Перечень угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона №149-ФЗ, в единой биометрической системе.
Угрозы безопасности, актуальные при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанные в абзаце первом части 1 статьи 14.1 Федерального закона №149-ФЗ, в единой биометрической системе, для проведения или создания условий для совершения операций без согласия клиента - физического лица, в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, по открытию и ведению счета (вклада) клиента - физического лица, предоставлению кредитов клиентам - физическим лицам, а также осуществлению переводов денежных средств по таким счетам по поручению клиентов - физических лиц без их личного присутствия:
Угрозы безопасности, актуальные при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанные в абзаце первом части 1 статьи 14.1 Федерального закона №149-ФЗ, в единой биометрической системе, для проведения или создания условий для совершения операций без согласия клиента - физического лица, в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, по открытию и ведению счета (вклада) клиента - физического лица, предоставлению кредитов клиентам - физическим лицам, а также осуществлению переводов денежных средств по таким счетам по поручению клиентов - физических лиц без их личного присутствия:
- при обработке, включая сбор, биометрических персональных данных на устройстве клиента - физического лица - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения целостности (подмены, удаления) информации о степени соответствия биометрических персональных данных гражданина Российской Федерации, предоставленным им биометрическим персональным данным в единой биометрической системе (далее - информация о степени соответствия) в целях передачи биометрических персональных данных в банки или единую биометрическую систему, в том числе путем реализации целенаправленных действий с использованием возможностей, которые нейтрализуются с применением СКЗИ класса КС1;
- при сборе биометрических персональных данных в государственных органах, банках и иных организациях, включая сбор биометрических персональных данных и передачу собранных биометрических персональных данных между структурными подразделениями государственного органа, банка и иной организации, - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, которые нейтрализуются с применением СКЗИ класса КС2 (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже 4 класса) и СКЗИ класса КС3 (в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже 4 класса);
- при передаче собранных биометрических персональных данных между государственным органом, банком, иной организацией и единой биометрической системой:
- угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей, которые нейтрализуются с применением СКЗИ класса КВ;
- угроза нарушения конфиденциальности (компрометации) биометрических персональных данных, в том числе путем реализации целенаправленных действий с использованием возможностей, которые нейтрализуются с применением СКЗИ класса КС3;
- при обработке информации о степени соответствия в банках - угроза нарушения целостности (подмены, удаления) информации о степени соответствия в банках, в том числе путем реализации целенаправленных действий с использованием возможностей, которые нейтрализуются с применением СКЗИ класса КВ;
- при передаче информации о степени соответствия между банком и единой биометрической системой:
- угроза нарушения целостности (подмены, удаления) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, которые нейтрализуются с применением СКЗИ класса КВ;
- угроза нарушения конфиденциальности (компрометации) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, которые нейтрализуются с применением СКЗИ класса КС3;
- при обработке, хранении, проверке биометрических персональных данных, обработке и передаче информации о степени соответствия в единой биометрической системе - угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), нарушения целостности (подмены, удаления) информации о степени соответствия, нарушения доступности (блокирования передачи) информации о степени соответствия, в том числе путем реализации целенаправленных действий с использованием возможностей, которые нейтрализуются с применением СКЗИ класса КВ.
Источники
- Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Указание Банка России №4859-У, Публичного акционерного общества «Ростелеком» №01/01/782-18 от 09.07.2018 «О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», в единой биометрической системе»;
- Приказ ФСБ России от 10.07.2014 №378.