Перечень угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в банке, определено Банком России в Указании от 09.07.2018 № 4859-У.
В таблице ниже представлена Модель угроз ИБ, актуальных при обработке биометрических персональных данных в банке, их проверке в Единой биометрической системе (ЕБС) и передаче информации о степени их соответствия в ЕБС.
Таблица "МОДЕЛЬ УГРОЗ ИБ, АКТУАЛЬНЫХ ПРИ ОБРАБОТКЕ (ВКЛЮЧАЯ СБОР И ХРАНЕНИЕ) БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКЕ, ИХ ПРОВЕРКЕ И ПЕРЕДАЧЕ ИНФОРМАЦИИ О СТЕПЕНИ ИХ СООТВЕТСТВИЯ В ЕБС"
Источник угрозы безопасности при обработке биометрических ПДн | Уровень реализации угрозы безопасности при обработке биометрических ПДн | Типы объектов среды | Способ реализации угрозы (защитная мера) | Последствия реализации угрозы |
Внешние и (или) внутренние нарушители безопасности информации, осуществляющие целенаправленные действия | При обработке (включая сбор) биометрических ПДн | Устройство клиента - физического лица | Целенаправленные действия с использованием возможностей, указанных в пункте 10 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту устройства клиента с использованием СКЗИ класса КС1) | - нарушение целостности (подмена, удаление) биометрических ПДн; - нарушение конфиденциальности (компрометация) биометрических ПДн; - нарушение целостности (подмена, удаление) информации о степени соответствия. |
При сборе биометрических ПДн в Банке, включая сбор биометрических ПДн и передачу собранных биометрических ПДн между структурными подразделениями Банка | Каналы связи между подразделениями Банка и ЦОД Банка | Целенаправленные действия с использованием возможностей, указанных в пункте 11 или указанных в пункте 12 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту каналов связи внутри Банка (между оператором Банка и ЦОД Банка) с поддержкой ГОСТ: -с использованием СКЗИ класса КС2 (в случае применения средств (систем) защиты информации от НСД, прошедших оценку соответствия требованиям по безопасности информации не ниже четвертого класса) или - с использованием СКЗИ класса КС3 | - нарушение целостности (подмена, удаление) биометрических ПДн; - нарушение конфиденциальности (компрометация) биометрических ПД; - нарушение достоверности биометрических ПДн (внесение фиктивных биометрических ПДн). | |
При передаче собранных биометрических ПДн между Банком и ЕБС | Каналы связи между Банком и ЕБС | Целенаправленные действия с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ РФ № 378378 (необходимо обеспечить защиту каналов связи между Банком и ЕБС с использованием СКЗИ класса КВ) Целенаправленные действия с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КС3) | - нарушение целостности (подмена, удаление) биометрических ПДн; - нарушение достоверности биометрических ПДн (внесение фиктивных биометрических персональных данных); - нарушение конфиденциальности (компрометация) биометрических ПДн. | |
При обработке информации о степени соответствия в Банке | Рабочие места операторов в Банке | Целенаправленные действия с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КВ) | - нарушение целостности (подмена, удаление) информации о степени соответствия в банк. | |
При передаче информации о степени соответствия между Банком и ЕБС | Каналы связи между Банком и ЕБС | Целенаправленные действия с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КВ) Целенаправленные действия с использованием возможностей, указанных в пункте 12 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КС3) | - нарушение целостности (подмена, удаление) информации о степени соответствия; - нарушение конфиденциальности (компрометация) информации о степени соответствия. | |
При обработке, хранении, проверке биометрических ПДн, обработке и передаче информации о степени соответствия в ЕБС | ЕБС | Целенаправленные действия с использованием возможностей, указанных в пункте 13 приложения к приказу ФСБ РФ № 378 (необходимо обеспечить защиту с использованием СКЗИ класса КВ) | - нарушение целостности (подмена, удаление) биометрических ПДн; - нарушение конфиденциальности (компрометация) биометрических ПДн; - нарушение достоверности биометрических ПДн (внесение фиктивных биометрических ПДн); - нарушение целостности (подмена, удаление) информации о степени соответствия; - нарушение доступности (блокирование передачи) информации о степени соответствия. |