8. Банки, осуществляющие в соответствии с подпунктом 1 пункта 1 настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, организации финансового рынка, осуществляющие в соответствии с подпунктом 3 пункта 1 настоящего Порядка размещение биометрических персональных данных в единой биометрической системе, должны обеспечивать:
- информирование Центрального банка Российской Федерации о выявленных инцидентах, связанных с обеспечением защиты информации при размещении и обновлении биометрических персональных данных (далее - инциденты безопасности), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности биометрических персональных данных. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления;
- проведение не реже одного раза в 2 года оценки соответствия требованиям по защите информации на соответствие второму уровню защиты информации (стандартному), предусмотренному пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 г. N 882-ст, с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Центрального банка Российской Федерации о результатах такой оценки;
- информирование уполномоченного органа по защите прав субъектов персональных данных об инцидентах безопасности, повлекших неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных. Информирование о выявленных инцидентах безопасности осуществляется не позднее одного рабочего дня со дня их выявления.