ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

от 14 февраля 2019 года N 4-МР

По нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации

     Глава 1. Общие положения

1.1. В целях нейтрализации угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, определенных Указанием Банка России N 4859-У, Публичного акционерного общества "Ростелеком" N 01/01/782-18 от 9 июля 2018 года "О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" в Единой биометрической системе" (далее - Указание Банка России N 4859-У) Банк России доводит до сведения кредитных организаций (далее - банки) следующие рекомендации по обеспечению информационной безопасности.

1.2. Настоящие рекомендации по обеспечению информационной безопасности банкам рекомендуется применять при использовании ЕБС на следующих технологических участках.

1.2.1. В процессе сбора биометрических персональных данных физических лиц для целей передачи в ЕБС:

на технологическом участке сбора биометрических персональных данных физических лиц;

на технологическом участке передачи собранных биометрических персональных данных физических лиц между структурными подразделениями банка;

на технологическом участке обработки собранных биометрических персональных данных физических лиц с целью передачи в ЕБС с использованием Единой системы межведомственного электронного взаимодействия (далее - СМЭВ);

на технологическом участке передачи биометрических персональных данных физических лиц в ЕБС с использованием СМЭВ.

1.2.2. В процессе обработки запросов физических лиц и их персональных данных, а также информации о степени соответствия в целях проведения идентификации физического лица без его личного присутствия с использованием биометрических персональных данных (далее - удаленная идентификация):

на технологическом участке удаленной идентификации клиента - физического лица;

на технологическом участке проверки результатов удаленной идентификации клиента - физического лица в Единой системе идентификации и аутентификации (далее - ЕСИА) и ЕБС;

на технологическом участке взаимодействия банка с ЕСИА и ЕБС.

1.3. Банкам рекомендуется обеспечивать защиту информации при использовании ЕБС с применением средств криптографической защиты информации, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности (далее - СКЗИ), разработанных и эксплуатируемых в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66, зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350 (далее - Положение ПКЗ-2005), и технической документацией на СКЗИ.

     Глава 2. Обеспечение информационной безопасности в процессе сбора биометрических персональных данных физических лиц для целей передачи в ЕБС

2.1. В целях обеспечения информационной безопасности на технологическом участке сбора биометрических персональных данных физических лиц банкам рекомендуется следующее.

2.1.1. Рекомендуется размещать объекты информационной инфраструктуры, используемые на технологическом участке сбора, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

2.1.2. Для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Росстандарта от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).

2.1.3. Рекомендуется применять средства защиты информации, сертифицированные по системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, не ниже 5-го класса.

К указанным средствам защиты информации относятся:

средства (системы) защиты информации от несанкционированного доступа (далее - СЗИ от НСД);

средства защиты информации от воздействия вредоносного кода (далее - СЗИ от ВВК);

средства межсетевого экранирования;

средства (системы) обнаружения вторжений (компьютерных атак).

2.1.4. Обращаем внимание на необходимость обеспечить реализацию мер, указанных в пунктах 7, 8 Приложения N 1 к Приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25 июня 2018 года N 321 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в Единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации", зарегистрированному Министерством юстиции Российской Федерации 4 июля 2018 года N 51532.

В целях усиления информационной безопасности на технологическом участке сбора биометрических персональных данных физических лиц в дополнение к указанным мерам рекомендуется обеспечить для каждого сотрудника, осуществляющего сбор параметров биометрических персональных данных физических лиц (далее - уполномоченный сотрудник), возможность использования персонального квалифицированного сертификата ключа проверки электронной подписи для подписания электронных сообщений, содержащих биометрические персональные данные, в целях установления факта подписания электронных сообщений этим сотрудником.

2.1.5. Рекомендуется обеспечить информирование уполномоченных сотрудников о регистрации (протоколировании) информации о его действиях при сборе и обработке биометрических персональных данных физических лиц и о последствиях нарушения правил обработки персональных данных физических лиц в соответствии с законодательством Российской Федерации.

2.1.6. Рекомендуется исключить возможность хранения биометрических персональных данных физических лиц на автоматизированном рабочем месте, предназначенном для сбора и обработки биометрических персональных данных, после завершения регистрации биометрических персональных данных физического лица в ЕБС.

2.1.7. Рекомендуется осуществлять контроль целостности и подтверждение подлинности электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, путем их подписания усиленной квалифицированной электронной подписью (далее - УКЭП), реализуемой средствами электронной подписи класса не ниже КС2 в случае применения средств защиты информации от несанкционированного доступа не ниже 4-го класса защищенности, сертифицированных по системе сертификации ФСТЭК России, или путем их подписания УКЭП, реализуемой средствами электронной подписи класса не ниже КС3 в иных случаях.

2.1.8. Рекомендуется обеспечить регистрацию действий, связанных с:

выполнением процедур идентификации, аутентификации, авторизации уполномоченных сотрудников при доступе к объектам информационной инфраструктуры банка, используемым для сбора биометрических персональных данных;

доступом указанных сотрудников к объектам информационной инфраструктуры банка, используемым для сбора биометрических персональных данных физических лиц;

назначением и изменением прав доступа указанных сотрудников к объектам информационной инфраструктуры банка, используемым для сбора биометрических персональных данных физических лиц;

формированием электронного сообщения, содержащего собранные биометрические персональные данные физических лиц, для передачи;

подписанием электронных сообщений, содержащих собранные биометрические персональные данные физических лиц.

2.2. В целях обеспечения информационной безопасности на технологическом участке передачи биометрических персональных данных физических лиц между структурными подразделениями банка банкам рекомендуется следующее.

2.2.1. Рекомендуется обеспечивать конфиденциальность передаваемой информации, содержащей биометрические персональные данные физических лиц, на технологическом участке передачи собранных биометрических персональных данных физических лиц между структурными подразделениями банка с применением СКЗИ класса не ниже КС2 в случае применения средств защиты информации от несанкционированного доступа не ниже 4-го класса защищенности, сертифицированных по системе сертификации ФСТЭК России, или с применением СКЗИ класса не ниже КС3 в иных случаях.

________________

Во исполнение требований пункта 1.2 Указания Банка России N 4859-У, пунктов 11 и 12 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом ФСБ России от 10 июля 2014 N 378 (далее - приказ ФСБ России N 378).

2.2.2. Рекомендуется обеспечить регистрацию действий, связанных с передачей электронных сообщений, содержащих собранные биометрические персональные данные.

2.3. В целях обеспечения информационной безопасности на технологическом участке обработки собранных биометрических персональных данных физических лиц с целью передачи в ЕБС с использованием СМЭВ банкам рекомендуется следующее.

2.3.1. Рекомендуется размещать объекты информационной инфраструктуры, используемые на технологическом участке обработки собранных биометрических персональных данных физических лиц с целью передачи в ЕБС с использованием СМЭВ, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

2.3.2. Банкам для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей, предусмотренных подпунктом 2.3.1 настоящего пункта, рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

2.3.3. Банкам - системно значимым кредитным организациям для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей, предусмотренных подпунктом 2.3.1 настоящего пункта, рекомендуется применять меры защиты информации, реализующие усиленный уровень (уровень 1) защиты информации, определенный ГОСТ Р 57580.1-2017.

2.3.4. Банкам - системно значимым кредитным организациям для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей, предусмотренных подпунктом 2.3.1 настоящего пункта, рекомендуется реализовывать мероприятия по обеспечению непрерывности и восстановления деятельности, исключающие приостановление обработки, а также передачи биометрических персональных данных физических лиц на продолжительный (более двух часов) период времени.

2.3.5. Рекомендуется применять средства защиты информации, сертифицированные по системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, не ниже 5-го класса.

К указанным средствам защиты информации относятся:

СЗИ от НСД;

СЗИ от ВВК;

средства межсетевого экранирования;

средства (системы) обнаружения вторжений (компьютерных атак).

2.3.6. Банкам - системно значимым кредитным организациям рекомендуется применять средства защиты информации, сертифицированные по системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, не ниже 4-го класса.

К указанным средствам защиты информации относятся:

СЗИ от НСД;

СЗИ от ВВК;

средства межсетевого экранирования;

средства (системы) обнаружения вторжений (компьютерных атак).

2.3.7. Рекомендуется осуществлять контроль целостности и подтверждение подлинности электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, на технологическом участке обработки собранных биометрических персональных данных физических лиц с целью передачи в ЕБС с использованием СМЭВ, путем их подписания УКЭП банка, реализуемых СКЗИ класса не ниже КВ (средствами электронной подписи класса не ниже КВ2).

________________

Во исполнение требований пункта 1.3.1 Указания Банка России N 4859-У, пункта 13 приложения к приказу ФСБ России N 378.

2.3.8. Рекомендуется обеспечивать функционирование объектов информационной инфраструктуры для выполнения действий, указанных в подпункте 2.3.7 настоящего пункта, любым из следующих способов:

с использованием собственного решения;

с использованием типового решения;

с использованием решения поставщика услуг (облачного решения), при наличии такого решения на рынке информационных технологий.

2.3.8.1. В случае функционирования объектов информационной инфраструктуры с использованием собственного решения для выполнения действий, указанных в подпункте 2.3.7 настоящего пункта, рекомендуется обеспечить:

получение квалифицированного сертификата ключа проверки электронной подписи банка, созданного аккредитованным Минкомсвязью России удостоверяющим центром (ФГБУ НИИ "Восход") с применением средств удостоверяющего центра класса не ниже КВ2;

встраивание программно-аппаратного модуля криптографической защиты (HSM), сертифицированного в качестве СКЗИ по классу не ниже КВ (средства электронной подписи по классу не ниже КВ2), в подсистему обработки биометрических персональных данных физических лиц в соответствии с требованиями, изложенными в эксплуатационной документации на программно-аппаратный модуль криптографической защиты (HSM), собственными силами, при наличии соответствующей лицензии ФСБ России, либо силами сторонних организаций, имеющих соответствующую лицензию ФСБ России;

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»