Куда я попал?
Методические рекомендации Банка России № 18-МР от 08.10.2024
Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных
Глава 3. Меры, направленные на нейтрализацию угроз безопасности биометрических персональных данных на технологическом участке взаимодействия информационных систем
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
3.5. Банкам рекомендуется обеспечивать целостность электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, на технологическом участке взаимодействия информационных систем банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе с использованием СМЭВ путем их подписания УКЭП, реализуемыми средствами электронной подписи класса не ниже КВ2, предусмотренными пунктом 13 Состава и содержания организационных и технических мер, а также пунктом 17 Требований к средствам электронной подписи, любым из следующих способов:
- с использованием собственного решения;
- с использованием типового решения по информационной безопасности;
- с использованием решения поставщика услуг (облачного решения).
-
3.5.1. В случае использования собственного решения рекомендуется обеспечить:
- получение квалифицированного сертификата ключа проверки электронной подписи банка, созданного в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" удостоверяющим центром, с применением средств удостоверяющего центра класса не ниже КВ2, предусмотренных пунктом 13 Состава и содержания организационных и технических мер, а также пунктом 13 Требований к средствам удостоверяющего центра, утвержденных приказом ФСБ России от 27 декабря 2011 года N 796;
- встраивание программно-аппаратного модуля криптографической защиты (HSM), прошедшего оценку соответствия требованиям по безопасности информации к СКЗИ по классу не ниже КВ, предусмотренным пунктом 13 Состава и содержания организационных и технических мер, и средствам электронной подписи по классу не ниже КВ2, предусмотренным пунктом 17 Требований к средствам электронной подписи, в подсистему обработки биометрических персональных данных физических лиц в соответствии с требованиями, изложенными в эксплуатационной документации на программно-аппаратный модуль криптографической защиты (HSM), в соответствии с пунктом 35 Положения ПКЗ-2005;
- создание в соответствии с пунктом 3.6 настоящей главы и использование доверенной среды функционирования информационной системы, взаимодействующей (формирующей вызовы) с программно-аппаратным модулем криптографической защиты (HSM), прошедшего оценку соответствия требованиям по безопасности информации к СКЗИ по классу не ниже КВ, предусмотренного пунктом 13 Состава и содержания организационных и технических мер, в процессе подписания электронных сообщений, содержащих биометрические персональные данные физических лиц, УКЭП, реализуемой средствами электронной подписи класса не ниже КВ2, предусмотренными пунктом 13 Состава и содержания организационных и технических мер, а также пунктом 17 Требований к средствам электронной подписи.
-
3.5.3. В случае использования решения поставщика услуг (облачного решения) рекомендуется обеспечить:
- применение решения поставщика услуг (облачного решения), имеющего положительное заключение ФСБ России о соответствии решения поставщика услуг (облачного решения) требованиям по безопасности информации и включающего комплект эксплуатационной документации, согласованной ФСБ России;
- криптографическую аутентификацию процессов при осуществлении доступа к информационной инфраструктуре решения поставщика услуг (облачного решения) с применением СКЗИ класса не ниже КС3, предусмотренных пунктом 12 Состава и содержания организационных и технических мер;
- криптографическую аутентификацию уполномоченных сотрудников банка, а также криптографическое подтверждение достоверности и целостности электронного сообщения, содержащего биометрические персональные данные физического лица, с применением средств электронной подписи класса не ниже КС3, предусмотренных пунктом 12 Состава и содержания организационных и технических мер, а также пунктом 15 Требований к средствам электронной подписи;
- использование решений поставщика услуг (облачного решения) в соответствии с эксплуатационной документацией, согласованной ФСБ России.
-
3.6. В случае применения банками решения, указанного в подпункте 3.5.1 пункта 3.5 настоящих Методических рекомендаций, банкам рекомендуется создавать доверенную среду функционирования информационной системы с использованием:
- операционной системы, имеющей подтверждение соответствия Требованиям безопасности информации к операционным системам, утвержденным приказом ФСТЭК России от 19 августа 2016 года N 119, либо требованиям к средствам защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от несанкционированного доступа, установленным ФСБ России, по классу АК3;
- антивирусных средств, сертифицированных ФСТЭК России на соответствие требованиям к антивирусным средствам не менее чем 4-го класса защиты согласно Требованиям к средствам антивирусной защиты, утвержденным приказом ФСТЭК России от 20 марта 2012 года N 28;
- средств межсетевого экранирования, сертифицированного ФСТЭК России на соответствие требованиям к устройствам типа межсетевой экран не менее чем 4-го класса защиты, с применением средства защиты информации от воздействий вредоносного кода, предназначенных для применения на серверах информационных систем (тип "А"), согласно Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 года N 9, а также средств защиты от компьютерных атак, сертифицированных ФСТЭК России на соответствие требованиям к программным, программно-аппаратным или аппаратным средствам типа "системы обнаружения вторжений" не менее чем 4-го класса защищенности согласно Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 года N 638 , либо средств, совмещающих в себе межсетевой экран и систему обнаружения вторжения (NGFW) не ниже 4-го класса защищенности, сертифицированных согласно Требованиям по безопасности информации к многофункциональным межсетевым экранам уровня сети, утвержденным приказом ФСТЭК России от 7 марта 2023 года N 44;
- аппаратно-программных модулей доверенной загрузки уровня платы расширения, сертифицированных ФСТЭК России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ не ниже 4-го класса защиты согласно Требованиям к средствам доверенной загрузки, утвержденным приказом ФСТЭК России от 27 сентября 2013 года N 119, в информационной системе, взаимодействующей (формирующей вызовы) с программно-аппаратным модулем криптографической защиты (HSM);
- прикладного программного обеспечения, применяемого в доверенной среде, которое сертифицировано в системе сертификации ФСТЭК России в соответствии с порядком, установленным Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 года N 608 "О сертификации средств защиты информации", или прошло оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4, предусмотренного пунктом 7.6 раздела 7 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст (далее - ГОСТ Р ИСО/МЭК 15408-3-2013);
- результатов тематических исследований по оценке влияния, проводимых в соответствии с пунктом 35 Положения ПКЗ-2005, подсистемы обработки биометрических персональных данных физических лиц, совместно с которой предполагается штатное функционирование программно-аппаратного модуля криптографической защиты (HSM), на выполнение предъявленных к программно-аппаратному модулю криптографической защиты (HSM) требований по безопасности информации к СКЗИ по классу не ниже КВ, предусмотренного пунктом 13 Состава и содержания организационных и технических мер.
Доверенная среда функционирования информационной системы может быть создана с использованием специализированного программно-аппаратного средства (адаптера), обеспечивающего информационно-технологическое взаимодействие объектов информационной инфраструктуры банка с программно-аппаратным модулем криптографической защиты (HSM) и соответствующего описанию, приведенному в настоящем пункте. -
3.7. В случае применения банками решения, указанного в подпункте 3.5.1 пункта 3.5 настоящих Методических рекомендаций, рекомендуется обеспечивать целостность биометрических персональных данных путем сверки электронных сообщений, содержащих биометрические персональные данные, входящих в сегмент вычислительной сети банков, в котором осуществляется их обработка, с исходящими из указанного сегмента вычислительной сети электронными сообщениями, содержащими биометрические персональные данные, в информационной инфраструктуре банка до их передачи в единую биометрическую систему с использованием СМЭВ.
-
3.8. В целях обеспечения конфиденциальности передаваемых электронных сообщений, содержащих биометрические персональные данные физических лиц, на технологическом участке взаимодействия информационных систем банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе с использованием СМЭВ банкам рекомендуется применять СКЗИ класса не ниже КС3, предусмотренные пунктом 12 Состава и содержания организационных и технических мер.
-
3.10. Банкам рекомендуется обеспечить регистрацию действий, связанных с:
- выполнением процедур сверки электронных сообщений, содержащих биометрические персональные данные, входящих в сегмент вычислительной сети банков, в котором осуществляется их обработка, с исходящими из указанного сегмента вычислительной сети электронными сообщениями, содержащими биометрические персональные данные;
- подписанием УКЭП банка, реализуемой средствами электронной подписи класса не ниже КВ2, предусмотренными пунктом 13 Состава и содержания организационных и технических мер, а также пунктом 17 Требований к средствам электронной подписи, электронных сообщений, содержащих биометрические персональные данные физических лиц;
- передачей электронных сообщений, содержащих биометрические персональные данные физических лиц, при направлении в единую биометрическую систему.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.