Доработанный текст проекта Приказа Министерства связи и массовых коммуникаций РФ "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации" (подготовлен Минкомсвязью России 30.05.2018)

Досье на проект

В соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2003, N 28, ст. 2895; N 46, ст. 4434; 2006, N 31, ст. 3448; 2007, N 1, ст. 7; 2009, N 12, ст. 1431; N 21, ст. 2573; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; N 44, ст. 6044; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, 4243; N 48, ст. 6645; 2015, N 1, ст. 84, N 27, ст. 3979; N 29, ст. 4389, 4390; 2016, N 26, ст. 3877; N 28, ст. 4558; N 52, ст. 7491; 2017, N 18, ст. 2664; N 24, ст. 3478; N 25, ст. 3596; N 27, ст. 3953; N 31, ст. 4790, 4825, 4827; N 48, ст. 7051; 2018, N 1, ст. 66; N 18, ст. 2572),

приказываю:

1. Утвердить прилагаемый:

порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации.

2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.

3. Контроль за исполнением настоящего приказа возложить на статс-секретаря - заместителя Министра цифрового развития, связи и массовых коммуникаций Российской Федерации О.Б. Пака.

Министр

К.Ю. Носков

УТВЕРЖДЕН
приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации
от __________ N ___________

Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации

I. Общие положения

1. Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядок размещения и обновления биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее - единая биометрическая система), устанавливает процедуру обработки, включая сбор и хранение, параметров биометрических персональных данных, размещения и обновления биометрических персональных данных в единой биометрической системе в целях идентификации гражданина Российской Федерации, в том числе, с применением информационных технологий без его личного присутствия (далее - идентификация), а также определяет требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в указанных целях (далее - Порядок, Требования соответственно).

2. Положения настоящего Порядка являются обязательными для государственных органов, банков и иных организаций, осуществляющих обработку, включая сбор и хранение, параметров биометрических персональных данных в указанных целях, размещение и обновление биометрических персональных данных в единой биометрической системе (далее - органы и организации), а также оператора единой биометрической системы.

3. Обработка, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядок размещения и обновления биометрических персональных данных в единой биометрической системе осуществляется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2003, N 28, ст. 2895; N 46, ст. 4434; 2006, N 31, ст. 3448; 2007, N 1, ст. 7; 2009, N 12, ст. 1431; N 21, ст. 2573; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; N 44, ст. 6044; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, 4243; N 48, ст. 6645; 2015, N 1, ст. 84, N 27, ст. 3979; N 29, ст. 4389, 4390; 2016, N 26, ст. 3877; N 28, ст. 4558; N 52, ст. 7491; 2017, N 18, ст. 2664; N 24, ст. 3478; N 25, ст. 3596; N 27, ст. 3953; N 31, ст. 4790, 4825, 4827; N 48, ст. 7051; 2018, N 1, ст. 66; N 18, ст. 2572) (далее - Федеральный закон N 149-ФЗ).

4. Размещение и обновление в единой биометрической системе биометрических персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных и настоящим Порядком.

5. Размещение и обновление биометрических персональных данных, а также сведений в единой биометрической системе осуществляется органами и организациями с использованием Единой системы межведомственного электронного взаимодействия (СМЭВ) в соответствии с Положением о единой системе межведомственного электронного взаимодействия, утвержденным постановление Правительства Российской Федерации от 8 сентября 2010 г. N 697 (Собрание законодательства Российской Федерации, 2010, N 38, ст. 4823; 2011, N 24, ст. 3503; N 49, ст. 7284; 2013, N 45, ст. 5827; 2014, N 12, ст. 1303; N 42, ст. 5746; N 48, ст. 6862, 6876; N 50, ст. 7113; 2016, N 34, ст. 5243; 2017, N 29, ст. 4380; N 30, ст. 4672; N 41, ст. 5981; N 44, ст. 6523; N 45, ст. 6661).

6. Оператор единой биометрической системы утверждает Регламент использования единой биометрической системы в соответствии с настоящим Порядком (далее - Регламент).

7. В настоящем Порядке используются термины и определения, установленные в ГОСТ ISO/IEC 2382-37-2016 "Информационные технологии (ИТ). Словарь. Часть 37. Биометрия", ГОСТ ISO/IEC 19794-1-2015 "Информационные технологии (ИТ). Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура", ГОСТ Р ИСО/МЭК 19794-5-2013. "Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица.", ГОСТ Р ИСО/МЭК 19794-13 "Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 13. Данные голоса, ГОСТ Р ИСО/МЭК 29794-1-2012. "Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура.", национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 882-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).

II. Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации

8. В соответствии с целями, указанными в пункте 1 Порядка, осуществляется обработка параметров биометрических персональных данных физического лица - гражданина Российской Федерации следующих видов (далее - субъект):

- данные изображения лица;

- данные голоса.

9. Сбор параметров биометрических персональных данных субъекта осуществляется при его личном присутствии уполномоченным сотрудником органа или организации (далее - уполномоченный сотрудник) с целью создания биометрического контрольного шаблона, хранящегося в единой биометрической системе.

Уполномоченный сотрудник органа и организации при сборе параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации подписывает простой электронной подписью собранные биометрические персональные данные.

Органы и организации принимают организационно-распорядительные меры, предусматривающие:

определение уполномоченных сотрудников, осуществляющих сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и выдачу им ключей простой электронной подписи;

использование уполномоченным сотрудником, осуществляющим сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, в качестве ключа простой электронной подписи идентификатора, пароля ключа и иной аутентифицирующей информации, уникальных для каждого сотрудника (идентификатором является страховой номер индивидуального лицевого счета сотрудника);

защищенное хранение выданных уполномоченным сотрудникам, осуществляющим сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, ключей простой электронной подписи, обеспечивающее их конфиденциальность и исключающее несанкционированное изменение, добавление и удаление;

сохранение идентификатора уполномоченного сотрудника, осуществляющего сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и результата его аутентификации в составе данных, содержащих биометрические персональные данные, собранные указанным сотрудником, и иную информацию и сведения, указанные в абзаце первом пункта 17 настоящего Порядка;

ответственность уполномоченных сотрудников, осуществляющих сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, за несоблюдение конфиденциальности выданного ему пароля ключа простой электронной подписи и аутентифицирующей информации;

ответственность уполномоченных сотрудников, осуществляющих создание, выдачу и хранение ключей простой электронной подписи, за несоблюдение конфиденциальности ключей простой электронной подписи, к которым они имеют доступ.

Уполномоченные сотрудники, осуществляющие сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, обязаны соблюдать конфиденциальность выданных им паролей ключа простой электронной подписи и аутентифицирующей информации. Сотрудники, осуществляющие создание, выдачу и хранение ключей простой электронной подписи, обязаны соблюдать конфиденциальность ключей простой электронной подписи, к которым имеют доступ.

10. Обработка параметров биометрических персональных данных гражданина Российской Федерации осуществляется после проведения идентификации гражданина Российской Федерации при его личном присутствии в соответствии с требованиями, утвержденными в соответствии с требованиями, утвержденными в соответствии с пунктом 2 части 2 статьи 14.1 Федерального закона N 149-ФЗ, а также получения согласно Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276; N 27, ст. 3945; N 31, ст. 4772) (далее - Федеральный закон N 152-ФЗ) согласия на обработку персональных данных и биометрических персональных данных, в форме, утвержденной Правительством Российской Федерации в соответствии с пунктом 5 статьи 14.1 Федерального закона N 149-ФЗ.

В случае отзыва субъектом персональных данных в соответствии с Федеральным законом N 152-ФЗ согласия на обработку персональных данных, использование его биометрических персональных данных в целях проведения идентификации не осуществляется.

11. В процессе обработки параметров биометрических персональных данных создаются биометрические образцы данных изображения лица субъекта (далее - БО изображения лица) и биометрические образцы данных голоса (далее - БО записи голоса).

12. Качество изображения лица должно соответствовать следующим критериям:

наличие одного лица на изображении;

отсутствие предметов, закрывающих лицо;

ракурс лица (наклон, поворот, отклонение головы);

размеры лица в пикселях;

яркость/затенённость/ размытость изображения;

формат и размер файла изображения.

13. Качество записей голоса должно соответствовать следующим критериям:

наличие речи в звукозаписи;

допустимое отношение сигнал/шум;

частота дискретизации и способа кодирования.

14. БО изображения лица должны соответствовать следующим требованиям:

цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;

поворот головы должен быть не более 5о от фронтального положения;

наклон головы должен быть не более 5о от фронтального положения;

отклонение головы должно быть не более 8о от фронтального положения;

расстояние между центрами глаз должно составлять не менее 120 пикселей;

при расстоянии между центрами глаз 120 пикселей значение горизонтального размера изображения лица должно составлять не менее 480 пикселей;

при расстоянии между центрами глаз 120 пикселей значение вертикального размера изображения лица должно составлять не менее 640 пикселей;

не допускается перекрытие волосами или посторонними предметами изображение лица по всей ширине от бровей до нижней губы;

на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц и портретов не допускается;

выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта (включая поведенческие факторы или медицинские заболевания);

лицо должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и блики;

не допускается использование ретуши и редактирования изображения;

допускается кадрирование изображения;

в случае фотографирования человека в очках не допускается наличие солнцезащитных очков и ярких световых артефактов или отражения вспышки от очков;

изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия (Compression Code): JPEG (0х00), PNG (0x03).

15. БО записи голоса должны соответствовать следующим требованиям:

отношение сигнал-шум для звука не менее 15 дБ;

глубина квантования не менее 16 бит;

частота дискретизации не менее 16 кГц;

контейнер/формат: RIFF (WAV);

код сжатия (Compression Code): PCM/uncompressed (0x0001)

количество каналов в записи голоса: 1 (моно режим) канал;

не допускается использовать шумоподавление;

на записи должен присутствовать голос одного человека;

запрещено получение БО записи голоса путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования (ТфОП);

для текстозависимого алгоритма распознавания по голосу:

длительность записи голоса зависит от размера используемого словаря;

содержание речи субъекта: парольная фраза;

эмоционально-психологическое состояние и состояние здоровья субъекта: нормальное не возбужденное состояние без явных проявлений каких-либо заболеваний (простудные, респираторные и т.п.);

перечень языков, на которых субъект может производить речевое сообщение: русский.

16. Собранные уполномоченными сотрудниками органов и организаций биометрические образцы в автоматизированном режиме проверяются в информационных системах таких органов и организаций, на соответствие требованиям и критериям, установленным пунктами 12-15 настоящего Порядка (далее - контроль качества), при этом допускается использование программного обеспечения, безвозмездно предоставленного оператором единой биометрической системы.

17. Если в случае прохождения контроля качества установлено соответствие биометрических образцов критериям и требованиям, указанным в пунктах 12-15 настоящего Порядка, такие образцы, а также сведения, установленные актами Правительства Российской Федерации, иная информация, в том числе, о дате, времени и месте сбора биометрических персональных данных, установленная Регламентом, передаются органами и организациями в единую биометрическую систему с использованием СМЭВ в соответствии с указанным Регламентом.

В единой биометрической системе переданные биометрические образцы также проходят контроль качества с использованием программного обеспечения указанной системы.

В случае если в процессе прохождения контроля качества, осуществляемого в соответствии с абзацем вторым пункта 17 Порядка, установлено не соответствие биометрических образцов критериям и требованиям, указанным в пунктах 12-15 настоящего Порядка, в единой биометрической системе создание биометрического контрольного шаблона не осуществляется.

В единой биометрической системе на основании предоставленных биометрических образцов, прошедших контроль качества, формируются биометрические контрольные шаблоны, которые используются в процессе проведения идентификации гражданина Российской Федерации с использованием информационных технологий.

18. Хранение биометрических персональных данных, размещенных в единой биометрической системе, в целях идентификации осуществляется в соответствии со статьей 19 Федерального закона N 152-ФЗ в течении не менее, чем 50 лет с момента их размещения в указанной системе. Хранение биометрических персональных данных, размещенных в единой биометрической системе, осуществляется в порядке, установленном Регламентом.

Использование биометрических персональных данных, в том числе, размещенных в единой биометрической системе, в целях идентификации, осуществляется в течении 3 лет с момента их размещения в указанной системе.

19. В процессе сбора параметров биометрических персональных данных достоверность установления личности гражданина Российской Федерации обеспечивается уполномоченным сотрудником органа или организации.

III. Порядок размещения и обновления биометрических персональных данных в единой биометрической системе

20. Размещение и обновление в электронной форме в единой биометрической системе сведений, определенных частью 8 статьи 14.1 Федерального закона 149-ФЗ, осуществляется банками, соответствующими критериям, установленным абзацами вторым - четвертым пункта 5.7 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (Собрание законодательства Российской Федерации, 2001, N 33, ст. 3418; 2002, N 44, ст. 4296; 2004, N 31, ст. 3224; 2006, N 31, ст. 3446, 3452; 2007, N 16, ст. 1831; N 49, ст. 6036; 2009, N 23, ст. 2776; 2010, N 30, ст. 4007; N 31, ст. 4166; 2011, N 27, ст. 3873; N 46, ст. 6406; 2013, N 26, ст. 3207; N 44, ст. 5641; N 52, ст. 6968; 2014, N 19, ст. 2311, 2315; N 23, ст. 2934; N 30, ст. 4219; 2015, N 1, ст. 37; N 18, ст. 2614; N 24, ст. 3367; N 27, ст. 3945, 4001; 2016, N 1, ст. 27, 43, 44; N 26, ст. 3860; N 27, ст. 4196; N 28, ст. 4558; 2017, N 31, ст. 4830, 2018, N 1, ст. 66, N 17, ст. 2418, N 18, ст. 2582), государственными органами и иными организации в случаях, определенных федеральными законами, с согласия гражданина Российской Федерации и на безвозмездной основе.

21. Обновление сведений в единой биометрической системе осуществляется в соответствии с разделом II настоящего Порядка.

22. Размещение и обновление сведений в единой биометрической системе осуществляется в соответствии с требованиями к фиксированию действий в соответствии с пунктом 1 части 2 статьи 14.1 Федерального закона N 149-ФЗ.

23. Биометрические персональные данные, а также иная информация и сведения, указанные в абзаце первом пункта 17 настоящего Порядка, размещаются и обновляются в единой биометрической системе уполномоченным сотрудником органа или организации и подписываются усиленной квалифицированной электронной подписью такого органа или организации.

24. Размещение биометрических персональных данных гражданина Российской Федерации в единой биометрической системе осуществляется, если гражданин Российской Федерации прошел процедуру регистрации в единой системе идентификации и аутентификации в соответствии с положением о федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", утвержденным приказом Министерства связи и массовых коммуникаций Российской Федерации от 13.04.2012 N 107 (зарегистрирован в Министерстве юстиции Российской Федерации 26 апреля 2012 г., регистрационный N 23952) (далее - Положение), завершение которой сопровождалось подтверждением личности с использованием усиленной квалифицированной электронной подписью или предъявлением основного документа, удостоверяющего личность, и внесением информации о таком способе установления личности в соответствующий регистр этой системы.

В случае если гражданин Российской Федерации не зарегистрирован в единой системе идентификации и аутентификации, уполномоченный сотрудник после проведения идентификации гражданина Российской Федерации осуществляет с его согласия процедуру регистрации в единой системе идентификации и аутентификации, в соответствии с Положением, а также вносит в указанную систему сведения о способе установления личности заявителя в соответствии с Положением.

Если сведения, необходимые для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, внесены в указанную систему, но процесс завершения регистрации в соответствии с Положением, которая сопровождалась подтверждением личности с использованием усиленной квалифицированной электронной подписи или предъявлением основного документа, удостоверяющего личность, и внесением информации о таком способе установления личности в соответствующий регистр этой системы, не осуществлен, уполномоченное лицо перед сбором параметров биометрических персональных данных с согласия гражданина Российской Федерации размещает или обновляет в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней, а также устанавливает личность соответствующего гражданина Российской Федерации и (или) вносит в единую систему идентификации и аутентификации сведения о способе установления личности заявителя в соответствии с Положением.

После завершения создания учетной записи в единой системе идентификации и аутентификации или завершения регистрации гражданина Российской Федерации в указанной системе в соответствии с Положением уполномоченный сотрудник приступает к сбору биометрических персональных данных и размещению их в единой биометрической системе.

25. Размещенные в единой биометрической системе биометрические персональные данные гражданина Российской Федерации используются в целях идентификации гражданина Российской Федерации, в случае завершения регистрации соответствующего гражданина Российской Федерации в единой системе идентификации и аутентификации с условием подтверждения личности с использованием усиленной квалифицированной электронной подписи или предъявлением основного документа, удостоверяющего личность, и внесением информации о таком способе установления личности в соответствующий регистр этой системы.

26. Обновление биометрических персональных данных в единой биометрической системе в целях идентификации осуществляется гражданином Российской Федерации добровольно в следующих случаях:

1. по истечении 3 лет с момента их размещения в указанной системе;

2. в случае изменений биометрических характеристик человека (лицо, голос), препятствующих проведению идентификации;

3. по инициативе гражданина Российской Федерации.

IV. Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации

27. Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных - изображение лица в целях проведения идентификации:

а) для регистрации изображения лица необходимо использовать фото или видеокамеру (далее - камеру) со следующими характеристиками:

разрешение получаемого изображения: не менее 1280х720 пикселей;

при расположении субъекта на расстоянии 0,3-0,5 м от камеры, эквивалентное фокусное расстояние должно составлять от 31 до 100 мм; при расположении субъекта на расстоянии 0,51-1,0 м от камеры, эквивалентное фокусное расстояние должно составлять от 28 мм до 100 мм от камеры;

фото-видеосъемка должна проводится при использовании режима автоматической корректировки баланса белого цвета.

б) для обеспечения естественной цветопередачи кожи рекомендуется, чтобы цветовая температура осветителей составляла от 4800 до 6500 К. Требуемая цветовая температура обеспечивается люминесцентными или светодиодными источниками освещения. Используемые источники освещения должны создавать в области лица освещенность:

для видео/фотокамер без автоматической коррекции освещенности не менее 300 лк;

для видео/фотокамер с автоматической коррекцией освещенности не менее 100 лк.

28. Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных - данные голоса в целях проведения идентификации:

а) Для регистрации записи голоса необходимо использовать микрофон со следующими характеристиками:

тип: конденсаторный (предпочтительно электретный), без автоматической регулировки усиления;

соотношение сигнал/шум: не менее 58 дБ;

диапазон частот: от 40 до 10000 Гц;

чувствительность: не менее минус 30 дБ;

форма диаграммы направленности: всенаправленная, кардиоида, суперкардиоида или гиперкардиоида.

29. Защита от подбора, обеспечиваемая в единой биометрической системе, неподлинных биометрических образцов должна быть в объеме не менее 104 попыток на каждый образец.

30. Органы и организации к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации (далее - инциденты защиты информации), относят события, которые возникли вследствие нарушения или попыток нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.

31. Банки осуществляют информирование Банка России о выявленных инцидентах защиты информации не позднее одного рабочего дня с момента их выявления. Информирование осуществляется с использование личных кабинетов на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".

Информирование осуществляется в форме электронных сообщений. Информация о технологиях подготовки, направлении и форматах электронных сообщений, размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".

32. Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 1-му уровню защиты информации (усиленный), установленному требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 882-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).

33. Оценка соответствия требований по защите информации при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации осуществляется банком ежегодно с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049).