Указание Банка России N 4859-У, Публичного акционерного общества "Ростелеком" N 01/01/782-18 от 09.07.2018
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
N 4859-У
ПУБЛИЧНОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО "РОСТЕЛЕКОМ"
N 01/01/782-18
УКАЗАНИЕ
от 9 июля 2018 года
О ПЕРЕЧНЕ
УГРОЗ БЕЗОПАСНОСТИ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ,
ВКЛЮЧАЯ СБОР И ХРАНЕНИЕ, БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ
ДАННЫХ, ИХ ПРОВЕРКЕ И ПЕРЕДАЧЕ ИНФОРМАЦИИ О СТЕПЕНИ
ИХ СООТВЕТСТВИЯ ПРЕДОСТАВЛЕННЫМ БИОМЕТРИЧЕСКИМ ПЕРСОНАЛЬНЫМ
ДАННЫМ ГРАЖДАНИНА РОССИЙСКОЙ ФЕДЕРАЦИИ В ГОСУДАРСТВЕННЫХ
ОРГАНАХ, БАНКАХ И ИНЫХ ОРГАНИЗАЦИЯХ, УКАЗАННЫХ В АБЗАЦЕ
ПЕРВОМ ЧАСТИ 1 СТАТЬИ 14.1 ФЕДЕРАЛЬНОГО ЗАКОНА
ОТ 27 ИЮЛЯ 2006 ГОДА N 149-ФЗ "ОБ ИНФОРМАЦИИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ",
В ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЕ
На основании части 14 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243; N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 26, ст. 3877; N 28, ст. 4558; N 52, ст. 7491; 2017, N 18, ст. 2664; N 24, ст. 3478; N 25, ст. 3596; N 27, ст. 3953; N 31, ст. 4790, ст. 4825, ст. 4827; N 48, ст. 7051; 2018, N 1, ст. 66; N 18, ст. 2572; N 27, ст. 3956) (далее - Федеральный закон N 149-ФЗ) настоящее Указание определяет перечень угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона N 149-ФЗ, в единой биометрической системе.
1. Угрозы безопасности, актуальные при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанные в абзаце первом части 1 статьи 14.1 Федерального закона N 149-ФЗ, в единой биометрической системе, для проведения или создания условий для совершения операций без согласия клиента - физического лица, в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, по открытию и ведению счета (вклада) клиента - физического лица, предоставлению кредитов клиентам - физическим лицам, а также осуществлению переводов денежных средств по таким счетам по поручению клиентов - физических лиц без их личного присутствия:
1.1. при обработке, включая сбор, биометрических персональных данных на устройстве клиента - физического лица - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения целостности (подмены, удаления) информации о степени соответствия биометрических персональных данных гражданина Российской Федерации, предоставленным им биометрическим персональным данным в единой биометрической системе (далее - информация о степени соответствия) в целях передачи биометрических персональных данных в банки или единую биометрическую систему, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378, зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года N 33620 (далее - приказ ФСБ России N 378);
1.2. при сборе биометрических персональных данных в государственных органах, банках и иных организациях, включая сбор биометрических персональных данных и передачу собранных биометрических персональных данных между структурными подразделениями государственного органа, банка и иной организации, - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 приложения к приказу ФСБ России N 378 (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса) и в пункте 12 приложения к приказу ФСБ России N 378 (в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса);
1.3. при передаче собранных биометрических персональных данных между государственным органом, банком, иной организацией и единой биометрической системой:
1.3.1. угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ России N 378;
1.3.2. угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ России N 378;
1.4. при обработке информации о степени соответствия в банках - угроза нарушения целостности (подмены, удаления) информации о степени соответствия в банках, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ России N 378;
1.5. при передаче информации о степени соответствия между банком и единой биометрической системой:
1.5.1. угроза нарушения целостности (подмены, удаления) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ России N 378;
1.5.2. угроза нарушения конфиденциальности (компрометации) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ России N 378;
1.6. при обработке, хранении, проверке биометрических персональных данных, обработке и передаче информации о степени соответствия в единой биометрической системе - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), нарушения целостности (подмены, удаления) информации о степени соответствия, нарушения доступности (блокирования передачи) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ России N 378.
2. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА
Президент ПАО "Ростелеком"
М.Э.ОСЕЕВСКИЙ
Согласовано
Директор
Федеральной службы безопасности
Российской Федерации
А.В.БОРТНИКОВ
Директор
Федеральной службы по техническому
и экспортному контролю
В.В.СЕЛИН