Указание Центрального банка Российской Федерации от 10.12.2015 № 3889-У

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

(БАНК РОССИИ)

УКАЗАНИЕ

от 10 декабря 2015 г. № 3889-У

г. Москва

об определении угроз безопасности персональных данных,

актуальных при обработке персональных данных

в информационных системах персональных данных

Зарегистрировано Минюстом России 18 марта 2016 года Регистрационный № 41455

1. На основании Федерального закона от 27 июля 2006 года № 152-ФЗ “О персональных данных” (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; 2011, № 23, ст. 3263; № 31, ст. 4701; 2013, № 14, ст. 1651; № 30, ст. 4038; № 51, ст. 6683; 2014, № 23, ст. 2927; № 30, ст. 4217, ст. 4243) и Федерального закона от 10 июля 2002 года № 86-ФЗ “О Центральном банке Российской Федерации (Банке России)” (Собрание законодательства Российской Федерации, 2002, № 28, ст. 2790; 2003, № 2, ст. 157; № 52, ст. 5032; 2004, № 27, ст. 2711; № 31, ст. 3233; 2005, № 25, ст. 2426; № 30, ст. 3101; 2006, № 19, ст. 2061; № 25, ст. 2648; 2007, № 1, ст. 9, ст. 10; № 10, ст. 1151; № 18, ст. 2117; 2008, № 42, ст. 4696, ст. 4699; № 44, ст. 4982; № 52, ст. 6229, ст. 6231; 2009, № 1, ст. 25; № 29, ст. 3629; № 48, ст. 5731; 2010, № 45, ст. 5756; 2011, № 7, ст. 907; № 27, ст. 3873; № 43, ст. 5973; № 48, ст. 6728; 2012, № 50, ст. 6954; № 53, ст. 7591, ст. 7607; 2013, № 11, ст. 1076; № 14, ст. 1649; № 19, ст. 2329; № 27, ст. 3438, ст. 3476, ст. 3477; № 30, ст. 4084; № 49, ст. 6336; № 51, ст. 6695, ст. 6699; № 52, ст. 6975; 2014, № 19, ст. 2311, ст. 2317; № 27, ст. 3634; № 30, ст. 4219; № 45, ст. 6154; № 52, ст. 7543; 2015, № 1, ст. 4, ст. 37; № 27, ст. 3958, ст. 4001; № 29, ст. 4348; № 41, ст. 5639) настоящее Указание определяет угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных кредитных организаций и некредитных финансовых организаций, указанных в части первой статьи 76¹ Федерального закона от10 июля 2002 года № 86-ФЗ “О Центральном банке Российской Федерации (Банке России)”.

2. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе персональных данных, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение  персональных данных, а также иные неправомерные действия¹.

3. Настоящее Указание не определяет угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, относящихся к биометрическим персональным данным,      персональным данным, полученным из общедоступных источников.

4. Угрозами безопасности персональных данных, актуальными при их обработке в информационных системах персональных данных, являются в том числе:

угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;

угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;

угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;

угроза несанкционированного доступа к отчуждаемым носителям персональных данных;

угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;

угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в организации защиты персональных данных;          

угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных;

угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;

угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных;

угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации.

5. Определение типа угроз безопасности персональных данных, актуальных для информационной системы персональных данных, производится оператором информационной системы персональных данных в соответствии с пунктом 7 постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных” (Собрание законодательства Российской Федерации, 2012, № 45, ст. 6257).

6. Настоящее Указание вступает в силу по истечении 10 дней после дня его опубликования в “Вестнике Банка России”.

Председатель                                                                 

Центрального банка

Российской Федерации                         Э.С. НАБИУЛЛИНА

СОГЛАСОВАНО

Директор

Федеральной службы

безопасности

Российской Федерации                       А.В. БОРТНИКОВ   

Директор   

Федеральной службы    

по техническому      

и экспортному контролю                            В.В. СЕЛИН

^{________________________________________________________}

¹ Пункт 6 постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.