понедельник, 22 декабря 2025 г.

Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных

«Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных(ПДн), векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой» №18-МР были утверждены Банком России 8 октября 2024 года.

Документ представляет собой детальные технические и организационные предписания для банков и других финансовых организаций по защите биометрических данных на всех этапах работы с Единой биометрической системой (ЕБС): от сбора и передачи до идентификации / аутентификации и обработки запросов.

Документ устанавливает единый срок хранения не менее 5 лет для нескольких типов регистрационной информации о действиях, связанных с:

  • Доступом и работой с биометрическими данными при их сборе (п. 2.6);

  • Обработкой и передачей данных в единую биометрическую систему (ЕБС) (п. 3.11);

  • Взаимодействием информационных систем организаций финансового рынка с ЕБС (п. 6.7);

  • Взаимодействием с ЕСИА и ЕБС (п. 7.4).

При сборе биометрических ПДн физических лиц при личном присутствии клиента работниками банков банкам рекомендуется обеспечить регистрацию действий, связанных с (п. 2.5):

  • Назначением и изменением прав доступа уполномоченных сотрудников к объектам информационной инфраструктуры банка, используемым для сбора;

  • Выполнением процедур идентификации, аутентификации, авторизации уполномоченных сотрудников при доступе к объектам информационной инфраструктуры банка, используемым для сбора;

  • Формированием электронного сообщения, содержащего собранные биометрические ПДн физических лиц, для передачи;

  • Подписанием электронных сообщений, содержащих собранные биометрические ПДн физических лиц;

  • Передачей электронных сообщений, содержащих собранные биометрические персональные данные физических лиц в целях размещения или обновления биометрических ПДн в единой биометрической системе;

  • Уничтожением (удалением) биометрических ПДн физических лиц на объектах информационной инфраструктуры банка.

При взаимодействии информационных систем банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе с использованием СМЭВ, банкам рекомендуется обеспечить регистрацию действий, связанных с (п.3.10):

  • Выполнением процедур сверки электронных сообщений, содержащих биометрические ПДн, входящих в сегмент вычислительной сети банков, в котором осуществляется их обработка, с исходящими из указанного сегмента вычислительной сети электронными сообщениями, содержащими биометрические ПДн;

  • Подписанием УКЭП банка электронных сообщений, содержащих биометрические ПДн физических лиц;

  • Передачей электронных сообщений, содержащих биометрические ПДн физических лиц, при направлении в единую биометрическую систему.

При взаимодействии информационных систем организаций финансового рынка с единой биометрической системой рекомендуется обеспечить регистрацию действий по передаче электронных сообщений, содержащих биометрические ПДн физических лиц (п.6.6):

  • При передаче собранных данных в единую биометрическую систему;

  • При получении векторов единой биометрической системы;

  • При направлении оператору единой биометрической системы мотивированного запроса и получении информации.

При предоставлении организациями финансового рынка в единую систему идентификации и аутентификации сведений о физических лицах, содержащихся в их информационных системах, включая идентификаторы таких сведений, перед использованием ЕБС для аутентификации организациям финансового рынка рекомендуется обеспечить регистрацию действий по (п.7.4):

  • Взаимодействию с единой системой идентификации и аутентификации и единой биометрической системой, реализуемым, в том числе, с применением протокола на базе OpenID Connect;

  • Проверке сведений о физических лицах, содержащихся в информационных системах организаций финансового рынка, включая идентификаторы таких сведений.

Мой комментарий: У любых таких требований есть как свои «плюсы», так и «минусы». 
Положительные аспекты установленных сроков хранения, с моей точки зрения, следующие:

  • Обеспечение надзора и возможности проведения аудита. Длительный срок хранения позволит Банку России и внутренним аудиторам проводить глубокие ретроспективные проверки деятельности организаций. За 5 лет можно выявить не только единичные инциденты, но и системные проблемы или схемы.

  • Расследование инцидентов. В случае утечки данных, мошенничества или судебного спора лог-файлы за 5 лет являются доказательной базой. Они помогают восстановить полную картину событий, установить виновных и масштаб ущерба и т.д.

  • Сдерживающий фактор. Осознание того, что все действия протоколируются и хранятся долгие годы, является мощным сдерживающим фактором для потенциальных злоумышленников (как внешних, так и внутренних).

  • Унификация подхода. Установление единого срока для всех организаций финансового рынка упрощает надзорную деятельность и создает равные условия для всех участников.

В числе негативных аспектов и рисков можно назвать:

  • Риск утечки конфиденциально информации из создаваемых массивных баз данных. Фактически, в течение 5 лет финансовые организации накапливают детальные журналы, которые могут прямо или косвенно раскрывать сведения о поведении клиентов и сотрудников. Речь идёт не просто о «действиях с биометрией», а о метаданных, говорящих о том, кто, когда, с какого устройства и в каком контексте взаимодействовал с системой;

    Централизованно хранящиеся богатые информационные активы такого рода сами по себе становятся привлекательной целью для злоумышленников. Утечка этих данных (и их последующая обработка с использованием продвинутых алгоритмов) могут привести к раскрытию не только самих биометрических данных, но и контекста их использования (например, когда и в каком банке конкретный человек проходил аутентификацию);

  • Высокие операционные затраты и сложности.

    Вырастут прямые затраты на поддержание систем хранения, на резервное копирование, на программное обеспечение и на обслуживание соответствующей инфраструктуры.

    • ­Объем данных. Логи операций, особенно с учетом требований к детализации (процедуры идентификации, подписание ЭП, передача сообщений), будут занимать значительные объемы памяти;

    • ­Инфраструктура. Требуется развертывание и поддержка высоконадежных систем хранения и управления журналами аудита (логами), соответствующих тем же требованиям по защите, что и основные системы;

  • Правовая и регуляторная неопределенность. Возможен конфликт с другими требованиями законодательства, в частности, с положениями федерального закона ФЗ-№152 «О персональных данных», который требует хранить их не дольше, чем это необходимо для целей обработки. Организациям будет сложно обосновать, почему для целей аудита им необходимо хранить логи именно 5 лет, а не, скажем, 3 года. Это создает определенный правовой риск, поскольку сроки хранения установлены Банком России не на уровне законодательства. а в методических рекомендациях;

  • Сложность обеспечения целостности и достоверности логов. Гарантировать, что за 5 лет логи не будут случайно или намеренно изменены, удалены или повреждены, а также что сохранится в работоспособном виде инфраструктура, позволяющая их обрабатывать - это отдельная сложная техническая задача. Потребуется применение дополнительных мер (например, электронное подписание логов усиленными электронными подписями или вычисление, сохранение и верификация их хеш-значений с целью контроля целостности).

Требование о хранении информации в течение 5 лет является обоснованным с точки зрения надзора и безопасности, но затратным и рискованным с операционной и правовой точек зрения.

  • С точки зрения регулятора (Банка России) - это инструмент для контроля над новой и крайне чувствительной системой;

  • С точки зрения финансовой организации - это прямое обязывающее требование, исполнение которого ведёт к существенным капитальным и операционным расходам, а также к новым рискам;

  • С точки зрения клиента ситуация является двойственной. С одной стороны, его данные лучше защищены от мошенничества благодаря возможности глубокого аудита. С другой стороны, о нём самом накапливается огромный массив сведений, который сам по себе может стать источником риска.

Требование по срокам является «необходимым злом» в рамках выбранной модели централизованной биометрической системы. Его исполнение - это «плата» за возможность работать с биометрией, которая ляжет бременем на финансовые организации и создаст новые, долгосрочные риски для персональных данных и конфиденциальной деловой информации.

Источник: Консультант Плюс 
https://www.consultant.ru/cons/cgi/online.cgi?req=doc&cacheid=F2C886A7E662063DB52C1E0D4B08AAE9&mode=searchcard&base=LAW&n=488828

Posted by at Комментариев нет:
Labels: , , , , , , ,

воскресенье, 21 декабря 2025 г.

Продолжается работа над европейским стандартом prEN 9300-500 серии LOTAR по обеспечению долговременной сохранности электронной документации в аэрокосмической отрасли

Как сообщил сайт Европейского комитета по стандартизации CEN (от фр. Comité Européen de Normalisation) и сайты органов по стандартизации стран Евросоюза, с 3 ноября начато публичное обсуждение проекта нового европейского стандарта prEN 9300-500 «Аэрокосмическая серия – LOTAR - Обеспечение долговременной сохранности и возможности использования электронной документации на технические продукты, такой как требования, спецификации архитектуры, модели и аналитические данные – Часть 500: Основы и концепции обеспечения долговременной сохранности в поддержку системного проектирования на основе моделей» (Aerospace series - LOTAR - Long Term Archiving and Retrieval of digital technical product documentation such as requirements, architecture, simulation, and analytical data - Part 500: Fundamentals and Concepts for Long Term Archiving to enable Model-based Systems Engineering) объёмом 64 страницы, см. https://standards.cencenelec.eu/dyn/www/f?p=CEN:110:0::::FSP_PROJECT,FSP_ORG_ID:79717,6378&cs=16B9C570E1713F2D0E7361071A262FA79 

Мой комментарий: Ранее на блоге я уже рассказывала о стандартах семейства LOTAR (от LOng Term Archiving and Retrieval of digital technical product documentation such as 3D, CAD and PDM data within the aerospace industry – «Обеспечение долговременной сохранности и возможности использования электронной документации на технические продукты, такой, как 3D-модели, данные САПР и PDM-систем, в аэрокосмической отрасли»), см. подборку постов https://rusrim.blogspot.com/search/label/LOTAR 

Стандарты серии LOTAR представляют интерес для современных архивистов и специалистов по управлению документами, поскольку быстро растёт внимание как к тематике электронных архивов, так и к проблеме обеспечения долговременной сохранности электронной научно-технической и опытно-конструкторской документации.

Над стандартом работает комитет по стандартизации при Европейской ассоциации аэрокосмической и оборонной отраслей ASD-STAN (от AeroSpace and Defence Industries Association of Europe – Standardization,  https://www.asd-stan.org/ ).

Публичное обсуждение продлится до 1 января 2026 года. С текстом проекта можно ознакомиться на сайтах национальных органов по стандартизации стран Евросоюза, в т.ч. на эстонском сайте по адресу https://komport.evs.ee/Default.aspx?s=standardCommenting&doc=19793 .


Веб-страница публичного обсуждения на сайте эстонского органа по стандартизации
 
Во вводной части стандарта отмечается:

«Подсерия стандартов EN 9300-5xx специфицирует методы долговременного архивирования, поиска и извлечения данных системной инженерии на основе моделей (model-based systems engineering, MBSE), представленных в виде цифровых моделей. Виды моделей, охватываемых настоящим документом, и примеры использования процесса MBSE включают:
  • модели требований к проектированию продукта или системы;

  • модели функциональной архитектуры;

  • модели логической архитектуры (структура системы, компоновка, взаимосвязи, использование программного обеспечения и управление им, а также взаимосвязи компонентов);

  • численные модели системного анализа и моделирования, обычно представляющие собой модели систем управления с обратной связью, использующих интегрально-дифференциальный (ID) регулятор, и включающие системные компоненты и транспортные элементы (системы труб и шлангов, системы сигнализации, программное обеспечение);

  • верификация и валидация требований;

  • протоколо-зависимые сигнальные или коммуникационные сети;

  • методы связывания гетерогенных моделей многом (multi-model linking) и параметрические модели систем;

  • модели, используемые для оценки и сравнения различных технических решений системной проблемы (system trade study models);

  • модели архитектуры решений и данные, необходимые для внедрения системы и формирования данных системного проектирования для последующих этапов проектирования.»
Содержание документа следующее:

Европейское предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Применимость
5. Деловые спецификации для архивирования, поиска и извлечения MBSE-сущностей 
6. Ключевые MBSE-информация и данные 
7. Верификация и валидация MBSE-моделей 
8. Планирование обеспечения долговременной сохранности архивированной MBSE-информации 
9. Эволюция стандартов данных MBSE
10. Спецификаций архивных информационных AIP-пакетов для MBSE-данных 
Приложение A (справочное): Метаданные модели
Приложение B (справочное): Отчёт о модели
Приложение C (справочное): Глоссарий
Библиография

Источники: сайт CEN / сайт эстонского органа по стандартизации
https://standards.cencenelec.eu/dyn/www/f?p=CEN:110:0::::FSP_PROJECT,FSP_ORG_ID:79717,6378&cs=16B9C570E1713F2D0E7361071A262FA79 
https://komport.evs.ee/Default.aspx?s=standardCommenting&doc=19793 

Posted by at Комментариев нет:
Labels: , , , , , , ,

ИСО: Опубликованы новые технические спецификации ISO/TS 19387:2025 «Качество обслуживания – Модель зрелости»

В сентябре 2025 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации новых технических спецификаций ISO/TS 19387:2025 «Качество обслуживания – Модель зрелости» (Service excellence - Maturity model) объёмом 18 страниц, см. https://www.iso.org/standard/85847.html и https://www.iso.org/obp/ui/en/#!iso:std:85847:en .

Стандарт подготовлен техническим комитетом ИСО TC 312 «Совершенство при оказании услуг» (Excellence in service).

Во вводной части документа отмечается:

«В настоящем документе изложены принципы и даны рекомендации по использованию модели зрелости качества обслуживания (service excellence maturity model, SEMM).

Настоящий документ применим в любых предоставляющим услуги организациях, таких как коммерческие организации, производственные компании, государственные службы и некоммерческие организации. Опираясь на стандарт ISO 23592:2021 «Качество обслуживания – Принципы и модель» (Service excellence - Principles and model, см. https://www.iso.org/standard/76358.html и https://www.iso.org/obp/ui/en/#!iso:std:76358:en ), документ может помочь организациям определить свой уровень зрелости в отношении качества обслуживания. Он также содержит рекомендации по дальнейшему совершенствованию и может использоваться для внутренних и внешних аудитов.

Организация может самостоятельно решить, следует ли оценивать и совершенствовать всю модель качества обслуживания с её четырьмя измерениями и девятью элементами, или же только отдельные измерения и элементы.»

Мой комментарий: В последнем абзаце содержится отсылка к модели качества обслуживания из ISO 23592:2021, которая приведена на рис. ниже:


Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Принципы оценки зрелости качества обслуживания и определения улучшений
5. Модель зрелости качества обслуживания
6. Разработка таблицы оценки зрелости качества обслуживания
7. Проведение оценки зрелости качества обслуживания и разработка улучшений
Приложение A: Пример заполнения таблицы оценки зрелости качества обслуживания
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/85847.html 
https://www.iso.org/obp/ui/en/#!iso:std:85847:en 

Posted by at Комментариев нет:
Labels: , , , ,

суббота, 20 декабря 2025 г.

ИСО и МЭК: Опубликована новая редакция стандарта ISO/IEC 27701:2025 «Системы менеджмента персональных данных - Требования и рекомендации»

В октябре 2025 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации новой, второй редакции стандарта ISO/IEC 27701:2025 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Системы менеджмента персональных данных - Требования и рекомендации» (Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance) объёмом 72 страницы, см. https://www.iso.org/standard/27701 и https://www.iso.org/obp/ui/en/#!iso:std:85819:en .

Документ подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection). О работе над этим стандартом я уже рассказывала на блоге, см. http://rusrim.blogspot.com/2023/03/isoiec-dis-27701-isoiec-27001-isoiec.html , http://rusrim.blogspot.com/2024/08/isoiec-dis-27701.html и http://rusrim.blogspot.com/2024/09/isoiec-277012024.html .

Документ заменил первую редакцию стандарта ISO/IEC 27701:2019 «Меры и средства обеспечения безопасности - Расширение ISO/IEC 27001 и ISO/IEC 27002 в плане менеджмента информации, затрагивающей неприкосновенность частной жизни – Требования и рекомендации» (Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines), о которой я рассказывала здесь: http://rusrim.blogspot.com/2019/08/isoiec-277012019.html 

В извещении о публикации стандарта отмечается:

Что представляет собой стандарт ISO/IEC 27701?

Стандарт ISO/IEC 27701 — это международный стандарт, устанавливающий требования к созданию, внедрению, поддержанию и постоянному совершенствованию системы менеджмента персональных данных (Privacy Information Management System, PIMS).

В стандарте также содержатся рекомендации организациям по реализации этих требований на практике.

Стандарт разработан для операторов и обработчиков персональных данных (personally identifiable information, PII), которые несут ответственность и являются подотчётными за обработку ПДн.

Чем важен стандарт ISO/IEC 27701?

Персональные данные являются одним из самых наиболее и чувствительных (конфиденциальных) активов, с которыми сегодня работают организации. Ввиду растущих ожиданий со стороны физических лиц, регулирующих органов и деловых партнеров недостаточно просто заявлять о своём добросовестном отношении к защите персональных данных - его необходимо доказывать. 

Стандарт ISO/IEC 27701 предоставляет структурированную, признанную на международном уровне концептуальную структуру, которая помогает организациям демонстрировать подотчётность, управлять связанными с защиты персональных данных.

Преимущества стандарта

Стандарт ISO/IEC 27701:

  • Укрепляет способность организации обеспечить защиту персональных данных, 

  • Помогает продемонстрировать исполнение требований международных нормативно-правовых актов, таких как европейский закон о защите персональных данных GDPR,

  • Способствует укреплению доверия со стороны партнеров, клиентов и регулирующих органов,

  • Согласован с системой менеджмента информационной безопасности ISO/IEC 27001 для упрощения его внедрения,

  • Способствует подотчетности и управлению защитой персональных данных на основе фактов.

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Контекст (условия деятельности) организации
5. Лидерство
6. Планирование
7. Поддержка
8. Эксплуатация
9. Оценка эффективности
10. Совершенствование
11. Дополнительная информация о приложениях
Приложение A: Эталонные цели и меры управления PIMS для операторов и обработчиков персональных данных
Приложение B: Руководство по внедрению для операторов и обработчиков персональных данных
Приложение C: Сопоставление со стандартом ISO/IEC 29100
Приложение D: Сопоставление с положениями европейского закона о защите персональных данных GDPR
Приложение E: Сопоставление со стандартами ISO/IEC 27018 и ISO/IEC 29151
Приложение F: Сопоставление с предыдущей редакцией ISO/IEC 27701:2019
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/27701 
https://www.iso.org/obp/ui/en/#!iso:std:85819:en 


Posted by at Комментариев нет:
Labels: , , , , , , ,
Подписаться на: Комментарии (Atom)