Глава 3. Меры, направленные на нейтрализацию угроз безопасности биометрических персональных данных на технологическом участке взаимодействия информационных систем банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе с использованием СМЭВ

3.1. Банкам рекомендуется размещать объекты информационной инфраструктуры банков, используемые на технологическом участке взаимодействия информационных систем банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе с использованием СМЭВ, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

3.2. Банкам для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей, предусмотренных пунктом 3.1 настоящих Методических рекомендаций, для которых применяются меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017, рекомендуется обеспечивать уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.

3.3. Банкам рекомендуется применять средства защиты информации, прошедшие сертификацию в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, не ниже 5-го класса защиты.

3.4. Банкам, являющимся системно значимыми кредитными организациями, рекомендуется применять средства защиты информации, прошедшие сертификацию в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, не ниже 4-го класса защиты.

3.5. Банкам рекомендуется обеспечивать целостность электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, на технологическом участке взаимодействия информационных систем банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе с использованием СМЭВ путем их подписания УКЭП, реализуемыми средствами электронной подписи класса не ниже КВ2, предусмотренными пунктом 13 Состава и содержания организационных и технических мер, а также пунктом 17 Требований к средствам электронной подписи, любым из следующих способов:

с использованием собственного решения;

с использованием типового решения по информационной безопасности;

с использованием решения поставщика услуг (облачного решения).

3.5.1. В случае использования собственного решения рекомендуется обеспечить:

получение квалифицированного сертификата ключа проверки электронной подписи банка, созданного в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" удостоверяющим центром, с применением средств удостоверяющего центра класса не ниже КВ2, предусмотренных пунктом 13 Состава и содержания организационных и технических мер, а также пунктом 13 Требований к средствам удостоверяющего центра, утвержденных приказом ФСБ России от 27 декабря 2011 года N 796;

встраивание программно-аппаратного модуля криптографической защиты (HSM), прошедшего оценку соответствия требованиям по безопасности информации к СКЗИ по классу не ниже КВ, предусмотренным пунктом 13 Состава и содержания организационных и технических мер, и средствам электронной подписи по классу не ниже КВ2, предусмотренным пунктом 17 Требований к средствам электронной подписи, в подсистему обработки биометрических персональных данных физических лиц в соответствии с требованиями, изложенными в эксплуатационной документации на программно-аппаратный модуль криптографической защиты (HSM), в соответствии с пунктом 35 Положения ПКЗ-2005;

создание в соответствии с пунктом 3.6 настоящей главы и использование доверенной среды функционирования информационной системы, взаимодействующей (формирующей вызовы) с программно-аппаратным модулем криптографической защиты (HSM), прошедшего оценку соответствия требованиям по безопасности информации к СКЗИ по классу не ниже КВ, предусмотренного пунктом 13 Состава и содержания организационных и технических мер, в процессе подписания электронных сообщений, содержащих биометрические персональные данные физических лиц, УКЭП, реализуемой средствами электронной подписи класса не ниже КВ2, предусмотренными пунктом 13 Состава и содержания организационных и технических мер, а также пунктом 17 Требований к средствам электронной подписи.

3.5.2. В случае использования согласованного с ФСБ России типового решения по информационной безопасности рекомендуется обеспечить:

взаимодействие между информационными системами банка и типовым решением по информационной безопасности по прикладным программным интерфейсам (API) в соответствии с документацией на типовое решение;

эксплуатацию типового решения по информационной безопасности в соответствии с документацией на него.

3.5.3. В случае использования решения поставщика услуг (облачного решения) рекомендуется обеспечить:

применение решения поставщика услуг (облачного решения), имеющего положительное заключение ФСБ России о соответствии решения поставщика услуг (облачного решения) требованиям по безопасности информации и включающего комплект эксплуатационной документации, согласованной ФСБ России;

криптографическую аутентификацию процессов при осуществлении доступа к информационной инфраструктуре решения поставщика услуг (облачного решения) с применением СКЗИ класса не ниже КС3, предусмотренных пунктом 12 Состава и содержания организационных и технических мер;

криптографическую аутентификацию уполномоченных сотрудников банка, а также криптографическое подтверждение достоверности и целостности электронного сообщения, содержащего биометрические персональные данные физического лица, с применением средств электронной подписи класса не ниже КС3, предусмотренных пунктом 12 Состава и содержания организационных и технических мер, а также пунктом 15 Требований к средствам электронной подписи;

использование решений поставщика услуг (облачного решения) в соответствии с эксплуатационной документацией, согласованной ФСБ России.

3.6. В случае применения банками решения, указанного в подпункте 3.5.1 пункта 3.5 настоящих Методических рекомендаций, банкам рекомендуется создавать доверенную среду функционирования информационной системы с использованием:

операционной системы, имеющей подтверждение соответствия Требованиям безопасности информации к операционным системам, утвержденным приказом ФСТЭК России от 19 августа 2016 года N 119 <1>, либо требованиям к средствам защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от несанкционированного доступа, установленным ФСБ России, по классу АК3;

--------------------------------

<1> Зарегистрирован Минюстом России 19 сентября 2016 года, регистрационный N 43691.

антивирусных средств, сертифицированных ФСТЭК России на соответствие требованиям к антивирусным средствам не менее чем 4-го класса защиты согласно Требованиям к средствам антивирусной защиты, утвержденным приказом ФСТЭК России от 20 марта 2012 года N 28 <1>;

--------------------------------

<1> Зарегистрирован Минюстом России 3 мая 2012 года, регистрационный N 24045.

средств межсетевого экранирования, сертифицированного ФСТЭК России на соответствие требованиям к устройствам типа межсетевой экран не менее чем 4-го класса защиты, с применением средства защиты информации от воздействий вредоносного кода, предназначенных для применения на серверах информационных систем (тип "А"), согласно Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 года N 9 <2>, а также средств защиты от компьютерных атак, сертифицированных ФСТЭК России на соответствие требованиям к программным, программно-аппаратным или аппаратным средствам типа "системы обнаружения вторжений" не менее чем 4-го класса защищенности согласно Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 года N 638 <3>, либо средств, совмещающих в себе межсетевой экран и систему обнаружения вторжения (NGFW) не ниже 4-го класса защищенности, сертифицированных согласно Требованиям по безопасности информации к многофункциональным межсетевым экранам уровня сети, утвержденным приказом ФСТЭК России от 7 марта 2023 года N 44 <4>;

--------------------------------

<2> Зарегистрирован Минюстом России 25 марта 2016 года, регистрационный N 41564.

<3> Зарегистрирован Минюстом России 1 февраля 2012 года, регистрационный N 23088.

<4> Зарегистрирован Минюстом России 14 июня 2023 года, регистрационный N 73832.

аппаратно-программных модулей доверенной загрузки уровня платы расширения, сертифицированных ФСТЭК России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ не ниже 4-го класса защиты согласно Требованиям к средствам доверенной загрузки, утвержденным приказом ФСТЭК России от 27 сентября 2013 года N 119 <5>, в информационной системе, взаимодействующей (формирующей вызовы) с программно-аппаратным модулем криптографической защиты (HSM);

--------------------------------

<5> Зарегистрирован Минюстом России 16 декабря 2013 года, регистрационный N 30604.

прикладного программного обеспечения, применяемого в доверенной среде, которое сертифицировано в системе сертификации ФСТЭК России в соответствии с порядком, установленным Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 года N 608 "О сертификации средств защиты информации", или прошло оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4, предусмотренного пунктом 7.6 раздела 7 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст <6> (далее - ГОСТ Р ИСО/МЭК 15408-3-2013);

--------------------------------

<6> М.: ФГУП "Стандартинформ", 2014.

результатов тематических исследований по оценке влияния, проводимых в соответствии с пунктом 35 Положения ПКЗ-2005, подсистемы обработки биометрических персональных данных физических лиц, совместно с которой предполагается штатное функционирование программно-аппаратного модуля криптографической защиты (HSM), на выполнение предъявленных к программно-аппаратному модулю криптографической защиты (HSM) требований по безопасности информации к СКЗИ по классу не ниже КВ, предусмотренного пунктом 13 Состава и содержания организационных и технических мер.

Доверенная среда функционирования информационной системы может быть создана с использованием специализированного программно-аппаратного средства (адаптера), обеспечивающего информационно-технологическое взаимодействие объектов информационной инфраструктуры банка с программно-аппаратным модулем криптографической защиты (HSM) и соответствующего описанию, приведенному в настоящем пункте.

3.7. В случае применения банками решения, указанного в подпункте 3.5.1 пункта 3.5 настоящих Методических рекомендаций, рекомендуется обеспечивать целостность биометрических персональных данных путем сверки электронных сообщений, содержащих биометрические персональные данные, входящих в сегмент вычислительной сети банков, в котором осуществляется их обработка, с исходящими из указанного сегмента вычислительной сети электронными сообщениями, содержащими биометрические персональные данные, в информационной инфраструктуре банка до их передачи в единую биометрическую систему с использованием СМЭВ.

3.8. В целях обеспечения конфиденциальности передаваемых электронных сообщений, содержащих биометрические персональные данные физических лиц, на технологическом участке взаимодействия информационных систем банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе с использованием СМЭВ банкам рекомендуется применять СКЗИ класса не ниже КС3, предусмотренные пунктом 12 Состава и содержания организационных и технических мер.

3.9. Банкам рекомендуется обеспечивать направление электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, в единую биометрическую систему с использованием СМЭВ <1> с учетом рекомендаций по работе со СМЭВ, размещенных в информационно-телекоммуникационной сети "Интернет" по адресу https://info.gosuslugi.ru/new/smev.

--------------------------------

<1> Обращаем внимание на необходимость соблюдения Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденных приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года N 210 "Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия" (зарегистрирован Минюстом России 25 августа 2015 года N 38668, с изменениями, внесенными приказом Министерства связи и массовых коммуникаций Российской Федерации от 22 февраля 2017 года N 71 (зарегистрирован Минюстом России 2 июня 2017 года, регистрационный N 46934).

3.10. Банкам рекомендуется обеспечить регистрацию действий, связанных с:

выполнением процедур сверки электронных сообщений, содержащих биометрические персональные данные, входящих в сегмент вычислительной сети банков, в котором осуществляется их обработка, с исходящими из указанного сегмента вычислительной сети электронными сообщениями, содержащими биометрические персональные данные;

подписанием УКЭП банка, реализуемой средствами электронной подписи класса не ниже КВ2, предусмотренными пунктом 13 Состава и содержания организационных и технических мер, а также пунктом 17 Требований к средствам электронной подписи, электронных сообщений, содержащих биометрические персональные данные физических лиц;

передачей электронных сообщений, содержащих биометрические персональные данные физических лиц, при направлении в единую биометрическую систему.

3.11. Банкам рекомендуется обеспечить хранение информации о регистрируемых действиях, указанных в пункте 3.10 настоящих Методических рекомендаций, не менее 5 лет.