Указание Банка России № 3889-У. Вы уже проверили свои Модели угроз?
С сегодняшнего дня вступает в силу указание Банка России № 3889-У, определяющее перечень актуальных угроз безопасности персональных данных.
Первое, что важно знать про новый документ: распространяется он не только на кредитные (банки, РНКО и т. д.), но и на некредитные финансовые организации, к которым относятся, в том числе, негосударственные пенсионные фонды, страховые компании, бюро кредитных историй, микрофинансовые организации и многие другие.
Безусловным плюсом данного документа является частичное снятие ответственности с Операторов ПДн за определение актуальных угроз безопасности ПДн. Действительно, ЦБ РФ не только определил перечень актуальных угроз, но и согласовал его с двумя регуляторами в области информационной безопасности – ФСТЭК России и ФСБ России. Но насколько сильно облегчит это жизнь Операторам? Давайте разберемся в этом вопросе.
Итак, первый недостаток документа – перечень актуальных угроз безопасности ПДн, который он определяет, является открытым. Оператор ПДн самостоятельно должен проанализировать и решить, есть ли какие-либо угрозы, актуальные для его ИСПДн, но не указанные в перечне ЦБ РФ. Эти угрозы могут и должны быть учтены Оператором ПДн при разработке Модели угроз и построении системы защиты ПДн.
Другой недостаток документа – он не определяет тип актуальных угроз безопасности, это по-прежнему должен сделать сам Оператор ПДн в соответствии с Постановлением Правительства РФ № 1119.
Кроме того, внимательными нужно быть владельцам биометрических ИСПДн и ИСПДн, обрабатывающих ПДн, полученные из общедоступных источников. На такие системы документ не распространяется.
Наконец, детально ознакомившись с самим перечнем из десяти актуальных угроз, не так сложно прийти к выводу, что формулировки угроз являются общими, широкими, а потому зачастую неоднозначными. Отсутствует даже поверхностное описание приведенных угроз, а значит, нет и понимания об источниках угроз, объектах воздействия, используемых уязвимостях, способах и последствиях реализации угроз.
Всем известно, что перечень актуальных угроз является той базой, на основе которой вырабатываются требования по безопасности и строится система защиты. Какая точка на карте сети станет объектом атаки? Каким способом будет реализована атака? Каковы будут последствия? Не зная, от чего защищаться, нельзя построить «правильную», действенную систему защиты, обосновать необходимость применения тех или иных мер и средств обеспечения безопасности.
Подводя итог, можно сказать, что с вступлением в силу Указания Банка России № 3889-У компании, находящиеся под регулированием ЦБ РФ, получили как плюсы, так и минусы. Несмотря на то, что новый документ снимает часть ответственности с указанных компаний, маловероятно, что в целом процесс построения грамотной модели угроз и реализации мер нейтрализации актуальных угроз упростится. Не зная, от чего защищаться, нельзя построить «правильную», действенную систему защиты, обосновать необходимость и достаточноть тех или иных мер и средств обеспечения безопасности, нейтрализующих угрозы.