На основании пункта 1 части 4 статьи 7 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации":
1. Настоящее Указание определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка, указанных в части 1 статьи 3 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее соответственно - организации финансового рынка, Федеральный закон от 29 декабря 2022 года N 572-ФЗ), с единой биометрической системой с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных:
1.1. Угрозы безопасности, актуальные при сборе биометрических персональных данных и их передаче в целях размещения или обновления биометрических персональных данных в единой биометрической системе:
в головном офисе, филиалах или внутренних структурных подразделениях организаций финансового рынка, являющихся банками с универсальной лицензией или банками с базовой лицензией, указанными в пункте 5 6 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее - банки), с использованием стационарных средств вычислительной техники и банкоматов и при передаче собранных биометрических персональных данных между головным офисом, филиалами или внутренними структурными подразделениями банков - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации), нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 1 (далее - Состав и содержание организационных и технических мер);
------------------------------
1 Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.
------------------------------
работниками банков с использованием планшетов и при передаче собранных биометрических персональных данных между планшетами и информационной инфраструктурой внутренних структурных подразделений банков - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации), нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер, в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 2, или с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.
------------------------------
2 Зарегистрирован Минюстом России 11 сентября 2020 года, регистрационный N 59772, с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 года N 68 (зарегистрирован Минюстом России 20 июля 2022 года, регистрационный N 69318).
------------------------------
1.2. Угрозы безопасности, актуальные при взаимодействии банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе:
угроза нарушения целостности (подмены, удаления), нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 Состава и содержания организационных и технических мер;
угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
1.3. Угрозы безопасности, актуальные при обработке (за исключением сбора) биометрических персональных данных, при проверке и передаче информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в единой биометрической системе (далее - информация о степени соответствия), при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой в целях идентификации физического лица в соответствии с частью 1 статьи 9 Федерального закона от 29 декабря 2022 года N 572-ФЗ и аутентификации физического лица в соответствии с частью 1 статьи 10 Федерального закона от 29 декабря 2022 года N 572-ФЗ:
1.3.1. При обработке биометрических персональных данных с использованием устройства физического лица, оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, и их передаче в единую биометрическую систему - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер.
1.3.2. При обработке биометрических персональных данных с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), принадлежащих организациям финансового рынка, и их передаче в единую биометрическую систему - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер, в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76, или с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.
1.3.3. При обработке биометрических персональных данных в головном офисе, филиалах или внутренних структурных подразделениях организаций финансового рынка с использованием стационарных средств вычислительной техники и банкоматов и их передаче в единую биометрическую систему - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.
1.3.4. При передаче биометрических персональных данных и информации о степени соответствия в организациях финансового рынка - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных и информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
1.3.5. При обработке информации о степени соответствия в организациях финансового рынка в целях идентификации физического лица в соответствии с частью 1 статьи 9 Федерального закона от 29 декабря 2022 года N 572-ФЗ:
угроза нарушения целостности (подмены, удаления) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 Состава и содержания организационных и технических мер;
угроза нарушения конфиденциальности (компрометации) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
1.3.6. При обработке информации о степени соответствия в организациях финансового рынка в целях аутентификации физического лица в соответствии с частью 1 статьи 10 Федерального закона от 29 декабря 2022 года N 572-ФЗ - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
1.4. Угрозы безопасности, актуальные при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой при передаче собранных биометрических персональных данных между осуществлявшими обработку биометрических персональных данных информационными системами организаций финансового рынка и единой биометрической системой в случае, указанном в части 14 статьи 4 Федерального закона от 29 декабря 2022 года N 572-ФЗ:
угроза нарушения целостности (подмены, удаления), нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 Состава и содержания организационных и технических мер;
угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
1.5. Угрозы безопасности, актуальные при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой при получении организациями финансового рынка в соответствии с пунктом 2 части 2 статьи 8 Федерального закона от 29 декабря 2022 года N 572-ФЗ векторов единой биометрической системы в целях аутентификации физического лица:
угроза нарушения целостности (подмены, удаления) векторов единой биометрической системы, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 Состава и содержания организационных и технических мер;
угроза нарушения конфиденциальности (компрометации) векторов единой биометрической системы, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
1.6. Угрозы безопасности, актуальные при предоставлении организациями финансового рынка в соответствии с частью 5 статьи 10 Федерального закона от 29 декабря 2022 года N 572-ФЗ в единую систему идентификации и аутентификации 1 сведений о физических лицах, содержащихся в информационных системах организаций финансового рынка, включая идентификаторы таких сведений, перед использованием единой биометрической системы для аутентификации - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
------------------------------
1Пункт 5 статьи 2 Федерального закона от 29 декабря 2022 года N 572-ФЗ.
------------------------------
1.7. Угрозы безопасности, актуальные при направлении оператору единой биометрической системы в соответствии с пунктом 9 части 2 статьи 8, частью 3 статьи 15 Федерального закона от 29 декабря 2022 года N 572-ФЗ мотивированного запроса о предоставлении информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, основанного на обращении субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации (далее - информация о результате проверки соответствия), - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
1.8. Угрозы безопасности, актуальные при получении от оператора единой биометрической системы в соответствии с пунктом 9 части 2 статьи 8, частью 3 статьи 15 Федерального закона от 29 декабря 2022 года N 572-ФЗ информации о результате проверки соответствия - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) информации о результате проверки соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
2. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.
3. Со дня вступления в силу настоящего Указания признать утратившим силу Указание Банка России от 16 декабря 2021 года N 6017-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, при взаимодействии организаций финансового рынка с единой биометрической системой" 1.
------------------------------
1 Зарегистрировано Минюстом России 31 января 2022 года, регистрационный N 67069.
------------------------------
Председатель |
Э.С. Набиуллина |
Зарегистрировано в Минюсте РФ 26 октября 2023 г.
Регистрационный N 75742
Банк России установил новые угрозы безопасности, актуальные:
- при сборе биометрических персональных данных (БПД) и их передаче для размещения или обновления в единой биометрической системе (ЕБС);
- при взаимодействии банков с ЕБС в целях размещения или обновления БПД;
- при обработке (за исключением сбора) БПД, при проверке и передаче информации о степени соответствия предоставленных БПД физлица векторам ЕБС при взаимодействии информсистем организаций финансового рынка с ЕБС в целях идентификации физлица;
- при взаимодействии информсистем организаций финансового рынка с ЕБС при передаче собранных БПД и при получении этими организациями векторов ЕБС в целях аутентификации физлица;
- при предоставлении организациями финансового рынка в ЕСИА сведений о физлицах, содержащихся в их информсистемах, включая идентификаторы таких сведений, перед использованием ЕБС для аутентификации;
- при направлении оператору ЕБС мотивированного запроса о предоставлении результатов проверки соответствия предоставленных БПД физлица его БПД, содержащимся в ЕБС, если субъект персональных данных предполагает неправомерную обработку его биометрии при проведении аутентификации или оспаривает результаты аутентификации;
- при получении от оператора ЕБС информации о результате проверки соответствия.
Указание вступает в силу по истечении 10 дней после даты опубликования.
Указание Банка России от 25 сентября 2023 г. N 6540-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой"
Зарегистрировано в Минюсте РФ 26 октября 2023 г.
Регистрационный N 75742
Вступает в силу с 14 ноября 2023 г.
Опубликование:
сайт Банка России (cbr.ru) 3 ноября 2023 г.
Вестник Банка России, 15 ноября 2023 г. N 71