Глава 2. Меры, направленные на нейтрализацию угроз безопасности биометрических персональных данных на технологическом участке сбора биометрических персональных данных

2.1. Банкам рекомендуется применять меры, направленные на нейтрализацию угроз безопасности биометрических персональных данных, при сборе биометрических персональных данных физических лиц при личном присутствии клиента работниками банков:

в головном офисе, филиалах или внутренних структурных подразделениях банков с использованием стационарных средств вычислительной техники и банкоматов;

с использованием планшетов.

2.2. В целях нейтрализации угроз безопасности биометрических персональных данных на технологическом участке сбора биометрических персональных данных физических лиц банкам рекомендуется:

2.2.1. Размещать объекты информационной инфраструктуры, используемые на технологическом участке сбора биометрических персональных данных, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

2.2.2. Для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей, в отношении которых применяются меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным и введенным в действие приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст <2> (далее - ГОСТ Р 57580.1-2017), рекомендуется обеспечивать уровень соответствия не ниже четвертого в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденным и введенным в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст <3> (далее - ГОСТ Р 57580.2-2018).

--------------------------------

<2> М.: ФГУП "Стандартинформ", 2017.

<3> М.: ФГУП "Стандартинформ", 2018.

2.2.3. Применять средства защиты информации, прошедшие сертификацию в системе сертификации ФСТЭК России, на соответствие требованиям по безопасности информации не ниже 5-го класса защиты.

2.2.4. Применять СКЗИ, имеющие подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.

2.2.5. Обеспечить информирование сотрудников, осуществляющих сбор биометрических персональных данных физических лиц (далее - уполномоченный сотрудник), о регистрации (протоколировании) информации об их действиях при сборе и обработке биометрических персональных данных физических лиц и о последствиях нарушения правил обработки персональных данных физических лиц в соответствии с законодательством Российской Федерации.

2.2.6. В целях реализации запретов на хранение используемых в целях идентификации и (или) аутентификации биометрических персональных данных, установленных пунктами 1 и 2 части 1 статьи 15 Федерального закона от 29 декабря 2022 года N 572-ФЗ, исключить возможность хранения биометрических персональных данных физических лиц на устройствах, предназначенных для сбора биометрических персональных данных, после размещения биометрических персональных данных физического лица в единой биометрической системе.

2.2.7. Обеспечить контроль физической безопасности устройств сбора биометрических персональных данных для ограничения несанкционированного физического доступа к содержимому устройства и предотвращения несанкционированного использования или модификации устройства (включая замену всего устройства) на всех этапах жизненного цикла устройства.

2.3. При сборе биометрических персональных данных физических лиц в головном офисе, филиалах или внутренних структурных подразделениях банков с использованием стационарных средств вычислительной техники и банкоматов, а также при передаче собранных биометрических персональных данных между головным офисом, филиалами или внутренними структурными подразделениями банков банкам рекомендуется:

обеспечивать целостность электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, путем их подписания усиленной квалифицированной электронной подписью (далее - УКЭП), реализуемой средствами электронной подписи класса не ниже КС3, предусмотренными пунктом 12 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом ФСБ России от 10 июля 2014 года N 378 <1> (далее - Состав и содержание организационных и технических мер), а также пунктом 15 Требований к средствам электронной подписи, утвержденных приказом ФСБ России от 27 декабря 2011 года N 796 <2> (далее - Требования к средствам электронной подписи);

--------------------------------

<1> Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.

<2> Зарегистрирован Минюстом России 9 февраля 2012 года, регистрационный N 23191, с изменениями, внесенными приказом ФСБ России от 4 декабря 2020 года N 555 (зарегистрирован Минюстом России 30 декабря 2020 года, регистрационный N 61972), приказом ФСБ России от 13 апреля 2021 года N 142 (зарегистрирован Минюстом России 20 мая 2021 года, регистрационный N 63528), приказом ФСБ России от 13 апреля 2022 года N 179 (зарегистрирован Минюстом России 11 мая 2022 года, регистрационный N 68446).

обеспечивать конфиденциальность электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, путем применения СКЗИ класса не ниже КС3, предусмотренных пунктом 12 Состава и содержания организационных и технических мер.

2.4. При сборе биометрических персональных данных физических лиц работниками банков с использованием планшетов и при передаче собранных биометрических персональных данных между планшетами и информационной инфраструктурой внутренних структурных подразделений банков банкам рекомендуется:

обеспечивать целостность электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, путем их подписания УКЭП, реализуемой средствами электронной подписи класса не ниже КС1, предусмотренными пунктом 10 Состава и содержания организационных и технических мер, а также пунктом 13 Требований к средствам электронной подписи, в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4-го уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 <1> (далее - Требования по безопасности информации, устанавливающие уровни доверия), или путем их подписания УКЭП, реализуемой средствами электронной подписи класса не ниже КС2, предусмотренными пунктом 11 Состава и содержания организационных и технических мер, в иных случаях, а также пунктом 14 Требований к средствам электронной подписи;

--------------------------------

<1> Зарегистрирован Минюстом России 11 сентября 2020 года, регистрационный N 59772, с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 года N 68 (зарегистрирован Минюстом России 20 июля 2022 года, регистрационный N 69318).

обеспечивать конфиденциальность электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, путем применения СКЗИ класса не ниже КС1, предусмотренных пунктом 10 Состава и содержания организационных и технических мер, в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4-го уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия, или путем применения СКЗИ класса не ниже КС2, предусмотренных пунктом 11 Состава и содержания организационных и технических мер, в иных случаях.

2.5. Банкам рекомендуется обеспечить регистрацию действий, связанных с:

назначением и изменением прав доступа уполномоченных сотрудников к объектам информационной инфраструктуры банка, используемым для сбора биометрических персональных данных физических лиц;

выполнением процедур идентификации, аутентификации, авторизации уполномоченных сотрудников при доступе к объектам информационной инфраструктуры банка, используемым для сбора биометрических персональных данных физических лиц;

формированием электронного сообщения, содержащего собранные биометрические персональные данные физических лиц, для передачи;

подписанием электронных сообщений, содержащих собранные биометрические персональные данные физических лиц;

передачей электронных сообщений, содержащих собранные биометрические персональные данные физических лиц в целях размещения или обновления биометрических персональных данных в единой биометрической системе;

уничтожением (удалением) биометрических персональных данных физических лиц на объектах информационной инфраструктуры банка.

2.6. Банкам рекомендуется обеспечить хранение информации о регистрируемых действиях, указанных в пункте 2.5 настоящих Методических рекомендаций, не менее 5 лет.