Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных" (с изменениями и дополнениями)

Указание Банка России от 10 декабря 2015 г. N 3889-У
"Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных"

С изменениями и дополнениями от:

1 марта 2022 г.

1. На основании Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243) и Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2003, N 2, ст. 157; N 52, ст. 5032; 2004, N 27, ст. 2711; N 31, ст. 3233; 2005, N 25, ст. 2426; N 30, ст. 3101; 2006, N 19, ст. 2061; N 25, ст. 2648; 2007, N 1, ст. 9, ст. 10; N 10, ст. 1151; N 18, ст. 2117; 2008, N 42, ст. 4696, ст. 4699; N 44, ст. 4982; N 52, ст. 6229, ст. 6231; 2009, N 1, ст. 25; N 29, ст. 3629; N 48, ст. 5731; 2010, N 45, ст. 5756; 2011, N 7, ст. 907; N 27, ст. 3873; N 43, ст. 5973; N 48, ст. 6728; 2012, N 50, ст. 6954; N 53, ст. 7591, ст. 7607; 2013, N 11, ст. 1076; N 14, ст. 1649; N 19, ст. 2329; N 27, ст. 3438, ст. 3476, ст. 3477; N 30, ст. 4084; N 49, ст. 6336; N 51, ст. 6695, ст. 6699; N 52, ст. 6975; 2014, N 19, ст. 2311, ст. 2317; N 27, ст. 3634; N 30, ст. 4219; N 45, ст. 6154; N 52, ст. 7543; 2015, N 1, ст. 4, ст. 37; N 27, ст. 3958, ст. 4001; N 29, ст. 4348; N 41, ст. 5639) настоящее Указание определяет угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных кредитных организаций и некредитных финансовых организаций, указанных в части первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)".

2. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе персональных данных, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия*.

3. Настоящее Указание не определяет угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, относящихся к биометрическим персональным данным, персональным данным, полученным из общедоступных источников.

Информация об изменениях:

Пункт 4 изменен с 22 апреля 2022 г. - Указание Банка России от 1 марта 2022 г. N 6080-У

См. предыдущую редакцию

4. Угрозами безопасности персональных данных (за исключением персональных данных, разрешенных субъектом персональных данных для их распространения), актуальными при их обработке в информационных системах персональных данных, являются, в том числе:

угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;

угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;

угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;

угроза несанкционированного доступа к отчуждаемым носителям персональных данных;

угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;

угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в организации защиты персональных данных;

угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных;

угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;

угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных;

угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации.

Информация об изменениях:

Указание дополнено пунктом 4 ¹ с 22 апреля 2022 г. - Указание Банка России от 1 марта 2022 г. N 6080-У

4 ¹. Угрозами безопасности персональных данных, разрешенных субъектом персональных данных для их распространения, актуальными при их обработке в информационных системах персональных данных, являются в том числе угрозы нарушения целостности (подмены) и нарушения доступности персональных данных, разрешенных субъектом персональных данных для их распространения.

5. Определение типа угроз безопасности персональных данных, актуальных для информационной системы персональных данных, производится оператором информационной системы персональных данных в соответствии с пунктом 7 постановления Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "пункт 7 Требований, утвержденных постановлением"

6. Настоящее Указание вступает в силу по истечении 10 дней после дня его опубликования в "Вестнике Банка России".

Председатель Центрального банка Российской Федерации

Э.С. Набиуллина

Согласовано

Директор Федеральной службы безопасности Российской Федерации

А.В. Бортников

Директор Федеральной службы по техническому и экспортному контролю

В.В. Селин

_____________________________

* Пункт 6 постановления Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "пункт 6 Требований, утвержденных постановлением"

Зарегистрировано в Минюсте РФ 18 марта 2016 г.
Регистрационный N 41455