Модель угроз ИБ, актуальных при обработке биометрических ПДн в банке и передаче в ЕБС

Модель угроз ИБ, актуальных при обработке биометрических ПДн в банке и передаче в ЕБС

Перечень угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в банке, определено Банком России в Указании от 09.07.2018 № 4859-У.
В таблице ниже представлена Модель угроз ИБ, актуальных при обработке биометрических персональных данных в банке, их проверке в Единой биометрической системе (ЕБС) и передаче информации о степени их соответствия в ЕБС.
Таблица "МОДЕЛЬ УГРОЗ ИБ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ (ВКЛЮЧАЯ СБОР И ХРАНЕНИЕ) БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКЕ, ИХ ПРОВЕРКЕ И ПЕРЕДАЧЕ ИНФОРМАЦИИ О СТЕПЕНИ ИХ СООТВЕТСТВИЯ В ЕБС" 
Источник угрозы безопасности при обработке биометрических ПДн
Уровень реализации
угрозы безопасности
при обработке биометрических ПДн
Типы объектов среды
Способ реализации угрозы
(защитная мера)
Последствия реализации угрозы
Внешние и (или) внутренние нарушители безопасности информации, осуществляющие целенаправленные действия
При обработке (включая сбор) биометрических ПДн
Устройство клиента - физического лица
Целенаправленные действия с использованием возможностей, указанных в пункте 10 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту устройства клиента с использованием СКЗИ класса КС1)
- нарушение целостности (подмена, удаление) биометрических ПДн;
- нарушение конфиденциальности (компрометация) биометрических ПДн;
- нарушение целостности (подмена, удаление) информации о степени соответствия.
При сборе биометрических ПДн в Банке, включая сбор биометрических ПДн и передачу собранных биометрических ПДн между структурными подразделениями Банка
Каналы связи между подразделениями Банка и ЦОД Банка
Целенаправленные действия с использованием возможностей, указанных в пункте 11 или указанных в пункте 12 приложения к приказу ФСБ РФ № 378
(необходимо обеспечить защиту каналов связи внутри Банка (между оператором Банка и ЦОД Банка) с поддержкой ГОСТ:
-с использованием СКЗИ класса КС2 (в случае применения средств (систем) защиты информации от НСД, прошедших оценку соответствия требованиям по безопасности информации не ниже четвертого класса)
или
- с использованием СКЗИ класса КС3
- нарушение целостности (подмена, удаление) биометрических ПДн;
- нарушение конфиденциальности (компрометация) биометрических ПД;
- нарушение достоверности биометрических ПДн (внесение фиктивных биометрических ПДн).
При передаче собранных биометрических ПДн между Банком и ЕБС
Каналы связи между Банком и ЕБС
Целенаправленные действия с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ РФ № 378378 (необходимо обеспечить защиту каналов связи между Банком и ЕБС с использованием СКЗИ класса КВ)



Целенаправленные действия с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КС3)
- нарушение целостности (подмена, удаление) биометрических ПДн;
- нарушение достоверности биометрических ПДн (внесение фиктивных биометрических персональных данных);


- нарушение конфиденциальности (компрометация) биометрических ПДн.
При обработке информации о степени соответствия в Банке
Рабочие места операторов в Банке
Целенаправленные действия с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КВ)
- нарушение целостности (подмена, удаление) информации о степени соответствия в банк.
При передаче информации о степени соответствия между Банком и ЕБС
Каналы связи между Банком и ЕБС
Целенаправленные действия с использованием возможностей, указанных в  пункте 13 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КВ)


Целенаправленные действия с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КС3)
- нарушение целостности (подмена, удаление) информации о степени соответствия;




- нарушение конфиденциальности (компрометация) информации о степени соответствия.
При обработке, хранении, проверке биометрических ПДн, обработке и передаче информации о степени соответствия в ЕБС
ЕБС
Целенаправленные действия с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КВ)
- нарушение целостности (подмена, удаление) биометрических ПДн;
-  нарушение конфиденциальности (компрометация) биометрических ПДн;
- нарушение достоверности биометрических ПДн (внесение фиктивных биометрических ПДн);
- нарушение целостности (подмена, удаление) информации о степени соответствия;
- нарушение доступности (блокирование передачи) информации о степени соответствия.

Alt text

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)