Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к ... МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ  ПРИКАЗ  от 25 июня 2018 года N 321  Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации  (с изменениями на 4 июля 2019 года) ____________________________________________________________________  Документ с изменениями, внесенными:  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369  (Официальный интернет-портал правовой информации www.pravo.gov.ru, 26.09.2019, N 0001201909260016).  ____________________________________________________________________ В соответствии с  пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"  (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2010, N 31, ст.4196; 2011, N 15, ст.2038; N 30, ст.4600; 2012, N 31, ст.4328; 2013, N 14, ст.1658; N 23, ст.2870; N 27, ст.3479; N 52, ст.6961, ст.6963; 2014, N 19, ст.2302; N 30, ст.4223, ст.4243; N 48, ст.6645; 2015, N 1, ст.84; N 27, ст.3979; N 29, ст.4389, ст.4390; 2016, N 26, ст.3877; N 28, ст.4558; N 52, ст.7491; 2017, N 18, ст.2664; N 24, ст.3478; N 25, ст.3596; N 27, ст.3953; N 31, ст.4790, ст.4825, ст.4827; N 48, ст.7051; 2018, N 1, ст.66; N 18, ст.2572; N 27, ст.3956; N 30, ст.4546; N 52, ст.8101; 2019, N 12, ст.1220, ст.1221) (Преамбула в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . приказываю: 1. Утвердить прилагаемые: порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации; порядок размещения и обновления биометрических персональных данных в единой биометрической системе; требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации. 2. При реализации требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации, соблюдать  постановление Правительства Российской Федерации от 16 сентября 2016 г. N 925 "О приоритете товаров российского происхождения, работ, услуг, выполняемых, оказываемых российскими лицами, по отношению к товарам, происходящим из иностранного государства, работам, услугам, выполняемым, оказываемым иностранными лицами"  (Собрание законодательства Российской Федерации, 2016, N 39, ст.5649; 2019, N 29, ст.4023). (Пункт дополнительно включен с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 ) ____________________________________________________________________ Пункты 2, 3 и 4 предыдущей редакции с 7 октября 2019 года считаются соответственно пунктами 3, 4 и 5 настоящей редакции -  приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 .  ____________________________________________________________________  3. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации. 4. Контроль за исполнением настоящего приказа возложить на статс-секретаря - заместителя Министра цифрового развития, связи и массовых коммуникаций Российской Федерации О.Б.Пака. 5. Настоящий приказ вступает в силу со дня его официального опубликования. Министр  К.Ю.Носков  Зарегистрировано  в Министерстве юстиции  Российской Федерации  4 июля 2018 года, регистрационный N 51532  Приложение N 1. Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации Приложение N 1  к приказу  Министерства цифрового развития, связи и массовых коммуникаций  Российской Федерации  от 25 июня 2018 года N 321  Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации  (с изменениями на 4 июля 2019 года) 1. Настоящий порядок устанавливает процедуру обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации гражданина Российской Федерации, в том числе с применением информационных технологий без его личного присутствия (далее - идентификация, Порядок). 2. Обработка, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации осуществляется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям, установленным в соответствии с  Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации"  (Собрание законодательства Российской Федерации,  2006, N 31, ст.3448; 2010, N 31, ст.4196; 2011, N 15, ст.2038; N 30, ст.4600; 2012, N 31, ст.4328; 2013, N 14, ст.1658; N 23, ст.2870; N 27, ст.3479; N 52, ст.6961, ст.6963; 2014, N 19, ст.2302; N 30, ст.4223, ст.4243; N 48, ст.6645; 2015, N 1, ст.84; N 27, ст.3979; N 29, ст.4389, ст.4390; 2016, N 26, ст.3877; N 28, ст.4558; N 52, ст.7491; 2017, N 18, ст.2664; N 24, ст.3478; N 25, ст.3596; N 27, ст.3953; N 31, ст.4790, ст.4825, ст.4827; N 48, ст.7051; 2018, N 1, ст.66; N 18, ст.2572; N 27, ст.3956; N 30, ст.4546; N 52, ст.8101; 2019, N 12, ст.1220, ст.1221) (далее - Федеральный закон N 149-ФЗ). (Пункт в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . 3. В настоящем Порядке используются термины и определения, установленные в: межгосударственном стандарте  ГОСТ ISO/IEC 2382-37-2016 "Информационные технологии (ИТ). Словарь. Часть 37. Биометрия" , введенном в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 февраля 2017 года N 71-ст. (М., ФГУП "Стандартинформ", 2017); национальном стандарте Российской Федерации  ГОСТ ISO/IEC 19794-1-2015 "Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура" , утвержденном  приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2015 года N 1928-ст "О введении в действие межгосударственного стандарта"  (М., ФГУП "Стандартинформ", 2016); национальном стандарте Российской Федерации  ГОСТ Р ИСО/МЭК 19794-5-2013 "Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица" , утвержденном  приказом Федерального агентства по техническому регулированию и метрологии от 06 сентября 2013 года N 987-ст "Об утверждении национального стандарта"  (М., ФГУП "Стандартинформ", 2015); национальном стандарте Российской Федерации  ГОСТ Р ИСО/МЭК 29794-1-2012 "Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура" , утвержденном  приказом Федерального агентства по техническому регулированию и метрологии от 18 сентября 2012 года N 351-ст "Об утверждении национального стандарта"  (М., ФГУП "Стандартинформ", 2013); национальном стандарте Российской Федерации  ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" , утвержденного  приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 882-ст* "Об утверждении национального стандарта"  (М., ФГУП "Стандартинформ", 2017). (Абзац в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . ________________ * Вероятно, ошибка оригинала. Следует читать "N 822-ст". - Примечание изготовителя базы данных. 4. В соответствии с настоящим порядком осуществляется обработка параметров биометрических персональных данных физического лица - гражданина Российской Федерации следующих видов (далее - субъект): данные изображения лица;  данные голоса. 5. Для обработки биометрических персональных данных применяются информационные технологии и технические средства, имеющие подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации согласно приложению N 3 к настоящему Приказу. В целях обеспечения подтверждения соответствия, предусмотренного абзацем первым настоящего пункта, государственный орган, банк, иная организация в случаях, определенных федеральными законами (далее - орган или организация), направляет в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - уполномоченный орган) следующие сведения, документы либо их заверенные копии: документы, подтверждающие право собственности заявителя либо иное законное основание использования информационных технологий и технических средств, предназначенных для обработки изображения лица и данных голоса; наименование, модель и тип технических средств, предназначенных для обработки изображения лица и данных голоса, а также эксплуатационные документы на указанные технические средства; сведения об эквивалентном фокусном расстоянии, применяемом для регистрации изображения лица, содержащиеся в технической документации на техническое средство, обеспечивающее регистрацию изображения лица. (Абзац в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . Подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации осуществляется уполномоченным органом в течение 30 дней с даты получения указанных документов и сведений. 6. Сбор параметров биометрических персональных данных субъекта персональных данных производится при его личном присутствии  уполномоченным сотрудником государственного органа, банка, иной организации, в случаях, определенных федеральными законами (далее - орган и организация),  с целью создания биометрического контрольного шаблона, хранение которого осуществляется в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее - единая биометрическая система). (Абзац с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . Биометрические контрольные шаблоны используются в процессе проведения идентификации гражданина Российской Федерации с использованием информационных технологий. Уполномоченный сотрудник органа и организации при сборе параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации подписывает собранные биометрические персональные данные простой электронной подписью. 7. Органы и организации обязаны принимать организационно-распорядительные меры, предусматривающие: определение уполномоченных сотрудников, осуществляющих сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и выдачу им ключей простой электронной подписи; использование уполномоченными сотрудниками, осуществляющими сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, в качестве ключа простой электронной подписи идентификатора, которым является страховой номер индивидуального лицевого счета сотрудника, пароля ключа и иной аутентифицирующей информации (не являющейся паролем), уникальных для каждого сотрудника; защищенное хранение выданных уполномоченным сотрудникам, осуществляющим сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, ключей простой электронной подписи, обеспечивающее их конфиденциальность и исключающее несанкционированное изменение, добавление и удаление; сохранение идентификатора уполномоченного сотрудника, осуществляющего сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и результата его аутентификации в составе данных, содержащих биометрические персональные данные, собранные указанным сотрудником, и иную информацию, указанную в пункте 15 настоящего Порядка; (Абзац в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . обеспечение и регулярную проверку (не реже одного раза в неделю) надлежащего функционирования информационных технологий и технических средств, иных программно-технических средств, предназначенных для обеспечения процессов сбора и обработки биометрических персональных данных, в том числе автоматизированную передачу результатов проведенной проверки в единую биометрическую систему. (Абзац дополнительно включен с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 ) 8. Уполномоченные сотрудники, осуществляющие сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, обязаны соблюдать конфиденциальность выданных им паролей ключа простой электронной подписи и аутентифицирующей информации (не являющейся паролем). Сотрудники, осуществляющие создание, выдачу и хранение ключей простой электронной подписи, обязаны соблюдать конфиденциальность ключей простой электронной подписи, к которым имеют доступ. 9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать: 1) информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации (далее - инциденты безопасности, требования по защите информации соответственно), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации. Банки осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня с момента их выявления. 2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных  подпунктами "б" ,  "д"  или  "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации , утвержденного  постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации"  (Собрание законодательства Российской Федерации, 2012, N 7, ст.863; 2016, N 26, ст.4049) и информирование Банка России о результатах такой оценки. (Подпункт в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . 10. Обработка параметров биометрических персональных данных гражданина Российской Федерации осуществляется после проведения идентификации гражданина Российской Федерации при его личном присутствии в соответствии с требованиями, утвержденными в соответствии с  пунктом 2 части 2 статьи 14.1 Федерального закона N 149-ФЗ , а также получения согласно  Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных"  (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2009, N 48, ст.5716; N 52, ст.6439; 2010, N 27, ст.3407; N 31, ст.4173, 4196; N 49, ст.6409; N 52, ст.6974; 2011, N 23, ст.3263; N 31, ст.4701; 2013, N 14, ст.1651; N 30, ст.4038; N 51, ст.6683; 2014, N 23, ст.2927; N 30, ст.4217, 4243; 2016, N 27, ст.4164; 2017, N 9, ст.1276; N 27, ст.3945; N 31, ст.4772) (далее - Федеральный закон N 152-ФЗ) согласия на обработку персональных данных и биометрических персональных данных, в форме, утвержденной Правительством Российской Федерации в соответствии с  пунктом 5 статьи 14.1 Федерального закона N 149-ФЗ . В случае отзыва субъектом персональных данных в соответствии с  частью 2 статьи 9 Федерального закона N 152-ФЗ  согласия на обработку персональных данных, использование его биометрических персональных данных в целях проведения идентификации не осуществляется. 11. В процессе обработки параметров биометрических персональных данных создаются биометрические образцы данных изображения лица субъекта (далее - БО изображения лица) и биометрические образцы данных голоса (далее - БО записи голоса). 12. БО изображения лица должны соответствовать следующим требованиям:  цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий; поворот головы должен быть не более 5° от фронтального положения; наклон головы должен быть не более 5° от фронтального положения; отклонение головы должно быть не более 8° от фронтального положения; расстояние между центрами глаз должно составлять не менее 120 пикселей; изображение должно содержать полное изображение головы человека в анфас, включая левое и правое ухо (при их наличии), верхнюю точку лобной области головы и подбородок; (Абзац в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . абзац исключен с 7 октября 2019 года -  приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 ; не допускается перекрытие волосами или посторонними предметами изображение лица по всей ширине от бровей до нижней губы; на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается; выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта (с учетом поведенческих факторов и (или) медицинских заболеваний); лицо должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и блики; не допускается использование ретуши и редактирования изображения; допускается кадрирование изображения; в случае фотографирования человека в очках не допускается наличие солнцезащитных очков и ярких световых артефактов или отражения вспышки от очков; изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (0x00), PNG (0x03); фотографирование человека должно производиться с помощью средств автоматизации, позволяющих обеспечить расположение изображения головы в кадре в соответствии с требованиями настоящего приказа.  (Абзац дополнительно включен с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 ) 13. БО записи голоса должны соответствовать следующим требованиям:  отношение сигнал-шум для звука не менее 15 дБ; глубина квантования не менее 16 бит; частота дискретизации не менее 16 кГц; запись голоса должна быть сохранена в формате RIFF (WAV); код сжатия: PCM/uncompressed (0x0001) количество каналов в записи голоса: 1 (моно режим) канал; не допускается использовать шумоподавление; на записи должен присутствовать голос одного человека; запрещено получение БО записи голоса путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования; для текстозависимого алгоритма распознавания по голосу: произнесенное субъектом сообщение должно соответствовать последовательности букв и (или) цифр, сгенерированной программным обеспечением информационной системы органа или организации; запись голоса должна содержать указанную последовательность полностью и не должна прерываться; при осуществлении записи голоса эмоционально-психологическое состояние и состояние субъекта должно быть нормальным, не возбужденным, без явных признаков заболеваний, препятствующих произнесению сообщения, указанного в абзаце двенадцатом настоящего пункта, или способных нарушить тембр и (или) звучание голоса; сообщение, указанное в абзаце двенадцатом настоящего пункта, должно быть произнесено субъектом на русском языке. 14. Проверка собранных уполномоченными сотрудниками органов и организаций биометрических образцов на соответствие требованиям, установленным пунктами 12, 13 настоящего Порядка (далее - контроль качества), осуществляется в автоматизированном режиме с использованием соответствующего программного обеспечения предоставляемого оператором единой биометрической системы. (Пункт в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . 15. В случае если в процессе прохождения контроля качества установлено соответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, такие образцы, содержащие, в том числе, метку даты, времени и места, а также информацию о технических средствах, с использованием которых осуществлялся процесс сбора и обработки параметров биометрических персональных данных, и о их состоянии передаются органами и организациями в единую биометрическую систему в автоматизированном режиме с использованием единой системы межведомственного электронного взаимодействия. (Пункт в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . 16. В единой биометрической системе переданные биометрические образцы проходят контроль качества с использованием программного обеспечения указанной системы. В случае если в процессе прохождения контроля качества, осуществляемого в соответствии с абзацем первым настоящего пункта, установлено не соответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, в единой биометрической системе, создание биометрического контрольного шаблона не осуществляется. В случае если в процессе прохождения контроля качества, осуществляемого в соответствии с абзацем первым настоящего пункта, установлено несоответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, органы и организации, осуществляющие размещение в единой биометрической системе биометрических персональных данных субъекта, обязаны направить информацию об указанных событиях в единую биометрическую систему в автоматизированном режиме с использованием единой системы межведомственного электронного взаимодействия, а также принять все возможные организационно-технические меры по повышению качества сбора параметров биометрических персональных данных. (Абзац дополнительно включен с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 ) 17. Хранение  в том числе биометрических персональных данных, размещенных в единой биометрической системе, в целях идентификации осуществляется в соответствии со  статьей 19 Федерального закона N 152-ФЗ  в течение не менее чем 50 лет с момента их размещения в указанной системе. (Абзац в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . Биометрические персональные данные, собранные в соответствии с настоящим Порядком, размещенные в единой биометрической системе, а также обрабатываемые в информационных системах органов и организаций, используются в целях идентификации не более 3 лет с даты сбора. По истечении срока, указанного в абзаце втором настоящего пункта, использование биометрических персональных данных, размещенных в единой биометрической системе, в целях идентификации не допускается. 18. Информация о степени соответствия, передаваемая из единой биометрической системы в органы и организации, подписывается усиленной квалифицированной электронной подписью, основанной на квалифицированном сертификате ключа проверки электронной подписи, выданном оператору единой биометрической системы и созданном с использованием средств удостоверяющего центра и средств электронной подписи, обеспечивающих нейтрализацию угроз безопасности персональных данных, определенных в  пункте 1.5.1 Указания Центрального банка Российской Федерации N 4859-У, Публичного акционерного общества "Ростелеком" N 01/01/782-18 от 9 июля 2018 г. "О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в единой биометрической системе"  (зарегистрировано Министерством юстиции Российской Федерации 30 июля 2018 г., регистрационный N 51735). (Пункт дополнительно включен с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 ) Приложение 2. Порядок размещения и обновления биометрических персональных данных в единой биометрической системе Приложение 2  к приказу  Министерства цифрового развития, связи и массовых коммуникаций  Российской Федерации  от 25 июня 2018 года N 321  Порядок размещения и обновления биометрических персональных данных в единой биометрической системе  (с изменениями на 4 июля 2019 года) 1. Порядок размещения и обновления биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее - единая биометрическая система), устанавливает процедуру размещения и обновления биометрических персональных данных в единой биометрической системе в целях идентификации гражданина Российской Федерации, в том числе, с применением информационных технологий без его личного присутствия (далее - идентификация, Порядок). 2. Размещение и обновление в электронной форме в единой биометрической системе сведений, определенных  частью 8 статьи 14.1 Федерального закона 149-ФЗ , осуществляются банками, соответствующими критериям, установленным абзацами вторым - четвертым  пункта 5.7 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма"  (Собрание законодательства Российской Федерации, 2001, N 33, ст.3418; 2002, N 44, ст.4296; 2004, N 31, ст.3224; 2006, N 31, ст.3446, 3452; 2007, N 16, ст.1831; N 49, ст.6036; 2009, N 23, ст.2776; 2010, N 30, ст.4007; N 31, ст.4166; 2011, N 27, ст.3873; N 46, ст.6406; 2013, N 26, ст.3207; N 44, ст.5641; N 52, ст.6968; 2014, N 19, ст.2311, 2315; N 23, ст.2934; N 30, ст.4219; 2015, N 1, ст.37; N 18, ст.2614; N 24, ст.3367; N 27, ст.3945, 4001; 2016, N 1, ст.27, 43, 44; N 26, ст.3860; N 27, ст.4196; N 28, ст.4558; 2017, N 31, ст.4830, 2018, N 1, ст.66, N 17, ст.2418, N 18, ст.2582), государственными органами и иными организациями в случаях, определенных федеральными законами, с согласия гражданина Российской Федерации и на безвозмездной основе. 3. Размещение и обновление в единой биометрической системе биометрических персональных данных осуществляются в соответствии с законодательством Российской Федерации в области персональных данных и настоящим Порядком. 4. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется органами и организациями с использованием единой системы межведомственного электронного взаимодействия. 5. Обновление сведений в единой биометрической системе осуществляется в соответствии с порядком обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации в соответствии с приложением 1 к настоящему приказу (далее - Порядок обработки). 6. При размещении и обновлении сведений в единой биометрической системе банки должны осуществлять информирование Банка России о выявленных инцидентах безопасности в соответствии с подпунктом 1 пункта 9 Порядка обработки. 7. Размещение и обновление сведений в единой биометрической системе осуществляется в соответствии с требованиями к фиксированию действий в соответствии с  пунктом 1 части 2 статьи 14.1 Федерального закона N 149-ФЗ . 8. Биометрические персональные данные, а также иная информация, указанная в пункте 15 Порядка обработки, размещаются и обновляются в единой биометрической системе уполномоченным сотрудником органов и организаций (далее - уполномоченные сотрудники) и подписываются усиленной квалифицированной электронной подписью, основанной на квалифицированном сертификате ключа проверки электронной подписи, выданном такому органу или организации и созданном с использованием средств удостоверяющего центра и средств электронной подписи, обеспечивающих нейтрализацию угроз безопасности персональных данных, определенных в  пункте 1.3.1 Указания Центрального банка Российской Федерации N 4859-У, Публичного акционерного общества "Ростелеком" N 01/01/782-18 от 9 июля 2018 г. "О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в единой биометрической системе"  (зарегистрировано Министерством юстиции Российской Федерации 30 июля 2018 г., регистрационный N 51735). (Пункт в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . 9. Размещение биометрических персональных данных гражданина Российской Федерации в единой биометрической системе осуществляется, если гражданин Российской Федерации прошел процедуру регистрации в единой системе идентификации и аутентификации в соответствии с  положением о федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" , утвержденным  приказом Министерства связи и массовых коммуникаций Российской Федерации от 13.04.2012 N 107  (далее - Положение) . ________________  Зарегистрирован Министерством юстиции Российской Федерации 26 апреля 2012 г., регистрационный N 23952. Размещение биометрических персональных данных гражданина Российской Федерации в единой биометрической системе осуществляется при условии, что личность гражданина Российской Федерации удостоверена в соответствии с  подпунктом "з" пункта 6.1 Положения . 10. В случае если гражданин Российской Федерации не зарегистрирован в единой системе идентификации и аутентификации, уполномоченный сотрудник после проведения идентификации гражданина Российской Федерации осуществляет с его согласия процедуру регистрации в единой системе идентификации и аутентификации, в соответствии с  Положением . 11. Если сведения, необходимые для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, внесены в указанную систему, но процесс регистрации в соответствии с пунктом 9 Порядка не завершен, уполномоченное лицо перед сбором параметров биометрических персональных данных с согласия гражданина Российской Федерации размещает или обновляет в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней, а также устанавливает личность соответствующего гражданина Российской Федерации и вносит в единую систему идентификации и аутентификации сведения о способе установления его личности в соответствии с  Положением . (Пункт в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . 12. При наличии у гражданина Российской Федерации учетной записи в единой системе идентификации и аутентификации, уполномоченный сотрудник осуществляет сбор биометрических персональных данных и размещение их в единой биометрической системе. 13. Размещенные в единой биометрической системе биометрические персональные данные гражданина Российской Федерации используются в целях идентификации гражданина Российской Федерации, в случае завершения регистрации соответствующего гражданина Российской Федерации в единой системе идентификации и аутентификации при условии, что личность гражданина Российской Федерации удостоверена в соответствии с  подпунктом "з" пункта 6.1 Положения . 14. Обновление биометрических персональных данных в единой биометрической системе в целях идентификации осуществляется гражданином Российской Федерации добровольно в следующих случаях: 1) по истечении 3 лет с момента их размещения в указанной системе; 2) по инициативе гражданина Российской Федерации. Приложение 3. Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации Приложение 3  к приказу  Министерства цифрового развития, связи и массовых коммуникаций  Российской Федерации  от 25 июня 2018 года N 321  Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации  (с изменениями на 4 июля 2019 года) 1. В Требованиях к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации (далее - Требования) используются термины и определения, установленные в: межгосударственном стандарте  ГОСТ ISO/IEC 2382-37-2016 "Информационные технологии (ИТ). Словарь. Часть 37. Биометрия" , введенном в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 февраля 2017 года N 71-ст. (М., ФГУП "Стандартинформ", 2017); национальном стандарте Российской Федерации  ГОСТ ISO/IEC 19794-1-2015 "Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура" , утвержденном  приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2015 года N 1928-ст "О введении в действие межгосударственного стандарта"  (М., ФГУП "Стандартинформ", 2016); национальном стандарте Российской Федерации  ГОСТ Р ИСО/МЭК 19794-5-2013 "Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица" , утвержденном  приказом Федерального агентства по техническому регулированию и метрологии от 06 сентября 2013 года N 987-ст "Об утверждении национального стандарта"  (М., ФГУП "Стандартинформ", 2015); национальном стандарте Российской Федерации  ГОСТ Р ИСО/МЭК 29794-1-2012 "Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура" , утвержденном  приказом Федерального агентства по техническому регулированию и метрологии от 18 сентября 2012 года N 351-ст "Об утверждении национального стандарта"  (М., ФГУП "Стандартинформ", 2013); национальном стандарте Российской Федерации  ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" , утвержденного  приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 882-ст* "Об утверждении национального стандарта"  (М., ФГУП "Стандартинформ", 2017). (Абзац в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 . ________________ * Вероятно, ошибка оригинала. Следует читать "N 822-ст". - Примечание изготовителя базы данных. 2. Требования к информационным технологиям и техническим средствам, предназначенным для обработки изображения лица в целях проведения идентификации (в части сбора параметров биометрических персональных данных субъекта персональных данных): а) для регистрации изображения лица необходимо использовать фото- или видеокамеру (далее - камера), эквивалентное фокусное расстояние которой должно составлять от 26,7 до 100 мм при расположении субъекта на расстоянии 0,3-1,0 м от камеры;  б) в целях обеспечения выполнения требований пункта 12 Порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации рекомендуется использовать камеры со следующими характеристиками: разрешение получаемого изображения: не менее 1280 х 720 пикселей;  наличие режима автоматической корректировки баланса белого цвета; в) используемые источники освещения должны создавать в области лица освещенность: для фото-видеокамер без автоматической коррекции освещенности не менее - 300 лк; для фото-видеокамер с автоматической коррекцией освещенности не менее - 100 лк. (Пункт 2 в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 .  3. Требования к информационным технологиям и техническим средствам, предназначенным для обработки данных голоса в целях проведения идентификации (в части сбора параметров биометрических персональных данных субъекта персональных данных): а) для регистрации записи голоса необходимо использовать микрофон со следующими характеристиками: тип: конденсаторный, без автоматической регулировки усиления; отсутствие шумоподавления; диапазон частот: не уже чем от 100 до 10000 Гц. б) в целях обеспечения выполнения требований пункта 13 Порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации рекомендуется использовать микрофоны со следующими характеристиками: соотношение сигнал/шум: не менее 58 дБ; чувствительность: не менее - 30 дБ или не менее - 60 дБ при отсутствии нелинейных искажений амплитудно-частотных характеристик микрофона в диапазоне от 100 до 5000 Гц, превышающих отклонение более чем на 7 дБ; форма диаграммы направленности: суперкардиоида или гиперкардиоида. (Пункт 3 в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 .  4. Защита от подбора, обеспечиваемая в единой биометрической системе, неподлинных биометрических образцов должна быть в объеме не менее 10  попыток на каждый образец. 5. Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации  ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" , утвержденному приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 882-ст* "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017). (Пункт в редакции, введенной в действие с 7 октября 2019 года  приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 4 июля 2019 года N 369 .  ________________ * Вероятно, ошибка оригинала. Следует читать "N 822-ст". - Примечание изготовителя базы данных.  Редакция документа с учетом изменений и дополнений подготовлена АО "Кодекс"