пятница, 8 апреля 2016 г.

Банк России и новая Модель Угроз ПДн (v2016)

В прошлом месяце ЦБ РФ утвердил несколько новых документов относящихся к Информационной безопасности. Это одно из первых обновлений в этом году. Первым стало долгожданное Указание Банка России №3889-У об определении актуальных угроз безопасности персональных данных. Второй документ - Указание Банка России №3893-У от 11.12.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством обращения в кредитную организацию" интересное новым порядком использования СКЗИ при обмене электронными сообщениями. Рассмотрим эти нововведения более подробно.


И так, начнем. Первым стало долгожданное Указание Банка России №3889-У об определении актуальных угроз безопасности персональных данных. Первый проект этого документа появился еще в 2013-м году и с тех пор он претерпел сильные изменения. Алексей Лукацкий свел ключевые особенности двух моделей угроз ПДн от Банка России в таблицу и вот что у него получилось.



По сравнению с самой последней версией, выложенной на официальный сайт для размещения информации о подготовке нормативных правовых актов  финальный вариант отличается добавление слов "в том числе" в 4-м пункте Указания. Это было требованием МинЮста, из-за которого документ, утвержденный в декабре 2015-го года был зарегистрирован только в марте 2016-го. 

Главный вывод:
Если раньше перечень угроз был закрыт и кредитные организации могли сильно сэкономить на нейтрализации неактуальных угроз, то сейчас никакого закрытого перечня нет - есть минимальный набор угроз, от которых надо защищаться.


Также не совсем понятно, почему спектр попадающих под модель категорий ПДн сужен до спецкатегорий и иных ПДн? Почему биометрические ПДн (особенно в контексте последних разъяснений РКН по поводу фотографий в паспортах) и общедоступные ПДн (из социальных сетей, которые используются банками для формирования кредитного портрета будущего заемщика) выпали из рассмотрения финансовым регулятором?

В итоге документ получился не совсем тем, который ожидали в отрасли.


Второй документ - это Указание Банка России №3893-У от 11.12.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством обращения в кредитную организацию". В 4-м приложении к нему утвержден порядок использования СКЗИ при обмене электронными сообщениями между ЦБ и кредитными организациями в целях направления запросов и получения информации из Центрального каталога кредитных историй.

Приложение 5 к этому Указанию определяет порядок обеспечения ИБ при использовании СКЗИ. Каких-то особых нюансов с этими порядками я не заметил. Данное Указание схоже с утвержденным полугодом ранее Указанием №3701-У от 29.06.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством передачи запроса через нотариуса"


За материалы спасибо Алексей Лукацкий

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...