Приказ Минцифры № 453 от 12.05.2023

1. Обработка, включая сбор, хранение, биометрических персональных данных для идентификации и (или) аутентификации реализуется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, которое проводится федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных в соответствии с Требованиями к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядком подтверждения соответствия информационных технологий и технических средств указанным требованиям, содержащимися в приложении N 5 к настоящему приказу.

2. В соответствии с настоящим Порядком проводится обработка биометрических персональных данных следующих видов:

3. В единой биометрической системе в целях осуществления идентификации осуществляется обработка записей голоса, собранных текстозависимым методом.

4. Параметры собираемых для размещения в единой биометрической системе биометрических персональных данных должны соответствовать требованиям, установленным пунктами 11 - 14 настоящего Порядка.

5. Параметры собираемых для размещения в региональном сегменте единой биометрической системы биометрических персональных данных должны соответствовать требованиям, установленным пунктами 12 и 14 настоящего Порядка.
Пункт 5 действует до 1 января 2027 г.

6. В единой биометрической системе в результате обработки биометрических персональных данных осуществляется создание векторов единой биометрической системы в соответствии с Порядком создания и передачи векторов единой биометрической системы в целях осуществления аутентификации, содержащимся в приложении N 4 к настоящему приказу.

8. Банк, многофункциональный центр и организация при сборе биометрических персональных данных для размещения в единой биометрической системе определяют уполномоченных работников, осуществляющих сбор биометрических персональных данных (далее - уполномоченный работник), и осуществляют выдачу им сертификатов ключей проверки электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка.
Уполномоченный работник осуществляет защищенное хранение выданного ему ключа электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка, обеспечивающее конфиденциальность ключа электронной подписи и исключающее его несанкционированное изменение, добавление и удаление в соответствии с законодательством Российской Федерации в области электронной подписи.
Уполномоченный работник подписывает своей электронной подписью в соответствии с пунктом 7 настоящего Порядка биометрические персональные данные, собранные им, и информацию, указанную в пункте 16 настоящего Порядка.

9. Уполномоченный работник обязан соблюдать конфиденциальность ключа электронной подписи, используемой для подписания биометрических персональных данных в соответствии с пунктом 7 настоящего Порядка.

10. Обработка, включая сбор, биометрических персональных данных физического лица для размещения в единой биометрической системе, осуществляется после:

12. Параметры биометрических персональных данных изображения лица, размещаемых в единой биометрической системе в соответствии с подпунктом 3 пункта 1 Порядка размещения и обновления, должны соответствовать следующим требованиям:

14. Параметры биометрических персональных данных записи голоса, размещаемых в единой биометрической системе в соответствии с подпунктом 3 пункта 1 Порядка размещения и обновления, должны соответствовать следующим требованиям:

Запрещено получение биометрических персональных данных записи голоса путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования.

15. Проверка параметров биометрических персональных данных, собранных уполномоченными работниками в целях размещения биометрических персональных данных в единой биометрической системе, на соответствие требованиям, установленным пунктами 11, 13 настоящего Порядка (далее - контроль качества), осуществляется банками, многофункциональными центрами и организациями в автоматизированном режиме с использованием программного обеспечения, предоставляемого оператором единой биометрической системы.

17. В единой биометрической системе контроль качества осуществляется с использованием программного обеспечения единой биометрической системы.
В случае если в процессе прохождения контроля качества установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 11, 13 настоящего Порядка, размещение биометрических персональных данных в единой биометрической системе не осуществляется.
В случае если в процессе прохождения контроля качества установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 11, 13 настоящего Порядка, оператор единой биометрической системы в автоматизированном режиме с использованием в том числе единой системы межведомственного электронного взаимодействия направляет информацию об указанных событиях в банки, многофункциональные центры и организации, осуществляющие размещение в единой биометрической системе биометрических персональных данных. При получении указанной информации банки, многофункциональные центры и организации обязаны принять организационно-технические меры по повышению качества сбора биометрических персональных данных.

21. Хранение биометрических персональных данных, размещенных в единой биометрической системе в соответствии с подпунктом 4 пункта 1 Порядка размещения и обновления, осуществляется отдельно от биометрических персональных данных, размещенных иными способами, предусмотренными пунктом 1 Порядка размещения и обновления.

1. Размещение биометрических персональных данных в единой биометрической системе, за исключением размещения в региональных сегментах единой биометрической системы, осуществляется:

2. Обновление биометрических персональных данных в единой биометрической системе осуществляется способами, указанными в подпунктах 1 и 2 пункта 1 настоящего Порядка.

4. Размещение и обновление биометрических персональных данных осуществляются в соответствии с законодательством Российской Федерации в области персональных данных, в том числе настоящим Порядком, а также Порядком обработки, включая сбор, хранение, биометрических персональных данных, в том числе требований к параметрам биометрических персональных данных, содержащимся в приложении N 1 к настоящему приказу (далее - Порядок обработки).

5. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:

6. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется с использованием в том числе единой системы межведомственного электронного взаимодействия.

7. Размещение и обновление биометрических персональных данных в региональном сегменте единой биометрической системы осуществляется с использованием шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с частью 18 статьи 5 Федерального закона N 572-ФЗ.
Пункт 7 действует до 1 января 2027 г.

8. Банки, осуществляющие в соответствии с подпунктом 1 пункта 1 настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, организации финансового рынка, осуществляющие в соответствии с подпунктом 3 пункта 1 настоящего Порядка размещение биометрических персональных данных в единой биометрической системе, должны обеспечивать:

9. Многофункциональный центр и иная организация, осуществляющие в соответствии с подпунктом 1 пункта 1 настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, должны обеспечивать:

10. Размещение и обновление биометрических персональных данных в единой биометрической системе согласно подпункту 1 пункта 1 настоящего Порядка осуществляется в соответствии с требованиями к фиксированию действий, утвержденными в соответствии с пунктом 1 части 6 статьи 4 Федерального закона N 572-ФЗ.

11. Биометрические персональные данные, а также информация, указанная в пункте 16 Порядка обработки, размещаются и обновляются в единой биометрической системе уполномоченным работником банка, многофункционального центра и организации в соответствии с подпунктом 1 пункта 1 настоящего Порядка (далее - уполномоченный работник) и подписываются усиленной квалифицированной электронной подписью соответственно банка, многофункционального центра и организации, которая создается с использованием средств электронной подписи, позволяющих обеспечить безопасность персональных данных от угроз, определенных для банков в соответствии с пунктом 1 части 4 статьи 7 Федерального закона N 572-ФЗ, для многофункциональных центров и организаций - в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ.

12. Размещение биометрических персональных данных в соответствии с подпунктом 1 пункта 1 настоящего Порядка в единой биометрической системе осуществляется, если физическое лицо завершило процедуру регистрации в единой системе идентификации и аутентификации в соответствии с пунктом 9(1) Правил использования федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", утвержденных постановлением Правительства Российской Федерации от 10 июля 2013 г. N 584 "Об использовании федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (далее - Правила).
В случае если физическое лицо не зарегистрировано в единой системе идентификации и аутентификации, уполномоченный работник после проведения идентификации физического лица осуществляет с его согласия процедуру регистрации в единой системе идентификации и аутентификации в соответствии с Правилами.
Если сведения, необходимые для регистрации физического лица в единой системе идентификации и аутентификации, внесены в указанную систему, но процесс регистрации в соответствии с абзацем первым настоящего пункта не завершен, уполномоченное лицо перед сбором биометрических персональных данных с согласия физического лица размещает или обновляет в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней, а также устанавливает личность соответствующего физического лица и вносит в единую систему идентификации и аутентификации сведения о способе установления его личности в соответствии с Правилами.
При наличии у физического лица учетной записи в единой системе идентификации и аутентификации уполномоченный работник осуществляет в соответствии с Порядком обработки сбор биометрических персональных данных и размещение их в единой биометрической системе.

13. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 2 пункта 1 настоящего Порядка осуществляется в порядке, установленном в соответствии с частью 11 статьи 4 Федерального закона N 572-ФЗ, и с соблюдением Порядка обработки.

14. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка осуществляется органами и организациями, индивидуальными предпринимателями, нотариусами с соблюдением требования, предусмотренного частью 15 статьи 4 Федерального закона N 572-ФЗ.

15. Перед размещением биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка органы и организации, индивидуальные предприниматели, нотариусы предоставляют в единую систему идентификации и аутентификации содержащиеся в их информационных системах персональных данных сведения о физических лицах, чьи биометрические персональные данные подлежат размещению в единой биометрической системе. После сопоставления указанных сведений со сведениями, содержащимися в единой системе идентификации и аутентификации, из единой системы идентификации и аутентификации органам и организациям, индивидуальным предпринимателям, нотариусам передается идентификатор сведений о физическом лице в регистре физических лиц единой системы идентификации и аутентификации, биометрические персональные данные которого размещаются в единой биометрической системе (далее - идентификатор учетной записи в единой системе идентификации и аутентификации) (при наличии).
Биометрические персональные данные, содержащие в частности метку даты, времени и места размещения биометрических персональных данных в информационной системе органа и организации, индивидуального предпринимателя, нотариуса, идентификатор сведений о физическом лице, чьи биометрические персональные данные подлежат размещению в единой биометрической системе, содержащийся в информационной системе персональных данных органа и организации, индивидуального предпринимателя, нотариуса (далее - идентификатор в информационной системе органа или организации, индивидуального предпринимателя, нотариуса), идентификатор учетной записи в единой системе идентификации и аутентификации (при наличии), страховой номер индивидуального лицевого счета физического лица (при наличии) передаются органами и организациями, индивидуальными предпринимателями, нотариусами в единую биометрическую систему в том числе в автоматизированном режиме с использованием средств криптографической защиты информации, позволяющих обеспечить безопасность персональных данных от угроз, определенных в соответствии с пунктом 5 настоящего Порядка, в том числе с использованием единой системы межведомственного электронного взаимодействия. Биометрические персональные данные одного физического лица и сведения о таком физическом лице, указанные в настоящем абзаце, передаются в единую биометрическую систему отдельно от биометрических персональных данных иных физических лиц и сведений об иных физических лицах, содержащихся в информационных системах органов и организаций, индивидуальных предпринимателей, нотариусов и подлежащих размещению в единой биометрической системе в соответствии с подпунктом 3 пункта 1 настоящего Порядка.
В единой биометрической системе осуществляется проверка параметров биометрических персональных данных на соответствие требованиям, установленным пунктами 12, 14 Порядка обработки (далее - контроль качества) с использованием программного обеспечения единой биометрической системы.
В случае если в процессе прохождения контроля качества установлено соответствие параметров биометрических персональных данных требованиям, указанным в пунктах 12, 14 Порядка обработки, осуществляется размещение биометрических персональных данных в единой биометрической системе и создание векторов единой биометрической системы.
Если в процессе прохождения контроля качества установлено несоответствие параметров биометрических персональных данных требованиям, указанным в пунктах 12, 14 Порядка обработки, осуществляется размещение биометрических персональных данных в единой биометрической системе и создание векторов единой биометрической системы, которые используются исключительно органами или организациями, индивидуальными предпринимателями, нотариусами, разместившими такие биометрические персональные данные в единой биометрической системе, в случаях, предусмотренных абзацем десятым настоящего пункта.
Размещение в единой биометрической системе биометрических персональных данных физического лица осуществляется органами и организациями, индивидуальными предпринимателями, нотариусами в соответствии с настоящим пунктом до истечения 3 лет со дня размещения указанных биометрических персональных данных в информационной системе органа и организации, индивидуального предпринимателя, нотариуса.
Если в единой биометрической системе в соответствии с настоящим пунктом размещены биометрические персональные данные физического лица, параметры которых соответствуют требованиям, указанным в пунктах 12, 14 Порядка обработки, идентификатор учетной записи в единой системе идентификации и аутентификации и идентификатор в информационной системе органа или организации, индивидуального предпринимателя, нотариуса, такие биометрические персональные данные и идентификаторы могут использоваться только в следующих случаях, предусмотренных для:
а) использования биометрических персональных данных, размещенных физическим лицом в единой биометрической системе с использованием мобильного приложения единой биометрической системы, согласие физического лица на размещение и обработку которых подписано простой электронной подписью, устанавливаемых Правительством Российской Федерации в соответствии с пунктом 2 части 13 статьи 4 Федерального закона N 572-ФЗ;
б) использования биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, устанавливаемых Правительством Российской Федерации в соответствии с частью 17 статьи 16 Федерального закона N 572-ФЗ.
Биометрические персональные данные, размещенные в единой биометрической системе в соответствии с настоящим пунктом, могут использоваться только органами или организациями, индивидуальными предпринимателями, нотариусами, разместившими такие биометрические персональные данные в единой биометрической системе, и исключительно в целях, для которых они были собраны в информационные системы таких органов и организаций, индивидуальных предпринимателей, нотариусов до их размещения в единой биометрической системе, если параметры таких биометрических персональных данных:

В случае, если в единой биометрической системе в соответствии с настоящим пунктом несколькими органами и (или) организациями, и (или) индивидуальными предпринимателями, и (или) нотариусами размещены биометрические персональные данные одного физического лица, в случаях, установленных абзацами восьмым и девятым настоящего пункта, подлежат использованию биометрические персональные данные, соответствующие требованиям пунктов 12, 14 Порядка обработки, с наиболее поздней датой размещения в информационной системе таких органов и (или) организаций, и (или) индивидуальных предпринимателей, и (или) нотариусов.
Размещение биометрических персональных данных в единой биометрической системе в соответствии с настоящим пунктом осуществляется на безвозмездной основе.

16. Размещение биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 4 пункта 1 настоящего Порядка осуществляется путем передачи биометрических персональных данных, размещенных в региональном сегменте единой биометрической системы в соответствии с пунктом 1 части 5 статьи 26 Федерального закона N 572-ФЗ, вместе со страховым номером индивидуального лицевого счета физического лица (при наличии), а также с одним из следующих идентификаторов:

Биометрические персональные данные, размещенные в единой биометрической системе в соответствии с настоящим пунктом, применяются в случаях, установленных в соответствии с пунктом 10 части 5 статьи 26 Федерального закона N 572-ФЗ.
Пункт 16 действует до 1 января 2027 г.

17. Обновление биометрических персональных данных в единой биометрической системе осуществляется физическим лицом добровольно в следующих случаях:
а) по истечении 5 лет со дня их размещения в указанной системе, а в случаях размещения в соответствии с подпунктом 3 пункта 1 настоящего Порядка - по истечении 2 лет со дня их размещения в указанной системе;
б) по инициативе физического лица.

18. Обновление биометрических персональных данных в региональном сегменте единой биометрической системы осуществляется физическим лицом добровольно в следующих случаях:
а) по истечении 5 лет со дня их размещения в региональном сегменте единой биометрической системы;
б) по инициативе физического лица.
В случае обновления биометрических персональных данных в региональном сегменте единой биометрической системы такие биометрические персональные данные подлежат передаче в единую биометрическую систему в соответствии с подпунктом 4 пункта 1 настоящего Порядка.

1. В соответствии с настоящим Порядком обработка, включая сбор, хранение, биометрических персональных данных, векторов единой биометрической системы реализуется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, установленным Требованиями к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядком подтверждения соответствия информационных технологий и технических средств указанным требованиям, содержащимися в приложении N 5 к настоящему приказу.

2. В соответствии с настоящим Порядком проводится обработка биометрических персональных данных физического лица следующих видов:

3. В информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, запрещено хранение используемых в целях аутентификации биометрических персональных данных, за исключением хранения таких данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации.

4. При обработке, включая сбор, хранении биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, должны:
1) применяться организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
2) использоваться шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных:
для аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;
для организаций, за исключением банков, иных кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектов национальной платежной системы, лиц, оказывающих профессиональные услуги на финансовом рынке (далее - организации финансового рынка), в соответствии с пунктом 6 части 2 статьи 6 Федерального закона N 572-ФЗ;
для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 Федерального закона N 572-ФЗ;
3) использование для обработки биометрических персональных данных и векторов единой биометрической системы баз данных, находящихся исключительно на территории Российской Федерации, за исключением случаев, предусмотренных частью 21 статьи 3 Федерального закона N 572-ФЗ;
4) использование информационных технологий, предназначенных для обработки биометрических персональных данных, которые используются для создания векторов единой биометрической системы в единой биометрической системе.

5. По истечении срока, указанного в пункте 3 настоящего Порядка, аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, обязаны уничтожить биометрические персональные данные. Для уничтожения биометрических персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.

6. Векторы единой биометрической системы хранятся с применением шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:
1) для аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации в соответствии с пунктом 4 части 2 статьи 6 Федерального закона N 572-ФЗ;
2) для организаций, за исключением организации финансового рынка, в соответствии с пунктом 6 части 2 статьи 6 Федерального закона N 572-ФЗ;
3) для организаций финансового рынка в соответствии с пунктом 2 части 4 статьи 7 Федерального закона N 572-ФЗ.

7. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, блокируют, удаляют, уничтожают векторы единой биометрической системы при получении:

8. Уничтожение векторов единой биометрической системы осуществляется с соблюдением статьи 21 Федерального закона N 152-ФЗ "О персональных данных".

9. Организации, в отношении которых была прекращена аккредитация в порядке, установленном в соответствии с частью 1 статьи 16 Федерального закона N 572-ФЗ, обязаны уничтожить векторы единой биометрической системы, обрабатываемые в их информационных системах, в течение семи рабочих дней после дня прекращения аккредитации. Для уничтожения векторов единой биометрической системы применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока.

10. Использование векторов единой биометрической системы для целей аутентификации осуществляется до истечения срока, указанного в пункте 17 Порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаев и сроков использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации", утвержденных настоящим приказом, в соответствии с которым осуществляется обновление биометрических персональных данных, размещенных в единой биометрической системе, в результате преобразования которых получены соответствующие векторы единой биометрической системы.
По истечении срока, указанного в абзаце первом настоящего пункта, векторы единой биометрической системы должны быть удалены из информационных систем аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц.

11. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, должны обеспечивать информирование Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о выявленных инцидентах, связанных с обеспечением защиты информации при обработке, включая сбор и хранение, биометрических персональных данных, векторов единой биометрической системы, которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации, а также информирование уполномоченного органа по защите прав субъектов персональных данных об инцидентах, связанных с обеспечением защиты информации при обработке, включая сбор и хранение, биометрических персональных данных, векторов единой биометрической системы, повлекших неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных, векторов единой биометрической системы.

1. Вектор единой биометрической системы создается автоматически в соответствии с порядком и требованиями эксплуатационно-технической документации к информационным технологиям, предназначенным для обработки биометрических персональных данных, применяемым в единой биометрической системе, в результате математического преобразования биометрических персональных данных физического лица, содержащихся в единой биометрической системе, которое производится с использованием информационных технологий, соответствующих требованиям к информационным технологиям, предназначенным для обработки биометрических персональных данных, установленным Требованиями к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядком подтверждения соответствия информационных технологий и технических средств указанным требованиям, содержащимися в приложении N 5 к настоящему приказу.
Вектор единой биометрической системы создается с использованием каждой из применяемых в единой биометрической системе информационных технологий, предназначенных для обработки биометрических персональных данных, за исключением случаев, когда с применением какой-либо информационной технологии не удалось создать вектор единой биометрической системы. Информация о том, что вектор единой биометрической системы не был создан, направляется оператором единой биометрической системы соответствующему физическому лицу при наличии в единой биометрической системе его контактных данных.

2. Аккредитованный государственный орган, Центральный банк Российской Федерации в случае прохождения им аккредитации, организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц (далее - аккредитованные органы и организации), оператор регионального сегмента единой биометрической системы сообщают оператору единой биометрической системы информацию о том, какие из используемых в единой биометрической системе информационных технологий, предназначенных для обработки биометрических персональных данных, используются в информационной системе соответствующего аккредитованного органа и организации, регионального сегмента единой биометрической системы.

3. Векторы единой биометрической системы передаются аккредитованному органу и организации, в региональной сегмент единой биометрической системы для проведения аутентификации до дня получения оператором единой биометрической системы запроса, предусмотренного пунктом 12 настоящего Порядка.
Векторы единой биометрической системы передаются совместно с информацией, в том числе о способе размещения биометрических персональных данных, в результате преобразования которых были созданы передаваемые векторы единой биометрической системы, позволяющей определить перечень случаев, при которых допускается их использование для проведения аутентификации.

4. Для получения векторов единой биометрической системы аккредитованные органы и организации, оператор регионального сегмента единой биометрической системы:

5. Оператор единой биометрической системы осуществляет передачу векторов единой биометрической системы аккредитованным органам и организациям, включенным в перечень, предусмотренный подпунктом "а" пункта 8 части 2 статьи 8 Федерального закона N 572-ФЗ.
Оператор единой биометрической системы осуществляет проверку факта создания вектора единой биометрической системы с использованием информационных технологий, соответствующих используемым аккредитованными органом и организацией, в региональном сегменте единой биометрической системы информационным технологиям для обработки векторов единой биометрической системы.
Информация о факте приостановления или прекращения аккредитации у государственного органа, Центрального банка Российской Федерации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, направляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации оператору единой биометрической системы.

6. В случае если с применением какой-либо информационной технологии, предназначенной для обработки биометрических персональных данных, не удалось создать вектор единой биометрической системы, и аккредитованным органом или организацией, оператором регионального сегмента единой биометрической системы был направлен запрос на получение вектора единой биометрической системы, созданного с использованием такой информационной технологии, информация о том, что вектор единой биометрической системы не был создан, направляется оператором единой биометрической системы аккредитованному органу или организации, оператору регионального сегмента единой биометрической системы.

7. При наличии соответствующего вектора единой биометрической системы оператор единой биометрической системы передает такой вектор в аккредитованные орган или организацию, региональный сегмент единой биометрической системы.
В случае отсутствия вектора единой биометрической системы, указанного в абзаце первом настоящего пункта, передача вектора единой биометрической системы не осуществляется.

8. Запрос и передача векторов единой биометрической системы осуществляются с применением шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных:

9. В случае наличия в единой биометрической системе нескольких векторов единой биометрической системы, полученных в результате преобразования биометрических персональных данных одного физического лица с использованием одних и тех же информационных технологий, передаче подлежит приоритетный вектор единой биометрической системы.
Вектор единой биометрической системы, созданный на основании биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ, является приоритетным по отношению к векторам единой биометрической системы, созданным на основании биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частями 9 или 14 статьи 4 или пунктом 10 части 5 статьи 26 Федерального закона N 572-ФЗ.
Вектор единой биометрической системы, созданный на основании биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частью 9 статьи 4 Федерального закона N 572-ФЗ, является приоритетным по отношению к вектору единой биометрической системы, созданному на основании биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частью 14 статьи 4 или пунктом 10 части 5 статьи 26 Федерального закона N 572-ФЗ.
Вектор единой биометрической системы, созданный на основании биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона N 572-ФЗ, является приоритетным по отношению к вектору единой биометрической системы, созданному на основании биометрических персональных данных, размещенных в единой биометрической системе в соответствии с пунктом 10 части 5 статьи 26 Федерального закона N 572-ФЗ.

10. В случае если в аккредитованные органы или организации, региональный сегмент единой биометрической системы был передан вектор единой биометрической системы, после чего в единой биометрической системе были размещены биометрические персональные данные, в результате преобразования которых был создан более приоритетный вектор единой биометрической системы, оператор единой биометрической системы передает в аккредитованные органы и организации, региональный сегмент единой биометрической системы более приоритетный вектор единой биометрической системы.
В случае получения вектора единой биометрической системы или нескольких векторов единой биометрической системы, полученных в результате преобразования биометрических персональных данных одного физического лица, аккредитованные органы и организации, оператор регионального сегмента единой биометрической системы обязаны прекратить обработку и удалить иные ранее полученные векторы единой биометрической системы, полученные в результате преобразования биометрических персональных данных такого физического лица.

11. Запрос на передачу векторов единой биометрической системы направляется аккредитованными органами и организациями оператору единой биометрической системы при наличии согласия физического лица на обработку его биометрических персональных данных, предоставленного такому органу или организации в соответствии с Федеральным законом N 572-ФЗ.

12. В случае прекращения обработки векторов единой биометрической системы в аккредитованных органах или организациях, региональном сегменте единой биометрической системы, отзыва физическим лицом у аккредитованных органов или организаций, оператора регионального сегмента единой биометрической системы согласия на обработку биометрических персональных данных в целях проведения его аутентификации, предоставленного таким органам или организациям, оператору регионального сегмента единой биометрической системы в соответствии с Федеральным законом N 572-ФЗ, получения требования субъекта персональных данных об удалении, уничтожении биометрических персональных данных и (или) векторов единой биометрической системы аккредитованные органы и организации, оператор регионального сегмента единой биометрической системы направляют оператору единой биометрической системы запрос на прекращение получения векторов единой биометрической системы, полученных в результате преобразования биометрических персональных данных указанного физического лица, с подтверждением уничтожения ранее переданных векторов единой биометрической системы.

13. Передача вектора единой биометрической системы оператору регионального сегмента единой биометрической системы осуществляется после получения мотивированного запроса о предоставлении векторов единой биометрической системы для осуществления аутентификации физических лиц, давших согласие на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе в соответствии с частями 2 и 3 статьи 4 Федерального закона N 572-ФЗ, содержащего в том числе перечень случаев, при которых планируется использование векторов единой биометрической системы для осуществления аутентификации.

14. Аккредитованные органы и организации, оператор регионального сегмента единой биометрической системы не вправе передавать векторы единой биометрической системы третьим лицам.

1. Информационные технологии и технические средства, предназначенные для обработки изображения лица человека, полученного с помощью фотовидеоустройств (далее - изображение лица), при размещении биометрических персональных данных в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ в целях проведения идентификации и (или) аутентификации, должны соответствовать следующим требованиям:
а) для регистрации изображения лица необходимо использовать фото- или видеокамеру (далее - камера), эквивалентное фокусное расстояние которой должно составлять от 26,7 до 100 мм при расположении физического лица на расстоянии 0,3 - 1,0 м от камеры;
б) в целях обеспечения выполнения требований пункта 11 Порядка обработки, включая сбор, хранение, биометрических персональных данных, в том числе требований к параметрам биометрических персональных данных, содержащегося в приложении N 1 к настоящему приказу (далее - Порядок обработки), используются камеры со следующими характеристиками:

в) используемые источники освещения должны создавать в области лица освещенность:

г) не допускается использование ретуши и (или) редактирования изображения;
д) допускается кадрирование изображения;
е) фотографирование человека должно производиться с помощью средств автоматизации, позволяющих обеспечить расположение изображения головы в кадре в соответствии с требованиями пункта 11 Порядка обработки.

2. Информационные технологии и технические средства, предназначенные для обработки записи голоса человека, полученной с помощью звукозаписывающих устройств (далее - запись голоса), при размещении биометрических персональных данных в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ в целях проведения идентификации и (или) аутентификации, должны соответствовать следующим требованиям:
а) для регистрации записи голоса необходимо использовать микрофон со следующими характеристиками:

б) в целях обеспечения выполнения требований пункта 13 Порядка обработки используются микрофоны со следующими характеристиками:

3. Вероятность ложного совпадения предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, банком, иной кредитной организацией, некредитной финансовой организацией, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектом национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица одного физического лица и векторов единой биометрической системы другого физического лица должна составлять не более 0,0001.
Вероятность ложного несовпадения предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица одного физического лица и векторов единой биометрической системы этого же физического лица должна составлять не более 0,01.
Вероятность ложного совпадения предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных записи голоса одного физического лица и векторов единой биометрической системы другого физического лица должна составлять не более 0,1.
Вероятность ложного несовпадения предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных записи голоса данных одного физического лица и векторов единой биометрической системы этого же физического лица должна составлять не более 0,1.
Вероятность ложноположительной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица физических лиц, в отношении которых отсутствуют соответствующие векторы единой биометрической системы, при поиске предоставленных биометрических персональных данных одного физического лица по 1 миллиону векторов единой биометрической системы должна составлять не более 0,0001.
Вероятность ложноотрицательной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица физических лиц, в отношении которых созданы соответствующие векторы единой биометрической системы, при поиске предоставленных биометрических персональных данных одного физического лица по 1 миллиону векторов единой биометрической системы должна составлять не более 0,01.
Вероятность ложноположительной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных записи голоса физических лиц, в отношении которых отсутствуют соответствующие векторы единой биометрической системы, при поиске предоставленных биометрических персональных данных одного физического лица по 1 миллиону векторов единой биометрической системы должна составлять не более 0,1.
Вероятность ложноотрицательной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных записи голоса физических лиц, в отношении которых созданы соответствующие векторы единой биометрической системы, при поиске предоставленных биометрических персональных данных одного физического лица по 1 миллиону векторов единой биометрической системы должна составлять не более 0,1.
Вероятность ошибки классификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных при атаке на единую биометрическую систему, информационную систему аккредитованного государственного органа, Центрального банка Российской Федерации в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц (далее - аккредитованные органы и организации), региональный сегмент единой биометрической системы как подлинных биометрических персональных данных должна составлять не более 0,01.
Вероятность ошибки классификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом подлинных биометрических персональных данных должна составлять не более 0,1.
Техническая оценка, проводимая оператором единой биометрической системы в соответствии с пунктом 4 настоящих Требований, для определения указанных в настоящем пункте вероятностей осуществляется в соответствии с программой и методикой испытаний, соответствующей:

4. Информационные технологии, предназначенные для обработки векторов единой биометрической системы, должны пройти техническую оценку на соответствие требованиям, установленным пунктами 3 и 5 настоящих Требований, проводимую оператором единой биометрической системы согласно положению о единой биометрической системе, в том числе о ее региональных сегментах, утверждаемым в соответствии с частью 3 статьи 3 Федерального закона N 572-ФЗ, путем проведения эксплуатационных испытаний.
Сведения об информационных технологиях, предназначенных для обработки векторов единой биометрической системы, успешно прошедших эксплуатационные испытания, с указанием возможных случаев использования таких информационных технологий размещаются на официальном сайте оператора единой биометрической системы. В случае использования аккредитованными органами и организациями, оператором регионального сегмента единой биометрической системы информационных технологий, предназначенных для обработки векторов единой биометрической системы, сведения о которых размещены на официальном сайте оператора единой биометрической системы, проведение повторных эксплуатационных испытаний таких информационных технологий не требуется, за исключением их применения в случаях, отличных от случаев, указанных на официальном сайте оператора единой биометрической системы, либо если с даты проведения эксплуатационных испытаний таких информационных технологий требования к эксплуатационным испытаниям были изменены.
Используемые в аккредитованных органах и организациях, региональном сегменте единой биометрической системы информационные технологии, предназначенные для обработки векторов единой биометрической системы, должны соответствовать информационным технологиям, которые прошли указанную в абзаце первом настоящего пункта техническую оценку и применятся в единой биометрической системе, а также обеспечивать совместимость векторов единой биометрической системы с информационными технологиями, применяемыми в единой биометрической системе.

5. Информационные технологии, предназначенные для обработки векторов единой биометрической системы, должны соответствовать следующим требованиям:

6. В целях обеспечения подтверждения соответствия информационных технологий и технических средств требованиям, предусмотренным настоящими Требованиями, банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, размещающие биометрические персональные данные в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ, аккредитованные органы и организации, оператор регионального сегмента единой биометрической системы направляют в федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных (далее - уполномоченный орган) следующие сведения и документы:

Сведения и документы, предусмотренные настоящим пунктом, могут быть направлены на бумажном носителе или в виде электронного документа, подписанного усиленной квалифицированной электронной подписью банка, многофункционального центра предоставления государственных и муниципальных услуг, иной организации, размещающей биометрические персональные данные в единой биометрической системе, аккредитованного органа и организации, оператора регионального сегмента единой биометрической системы.

7. Подтверждение соответствия Требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения аутентификации (далее - подтверждение соответствия), осуществляется уполномоченным органом не позднее 60 календарных дней со дня получения документов и сведений, указанных в пункте 6 настоящих Требований.

8. Уполномоченный орган подтверждает соответствие информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, по форме, определенной в соответствии с пунктом 2 части 2 статьи 6 Федерального закона N 572-ФЗ.
Подтверждение соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, направляется уполномоченным органом в банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, размещающие биометрические персональные данные в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ, аккредитованные органы и организации, оператору регионального сегмента единой биометрической системы не позднее 3 дней со дня его подписания уполномоченным органом.

9. Основанием для принятия уполномоченным органом решения о несоответствии информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения аутентификации, настоящим Требованиям является несоответствие информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения аутентификации, хотя бы одному из требований, предусмотренных пунктами 1 - 3, 5 настоящих Требований.
Не позднее 3 дней с даты принятия решения о несоответствии информационных технологий и технических средств, указанного в абзаце первом настоящего пункта, уполномоченный орган направляет в банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, размещающие биометрические персональные данные в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ, аккредитованные органы и организации, оператору регионального сегмента единой биометрической системы уведомление о несоответствии информационных технологий и технических средств требованиям, предусмотренным настоящими Требованиями.