Указание Банка России от 30 августа 2023 г. № 6515-У "Об определении угроз безопасности при обработке персональных данных в автоматизированной информационной системе страхования" (документ не вступил в силу)

Настоящее Указание на основании части 5 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и подпункта 6 пункта 7 статьи 3310 Закона Российской Федерации от 27 ноября 1992 года № 4015-I "Об организации страхового дела в Российской Федерации" определяет угрозы безопасности при обработке персональных данных в автоматизированной информационной системе страхования.

1. Угрозами безопасности при обработке персональных данных в автоматизированной информационной системе страхования (далее - АИС страхования) являются:

угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при передаче персональных данных между устройствами пользователей АИС страхования - физических лиц и АИС страхования, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 3781 (далее - Состав и содержание организационных и технических мер);

------------------------------

1 Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.

------------------------------

угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при передаче персональных данных между устройствами пользователей АИС страхования (за исключением физических лиц) и АИС страхования, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер;

угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при обработке персональных данных в АИС страхования, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер, в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 762, и возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер, в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76;

------------------------------

2 Зарегистрирован Минюстом России 11 сентября 2020 года, регистрационный N 59772, с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 года N 68 (зарегистрирован Минюстом России 20 июля 2022 года, регистрационный N 69318).

------------------------------

угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при взаимодействии с АИС страхования работников оператора АИС страхования или иных лиц, осуществляющих обеспечение эксплуатации и (или) администрирование АИС страхования посредством удаленного логического доступа, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер;

угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при передаче персональных данных при взаимодействии АИС страхования с федеральной государственной информационной системой "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме"1, единой биометрической системой2, федеральной государственной информационной системой "Единый портал государственных и муниципальных услуг (функций)"3, информационными системами государственных органов, иных лиц, которым государством делегированы властные полномочия4, Банка России и иными информационными системами с использованием единой системы межведомственного электронного взаимодействия5, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

------------------------------

1 Постановление Правительства Российской Федерации от 28 ноября 2011 года N 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".

2 Положение о единой биометрической системе, в том числе о ее региональных сегментах, утвержденное постановлением Правительства Российской Федерации от 31 мая 2023 года N 883.

3 Положение о федеральной государственной информационной системе "Единый портал государственных и муниципальных услуг (функций)", утвержденное постановлением Правительства Российской Федерации от 24 октября 2011 года N 861 "О федеральных государственных информационных системах, обеспечивающих предоставление в электронной форме государственных и муниципальных услуг (осуществление функций)".

4 Распоряжение Правительства Российской Федерации от 31 мая 2023 года № 1431-р.

5 Положение о единой системе межведомственного электронного взаимодействия, утвержденное постановлением Правительства Российской Федерации от 8 сентября 2010 года N 697.

------------------------------

2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 23 июня 2023 года N ПСД-23) вступает в силу с 1 апреля 2024 года.

Согласовано:

________________ 2023 г.

________________ 2023 г.

Зарегистрировано в Минюсте РФ 23 ноября 2023 г.
Регистрационный № 76079