(1).jpg)
Выберите тему Программы повышения квалификации для юристов
Проект Указания Банка России “О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами” (по состоянию на 10.04.2023)
Настоящее Указание на основании пункта 2 части 4 статьи 7 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"1 определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, указанных в части 1 статьи 3 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"1 и осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных.
1. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных и информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - информация о степени соответствия), актуальные при обработке биометрических персональных данных и информация о степени соответствия с использованием мобильных (переносных) устройств вычислительной техники (в том числе мобильных телефонов, планшетов и платежных терминалов), принадлежащих организациям финансового рынка, в целях аутентификации физического лица в соответствии с частью 1 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"1 (далее - Федеральный закон N 572-ФЗ), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 3782 (далее - Состав и содержание организационных и технических мер) (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 (далее - Требования по безопасности информации, устанавливающие уровни доверия) или с использованием возможностей, указанных в пункте 11 Состава и содержание организационных и технических мер.
2. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных и информации о степени соответствия, актуальные при обработке биометрических персональных данных и информации о степени соответствия с использованием стационарных средств вычислительной техники (в том числе банкоматов), принадлежащих организациям финансового рынка, в целях аутентификации физического лица в соответствии с частью 1 статьи 16 Федерального закона N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.
3. Угрозы нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, актуальные при обработке биометрических персональных данных с использованием устройств клиента - физического лица в целях аутентификации физического лица в соответствии с частью 1 статьи 16 Федерального закона N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер.
4. Угрозы нарушения целостности (подмены, удаления) биометрических персональных данных, информации о степени соответствия, векторов единой биометрической системы, нарушения конфиденциальности (компрометации) биометрических персональных данных и информации о степени соответствия, актуальные при обработке, в том числе хранении, биометрических персональных данных, информации о степени соответствия, векторов единой биометрической системы в информационной системе организации финансового рынка в целях аутентификации физического лица, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
5. Угрозы безопасности, актуальные при хранении собранных биометрических персональных данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации в соответствии с пунктом 3 части 1 статьи 15 Федерального закона N 572-ФЗ1:
угроза нарушения целостности (подмены, удаления) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер;
угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
6. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных и информации о степени соответствия, актуальные при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с информационными системами организаций финансового рынка в целях аутентификации физического лица в соответствии с частью 4 статьи 16 Федерального закона N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
7. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от _____________ N ____________) вступает в силу с _______________.
|
Председатель Центрального банка Российской Федерации |
Согласовано:
|
Директор Федеральной службы безопасности Российской Федерации _______________ |
А.В. Бортников |
_______________ 2023 г.
|
Директор Федеральной службы по техническому и экспортному контролю _______________ |
В.В. Селин |
_______________ 2023 г.
|
Министр цифрового развития, связи и массовых коммуникаций Российской Федерации _______________ |
М.И. Шадаев |
_______________ 2023 г.
|
Генеральный директор АО "ЦБТ" _______________ |
В.Ю. Поволоцкий |
_______________ 2023 г.
------------------------------
1 Собрание законодательства Российской Федерации, 2023, N 1, ст. 19
2 Зарегистрирован Министерством юстиции Российской Федерации 18 августа 2014 года N 33620.
------------------------------
Пояснительная записка
к проекту Указания Банка России "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами"
(далее - проект)
Банк России разработал проект в соответствии с компетенцией, указанной в пункте 2 части 4 статьи 7 Федерального закона от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации".
Закон предусматривает, что Банк России определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами.
При подготовке проекта использовались механизмы (методологические подходы), аналогичные уже реализованным в Указании Банка России от 16.12.2021 N 6018-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами".
В проекте определены:
1. Угрозы безопасности, актуальные при обработке биометрических персональных данных с использованием устройств клиента - физического лица, мобильных (переносных) устройств вычислительной техники (планшетов), платежных терминалов, банкоматов, принадлежащих организациям финансового рынка, в целях аутентификации физического лица.
2. Угрозы безопасности, актуальные при обработке, в том числе хранении, информации о степени соответствия и векторов единой биометрической системы в информационной системе организации финансового рынка в целях аутентификации физического лица.
3. Угрозы безопасности, актуальные при хранении собранных биометрических персональных данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации.
4. Угрозы безопасности, актуальные при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с информационными системами организаций финансового рынка в целях аутентификации физического лица.
Ответственное структурное подразделение Банка России по проекту - Департамент информационной безопасности.
Предложения и замечания по проекту в рамках его публичного обсуждения в целях оценки регулирующего воздействия принимаются до 23 апреля 2023 года по адресам электронной почты: nikitinavl@cbr.ru и tyulpinvi01@cbr.ru.
Обзор документа
Банк России определит угрозы безопасности, актуальные:
- при обработке биометрических персональных данных с использованием устройств клиента, планшетов, платежных терминалов, банкоматов в целях аутентификации физлица;
- при обработке информации о степени соответствия и векторов единой биометрической системы в информационной системе организации финансового рынка;
- при хранении собранных биометрических персональных данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку;
- при взаимодействии организаций финансового рынка, иных организаций, предпринимателей с информационными системами организаций финансового рынка.
