Оценка соответствия ЕБС по требованиям Приказа
Минцифры №930
Приказ №930 Минкомсвязи России от 10.09.2021 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».
Согласно п.4 Приложения 3 Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ от 10.09.2021 г. № 930, организации финансового рынка при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 Указанный уровень должен реализовываться в сегменте Единой биометрической системы (ЕБС) организации.
Кредитные организации, некредитные финансовые организации, которые осуществляют сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны обеспечивать:
2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049; 2020, N 49, ст. 7943), и информирование Банка России о результатах такой оценки.
Для организаций, не относящихся к организациям финансового рынка, но осуществляющих сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны обеспечивать:
2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Минцифры России о результатах такой оценки.
Напишите нам, чтобы получить консультацию по вопросам оценки соответствия ЕБС и мы свяжемся с Вами!
Заполнить
Заполните форму, чтобы получить консультацию по вопросам оценки соответствия ЕБС
ЭТАПЫ ПРОЕКТА
Определение области аудита и анализ локальных нормативных документов по информационной безопасности и локальных документов, регламентирующих процессы обработки параметров биометрических персональных данных
Анализ конфигураций информационных систем и оборудования, процесса защиты электронных сообщений, порядка использования средств криптографической информации, используемых технических и организационных мер защиты информации для обеспечения безопасности процессы обработки параметров биометрических персональных данных
Проведение аудита на месте, интервью с ответственными сотрудниками, сбор свидетельств аудита.
Подготовка предварительной версии отчетной документации, согласование ее с Заказчиком.
Доработка заказчиком несоответствий
Подтверждение устранения несоответствий, разработка итоговой отчетной документации в соответствии с требованиями Минцифры.
РЕЗУЛЬТАТЫ ПРОЕКТА
По результатам выполненных работ будут подготовлены следующие отчётные материалы:
- отчет об оценке соответствия требованиям Приказа Минцифры № 930
- рекомендации по повышению уровня защищенности и общей оценки
- отчет об оценке соответствия требованиям ГОСТ Р 57580.1 – 2017, включающий:
— сведения о проверяющей организации;
— сведения о руководителе и членах проверяющей группы;
— сведения о проверяемой организации;
— сведения о заказчике оценки соответствия ЗИ;
— цель оценки соответствия ЗИ;
— сроки проведения оценки соответствия ЗИ;
