикам ФСТЭК или ФСБ, по сути, базовый их вариант уже выдан ЦБ.

Это очень удобно. Банками теперь не стоит разрываться между двух стульев, как ранее -  т.е.  выбиратсь принимать модель из стека СТО ИБ ИББС или же следовать методическим документам ФСТЭК. Теперь это требования унифицированы.

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...