О периодичности проведения банками, осуществляющими размещение и обновление биометрических персональных данных в единой биометрической системе, оценки соответствия требованиям по защите информации
Ответы на самые интересные вопросы на нашем телеграм-канале knk_banki
Описание ситуации.
В соответствии с п.8 Приложения 2 к приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 12 мая 2023 г. № 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц» (далее - приказ Минцифры №453) Банки должны обеспечивать проведение не реже одного раза в 2 года оценки соответствия требованиям по защите информации на соответствие второму уровню защиты информации (стандартному), предусмотренному пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 г. N 882-ст, с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Центрального банка Российской Федерации о результатах такой оценки.
При этом в соответствии с п.9 Приложения 2 к приказу Минцифры №453 Многофункциональный центр и иная организация, осуществляющие в соответствии с подпунктом 1 пункта 1 настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, должны обеспечивать ежегодное проведение оценки соответствия требованиям к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленным федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации о результатах такой оценки;
Ранее в соответствии с п.7 Приложения 1 к Приказу Минцифры №930 от 10 сентября 2021 г. кредитные организации должны были обеспечивать ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049; 2020, N 49, ст. 7943), и информирование Банка России о результатах такой оценки.
Вопрос.
Правильно ли мы понимаем, что начиная с 2023 года банкам необходимо проводить оценку не каждый год, как это было установлено Приказом Минцифры № 930, а раз в 2 года?
Телеграм-канал https://t.me/knk_banki Консультации по бухгалтерии и налогам для финансовых организаций, в т.ч. банков. Сложные случаи, непростые ситуации. |
Мнение консультантов.
Начиная с 10.06.2023г. банки, осуществляющие размещение и обновление биометрических персональных данных в единой биометрической системе, обязаны проводить с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.12.2012г. № 79, оценку соответствия требованиям по защите информации и информировать Банк России о результатах такой оценки один раз в два года, а не ежегодно, как это было предписано пунктом 7 приложения № 1 к Приказу № 930.
Обоснование мнения консультантов.
Отношения, возникающие при осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных с использованием государственной информационной системы «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных», а также при ее взаимодействии в целях осуществления аутентификации с использованием биометрических персональных данных физических лиц с информационными системами аккредитованных государственных органов, Банка России в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, регулируются Законом № 572-ФЗ, в соответствии с частью 1 статьи 3 которого единая биометрическая система используется для осуществления идентификации и (или) аутентификации физических лиц государственными органами, органами местного самоуправления, Банком России, банками, иными кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Закона № 86-ФЗ виды деятельности, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), иными организациями, индивидуальными предпринимателями, нотариусами. Единая биометрическая система может использоваться в иных правоотношениях в случаях, установленных законодательством Российской Федерации (часть 2 статьи 3 Закона № 572-ФЗ).
Банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации в случаях, определенных федеральными законами, после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе размещают в электронной форме (часть 1 статьи 4 Закона № 572-ФЗ):
1) биометрические персональные данные физического лица - в единой биометрической системе;
2) сведения о физическом лице, биометрические персональные данные которого размещаются в единой биометрической системе, которые необходимы для регистрации физического лица в единой системе идентификации и аутентификации, и иные сведения, если такие сведения предусмотрены федеральными законами, - в единой системе идентификации и аутентификации.
Правительство Российской Федерации устанавливает требования (часть 6 статьи 4 Закона № 572-ФЗ): 1) к фиксированию действий при размещении сведений, указанных в пунктах 1 и 2 части 1 настоящей статьи; 2) к проведению банками, многофункциональными центрами предоставления государственных и муниципальных услуг и иными организациями, указанными в части 1 настоящей статьи, идентификации физического лица, за исключением банков и иных организаций, проводящих такую идентификацию в порядке, установленном Законом № 115-ФЗ.
Сведения, указанные в пунктах 1 и 2 части 1 настоящей статьи, размещаются соответственно в единой биометрической системе и в единой системе идентификации и аутентификации уполномоченным сотрудником банка, многофункционального центра предоставления государственных и муниципальных услуг или иной организации и подписываются усиленной квалифицированной электронной подписью таких банка, многофункционального центра предоставления государственных и муниципальных услуг или иной организации (часть 7 статьи 4 Закона № 572-ФЗ).
При обработке биометрических персональных данных в единой биометрической системе, в том числе в ее региональных сегментах, их взаимодействии с иными информационными системами должны применяться организационные и технические меры по обеспечению безопасности персональных данных, установленные в соответствии частью 4 статьи 19 Закона № 152-ФЗ, и использоваться шифровальное (криптографическое) средство, определенное пунктом 5 части 2 статьи 6 настоящего Федерального закона, либо шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных (часть 6 статьи 3 Закона № 572-ФЗ):
для государственных органов, органов местного самоуправления, Банка России, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов в соответствии с пунктом 4 части 2 статьи 6 настоящего Федерального закона (пункт 1);
для организаций финансового рынка в соответствии с пунктом 1[1] части 4 статьи 7 настоящего Федерального закона (пункт 2);
для органов государственной власти субъектов Российской Федерации, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, указанных в частях 15 и 16 статьи 5 настоящего Федерального закона, в соответствии с частью 15 статьи 5 настоящего Федерального закона (пункт 3).
Коллегия Налоговых Консультантов оказывает финансовым организациям весь комплекс аудиторских, консультационных и юридических услуг +7915-329-02-05 |
Правительство Российской Федерации определяет федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных (часть 1статьи 6 Закона № 572-ФЗ). На основании Постановления Правительства Российской Федерации № 943 функциями федерального органа исполнительной власти, осуществляющего регулирование в сфере идентификации физических лиц на основе биометрических персональных данных, наделено Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее по тексту - Минцифры России).
В соответствии с пунктом 1 части 2 статьи 6 Закона № 572-ФЗ Приказом № 453 Минцифры России по согласованию с Федеральной службой безопасности Российской Федерации и Банком России утверждены:
- Порядок обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных, (приложение № 1 к настоящему приказу);
- Порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (приложение к приложению № 2 к настоящему приказу);
- Порядок обработки, включая сбор, хранения и уничтожения биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, (приложение № 3 к настоящему приказу);
- Порядок создания и передачи векторов единой биометрической системы в целях осуществления аутентификации (приложение № 4 к настоящему приказу);
- Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядок подтверждения соответствия информационных технологий и технических средств указанным требованиям (приложение № 5 к настоящему приказу).
Как определено пунктом 1 Приложения № 2 к Приказу № 453 (далее по тексту - Порядок), размещение биометрических персональных данных в единой биометрической системе, за исключением размещения в региональных сегментах единой биометрической системы, осуществляется:
банками, многофункциональными центрами предоставления государственных и муниципальных услуг (далее - многофункциональный центр) и иными организациями в случаях, определенных федеральными законами (далее - организация), после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе, в соответствии с частью 4 статьи 4 Закона № 572-ФЗ (подпункт 1);
физическими лицами с использованием мобильного приложения единой биометрической системы с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в соответствии с частью 9 статьи 4 Закона № 572-ФЗ (подпункт 2);
государственными органами, органами местного самоуправления, Банком России, банками, иными кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 № 86-ФЗ виды деятельности (далее - организации финансового рынка), иными организациями, индивидуальными предпринимателями, нотариусами (далее - органы и организации, индивидуальные предприниматели, нотариусы) в случае, если в информационных системах таких органов, организаций, индивидуальных предпринимателей, нотариусов в соответствии с федеральными законами собраны биометрические персональные данные, соответствующие всем видам или только одному из видов, размещаемым в единой биометрической системе, в соответствии с частью 14 статьи 4 Закона № 572-ФЗ (подпункт 3);
оператором регионального сегмента единой биометрической системы путем передачи биометрических персональных данных, размещенных в региональном сегменте единой биометрической системы в соответствии с пунктом 1 части 5 статьи 26 Закона № 572-ФЗ (подпункт 4).
Обновление биометрических персональных данных в единой биометрической системе осуществляется способами, указанными в подпунктах 1 и 2 пункта 1 Порядка (пункт 2 Порядка).
Как справедливо отмечено Банком в тексте вопроса, подпункт 2 пункта 8 Порядка обязывает банки, осуществляющие в соответствии с подпунктом 1 пункта 2[2] настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, организации финансового рынка, осуществляющие в соответствии с подпунктом 3 пункта 1 настоящего Порядка размещение биометрических персональных данных в единой биометрической системе, должны обеспечивать проведение не реже одного раза в 2 года оценки соответствия требованиям по защите информации на соответствие второму уровню защиты информации (стандартному), предусмотренному пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017г. № 882-ст, с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.12.2012г. № 79, и информирование Банка России о результатах такой оценки.
Приказ № 453 вступил в силу[3] 10.06.2023г. и действует до 1 июня 2029г., за исключением пунктов 5 и 22 приложения № 1 к настоящему приказу, подпункта 4 пункта 2, пункта 4, подпункта 3 пункта 6, пунктов 8, 17 и 19 приложения № 2 к настоящему приказу, которые действуют до 1 января 2027г. (пункт 3 Приказа № 453). Одновременно на основании пункта 2 Приказа № 453 с даты вступления настоящего Приказа в силу признан утратившим силу Приказ № 930, которым были утверждены:
- Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных (приложение № 1 к настоящему приказу);
- Порядок размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц (приложение № 2 к настоящему приказу);
- Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации, (приложение № 3 к настоящему приказу).
Пункт 7 приложения № 1 к Приказу № 930 обязывал кредитные организации, некредитные финансовые организации, которые осуществляют указанные в части первой статьи 76.1 Закона № 86-ФЗ виды деятельности, субъекты национальной платежной системы (далее - организации финансового рынка), осуществляющие сбор и обработку используемых для идентификации параметров биометрических персональных данных, обеспечивать:
информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных (далее соответственно - инциденты безопасности, требования по защите информации), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации. Организации, указанные в настоящем пункте, осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня со дня их выявления (подпункт 1);
ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.02.2012 г. № 79 и информирование Банка России о результатах такой оценки (подпункт 2).
Таким образом, Приказом № 453 установлено новое регулирование порядка обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных (приложение № 1 к настоящему приказу); порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона № 572-ФЗ (приложение № 2 к настоящему приказу), и в связи с вступлением в силу Приказа № 453 и соответственно прекращением действия Приказа № 930, начиная с 10.06.2023г. банки, осуществляющие размещение и обновление биометрических персональных данных в единой биометрической системе, обязаны проводить с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.12.2012г. № 79, оценку соответствия требованиям по защите информации и информировать Банк России о результатах такой оценки один раз в два года, а не ежегодно, как это было предписано пунктом 7 приложения № 1 к Приказу № 930.
Коллегия Налоговых Консультантов предлагает финансовым организациям безлимитное консультационное обслуживание. Стоимость 60 тыс рублей в месяц. +7915-329-02-05 |
Документы и литература.
- Закон № 572-ФЗ – Федеральный закон от 29.12.2022г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»;
- Закон № 86-ФЗ - Федеральный закон Российской Федерации от 10.07.2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»;
- Закон № 115-ФЗ - Федеральный закон Российской Федерации от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- Закон № 152-ФЗ - Федеральный закон Российской Федерации от 27.07.2006г. № 152-ФЗ «О персональных данных»;
- Постановление Правительства Российской Федерации № 943 – Постановление Правительства Российской Федерации от 19.06.2021г. № 943 «О внесении изменений в Положение о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации и признании утратившими силу некоторых актов Правительства Российской Федерации»;
- Приказ № 453 - Приказ Минцифры России от 12.05.2023г. № 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц»;
- Приказ № 930 – Приказ Минцифры России от 10.09.2021г. № 930 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации» (документ утратил силу с 10.06.2023г).
[1] Банк России по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, и оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных (пункт 1 части 4 статьи 7 Закона № 572-ФЗ).
[2] Мы полагаем, что в подпункте 2 пункта 8 Порядка допущена опечатка, и речь идет о банках, осуществляющих размещение и обновление биометрических персональных данных в единой биометрической системе в соответствии с подпунктом 1 пункта 1 Порядка соответственно.
[3] Настоящий приказ вступает в силу по истечении десяти дней со дня его официального опубликования. Приказ № 453 опубликован на официальном интернет-портале правовой информации http://pravo.gov.ru, 31.05.2023
Ответы на самые интересные вопросы на нашем телеграм-канале knk_banki
Назад в раздел