Новые документы ЦБ по ИБ

По сравнению с самой последней версией, выложенной на regulation.gov.ru финальный вариант отличается добавление слов «в том числе» в 4-м пункте Указания. Это было требованием МинЮста, из-за которого документ, утвержденный в декабре 2015-го года был зарегистрирован только в марте 2016-го. Это незначительное изменение поменяло суть документа, сделав его бесполезной затеей 🙁 Если раньше перечень угроз был закрыт и кредитные организации могли сильно сэкономить на нейтрализации неактуальных угроз, то сейчас никакого закрытого перечня нет — есть минимальный набор угроз, от которых надо защищаться.

Также не совсем понятно, почему спектр попадающих под модель категорий ПДн сужен до спецкатегорий и иных ПДн? Почему биометрические ПДн (особенно в контексте последних разъяснений РКН по поводу фотографий в паспортах) и общедоступные ПДн (из социальных сетей, которые используются банками для формирования кредитного портрета будущего заемщика) выпали из рассмотрения финансовым регулятором? В итоге документ получился не совсем тем, который ожидали в отрасли. Он не мешает и не помогает 🙁

Второй документ — это Указание Банка России №3893-У от 11.12.2015 «О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством обращения в кредитную организацию». В 4-м приложении к нему утвержден порядок использования СКЗИ при обмене электронными сообщениями между ЦБ и кредитными организациями в целях направления запросов и получения информации из Центрального каталога кредитных историй. Приложение 5 к этому Указанию определяет порядок обеспечения ИБ при использовании СКЗИ. Каких-то особых нюансов с этими порядками я не заметил. Данное Указание схоже с утвержденным полугодом ранее Указанием №3701-У от 29.06.2015 «О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством передачи запроса через нотариуса».