Указание Банка России от 25 сентября 2023 г. № 6541-У “О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей....” (документ не вступил в силу)
На основании пункта 2 части 4 статьи 7 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации":
1. Настоящее Указание определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, указанных в части 1 статьи 3 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее соответственно - организации финансового рынка, Федеральный закон от 29 декабря 2022 года N 572-ФЗ) и осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных:
1.1. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, актуальные при обработке биометрических персональных данных с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), принадлежащих организациям финансового рынка, в целях аутентификации физического лица в соответствии с частями 1 и 4 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 3781 (далее - Состав и содержание организационных и технических мер), в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 762, или с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.
------------------------------
1 Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.
2 Зарегистрирован Минюстом России 11 сентября 2020 года, регистрационный N 59772, с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 года N 68 (зарегистрирован Минюстом России 20 июля 2022 года, регистрационный N 69318).
------------------------------
1.2. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных и информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы (далее - информация о степени соответствия), актуальные при обработке биометрических персональных данных и информации о степени соответствия с использованием стационарных средств вычислительной техники и банкоматов, принадлежащих организациям финансового рынка, в целях аутентификации физического лица в соответствии с частями 1 и 4 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.
1.3. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, актуальные при обработке биометрических персональных данных с использованием устройств физического лица, оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, в целях аутентификации физического лица в соответствии с частью 3 статьи 13 и частью 1 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер.
1.4. Угрозы безопасности, актуальные при обработке биометрических персональных данных, за исключением указанных в подпункте 1.5 настоящего пункта, а также при обработке, в том числе при получении и хранении, информации о степени соответствия, векторов единой биометрической системы в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации физического лица:
угроза нарушения целостности (подмены, удаления) биометрических персональных данных, информации о степени соответствия, векторов единой биометрической системы, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер;
угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, информации о степени соответствия, векторов единой биометрической системы (при их получении из единой биометрической системы), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
1.5. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, актуальные при хранении используемых в целях аутентификации биометрических персональных данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в соответствии с пунктом 3 части 1 статьи 15 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
1.6. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных и информации о степени соответствия, за исключением угроз, указанных в подпунктах 1.1 и 1.2 настоящего пункта, актуальные при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с информационными системами организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации физического лица в соответствии с частью 4 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
1.7. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при предоставлении организациями финансового рынка в соответствии с частью 6 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ в единую систему идентификации и аутентификации1 сведений о физических лицах, содержащихся в информационных системах организаций финансового рынка, включая идентификаторы таких сведений, перед использованием информационных систем организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, для аутентификации, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
------------------------------
1 Пункт 5 статьи 2 Федерального закона от 29 декабря 2022 года N 572-ФЗ.
------------------------------
2. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.
3. Со дня вступления в силу настоящего Указания признать утратившим силу Указание Банка России от 16 декабря 2021 года N 6018-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами"1.
------------------------------
1 Зарегистрировано Минюстом России 30 декабря 2021 года, регистрационный N 66716.
------------------------------
Председатель Центрального банка Российской Федерации |
Э.С. Набиулина |
Зарегистрировано в Минюсте РФ 26 октября 2023 г.
Регистрационный № 75743
Обзор документа
Банк России заново определил угрозы безопасности, актуальные:
- при обработке биометрических персональных данных, векторов ЕБС, проверке и передаче информации о степени соответствия векторов ЕБС предоставленным биометрическим данным физлица в информсистемах организаций финансового рынка;
- при взаимодействии информсистем организаций финансового рынка, иных организаций и ИП с информсистемами организаций финансового рынка.
Указание вступает в силу по истечении 10 дней после дня его официального опубликования. С этого момента прежний перечень угроз безопасности утрачивает силу.