Законодательство РФ

Указание Банка России от 25.09.2023 N 6541-У О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

УКАЗАНИЕ

от 25 сентября 2023 г. N 6541-У

О ПЕРЕЧНЕ

УГРОЗ БЕЗОПАСНОСТИ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ БИОМЕТРИЧЕСКИХ

ПЕРСОНАЛЬНЫХ ДАННЫХ, ВЕКТОРОВ ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ,

ПРОВЕРКЕ И ПЕРЕДАЧЕ ИНФОРМАЦИИ О СТЕПЕНИ СООТВЕТСТВИЯ

ВЕКТОРОВ ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ ПРЕДОСТАВЛЕННЫМ

БИОМЕТРИЧЕСКИМ ПЕРСОНАЛЬНЫМ ДАННЫМ ФИЗИЧЕСКОГО ЛИЦА

В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНИЗАЦИЙ ФИНАНСОВОГО РЫНКА,

ОСУЩЕСТВЛЯЮЩИХ АУТЕНТИФИКАЦИЮ НА ОСНОВЕ БИОМЕТРИЧЕСКИХ

ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИХ ЛИЦ, ЗА ИСКЛЮЧЕНИЕМ

ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ, А ТАКЖЕ АКТУАЛЬНЫХ

ПРИ ВЗАИМОДЕЙСТВИИ ИНФОРМАЦИОННЫХ СИСТЕМ ОРГАНИЗАЦИЙ

ФИНАНСОВОГО РЫНКА, ИНЫХ ОРГАНИЗАЦИЙ, ИНДИВИДУАЛЬНЫХ

ПРЕДПРИНИМАТЕЛЕЙ С УКАЗАННЫМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ

На основании пункта 2 части 4 статьи 7 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации":

1. Настоящее Указание определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, указанных в части 1 статьи 3 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее соответственно - организации финансового рынка, Федеральный закон от 29 декабря 2022 года N 572-ФЗ) и осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных:

1.1. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, актуальные при обработке биометрических персональных данных с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), принадлежащих организациям финансового рынка, в целях аутентификации физического лица в соответствии с частями 1 и 4 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 <1> (далее - Состав и содержание организационных и технических мер), в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 <2>, или с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.

--------------------------------

<1> Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.

<2> Зарегистрирован Минюстом России 11 сентября 2020 года, регистрационный N 59772, с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 года N 68 (зарегистрирован Минюстом России 20 июля 2022 года, регистрационный N 69318).

1.2. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных и информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы (далее - информация о степени соответствия), актуальные при обработке биометрических персональных данных и информации о степени соответствия с использованием стационарных средств вычислительной техники и банкоматов, принадлежащих организациям финансового рынка, в целях аутентификации физического лица в соответствии с частями 1 и 4 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер.

1.3. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, актуальные при обработке биометрических персональных данных с использованием устройств физического лица, оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, в целях аутентификации физического лица в соответствии с частью 3 статьи 13 и частью 1 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер.

1.4. Угрозы безопасности, актуальные при обработке биометрических персональных данных, за исключением указанных в подпункте 1.5 настоящего пункта, а также при обработке, в том числе при получении и хранении, информации о степени соответствия, векторов единой биометрической системы в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации физического лица:

угроза нарушения целостности (подмены, удаления) биометрических персональных данных, информации о степени соответствия, векторов единой биометрической системы, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер;

угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, информации о степени соответствия, векторов единой биометрической системы (при их получении из единой биометрической системы), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

1.5. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных, актуальные при хранении используемых в целях аутентификации биометрических персональных данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в соответствии с пунктом 3 части 1 статьи 15 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

1.6. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) биометрических персональных данных и информации о степени соответствия, за исключением угроз, указанных в подпунктах 1.1 и 1.2 настоящего пункта, актуальные при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с информационными системами организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации физического лица в соответствии с частью 4 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

1.7. Угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при предоставлении организациями финансового рынка в соответствии с частью 6 статьи 16 Федерального закона от 29 декабря 2022 года N 572-ФЗ в единую систему идентификации и аутентификации <1> сведений о физических лицах, содержащихся в информационных системах организаций финансового рынка, включая идентификаторы таких сведений, перед использованием информационных систем организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, для аутентификации, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.

--------------------------------

<1> Пункт 5 статьи 2 Федерального закона от 29 декабря 2022 года N 572-ФЗ.

2. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.

3. Со дня вступления в силу настоящего Указания признать утратившим силу Указание Банка России от 16 декабря 2021 года N 6018-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами" <1>.

--------------------------------

<1> Зарегистрировано Минюстом России 30 декабря 2021 года, регистрационный N 66716.

Председатель Центрального банка

Российской Федерации

Э.С.НАБИУЛЛИНА

Согласовано

Директор

Федеральной службы безопасности

Российской Федерации

А.В.БОРТНИКОВ

Директор

Федеральной службы по техническому

и экспортному контролю

В.В.СЕЛИН

Министр цифрового развития, связи

и массовых коммуникаций

Российской Федерации

М.И.ШАДАЕВ

Генеральный директор

акционерного общества "Центр

Биометрических Технологий"

В.Ю.ПОВОЛОЦКИЙ



Популярные статьи и материалы
N 400-ФЗ от 28.12.2013

ФЗ о страховых пенсиях

N 69-ФЗ от 21.12.1994

ФЗ о пожарной безопасности

N 40-ФЗ от 25.04.2002

ФЗ об ОСАГО

N 273-ФЗ от 29.12.2012

ФЗ об образовании

N 79-ФЗ от 27.07.2004

ФЗ о государственной гражданской службе

N 275-ФЗ от 29.12.2012

ФЗ о государственном оборонном заказе

N2300-1 от 07.02.1992 ЗППП

О защите прав потребителей

N 273-ФЗ от 25.12.2008

ФЗ о противодействии коррупции

N 38-ФЗ от 13.03.2006

ФЗ о рекламе

N 7-ФЗ от 10.01.2002

ФЗ об охране окружающей среды

N 3-ФЗ от 07.02.2011

ФЗ о полиции

N 402-ФЗ от 06.12.2011

ФЗ о бухгалтерском учете

N 135-ФЗ от 26.07.2006

ФЗ о защите конкуренции

N 99-ФЗ от 04.05.2011

ФЗ о лицензировании отдельных видов деятельности

N 223-ФЗ от 18.07.2011

ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц

N 2202-1 от 17.01.1992

ФЗ о прокуратуре

N 127-ФЗ 26.10.2002

ФЗ о несостоятельности (банкротстве)

N 152-ФЗ от 27.07.2006

ФЗ о персональных данных

N 44-ФЗ от 05.04.2013

ФЗ о госзакупках

N 229-ФЗ от 02.10.2007

ФЗ об исполнительном производстве

N 53-ФЗ от 28.03.1998

ФЗ о воинской службе

N 395-1 от 02.12.1990

ФЗ о банках и банковской деятельности

ст. 333 ГК РФ

Уменьшение неустойки

ст. 317.1 ГК РФ

Проценты по денежному обязательству

ст. 395 ГК РФ

Ответственность за неисполнение денежного обязательства

ст 20.25 КоАП РФ

Уклонение от исполнения административного наказания

ст. 81 ТК РФ

Расторжение трудового договора по инициативе работодателя

ст. 78 БК РФ

Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам

ст. 12.8 КоАП РФ

Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения

ст. 161 БК РФ

Особенности правового положения казенных учреждений

ст. 77 ТК РФ

Общие основания прекращения трудового договора

ст. 144 УПК РФ

Порядок рассмотрения сообщения о преступлении

ст. 125 УПК РФ

Судебный порядок рассмотрения жалоб

ст. 24 УПК РФ

Основания отказа в возбуждении уголовного дела или прекращения уголовного дела

ст. 126 АПК РФ

Документы, прилагаемые к исковому заявлению

ст. 49 АПК РФ

Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение

ст. 125 АПК РФ

Форма и содержание искового заявления