Глава 2. Меры, направленные на нейтрализацию угроз безопасности биометрических персональных данных на технологическом участке обработки биометрических персональных данных и информации о степени соответствия с использованием стационарных средств вычислительной техники и банкоматов, принадлежащих организациям финансового рынка, а также обработки биометрических персональных данных с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), принадлежащих организациям финансового рынка, устройств физического лица, оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, в целях удаленной (дистанционной) аутентификации

2.1. Организациям финансового рынка рекомендуется обеспечивать целостность и конфиденциальность электронных сообщений, содержащих биометрические персональные данные физических лиц, при обработке биометрических персональных данных с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), принадлежащих организациям финансового рынка, путем применения средств криптографической защиты информации (далее - СКЗИ) класса не ниже КС1, предусмотренных пунктом 10 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 <4> (далее - Состав и содержание организационных и технических мер), в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4-го уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 <1>, или применения СКЗИ класса не ниже КС2, предусмотренных пунктом 11 Состава и содержания организационных и технических мер, в иных случаях.

--------------------------------

<4> Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.

<1> Зарегистрирован Минюстом России 11 сентября 2020 года, регистрационный N 59772, с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 года N 68 (зарегистрирован Минюстом России 20 июля 2022 года, регистрационный N 69318).

2.2. Организациям финансового рынка рекомендуется обеспечивать целостность и конфиденциальность электронных сообщений, содержащих биометрические персональные данные физических лиц и информацию о степени соответствия, при обработке биометрических персональных данных и информации о степени соответствия с использованием стационарных средств вычислительной техники и банкоматов, принадлежащих организациям финансового рынка, путем применения СКЗИ класса не ниже КС2, предусмотренных пунктом 11 Состава и содержания организационных и технических мер, а также пунктом 14 Требований к средствам электронной подписи, утвержденных приказом Федеральной службы безопасности Российской Федерации от 27 декабря 2011 года N 796 <2> (далее - Требования к средствам электронной подписи).

--------------------------------

<2> Зарегистрирован Минюстом России 9 февраля 2012 года, регистрационный N 23191, с изменениями, внесенными приказом ФСБ России от 4 декабря 2020 года N 555 (зарегистрирован Минюстом России 30 декабря 2020 года, регистрационный N 61972), приказом ФСБ России от 13 апреля 2021 года N 142 (зарегистрирован Минюстом России 20 мая 2021 года, регистрационный N 63528), приказом ФСБ России от 13 апреля 2022 года N 179 (зарегистрирован Минюстом России 11 мая 2022 года, регистрационный N 68446).

2.3. Организациям финансового рынка рекомендуется обеспечивать целостность и конфиденциальность электронных сообщений, содержащих биометрические персональные данные физических лиц, при обработке биометрических персональных данных с использованием устройств физического лица, оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, в целях аутентификации физического лица путем применения СКЗИ класса не ниже КС1, предусмотренных пунктом 10 Состава и содержания организационных и технических мер.

2.4. Организациям финансового рынка рекомендуется обеспечить использование прикладного программного обеспечения автоматизированных систем и приложений, распространяемых организациями финансового рынка клиентам - физическим лицам для совершения действий в целях осуществления удаленной (дистанционной) аутентификации с использованием биометрических персональных данных физических лиц, прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю в соответствии с порядком, установленным постановлением Правительства Российской Федерации от 26 июня 1995 года N 608 "О сертификации средств защиты информации", или оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4, предусмотренного пунктом 7.6 раздела 7 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст <3> (далее - ГОСТ Р ИСО/МЭК 15408-3-2013).

--------------------------------

<3> М.: ФГУП "Стандартинформ", 2014.

2.5. Организациям финансового рынка рекомендуется разработать памятку, описывающую особенности работы программного обеспечения для аутентификации физического лица с использованием биометрических персональных данных на устройстве физического лица и возможные действия физического лица в случае реализации событий, связанных с компрометацией. Памятка также должна содержать основные положения эксплуатационной документации используемых программных и (или) программно-аппаратных средств на устройстве клиента.

2.6. Организациям финансового рынка рекомендуется осуществлять контроль среды исполнения на устройствах физического лица, а также осуществлять сбор и хранение цифровых отпечатков таких устройств в соответствии со стандартом Банка России СТО БР БФБО-1.7-2023 "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств", который принят и введен в действие приказом Банка России от 1 марта 2023 года N ОД-335 и размещен на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" в разделе "Информационная безопасность"/"Стандарты Банка России".