Новые документы ЦБ по ИБ

Новые документы ЦБ по ИБ
На днях ЦБ утвердил парочку новых документов по информационной безопасности. Первым стало долгожданное Указание Банка России №3889-У об определении актуальных угроз безопасности персональных данных. Первый проект этого документа появился еще в 2013-м году и с тех пор он претерпел сильные изменения. Я свел ключевые особенности двух моделей угроз ПДн от Банка России в таблицу и вот что получилось.


По сравнению с самой последней версией, выложенной на regulation.gov.ru финальный вариант отличается добавление слов "в том числе" в 4-м пункте Указания. Это было требованием МинЮста, из-за которого документ, утвержденный в декабре 2015-го года был зарегистрирован только в марте 2016-го. Это незначительное изменение поменяло суть документа, сделав его бесполезной затеей :-( Если раньше перечень угроз был закрыт и кредитные организации могли сильно сэкономить на нейтрализации неактуальных угроз, то сейчас никакого закрытого перечня нет - есть минимальный набор угроз, от которых надо защищаться.

Также не совсем понятно, почему спектр попадающих под модель категорий ПДн сужен до спецкатегорий и иных ПДн? Почему биометрические ПДн (особенно в контексте последних разъяснений РКН по поводу фотографий в паспортах) и общедоступные ПДн (из социальных сетей, которые используются банками для формирования кредитного портрета будущего заемщика) выпали из рассмотрения финансовым регулятором? В итоге документ получился не совсем тем, который ожидали в отрасли. Он не мешает и не помогает :-(

Второй документ - это Указание Банка России №3893-У от 11.12.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством обращения в кредитную организацию". В 4-м приложении к нему утвержден порядок использования СКЗИ при обмене электронными сообщениями между ЦБ и кредитными организациями в целях направления запросов и получения информации из Центрального каталога кредитных историй. Приложение 5 к этому Указанию определяет порядок обеспечения ИБ при использовании СКЗИ. Каких-то особых нюансов с этими порядками я не заметил. Данное Указание схоже с утвержденным полугодом ранее Указанием №3701-У от 29.06.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством передачи запроса через нотариуса".



Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!