(1).jpg)
Проект Указания Банка России “Об определении перечня угроз безопасности биометрических персональных данных, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации” (по состоянию на 12.02.2018)
1. На основании части 14 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3448; 2010, № 31, ст. 4196; 2011, № 15, ст. 2038, № 30, ст. 4600; 2012, № 31, ст. 4328; 2013, № 14, ст. 1658, № 23, ст. 2870, № 27, ст. 3479, № 52, ст. 6961, 6963; 2014, № 19, ст. 2302, № 30, ст. 4223, 4243, № 48, ст. 6645; 2015, № 1, ст. 84, № 27, ст. 3979, № 29, ст. 4389, 4390; 2016, № 26, ст. 3877, № 28, ст. 4558, № 52, ст. 7491; 2017, № 18, ст. 2664, № 24, ст. 3478, № 25, ст. 3596, № 27, ст. 3953, № 31, ст. 4790, 4825, 4827, № 48, ст. 7051; 2018, № 1, ст. 66) (далее - Федеральный закон № 149-ФЗ) настоящее Указание определяет перечень угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона № 149-ФЗ, (далее - иные организации) в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее - единая биометрическая система).
2. Под актуальными угрозами безопасности при обработке, включая сбор и хранение, биометрических персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к биометрическим персональным данным при их обработке, включая сбор и хранение, в единой биометрической системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение биометрических персональных данных, а также иные неправомерные действия 1.
------------------------------
1 Пункт 6 постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
------------------------------
3. Угрозами безопасности биометрических персональных данных, актуальными при обработке, включая сбор и хранение, в государственных органах, банках и иных организациях в единой информационной системе персональных данных, являются в том числе:
угроза несанкционированного доступа к биометрическим персональным данным, лицами, обладающими полномочиями в информационной системе персональных данных банка и иной организации при регистрации клиента - физического лица;
угроза несанкционированного доступа к биометрическим персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных банка и иной организации, с использованием уязвимостей в программном обеспечении информационной системы персональных данных, уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных, уязвимостей в организации защиты биометрических персональных данных, а также с использованием недекларированных возможностей прикладного программного обеспечения информационной системы персональных данных при регистрации клиента - физического лица;
угроза несанкционированного доступа к биометрическим персональным данным при их передаче между информационной системой персональных данных банка и иной организации, Единой системой межведомственного электронного взаимодействия и Федеральной государственной информационная системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» и (или) единой биометрической системой с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных, а также уязвимостей в обеспечении защиты вычислительных сетей;
угроза несанкционированного доступа к биометрическим персональным данным лицами, обладающими полномочиями в единой биометрической системе, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации единой биометрической системы;
угроза несанкционированного доступа к биометрическим персональным данным лицами, не обладающими полномочиями в единой биометрической системе с использованием уязвимостей в программном обеспечении единой биометрической системы, уязвимостей в обеспечении защиты вычислительных сетей единой биометрической системы, а также с использованием недекларированных возможностей прикладного программного обеспечения единой биометрической системы;
угроза несанкционированного доступа к биометрическим персональным данным при их передаче между компонентами единой биометрической системы с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных, а также уязвимостей в обеспечении защиты вычислительных сетей единой биометрической системы;
угроза атаки типа «отказ в обслуживании» на единую биометрическую систему;
угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных государственного органа, банка и иной организации, единой биометрической системе;
угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных государственного органа, банка и иной организации, единой биометрической системе;
угроза несанкционированного доступа к клиентскому устройству клиента - физического лица с использованием уязвимостей в прикладном программном обеспечении клиентского устройства клиента - физического лица.
угроза воздействия вредоносного кода, внешнего по отношению к клиентскому устройству клиента - физического лица;
угроза использования методов социального инжиниринга к клиенту - физическому лицу;
4. Определение типа угроз безопасности биометрических персональных данных, актуальных при обработке, включая сбор и хранение, для единой биометрической системы, производится оператором единой биометрической системы в соответствии с пунктом 7 постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2012, № 45, ст. 6257).
5. Настоящее Указание подлежит официальному опубликованию и вступает в силу с 30 июня 2018 года.
|
Председатель Центрального банка Российской Федерации |
Согласовано:
|
Директор Федеральной службы безопасности Российской Федерации |
А.В. Бортников |
|
Директор Федеральной службы по техническому и экспортному контролю |
В.В. Селин |
Пояснительная записка
к проекту Указания Банка России «Об определении перечня угроз безопасности биометрических персональных данных, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации»
Проект Указания Банка России разработан для обеспечения защиты прав граждан при обработке их биометрических персональных данных в целях проведении идентификации. Кроме того, документ призван обеспечить необходимый уровень защиты самих биометрических персональных данных при их сборе, обработке и хранении.
Вступление в силу данного Указания также позволит сформировать основы для установления требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации.
Действие документа распространяется на государственные органы, кредитные и другие организации, указанные в части 1 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ.
Ожидается, что проект указание вступит в силу 30 июня 2018 года. Замечания и предложения по его содержанию принимаются с 12 по 25 февраля 2018 года по адресу kraevaos@cbr.ru.
Обзор документа
Госорганам, банкам и иным организациям предоставлено право собирать биометрические персональные данные (БПД) граждан и устанавливать по ним личность.
Разработан перечень угроз безопасности БПД, актуальных при обработке БПД, их проверке и передаче информации о степени их соответствия предоставленным БПД гражданина в госорганах, банках и иных организациях в Единой биометрической системе.
Под угрозами понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в т. ч. случайного, доступа к БПД при их обработке, включая сбор и хранение, в Единой системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение БПД, а также иные неправомерные действия.
