10 сентября 2018 г.

Модель угроз ИБ, актуальных при обработке биометрических ПДн в банке и передаче в ЕБС





Перечень угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в банке, определен Банком России  и ПАО "Ростелеком" в Указании от 09.07.2018 № 4859-У.
В таблице ниже представлена Модель угроз ИБ, актуальных при обработке биометрических персональных данных в банке, их проверке в Единой биометрической системе (ЕБС) и передаче информации о степени их соответствия в ЕБС.

Таблица "МОДЕЛЬ УГРОЗ ИБ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ (ВКЛЮЧАЯ СБОР И ХРАНЕНИЕ) БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКЕ, ИХ ПРОВЕРКЕ И ПЕРЕДАЧЕ ИНФОРМАЦИИ О СТЕПЕНИ ИХ СООТВЕТСТВИЯ В ЕБС" 
Источник угрозы безопасности при обработке биометрических ПДн
Уровень реализации
угрозы безопасности
при обработке биометрических ПДн
Типы объектов среды
Способ реализации угрозы
(защитная мера)
Последствия реализации угрозы
Внешние и (или) внутренние нарушители безопасности информации, осуществляющие целенаправленные действия
При обработке (включая сбор) биометрических ПДн
Устройство клиента - физического лица
Целенаправленные действия с использованием возможностей, указанных в пункте 10 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту устройства клиента с использованием СКЗИ класса КС1)
- нарушение целостности (подмена, удаление) биометрических ПДн;
- нарушение конфиденциальности (компрометация) биометрических ПДн;
- нарушение целостности (подмена, удаление) информации о степени соответствия.
При сборе биометрических ПДн в Банке, включая сбор биометрических ПДн и передачу собранных биометрических ПДн между структурными подразделениями Банка
Каналы связи между подразделениями Банка и ЦОД Банка
Целенаправленные действия с использованием возможностей, указанных в пункте 11 или указанных в пункте 12 приложения к приказу ФСБ РФ № 378
(необходимо обеспечить защиту каналов связи внутри Банка (между оператором Банка и ЦОД Банка) с поддержкой ГОСТ:
-с использованием СКЗИ класса КС2 (в случае применения средств (систем) защиты информации от НСД, прошедших оценку соответствия требованиям по безопасности информации не ниже четвертого класса)
или
- с использованием СКЗИ класса КС3
- нарушение целостности (подмена, удаление) биометрических ПДн;
- нарушение конфиденциальности (компрометация) биометрических ПД;
- нарушение достоверности биометрических ПДн (внесение фиктивных биометрических ПДн).
При передаче собранных биометрических ПДн между Банком и ЕБС
Каналы связи между Банком и ЕБС
Целенаправленные действия с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ РФ № 378378 (необходимо обеспечить защиту каналов связи между Банком и ЕБС с использованием СКЗИ класса КВ)



Целенаправленные действия с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КС3)
- нарушение целостности (подмена, удаление) биометрических ПДн;
- нарушение достоверности биометрических ПДн (внесение фиктивных биометрических персональных данных);





- нарушение конфиденциальности (компрометация) биометрических ПДн.
При обработке информации о степени соответствия в Банке
Рабочие места операторов в Банке
Целенаправленные действия с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КВ)
- нарушение целостности (подмена, удаление) информации о степени соответствия в банк.
При передаче информации о степени соответствия между Банком и ЕБС
Каналы связи между Банком и ЕБС
Целенаправленные действия с использованием возможностей, указанных в  пункте 13 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КВ)


Целенаправленные действия с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КС3)
- нарушение целостности (подмена, удаление) информации о степени соответствия;





- нарушение конфиденциальности (компрометация) информации о степени соответствия.
При обработке, хранении, проверке биометрических ПДн, обработке и передаче информации о степени соответствия в ЕБС
ЕБС
Целенаправленные действия с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КВ)
- нарушение целостности (подмена, удаление) биометрических ПДн;
-  нарушение конфиденциальности (компрометация) биометрических ПДн;
- нарушение достоверности биометрических ПДн (внесение фиктивных биометрических ПДн);
- нарушение целостности (подмена, удаление) информации о степени соответствия;
- нарушение доступности (блокирование передачи) информации о степени соответствия.
Примечание: В Информационном письме Банка России от 28.06.2018 № ИН-03-13/40 в абзаце 5 написано: Принимая во внимание, что для реализации ... необходимо провести комплекс ... мероприятий, Банк России считает целесообразным воздержаться от применения мер ... при условии что:
-по состоянию на 31.12.2018 года:
банк обеспечивает совершение действий ... не менее чем в 20% внутренних структурных подразделениях банка ...;
банк обеспечивает принятие организационно-технических мер защиты информации от угроз безопасности ... кроме случаев, предусмотренных абзацем 12* настоящего информационного письма;
-по состоянию на 30.06.2019 года:
 ... не менее чем в 60% структурных подразделениях;
-по состоянию на 31.12.2019 года:
 банк обеспечивает совершение действий ... во всех структурных подразделениях, в которых банк осуществляет банковские операции с клиентами - физическими лицами;
* (абзац 12) банк обеспечивает принятие организационно-технических мер защиты информации от угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических ПДн, их проверке ... в части угроз нарушения целостности (подмены, удаления) биометрических ПДн, нарушения конфиденциальности (компрометации) биометрических ПДн, нарушения достоверности биометрических ПДн (внесения фиктивных биометрических ПДн) при сборе биометрических ПДн в банках, включая непосредственный сбор биометрических ПДн и передачу собранных биометрических ПДн между собственными внутренними структурными подразделениями банков.
Из этого следует, что организационно-технические меры по защите биометрических ПДн от угроз безопасности внутри банка (защиту рабочих мест операторов, защиту каналов связи между подразделениями банка и ЦОД Банка) необходимо реализовать до 31.12.2019.
Предыстория вопроса здесь.

Комментариев нет:

Отправка комментария