Глава 1. Общие положения

1.1. Настоящие Методические рекомендации разработаны в целях обеспечения единства подходов организаций финансового рынка, указанных в части 1 статьи 3 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее соответственно - организации финансового рынка, Федеральный закон от 29 декабря 2022 года N 572-ФЗ), к нейтрализации угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, определенных Указанием Банка России от 25 сентября 2023 года N 6541-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами" <1> (далее - угрозы безопасности биометрических персональных данных).

--------------------------------

<1> Зарегистрировано Минюстом России 26 октября 2023 года, регистрационный N 75743.

1.2. Организациям финансового рынка рекомендуется принимать меры, направленные на нейтрализацию угроз безопасности биометрических персональных данных, векторов единой биометрической системы, информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы (далее - информация о степени соответствия), при использовании информационных систем, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами на следующих технологических участках:

1.2.1. Обработки биометрических персональных данных и информации о степени соответствия с использованием стационарных средств вычислительной техники и банкоматов, принадлежащих организациям финансового рынка, а также обработки биометрических персональных данных с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), принадлежащих организациям финансового рынка, устройств физического лица, оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, в целях аутентификации физического лица с использованием биометрических персональных данных (далее - удаленная (дистанционная) аутентификация).

1.2.2. Обработки биометрических персональных данных, обработки, в том числе при получении и хранении, информации о степени соответствия, векторов единой биометрической системы в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации физического лица, а также для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации.

1.2.3. Взаимодействия информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с информационными системами организаций финансового рынка, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации физического лица.

1.2.4. Предоставления организациями финансового рынка в единую систему идентификации и аутентификации <1> сведений о физических лицах, содержащихся в информационных системах организаций финансового рынка, включая идентификаторы таких сведений, перед использованием информационных систем организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, для аутентификации физических лиц.

--------------------------------

<1> Федеральная государственная информационная система "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", обеспечивающая санкционированный доступ к информации, содержащейся в информационных системах (пункт 5 статьи 2 Федерального закона от 29 декабря 2022 года N 572-ФЗ).

1.3. Организациям финансового рынка рекомендуется обеспечить регистрацию действий, связанных с:

выполнением процедур идентификации, аутентификации, авторизации уполномоченных работников при доступе к объектам информационной инфраструктуры организаций финансового рынка, используемым на указанных в пункте 1.2 настоящих Методических рекомендаций технологических участках;

контролем обработки биометрических персональных данных в соответствии с целями, указанными в согласии физического лица на обработку его персональных данных и биометрических персональных данных;

назначением и изменением прав доступа уполномоченных работников к объектам информационной инфраструктуры организаций финансового рынка, используемым на указанных в пункте 1.2 настоящих Методических рекомендаций технологических участках;

уничтожением (удалением) биометрических персональных данных физических лиц на объектах информационной инфраструктуры организаций финансового рынка, используемых на указанных в пункте 1.2 настоящих Методических рекомендаций технологических участках;

формированием электронного сообщения, содержащего биометрические персональные данные физических лиц, для его передачи;

подписанием электронных сообщений, содержащих биометрические персональные данные физических лиц, а также информацию о степени соответствия.

1.4. Организациям финансового рынка рекомендуется обеспечить хранение информации о регистрируемых действиях, указанных в пункте 1.3 настоящих Методических рекомендаций, не менее 5 лет.

1.5. Организациям финансового рынка рекомендуется обеспечивать обработку и хранение вместе с векторами единой биометрической системы и биометрическими персональными данными следующей информации:

об идентификаторе учетной записи в единой системе идентификации и аутентификации физического лица, чьи биометрические данные хранятся в информационной системе организации финансового рынка;

о метках даты и времени размещения биометрических персональных данных в информационной системе организации финансового рынка;

о способе размещения биометрических персональных данных в единой биометрической системе, в результате преобразования которых были созданы передаваемые векторы единой биометрической системы;

о параметрах технических средств, с использованием которых осуществлялся процесс аутентификации физического лица и обработки параметров биометрических персональных данных.

1.6. Организациям финансового рынка рекомендуется связывать векторы единой биометрической системы и биометрические персональные данные с идентификатором учетной записи физического лица в информационных системах организаций финансового рынка и идентификатором в единой системе идентификации и аутентификации.

1.7. Организациям финансового рынка рекомендуется использовать средства, реализующие методы обнаружения атак на биометрическое предъявление, в соответствии с национальным стандартом Российской Федерации ГОСТ Р 58624.1-2019 (ИСО/МЭК 30107-1:2016) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 31 октября 2019 года N 850-ст <1>, национальным стандартом Российской Федерации ГОСТ Р 58624.2-2019 (ИСО/МЭК 30107-2:2017) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 2. Форматы данных", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 31 октября 2019 года N 851-ст <2>, и национальным стандартом Российской Федерации ГОСТ Р 58624.3-2019 (ИСО/МЭК 30107-3:2017) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2019 года N 1197-ст <3>.

--------------------------------

<1> М.: ФГУП "Стандартинформ", 2019.

<2> М.: ФГУП "Стандартинформ", 2019.

<3> М.: ФГУП "Стандартинформ", 2019.

1.8. Организациям финансового рынка рекомендуется на периодической основе не реже 1 раза в год осуществлять контроль состояния объектов информационной инфраструктуры, используемых на указанных в пункте 1.2 настоящих Методических рекомендаций технологических участках.

Организациям финансового рынка рекомендуется определить работников, ответственных за контроль состояния объектов информационной инфраструктуры, используемых на указанных в пункте 1.2 настоящих Методических рекомендаций технологических участках.

1.9. Организациям финансового рынка рекомендуется разработать отдельную политику обработки, хранения и использования биометрических персональных данных.

"Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами" (утв. Банком России 09.10.2024 N 19-МР) Глава 2. Меры, направленные на нейтрализацию угроз безопасности биометрических персональных данных на технологическом участке обработки биометрических персональных данных и информации о степени соответствия с использованием стационарных средств вычислительной техники и банкоматов, принадлежащих организациям финансового рынка, а также обработки биометрических персональных данных с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), принадлежащих организациям финансового рынка, устройств физического лица, оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, в целях удаленной (дистанционной) аутентификации