Глава 1. Общие положения
1.1. Настоящие Методические рекомендации разработаны в целях обеспечения единства подходов организаций финансового рынка, указанных в части 1 статьи 3 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее соответственно - организации финансового рынка, Федеральный закон от 29 декабря 2022 года N 572-ФЗ), к нейтрализации угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, определенных Указанием Банка России от 25 сентября 2023 года N 6541-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами" 1 (далее - угрозы безопасности биометрических персональных данных).
------------------------------
1 Зарегистрировано Минюстом России 26 октября 2023 года, регистрационный N 75743.
------------------------------
1.2. Организациям финансового рынка рекомендуется принимать меры, направленные на нейтрализацию угроз безопасности биометрических персональных данных, векторов единой биометрической системы, информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы (далее - информация о степени соответствия), при использовании информационных систем, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системам на следующих технологических участках:
1.2.1. Обработки биометрических персональных данных и информации о степени соответствия с использованием стационарных средств вычислительной техники и банкоматов, принадлежащих организациям финансового рынка, а также обработки биометрических персональных данных с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), принадлежащих организациям финансового рынка, устройств физического лица, оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, в целях аутентификации физического лица с использованием биометрических персональных данных (далее - удаленная (дистанционная) аутентификация).
1.2.2. Обработки биометрических персональных данных, обработки, в том числе при получении и хранении, информации о степени соответствия, векторов единой биометрической системы в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации физического лица, а также для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации.
1.2.3. Взаимодействия информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с информационными системами организаций финансового рынка, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации физического лица.
1.2.4. Предоставления организациями финансового рынка в единую систему идентификации и аутентификации 1 сведений о физических лицах, содержащихся в информационных системах организаций финансового рынка, включая идентификаторы таких сведений, перед использованием информационных систем организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, для аутентификации физических лиц.
------------------------------
1 Федеральная государственная информационная система "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", обеспечивающая санкционированный доступ к информации, содержащейся в информационных системах (пункт 5 статьи 2 Федерального закона от 29 декабря 2022 года N 572-ФЗ).
------------------------------
1.3. Организациям финансового рынка рекомендуется обеспечить регистрацию действий, связанных c:
выполнением процедур идентификации, аутентификации, авторизации уполномоченных работников при доступе к объектам информационной инфраструктуры организаций финансового рынка, используемым на указанных в пункте 1.2 настоящих Методических рекомендаций технологических участках;
контролем обработки биометрических персональных данных в соответствии с целями, указанными в согласии физического лица на обработку его персональных данных и биометрических персональных данных;
назначением и изменением прав доступа уполномоченных работников к объектам информационной инфраструктуры организаций финансового рынка, используемым на указанных в пункте 1.2 настоящих Методических рекомендаций технологических участках;
уничтожением (удалением) биометрических персональных данных физических лиц на объектах информационной инфраструктуры организаций финансового рынка, используемых на указанных в пункте 1.2 настоящих Методических рекомендаций технологических участках;
формированием электронного сообщения, содержащего биометрические персональные данные физических лиц, для его передачи;
подписанием электронных сообщений, содержащих биометрические персональные данные физических лиц, а также информацию о степени соответствия.
1.4. Организациям финансового рынка рекомендуется обеспечить хранение информации о регистрируемых действиях, указанных в пункте 1.3 настоящих Методических рекомендаций, не менее 5 лет.
1.5. Организациям финансового рынка рекомендуется обеспечивать обработку и хранение вместе с векторами единой биометрической системы и биометрическими персональными данными следующей информации:
об идентификаторе учетной записи в единой системе идентификации и аутентификации физического лица, чьи биометрические данные хранятся в информационной системе организации финансового рынка;
о метках даты и времени размещения биометрических персональных данных в информационной системе организации финансового рынка;
о способе размещения биометрических персональных данных в единой биометрической системе, в результате преобразования которых были созданы передаваемые векторы единой биометрической системы;
о параметрах технических средств, с использованием которых осуществлялся процесс аутентификации физического лица и обработки параметров биометрических персональных данных.
1.6. Организациям финансового рынка рекомендуется связывать векторы единой биометрической системы и биометрические персональные данные с идентификатором учетной записи физического лица в информационных системах организаций финансового рынка и идентификатором в единой системе идентификации и аутентификации.
1.7. Организациям финансового рынка рекомендуется использовать средства, реализующие методы обнаружения атак на биометрическое предъявление, в соответствии с национальным стандартом Российской Федерации ГОСТ Р 58624.1-2019 (ИСО/МЭК 30107-1:2016) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 31 октября 2019 года N 850-ст 1, национальным стандартом Российской Федерации ГОСТ Р 58624.2-2019 (ИСО/МЭК 30107-2:2017) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 2. Форматы данных", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 31 октября 2019 года N 851-ст 2, и национальным стандартом Российской Федерации ГОСТ Р 58624.3-2019 (ИСО/МЭК 30107-3:2017) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2019 года N 1197-ст 3.
------------------------------
1 М., ФГУП "Стандартинформ", 2019.
2 М., ФГУП "Стандартинформ", 2019.
3 М., ФГУП "Стандартинформ", 2019.
------------------------------
1.8. Организациям финансового рынка рекомендуется на периодической основе не реже 1 раза в год осуществлять контроль состояния объектов информационной инфраструктуры, используемых на указанных в пункте 1.2 настоящих Методических рекомендаций технологических участках.
Организациям финансового рынка рекомендуется определить работников, ответственных за контроль состояния объектов информационной инфраструктуры, используемых на указанных в пункте 1.2 настоящих Методических рекомендаций технологических участках.
1.9. Организациям финансового рынка рекомендуется разработать отдельную политику обработки, хранения и использования биометрических персональных данных.