Проект Указания Банка России "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с ..." (по состоянию на 07.04.2021)

Проект Указания Банка России
"О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных"
(по состоянию на 07.04.2021)

На основании части 14.1 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2021, N 1) настоящее Указание определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных.

1. Угрозы безопасности, актуальные при сборе и обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - информации о степени соответствия) в информационных системах организаций финансового рынка, указанных в части 10 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Федеральный закон N 149-ФЗ) (далее - организации финансового рынка) при идентификации и (или) аутентификации физического лица при выполнении условий, установленных в пунктах 18.18 и 18.20 статьи 14.1 Федерального закона N 149-ФЗ, а также при аутентификации физического лица в соответствии с пунктом 18.24 статьи 14.1 Федерального закона N 149-ФЗ.

1.1. При обработке биометрических персональных данных на устройстве клиента - физического лица - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378, зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года N 33620 (далее - приказ ФСБ России N 378).

1.2. При сборе биометрических персональных данных в организациях финансового рынка:

1.2.1. при сборе биометрических персональных данных в филиалах или внутренних структурных подразделениях организаций финансового рынка с использованием стационарных средств вычислительной техники и передаче собранных биометрических персональных данных между филиалами или внутренними структурными подразделениями организаций финансового рынка:

угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 приложения к приказу ФСБ России N 378 (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса) и в пункте 12 приложения к приказу ФСБ России N 378 (в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса);

угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 приложения к приказу ФСБ России N 378.

1.2.2. при сборе биометрических персональных данных работниками организаций финансового рынка с использованием мобильных (переносных) устройств вычислительной техники (планшетов) и передаче собранных биометрических персональных данных между переносным средством вычислительной техники и структурными подразделениями организации финансового рынка - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 приложения к приказу ФСБ России N 378 (в случае применения программных средств (систем) защиты информации, реализующих доверенную загрузку, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации) и в пункте 11 приложения к приказу ФСБ России N 378 (в случае неприменения программных средств (систем) защиты информации, реализующих доверенную загрузку, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации).

1.2.3. при сборе биометрических персональных данных организациями финансового рынка с использованием платежных терминалов, банкоматов и передаче собранных биометрических персональных данных между платежным терминалом и структурными подразделениями организаций финансового рынка - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 приложения к приказу ФСБ России N 378 (в случае применения программных средств (систем) защиты информации, реализующих доверенную загрузку, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации) и в пункте 11 приложения к приказу ФСБ России N 378 (в случае неприменения программных средств (систем) защиты информации, реализующих доверенную загрузку, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации);

1.2.4. при сборе биометрических персональных данных организациями финансового рынка - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных) при их передаче между организациями финансового рынка и единой биометрической системой, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ России N 378.

1.3. При обработке, в том числе хранении, биометрических персональных данных и информации о степени соответствия, в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц (далее - информационные системы организаций финансового рынка) - угроза нарушения целостности (подмены, удаления) биометрических персональных данных и информации о степени соответствия, конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ России N 378.

1.4. При взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с информационными системами организаций финансового рынка при аутентификации физического лица в соответствии с пунктом 18.24 статьи 14.1 Федерального закона N 149-ФЗ - угроза нарушения целостности (подмены, удаления) информации о степени соответствия, конфиденциальности (компрометации) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ России N 378.

2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от "__" _______ 2021 года N ПСД-___) вступает в силу с 01 января 2022 года.

Председатель Центрального банка Российской Федерации

Согласовано:

Директор Федеральной службы безопасности Российской Федерации

А.В. Бортников

_____________________

______________ 2021 г.

Директор Федеральной службы по техническому и экспортному контролю

В.В. Селин

______________________

_______________ 2021 г.

Министр цифрового развития, связи и массовых коммуникаций Российской Федерации

М.И. Шадаев

_______________________

_________________2021 г.

Президент ПАО "Ростелеком"

М.Э. Осеевский

______________________

_______________ 2021 г.

Пояснительная записка
к проекту Указания Банка России "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных" (далее - проект указания)

Банк России разработал проект указания в целях определения перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных.

Действие проекта указание будет распространяться на организации финансового рынка, указанные в пункте 10 статьи 14.1 Федерального закона N 149-ФЗ.

В проекте указания определены:

1. Угрозы безопасности, актуальные при сборе и обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - информации о степени соответствия) в информационных системах организаций финансового рынка, указанных в части 10 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Федеральный закон N 149-ФЗ) (далее - организации финансового рынка) при идентификации и (или) аутентификации физического лица в соответствии с пунктами 18.18 и 18.20 статьи 14.1 Федерального закона N 149-ФЗ; аутентификации физического лица в соответствии с пунктом 18.24 статьи 14.1 Федерального закона N 149-ФЗ:

при сборе и обработке биометрических персональных данных на устройстве клиента;

при сборе биометрических персональных данных в организациях финансового рынка с использованием стационарных средств вычислительной техники и передаче собранных биометрических персональных данных между филиалами или внутренними структурными подразделениями организаций финансового рынка;

при сборе биометрических персональных данных работниками организаций финансового рынка с использованием мобильных (переносных) устройств вычислительной техники (планшетов) и передаче собранных биометрических персональных данных между переносным средством вычислительной техники и структурными подразделениями организации финансового рынка;

при сборе биометрических персональных данных организациями финансового рынка с использованием платежных терминалов и передаче собранных биометрических персональных данных между платежным терминалом и структурными подразделениями организаций финансового рынка;

при сборе биометрических персональных данных организациями финансового рынка организаций финансового рынка;

при обработке, в том числе хранении, биометрических персональных данных и информации о степени соответствия при проведении действий.

2. применение средств защиты информации, сертифицированных по системе сертификации ФСТЭК на соответствие требованиям по безопасности информации, определенного класса.

В целях выполнения требований проекта для своевременной доработки информационных систем организациями финансового рынка общий срок вступления в силу проекта предусмотрен с 1 января 2022 года.

Предложения и замечания по Проекту, направляемые в рамках публичного обсуждения, принимаются до 21 апреля 2021 года по адресам polivanovave@cbr.ru и nikitinavl@cbr.ru.