На днях ЦБ утвердил парочку новых документов по информационной безопасности. Первым стало долгожданное Указание Банка России №3889-У об определении актуальных угроз безопасности персональных данных. Первый проект этого документа появился еще в 2013-м году и с тех пор он претерпел сильные изменения. Я свел ключевые особенности двух моделей угроз ПДн от Банка России в таблицу и вот что получилось.
По сравнению с самой последней версией, выложенной на regulation.gov.ru финальный вариант отличается добавление слов "в том числе" в 4-м пункте Указания. Это было требованием МинЮста, из-за которого документ, утвержденный в декабре 2015-го года был зарегистрирован только в марте 2016-го. Это незначительное изменение поменяло суть документа, сделав его бесполезной затеей :-( Если раньше перечень угроз был закрыт и кредитные организации могли сильно сэкономить на нейтрализации неактуальных угроз, то сейчас никакого закрытого перечня нет - есть минимальный набор угроз, от которых надо защищаться.
Также не совсем понятно, почему спектр попадающих под модель категорий ПДн сужен до спецкатегорий и иных ПДн? Почему биометрические ПДн (особенно в контексте последних разъяснений РКН по поводу фотографий в паспортах) и общедоступные ПДн (из социальных сетей, которые используются банками для формирования кредитного портрета будущего заемщика) выпали из рассмотрения финансовым регулятором? В итоге документ получился не совсем тем, который ожидали в отрасли. Он не мешает и не помогает :-(
Второй документ - это Указание Банка России №3893-У от 11.12.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством обращения в кредитную организацию". В 4-м приложении к нему утвержден порядок использования СКЗИ при обмене электронными сообщениями между ЦБ и кредитными организациями в целях направления запросов и получения информации из Центрального каталога кредитных историй. Приложение 5 к этому Указанию определяет порядок обеспечения ИБ при использовании СКЗИ. Каких-то особых нюансов с этими порядками я не заметил. Данное Указание схоже с утвержденным полугодом ранее Указанием №3701-У от 29.06.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством передачи запроса через нотариуса".
Также не совсем понятно, почему спектр попадающих под модель категорий ПДн сужен до спецкатегорий и иных ПДн? Почему биометрические ПДн (особенно в контексте последних разъяснений РКН по поводу фотографий в паспортах) и общедоступные ПДн (из социальных сетей, которые используются банками для формирования кредитного портрета будущего заемщика) выпали из рассмотрения финансовым регулятором? В итоге документ получился не совсем тем, который ожидали в отрасли. Он не мешает и не помогает :-(
Второй документ - это Указание Банка России №3893-У от 11.12.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством обращения в кредитную организацию". В 4-м приложении к нему утвержден порядок использования СКЗИ при обмене электронными сообщениями между ЦБ и кредитными организациями в целях направления запросов и получения информации из Центрального каталога кредитных историй. Приложение 5 к этому Указанию определяет порядок обеспечения ИБ при использовании СКЗИ. Каких-то особых нюансов с этими порядками я не заметил. Данное Указание схоже с утвержденным полугодом ранее Указанием №3701-У от 29.06.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством передачи запроса через нотариуса".
2 коммент.:
Добрый день!
Не совсем понятно, почему документ с актуальными угрозами согласовали в ФСБ России, ведь он не соответствует их методическим рекомендациям... http://www.fsb.ru/files/PDF/Metodicheskie_recomendacii.pdf
Потому что у ФСБ только рекомендации и только для госорганов
Отправить комментарий