Указание Банка России от 10 декабря 2015 г. № 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных” (не вступило в силу)
1. На основании Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; 2011, № 23, ст. 3263; № 31, ст. 4701; 2013, № 14, ст. 1651; № 30, ст. 4038; № 51, ст. 6683; 2014, № 23, ст. 2927; № 30, ст. 4217, ст. 4243) и Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (Собрание законодательства Российской Федерации, 2002, № 28, ст. 2790; 2003, № 2, ст. 157; № 52, ст. 5032; 2004, № 27, ст. 2711; № 31, ст. 3233; 2005, № 25, ст. 2426; № 30, ст. 3101; 2006, № 19, ст. 2061; № 25, ст. 2648; 2007, № 1, ст. 95 ст. 10; № 10, ст. 1151; № 18, ст. 2117; 2008, № 42, ст. 4696, ст. 4699; № 44, ст. 4982; № 52, ст. 6229, ст. 6231; 2009, № 1, ст. 25; № 29, ст. 3629; № 48, ст. 5731; 2010, № 45, ст. 5756; 2011, № 7, ст. 907; № 27, ст. 3873; № 43, ст. 5973; № 48, ст. 6728; 2012, № 50, ст. 6954; № 53, ст. 7591, ст. 7607; 2013, № 11, ст. 1076; № 14, ст. 1649; № 19, ст. 2329; № 27, ст. 3438, ст. 3476, ст. 3477; № 30, ст. 4084; № 49, ст. 6336; № 51, ст. 6695, ст. 6699; № 52, ст. 6975; 2014, № 19, ст. 2311, ст. 2317; № 27, ст. 3634; № 30, ст. 4219; № 45, ст. 6154; № 52, ст. 7543; 2015, № 1, ст. 4, ст. 37; № 27, ст. 3958, ст. 4001; № 29, ст. 4348; № 41, ст. 5639) настоящее Указание определяет угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных кредитных организаций и некредитных финансовых организаций, указанных в части первой статьи 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
2. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе персональных данных, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия*.
3. Настоящее Указание не определяет угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, относящихся к биометрическим персональным данным, персональным данным, полученным из общедоступных источников.
4. Угрозами безопасности персональных данных, актуальными при их обработке в информационных системах персональных данных, являются, в том числе:
угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;
угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;
угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;
угроза несанкционированного доступа к отчуждаемым носителям персональных данных;
угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в организации защиты персональных данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных;
угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации.
5. Определение типа угроз безопасности персональных данных, актуальных для информационной системы персональных данных, производится оператором информационной системы персональных данных в соответствии с пунктом 7 постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2012, № 45, ст. 6257).
6. Настоящее Указание вступает в силу по истечении 10 дней после дня его опубликования в «Вестнике Банка России».
Председатель Центрального банка Российской Федерации |
Э.С. Набиуллина |
Согласовано
Директор Федеральной службы безопасности Российской Федерации |
А.В. Бортников |
Директор Федеральной службы по техническому и экспортному контролю |
В.В. Селин |
_____________________________
* Пункт 6 постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Зарегистрировано в Минюсте РФ 18 марта 2016 г.
Регистрационный № 41455
Обзор документа
Определены угрозы безопасности, актуальные при обработке персональных данных в информационных системах кредитных организаций и некредитных финансовых организаций.
Под угрозами понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в т. ч. случайного, доступа к данным при их обработке, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение данных, а также иные неправомерные действия.
Приведен примерный перечень угроз. При этом указание не определяет угрозы, актуальные при обработке биометрических данных и данных, полученных из общедоступных источников. Конкретные угрозы определяет оператор информационной системы.
Указание вступает в силу по истечении 10 дней после опубликования в "Вестнике Банка России".