О периодичности проведения банками, осуществляющими размещение и обновление биометрических персональных данных в единой биометрической системе, оценки соответствия требованиям по защите информации

Мнение консультантов.

Начиная с 10.06.2023г. банки, осуществляющие размещение и обновление биометрических персональных данных в единой биометрической системе, обязаны проводить с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных  подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.12.2012г. № 79, оценку соответствия требованиям по защите информации и информировать Банк России о результатах такой оценки один раз в два года, а не ежегодно, как это было предписано пунктом 7 приложения № 1 к Приказу № 930.

Обоснование мнения консультантов.

Отношения, возникающие при осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных с использованием государственной информационной системы «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных», а также при ее взаимодействии в целях осуществления аутентификации с использованием биометрических персональных данных физических лиц с информационными системами аккредитованных государственных органов, Банка России в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, регулируются Законом № 572-ФЗ, в соответствии с частью 1 статьи 3 которого единая биометрическая система используется для осуществления идентификации и (или) аутентификации физических лиц государственными органами, органами местного самоуправления, Банком России, банками, иными кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Закона № 86-ФЗ виды деятельности, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), иными организациями, индивидуальными предпринимателями, нотариусами. Единая биометрическая система может использоваться в иных правоотношениях в случаях, установленных законодательством Российской Федерации (часть 2 статьи 3 Закона № 572-ФЗ).

Банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации в случаях, определенных федеральными законами, после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе размещают в электронной форме (часть 1 статьи 4 Закона № 572-ФЗ):

1) биометрические персональные данные физического лица - в единой биометрической системе;

2) сведения о физическом лице, биометрические персональные данные которого размещаются в единой биометрической системе, которые необходимы для регистрации физического лица в единой системе идентификации и аутентификации, и иные сведения, если такие сведения предусмотрены федеральными законами, - в единой системе идентификации и аутентификации.

Правительство Российской Федерации устанавливает требования (часть 6 статьи 4 Закона № 572-ФЗ): 1) к фиксированию действий при размещении сведений, указанных в  пунктах 1 и 2 части 1  настоящей статьи; 2) к проведению банками, многофункциональными центрами предоставления государственных и муниципальных услуг и иными организациями, указанными в части 1 настоящей статьи, идентификации физического лица, за исключением банков и иных организаций, проводящих такую идентификацию в порядке, установленном Законом № 115-ФЗ.

Сведения, указанные в пунктах 1 и 2 части 1 настоящей статьи, размещаются соответственно в единой биометрической системе и в единой системе идентификации и аутентификации уполномоченным сотрудником банка, многофункционального центра предоставления государственных и муниципальных услуг или иной организации и подписываются усиленной квалифицированной электронной подписью таких банка, многофункционального центра предоставления государственных и муниципальных услуг или иной организации (часть 7 статьи 4 Закона № 572-ФЗ).

При обработке биометрических персональных данных в единой биометрической системе, в том числе в ее региональных сегментах, их взаимодействии с иными информационными системами должны применяться организационные и технические меры по обеспечению безопасности персональных данных, установленные в соответствии частью 4 статьи 19 Закона № 152-ФЗ, и использоваться шифровальное (криптографическое) средство, определенное пунктом 5 части 2 статьи 6 настоящего Федерального закона, либо шифровальные (криптографические) средства, позволяющие обеспечить безопасность персональных данных от угроз, определенных (часть 6 статьи 3 Закона № 572-ФЗ):

для государственных органов, органов местного самоуправления, Банка России, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов в соответствии с пунктом 4 части 2 статьи 6 настоящего Федерального закона (пункт 1);

для организаций финансового рынка в соответствии с пунктом 1^[1] части 4 статьи 7 настоящего Федерального закона (пункт 2);

для органов государственной власти субъектов Российской Федерации, подведомственных им организаций, органов местного самоуправления, подведомственных им организаций, иных организаций, указанных в частях 15 и 16 статьи 5  настоящего Федерального закона, в соответствии с частью 15 статьи 5 настоящего Федерального закона (пункт 3).

Правительство Российской Федерации определяет федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных (часть 1статьи 6 Закона № 572-ФЗ). На основании Постановления Правительства Российской Федерации № 943 функциями федерального органа исполнительной власти, осуществляющего регулирование в сфере идентификации физических лиц на основе биометрических персональных данных, наделено Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее по тексту - Минцифры России).

В соответствии с пунктом 1 части 2 статьи 6 Закона № 572-ФЗ Приказом № 453 Минцифры России по согласованию с Федеральной службой безопасности Российской Федерации и Банком России утверждены:

- Порядок обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных, (приложение № 1 к настоящему приказу);

- Порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (приложение к приложению № 2 к настоящему приказу);

- Порядок обработки, включая сбор, хранения и уничтожения биометрических персональных данных, векторов единой биометрической системы в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, (приложение № 3 к настоящему приказу);

- Порядок создания и передачи векторов единой биометрической системы в целях осуществления аутентификации (приложение № 4 к настоящему приказу);

- Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, а также порядок подтверждения соответствия информационных технологий и технических средств указанным требованиям (приложение № 5 к настоящему приказу).

Как определено пунктом 1 Приложения № 2 к Приказу № 453 (далее по тексту - Порядок), размещение биометрических персональных данных в единой биометрической системе, за исключением размещения в региональных сегментах единой биометрической системы, осуществляется:

банками, многофункциональными центрами предоставления государственных и муниципальных услуг (далее - многофункциональный центр) и иными организациями в случаях, определенных федеральными законами (далее - организация), после проведения идентификации при личном присутствии физического лица с его согласия на безвозмездной основе, в соответствии с частью 4 статьи 4 Закона № 572-ФЗ (подпункт 1);

физическими лицами с использованием мобильного приложения единой биометрической системы с применением пользовательского оборудования (оконечного оборудования), имеющего в своем составе идентификационный модуль, в соответствии с частью 9 статьи 4 Закона № 572-ФЗ (подпункт 2);

государственными органами, органами местного самоуправления, Банком России, банками, иными кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 № 86-ФЗ виды деятельности (далее - организации финансового рынка), иными организациями, индивидуальными предпринимателями, нотариусами (далее - органы и организации, индивидуальные предприниматели, нотариусы) в случае, если в информационных системах таких органов, организаций, индивидуальных предпринимателей, нотариусов в соответствии с федеральными законами собраны биометрические персональные данные, соответствующие всем видам или только одному из видов, размещаемым в единой биометрической системе, в соответствии с частью 14 статьи 4 Закона № 572-ФЗ (подпункт 3);

оператором регионального сегмента единой биометрической системы путем передачи биометрических персональных данных, размещенных в региональном сегменте единой биометрической системы в соответствии с пунктом 1 части 5 статьи 26 Закона № 572-ФЗ (подпункт 4).

Обновление биометрических персональных данных в единой биометрической системе осуществляется способами, указанными в подпунктах 1 и 2 пункта 1 Порядка (пункт 2 Порядка).

Как справедливо отмечено Банком в тексте вопроса, подпункт 2 пункта 8 Порядка обязывает банки, осуществляющие в соответствии с подпунктом 1 пункта 2^[2] настоящего Порядка размещение и обновление биометрических персональных данных в единой биометрической системе, организации финансового рынка, осуществляющие в соответствии с подпунктом 3 пункта 1 настоящего Порядка размещение биометрических персональных данных в единой биометрической системе, должны обеспечивать проведение не реже одного раза в 2 года оценки соответствия требованиям по защите информации на соответствие второму уровню защиты информации (стандартному), предусмотренному пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017г. № 882-ст, с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных  подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.12.2012г. № 79, и информирование Банка России о результатах такой оценки.

Приказ № 453 вступил в силу^[3] 10.06.2023г. и действует до 1 июня 2029г., за исключением пунктов 5 и 22 приложения № 1 к настоящему приказу, подпункта 4 пункта 2, пункта 4, подпункта 3 пункта 6, пунктов 8, 17 и 19 приложения № 2 к настоящему приказу, которые действуют до 1 января 2027г. (пункт 3 Приказа № 453). Одновременно на основании пункта 2 Приказа № 453 с даты вступления настоящего Приказа в силу признан утратившим силу Приказ № 930, которым были утверждены:

- Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных (приложение № 1 к настоящему приказу);

- Порядок размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц (приложение № 2 к настоящему приказу);

- Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации, (приложение № 3 к настоящему приказу).

Пункт 7 приложения № 1 к Приказу № 930 обязывал кредитные организации, некредитные финансовые организации, которые осуществляют указанные в части первой статьи 76.1 Закона № 86-ФЗ виды деятельности, субъекты национальной платежной системы (далее - организации финансового рынка), осуществляющие сбор и обработку используемых для идентификации параметров биометрических персональных данных, обеспечивать:

информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных (далее соответственно - инциденты безопасности, требования по защите информации), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации. Организации, указанные в настоящем пункте, осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня со дня их выявления (подпункт 1);

ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.02.2012 г. № 79 и информирование Банка России о результатах такой оценки (подпункт 2).

Таким образом, Приказом № 453 установлено новое регулирование порядка обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных (приложение № 1 к настоящему приказу); порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона № 572-ФЗ (приложение № 2 к настоящему приказу), и в связи с вступлением в силу Приказа № 453 и соответственно прекращением действия Приказа № 930, начиная с 10.06.2023г. банки, осуществляющие размещение и обновление биометрических персональных данных в единой биометрической системе, обязаны проводить с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных  подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.12.2012г. № 79, оценку соответствия требованиям по защите информации и информировать  Банк России о результатах такой оценки один раз в два года, а не ежегодно, как это было предписано пунктом 7 приложения № 1 к Приказу № 930.

Документы и литература.

1. Закон № 572-ФЗ – Федеральный закон от 29.12.2022г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»;
2. Закон № 86-ФЗ - Федеральный закон Российской Федерации от 10.07.2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»;
3. Закон № 115-ФЗ - Федеральный закон Российской Федерации от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
4. Закон № 152-ФЗ  - Федеральный закон Российской Федерации от 27.07.2006г. №  152-ФЗ «О персональных данных»;
5. Постановление Правительства Российской Федерации № 943 – Постановление Правительства Российской Федерации от 19.06.2021г. № 943 «О внесении изменений в Положение о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации и признании утратившими силу некоторых актов Правительства Российской Федерации»;
6. Приказ № 453 - Приказ Минцифры России от 12.05.2023г. № 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц»;
7. Приказ № 930 – Приказ Минцифры России от 10.09.2021г. № 930 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации» (документ утратил силу с 10.06.2023г).

Ответы на самые интересные вопросы на нашем телеграм-канале knk_banki