ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УКАЗАНИЕ
от 30 августа 2023 г. N 6515-У
ОБ ОПРЕДЕЛЕНИИ
УГРОЗ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ СТРАХОВАНИЯ
Настоящее Указание на основании части 5 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и подпункта 6 пункта 7 статьи 33.10 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" определяет угрозы безопасности при обработке персональных данных в автоматизированной информационной системе страхования.
1. Угрозами безопасности при обработке персональных данных в автоматизированной информационной системе страхования (далее - АИС страхования) являются:
угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при передаче персональных данных между устройствами пользователей АИС страхования - физических лиц и АИС страхования, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 <1> (далее - Состав и содержание организационных и технических мер);
--------------------------------
<1> Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.
угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при передаче персональных данных между устройствами пользователей АИС страхования (за исключением физических лиц) и АИС страхования, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер;
угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при обработке персональных данных в АИС страхования, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер, в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 <2>, и возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер, в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76;
--------------------------------
<2> Зарегистрирован Минюстом России 11 сентября 2020 года, регистрационный N 59772, с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 года N 68 (зарегистрирован Минюстом России 20 июля 2022 года, регистрационный N 69318).
угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при взаимодействии с АИС страхования работников оператора АИС страхования или иных лиц, осуществляющих обеспечение эксплуатации и (или) администрирование АИС страхования посредством удаленного логического доступа, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер;
угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при передаче персональных данных при взаимодействии АИС страхования с федеральной государственной информационной системой "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" <1>, единой биометрической системой <2>, федеральной государственной информационной системой "Единый портал государственных и муниципальных услуг (функций)" <3>, информационными системами государственных органов, иных лиц, которым государством делегированы властные полномочия <4>, Банка России и иными информационными системами с использованием единой системы межведомственного электронного взаимодействия <5>, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
--------------------------------
<1> Постановление Правительства Российской Федерации от 28 ноября 2011 года N 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".
<2> Положение о единой биометрической системе, в том числе о ее региональных сегментах, утвержденное постановлением Правительства Российской Федерации от 31 мая 2023 года N 883.
<3> Положение о федеральной государственной информационной системе "Единый портал государственных и муниципальных услуг (функций)", утвержденное постановлением Правительства Российской Федерации от 24 октября 2011 года N 861 "О федеральных государственных информационных системах, обеспечивающих предоставление в электронной форме государственных и муниципальных услуг (осуществление функций)".
<4> Распоряжение Правительства Российской Федерации от 31 мая 2023 года N 1431-р.
<5> Положение о единой системе межведомственного электронного взаимодействия, утвержденное постановлением Правительства Российской Федерации от 8 сентября 2010 года N 697.
2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 23 июня 2023 года N ПСД-23) вступает в силу с 1 апреля 2024 года.
Председатель Центрального банка
Российской Федерации
Согласовано
Директор
Федеральной службы безопасности
Российской Федерации
А.В.БОРТНИКОВ
Директор
Федеральной службы по техническому
и экспортному контролю
В.В.СЕЛИН
+7 (812) 309-95-68 - для жителей Санкт-Петербурга и Ленинградской области