Глава 4. Меры, направленные на нейтрализацию угроз безопасности биометрических персональных данных на технологическом участке удаленной (дистанционной) идентификации или удаленной (дистанционной) аутентификации клиента - физического лица

4.1. Организациям финансового рынка рекомендуется обеспечить использование прикладного программного обеспечения автоматизированных систем и приложений, распространяемых организациями финансового рынка клиентам, для совершения действий в целях осуществления удаленной (дистанционной) идентификации или удаленной (дистанционной) аутентификации с использованием биометрических персональных данных, которые сертифицированы в системе сертификации ФСТЭК России в соответствии с порядком, установленным Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 года N 608 "О сертификации средств защиты информации", или прошли оценку соответствия по требованиям к ОУД не ниже чем ОУД 4, предусмотренного пунктом 7.6 раздела 7 ГОСТ Р ИСО/МЭК 15408-3-2013.

4.2. Организациям финансового рынка рекомендуется разработать памятку для клиента, описывающую особенности работы программного обеспечения для удаленной (дистанционной) идентификации или удаленной (дистанционной) аутентификации физического лица с использованием биометрических персональных данных на устройстве клиента и возможные действия клиента в случае компрометации ключей аутентификации. В памятку рекомендуется включить основные положения эксплуатационной документации используемых для взаимодействия программных и (или) программно-аппаратных средств на устройстве клиента.

4.3. Для обеспечения целостности и конфиденциальности передаваемой информации при проведении удаленной (дистанционной) идентификации или удаленной (дистанционной) аутентификации при взаимодействии с использованием устройства физического лица, а также оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, организациям финансового рынка рекомендуется на стороне клиента применять СКЗИ не ниже класса КС1, предусмотренные пунктом 10 Состава и содержания организационных и технических мер.

4.4. Для обеспечения целостности и конфиденциальности передаваемой информации при осуществлении удаленной (дистанционной) аутентификации с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), принадлежащих организациям финансового рынка, организациям финансового рынка рекомендуется:

применять СКЗИ класса не ниже КС1, предусмотренные пунктом 10 Состава и содержания организационных и технических мер, в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4-го уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия;

применять СКЗИ класса не ниже КС2, предусмотренные пунктом 11 Состава и содержания организационных и технических мер, в иных случаях.

4.5. Для обеспечения целостности и конфиденциальности передаваемой информации при осуществлении удаленной (дистанционной) аутентификации с использованием стационарных средств вычислительной техники и банкоматов организациям финансового рынка рекомендуется применять СКЗИ класса не ниже КС2, предусмотренные пунктом 11 Состава и содержания организационных и технических мер.