Наша работа - Ваша уверенность

Единая биометрическая система. Обзор законодательства с изменениями

Единая биометрическая система. Обзор законодательства с изменениями

Правительство РФ приняло новое постановление об аккредитации лиц, использующих Единую биометрическую систему (ЕБС) для аутентификации физических лиц. Постановление № 670 от 28.04.2023 года приняли взамен утратившего силу № 1498 от 26.08.2022 г
 
Несмотря на то, что документ вступил в силу 1 июня 2023 года, уже ведется работа по подготовке дополнений
и изменений.

Основные изменения в части работы с ЕБС
и биометрическими персональными данными

В постановлении регламентирован перечень требований к операторам и владельцам ИС (информационных систем), которые обеспечивают аутентификацию физ.лиц.

В список основных требований вошли следующие:

    • в штатном расписании должно быть предусмотрено 2 и более сотрудника, которые будут заниматься эксплуатацией ИС, обеспечивающих аутентификацию
    • для аутентификации разрешено использовать только то ПО, которое включено в соответствующий единый реестр
    • для обработки биометрических персональных данных допускается использовать только те векторы ЕБС, которые находятся на территории РФ
    • взаимодействие с ГосСОПКА – обязательно
    • выполнять требования 152-ФЗ (в том числе ч.4 ст.19) – обязательно

 
Также Постановлением закреплена обязанность владельцев и операторов ИС:

    • владеть средствами шифрования
    • иметь лицензию на деятельность, связанную с шифровальными средствами и средствами криптографии (разработка, производство, распространение)

 
Постановлением Правительства № 810 от 22.05.2023 г. утверждены Правила, в соответствии с которыми владельцы
и операторы ИС, обеспечивающих аутентификацию физ.лиц, будут проходить аккредитацию.

В том числе Правилами определены:

    • порядок подачи заявления на аккредитацию
    • содержание этого заявления
    • порядок рассмотрения заявления
    • сроки прохождения процедур по аккредитации
    • основания для приостановления действия аккредитации и его прекращения
    • порядок внесения изменений в списки органов, прошедших аккредитацию
    • порядок обжалования решений уполномоченных органов

 
Согласно Правил уполномоченным органом, осуществляющим аккредитацию, является Минцифры РФ.

При подаче заявления на аккредитацию заявитель должен подтвердить свое соответствие требованиям Правил, в том числе:

    • наличие минимального размера собственного капитала (500 миллионов рублей)
    • наличие финансового обеспечения ответственности (минимум 100 миллионов рублей)
    • права на аппаратные средства шифрования (криптографии)
    • соответствие требованиям к деловой репутации, которые утверждены Приказом Минцифры № 387 от 20.04.2023 г.

 
В частности, единый исполнительный и/или учредитель/участник, имеющий 10% акций/долей уставного капитала не должен иметь непогашенных судимостей, не должен совершать административные правонарушения в течение минимум 1 года до даты подачи, быть привлеченным к ответственности за правонарушения в сферах, связанных с обработкой ПДн и/или неоднократными правонарушениями при банкротстве.

Аккредитация действует бессрочно, но может быть приостановлена или аннулирована.
Новое Постановление и Правила аккредитации будут действовать до 01.06.2029 года.

Как изменился порядок размещения биометрических ПДн в ЕБС через мобильное приложение

Правила, в соответствии с которыми физические лица размещали свои биометрические ПДн в ЕБС через мобильное приложение этой системы ранее были установлены постановлением Правительства № 1066 от 15.06.2022 г. В новой редакции эти правила были утверждены постановлением Правительства № 851 от 29.05.2023 г.
Актуальная редакция позволяет разместить биометрические ПДн в ЕБС:

    • при наличии учетной записи в ЕБС с прохождением аутентификации
    • с использованием идентификационной информации из иных ИС

 
В предыдущей редакции такой возможности не было.

В некоторых ситуациях допускается размещать ПДн, не используя заграничный паспорт.

Также документ определяет порядок размещения биометрических ПДн в региональном сегменте системы.
При этом пользователь должен использовать региональное мобильное приложение.
Полный перечень случаев и сроков использования биометрических ПДн определяется постановлением Правительства № 815 от 25.05.2023 г.
 
В частности, биометрические ПДн могут использоваться в течение 3 лет с даты размещения. Их обновление должно осуществляться либо по истечении этого срока, либо ранее – по инициативе самого физ.лица.
Этот порядок установлен Постановлением.

Когда не допускается аутентификация на основе биометрических ПДн физ.лиц

Осуществлять аутентификацию физ.лица на основе биометрии разрешено не всегда. Перечень случаев-исключений утвержден постановлением Правительства РФ № 815 от 25.05.2023 г.
В него вошли следующие случаи:

    • проведение вступительных экзаменов, промежуточных и итоговых аттестаций в учебных заведениях
    • оказание медицинской помощи, в том числе получение добровольного информированного согласия или отказа от вмешательства, проведение медосмотров и отпуск лекарств
    • оказание государственных и муниципальных услуг и осуществление функций органами государственного и местного управления

 
Также Постановлением определен перечень случаев, когда можно использовать биометрические ПДн, если физ.лицо подписало согласие на их обработку простой электронной подписью.
 
В этот список вошли:

    • безналичные расчеты на сумму до 5 тысяч рублей с НДС
    • обслуживание клиентов при личном присутствии, если ранее клиент проходил процедуру идентификации в установленном порядке, для организаций финансовой сферы
    • взаимодействие при помощи телефонной связи через контакт-центр
    • проход через КПП на объекты транспортной инфраструктуры, за исключением субъектов КИИ
      и случаев аутентификации с использованием региональной ЕБС
    • проход через КПП на территории организаций (перечень исключений также обозначен
      в Постановлении)
    • вручение простых почтовых отправлений ценностью до 2500 рублей

 

Сколько стоит использование ЕБС

Конкретной фиксированной ставки за пользование ЕБС нет. Однако методика расчета платы за ее использование уже установлена Приказом Минцифры № 334 от 31.03.2023 г
 
Методика предусматривает несколько вариантов расчета платы:

    • за одно предоставление информации (единичный запрос)
    • за 1 календарный день
    • единовременная за 1 календарный месяц
    • ежегодная плата

 
Тариф дифференцированный, рассчитывается путем умножения базовой ставки (30 рублей) на ряд коэффициентов, в том числе отраслевой и региональный. Формула вычисления зависит от количества успешных сравнений за отчетный период. Этот документ также действует в период 01.06.2023 – 01.06.2029 гг.

Угрозы при работе с биометрическими ПДн

Какие угрозы безопасности актуальны при работе с биометрическими ПДн и взаимодействии ИС с ЕБС?

Их перечень утвержден Приказами Минцифры № 445 от 05.05.2023 г. и № 446 от 05.05.2023 г.
В число основных вошли угрозы нарушения:

    • целостности биометрических ПДн (подмена, удаление)
    • конфиденциальности биометрических ПДн (компрометация)
    • достоверности биометрических ПДн (в том числе внесение фиктивных, ложных сведений)

 
Методика проверки соответствия данных биометрии определена приказом Минцифры от 17.04.2023 № 378.

Данные угрозы могут реализоваться при сборе, обработке и передаче ПДн, в том числе в результате умышленных целенаправленных действий.

Об ответственности за незаконное размещение биометрических данных

Новое Постановление не определяет порядок привлечения к ответственности за факты незаконного размещения биометрической информации. Однако это не означает, что таковая не будет предусмотрена другими законодательными актами. В настоящее время на рассмотрении в Государственной думе РФ находится законопроект о внесении изменений в Кодекс об административных правонарушениях, в том числе в ст.13.11.

Документ устанавливает административную ответственность за такие нарушения, как:

    • обработка персональных данных без согласия субъекта ПД
    • размещение биометрических ПД субъекта в ЕБС с нарушением требований действующего законодательства РФ

 
Уже предусмотренная НПА ответственность за подобные нарушения в случае принятия законопроекта будет усилена. Речь идет как о первичных, так и о повторных нарушениях.
В частности, законопроектом предусмотрены следующие штрафы за первичное нарушение:

    • для должностных лиц – 100-300 тысяч рублей (в действующей редакции – 20-40 тысяч рублей)
    • для юридических лиц – 300-700 тысяч рублей (в действующей редакции 30-155 тысяч рублей)

 
За повторное нарушение максимальный размер штрафов вырастет с 500 тысяч до 1,5 миллионов рублей.

Поиск
Мы в соцсетях
Рассказываем об информационной безопасности и актуальных ИТ-решениях, делимся своими кейсами и новостями ИТ: Telegram-канал компании «Рубикон»
Дзен-канал компании «Рубикон»
Популярные новости
Вредоносный штат: почему сотрудники могут быть опаснее хакеров
Вредоносный штат: почему сотрудники могут быть опаснее хакеров
Защита объектов КИИ
Защита объектов КИИ
Запрет на закупки иностранного ПО
Запрет на закупки иностранного ПО
Услуги

Подпишитесь на получение новостей

Чтобы первыми узнавать о наших новых решениях, событиях в мире информационных технологий и информационной безопасности, а так же получать персональные предложения именно для вас.

Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

Принять