Указание Банка России от 25.09.2023 N 6540-У О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

УКАЗАНИЕ

от 25 сентября 2023 г. N 6540-У

О ПЕРЕЧНЕ

УГРОЗ БЕЗОПАСНОСТИ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ БИОМЕТРИЧЕСКИХ

ПЕРСОНАЛЬНЫХ ДАННЫХ, ВЕКТОРОВ ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ,

ПРОВЕРКЕ И ПЕРЕДАЧЕ ИНФОРМАЦИИ О СТЕПЕНИ СООТВЕТСТВИЯ

ВЕКТОРОВ ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ ПРЕДОСТАВЛЕННЫМ

БИОМЕТРИЧЕСКИМ ПЕРСОНАЛЬНЫМ ДАННЫМ ФИЗИЧЕСКОГО ЛИЦА

ПРИ ВЗАИМОДЕЙСТВИИ ИНФОРМАЦИОННЫХ СИСТЕМ ОРГАНИЗАЦИЙ

ФИНАНСОВОГО РЫНКА С ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМОЙ

На основании пункта 1 части 4 статьи 7 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации":

1. Настоящее Указание определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка, указанных в части 1 статьи 3 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее соответственно - организации финансового рынка, Федеральный закон от 29 декабря 2022 года N 572-ФЗ), с единой биометрической системой с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных:

1.1. Угрозы безопасности, актуальные при сборе биометрических персональных данных и их передаче в целях размещения или обновления биометрических персональных данных в единой биометрической системе:

в головном офисе, филиалах или внутренних структурных подразделениях организаций финансового рынка, являющихся банками с универсальной лицензией или банками с базовой лицензией, указанными в пункте 5.6 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее - банки), с использованием стационарных средств вычислительной техники и банкоматов и при передаче собранных биометрических персональных данных между головным офисом, филиалами или внутренними структурными подразделениями банков - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации), нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 <1> (далее - Состав и содержание организационных и технических мер);

--------------------------------

<1> Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.

работниками банков с использованием планшетов и при передаче собранных биометрических персональных данных между планшетами и информационной инфраструктурой внутренних структурных подразделений банков - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации), нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер, в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 <2>, или с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.

--------------------------------

<2> Зарегистрирован Минюстом России 11 сентября 2020 года, регистрационный N 59772, с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 года N 68 (зарегистрирован Минюстом России 20 июля 2022 года, регистрационный N 69318).

1.2. Угрозы безопасности, актуальные при взаимодействии банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе:

угроза нарушения целостности (подмены, удаления), нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 Состава и содержания организационных и технических мер;

угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

1.3. Угрозы безопасности, актуальные при обработке (за исключением сбора) биометрических персональных данных, при проверке и передаче информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в единой биометрической системе (далее - информация о степени соответствия), при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой в целях идентификации физического лица в соответствии с частью 1 статьи 9 Федерального закона от 29 декабря 2022 года N 572-ФЗ и аутентификации физического лица в соответствии с частью 1 статьи 10 Федерального закона от 29 декабря 2022 года N 572-ФЗ:

1.3.1. При обработке биометрических персональных данных с использованием устройства физического лица, оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, и их передаче в единую биометрическую систему - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер.

1.3.2. При обработке биометрических персональных данных с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), принадлежащих организациям финансового рынка, и их передаче в единую биометрическую систему - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер, в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76, или с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.

1.3.3. При обработке биометрических персональных данных в головном офисе, филиалах или внутренних структурных подразделениях организаций финансового рынка с использованием стационарных средств вычислительной техники и банкоматов и их передаче в единую биометрическую систему - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.

1.3.4. При передаче биометрических персональных данных и информации о степени соответствия в организациях финансового рынка - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных и информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

1.3.5. При обработке информации о степени соответствия в организациях финансового рынка в целях идентификации физического лица в соответствии с частью 1 статьи 9 Федерального закона от 29 декабря 2022 года N 572-ФЗ:

угроза нарушения целостности (подмены, удаления) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 Состава и содержания организационных и технических мер;

угроза нарушения конфиденциальности (компрометации) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

1.3.6. При обработке информации о степени соответствия в организациях финансового рынка в целях аутентификации физического лица в соответствии с частью 1 статьи 10 Федерального закона от 29 декабря 2022 года N 572-ФЗ - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

1.4. Угрозы безопасности, актуальные при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой при передаче собранных биометрических персональных данных между осуществлявшими обработку биометрических персональных данных информационными системами организаций финансового рынка и единой биометрической системой в случае, указанном в части 14 статьи 4 Федерального закона от 29 декабря 2022 года N 572-ФЗ:

угроза нарушения целостности (подмены, удаления), нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 Состава и содержания организационных и технических мер;

угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

1.5. Угрозы безопасности, актуальные при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой при получении организациями финансового рынка в соответствии с пунктом 2 части 2 статьи 8 Федерального закона от 29 декабря 2022 года N 572-ФЗ векторов единой биометрической системы в целях аутентификации физического лица:

угроза нарушения целостности (подмены, удаления) векторов единой биометрической системы, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 13 Состава и содержания организационных и технических мер;

угроза нарушения конфиденциальности (компрометации) векторов единой биометрической системы, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

1.6. Угрозы безопасности, актуальные при предоставлении организациями финансового рынка в соответствии с частью 5 статьи 10 Федерального закона от 29 декабря 2022 года N 572-ФЗ в единую систему идентификации и аутентификации <1> сведений о физических лицах, содержащихся в информационных системах организаций финансового рынка, включая идентификаторы таких сведений, перед использованием единой биометрической системы для аутентификации - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

--------------------------------

<1> Пункт 5 статьи 2 Федерального закона от 29 декабря 2022 года N 572-ФЗ.

1.7. Угрозы безопасности, актуальные при направлении оператору единой биометрической системы в соответствии с пунктом 9 части 2 статьи 8, частью 3 статьи 15 Федерального закона от 29 декабря 2022 года N 572-ФЗ мотивированного запроса о предоставлении информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, основанного на обращении субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации (далее - информация о результате проверки соответствия), - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

1.8. Угрозы безопасности, актуальные при получении от оператора единой биометрической системы в соответствии с пунктом 9 части 2 статьи 8, частью 3 статьи 15 Федерального закона от 29 декабря 2022 года N 572-ФЗ информации о результате проверки соответствия - угроза нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) информации о результате проверки соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

2. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.

3. Со дня вступления в силу настоящего Указания признать утратившим силу Указание Банка России от 16 декабря 2021 года N 6017-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, при взаимодействии организаций финансового рынка с единой биометрической системой" <1>.

--------------------------------

<1> Зарегистрировано Минюстом России 31 января 2022 года, регистрационный N 67069.

Председатель Центрального банка

Российской Федерации

Э.С.НАБИУЛЛИНА

Согласовано

Директор

Федеральной службы безопасности

Российской Федерации

А.В.БОРТНИКОВ

Директор

Федеральной службы по техническому

и экспортному контролю

В.В.СЕЛИН

Министр цифрового развития,

связи и массовых коммуникаций

Российской Федерации

М.И.ШАДАЕВ

Генеральный директор

акционерного общества

"Центр Биометрических Технологий"

В.Ю.ПОВОЛОЦКИЙ