Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Методические рекомендации Банка России № 18-МР от 08.10.2024

Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных

Глава 4. Меры, направленные на нейтрализацию угроз безопасности биометрических персональных данных

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Глава 4. Меры, направленные на нейтрализацию угроз безопасности биометрических персональных данных на технологическом участке удаленной (дистанционной) идентификации или удаленной (дистанционной) аутентификации клиента - физического лица
4.1. Организациям финансового рынка рекомендуется обеспечить использование прикладного программного обеспечения автоматизированных систем и приложений распространяемых организациями финансового рынка клиентам, для совершения действий в целях осуществления удаленной (дистанционной) идентификации или удаленной (дистанционной) аутентификации с использованием биометрических персональных данных, которые сертифицированы в системе сертификации ФСТЭК России в соответствии с порядком, установленным Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 года N 608 "О сертификации средств защиты информации", или прошли оценку соответствия по требованиям к ОУД не ниже чем ОУД 4, предусмотренного пунктом 7.6 раздела 7 ГОСТ Р ИСО/МЭК 15408-3-2013.
4.2. Организациям финансового рынка рекомендуется разработать памятку для клиента, описывающую особенности работы программного обеспечения для удаленной (дистанционной) идентификации или удаленной (дистанционной) аутентификации физического лица с использованием биометрических персональных данных на устройстве клиента и возможные действия клиента в случае компрометации ключей аутентификации. В памятку рекомендуется включить основные положения эксплуатационной документации используемых для взаимодействия программных и (или) программно-аппаратных средств на устройстве клиента.
4.3. Для обеспечения целостности и конфиденциальности передаваемой информации при проведении удаленной (дистанционной) идентификации или удаленной (дистанционной) аутентификации при взаимодействии с использованием устройства физического лица, а также оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, организациям финансового рынка рекомендуется на стороне клиента применять СКЗИ не ниже класса КС1, предусмотренные пунктом 10 Состава и содержания организационных и технических мер.
4.4. Для обеспечения целостности и конфиденциальности передаваемой информации при осуществлении удаленной (дистанционной) аутентификации с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), принадлежащих организациям финансового рынка, организациям финансового рынка рекомендуется:
- применять СКЗИ класса не ниже КС1, предусмотренные пунктом 10 Состава и содержания организационных и технических мер, в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации не ниже 4-го уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия;
- применять СКЗИ класса не ниже КС2, предусмотренные пунктом 11 Состава и содержания организационных и технических мер, в иных случаях.
4.5. Для обеспечения целостности и конфиденциальности передаваемой информации при осуществлении удаленной (дистанционной) аутентификации с использованием стационарных средств вычислительной техники и банкоматов организациям финансового рынка рекомендуется применять СКЗИ класса не ниже КС2, предусмотренные пунктом 11 Состава и содержания организационных и технических мер.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.