Проект Указания Банка России “О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой” (по состоянию на 10.04.2023)
Настоящее Указание на основании пункта 1 части 4 статьи 7 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"1 определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка, указанных в части 1 статьи 3 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"1, с государственной информационной системой "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных", с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных.
1. Угрозы безопасности, актуальные при сборе биометрических персональных данных и их передаче в целях размещения или обновления биометрических персональных данных в государственной информационной системе "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" (далее - единая биометрическая система):
1.1. В головном офисе, филиалах или внутренних структурных подразделениях организаций финансового рынка, указанных в части 1 статьи 3 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"1 (далее соответственно - организации финансового рынка, Федеральный закон N 572-ФЗ), являющихся банками (далее - банки), с использованием стационарных средств вычислительной техники (в том числе банкоматов) и при передаче собранных биометрических персональных данных между головным офисом, филиалами или внутренними структурными подразделениями банков - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 3782 (далее - Состав и содержание организационных и технических мер);
1.2. Работниками банков с использованием мобильных (переносных) устройств вычислительной техники (в том числе мобильных телефонов, планшетов) и при передаче собранных биометрических персональных данных между мобильными (переносными) средствами вычислительной техники (в том числе мобильными телефонами, планшетами) и информационной инфраструктурой структурных подразделений банков - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 (далее - Требования по безопасности информации, устанавливающие уровни доверия) или с использованием возможностей, указанных в пункте 11 Состава и содержание организационных и технических мер.
2. Угрозы безопасности, актуальные при взаимодействии банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе:
2.1. Угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 Состава и содержания организационных и технических мер;
2.2. Угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
3. Угрозы безопасности, актуальные при обработке (за исключением сбора) биометрических персональных данных, проверке и передаче информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам, содержащимся в единой биометрической системе (далее - информация о степени соответствия), при взаимодействии организаций финансового рынка с единой биометрической системой в целях идентификации клиента - физического лица в соответствии с частью 1 статьи 9 Федерального закона N 572-ФЗ1 и аутентификации клиента - физического лица в соответствии с частью 1 статьи 10 Федерального закона N 572-ФЗ1:
3.1. При обработке биометрических персональных данных с использованием устройства клиента - физического лица и их передаче в единую биометрическую систему - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер;
3.2. При обработке биометрических персональных данных с использованием мобильных (переносных) устройств вычислительной техники (в том числе мобильными телефонами, планшетами и платежными терминалами), принадлежащих организациям финансового рынка, и их передаче в единую биометрическую систему - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия) или с использованием возможностей, указанных в пункте 11 Состава и содержание организационных и технических мер;
3.3. При обработке биометрических персональных данных и информации о степени соответствия в головном офисе, филиалах или внутренних структурных подразделениях организаций финансового рынка с использованием стационарных средств вычислительной техники (в том числе банкоматов) - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер;
3.4. При передаче биометрических персональных данных и информации о степени соответствия в организациях финансового рынка - угроза нарушения целостности (подмены, удаления), угроза нарушения конфиденциальности (компрометации) биометрических персональных данных и информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер;
3.5. При передаче информации о степени соответствия между организациями финансового рынка и единой биометрической системой в целях идентификации клиента - физического лица в соответствии с частью 1 статьи 9 Федерального закона N 572-ФЗ1:
угроза нарушения целостности (подмены, удаления) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 Состава и содержания организационных и технических мер;
угроза нарушения конфиденциальности (компрометации) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
3.6. При передаче информации о степени соответствия между организациями финансового рынка и единой биометрической системой в целях аутентификации клиента - физического лица в соответствии с частью 1 статьи 9 Федерального закона N 572-ФЗ1 - угроза нарушения целостности (подмены, удаления), угроза нарушения конфиденциальности (компрометации) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
4. Угрозы безопасности, актуальные при взаимодействии организаций финансового рынка с единой биометрической системой при передаче собранных биометрических персональных данных между осуществляющими обработку биометрических персональных данных информационными системами организаций финансового рынка и единой биометрической системой в случае, указанном в части 14 статьи 4 Федерального закона N 572-ФЗ1:
угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 Состава и содержания организационных и технических мер;
угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
5. Угрозы безопасности, актуальные при взаимодействии организаций финансового рынка с единой биометрической системой при передаче векторов единой биометрической системы организациям финансового рынка, предусмотренной пунктом 2 части 2 статьи 8 Федерального закона N 572-ФЗ1, в целях аутентификации физического лица:
угроза нарушения целостности (подмены, удаления), нарушения достоверности векторов единой биометрической системы (внесения фиктивных векторов единой биометрической системы), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 Состава и содержания организационных и технических мер;
угроза нарушения конфиденциальности (компрометации) векторов единой биометрической системы, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
6. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от _____________ N _______) вступает в силу с ________________.
Председатель Центрального банка Российской Федерации |
Согласовано:
Директор Федеральной службы безопасности Российской Федерации _______________ |
А.В. Бортников |
_______________ 2023 г.
Директор Федеральной службы по техническому и экспортному контролю _______________ |
В.В. Селин |
_______________ 2023 г.
Министр цифрового развития, связи и массовых коммуникаций Российской Федерации _______________ |
М.И. Шадаев |
_______________ 2023 г.
Генеральный директор АО "ЦБТ" _______________ |
В.Ю. Поволоцкий |
_______________ 2023 г.
------------------------------
1 Собрание законодательства Российской Федерации, 2023, N 1, ст. 19
2 Зарегистрирован Министерством юстиции Российской Федерации 18 августа 2014 года N 33620.
------------------------------
Пояснительная записка
к проекту Указания Банка России "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой"
(далее - проект)
Банк России разработал проект указания в соответствии с компетенцией, указанной в пункте 1 части 4 статьи 7 Федерального закона от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации".
Закон предусматривает, что Банк России определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой.
При подготовке проекта использовались механизмы (методологические подходы), аналогичные уже реализованным в Указании Банка России от 16.12.2021 N 6017-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, при взаимодействии организаций финансового рынка с единой биометрической системой".
В проекте определены:
1. Угрозы безопасности, актуальные при сборе биометрических персональных данных и их передаче в целях размещения или обновления биометрических персональных данных в единой биометрической системе.
2. Угрозы безопасности, актуальные при взаимодействии банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе.
3. Угрозы безопасности, актуальные при обработке (за исключением сбора) биометрических персональных данных, их проверке и передаче информации о степени соответствия предоставленных биометрических персональных данных физического лица в целях проведения идентификации или аутентификации физического лица.
4. Угрозы безопасности, актуальные при взаимодействии организаций финансового рынка с единой биометрической системой при передаче собранных биометрических персональных данных между осуществляющими обработку биометрических персональных данных информационными системами организаций финансового рынка и единой биометрической системой.
5. Угрозы безопасности, актуальные при взаимодействии организаций финансового рынка с единой биометрической системой при передаче векторов единой биометрической системы организациям финансового рынка в целях аутентификации физического лица.
Ответственное структурное подразделение Банка России по проекту -Департамент информационной безопасности.
Предложения и замечания по проекту в рамках его публичного обсуждения в целях оценки регулирующего воздействия принимаются до 23 апреля 2023 года по адресам электронной почты: nikitinavl@cbr.ru и tyulpinvi01@cbr.ru.
Обзор документа
Разработан перечень угроз безопасности, актуальных при сборе биометрии и ее передаче, при взаимодействии организаций финансового рынка с ЕБС, а также при обработке биометрии, ее проверке и передаче информации о степени соответствия предоставленной биометрии.