МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 25 июня 2018 года N 321
Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации
(с изменениями на 4 июля 2019 года)
____________________________________________________________________
Утратил силу с 1 марта 2022 года на основании
приказа Минцифры России от 10 сентября 2021 года N 930
____________________________________________________________________
____________________________________________________________________
Документ с изменениями, внесенными:
приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 26.09.2019, N 0001201909260016).
____________________________________________________________________
В соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2010, N 31, ст.4196; 2011, N 15, ст.2038; N 30, ст.4600; 2012, N 31, ст.4328; 2013, N 14, ст.1658; N 23, ст.2870; N 27, ст.3479; N 52, ст.6961, ст.6963; 2014, N 19, ст.2302; N 30, ст.4223, ст.4243; N 48, ст.6645; 2015, N 1, ст.84; N 27, ст.3979; N 29, ст.4389, ст.4390; 2016, N 26, ст.3877; N 28, ст.4558; N 52, ст.7491; 2017, N 18, ст.2664; N 24, ст.3478; N 25, ст.3596; N 27, ст.3953; N 31, ст.4790, ст.4825, ст.4827; N 48, ст.7051; 2018, N 1, ст.66; N 18, ст.2572; N 27, ст.3956; N 30, ст.4546; N 52, ст.8101; 2019, N 12, ст.1220, ст.1221)
(Преамбула в редакции, введенной в действие с 7 октября 2019 года приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369. - См. предыдущую редакцию)
приказываю:
1. Утвердить прилагаемые:
порядок размещения и обновления биометрических персональных данных в единой биометрической системе;
2. При реализации требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации, соблюдать постановление Правительства Российской Федерации от 16 сентября 2016 г. N 925 "О приоритете товаров российского происхождения, работ, услуг, выполняемых, оказываемых российскими лицами, по отношению к товарам, происходящим из иностранного государства, работам, услугам, выполняемым, оказываемым иностранными лицами" (Собрание законодательства Российской Федерации, 2016, N 39, ст.5649; 2019, N 29, ст.4023).
(Пункт дополнительно включен с 7 октября 2019 года приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369)
____________________________________________________________________
Пункты 2, 3 и 4 предыдущей редакции с 7 октября 2019 года считаются соответственно пунктами 3, 4 и 5 настоящей редакции - приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369.
____________________________________________________________________
3. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
4. Контроль за исполнением настоящего приказа возложить на статс-секретаря - заместителя Министра цифрового развития, связи и массовых коммуникаций Российской Федерации О.Б.Пака.
5. Настоящий приказ вступает в силу со дня его официального опубликования.
Министр
К.Ю.Носков
Зарегистрировано
в Министерстве юстиции
Российской Федерации
4 июля 2018 года,
регистрационный N 51532
Приложение N 1
к приказу
Министерства цифрового развития,
связи и массовых коммуникаций
Российской Федерации
от 25 июня 2018 года N 321
Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации
(с изменениями на 4 июля 2019 года)
1. Настоящий порядок устанавливает процедуру обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации гражданина Российской Федерации, в том числе с применением информационных технологий без его личного присутствия (далее - идентификация, Порядок).
2. Обработка, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации осуществляется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2010, N 31, ст.4196; 2011, N 15, ст.2038; N 30, ст.4600; 2012, N 31, ст.4328; 2013, N 14, ст.1658; N 23, ст.2870; N 27, ст.3479; N 52, ст.6961, ст.6963; 2014, N 19, ст.2302; N 30, ст.4223, ст.4243; N 48, ст.6645; 2015, N 1, ст.84; N 27, ст.3979; N 29, ст.4389, ст.4390; 2016, N 26, ст.3877; N 28, ст.4558; N 52, ст.7491; 2017, N 18, ст.2664; N 24, ст.3478; N 25, ст.3596; N 27, ст.3953; N 31, ст.4790, ст.4825, ст.4827; N 48, ст.7051; 2018, N 1, ст.66; N 18, ст.2572; N 27, ст.3956; N 30, ст.4546; N 52, ст.8101; 2019, N 12, ст.1220, ст.1221) (далее - Федеральный закон N 149-ФЗ).
(Пункт в редакции, введенной в действие с 7 октября 2019 года приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369. - См. предыдущую редакцию)
3. В настоящем Порядке используются термины и определения, установленные в:
межгосударственном стандарте ГОСТ ISO/IEC 2382-37-2016 "Информационные технологии (ИТ). Словарь. Часть 37. Биометрия", введенном в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 февраля 2017 года N 71-ст. (М., ФГУП "Стандартинформ", 2017);
национальном стандарте Российской Федерации ГОСТ ISO/IEC 19794-1-2015 "Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура", утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2015 года N 1928-ст "О введении в действие межгосударственного стандарта" (М., ФГУП "Стандартинформ", 2016);
национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 "Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица", утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 06 сентября 2013 года N 987-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2015);
национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 29794-1-2012 "Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура", утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 18 сентября 2012 года N 351-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2013);
национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 882-ст* "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).
(Абзац в редакции, введенной в действие с 7 октября 2019 года приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369. - См. предыдущую редакцию)
________________
* Вероятно, ошибка оригинала. Следует читать "N 822-ст". - Примечание изготовителя базы данных.
4. В соответствии с настоящим порядком осуществляется обработка параметров биометрических персональных данных физического лица - гражданина Российской Федерации следующих видов (далее - субъект):
данные изображения лица;
данные голоса.
5. Для обработки биометрических персональных данных применяются информационные технологии и технические средства, имеющие подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации согласно приложению N 3 к настоящему Приказу.
В целях обеспечения подтверждения соответствия, предусмотренного абзацем первым настоящего пункта, государственный орган, банк, иная организация в случаях, определенных федеральными законами (далее - орган или организация), направляет в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - уполномоченный орган) следующие сведения, документы либо их заверенные копии:
документы, подтверждающие право собственности заявителя либо иное законное основание использования информационных технологий и технических средств, предназначенных для обработки изображения лица и данных голоса;
наименование, модель и тип технических средств, предназначенных для обработки изображения лица и данных голоса, а также эксплуатационные документы на указанные технические средства;
сведения об эквивалентном фокусном расстоянии, применяемом для регистрации изображения лица, содержащиеся в технической документации на техническое средство, обеспечивающее регистрацию изображения лица.
(Абзац в редакции, введенной в действие с 7 октября 2019 года приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369. - См. предыдущую редакцию)
Подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации осуществляется уполномоченным органом в течение 30 дней с даты получения указанных документов и сведений.
6. Сбор параметров биометрических персональных данных субъекта персональных данных производится при его личном присутствии уполномоченным сотрудником государственного органа, банка, иной организации, в случаях, определенных федеральными законами (далее - орган и организация), с целью создания биометрического контрольного шаблона, хранение которого осуществляется в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее - единая биометрическая система).
(Абзац с 7 октября 2019 года приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369. - См. предыдущую редакцию)
Биометрические контрольные шаблоны используются в процессе проведения идентификации гражданина Российской Федерации с использованием информационных технологий.
Уполномоченный сотрудник органа и организации при сборе параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации подписывает собранные биометрические персональные данные простой электронной подписью.
7. Органы и организации обязаны принимать организационно-распорядительные меры, предусматривающие:
определение уполномоченных сотрудников, осуществляющих сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и выдачу им ключей простой электронной подписи;
использование уполномоченными сотрудниками, осуществляющими сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, в качестве ключа простой электронной подписи идентификатора, которым является страховой номер индивидуального лицевого счета сотрудника, пароля ключа и иной аутентифицирующей информации (не являющейся паролем), уникальных для каждого сотрудника;
защищенное хранение выданных уполномоченным сотрудникам, осуществляющим сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, ключей простой электронной подписи, обеспечивающее их конфиденциальность и исключающее несанкционированное изменение, добавление и удаление;
сохранение идентификатора уполномоченного сотрудника, осуществляющего сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и результата его аутентификации в составе данных, содержащих биометрические персональные данные, собранные указанным сотрудником, и иную информацию, указанную в пункте 15 настоящего Порядка;
(Абзац в редакции, введенной в действие с 7 октября 2019 года приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369. - См. предыдущую редакцию)
обеспечение и регулярную проверку (не реже одного раза в неделю) надлежащего функционирования информационных технологий и технических средств, иных программно-технических средств, предназначенных для обеспечения процессов сбора и обработки биометрических персональных данных, в том числе автоматизированную передачу результатов проведенной проверки в единую биометрическую систему.
(Абзац дополнительно включен с 7 октября 2019 года приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369)
8. Уполномоченные сотрудники, осуществляющие сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, обязаны соблюдать конфиденциальность выданных им паролей ключа простой электронной подписи и аутентифицирующей информации (не являющейся паролем). Сотрудники, осуществляющие создание, выдачу и хранение ключей простой электронной подписи, обязаны соблюдать конфиденциальность ключей простой электронной подписи, к которым имеют доступ.
9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать:
1) информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации (далее - инциденты безопасности, требования по защите информации соответственно), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.
Банки осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня с момента их выявления.
2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст.863; 2016, N 26, ст.4049) и информирование Банка России о результатах такой оценки.
(Подпункт в редакции, введенной в действие с 7 октября 2019 года приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369. - См. предыдущую редакцию)
10. Обработка параметров биометрических персональных данных гражданина Российской Федерации осуществляется после проведения идентификации гражданина Российской Федерации при его личном присутствии в соответствии с требованиями, утвержденными в соответствии с пунктом 2 части 2 статьи 14.1 Федерального закона N 149-ФЗ, а также получения согласно Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2009, N 48, ст.5716; N 52, ст.6439; 2010, N 27, ст.3407; N 31, ст.4173, 4196; N 49, ст.6409; N 52, ст.6974; 2011, N 23, ст.3263; N 31, ст.4701; 2013, N 14, ст.1651; N 30, ст.4038; N 51, ст.6683; 2014, N 23, ст.2927; N 30, ст.4217, 4243; 2016, N 27, ст.4164; 2017, N 9, ст.1276; N 27, ст.3945; N 31, ст.4772) (далее - Федеральный закон N 152-ФЗ) согласия на обработку персональных данных и биометрических персональных данных, в форме, утвержденной Правительством Российской Федерации в соответствии с пунктом 5 статьи 14.1 Федерального закона N 149-ФЗ.
