1 (2014-11-28 17:00:38 отредактировано Илья)

Тема: Проект Банка России Указание Об определении угроз безопасности ПДн...

Уважаемые коллеги!
От АССОЦИАЦИИ РЕГИОНАЛЬНЫХ БАНКОВ  РОССИИ (АССОЦИАЦИЯ  «РОССИЯ») поступило следующее обращение:

АССОЦИАЦИЯ  «РОССИЯ» пишет:

Главное управление безопасности и защиты информации Банка России подготовило и выносит на обсуждение банковского сообщества проект указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных» (далее – проект).
В проекте, разработанном во исполнение ч. 5 ст. 19 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», определяются случаи, когда возникают угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных.
Для направления в Банк России консолидированного мнения банковского сообщества по данному проекту прошу Вас направить в адрес Ассоциации «Россия» Ваши комментарии и предложения до 11 декабря 2014г. на zotova@asros.ru. Контактное лицо: Мария Зотова, тел.: (495)785-29-91.
Также прошу Вас предоставить комментарии относительно целесообразности установления в проекте в качестве угроз безопасности персональных данных, актуальных при обработке в информационных системах персональных данных, угроз 1-го типа и 2-го типа в соответствии с терминологией, установленной Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119.

Приложение: проект указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных», 6 стр.

С уважением,
Вице-президент Ассоциации «Россия»                                                                                                                     А.В. Ветрова

Предлагаю Клубу принять участие в этом обсуждении.

Post's attachments

Proekt_ukazaniya_Banka_Rossii.pdf 1.05 mb, 5 downloads since 2014-11-28 

You don't have the permssions to download the attachments of this post.
С уважением,
Илья Острожной

2

Re: Проект Банка России Указание Об определении угроз безопасности ПДн...

Посмотрите, что участники рабочей группы пишут http://forum.npsib.org/viewtopic.php?id=766

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

3

Re: Проект Банка России Указание Об определении угроз безопасности ПДн...

Dmitry Leviev пишет:

Посмотрите, что участники рабочей группы пишут http://forum.npsib.org/viewtopic.php?id=766

Дим это уже новая (3-я) версия модели угроз.
Мои замечания.
1. Вопросы доступности и целостности в РГ не рассматривались, поэтому вопрос определения актуальности угроз для доступности и целостности остается открытым.
2. Считаю, что из уязвимостей на стр. 3 соответствуют результатам работы РГ только:
уязвимости в программном обеспечении информационной системы персональных данных.
3. В разделе 5 НДВ актульно только для: уязвимостей в программном обеспечении информационной системы персональных данных.
4. Меры указанные в параграфе 5.2 не обеспечивают защиты от НДВ.
Пример. Банк попадает под санкции, у него отзывают все сертификаты и его сайт становится недоверенным в сети Интернет. Как в этой ситуации помогут:
меры по обеспечению ИБ ИСПДН на стадиях жизненного цикла и меры по обеспечению ИБ при управлении доступом и регистрацией?
Мы должны понимать, что применение НДВ возможно, прежде всего, со стороны ИТР, а не криминальных элементов и собственных сотрудников.

Сам я по текущему документу ничего писать не буду, поскольку мои замечания по предыдущей версии частично учтены. Я знаю, что есть люди, которым новая версия нравится еще меньше, чем старая, поэтому, как мне кажется, нужно, чтобы они высказались.

С уважением,
Ермаченков Алексей

4

Re: Проект Банка России Указание Об определении угроз безопасности ПДн...

Почитал, прослезился.
Если это примут, то она ведь пойдет и для НСПК. Про пластик можно совсем забыть?
P.S. Не хочу это править, т.к. юристов судя по оборотам оно еще не прошло. Опыт уже был, слушать не стали. Мне проще решать проблему, когда она будет готова (документ утвержден)

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС