Глава 3. Обеспечение информационной безопасности в процессе обработки запросов физических лиц и их персональных данных, а также информации о степени соответствия в целях проведения удаленной идентификации физического лица

3.1. В целях обеспечения информационной безопасности на технологическом участке удаленной идентификации клиента - физического лица банкам рекомендуется следующее.

3.1.1. Рекомендуется обеспечить использование прикладного программного обеспечения автоматизированных систем и приложений, распространяемых банками клиентам, для совершения действий в целях осуществления удаленной идентификации с использованием биометрических персональных данных, прошедшего проверку на отсутствие недекларированных возможностей и соответствующего 4-му уровню контроля отсутствия недекларированных возможностей согласно Руководящему документу "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей", введенному в действие приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. N 114, или сертифицированных в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к ОУД не ниже чем ОУД 4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013.

3.1.2. Банкам рекомендуется разработать памятку для клиента, описывающую особенности работы программного обеспечения для удаленной идентификации физического лица с использованием биометрических персональных данных на мобильном устройстве клиента и описание возможных действий клиента в случае компрометации ключей аутентификации.

3.1.3. Для обеспечения конфиденциальности передаваемой информации при взаимодействии с клиентом рекомендуется <4> применять СКЗИ класса не ниже КС1 на стороне клиента и рекомендуется применять СКЗИ класса не ниже КС3 на стороне банка.

--------------------------------

<4> Во исполнение требований пункта 1.1 Указания Банка России N 4859-У, пункта 10 приложения к приказу ФСБ России N 378.

3.1.4. Для осуществления контроля целостности и подтверждения подлинности электронных сообщений, содержащих результат идентификации физического лица (степени соответствия), на технологическом участке удаленной идентификации клиента - физического лица рекомендуется:

осуществлять обработку электронных сообщений, получаемых от ЕБС, содержащих результат идентификации физического лица (степени соответствия), с применением протокола на базе OpenID Connect, безопасная реализация которого в составе подсистемы обработки биометрических персональных данных подтверждена положительным заключением ФСБ России о соответствии требованиям по безопасности информации, с использованием СКЗИ класса не ниже КВ (средствами электронной подписи класса не ниже КВ2);

организовать работу по оценке влияния прикладного программного обеспечения и приложений, распространяемых банками клиентам для совершения действий в целях осуществления удаленной идентификации физического лица с использованием биометрических персональных данных, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований по классу не ниже КС1, в соответствии с пунктом 35 Положения ПКЗ-2005.

3.2. В целях обеспечения информационной безопасности на технологическом участке проверки результатов удаленной идентификации клиента - физического лица в ЕСИА и ЕБС банкам рекомендуется следующее.

3.2.1. Рекомендуется <5> осуществлять контроль целостности и подтверждения подлинности электронных сообщений, содержащих результаты идентификации физического лица (степени соответствия), путем их подписания УКЭП банка, реализуемой СКЗИ класса не ниже КВ (средствами электронной подписи класса не ниже КВ2).

--------------------------------

<5> Во исполнение требований пункта 1.4 Указания Банка России N 4859-У, пункта 13 приложения к приказу ФСБ России N 378.

3.2.2. Банкам рекомендуется обеспечивать функционирование объектов информационной инфраструктуры для выполнения действий, указанных в подпункте 3.2.1 настоящего пункта любым из способов, указанных в пункте 2.3.8 главы 2 настоящих методических рекомендаций, с применением протокола на базе OpenID Connect, безопасная реализация которого в составе подсистемы обработки биометрических персональных данных подтверждена положительным заключением ФСБ России о соответствии требованиям по безопасности информации.

3.2.3. Банкам рекомендуется обеспечить регистрацию действий, связанных с:

процессом взаимодействия с ЕСИА и ЕБС, реализуемого с применением протокола на базе OpenID Connect;

процессом проверки результатов удаленной идентификации клиента на основании информации о степени соответствия.

3.3. В целях обеспечения информационной безопасности на технологическом участке взаимодействия банка с ЕСИА и ЕБС банкам рекомендуется следующее.

3.3.1. Рекомендуется <6> обеспечивать конфиденциальность получаемой из ЕСИА и ЕБС информации, содержащей результаты идентификации физического лица (степени соответствия) на технологическом участке взаимодействия банка с ЕСИА и ЕБС, с применением СКЗИ класса не ниже КС3;

--------------------------------

<6> Во исполнение требований пункта 1.5.2 Указания Банка России N 4859-У, пункта 12 приложения к приказу ФСБ России N 378.

3.3.2. Банкам рекомендуется учитывать Методические рекомендации по работе с ЕСИА (размещены по адресу http://minsvyaz.ru/ru/documents/) и Методические рекомендации по работе с ЕБС (размещены по адресу https://bio.rt.ru/business/).