Указание Банка России и ПАО “Ростелеком” от 9 июля 2018 г. № 4859-У/01/01/782-18 “О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в единой биометрической системе” (не вступило в силу)
На основании части 14 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243; № 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, № 26, ст. 3877; N 28, ст. 4558; N 52, ст. 7491; 2017, N 18, ст. 2664; N 24, ст. 3478; N 25, ст. 3596; № 27, ст. 3953; N 31, ст. 4790, ст. 4825, ст. 4827; N 48, ст. 7051; 2018, N 1, ст. 66; N 18, ст. 2572; N 27, ст. 3956) (далее - Федеральный закон N 149-ФЗ) настоящее Указание определяет перечень угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона N 149-ФЗ, в единой биометрической системе.
1. Угрозы безопасности, актуальные при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанные в абзаце первом части 1 статьи 14.1 Федерального закона N 149-ФЗ, в единой биометрической системе, для проведения или создания условий для совершения операций без согласия клиента - физического лица, в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, по открытию и ведению счета (вклада) клиента - физического лица, предоставлению кредитов клиентам - физическим лицам, а также осуществлению переводов денежных средств по таким счетам по поручению клиентов - физических лиц без их личного присутствия:
1.1. при обработке, включая сбор, биометрических персональных данных на устройстве клиента - физического лица - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения целостности (подмены, удаления) информации о степени соответствия биометрических персональных данных гражданина Российской Федерации, предоставленным им биометрическим персональным данным в единой биометрической системе (далее - информация о степени соответствия) в целях передачи биометрических персональных данных в банки или единую биометрическую систему, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378, зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года N 33620 (далее - приказ ФСБ России N 378);
1.2. при сборе биометрических персональных данных в государственных органах, банках и иных организациях, включая сбор биометрических персональных данных и передачу собранных биометрических персональных данных между структурными подразделениями государственного органа, банка и иной организации, - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 приложения к приказу ФСБ России N 378 (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса) и в пункте 12 приложения к приказу ФСБ России N 378 (в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса);
1.3. при передаче собранных биометрических персональных данных между государственным органом, банком, иной организацией и единой биометрической системой:
1.3.1. угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ России N 378;
1.3.2. угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ России N 378;
1.4. при обработке информации о степени соответствия в банках - угроза нарушения целостности (подмены, удаления) информации о степени соответствия в банках, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ России N 378;
1.5. при передаче информации о степени соответствия между банком и единой биометрической системой:
1.5.1. угроза нарушения целостности (подмены, удаления) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ России N 378;
1.5.2. угроза нарушения конфиденциальности (компрометации) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ России N 378;
1.6. при обработке, хранении, проверке биометрических персональных данных, обработке и передаче информации о степени соответствия в единой биометрической системе - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), нарушения целостности (подмены, удаления) информации о степени соответствия, нарушения доступности (блокирования передачи) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ России N 378.
2. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.
Председатель Центрального банка Российской Федерации |
Э.С. Набиуллина |
Президент ПАО "Ростелеком" |
М.Э. Осеевский |
Согласовано:
Директор Федеральной службы безопасности Российской Федерации |
А.В. Бортников |
Директор Федеральной службы по техническому и экспортному контролю |
В.В. Селин |
Зарегистрировано в Минюсте РФ 30 июля 2018 г.
Регистрационный № 51735
Обзор документа
Госорганы, банки и иные организации вправе собирать биометрические персональные данные (БПД) граждан и устанавливать по ним личность.
Определен перечень угроз безопасности БПД, актуальных при их обработке, проверке и передаче информации о степени их соответствия предоставленным БПД гражданина в госорганах, банках и иных организациях в Единой биометрической системе.
Под угрозами понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в т. ч. случайного, доступа к БПД при их обработке, включая сбор и хранение, в Единой системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение БПД, а также иные неправомерные действия.
Указание вступает в силу по истечении 10 дней после опубликования.