Указание Банка России N 4859-У, Публичного акционерного общества "Ростелеком" N 01/01/782-18 от 09.07.2018 "О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, ба...

 
Зарегистрировано в Минюсте России 30 июля 2018 г. N 51735

 
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
N 4859-У
 
ПУБЛИЧНОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО "РОСТЕЛЕКОМ"
N 01/01/782-18
 
УКАЗАНИЕ
от 9 июля 2018 года
 
О ПЕРЕЧНЕ
УГРОЗ БЕЗОПАСНОСТИ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ,
ВКЛЮЧАЯ СБОР И ХРАНЕНИЕ, БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ
ДАННЫХ, ИХ ПРОВЕРКЕ И ПЕРЕДАЧЕ ИНФОРМАЦИИ О СТЕПЕНИ
ИХ СООТВЕТСТВИЯ ПРЕДОСТАВЛЕННЫМ БИОМЕТРИЧЕСКИМ ПЕРСОНАЛЬНЫМ
ДАННЫМ ГРАЖДАНИНА РОССИЙСКОЙ ФЕДЕРАЦИИ В ГОСУДАРСТВЕННЫХ
ОРГАНАХ, БАНКАХ И ИНЫХ ОРГАНИЗАЦИЯХ, УКАЗАННЫХ В АБЗАЦЕ
ПЕРВОМ ЧАСТИ 1 СТАТЬИ 14.1 ФЕДЕРАЛЬНОГО ЗАКОНА
ОТ 27 ИЮЛЯ 2006 ГОДА N 149-ФЗ "ОБ ИНФОРМАЦИИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ",
В ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЕ
 
На основании части 14 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243; N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 26, ст. 3877; N 28, ст. 4558; N 52, ст. 7491; 2017, N 18, ст. 2664; N 24, ст. 3478; N 25, ст. 3596; N 27, ст. 3953; N 31, ст. 4790, ст. 4825, ст. 4827; N 48, ст. 7051; 2018, N 1, ст. 66; N 18, ст. 2572; N 27, ст. 3956) (далее - Федеральный закон N 149-ФЗ) настоящее Указание определяет перечень угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона N 149-ФЗ, в единой биометрической системе.
1. Угрозы безопасности, актуальные при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанные в абзаце первом части 1 статьи 14.1 Федерального закона N 149-ФЗ, в единой биометрической системе, для проведения или создания условий для совершения операций без согласия клиента - физического лица, в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, по открытию и ведению счета (вклада) клиента - физического лица, предоставлению кредитов клиентам - физическим лицам, а также осуществлению переводов денежных средств по таким счетам по поручению клиентов - физических лиц без их личного присутствия:
1.1. при обработке, включая сбор, биометрических персональных данных на устройстве клиента - физического лица - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения целостности (подмены, удаления) информации о степени соответствия биометрических персональных данных гражданина Российской Федерации, предоставленным им биометрическим персональным данным в единой биометрической системе (далее - информация о степени соответствия) в целях передачи биометрических персональных данных в банки или единую биометрическую систему, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378, зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года N 33620 (далее - приказ ФСБ России N 378);
1.2. при сборе биометрических персональных данных в государственных органах, банках и иных организациях, включая сбор биометрических персональных данных и передачу собранных биометрических персональных данных между структурными подразделениями государственного органа, банка и иной организации, - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 приложения к приказу ФСБ России N 378 (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса) и в пункте 12 приложения к приказу ФСБ России N 378 (в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса);
1.3. при передаче собранных биометрических персональных данных между государственным органом, банком, иной организацией и единой биометрической системой:
1.3.1. угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ России N 378;
1.3.2. угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ России N 378;
1.4. при обработке информации о степени соответствия в банках - угроза нарушения целостности (подмены, удаления) информации о степени соответствия в банках, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ России N 378;
1.5. при передаче информации о степени соответствия между банком и единой биометрической системой:
1.5.1. угроза нарушения целостности (подмены, удаления) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ России N 378;
1.5.2. угроза нарушения конфиденциальности (компрометации) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ России N 378;
1.6. при обработке, хранении, проверке биометрических персональных данных, обработке и передаче информации о степени соответствия в единой биометрической системе - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), нарушения целостности (подмены, удаления) информации о степени соответствия, нарушения доступности (блокирования передачи) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ России N 378.
2. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования <1>.
--------------------------------
<1> Официально опубликовано на сайте Банка России 06.08.2018.
 
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА
 
Президент ПАО "Ростелеком"
М.Э.ОСЕЕВСКИЙ
 
Согласовано
 
Директор
Федеральной службы безопасности
Российской Федерации
А.В.БОРТНИКОВ
 
Директор
Федеральной службы по техническому
и экспортному контролю
В.В.СЕЛИН
 
 
Открыть полный текст документа

Закрыть