Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 25 июня 2018 г. № 321 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации”
В соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2003, № 28, ст. 2895; № 46, ст. 4434; 2006, № 31, ст. 3448; 2007, № 1, ст. 7; 2009, № 12, ст. 1431; № 21, ст. 2573; 2010, № 31, ст. 4196; 2011, № 15, ст. 2038; № 30, ст. 4600; 2012, № 31, ст. 4328; № 44, ст. 6044; 2013, № 14, ст. 1658; № 23, ст. 2870; № 27, ст. 3479; № 52, ст. 6961, 6963; 2014, № 19, ст. 2302; № 30, ст. 4223, 4243; № 48, ст. 6645; 2015, № 1, ст. 84, № 27, ст. 3979; № 29, ст. 4389, 4390; 2016, № 26, ст. 3877; № 28, ст. 4558; № 52, ст. 7491; 2017, № 18, ст. 2664; № 24, ст. 3478; № 25, ст. 3596; № 27, ст. 3953; № 31, ст. 4790, 4825, 4827; № 48, ст. 7051; 2018, № 1, ст. 66; № 18, ст. 2572), приказываю:
1. Утвердить прилагаемые:
порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации;
порядок размещения и обновления биометрических персональных данных в единой биометрической системе;
требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации.
2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
3. Контроль за исполнением настоящего приказа возложить на статс-секретаря - заместителя Министра цифрового развития, связи и массовых коммуникаций Российской Федерации О.Б. Пака.
4. Настоящий приказ вступает в силу со дня его официального опубликования.
Министр | К.Ю. Носков |
Зарегистрировано в Минюсте РФ 4 июля 2018 г.
Регистрационный № 51532
Приложение № 1
к приказу
Министерства цифрового развития,
связи и массовых коммуникаций
Российской Федерации
от 25.06. 2018 № 321
Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации
1. Настоящий порядок устанавливает процедуру обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации гражданина Российской Федерации, в том числе с применением информационных технологий без его личного присутствия (далее - идентификация, Порядок).
2. Обработка, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации осуществляется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2003, № 28, ст. 2895; № 46, ст. 4434; 2006, № 31, ст. 3448; 2007, № 1, ст. 7; 2009, № 12, ст. 1431; № 21, ст. 2573; 2010, № 31, ст. 4196; 2011, № 15, ст. 2038; № 30, ст. 4600; 2012, № 31, ст. 4328; № 44, ст. 6044; 2013, № 14, ст. 1658; № 23, ст. 2870; № 27, ст. 3479; № 52, ст. 6961, 6963; 2014, № 19, ст. 2302; № 30, ст. 4223, 4243; № 48, ст. 6645; 2015, № 1, ст. 84, № 27, ст. 3979; № 29, ст. 4389, 4390; 2016, № 26, ст. 3877; № 28, ст. 4558; № 52, ст. 7491; 2017, № 18, ст. 2664; № 24, ст. 3478; № 25, ст. 3596; № 27, ст. 3953; № 31, ст. 4790, 4825, 4827; № 48, ст. 7051; 2018, № 1, ст. 66; № 18, ст. 2572) (далее - Федеральный закон № 149-ФЗ).
3. В настоящем Порядке используются термины и определения, установленные в:
межгосударственном стандарте ГОСТ ISO/IEC 2382-37-2016 «Информационные технологии (ИТ). Словарь. Часть 37. Биометрия», введенном в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 февраля 2017 года № 71-ст. (М., ФГУП «Стандартинформ», 2017);
национальном стандарте Российской Федерации ГОСТ ISO/IEC 19794-1-2015 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2015 года № 1928-ст «О введении в действие межгосударственного стандарта» (М., ФГУП «Стандартинформ», 2016);
национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 06 сентября 2013 года № 987-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2015);
национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 29794-1-2012 «Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 18 сентября 2012 года № 351-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2013);
национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 882-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).
4. В соответствии с настоящим порядком осуществляется обработка параметров биометрических персональных данных физического лица - гражданина Российской Федерации следующих видов (далее - субъект):
данные изображения лица;
данные голоса.
5. Для обработки биометрических персональных данных применяются информационные технологии и технические средства, имеющие подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации согласно приложению № 3 к настоящему Приказу.
В целях обеспечения подтверждения соответствия, предусмотренного абзацем первым настоящего пункта, государственный орган, банк, иная организация в случаях, определенных федеральными законами (далее - орган или организация), направляет в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - уполномоченный орган) следующие сведения, документы либо их заверенные копии:
документы, подтверждающие право собственности заявителя либо иное законное основание использования информационных технологий и технических средств, предназначенных для обработки изображения лица и данных голоса;
наименование, модель и тип технических средств, предназначенных для обработки изображения лица и данных голоса, а также эксплуатационные документы на указанные технические средства;
сведения о приведенном фокусном расстоянии, применяемом для регистрации изображения лица, содержащиеся в технической документации на техническое средство (предоставляются органами и организациями, осуществляющими размещение в единой биометрической системе биометрических персональных данных субъекта).
Подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации осуществляется уполномоченным органом в течение 30 дней с даты получения указанных документов и сведений.
6. Сбор параметров биометрических персональных данных субъекта персональных данных производится при его личном присутствии уполномоченным сотрудником органа или организации с целью создания биометрического контрольного шаблона, хранение которого осуществляется в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее - единая биометрическая система).
Биометрические контрольные шаблоны используются в процессе проведения идентификации гражданина Российской Федерации с использованием информационных технологий.
Уполномоченный сотрудник органа и организации при сборе параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации подписывает собранные биометрические персональные данные простой электронной подписью.
7. Органы и организации обязаны принимать организационно-распорядительные меры, предусматривающие:
определение уполномоченных сотрудников, осуществляющих сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и выдачу им ключей простой электронной подписи;
использование уполномоченными сотрудниками, осуществляющими сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, в качестве ключа простой электронной подписи идентификатора, которым является страховой номер индивидуального лицевого счета сотрудника, пароля ключа и иной аутентифицирующей информации (не являющейся паролем), уникальных для каждого сотрудника;
защищенное хранение выданных уполномоченным сотрудникам, осуществляющим сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, ключей простой электронной подписи, обеспечивающее их конфиденциальность и исключающее несанкционированное изменение, добавление и удаление;
сохранение идентификатора уполномоченного сотрудника, осуществляющего сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и результата его аутентификации в составе данных, содержащих биометрические персональные данные, собранные указанным сотрудником, и иную информацию, указанную в пункте 14 настоящего Порядка.
8. Уполномоченные сотрудники, осуществляющие сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, обязаны соблюдать конфиденциальность выданных им паролей ключа простой электронной подписи и аутентифицирующей информации (не являющейся паролем). Сотрудники, осуществляющие создание, выдачу и хранение ключей простой электронной подписи, обязаны соблюдать конфиденциальность ключей простой электронной подписи, к которым имеют доступ.
9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать:
1) информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации (далее - инциденты безопасности, требования по защите информации соответственно), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.
Банки осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня с момента их выявления.
2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (Собрание законодательства Российской Федерации, 2012, № 7, ст. 863; 2016, № 26, ст. 4049).
10. Обработка параметров биометрических персональных данных гражданина Российской Федерации осуществляется после проведения идентификации гражданина Российской Федерации при его личном присутствии в соответствии с требованиями, утвержденными в соответствии с пунктом 2 части 2 статьи 14.1 Федерального закона № 149-ФЗ, а также получения согласно Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, 4196; № 49, ст. 6409; № 52, ст. 6974; 2011, № 23, ст. 3263; № 31, ст. 4701; 2013, № 14, ст. 1651; № 30, ст. 4038; № 51, ст. 6683; 2014, № 23, ст. 2927; № 30, ст. 4217, 4243; 2016, № 27, ст. 4164; 2017, № 9, ст. 1276; № 27, ст. 3945; № 31, ст. 4772) (далее - Федеральный закон № 152-ФЗ) согласия на обработку персональных данных и биометрических персональных данных, в форме, утвержденной Правительством Российской Федерации в соответствии с пунктом 5 статьи 14.1 Федерального закона № 149-ФЗ.
В случае отзыва субъектом персональных данных в соответствии с частью 2 статьи 9 Федерального закона № 152-ФЗ согласия на обработку персональных данных, использование его биометрических персональных данных в целях проведения идентификации не осуществляется.
11. В процессе обработки параметров биометрических персональных данных создаются биометрические образцы данных изображения лица субъекта (далее - БО изображения лица) и биометрические образцы данных голоса (далее - БО записи голоса).
12. БО изображения лица должны соответствовать следующим требованиям:
цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;
поворот головы должен быть не более 5° от фронтального положения;
наклон головы должен быть не более 5° от фронтального положения;
отклонение головы должно быть не более 8° от фронтального положения;
расстояние между центрами глаз должно составлять не менее 120 пикселей;
при расстоянии между центрами глаз 120 пикселей значение горизонтального размера изображения лица должно составлять не менее 480 пикселей;
при расстоянии между центрами глаз 120 пикселей значение вертикального размера изображения лица должно составлять не менее 640 пикселей;
не допускается перекрытие волосами или посторонними предметами изображение лица по всей ширине от бровей до нижней губы;
на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается;
выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта (с учетом поведенческих факторов и (или) медицинских заболеваний);
лицо должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и блики;
не допускается использование ретуши и редактирования изображения;
допускается кадрирование изображения;
в случае фотографирования человека в очках не допускается наличие солнцезащитных очков и ярких световых артефактов или отражения вспышки от очков;
изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (0x00), PNG (0x03).
13. БО записи голоса должны соответствовать следующим требованиям:
отношение сигнал-шум для звука не менее 15 дБ;
глубина квантования не менее 16 бит;
частота дискретизации не менее 16 кГц;
запись голоса должна быть сохранена в формате RIFF (WAV);
код сжатия: PCM/uncompressed (0x0001)
количество каналов в записи голоса: 1 (моно режим) канал;
не допускается использовать шумоподавление;
на записи должен присутствовать голос одного человека;
запрещено получение БО записи голоса путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования;
для текстозависимого алгоритма распознавания по голосу:
произнесенное субъектом сообщение должно соответствовать последовательности букв и (или) цифр, сгенерированной программным обеспечением информационной системы органа или организации;
запись голоса должна содержать указанную последовательность полностью и не должна прерываться;
при осуществлении записи голоса эмоционально-психологическое состояние и состояние субъекта должно быть нормальным, не возбужденным, без явных признаков заболеваний, препятствующих произнесению сообщения, указанного в абзаце двенадцатом настоящего пункта, или способных нарушить тембр и (или) звучание голоса;
сообщение, указанное в абзаце двенадцатом настоящего пункта, должно быть произнесено субъектом на русском языке.
14. Собранные уполномоченными сотрудниками органов и организаций биометрические образцы в автоматизированном режиме проверяются в информационных системах таких органов и организаций, на соответствие требованиям, установленным пунктами 12, 13 настоящего Порядка (далее - контроль качества).
15. Если в случае прохождения контроля качества установлено соответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, такие образцы, содержащие, в том числе, метку даты, времени и места, передаются органами и организациями в единую биометрическую систему с использованием единой системы межведомственного электронного взаимодействия.
16. В единой биометрической системе переданные биометрические образцы проходят контроль качества с использованием программного обеспечения указанной системы.
В случае если в процессе прохождения контроля качества, осуществляемого в соответствии с абзацем первым настоящего пункта, установлено не соответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, в единой биометрической системе, создание биометрического контрольного шаблона не осуществляется.
17. Хранение биометрических персональных данных, размещенных в единой биометрической системе, в целях идентификации осуществляется в соответствии со статьей 19 Федерального закона № 152-ФЗ в течение не менее чем 50 лет с момента их размещения в указанной системе.
Биометрические персональные данные, собранные в соответствии с настоящим Порядком, размещенные в единой биометрической системе, а также обрабатываемые в информационных системах органов и организаций, используются в целях идентификации не более 3 лет с даты сбора.
По истечении срока, указанного в абзаце втором настоящего пункта, использование биометрических персональных данных, размещенных в единой биометрической системе, в целях идентификации не допускается.
Приложение № 2
к приказу
Министерства цифрового развития,
связи и массовых коммуникаций
Российской Федерации
от 25.06. 2018 № 321
Порядок размещения и обновления биометрических персональных данных в единой биометрической системе
1. Порядок размещения и обновления биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее - единая биометрическая система), устанавливает процедуру размещения и обновления биометрических персональных данных в единой биометрической системе в целях идентификации гражданина Российской Федерации, в том числе, с применением информационных технологий без его личного присутствия (далее - идентификация, Порядок).
2. Размещение и обновление в электронной форме в единой биометрической системе сведений, определенных частью 8 статьи 14.1 Федерального закона 149-ФЗ, осуществляются банками, соответствующими критериям, установленным абзацами вторым - четвертым пункта 5.7 статьи 7 Федерального закона от 7 августа 2001 года № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (Собрание законодательства Российской Федерации, 2001, № 33, ст. 3418; 2002, № 44, ст. 4296; 2004, № 31, ст. 3224; 2006, № 31, ст. 3446, 3452; 2007, № 16, ст. 1831; № 49, ст. 6036; 2009, № 23, ст. 2776; 2010, № 30, ст. 4007; № 31, ст. 4166; 2011, № 27, ст. 3873; № 46, ст. 6406; 2013, № 26, ст. 3207; № 44, ст. 5641; № 52, ст. 6968; 2014, № 19, ст. 2311, 2315; № 23, ст. 2934; № 30, ст. 4219; 2015, № 1, ст. 37; № 18, ст. 2614; № 24, ст. 3367; № 27, ст. 3945, 4001; 2016, № 1, ст. 27, 43, 44; № 26, ст. 3860; № 27, ст. 4196; № 28, ст. 4558; 2017, № 31, ст. 4830, 2018, № 1, ст. 66, № 17, ст. 2418, № 18, ст. 2582), государственными органами и иными организации в случаях, определенных федеральными законами, с согласия гражданина Российской Федерации и на безвозмездной основе.
3. Размещение и обновление в единой биометрической системе биометрических персональных данных осуществляются в соответствии с законодательством Российской Федерации в области персональных данных и настоящим Порядком.
4. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется органами и организациями с использованием единой системы межведомственного электронного взаимодействия.
5. Обновление сведений в единой биометрической системе осуществляется в соответствии с порядком обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации в соответствии с приложением 1 к настоящему приказу (далее - Порядок обработки).
6. При размещении и обновлении сведений в единой биометрической системе банки должны осуществлять информирование Банка России о выявленных инцидентах безопасности в соответствии с подпунктом 1 пункта 9 Порядка обработки.
7. Размещение и обновление сведений в единой биометрической системе осуществляется в соответствии с требованиями к фиксированию действий в соответствии с пунктом 1 части 2 статьи 14.1 Федерального закона № 149-ФЗ.
8. Биометрические персональные данные, а также иная информация, указанная в пункте 15 Порядка обработки, размещаются и обновляются в единой биометрической системе уполномоченным сотрудником органов и организаций, (далее - уполномоченные сотрудники) и подписываются усиленной квалифицированной электронной подписью такого органа или организации, основанной на квалифицированном сертификате ключа проверки электронной подписи, выдаваемом такому органу или организации головным удостоверяющим центром, функции которого осуществляет федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи.
9. Размещение биометрических персональных данных гражданина Российской Федерации в единой биометрической системе осуществляется, если гражданин Российской Федерации прошел процедуру регистрации в единой системе идентификации и аутентификации в соответствии с положением о федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме», утвержденным приказом Министерства связи и массовых коммуникаций Российской Федерации от 13.04.2012 № 107 (далее - Положение)1.
Размещение биометрических персональных данных гражданина Российской Федерации в единой биометрической системе осуществляется при условии, что личность гражданина Российской Федерации удостоверена в соответствии с подпунктом «з» пункта 6.1 Положения.
10. В случае если гражданин Российской Федерации не зарегистрирован в единой системе идентификации и аутентификации, уполномоченный сотрудник после проведения идентификации гражданина Российской Федерации осуществляет с его согласия процедуру регистрации в единой системе идентификации и аутентификации, в соответствии с Положением.
11. Если сведения, необходимые для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, внесены в указанную систему, но процесс регистрации в соответствии с пунктом 9 Порядка не завершен, уполномоченное лицо перед сбором параметров биометрических персональных данных с согласия гражданина Российской Федерации размещает или обновляет в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней, а также устанавливает личность соответствующего гражданина Российской Федерации и вносит в единую систему идентификации и аутентификации сведения о способе установления личности заявителя в соответствии с Положением.
12. При наличии у гражданина Российской Федерации учетной записи в единой системе идентификации и аутентификации, уполномоченный сотрудник осуществляет сбор биометрических персональных данных и размещение их в единой биометрической системе.
13. Размещенные в единой биометрической системе биометрические персональные данные гражданина Российской Федерации используются в целях идентификации гражданина Российской Федерации, в случае завершения регистрации соответствующего гражданина Российской Федерации в единой системе идентификации и аутентификации при условии, что личность гражданина Российской Федерации удостоверена в соответствии с подпунктом «з» пункта 6.1 Положения.
14. Обновление биометрических персональных данных в единой биометрической системе в целях идентификации осуществляется гражданином Российской Федерации добровольно в следующих случаях:
1) по истечении 3 лет с момента их размещения в указанной системе;
2) по инициативе гражданина Российской Федерации.
------------------------------
1 Зарегистрирован Министерством юстиции Российской Федерации 26 апреля 2012 г., регистрационный № 23952.
------------------------------
Приложение № 3
к приказу
Министерства цифрового развития,
связи и массовых коммуникаций
Российской Федерации
от 25.06. 2018 № 321
Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации
1. В Требованиях к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации (далее - Требования) используются термины и определения, установленные в:
межгосударственном стандарте ГОСТ ISO/IEC 2382-37-2016 «Информационные технологии (ИТ). Словарь. Часть 37. Биометрия», введенном в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 февраля 2017 года № 71-ст. (М., ФГУП «Стандартинформ», 2017);
национальном стандарте Российской Федерации ГОСТ ISO/IEC 19794-1-2015 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2015 года № 1928-ст «О введении в действие межгосударственного стандарта» (М., ФГУП «Стандартинформ», 2016);
национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 06 сентября 2013 года № 987-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2015);
национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 29794-1-2012 «Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 18 сентября 2012 года № 351-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2013);
национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 882-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).
2. Требования к информационным технологиям и техническим средствам, предназначенным для обработки изображения лица в целях проведения идентификации:
а) для регистрации изображения лица необходимо использовать фото- или видеокамеру (далее - камера) со следующими характеристиками:
разрешение получаемого изображения: не менее 1280x720 пикселей;
эквивалентное фокусное расстояние должно составлять от 31 до 100 мм при расположении субъекта на расстоянии 0,3-0,5 м от камеры; эквивалентное фокусное расстояние должно составлять от 28 мм до 100 мм от камеры при расположении субъекта на расстоянии 0,51-1,0 м от камеры;
фото-видеосъемка должна проводится при использовании режима автоматической корректировки баланса белого цвета.
б) используемые источники освещения должны создавать в области лица освещенность:
для фото-видеокамер без автоматической коррекции освещенности не менее - 300 лк;
для фото-видеокамер с автоматической коррекцией освещенности не менее - 100 лк.
3. Требования к информационным технологиям и техническим средствам, предназначенным для обработки данных голоса в целях проведения идентификации:
а) Для регистрации записи голоса необходимо использовать микрофон со следующими характеристиками:
тип: конденсаторный, без автоматической регулировки усиления;
соотношение сигнал/шум: не менее 58 дБ;
диапазон частот: от 40 до 10000 Гц;
чувствительность: не менее - 30 дБ;
форма диаграммы направленности: всенаправленная, кардиоида, суперкардиоида или гиперкардиоида.
4. Защита от подбора, обеспечиваемая в единой биометрической системе, неподлинных биометрических образцов должна быть в объеме не менее 104 попыток на каждый образец.
5. Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», утвержденному приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 882-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).
Обзор документа
С 30 июня 2018 г. вступили в силу нормы законодательства по вопросам применения информационных технологий в целях идентификации граждан. Речь идет в т. ч. о размещении определенных данных в единой биометрической системе.
В связи с этим определен порядок обработки, включая сбор и хранение, параметров биометрических персональных данных. Урегулированы вопросы размещения и обновления последних в единой биометрической системе. Закреплены требования к информационным технологиям и техническим средствам, предназначенным для обработки данных.
Обработке подвергаются данные голоса, изображения лица. Определены качественные характеристики данных. Сбор параметров производится при личном присутствии гражданина уполномоченным сотрудником органа или организации. После проверки в автоматизированном режиме биометрических образцов создается биометрический контрольный шаблон, который будет храниться в системе и использоваться для идентификации.
Сведения хранятся не менее чем 50 лет, но используются в целях идентификации не более 3 лет с даты сбора. Предусмотрено их обновление по истечении указанного срока, а также по инициативе гражданина.
Данные размещаются, если гражданин прошел процедуру регистрации в ЕСИА.