Проект Указания Банка России “О перечне угроз безопасности при обработке персональных данных в автоматизированной информационной системе страхования” (по состоянию на 28.04.2023)

Настоящее Указание на основании подпункта 6 пункта 7 статьи 33.10 Федерального закона от 27 ноября 1992 года N 4015-1 "Об организации страхового дела в Российской Федерации" определяет перечень угроз безопасности при обработке персональных данных в автоматизированной информационной системе страхования.

1. Угрозы нарушения целостности (подмены, удаления) персональных данных, актуальные при передаче персональных данных между устройствами пользователей автоматизированной информационной системы страхования (далее - АИС страхования) - физических лиц и АИС страхования, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 3781 (далее - Состав и содержание организационных и технических мер).

2. Угрозы нарушения целостности (подмены, удаления) персональных данных, нарушения конфиденциальности (компрометации) персональных данных, актуальные при передаче между устройствами пользователей АИС страхования (за исключением физических лиц) и АИС страхования, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.

3. Угрозы нарушения целостности (подмены, удаления) персональных данных, нарушения конфиденциальности (компрометации) персональных данных, актуальные при обработке, в том числе хранении, и передаче персональных данных в АИС страхования, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия) и в пункте 12 Состава и содержания организационных и технических мер (в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия).

4. Угрозы нарушения целостности (подмены, удаления) персональных данных, нарушения конфиденциальности (компрометации) персональных данных, актуальные при передаче персональных данных при взаимодействии АИС страхования с единой системой идентификации и аутентификации, единой информационной системой персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия представленным биометрическим персональным данным такого физического лица, федеральной государственной информационной системой "Единый портал государственных и муниципальных услуг (функций)", информационными системами государственных органов, иных лиц, которым государством делегированы властные полномочия, Банка России и иными информационными системами с использованием единой системы межведомственного электронного взаимодействия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

5. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от _________ __ N ____________) вступает в силу с 1 апреля 2024 года.

Согласовано:

_______________ 2023 г.

_______________ 2023 г.

------------------------------

1 Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.

------------------------------

Пояснительная записка
к проекту указания Банка России "О перечне угроз безопасности при обработке персональных данных в автоматизированной информационной системе страхования"
(далее - проект)

Проект разработан в целях реализации предоставленной Банку России подпунктом 6 пункта 7 статьи 33.10 Федерального закона от 27.11.1992 N 4015-1 "Об организации страхового дела в Российской Федерации" (далее - Федеральный закон N 4015-1) компетенции на определение перечня угроз безопасности при обработке персональных данных в автоматизированной информационной системе страхования (далее - АИС страхования).

В проекте определены:

1. Угрозы безопасности, актуальные при передаче персональных данных между устройствами пользователей АИС страхования - физических лиц и АИС страхования.

2. Угрозы безопасности, актуальные при передаче персональных данных между устройствами пользователей АИС страхования (за исключением физических лиц) и АИС страхования.

3. Угрозы безопасности, актуальные при обработке, в том числе хранении, и передаче персональных данных в АИС страхования.

4. Угрозы безопасности, актуальные при передаче персональных данных при взаимодействии АИС страхования с единой системой идентификации и аутентификации, единой информационной системой персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия представленным биометрическим персональным данным такого физического лица, федеральной государственной информационной системой "Единый портал государственных и муниципальных услуг (функций)", информационными системами государственных органов, иных лиц, которым государством делегированы властные полномочия, Банка России и иными информационными системами с использованием единой системы межведомственного электронного взаимодействия.

Ответственное структурное подразделение Банка России по проекту - Департамент информационной безопасности.

Предложения и замечания по проекту в рамках его публичного обсуждения в целях оценки регулирующего воздействия принимаются до 12 мая 2023 года по адресам электронной почты: nikitinavl@cbr.ru и erokhingi@cbr.ru.