26 сентября 2018 г.

Что интересного по ИБ в проекте Положения Банка России “О требованиях к системе управления операционным риском…


Создается впечатление, что проект Положения ради рисков ИБ и ИТ и написан. Во всяком случае по тексту проекта документа в нескольких местах специально указывается: “операционный риск, включая риск ИБ и риск ИС”.

Документ солидный - из категории 90+ и это не возраст, а количество страниц в Положении. Далее по тексту мои комментарии будут выделяться так: (Прим.).
В проекте Положения Банк России устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе (Прим. далее для краткости - просто “КО”), включая требования к системам управления риском информационной безопасности и риском информационных систем, а также ведению аналитической базы данных о событиях операционного риска и потерях, понесенных вследствие реализации этого риска.
Бегло пробежимся по тексту проекта Положения Банка России, специально выделяя требования Положения по ИБ- и ИТ-рискам.

14 сентября 2018 г.

План мероприятий (Дорожная карта) банка по реализации проекта подключения к ЕБС


Предыстория вопроса здесь.
С 30 июня 2018 года некоторые (единичные) банки начали собирать записи голоса и изображения лиц россиян и отправлять их в Единую биометрическую систему (ЕБС). ЕБС позволит гражданам подтверждать личность без предъявления паспорта и удаленно получать некоторые банковские услуги.
Большинство банков на текущий момент находятся пока еще в стадии разработки проекта по подключению к ЕБС и формирования бюджета.
Одним из вариантов Плана мероприятий (Дорожная карта) банка по реализации проекта подключения к Единой биометрической системе может быть следующий:

10 сентября 2018 г.

Модель угроз ИБ, актуальных при обработке биометрических ПДн в банке и передаче в ЕБС





Перечень угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в банке, определен Банком России  и ПАО "Ростелеком" в Указании от 09.07.2018 № 4859-У.
В таблице ниже представлена Модель угроз ИБ, актуальных при обработке биометрических персональных данных в банке, их проверке в Единой биометрической системе (ЕБС) и передаче информации о степени их соответствия в ЕБС.