Глава 1. Общие положения
1.1. Настоящие Методические рекомендации разработаны в целях обеспечения единства подходов организаций финансового рынка, указанных в части 1 статьи 3 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее соответственно - организации финансового рынка, Федеральный закон от 29 декабря 2022 года N 572-ФЗ), к нейтрализации угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой, перечень которых определен Указанием Банка России от 25 сентября 2023 года N 6540-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой" 1 (далее - угрозы безопасности биометрических персональных данных).
------------------------------
1 Зарегистрировано Минюстом России 26 октября 2023 года, регистрационный N 75742.
------------------------------
1.2. Организациям финансового рынка рекомендуется принимать меры, направленные на нейтрализацию угроз безопасности биометрических персональных данных, на следующих технологических участках:
1.2.1. В процессе сбора биометрических персональных данных и их передачи в целях размещения или обновления биометрических персональных данных в единой биометрической системе:
на технологическом участке сбора биометрических персональных данных в головном офисе, филиалах или внутренних структурных подразделениях организаций финансового рынка, являющихся банками с универсальной лицензией или банками с базовой лицензией, указанными в пункте 5 6 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее - банки), с использованием стационарных средств вычислительной техники и банкоматов, а также работниками банков с использованием планшетов и при передаче собранных биометрических персональных данных между головным офисом, филиалами или внутренними структурными подразделениями банков, между планшетами и информационной инфраструктурой внутренних структурных подразделений банков (далее - сбор биометрических персональных данных);
на технологическом участке взаимодействия информационных систем банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе с использованием единой системы межведомственного электронного взаимодействия (далее - СМЭВ).
1.2.2. В процессе обработки (за исключением сбора) биометрических персональных данных, при проверке и передаче информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, содержащимся в единой биометрической системе (далее - информация о степени соответствия), при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой в целях идентификации физического лица в соответствии с частью 1 статьи 9 Федерального закона от 29 декабря 2022 года N 572-ФЗ (далее - удаленная (дистанционная) идентификация) и аутентификации физического лица в соответствии с частью 1 статьи 10 Федерального закона от 29 декабря 2022 года N 572-ФЗ (далее - удаленная (дистанционная) аутентификация):
на технологическом участке удаленной (дистанционной) идентификации или удаленной (дистанционной) аутентификации клиента - физического лица;
на технологическом участке проверки и передачи информации о степени соответствия при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой.
1.2.3. На технологическом участке взаимодействия информационных систем организаций финансового рынка с единой биометрической системой при передаче собранных биометрических персональных данных в случае, указанном в части 14 статьи 4 Федерального закона от 29 декабря 2022 года N 572-ФЗ, при получении векторов единой биометрической системы в соответствии с пунктом 2 части 2 статьи 8 Федерального закона от 29 декабря 2022 года N 572-ФЗ и при направлении оператору единой биометрической системы мотивированного запроса и получении информации в соответствии с пунктом 9 части 2 статьи 8, части 3 статьи 15 Федерального закона от 29 декабря 2022 года N 572-ФЗ.
1.2.4. На технологическом участке предоставления организациями финансового рынка в соответствии с частью 5 статьи 10 Федерального закона от 29 декабря 2022 года N 572-ФЗ в единую систему идентификации и аутентификации сведений о физических лицах, содержащихся в информационных системах организаций финансового рынка, включая идентификаторы таких сведений, перед использованием единой биометрической системы для аутентификации.
1.3. Организациям финансового рынка рекомендуется обеспечивать защиту информации при использовании единой биометрической системы с применением средств криптографической защиты информации, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (далее - СКЗИ), разработанных и эксплуатируемых в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 года N 66 1 (далее - Положение ПКЗ-2005), и эксплуатационной документацией на СКЗИ.
------------------------------
1 Зарегистрирован Минюстом России 3 марта 2005 года, регистрационный N 6382, с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 года N 173 (зарегистрирован Минюстом России 25 мая 2010 года, регистрационный N 17350).
------------------------------