Указание № 3889-У определяет угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных кредитных организаций и некредитных финансовых организаций, указанных в части первой статьи 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (далее – Закон № 86-ФЗ). Напомним, что к числу некредитных финансовых организаций указанной статьей Закона № 86-ФЗ отнесены, в частности, лица, осуществляющие деятельность профессиональных участников рынка ценных бумаг, организатора торговли, негосударственных пенсионных фондов, микрофинансовых организаций, клиринговую деятельность.
Указание № 3889-У не определяет угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, относящихся к биометрическим персональным данным, персональным данным, полученным из общедоступных источников.
К угрозам безопасности персональных данных, актуальным при их обработке в информационных системах персональных данных, Указание № 3889-У относит, в частности, угрозу несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных; угрозу использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных.
Определение типа угроз безопасности персональных данных, актуальных для информационной системы персональных данных, как устанавливается Указанием № 3889-У, производится оператором информационной системы персональных данных в соответствии с пунктом 7 постановления Правительства РФ от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Отметим, что согласно указанному пункту данного постановления Правительства РФ, определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 данного Федерального закона.