Куда я попал?
Методические рекомендации Банка России № 18-МР от 08.10.2024
Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных
П.3.5
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
3.5. Банкам рекомендуется обеспечивать целостность электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, на технологическом участке взаимодействия информационных систем банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе с использованием СМЭВ путем их подписания УКЭП, реализуемыми средствами электронной подписи класса не ниже КВ2, предусмотренными пунктом 13 Состава и содержания организационных и технических мер, а также пунктом 17 Требований к средствам электронной подписи, любым из следующих способов:
- с использованием собственного решения;
- с использованием типового решения по информационной безопасности;
- с использованием решения поставщика услуг (облачного решения).
-
3.5.1. В случае использования собственного решения рекомендуется обеспечить:
- получение квалифицированного сертификата ключа проверки электронной подписи банка, созданного в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" удостоверяющим центром, с применением средств удостоверяющего центра класса не ниже КВ2, предусмотренных пунктом 13 Состава и содержания организационных и технических мер, а также пунктом 13 Требований к средствам удостоверяющего центра, утвержденных приказом ФСБ России от 27 декабря 2011 года N 796;
- встраивание программно-аппаратного модуля криптографической защиты (HSM), прошедшего оценку соответствия требованиям по безопасности информации к СКЗИ по классу не ниже КВ, предусмотренным пунктом 13 Состава и содержания организационных и технических мер, и средствам электронной подписи по классу не ниже КВ2, предусмотренным пунктом 17 Требований к средствам электронной подписи, в подсистему обработки биометрических персональных данных физических лиц в соответствии с требованиями, изложенными в эксплуатационной документации на программно-аппаратный модуль криптографической защиты (HSM), в соответствии с пунктом 35 Положения ПКЗ-2005;
- создание в соответствии с пунктом 3.6 настоящей главы и использование доверенной среды функционирования информационной системы, взаимодействующей (формирующей вызовы) с программно-аппаратным модулем криптографической защиты (HSM), прошедшего оценку соответствия требованиям по безопасности информации к СКЗИ по классу не ниже КВ, предусмотренного пунктом 13 Состава и содержания организационных и технических мер, в процессе подписания электронных сообщений, содержащих биометрические персональные данные физических лиц, УКЭП, реализуемой средствами электронной подписи класса не ниже КВ2, предусмотренными пунктом 13 Состава и содержания организационных и технических мер, а также пунктом 17 Требований к средствам электронной подписи.
-
3.5.3. В случае использования решения поставщика услуг (облачного решения) рекомендуется обеспечить:
- применение решения поставщика услуг (облачного решения), имеющего положительное заключение ФСБ России о соответствии решения поставщика услуг (облачного решения) требованиям по безопасности информации и включающего комплект эксплуатационной документации, согласованной ФСБ России;
- криптографическую аутентификацию процессов при осуществлении доступа к информационной инфраструктуре решения поставщика услуг (облачного решения) с применением СКЗИ класса не ниже КС3, предусмотренных пунктом 12 Состава и содержания организационных и технических мер;
- криптографическую аутентификацию уполномоченных сотрудников банка, а также криптографическое подтверждение достоверности и целостности электронного сообщения, содержащего биометрические персональные данные физического лица, с применением средств электронной подписи класса не ниже КС3, предусмотренных пунктом 12 Состава и содержания организационных и технических мер, а также пунктом 15 Требований к средствам электронной подписи;
- использование решений поставщика услуг (облачного решения) в соответствии с эксплуатационной документацией, согласованной ФСБ России.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.