Куда я попал?
Методические рекомендации Банка России № 18-МР от 08.10.2024
Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных
Глава 2. Меры, направленные на нейтрализацию угроз безопасности биометрических персональных данных на технологическом участке сбора биометрических персональных данных
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
2.2.6. В целях реализации запретов на хранение используемых в целях идентификации и (или) аутентификации биометрических персональных данных, установленных пунктами 1 и 2 части 1 статьи 15 Федерального закона от 29 декабря 2022 года N 572-ФЗ, исключить возможность хранения биометрических персональных данных физических лиц на устройствах, предназначенных для сбора биометрических персональных данных, после размещения биометрических персональных данных физического лица в единой биометрической системе.
-
2.3. При сборе биометрических персональных данных физических лиц в головном офисе, филиалах или внутренних структурных подразделениях банков с использованием стационарных средств вычислительной техники и банкоматов, а также при передаче собранных биометрических персональных данных между головным офисом, филиалами или внутренними структурными подразделениями банков банкам рекомендуется:
- обеспечивать целостность электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, путем их подписания усиленной квалифицированной электронной подписью (далее - УКЭП), реализуемой средствами электронной подписи класса не ниже КС3, предусмотренными пунктом 12 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом ФСБ России от 10 июля 2014 года N 378 (далее - Состав и содержание организационных и технических мер), а также пунктом 15 Требований к средствам электронной подписи, утвержденных приказом ФСБ России от 27 декабря 2011 года N 796 (далее - Требования к средствам электронной подписи);
- обеспечивать конфиденциальность электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, путем применения СКЗИ класса не ниже КС3, предусмотренных пунктом 12 Состава и содержания организационных и технических мер.
-
2.4. При сборе биометрических персональных данных физических лиц работниками банков с использованием планшетов и при передаче собранных биометрических персональных данных между планшетами и информационной инфраструктурой внутренних структурных подразделений банков банкам рекомендуется:
- обеспечивать целостность электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, путем их подписания УКЭП, реализуемой средствами электронной подписи класса не ниже КС1, предусмотренными пунктом 10 Состава и содержания организационных и технических мер, а также пунктом 13 Требований к средствам электронной подписи, в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4-го уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 (далее - Требования по безопасности информации, устанавливающие уровни доверия), или путем их подписания УКЭП, реализуемой средствами электронной подписи класса не ниже КС2, предусмотренными пунктом 11 Состава и содержания организационных и технических мер, в иных случаях, а также пунктом 14 Требований к средствам электронной подписи;
- обеспечивать конфиденциальность электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, путем применения СКЗИ класса не ниже КС1, предусмотренных пунктом 10 Состава и содержания организационных и технических мер, в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4-го уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия, или путем применения СКЗИ класса не ниже КС2, предусмотренных пунктом 11 Состава и содержания организационных и технических мер, в иных случаях.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.