Оценка соответствия в системе ЕБС по требованиям Приказа №453

Приказ Минцифры России от 12.05.2023 N 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц».

Согласно п.8 Приложения 2 Приказа Минцифры России от 12.05.2023 N 453 Банки и организации финансового рынка при обновлении и размещении биометрических персональных данных в ЕБС должны проводить оценку соответствия требованиям по защите информации на соответствие второму уровню защиты информации (стандартному), предусмотренному пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
Указанный уровень должен реализовываться в сегменте Единой биометрической системы (ЕБС) организации.

Банки и организации финансового рынка при обновлении и размещении биометрических персональных данных, должны обеспечивать:

2) проведение не реже одного раза в 2 года оценки соответствия требованиям по защите информации на соответствие второму уровню защиты информации (стандартному), предусмотренному пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049; 2020, N 49, ст. 7943), и информирование Банка России о результатах такой оценки.

Многофункциональный центр и иная организация, осуществляющие размещение и обновление биометрических персональных данных в единой биометрической системе, должны обеспечивать:

2) ежегодное проведение оценки соответствия требованиям к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленным федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Роскомнадзор о результатах такой оценки.

ВАЖНО! Оценка соответствия в сегменте ЕБС (Единой Биометрической Системы) в соответствии с Приказом Минцифры России № 453 сторонней организацией, имеющей соответствующие лицензии, должна проводиться:
— по требованиям по защите информации каждые два года;
— по требованиям к защите персональных данных ежегодно.

Напишите нам, чтобы получить консультацию по вопросам оценки соответствия ЕБС и мы свяжемся с Вами!

Заполнить

ЭТАПЫ ПРОЕКТА

1 Этап

Определение области аудита и анализ локальных нормативных документов по информационной безопасности и локальных документов, регламентирующих процессы обработки биометрических персональных данных.

2 Этап

Анализ конфигураций информационных систем и оборудования, процесса защиты электронных сообщений, порядка использования средств криптографической информации, используемых технических и организационных мер защиты информации для обеспечения безопасности процессы обработки параметров биометрических персональных данных.

3 Этап

Проведение аудита на месте, интервью с ответственными сотрудниками, сбор свидетельств аудита.

4 Этап

Подготовка предварительной версии отчетной документации, согласование ее с Заказчиком.

5 Этап

Доработка заказчиком несоответствий.

6 Этап

Подтверждение устранения несоответствий, разработка итоговой отчетной документации в соответствии с требованиями Минцифры.

РЕЗУЛЬТАТЫ ПРОЕКТА

По результатам выполненных работ будут подготовлены следующие отчётные материалы:

 

  • отчет об оценке соответствия требованиям Приказа Минцифры № 453
  • рекомендации по повышению уровня защищенности и общей оценки
  • отчет об оценке соответствия требованиям ГОСТ Р 57580.1 – 2017, включающий:

— сведения о проверяющей организации;
— сведения о руководителе и членах проверяющей группы;
— сведения о проверяемой организации;
— сведения о заказчике оценки соответствия ЗИ;
— цель оценки соответствия ЗИ;
— сроки проведения оценки соответствия ЗИ;

Заинтересованы в услуге? Напишите нам!