Глава 3. Обеспечение информационной безопасности в процессе обработки запросов физических лиц и их персональных данных, а также информации о степени соответствия в целях проведения удаленной идентификации физического лица. Методические рекомендации Банка России от 14.02.2019 N 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (документ не действует)

Глава 3. Обеспечение информационной безопасности в процессе обработки запросов физических лиц и их персональных данных, а также информации о степени соответствия в целях проведения удаленной идентификации физического лица

3.1. В целях обеспечения информационной безопасности на технологическом участке удаленной идентификации клиента - физического лица банкам рекомендуется следующее.

3.1.1. Рекомендуется обеспечить использование прикладного программного обеспечения автоматизированных систем и приложений, распространяемых банками клиентам, для совершения действий в целях осуществления удаленной идентификации с использованием биометрических персональных данных, прошедшего проверку на отсутствие недекларированных возможностей и соответствующего 4-му уровню контроля отсутствия недекларированных возможностей согласно Руководящему документу "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей", введенному в действие приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. N 114, или сертифицированных в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к ОУД не ниже чем ОУД 4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013.

3.1.2. Банкам рекомендуется разработать памятку для клиента, описывающую особенности работы программного обеспечения для удаленной идентификации физического лица с использованием биометрических персональных данных на мобильном устройстве клиента и описание возможных действий клиента в случае компрометации ключей аутентификации.

3.1.3. Для обеспечения конфиденциальности передаваемой информации при взаимодействии с клиентом рекомендуется ⁴ применять СКЗИ класса не ниже КС1 на стороне клиента и рекомендуется применять СКЗИ класса не ниже КС3 на стороне банка.

3.1.4. Для осуществления контроля целостности и подтверждения подлинности электронных сообщений, содержащих результат идентификации физического лица (степени соответствия), на технологическом участке удаленной идентификации клиента - физического лица рекомендуется:

осуществлять обработку электронных сообщений, получаемых от ЕБС, содержащих результат идентификации физического лица (степени соответствия), с применением протокола на базе OpenID Connect, безопасная реализация которого в составе подсистемы обработки биометрических персональных данных подтверждена положительным заключением ФСБ России о соответствии требованиям по безопасности информации, с использованием СКЗИ класса не ниже КВ (средствами электронной подписи класса не ниже КВ2);

организовать работу по оценке влияния прикладного программного обеспечения и приложений, распространяемых банками клиентам для совершения действий в целях осуществления удаленной идентификации физического лица с использованием биометрических персональных данных, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований по классу не ниже КС1, в соответствии с пунктом 35 Положения ПКЗ-2005.

3.2. В целях обеспечения информационной безопасности на технологическом участке проверки результатов удаленной идентификации клиента - физического лица в ЕСИА и ЕБС банкам рекомендуется следующее.

3.2.1. Рекомендуется ⁵ осуществлять контроль целостности и подтверждения подлинности электронных сообщений, содержащих результаты идентификации физического лица (степени соответствия), путем их подписания УКЭП банка, реализуемой СКЗИ класса не ниже КВ (средствами электронной подписи класса не ниже КВ2).

3.2.2. Банкам рекомендуется обеспечивать функционирование объектов информационной инфраструктуры для выполнения действий, указанных в подпункте 3.2.1 настоящего пункта любым из способов, указанных в пункте 2.3.8 главы 2 настоящих методических рекомендаций, с применением протокола на базе OpenID Connect, безопасная реализация которого в составе подсистемы обработки биометрических персональных данных подтверждена положительным заключением ФСБ России о соответствии требованиям по безопасности информации.

3.2.3. Банкам рекомендуется обеспечить регистрацию действий связанных с:

процессом взаимодействия с ЕСИА и ЕБС, реализуемого с применением протокола на базе OpenID Сonnect;

процессом проверки результатов удаленной идентификации клиента на основании информации о степени соответствия.

3.3. В целях обеспечения информационной безопасности на технологическом участке взаимодействия банка с ЕСИА и ЕБС банкам рекомендуется следующее.

3.3.1. Рекомендуется ⁶ обеспечивать конфиденциальность получаемой из ЕСИА и ЕБС информации, содержащей результаты идентификации физического лица (степени соответствия) на технологическом участке взаимодействия банка с ЕСИА и ЕБС, с применением СКЗИ класса не ниже КС3;

3.3.2. Банкам рекомендуется учитывать Методические рекомендации по работе с ЕСИА (размещены по адресу http://minsvyaz.ru/ru/documents/) и Методические рекомендации по работе с ЕБС (размещены по адресу https://bio.rt.ru/business/).