ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УКАЗАНИЕ
от 30 августа 2023 г. N 6515-У
ОБ ОПРЕДЕЛЕНИИ
УГРОЗ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ СТРАХОВАНИЯ
Настоящее Указание на основании части 5 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и подпункта 6 пункта 7 статьи 33.10 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" определяет угрозы безопасности при обработке персональных данных в автоматизированной информационной системе страхования.
1. Угрозами безопасности при обработке персональных данных в автоматизированной информационной системе страхования (далее - АИС страхования) являются:
угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при передаче персональных данных между устройствами пользователей АИС страхования - физических лиц и АИС страхования, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 < 1 > (далее - Состав и содержание организационных и технических мер);
< 1 > Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.
угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при передаче персональных данных между устройствами пользователей АИС страхования (за исключением физических лиц) и АИС страхования, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер;
угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при обработке персональных данных в АИС страхования, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 11 Состава и содержания организационных и технических мер, в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 < 2 > , и возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер, в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76;
< 2 > Зарегистрирован Минюстом России 11 сентября 2020 года, регистрационный N 59772, с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 года N 68 (зарегистрирован Минюстом России 20 июля 2022 года, регистрационный N 69318).
угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при взаимодействии с АИС страхования работников оператора АИС страхования или иных лиц, осуществляющих обеспечение эксплуатации и (или) администрирование АИС страхования посредством удаленного логического доступа, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер;
угрозы нарушения целостности (подмены, удаления), нарушения конфиденциальности (компрометации) персональных данных, актуальные при передаче персональных данных при взаимодействии АИС страхования с федеральной государственной информационной системой "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" < 1 > , единой биометрической системой < 2 > , федеральной государственной информационной системой "Единый портал государственных и муниципальных услуг (функций)" < 3 > , информационными системами государственных органов, иных лиц, которым государством делегированы властные полномочия < 4 > , Банка России и иными информационными системами с использованием единой системы межведомственного электронного взаимодействия < 5 > , в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 12 Состава и содержания организационных и технических мер.
< 1 > Постановление Правительства Российской Федерации от 28 ноября 2011 года N 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".
< 2 > Положение о единой биометрической системе, в том числе о ее региональных сегментах, утвержденное постановлением Правительства Российской Федерации от 31 мая 2023 года N 883.
< 3 > Положение о федеральной государственной информационной системе "Единый портал государственных и муниципальных услуг (функций)", утвержденное постановлением Правительства Российской Федерации от 24 октября 2011 года N 861 "О федеральных государственных информационных системах, обеспечивающих предоставление в электронной форме государственных и муниципальных услуг (осуществление функций)".
< 4 > Распоряжение Правительства Российской Федерации от 31 мая 2023 года N 1431-р.
< 5 > Положение о единой системе межведомственного электронного взаимодействия, утвержденное постановлением Правительства Российской Федерации от 8 сентября 2010 года N 697.
2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 23 июня 2023 года N ПСД-23) вступает в силу с 1 апреля 2024 года.
Председатель Центрального банка
Российской Федерации
Согласовано
Директор
Федеральной службы безопасности
Российской Федерации
А.В.БОРТНИКОВ
Директор
Федеральной службы по техническому
и экспортному контролю
В.В.СЕЛИН