Указание Банка России от 25.09.2023 N 6541-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами" (Зарегистрировано в Минюсте России 26.10.2023 N 75743)
Зарегистрировано в Минюсте России 26 октября 2023 г. N 75743
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
от 25 сентября 2023 г. N 6541-У
УГРОЗ БЕЗОПАСНОСТИ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ВЕКТОРОВ ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ,
ПРОВЕРКЕ И ПЕРЕДАЧЕ ИНФОРМАЦИИ О СТЕПЕНИ СООТВЕТСТВИЯ
ВЕКТОРОВ ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ ПРЕДОСТАВЛЕННЫМ
БИОМЕТРИЧЕСКИМ ПЕРСОНАЛЬНЫМ ДАННЫМ ФИЗИЧЕСКОГО ЛИЦА
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНИЗАЦИЙ ФИНАНСОВОГО РЫНКА,
ОСУЩЕСТВЛЯЮЩИХ АУТЕНТИФИКАЦИЮ НА ОСНОВЕ БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИХ ЛИЦ, ЗА ИСКЛЮЧЕНИЕМ
ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ, А ТАКЖЕ АКТУАЛЬНЫХ
ПРИ ВЗАИМОДЕЙСТВИИ ИНФОРМАЦИОННЫХ СИСТЕМ ОРГАНИЗАЦИЙ
ФИНАНСОВОГО РЫНКА, ИНЫХ ОРГАНИЗАЦИЙ, ИНДИВИДУАЛЬНЫХ
ПРЕДПРИНИМАТЕЛЕЙ С УКАЗАННЫМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ
На основании пункта 2 части 4 статьи 7 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации":
1. Настоящее Указание определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, указанных в части 1 статьи 3 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее соответственно - организации финансового рынка, Федеральный закон от 29 декабря 2022 года N 572-ФЗ) и осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных:
1.1. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, актуальные при обработке биометрических персональных данных с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), принадлежащих организациям финансового рынка, в целях аутентификации физического лица в соответствии с частями 1 и 4 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 <1> (далее - Состав и содержание организационных и технических мер), в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 <2>, или с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.
--------------------------------
<1> Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.
<2> Зарегистрирован Минюстом России 11 сентября 2020 года, регистрационный N 59772, с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 года N 68 (зарегистрирован Минюстом России 20 июля 2022 года, регистрационный N 69318).
1.2. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных и информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы (далее - информация о степени соответствия), актуальные при обработке биометрических персональных данных и информации о степени соответствия с использованием стационарных средств вычислительной техники и банкоматов, принадлежащих организациям финансового рынка, в целях аутентификации физического лица в соответствии с частями 1 и 4 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.
1.3. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, актуальные при обработке биометрических персональных данных с использованием устройств физического лица, оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, в целях аутентификации физического лица в соответствии с частью 3 статьи 13 и частью 1 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер.
1.4. Угрозы безопасности, актуальные при обработке биометрических персональных данных, за исключением указанных в подпункте 1.5 настоящего пункта, а также при обработке, в том числе при получении и хранении, информации о степени соответствия, векторов единой биометрической системы в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации физического лица:
угроза нарушения целостности (подмены, удаления) биометрических персональных данных, информации о степени соответствия, векторов единой биометрической системы, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер;
угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, информации о степени соответствия, векторов единой биометрической системы (при их получении из единой биометрической системы), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
1.5. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, актуальные при хранении используемых в целях аутентификации биометрических персональных данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в соответствии с пунктом 3 части 1 статьи 15 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
1.6. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных и информации о степени соответствия, за исключением угроз, указанных в подпунктах 1.1 и 1.2 настоящего пункта, актуальные при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с информационными системами организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации физического лица в соответствии с частью 4 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
1.7. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при предоставлении организациями финансового рынка в соответствии с частью 6 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ в единую систему идентификации и аутентификации <1> сведений о физических лицах, содержащихся в информационных системах организаций финансового рынка, включая идентификаторы таких сведений, перед использованием информационных систем организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, для аутентификации, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
--------------------------------
<1> Пункт 5 статьи 2 Федерального закона от 29 декабря 2022 года N 572-ФЗ.
2. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.
3. Со дня вступления в силу настоящего Указания признать утратившим силу Указание Банка России от 16 декабря 2021 года N 6018-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами" <1>.
--------------------------------
<1> Зарегистрировано Минюстом России 30 декабря 2021 года, регистрационный N 66716.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА
Федеральной службы безопасности
Российской Федерации
А.В.БОРТНИКОВ
Федеральной службы по техническому
и экспортному контролю
В.В.СЕЛИН
Министр цифрового развития, связи
и массовых коммуникаций
Российской Федерации
М.И.ШАДАЕВ
акционерного общества "Центр
Биометрических Технологий"
В.Ю.ПОВОЛОЦКИЙ
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей