Минцифры разработало проект приказа об утверждении перечня угроз безопасности. Прежде всего это касается тех, что возникают при обработке биометрических персональных данных, а также проверке и передаче информации о степени их соответствия с предоставленными данными лица в информационных системах организаций, которые осуществляют аутентификацию на основе биометрических данных. К ним не относятся организации финансового рынка и единая биометрическая система. Приказ также затрагивает угрозы, актуальные при взаимодействии информационных систем государственных органов, органов местного самоуправления, Центрального банка РФ и т. д.
Проект разработан взамен приказа Минцифры от 1 сентября 2021 г. № 902 "Об утверждении перечня угроз безопасности...". В проекте приказа скорректированы требования к обеспечению информационной безопасности в связи с тем, что в коммерческих биометрических системах запрещено хранение персональных данных, а разрешена только обработка векторов единой биометрической системы.
В перечень включены следующие угрозы:
1. Нарушение целостности (подмены, удаления) конфиденциальности биометрических персональных данных на пользовательском оборудовании клиента для их обработки в целях идентификации физического лица;
2. Нарушение безопасности персональных данных и информации о степени их соответствия в информационных системах организаций, осуществляющих аутентификацию на основе биометриии:
2.1. угроза нарушения целостности данных;
2.2. угроза несанкционированного доступа к защищаемой информации и иным служебным данным, в том числе с помощью
использования уязвимостей архитектуры, систем и сетей, внедрения вредоносного программного обеспечения, использования недекларированных возможностей ПО или программно-аппаратных средств, ошибочных действий в ходе создания и эксплуатации систем и сетей, в том числе при установке, настройке программных и программно-аппаратных средств;
3. Нарушение целостности представленных биометрических персональных данных на стационарных устройствах информационной системы организации, осуществляющей аутентификацию на основе этих данных;
4. Угрозы безопасности, актуальные при взаимодействии госорганов, органов местного самоуправления, Центрального банка РФ и иных организаций организаций, осуществляющих аутентификацию на основе биометрических данных:
4.1. Нарушение целостности данных и информации о степени соответствия;
4.2. Нарушение конфиденциальности данных.
- Войдите или зарегистрируйтесь, чтобы оставлять комментарии