***
МИНИСТЕРСТВО
ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
И
МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от
25 июня 2018 г. N 321
ОБ
УТВЕРЖДЕНИИ ПОРЯДКА
ОБРАБОТКИ,
ВКЛЮЧАЯ СБОР И ХРАНЕНИЕ, ПАРАМЕТРОВ
БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ЦЕЛЯХ ИДЕНТИФИКАЦИИ,
ПОРЯДКА
РАЗМЕЩЕНИЯ И ОБНОВЛЕНИЯ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ
ДАННЫХ
В ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЕ, А ТАКЖЕ ТРЕБОВАНИЙ
К
ИНФОРМАЦИОННЫМ ТЕХНОЛОГИЯМ И ТЕХНИЧЕСКИМ СРЕДСТВАМ,
ПРЕДНАЗНАЧЕННЫМ
ДЛЯ ОБРАБОТКИ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ
ДАННЫХ
В ЦЕЛЯХ ПРОВЕДЕНИЯ ИДЕНТИФИКАЦИИ
В
соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля
2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите
информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст.
3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31,
ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961,
ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243; N 48, ст. 6645; 2015,
N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 26, ст. 3877; N
28, ст. 4558; N 52, ст. 7491; 2017, N 18, ст. 2664; N 24, ст. 3478; N 25, ст.
3596; N 27, ст. 3953; N 31, ст. 4790, ст. 4825, ст. 4827; N 48, ст. 7051; 2018,
N 1, ст. 66; N 18, ст. 2572; N 27, ст. 3956; N 30, ст. 4546; N 52, ст. 8101;
2019, N 12, ст. 1220, ст. 1221) приказываю:
(преамбула
в ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
1.
Утвердить прилагаемые:
порядок
обработки, включая сбор и хранение, параметров биометрических персональных
данных в целях идентификации;
порядок
размещения и обновления биометрических персональных данных в единой
биометрической системе;
требования
к информационным технологиям и техническим средствам, предназначенным для
обработки биометрических персональных данных в целях проведения
идентификации.
2.
При реализации требований к информационным технологиям и техническим средствам,
предназначенным для обработки биометрических персональных данных в целях
проведения идентификации, соблюдать постановление Правительства Российской
Федерации от 16 сентября 2016 г. N 925 "О приоритете товаров российского
происхождения, работ, услуг, выполняемых, оказываемых российскими лицами, по
отношению к товарам, происходящим из иностранного государства, работам, услугам,
выполняемым, оказываемым иностранными лицами" (Собрание законодательства
Российской Федерации, 2016, N 39, ст. 5649; 2019, N 29, ст.
4023).
(п.
2 введен Приказом Минкомсвязи России от 04.07.2019 N 369)
3.
Направить настоящий приказ на государственную регистрацию в Министерство юстиции
Российской Федерации.
4.
Контроль за исполнением настоящего приказа возложить на статс-секретаря -
заместителя Министра цифрового развития, связи и массовых коммуникаций
Российской Федерации О.Б. Пака.
5.
Настоящий приказ вступает в силу со дня его официального
опубликования.
Министр
К.Ю.НОСКОВ
Приложение
N 1
к
приказу Министерства
цифрового
развития, связи
и
массовых коммуникаций
Российской
Федерации
от
25.06.2018 N 321
ОБРАБОТКИ,
ВКЛЮЧАЯ СБОР И ХРАНЕНИЕ, ПАРАМЕТРОВ
БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ЦЕЛЯХ ИДЕНТИФИКАЦИИ
1.
Настоящий порядок устанавливает процедуру обработки, включая сбор и хранение,
параметров биометрических персональных данных в целях идентификации гражданина
Российской Федерации, в том числе с применением информационных технологий без
его личного присутствия (далее - идентификация, Порядок).
2.
Обработка, включая сбор и хранение, параметров биометрических персональных
данных в целях идентификации осуществляется с применением информационных
технологий и технических средств, имеющих подтверждение соответствия
требованиям, установленным в соответствии с Федеральным законом от 27 июля 2006
года N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
(Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N
31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013,
N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014,
N 19, ст. 2302; N 30, ст. 4223, ст. 4243; N 48, ст. 6645; 2015, N 1, ст. 84; N
27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 26, ст. 3877; N 28, ст. 4558; N
52, ст. 7491; 2017, N 18, ст. 2664; N 24, ст. 3478; N 25, ст. 3596; N 27, ст.
3953; N 31, ст. 4790, ст. 4825, ст. 4827; N 48, ст. 7051; 2018, N 1, ст. 66; N
18, ст. 2572; N 27, ст. 3956; N 30, ст. 4546; N 52, ст. 8101; 2019, N 12, ст.
1220, ст. 1221) (далее - Федеральный закон N 149-ФЗ).
(в
ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
3.
В настоящем Порядке используются термины и определения, установленные
в:
межгосударственном
стандарте ГОСТ ISO/IEC 2382-37-2016 "Информационные технологии (ИТ). Словарь.
Часть 37. Биометрия", введенном в действие приказом Федерального агентства по
техническому регулированию и метрологии от 28 февраля 2017 года N 71-ст (М.,
ФГУП "Стандартинформ", 2017);
национальном
стандарте Российской Федерации ГОСТ ISO/IEC 19794-1-2015 "Информационные
технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1.
Структура", утвержденном приказом Федерального агентства по техническому
регулированию и метрологии от 20 ноября 2015 года N 1928-ст "О введении в
действие межгосударственного стандарта" (М., ФГУП "Стандартинформ",
2016);
национальном
стандарте Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 "Информационные
технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные
изображения лица", утвержденном приказом Федерального агентства по техническому
регулированию и метрологии от 6 сентября 2013 года N 987-ст "Об утверждении
национального стандарта" (М., ФГУП "Стандартинформ",
2015);
национальном
стандарте Российской Федерации ГОСТ Р ИСО/МЭК 29794-1-2012 "Информационные
технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура",
утвержденном приказом Федерального агентства по техническому регулированию и
метрологии от 18 сентября 2012 года N 351-ст "Об утверждении национального
стандарта" (М., ФГУП "Стандартинформ", 2013);
национальном
стандарте Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт
Российской Федерации. Безопасность финансовых (банковских) операций. Защита
информации финансовых организаций. Базовый состав организационных и технических
мер", утвержденного приказом Федерального агентства по техническому
регулированию и метрологии от 8 августа 2017 года N 882-ст "Об утверждении
национального стандарта" (М., ФГУП "Стандартинформ",
2017).
(в
ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
4.
В соответствии с настоящим порядком осуществляется обработка параметров
биометрических персональных данных физического лица - гражданина Российской
Федерации следующих видов (далее - субъект):
данные
изображения лица;
данные
голоса.
5.
Для обработки биометрических персональных данных применяются информационные
технологии и технические средства, имеющие подтверждение соответствия
требованиям к информационным технологиям и техническим средствам,
предназначенным для обработки биометрических персональных данных в целях
проведения идентификации согласно приложению N 3 к настоящему
Приказу.
В
целях обеспечения подтверждения соответствия, предусмотренного абзацем первым
настоящего пункта, государственный орган, банк, иная организация в случаях,
определенных федеральными законами (далее - орган или организация), направляет в
Министерство цифрового развития, связи и массовых коммуникаций Российской
Федерации (далее - уполномоченный орган) следующие сведения, документы либо их
заверенные копии:
документы,
подтверждающие право собственности заявителя либо иное законное основание
использования информационных технологий и технических средств, предназначенных
для обработки изображения лица и данных голоса;
наименование,
модель и тип технических средств, предназначенных для обработки изображения лица
и данных голоса, а также эксплуатационные документы на указанные технические
средства;
сведения
об эквивалентном фокусном расстоянии, применяемом для регистрации изображения
лица, содержащиеся в технической документации на техническое средство,
обеспечивающее регистрацию изображения лица.
(в
ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
Подтверждение
соответствия требованиям к информационным технологиям и техническим средствам,
предназначенным для обработки биометрических персональных данных в целях
проведения идентификации, осуществляется уполномоченным органом в течение 30
дней с даты получения указанных документов и сведений.
6.
Сбор параметров биометрических персональных данных субъекта персональных данных
производится при его личном присутствии уполномоченным сотрудником
государственного органа, банка, иной организации, в случаях, определенных
федеральными законами (далее - орган и организация), с целью создания
биометрического контрольного шаблона, хранение которого осуществляется в единой
информационной системе персональных данных, обеспечивающей обработку, включая
сбор и хранение биометрических персональных данных, их проверку и передачу
информации о степени их соответствия предоставленным биометрическим персональным
данным гражданина Российской Федерации (далее - единая биометрическая
система).
(в
ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
Биометрические
контрольные шаблоны используются в процессе проведения идентификации гражданина
Российской Федерации с использованием информационных
технологий.
Уполномоченный
сотрудник органа и организации при сборе параметров биометрических персональных
данных в целях проведения идентификации гражданина Российской Федерации
подписывает собранные биометрические персональные данные простой электронной
подписью.
7.
Органы и организации обязаны принимать организационно-распорядительные меры,
предусматривающие:
определение
уполномоченных сотрудников, осуществляющих сбор параметров биометрических
персональных данных в целях проведения идентификации гражданина Российской
Федерации, и выдачу им ключей простой электронной подписи;
использование
уполномоченными сотрудниками, осуществляющими сбор параметров биометрических
персональных данных в целях проведения идентификации гражданина Российской
Федерации, в качестве ключа простой электронной подписи идентификатора, которым
является страховой номер индивидуального лицевого счета сотрудника, пароля ключа
и иной аутентифицирующей информации (не являющейся паролем), уникальных для
каждого сотрудника;
защищенное
хранение выданных уполномоченным сотрудникам, осуществляющим сбор параметров
биометрических персональных данных в целях проведения идентификации гражданина
Российской Федерации, ключей простой электронной подписи, обеспечивающее их
конфиденциальность и исключающее несанкционированное изменение, добавление и
удаление;
сохранение
идентификатора уполномоченного сотрудника, осуществляющего сбор параметров
биометрических персональных данных в целях проведения идентификации гражданина
Российской Федерации, и результата его аутентификации в составе данных,
содержащих биометрические персональные данные, собранные указанным сотрудником,
и иную информацию, указанную в пункте 15 настоящего
Порядка;
(в
ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
обеспечение
и регулярную проверку (не реже одного раза в неделю) надлежащего
функционирования информационных технологий и технических средств, иных
программно-технических средств, предназначенных для обеспечения процессов сбора
и обработки биометрических персональных данных, в том числе автоматизированную
передачу результатов проведенной проверки в единую биометрическую
систему.
(абзац
введен Приказом Минкомсвязи России от 04.07.2019 N 369)
8.
Уполномоченные сотрудники, осуществляющие сбор параметров биометрических
персональных данных в целях проведения идентификации гражданина Российской
Федерации, обязаны соблюдать конфиденциальность выданных им паролей ключа
простой электронной подписи и аутентифицирующей информации (не являющейся
паролем). Сотрудники, осуществляющие создание, выдачу и хранение ключей простой
электронной подписи, обязаны соблюдать конфиденциальность ключей простой
электронной подписи, к которым имеют доступ.
9.
В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны
обеспечивать:
1)
информирование Банка России о выявленных инцидентах, связанных с нарушениями
требований к обеспечению защиты информации при обработке, включая сбор и
хранение, параметров биометрических персональных данных в целях идентификации
(далее - инциденты безопасности, требования по защите информации
соответственно), которые привели или могут привести к нарушению или попыткам
нарушения целостности, конфиденциальности и (или) доступности защищаемой
информации.
Банки
осуществляют информирование Банка России о выявленных инцидентах безопасности не
позднее одного рабочего дня с момента их выявления.
2)
ежегодное проведение оценки соответствия требований по защите информации с
привлечением сторонних организаций, имеющих лицензию на осуществление
деятельности по технической защите конфиденциальной информации на проведение
работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о
лицензировании деятельности по технической защите конфиденциальной информации,
утвержденного постановлением Правительства Российской Федерации от 3 февраля
2012 года N 79 "О лицензировании деятельности по технической защите
конфиденциальной информации" и информирование Банка России о результатах такой
оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863;
2016, N 26, ст. 4049).
(в
ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
10.
Обработка параметров биометрических персональных данных гражданина Российской
Федерации осуществляется после проведения идентификации гражданина Российской
Федерации при его личном присутствии в соответствии с требованиями,
утвержденными в соответствии с пунктом 2 части 2 статьи 14.1 Федерального закона
N 149-ФЗ, а также получения согласно Федеральному закону от 27 июля 2006 г. N
152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации,
2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст.
3407; N 31, ст. 4173, 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст.
3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683;
2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 9, ст.
1276; N 27, ст. 3945; N 31, ст. 4772) (далее - Федеральный закон N 152-ФЗ)
согласия на обработку персональных данных и биометрических персональных данных,
в форме, утвержденной Правительством Российской Федерации в соответствии с
пунктом 5 статьи 14.1 Федерального закона N 149-ФЗ.
В
случае отзыва субъектом персональных данных в соответствии с частью 2 статьи 9
Федерального закона N 152-ФЗ согласия на обработку персональных данных,
использование его биометрических персональных данных в целях проведения
идентификации не осуществляется.
11.
В процессе обработки параметров биометрических персональных данных создаются
биометрические образцы данных изображения лица субъекта (далее - БО изображения
лица) и биометрические образцы данных голоса (далее - БО записи
голоса).
12.
БО изображения лица должны соответствовать следующим
требованиям:
цвета
пикселей изображений фронтального типа должны быть представлены в 24-битовом
цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на
каждый компонент цвета: красный, зеленый и синий;
поворот
головы должен быть не более 5° от фронтального положения;
наклон
головы должен быть не более 5° от фронтального положения;
отклонение
головы должно быть не более 8° от фронтального положения;
расстояние
между центрами глаз должно составлять не менее 120
пикселей;
изображение
должно содержать полное изображение головы человека в анфас, включая левое и
правое ухо (при их наличии), верхнюю точку лобной области головы и
подбородок;
(в
ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
абзац
исключен. - Приказ Минкомсвязи России от 04.07.2019 N 369;
не
допускается перекрытие волосами или посторонними предметами изображение лица по
всей ширине от бровей до нижней губы;
на
изображении должно присутствовать только одно лицо, наличие других лиц,
фрагментов других лиц не допускается;
выражение
лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для
соответствующего субъекта (с учетом поведенческих факторов и (или) медицинских
заболеваний);
лицо
должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и
блики;
не
допускается использование ретуши и редактирования
изображения;
допускается
кадрирование изображения;
в
случае фотографирования человека в очках не допускается наличие солнцезащитных
очков и ярких световых артефактов или отражения вспышки от
очков;
изображение
лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (0 x 00),
PNG (0 x 03);
фотографирование
человека должно производиться с помощью средств автоматизации, позволяющих
обеспечить расположение изображения головы в кадре в соответствии с требованиями
настоящего приказа.
(абзац
введен Приказом Минкомсвязи России от 04.07.2019 N 369)
13.
БО записи голоса должны соответствовать следующим
требованиям:
отношение
сигнал-шум для звука не менее 15 дБ;
глубина
квантования не менее 16 бит;
частота
дискретизации не менее 16 кГц;
запись
голоса должна быть сохранена в формате RIFF (WAV);
код
сжатия:
PCM/uncompressed (0 x 0001)
количество
каналов в записи голоса: 1 (моно режим) канал;
не
допускается использовать шумоподавление;
на
записи должен присутствовать голос одного человека;
запрещено
получение БО записи голоса путем перекодирования фонограмм, записанных с помощью
технических средств телефонной сети общего пользования;
для
текстозависимого алгоритма распознавания по голосу:
произнесенное
субъектом сообщение должно соответствовать последовательности букв и (или) цифр,
сгенерированной программным обеспечением информационной системы органа или
организации;
запись
голоса должна содержать указанную последовательность полностью и не должна
прерываться;
при
осуществлении записи голоса эмоционально-психологическое состояние и состояние
субъекта должно быть нормальным, не возбужденным, без явных признаков
заболеваний, препятствующих произнесению сообщения, указанного в абзаце
двенадцатом настоящего пункта, или способных нарушить тембр и (или) звучание
голоса;
сообщение,
указанное в абзаце двенадцатом настоящего пункта, должно быть произнесено
субъектом на русском языке.
14.
Проверка собранных уполномоченными сотрудниками органов и организаций
биометрических образцов на соответствие требованиям, установленным пунктами 12,
13 настоящего Порядка (далее - контроль качества), осуществляется в
автоматизированном режиме с использованием соответствующего программного
обеспечения предоставляемого оператором единой биометрической
системы.
(п.
14 в ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
15.
В случае если в процессе прохождения контроля качества установлено соответствие
биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего
Порядка, такие образцы, содержащие, в том числе, метку даты, времени и места, а
также информацию о технических средствах, с использованием которых осуществлялся
процесс сбора и обработки параметров биометрических персональных данных, и о их
состоянии передаются органами и организациями в единую биометрическую систему в
автоматизированном режиме с использованием единой системы межведомственного
электронного взаимодействия.
(п.
15 в ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
16.
В единой биометрической системе переданные биометрические образцы проходят
контроль качества с использованием программного обеспечения указанной
системы.
В
случае если в процессе прохождения контроля качества, осуществляемого в
соответствии с абзацем первым настоящего пункта, установлено несоответствие
биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего
Порядка, в единой биометрической системе, создание биометрического контрольного
шаблона не осуществляется.
В
случае если в процессе прохождения контроля качества, осуществляемого в
соответствии с абзацем первым настоящего пункта, установлено несоответствие
биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего
Порядка, органы и организации, осуществляющие размещение в единой биометрической
системе биометрических персональных данных субъекта, обязаны направить
информацию об указанных событиях в единую биометрическую систему в
автоматизированном режиме с использованием единой системы межведомственного
электронного взаимодействия, а также принять все возможные
организационно-технические меры по повышению качества сбора параметров
биометрических персональных данных.
(абзац
введен Приказом Минкомсвязи России от 04.07.2019 N 369)
17.
Хранение, в том числе биометрических персональных данных, размещенных в единой
биометрической системе, в целях идентификации осуществляется в соответствии со
статьей 19 Федерального закона N 152-ФЗ в течение не менее чем 50 лет с момента
их размещения в указанной системе.
(в
ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
Биометрические
персональные данные, собранные в соответствии с настоящим Порядком, размещенные
в единой биометрической системе, а также обрабатываемые в информационных
системах органов и организаций, используются в целях идентификации не более 3
лет с даты сбора.
По
истечении срока, указанного в абзаце втором настоящего пункта, использование
биометрических персональных данных, размещенных в единой биометрической системе,
в целях идентификации не допускается.
18.
Информация о степени соответствия, передаваемая из единой биометрической системы
в органы и организации, подписывается усиленной квалифицированной электронной
подписью, основанной на квалифицированном сертификате ключа проверки электронной
подписи, выданном оператору единой биометрической системы и созданном с
использованием средств удостоверяющего центра и средств электронной подписи,
обеспечивающих нейтрализацию угроз безопасности персональных данных,
определенных в пункте 1.5.1 Указания Центрального банка Российской Федерации N
4859-У, Публичного акционерного общества "Ростелеком" N 01/01/782-18 от 9 июля
2018 г. "О перечне угроз безопасности, актуальных при обработке, включая сбор и
хранение, биометрических персональных данных, их проверке и передаче информации
о степени их соответствия предоставленным биометрическим персональным данным
гражданина Российской Федерации в государственных органах, банках и иных
организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона
от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о
защите информации", в единой биометрической системе" (зарегистрировано
Министерством юстиции Российской Федерации 30 июля 2018 г., регистрационный N
51735).
(п.
18 введен Приказом Минкомсвязи России от 04.07.2019 N 369)
Приложение
2
к
приказу Министерства
цифрового
развития, связи
и
массовых коммуникаций
Российской
Федерации
от
25.06.2018 N 321
РАЗМЕЩЕНИЯ
И ОБНОВЛЕНИЯ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
В
ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЕ
1.
Порядок размещения и обновления биометрических персональных данных в единой
информационной системе персональных данных, обеспечивающей обработку, включая
сбор и хранение биометрических персональных данных, их проверку и передачу
информации о степени их соответствия предоставленным биометрическим персональным
данным гражданина Российской Федерации (далее - единая биометрическая система),
устанавливает процедуру размещения и обновления биометрических персональных
данных в единой биометрической системе в целях идентификации гражданина
Российской Федерации, в том числе, с применением информационных технологий без
его личного присутствия (далее - идентификация, Порядок).
2.
Размещение и обновление в электронной форме в единой биометрической системе
сведений, определенных частью 8 статьи 14.1 Федерального закона 149-ФЗ,
осуществляются банками, соответствующими критериям, установленным абзацами
вторым - четвертым пункта 5.7 статьи 7 Федерального закона от 7 августа 2001
года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных
преступным путем, и финансированию терроризма" (Собрание законодательства
Российской Федерации, 2001, N 33, ст. 3418; 2002, N 44, ст. 4296; 2004, N 31,
ст. 3224; 2006, N 31, ст. 3446, 3452; 2007, N 16, ст. 1831; N 49, ст. 6036;
2009, N 23, ст. 2776; 2010, N 30, ст. 4007; N 31, ст. 4166; 2011, N 27, ст.
3873; N 46, ст. 6406; 2013, N 26, ст. 3207; N 44, ст. 5641; N 52, ст. 6968;
2014, N 19, ст. 2311, 2315; N 23, ст. 2934; N 30, ст. 4219; 2015, N 1, ст. 37; N
18, ст. 2614; N 24, ст. 3367; N 27, ст. 3945, 4001; 2016, N 1, ст. 27, 43, 44; N
26, ст. 3860; N 27, ст. 4196; N 28, ст. 4558; 2017, N 31, ст. 4830, 2018, N 1,
ст. 66, N 17, ст. 2418, N 18, ст. 2582), государственными органами и иными
организации в случаях, определенных федеральными законами, с согласия гражданина
Российской Федерации и на безвозмездной основе.
3.
Размещение и обновление в единой биометрической системе биометрических
персональных данных осуществляются в соответствии с законодательством Российской
Федерации в области персональных данных и настоящим
Порядком.
4.
Размещение и обновление биометрических персональных данных в единой
биометрической системе осуществляется органами и организациями с использованием
единой системы межведомственного электронного
взаимодействия.
5.
Обновление сведений в единой биометрической системе осуществляется в
соответствии с порядком обработки, включая сбор и хранение, параметров
биометрических персональных данных в целях идентификации в соответствии с
приложением 1 к настоящему приказу (далее - Порядок
обработки).
6.
При размещении и обновлении сведений в единой биометрической системе банки
должны осуществлять информирование Банка России о выявленных инцидентах
безопасности в соответствии с подпунктом 1 пункта 9 Порядка
обработки.
7.
Размещение и обновление сведений в единой биометрической системе осуществляется
в соответствии с требованиями к фиксированию действий в соответствии с пунктом 1
части 2 статьи 14.1 Федерального закона N 149-ФЗ.
8.
Биометрические персональные данные, а также иная информация, указанная в пункте
15 Порядка обработки, размещаются и обновляются в единой биометрической системе
уполномоченным сотрудником органов и организаций (далее - уполномоченные
сотрудники) и подписываются усиленной квалифицированной электронной подписью,
основанной на квалифицированном сертификате ключа проверки электронной подписи,
выданном такому органу или организации и созданном с использованием средств
удостоверяющего центра и средств электронной подписи, обеспечивающих
нейтрализацию угроз безопасности персональных данных, определенных в пункте
1.3.1 Указания Центрального банка Российской Федерации N 4859-У, Публичного
акционерного общества "Ростелеком" N 01/01/782-18 от 9 июля 2018 г. "О перечне
угроз безопасности, актуальных при обработке, включая сбор и хранение,
биометрических персональных данных, их проверке и передаче информации о степени
их соответствия предоставленным биометрическим персональным данным гражданина
Российской Федерации в государственных органах, банках и иных организациях,
указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля
2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите
информации", в единой биометрической системе" (зарегистрировано Министерством
юстиции Российской Федерации 30 июля 2018 г., регистрационный N
51735).
(п.
8 в ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
9.
Размещение биометрических персональных данных гражданина Российской Федерации в
единой биометрической системе осуществляется, если гражданин Российской
Федерации прошел процедуру регистрации в единой системе идентификации и
аутентификации в соответствии с положением о федеральной государственной
информационной системе "Единая система идентификации и аутентификации в
инфраструктуре, обеспечивающей информационно-технологическое взаимодействие
информационных систем, используемых для предоставления государственных и
муниципальных услуг в электронной форме", утвержденным приказом Министерства
связи и массовых коммуникаций Российской Федерации от 13.04.2012 N 107 (далее -
Положение) <1>.
--------------------------------
<1>
Зарегистрирован Министерством юстиции Российской Федерации 26 апреля 2012 г.,
регистрационный N 23952.
Размещение
биометрических персональных данных гражданина Российской Федерации в единой
биометрической системе осуществляется при условии, что личность гражданина
Российской Федерации удостоверена в соответствии с подпунктом "з" пункта 6.1
Положения.
10.
В случае если гражданин Российской Федерации не зарегистрирован в единой системе
идентификации и аутентификации, уполномоченный сотрудник после проведения
идентификации гражданина Российской Федерации осуществляет с его согласия
процедуру регистрации в единой системе идентификации и аутентификации, в
соответствии с Положением.
11.
Если сведения, необходимые для регистрации гражданина Российской Федерации в
единой системе идентификации и аутентификации, внесены в указанную систему, но
процесс регистрации в соответствии с пунктом 9 Порядка не завершен,
уполномоченное лицо перед сбором параметров биометрических персональных данных с
согласия гражданина Российской Федерации размещает или обновляет в электронной
форме в единой системе идентификации и аутентификации сведения, необходимые для
регистрации в ней, а также устанавливает личность соответствующего гражданина
Российской Федерации и вносит в единую систему идентификации и аутентификации
сведения о способе установления его личности в соответствии с
Положением.
(в
ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
12.
При наличии у гражданина Российской Федерации учетной записи в единой системе
идентификации и аутентификации, уполномоченный сотрудник осуществляет сбор
биометрических персональных данных и размещение их в единой биометрической
системе.
13.
Размещенные в единой биометрической системе биометрические персональные данные
гражданина Российской Федерации используются в целях идентификации гражданина
Российской Федерации, в случае завершения регистрации соответствующего
гражданина Российской Федерации в единой системе идентификации и аутентификации
при условии, что личность гражданина Российской Федерации удостоверена в
соответствии с подпунктом "з" пункта 6.1 Положения.
14.
Обновление биометрических персональных данных в единой биометрической системе в
целях идентификации осуществляется гражданином Российской Федерации добровольно
в следующих случаях:
1)
по истечении 3 лет с момента их размещения в указанной
системе;
2)
по инициативе гражданина Российской Федерации.
Приложение
3
к
приказу Министерства
цифрового
развития, связи
и
массовых коммуникаций
Российской
Федерации
от
25.06.2018 N 321
К
ИНФОРМАЦИОННЫМ ТЕХНОЛОГИЯМ И ТЕХНИЧЕСКИМ СРЕДСТВАМ,
ПРЕДНАЗНАЧЕННЫМ
ДЛЯ ОБРАБОТКИ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ
ДАННЫХ
В ЦЕЛЯХ ПРОВЕДЕНИЯ ИДЕНТИФИКАЦИИ
1.
В Требованиях к информационным технологиям и техническим средствам,
предназначенным для обработки биометрических персональных данных в целях
проведения идентификации (далее - Требования) используются термины и
определения, установленные в:
межгосударственном
стандарте ГОСТ ISO/IEC 2382-37-2016 "Информационные технологии (ИТ). Словарь.
Часть 37. Биометрия", введенном в действие приказом Федерального агентства по
техническому регулированию и метрологии от 28 февраля 2017 года N 71-ст (М.,
ФГУП "Стандартинформ", 2017);
национальном
стандарте Российской Федерации ГОСТ ISO/IEC 19794-1-2015 "Информационные
технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1.
Структура", утвержденном приказом Федерального агентства по техническому
регулированию и метрологии от 20 ноября 2015 года N 1928-ст "О введении в
действие межгосударственного стандарта" (М., ФГУП "Стандартинформ",
2016);
национальном
стандарте Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 "Информационные
технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные
изображения лица", утвержденном приказом Федерального агентства по техническому
регулированию и метрологии от 6 сентября 2013 года N 987-ст "Об утверждении
национального стандарта" (М., ФГУП "Стандартинформ",
2015);
национальном
стандарте Российской Федерации ГОСТ Р ИСО/МЭК 29794-1-2012 "Информационные
технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура",
утвержденном приказом Федерального агентства по техническому регулированию и
метрологии от 18 сентября 2012 года N 351-ст "Об утверждении национального
стандарта" (М., ФГУП "Стандартинформ", 2013);
национальном
стандарте Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт
Российской Федерации. Безопасность финансовых (банковских) операций. Защита
информации финансовых организаций. Базовый состав организационных и технических
мер", утвержденного приказом Федерального агентства по техническому
регулированию и метрологии от 8 августа 2017 года N 882-ст "Об утверждении
национального стандарта" (М., ФГУП "Стандартинформ",
2017).
(в
ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
2.
Требования к информационным технологиям и техническим средствам, предназначенным
для обработки изображения лица в целях проведения идентификации (в части сбора
параметров биометрических персональных данных субъекта персональных
данных):
а)
для регистрации изображения лица необходимо использовать фото- или видеокамеру
(далее - камера), эквивалентное фокусное расстояние которой должно составлять от
26,7 до 100 мм при расположении субъекта на расстоянии 0,3 - 1,0 м от
камеры;
б)
в целях обеспечения выполнения требований пункта 12 Порядка обработки, включая
сбор и хранение, параметров биометрических персональных данных в целях
идентификации рекомендуется использовать камеры со следующими
характеристиками:
разрешение
получаемого изображения: не менее 1280 x 720 пикселей;
наличие
режима автоматической корректировки баланса белого цвета;
в)
используемые источники освещения должны создавать в области лица
освещенность:
для
фото-, видеокамер без автоматической коррекции освещенности не менее - 300
лк;
для
фото-, видеокамер с автоматической коррекцией освещенности не менее - 100
лк.
(п.
2 в ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
3.
Требования к информационным технологиям и техническим средствам, предназначенным
для обработки данных голоса в целях проведения идентификации (в части сбора
параметров биометрических персональных данных субъекта персональных
данных):
а)
для регистрации записи голоса необходимо использовать микрофон со следующими
характеристиками:
тип:
конденсаторный, без автоматической регулировки усиления;
отсутствие
шумоподавления;
диапазон
частот: не уже чем от 100 до 10000 Гц.
б)
в целях обеспечения выполнения требований пункта 13 Порядка обработки, включая
сбор и хранение, параметров биометрических персональных данных в целях
идентификации рекомендуется использовать микрофоны со следующими
характеристиками:
соотношение
сигнал/шум: не менее 58 дБ;
чувствительность:
не менее - 30 дБ или не менее - 60 дБ при отсутствии нелинейных искажений
амплитудно-частотных характеристик микрофона в диапазоне от 100 до 5000 Гц,
превышающих отклонение более чем на 7 дБ;
форма
диаграммы направленности: суперкардиоида или
гиперкардиоида.
(п.
3 в ред. Приказа Минкомсвязи России от 04.07.2019 N 369)
4.
Защита от подбора, обеспечиваемая в единой биометрической системе, неподлинных
биометрических образцов должна быть в объеме не менее 104 попыток на
каждый образец.
5.
Банки при обработке, включая сбор и хранение, параметров биометрических
персональных данных в целях идентификации должны использовать информационные
технологии и технические средства, которые соответствуют 2-му уровню защиты
информации (стандартный), установленному национальным стандартом Российской
Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации.
Безопасность финансовых (банковских) операций. Защита информации финансовых
организаций. Базовый состав организационных и технических мер", утвержденному
приказом Федерального агентства по техническому регулированию и метрологии от 8
августа 2017 года N 882-ст "Об утверждении национального стандарта" (М., ФГУП
"Стандартинформ", 2017).
(в
ред. Приказа Минкомсвязи России от 04.07.2019 N 369)