Приложение N 1

к приказу Министерства

цифрового развития, связи

и массовых коммуникаций

Российской Федерации

от 25.06.2018 N 321

ПОРЯДОК

ОБРАБОТКИ, ВКЛЮЧАЯ СБОР И ХРАНЕНИЕ, ПАРАМЕТРОВ

БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЦЕЛЯХ ИДЕНТИФИКАЦИИ

1. Настоящий порядок устанавливает процедуру обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации гражданина Российской Федерации, в том числе с применением информационных технологий без его личного присутствия (далее - идентификация, Порядок).

2. Обработка, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации осуществляется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243; N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 26, ст. 3877; N 28, ст. 4558; N 52, ст. 7491; 2017, N 18, ст. 2664; N 24, ст. 3478; N 25, ст. 3596; N 27, ст. 3953; N 31, ст. 4790, ст. 4825, ст. 4827; N 48, ст. 7051; 2018, N 1, ст. 66; N 18, ст. 2572; N 27, ст. 3956; N 30, ст. 4546; N 52, ст. 8101; 2019, N 12, ст. 1220, ст. 1221) (далее - Федеральный закон N 149-ФЗ).

3. В настоящем Порядке используются термины и определения, установленные в:

межгосударственном стандарте ГОСТ ISO/IEC 2382-37-2016 "Информационные технологии (ИТ). Словарь. Часть 37. Биометрия", введенном в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 февраля 2017 года N 71-ст (М., ФГУП "Стандартинформ", 2017);

национальном стандарте Российской Федерации ГОСТ ISO/IEC 19794-1-2015 "Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура", утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2015 года N 1928-ст "О введении в действие межгосударственного стандарта" (М., ФГУП "Стандартинформ", 2016);

национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 "Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица", утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 6 сентября 2013 года N 987-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2015);

национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 29794-1-2012 "Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура", утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 18 сентября 2012 года N 351-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2013);

национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 882-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).

4. В соответствии с настоящим порядком осуществляется обработка параметров биометрических персональных данных физического лица - гражданина Российской Федерации следующих видов (далее - субъект):

данные изображения лица;

данные голоса.

5. Для обработки биометрических персональных данных применяются информационные технологии и технические средства, имеющие подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации согласно приложению N 3 к настоящему Приказу.

В целях обеспечения подтверждения соответствия, предусмотренного абзацем первым настоящего пункта, государственный орган, банк, иная организация в случаях, определенных федеральными законами (далее - орган или организация), направляет в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - уполномоченный орган) следующие сведения, документы либо их заверенные копии:

документы, подтверждающие право собственности заявителя либо иное законное основание использования информационных технологий и технических средств, предназначенных для обработки изображения лица и данных голоса;

наименование, модель и тип технических средств, предназначенных для обработки изображения лица и данных голоса, а также эксплуатационные документы на указанные технические средства;

сведения об эквивалентном фокусном расстоянии, применяемом для регистрации изображения лица, содержащиеся в технической документации на техническое средство, обеспечивающее регистрацию изображения лица.

Подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации, осуществляется уполномоченным органом в течение 30 дней с даты получения указанных документов и сведений.

6. Сбор параметров биометрических персональных данных субъекта персональных данных производится при его личном присутствии уполномоченным сотрудником государственного органа, банка, иной организации, в случаях, определенных федеральными законами (далее - орган и организация), с целью создания биометрического контрольного шаблона, хранение которого осуществляется в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее - единая биометрическая система).

Биометрические контрольные шаблоны используются в процессе проведения идентификации гражданина Российской Федерации с использованием информационных технологий.

Уполномоченный сотрудник органа и организации при сборе параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации подписывает собранные биометрические персональные данные простой электронной подписью.

7. Органы и организации обязаны принимать организационно-распорядительные меры, предусматривающие:

определение уполномоченных сотрудников, осуществляющих сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и выдачу им ключей простой электронной подписи;

использование уполномоченными сотрудниками, осуществляющими сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, в качестве ключа простой электронной подписи идентификатора, которым является страховой номер индивидуального лицевого счета сотрудника, пароля ключа и иной аутентифицирующей информации (не являющейся паролем), уникальных для каждого сотрудника;

защищенное хранение выданных уполномоченным сотрудникам, осуществляющим сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, ключей простой электронной подписи, обеспечивающее их конфиденциальность и исключающее несанкционированное изменение, добавление и удаление;

сохранение идентификатора уполномоченного сотрудника, осуществляющего сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и результата его аутентификации в составе данных, содержащих биометрические персональные данные, собранные указанным сотрудником, и иную информацию, указанную в пункте 15 настоящего Порядка;

обеспечение и регулярную проверку (не реже одного раза в неделю) надлежащего функционирования информационных технологий и технических средств, иных программно-технических средств, предназначенных для обеспечения процессов сбора и обработки биометрических персональных данных, в том числе автоматизированную передачу результатов проведенной проверки в единую биометрическую систему.

8. Уполномоченные сотрудники, осуществляющие сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, обязаны соблюдать конфиденциальность выданных им паролей ключа простой электронной подписи и аутентифицирующей информации (не являющейся паролем). Сотрудники, осуществляющие создание, выдачу и хранение ключей простой электронной подписи, обязаны соблюдать конфиденциальность ключей простой электронной подписи, к которым имеют доступ.

9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать:

1) информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации (далее - инциденты безопасности, требования по защите информации соответственно), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.

Банки осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня с момента их выявления.

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049).

10. Обработка параметров биометрических персональных данных гражданина Российской Федерации осуществляется после проведения идентификации гражданина Российской Федерации при его личном присутствии в соответствии с требованиями, утвержденными в соответствии с пунктом 2 части 2 статьи 14.1 Федерального закона N 149-ФЗ, а также получения согласно Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276; N 27, ст. 3945; N 31, ст. 4772) (далее - Федеральный закон N 152-ФЗ) согласия на обработку персональных данных и биометрических персональных данных, в форме, утвержденной Правительством Российской Федерации в соответствии с пунктом 5 статьи 14.1 Федерального закона N 149-ФЗ.

В случае отзыва субъектом персональных данных в соответствии с частью 2 статьи 9 Федерального закона N 152-ФЗ согласия на обработку персональных данных, использование его биометрических персональных данных в целях проведения идентификации не осуществляется.

11. В процессе обработки параметров биометрических персональных данных создаются биометрические образцы данных изображения лица субъекта (далее - БО изображения лица) и биометрические образцы данных голоса (далее - БО записи голоса).

12. БО изображения лица должны соответствовать следующим требованиям:

цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;

поворот головы должен быть не более 5° от фронтального положения;

наклон головы должен быть не более 5° от фронтального положения;

отклонение головы должно быть не более 8° от фронтального положения;

расстояние между центрами глаз должно составлять не менее 120 пикселей;

изображение должно содержать полное изображение головы человека в анфас, включая левое и правое ухо (при их наличии), верхнюю точку лобной области головы и подбородок;

абзац исключен. - Приказ Минкомсвязи России от 04.07.2019 N 369;

не допускается перекрытие волосами или посторонними предметами изображение лица по всей ширине от бровей до нижней губы;

на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается;

выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта (с учетом поведенческих факторов и (или) медицинских заболеваний);

лицо должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и блики;

не допускается использование ретуши и редактирования изображения;

допускается кадрирование изображения;

в случае фотографирования человека в очках не допускается наличие солнцезащитных очков и ярких световых артефактов или отражения вспышки от очков;

изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (0 x 00), PNG (0 x 03);

фотографирование человека должно производиться с помощью средств автоматизации, позволяющих обеспечить расположение изображения головы в кадре в соответствии с требованиями настоящего приказа.

13. БО записи голоса должны соответствовать следующим требованиям:

отношение сигнал-шум для звука не менее 15 дБ;

глубина квантования не менее 16 бит;

частота дискретизации не менее 16 кГц;

запись голоса должна быть сохранена в формате RIFF (WAV);

код сжатия: PCM/uncompressed (0 x 0001)

количество каналов в записи голоса: 1 (моно режим) канал;

не допускается использовать шумоподавление;

на записи должен присутствовать голос одного человека;

запрещено получение БО записи голоса путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования;

для текстозависимого алгоритма распознавания по голосу:

произнесенное субъектом сообщение должно соответствовать последовательности букв и (или) цифр, сгенерированной программным обеспечением информационной системы органа или организации;

запись голоса должна содержать указанную последовательность полностью и не должна прерываться;

при осуществлении записи голоса эмоционально-психологическое состояние и состояние субъекта должно быть нормальным, не возбужденным, без явных признаков заболеваний, препятствующих произнесению сообщения, указанного в абзаце двенадцатом настоящего пункта, или способных нарушить тембр и (или) звучание голоса;

сообщение, указанное в абзаце двенадцатом настоящего пункта, должно быть произнесено субъектом на русском языке.

14. Проверка собранных уполномоченными сотрудниками органов и организаций биометрических образцов на соответствие требованиям, установленным пунктами 12, 13 настоящего Порядка (далее - контроль качества), осуществляется в автоматизированном режиме с использованием соответствующего программного обеспечения предоставляемого оператором единой биометрической системы.

15. В случае если в процессе прохождения контроля качества установлено соответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, такие образцы, содержащие, в том числе, метку даты, времени и места, а также информацию о технических средствах, с использованием которых осуществлялся процесс сбора и обработки параметров биометрических персональных данных, и о их состоянии передаются органами и организациями в единую биометрическую систему в автоматизированном режиме с использованием единой системы межведомственного электронного взаимодействия.

16. В единой биометрической системе переданные биометрические образцы проходят контроль качества с использованием программного обеспечения указанной системы.

В случае если в процессе прохождения контроля качества, осуществляемого в соответствии с абзацем первым настоящего пункта, установлено несоответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, в единой биометрической системе, создание биометрического контрольного шаблона не осуществляется.

В случае если в процессе прохождения контроля качества, осуществляемого в соответствии с абзацем первым настоящего пункта, установлено несоответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, органы и организации, осуществляющие размещение в единой биометрической системе биометрических персональных данных субъекта, обязаны направить информацию об указанных событиях в единую биометрическую систему в автоматизированном режиме с использованием единой системы межведомственного электронного взаимодействия, а также принять все возможные организационно-технические меры по повышению качества сбора параметров биометрических персональных данных.

17. Хранение, в том числе биометрических персональных данных, размещенных в единой биометрической системе, в целях идентификации осуществляется в соответствии со статьей 19 Федерального закона N 152-ФЗ в течение не менее чем 50 лет с момента их размещения в указанной системе.

Биометрические персональные данные, собранные в соответствии с настоящим Порядком, размещенные в единой биометрической системе, а также обрабатываемые в информационных системах органов и организаций, используются в целях идентификации не более 3 лет с даты сбора.

По истечении срока, указанного в абзаце втором настоящего пункта, использование биометрических персональных данных, размещенных в единой биометрической системе, в целях идентификации не допускается.

18. Информация о степени соответствия, передаваемая из единой биометрической системы в органы и организации, подписывается усиленной квалифицированной электронной подписью, основанной на квалифицированном сертификате ключа проверки электронной подписи, выданном оператору единой биометрической системы и созданном с использованием средств удостоверяющего центра и средств электронной подписи, обеспечивающих нейтрализацию угроз безопасности персональных данных, определенных в пункте 1.5.1 Указания Центрального банка Российской Федерации N 4859-У, Публичного акционерного общества "Ростелеком" N 01/01/782-18 от 9 июля 2018 г. "О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в единой биометрической системе" (зарегистрировано Министерством юстиции Российской Федерации 30 июля 2018 г., регистрационный N 51735).