5 декабря, суббота 11:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Модель угроз ПДн. Указание Банка России N 3889-У от 10 декабря 2015 г.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Модель угроз ПДн. Указание Банка России N 3889-У от 10 декабря 2015 г.

    Свершилось )

    Минюст зарегистрировал 18 марта 2016 г. N 41455
    Указание Банка России от 10 декабря 2015 г. N 3889-У
    "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных".

    Документ доступен также в "Консультант Плюс".
    Вложения

  • #2
    Источник публикации
    "Вестник Банка России", N 35, 04.04.2016

    В соответствии с пунктом 6 данный документ вступает в силу по истечении 10 дней после дня официального опубликования в "Вестнике Банка России".

    Начало действия документа - 15.04.2016.

    Комментарий


    • #3
      Сообщение от UserNick Посмотреть сообщение
      Начало действия документа - 15.04.2016.
      Так документ-то ни о чём.

      У грозами безопасности персональных данных, актуальными при их обработке в информационных системах персональных данных, являются, в том числе
      У меня и без них все эти угрозы перечислены.
      Если посмотреть их же методичку по оценке рисков от лохматого 2009-го, http://www.cbr.ru/credit/Gubzi_docs/st22_09.pdf там уже все эти угрозы перечислены. См. в приложении.

      Комментарий


      • #4
        Сообщение от ost Посмотреть сообщение
        Так документ-то ни о чём.
        В соответствии с п. 5. статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"

        5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

        Это они.

        Комментарий


        • #5
          Сообщение от UserNick Посмотреть сообщение
          Это они.
          Оно и видно.

          Такие угрозы как:
          - Пожар
          - Разрушение БД
          - Хищение

          забыли, потупели что ли, или оглупели.

          Комментарий


          • #6
            Сообщение от ost Посмотреть сообщение
            Оно и видно.

            Такие угрозы как:
            - Пожар
            - Разрушение БД
            - Хищение

            забыли, потупели что ли, или оглупели.
            Нет, просто это документ для того, чтобы закрыть требование и отчитаться, не более. Очередное следствие того, во что ЦБ превратил банковскую ИБ.

            Комментарий


            • #7
              Сообщение от ost Посмотреть сообщение
              Такие угрозы как:
              - Пожар
              - Разрушение БД
              - Хищение

              забыли, потупели что ли, или оглупели.
              Возможно по их задумке данные угрозы должны устраняться мерами в рамках ОНиВД ...

              Комментарий


              • #8
                А мне вот хочется посмотреть актуальную на сегодня модель угроз ПДН среднего российского банка. Может кто-нибудь предложить такой документ?

                Комментарий


                • #9
                  Сообщение от surfer Посмотреть сообщение
                  Может кто-нибудь предложить такой документ?
                  Сделай сам. (с)

                  Комментарий


                  • #10
                    Сообщение от surfer Посмотреть сообщение
                    А мне вот хочется посмотреть актуальную на сегодня модель угроз ПДН среднего российского банка. Может кто-нибудь предложить такой документ?
                    Насколько я понимаю, формально, для достижения соответствия 152-ФЗ, надо брать отраслевую модель угроз из РС БР ИББС-2.4-2010 и вживлять в нее 3889-У. ;-)

                    Комментарий


                    • #11
                      Сообщение от saches Посмотреть сообщение
                      Насколько я понимаю, формально, для достижения соответствия 152-ФЗ, надо брать отраслевую модель угроз из РС БР ИББС-2.4-2010 и вживлять в нее 3889-У. ;-)
                      РС БР ИББС-2.4-2010 официально не действует.
                      Думаю, что достаточно грамотно скопипастить 3889-У с учетом тех допущений которые в нем предусмотрены.
                      Последний раз редактировалось UserNick; 27.04.2016, 20:14.

                      Комментарий


                      • #12
                        Сообщение от UserNick Посмотреть сообщение
                        РС БР ИББС-2.4-2010 официально не действует.
                        Думаю, что достаточно грамотно скопипастить 3889-У с учетом тех допущений которые в нем предусмотрены.
                        Согласен, что связка РС БР ИББС-2.4-2010 + 3889-У не безупречна, но в 3889-У присутствуют следующие утверждения:
                        - п. 3. Настоящее Указание не определяет угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, относящихся к биометрическим ПДн, ПДн, полученным из общедоступных источников;
                        - п.4. 4. Угрозами безопасности ПДн, актуальными при их обработке в ИСПДн, являются, в том числе:.....

                        т.е. 3889-У доопределяет угрозы и нужно что-то взять за основу, вопрос что?

                        Смотрим 152-ФЗ:, ст.19:
                        п. 5. - ...ЦБ РФ и прочие регуляторы "определяют угрозы безопасности ПДн...";
                        п.6. - "...ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности ПДн....".

                        т.е. не дело операторов самостоятельно определять актуальные угрозы, в ином случае, прямое нарушение 152-ФЗ.

                        Можно еще сюда добавить ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК от 15 июля 2013 г. N 240/22/2637,
                        где в п.9 в т.ч. говорится, что "...Определение типов угроз безопасности ПДн осуществляется оператором в соответствии с п. 7 ПП. № 1119 ".
                        а в п.7., ПП-1119, снова идет отсылка на п.5., ст. 19, 152-ФЗ.
                        Собственно сам п.7 ПП 1119 -
                        7. Определение типа угроз безопасности ПДн, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 ФЗ "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 ФЗ "О персональных данных".


                        т.е. похоже, что из отраслевой модели можно что-то выкинуть на основе собственной оценки вреда, но, в качестве основы, она все равно нужна.
                        Вот и получается, что утверждаем задним числом РС БР ИББС-2.4-2010, сверху накатываем 3889-У, выкидываем, что не актуально и
                        получаем результат.
                        Не?))

                        Комментарий


                        • #13
                          Сообщение от saches Посмотреть сообщение
                          Вот и получается, что утверждаем задним числом РС БР ИББС-2.4-2010, сверху накатываем 3889-У, выкидываем, что не актуально и получаем результат.
                          Не?))
                          Не.
                          Мало того, что РС БР ИББС-2.4-2010 документ по своей сути РЕКОМЕНДАТЕЛЬНЫЙ (как и весь СТО БР), так он еще и ОФИЦИАЛЬНО отменен публикацией информации Банка России от 30.05.2014.
                          В отличии от него, 3389-У документ официально разработанный, согласованный, утвержденный и опубликованный во исполнение п. 5. статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
                          В тот момент когда был опубликован и начал действовать 3389-У, РС БР ИББС-2.4-2010 был уже историей. Поэтому РС БР ИББС-2.4-2010 не может являться базовым документом с которым Вы предлагаете скрещивать 3389-У.
                          Так, что получить колючую проволоку, скрестив ежа с ужом, не получится

                          Сообщение от saches Посмотреть сообщение
                          Согласен, что связка РС БР ИББС-2.4-2010 + 3889-У не безупречна, но в 3889-У присутствуют следующие утверждения:
                          - п. 3. Настоящее Указание не определяет угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, относящихся к биометрическим ПДн, ПДн, полученным из общедоступных источников;
                          Думаю, что здесь все просто. Банк России этим говорит, что данные угрозы он не определяет, и определять их следует используя общефедеральные нормативные документы, которые разработали во исполнение 152-ФЗ ФСТЭК и ФСБ.

                          Сообщение от saches Посмотреть сообщение
                          - п.4. 4. Угрозами безопасности ПДн, актуальными при их обработке в ИСПДн, являются, в том числе:.....
                          т.е. 3889-У доопределяет угрозы и нужно что-то взять за основу, вопрос что?
                          Это "в том числе" можно понять по другому:
                          Все остальные далее перечисленные угрозы, должны рассматриваться наравне с угрозами определенными во исполнение п. 3.

                          Сообщение от saches Посмотреть сообщение
                          т.е. не дело операторов самостоятельно определять актуальные угрозы, в ином случае, прямое нарушение 152-ФЗ.
                          На основании чего Вы решили, что действия оператора по определению актуальности угрозы, будут прямым нарушением 152-ФЗ?

                          Считаю, что операторы вправе определять актуальности угрозы. Банк России в п. 5. 3389-У сделал то же самое, что и ФСТЭК в "Методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 14.02.2008).

                          Сообщение от saches Посмотреть сообщение
                          т.е. похоже, что из отраслевой модели можно что-то выкинуть на основе собственной оценки вреда, но, в качестве основы, она все равно нужна.
                          Думаю, что да.

                          Комментарий


                          • #14
                            По поводу того, кто и что может и должен делать:

                            1.А нужна ли модель угроз ПДн?
                            Из всей действующей и актуальной нормативки по ПДн, необходимость разработки модели угроз ИБ ПДн присутствует только в 17 приказе ФСТЭК от 11 февраля 2013, который для госов (ну, или для ГИС-ов)!
                            Есть такая рекомендация в СТО БР ИББС 1.0-2014, но в самооценке по СТО БР я не нашел ни одного вопроса (пункта) про модель угроз ИБ ПДн.
                            Т.е., если ты не гос, то и особой необходимости в разработке модели угроз ИБ ПДн нет. И, более того, на текущий момент, нет актуальной методики моделирования от ФСТЭК, пока только проект.

                            2. В том случае, если речь идет об определении актуальных угроз в контексте 152-ФЗ, ПП-1119, 3889-У и т.д., то это ФСТЭК, ФСБ, ЦБ и т.д.

                            В частности, есть интересные детали у Лукацкого, где он рассказывает о презентации ФСТЭК на тему согласования моделей и актуальных угроз -
                            http://lukatsky.blogspot.ru/2015/02/blog-post_17.html

                            И, было бы чудесно, увидеть ссылки на актуальные документы ФСТЭК и ФСБ, где определяются угрозы ПДн, которых нет в 3389-У.
                            IMHO, модели и методики ФСТЭК РФ от 15/14.02.2008 уже не актуальны
                            Последний раз редактировалось saches; 06.05.2016, 15:57.

                            Комментарий


                            • #15
                              Сообщение от saches Посмотреть сообщение
                              И, было бы чудесно, увидеть ссылки на актуальные документы ФСТЭК и ФСБ, где определяются угрозы ПДн, которых нет в 3389-У.
                              IMHO, модели и методики ФСТЭК РФ от 15/14.02.2008 уже не актуальны
                              Датой начала отсчета периода, с которого в Федеральном законе № 152-ФЗ от 27.07.2006 "О персональных данных" в статье 19 появился п. 5 и у Банка России возникла обязанность создания отраслевого перечня актуальных угроз безопасности персональных данных, можно считать дату вступления в силу Федерального закона № 261-ФЗ от 25.07.2011 "О внесении изменений в Федеральный закон "О персональных данных".
                              Изменения, внесенные Федеральным законом № 261-ФЗ от 25.07.2011, вступили в силу со дня его официального опубликования (опубликован в "Российской газете" - 27.07.2011).
                              Изменения, внесенные Федеральным законом № 261-ФЗ от 25.07.2011, распространяются на правоотношения, возникшие с 1 июля 2011 года.

                              Нормативные документы 2008 г. ФСТЭК (от 14.02.2008 и от 15.02,2008) и ФСБ (№ 149/54-144 и № 149/6/6-622 от 21.02.2008) официально не отменены, вместо них пока не приняты другие документы, регламентирующие определение актуальных угроз.
                              В то же время по новостям от Алексея Лукацкого от ФСТЭК такой документ ожидается http://lukatsky.blogspot.ru/2015/05/blog-post_18.html/ Но учитывая, сколько времени прошло с момента публикации этой новости, прогнозировать дату ввода в действие этого документа сложно.

                              От ФСБ один документ на обсуждаемую тему с датой принятия позднее 01.07.2011 есть:
                              "Методические рекомендации по разработке нормативно правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности" (утв. ФСБ России 31.03.2015 № 149/7/2/6-432).
                              Нормативно правовым актом, разработанным с учетом этих методических рекомендаций, можно считать само 3389-У. Будут ли другие нормативные документы от ФСБ, мне информацию найти не удалось, поэтому пока не знаю, стоит ли вообще ждать обновленные документы от ФСБ.

                              Думаю, что с вступлением в силу 3389-У, поскольку свежие актуальные документы от ФСТЭК и ФСБ отсутствуют, определять актуальные угрозы необходимо на базе действующих документов 2008 г., но считаю, что практического смысла в такой работе мало т.к. с выходом обновленных документов, во всяком случае от ФСТЭК, перечень актуальных угроз придется переделывать. Только вот когда это будет, спрогнозировать сложно.

                              Комментарий


                              • #16
                                Сообщение от UserNick Посмотреть сообщение
                                ...... поскольку свежие актуальные документы от ФСТЭК и ФСБ отсутствуют,......
                                IMHO, про ФСТЭК и ФСБ, фсё не много не так:

                                1. от ФСБ имеется полный комплект документов в виде приказа ФСБ от 10 июля 2014 г. N 378, и Методических рекомендаций от 31 марта 2015 г. № 149/7/2/6-432, где подробно указано, кому и как этими рекомендациями нужно или можно (при желании) пользоваться.

                                2. от ФСТЭК документов вполне достаточно, если ты не гос, о чем подробно указано в Информационном сообщении ФСТЭК от 15 июля 2013 г. N 240/22/2637.
                                В частности, смотрим п. 9 -
                                Приказ ФСТЭК России от 18 февраля 2013 г. N 21 издан во исполнение части 4 статьи 19 Федерального закона от 27 июля 2006 г.
                                N 152-ФЗ "О персональных данных". Указанным Федеральным законом разработка ФСТЭК России иных документов по обеспечению безопасности
                                персональных данных, в том числе по моделированию угроз безопасности персональных данных, не предусмотрена.
                                Определение типов угроз безопасности персональных данных осуществляется оператором в соответствии с пунктом 7 Требований к
                                защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением
                                Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

                                т.е. если банк живет в русле приказа ФСТЭК №21, то никаких методик больше ждать не нужно.
                                Ну а если жизнь заставила жить в рамках приказа № 17, тогда да, согласен, нужна новая утвержденная методика ФСТЭК про которую и рассказывал Лукацкий.

                                А много банков в России выбрали для исполнения приказ ФСТЭК № 17?

                                Комментарий


                                • #17
                                  Сообщение от saches Посмотреть сообщение
                                  IMHO, про ФСТЭК и ФСБ, фсё не много не так:
                                  Приведите пожалуйста примеры где конкретно и в каких именно из перечисленных Вами нормативных документов ФСТЭК и ФСБ регламентировано ОПРЕДЕЛЕНИЕ актуальных угроз в целом и в частности интересующих нас "угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, относящихся к биометрическим персональным данным, персональным данным, полученным из общедоступных источников"?

                                  Думаю, что ответ на этот вопрос может дать только автор документа - Банк России.

                                  Дабы исключить сворачивание разговора в сторону, обращаю Ваше внимание, что документ ФСБ "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности", утвержденные руководством 8 Центра ФСБ России 31 марта 2015 года N 149/7/2/6-432, ориентирован не на операторов, а на "разработчиков нормативных правовых актов".

                                  Комментарий


                                  • #18
                                    Добрый день коллеги!

                                    Помогите пожалуйста разобраться со следующей ситуацией:
                                    Для определения УЗ по 1119, необходимо определить тип угроз. Согласно п. 7.11.4 СТО БР ИББС 1.0-2014 «…угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать неактуальными». Но согласно указанию 3889-У от 10.12.2015 актуальным для Банка считается угроза: «угроза несанкционированного доступа к ПДн лицами, не обладающими полномочиями в ИСПДн, с использованием уязвимостей в ПО ИСПДн».

                                    Раньше на основании СТО БР ИББС 1.0-2014, в банке были признаны актуальными только угрозы 3-го типа. Обязывает ли нас Указание 3889-У от 10.12.2015 считать актуальными угрозы 1 и 2 типа? Посоветуйте как быть с определением типа угроз.

                                    Комментарий


                                    • #19
                                      Сообщение от G.Andrey Посмотреть сообщение
                                      Добрый день коллеги!

                                      Помогите пожалуйста разобраться со следующей ситуацией:
                                      Для определения УЗ по 1119, необходимо определить тип угроз. Согласно п. 7.11.4 СТО БР ИББС 1.0-2014 «…угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать неактуальными». Но согласно указанию 3889-У от 10.12.2015 актуальным для Банка считается угроза: «угроза несанкционированного доступа к ПДн лицами, не обладающими полномочиями в ИСПДн, с использованием уязвимостей в ПО ИСПДн».

                                      Раньше на основании СТО БР ИББС 1.0-2014, в банке были признаны актуальными только угрозы 3-го типа. Обязывает ли нас Указание 3889-У от 10.12.2015 считать актуальными угрозы 1 и 2 типа? Посоветуйте как быть с определением типа угроз.
                                      Не путайте мягкое с зелёным. Если не вдаваться в детали, то:
                                      - угрозы, связанные с наличием недокументированных (недекларированных) возможностей - это специально заложенные производителем дыры.
                                      - уязвимости в ПО - это случайно обнаруженные в процессе эксплуатации дыры.

                                      Комментарий


                                      • #20
                                        Есть несколько ИСДн: ИСПДн1, ИСПДн2, ИСПДн3.
                                        ИСПДн1 - иные категорий ПДн
                                        ИСПДн2 - биометрические ПДн
                                        ИСПДн3 - общедоступные ПДн.

                                        Вопрос: возможно ли внутренним приказом Банка написать, что для ИСПДн1, согласно Указанию Банка России от 10 декабря 2015 г. N 3889-У принять ....угрозы, перечисленные в Указании. А для ИСПДн2, ИСПДн3 - разработать и утвердить Частные модели угроз по методике ФСТЭК?

                                        Комментарий


                                        • #21
                                          Сообщение от Int32 Посмотреть сообщение
                                          А для ИСПДн2, ИСПДн3 - разработать и утвердить Частные модели угроз(ЧМУ) по методике ФСТЭК?
                                          Несколько вопросов для уточнения:
                                          1. О какой именно методике ФСТЭК идет речь?
                                          Если та, которая от 14 февраля 2008 г., то она создавалась во исполнение ПП-781 от 17 ноября 2007 г., ныне не действующего. А более актуальная методика ФСТЭК доступна пока только в качестве проекта - http://fstec.ru/component/attachments/download/812

                                          2. Планируете ли Вы при разработке ЧМУ использовать методику ФСБ? http://www.fsb.ru/fsb/science/single...searchart.html

                                          3. Если не секрет, исходя из каких требований Вы планируете утвердить для ИСПДн-1 "перечень угроз", а для ИСПДн-2 и -3 будете разрабатывать ЧМУ?
                                          Чем обусловлена такая разность в подходах?

                                          4. Попадает ли Ваш банк под действие приказа ФСТЭК №17 от 11 февраля 2013 г.?
                                          Последний раз редактировалось saches; 11.07.2016, 14:33.

                                          Комментарий


                                          • #22
                                            Сообщение от saches Посмотреть сообщение
                                            1. О какой именно методике ФСТЭК идет речь?
                                            Если та, которая от 14 февраля 2008 г., то она создавалась во исполнение ПП-781 от 17 ноября 2007 г., ныне не действующего. А более актуальная методика ФСТЭК доступна пока только в качестве проекта - http://fstec.ru/component/attachments/download/812
                                            14 февраля 2008. Методику ведь никто не отменял официально.
                                            Сообщение от saches Посмотреть сообщение
                                            2. Планируете ли Вы при разработке ЧМУ использовать методику ФСБ? http://www.fsb.ru/fsb/science/single...searchart.html
                                            Да
                                            Сообщение от saches Посмотреть сообщение
                                            3. Если не секрет, исходя из каких требований Вы планируете утвердить для ИСПДн-1 "перечень угроз", а для ИСПДн-2 и -3 будете разрабатывать ЧМУ?
                                            Чем обусловлена такая разность в подходах?
                                            Как я понял Указание Банка 3889-У. ЦБ за нас уже определил актуальные угрозы безопасности ПДн в КО. Указание не определяет угрозы ПДн, относящихся к биометрии и общедоступным ПДн. Значит для них нужно разрабатывать ЧМУ. Если я не прав - поправьте. Буду благодарен.
                                            Сообщение от saches Посмотреть сообщение
                                            4. Попадает ли Ваш банк под действие приказа ФСТЭК №17 от 11 февраля 2013 г.?
                                            Нет

                                            Комментарий


                                            • #23
                                              Как мне кажется,

                                              1. Если Вы не попадаете под действие 17-го приказа ФСТЭК, заниматься разработкой ЧМУ для ИСПДн - лишняя потеря времени, т.к. требований регуляторов к разработке ЧМУ нет. И, кроме того, для Вас все равно остаётся обязательным исполнения требований 21-го приказа ФСТЭК.

                                              2. С использованием Методики ФСТЭК от 14 февраля 2008 г. аналогичная ситуация, т.к. (во 1-ых) это ни где не регламентируется, (во -2ых) эта методика, вообще, о ПП-781, а к ПП-1119 и, приказам ФСТЭК №№17 , 21 никакого отношения не имеет.

                                              3. Т.к. 3889-У не определяет угрозы для общедоступных и биометрических ИСПДн, а для иных определяет угрозы "в том числе", однозначного решения я не вижу.
                                              Кроме того, если посмотреть на раздел "Введение" в Методические рекомендации ФСБ от 31 марта 2015 года, где четко сказано, что рекомендации предназначены либо для регуляторов, которые определяют угрозы безопасности, либо "целесообразны" для операторов, принявших решение к разработке ЧМУ.
                                              Из формулировок видно, что для операторов это рекомендательный документ в части разработки ЧМУ, и определять самостоятельно "угрозы безопасности" оператор не может. Возможно, ЦБ или АРБ нас еще порадует более содержательным документом с перечнем угроз.
                                              Если посмотреть на проект Методики ФСТЭК, то оператор вроде бы может самостоятельно определять угрозы безопасности, но Методику необходимо использовать совместно с банком данных угроз безопасности на ubi.fstec.ru!!!, что мне кажется неподъемной задачей без применения соответствующего ПО.

                                              Как вариант, формально, можно взять за основу типовые модели угроз из "Базовой модели угроз ФСТЭК" от 15 февраля 2008 г., добавить туда угрозы из 3889-У и выкинуть все лишнее.
                                              Ну, или по аналогии с РС БР 2.4.-2010, для общедоступных ИСПДн обеспечить целостность и доступность, например, мерами по обеспечению непрерывности и закрыть вопрос)).

                                              А откуда у Вас биометрические ИСПДн, если не секрет? Вы реально используете биометрические алгоритмы для идентификации и храните биометрию?
                                              Последний раз редактировалось saches; 11.07.2016, 17:55.

                                              Комментарий


                                              • #24
                                                saches, Скорее всего у них обрабатываются в ИСПДн скан-копии паспортов клиентов (вкладчиков), а раз так, то это биоетрия.

                                                Комментарий


                                                • #25
                                                  Сообщение от saches Посмотреть сообщение
                                                  А откуда у Вас биометрические ИСПДн, если не секрет? Вы реально используете биометрические алгоритмы для идентификации и храните биометрию?
                                                  СКУД, камеры, копии паспортов

                                                  Комментарий


                                                  • #26
                                                    Дело, конечно, хозяйское, но я придерживаюсь точки зрения зама рук-ля РКН Приезжевой (в т.ч.), что камеры и копии паспортов это никакая не биометрия.
                                                    И если СКУД это не биометрическая система контроля доступа, а система в которой в т.ч. хранятся обычные фотографии, т.е. это тоже не биометрическая ИСПДн.
                                                    Кстати, в смежной теме на форуме "Постановление Правительства РФ по персональным данным" в последних сообщениях есть, что почитать по этому поводу, включая ответ РКН на запрос что считать биометрией.
                                                    ИМХО, не пишите в регламентах ключевую фразу, что фото на пропуске используется для идентификации субъекта (например, вы же своих сотрудников идентифицировали при приеме на работу), и не будет вопросов от РКН про биометрию.

                                                    А такой еще вопросик -- в какую-нить ИСПДн включали ActiveDirectory(AD)/Exchange(или др. корпоративная почта)/Телефонный справочник или выделяли в отдельную?
                                                    Последний раз редактировалось saches; 12.07.2016, 09:51.

                                                    Комментарий


                                                    • #27
                                                      saches,
                                                      Было письмо Роскомнадзора, что считать биометрией + споры на форумах по ИБ. Как я понял, если человек просто мелькает в камере, например, в опер. зале - то это не биометрия. Но если нужно будет идентифицировать его - то это биометрия. По поводу СКУД: я пришел на работу - посмотрел в камеру + ввел реквизиты доступа, служба безопасности идентифицировала меня, сверив мое фото в БД и с моим лицом на камере. Это разве не биометрия?

                                                      Сообщение от saches Посмотреть сообщение
                                                      А такой еще вопросик -- в какую-нить ИСПДн включали ActiveDirectory(AD)/Exchange(или др. корпоративная почта)/Телефонный справочник или выделяли в отдельную?
                                                      Была отдельная ИСПДн

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Int32 Посмотреть сообщение
                                                        По поводу СКУД: я пришел на работу - посмотрел в камеру + ввел реквизиты доступа, служба безопасности идентифицировала меня, сверив мое фото в БД и с моим лицом на камере. Это разве не биометрия?
                                                        По фотке, сотрудники охраны просто проверяют Ваш ли это пропуск, вот и все. Причем, очень приблизительно. т.е. будь у Вас брат-близнец, скорее всего, они отличить его не смогут, и совершенно чужой человек пройдет по пропуску.
                                                        Смотрим те-же комментарии Приезжевой:
                                                        "...законодательное понятие биометрических данных предполагает не только наличие определенных сведений, содержащих информацию о физиологических и биологических особенностях человека, но также использование биометрических методов идентификации личности.
                                                        Существующие технологии биометрической идентификации позволяют установить личность как по уникальным физиологическим характеристикам человека, посредством распознавания по отпечатку пальца, по сетчатке глаза, по радужной оболочке глаза, по форме и термограмме лица, по ДНК, так и по изменяющейся поведенческой характеристике человека, путем идентификации по почерку и по голосу..."

                                                        Вот скажите, какой биометрический метод идентификации личности используют охранники, когда сравнивают фото из БД с тем, что он видит в камере, и позволяет ли этот метод установить личность по уникальным физиологическим характеристикам человека?
                                                        И если кто-то считает, что то, что делают охранники, это биометрический метод, хотелось бы видеть формальное описание алгоритма, документальное подтверждение того, что это метод действительно является биометрическим, а так же документ, что охранники прошли соответствующие обучение по используемому методу и сдали экзамен в сертифицированном учебном заведении.
                                                        А что, нормальная строчка в резюме у сотрудника СБ -"владею методом биометрической идентификации личности по любой [цветной] фотографии. Имеется сертификат".
                                                        Надо ЦБ предложить добавить в требования к персоналу.

                                                        Дополнительно, из педивикии, описание биометрического паспорта -
                                                        Биометрический паспорт отличается от обычного тем, что в него встроена специальная микросхема, содержащая фотографию владельца, а также его данные: фамилию, имя, отчество, дату рождения, номер паспорта, дату его выдачи и окончания срока действия, а также любые дополнительные сведения о владельце. Стандарты предусматривают возможность хранения в микросхеме специальной биометрической информации, например рисунок радужной оболочки глаза или отпечатков пальцев.
                                                        Главное преимущество биометрического паспорта состоит в том, что на пунктах пограничного контроля некоторых стран установлено оборудование, считывающее данные с микрочипа.
                                                        Благодаря хранению биометрических данных в паспорте, сравнение предъявителя паспорта и данных, хранящихся в паспорте (фотография лица, отпечатки пальцев и другие) выполняет автоматика. Такой подход снижает вероятность субъективной ошибки контролёра, сокращает время идентификации и ускоряет процесс пограничного контроля.

                                                        Т.е., если даже, сотрудник охраны сравнивает "глазами" фото из биометрического паспорта с тем, что он видит в камеру или "живьем", это нельзя назвать биометрической идентификацией.

                                                        См. ГОСТ Р ИСО/МЭК 19784-1-2007 - Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс.
                                                        "4.12 биометрия ( biometrics ): Автоматическое’ распознавание индивидума, в основе которого лежат его поведенческие и биологические характеристики."

                                                        Определение приведено из текста ГОСТ-а без правок.
                                                        Последний раз редактировалось saches; 12.07.2016, 12:59.

                                                        Комментарий


                                                        • #29
                                                          Могу предложить модель угроз ПДн небольшого банка по методике ФСТЭК + 3889-У. Нужны Политика ИБ БПТП и Политика ИБ БИТП, соответствующие СТО БР (отвечающие групповым показателям M7 и M8).
                                                          Последний раз редактировалось tim100; 15.07.2016, 11:38.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от tim100 Посмотреть сообщение
                                                            Могу предложить модель угроз ПДн небольшого банка по методике ФСТЭК + 3889-У. Нужны Политика ИБ БПТП и Политика ИБ БИТП, соответствующие СТО БР (отвечающие групповым показателям M7 и M8).
                                                            По политике БИТП, в СТО БР, всего 4 требования и 5 с половиной в групповом показателе М8 , т.е. на полноценную отдельную политику по БИТП , ИМНО, не набирается.
                                                            Посему, требования по БИТП включили в основную политику по ИБ. Хотя, было бы интересно посмотреть, как и на нижнеуровневые документы

                                                            Комментарий

                                                            Обработка...
                                                            X