26 августа 2022 года вышло постановление №1498 «Об утверждении требований к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем и Правил прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем» (далее ГИС. Прим.ред.).
Постановление вступает в силу с 1 марта 2023 года. Опубликованные требования помогут государственным органам в прохождении и получении аккредитации на право владения ГИС.
Обоснование требований для аккредитации
Согласно требованиям закона №149-ФЗ «Об информации», если государственным органам, органам местного самоуправления или иным организациям требуется обработка отдельных видов биометрических персональных данных (ПДн), не соответствующих размещаемым в единой биометрической системе (ЕБС), идентификация и (или) аутентификация таких данных осуществляются с применением иных ГИС. Их владельцами и/или операторами могут быть аккредитованные госорганы. Порядок аккредитации и требования к госорганам устанавливаются правительством.
Требования к госорганам для аккредитации ГИС
Опубликованные нововведения согласованы с ФСБ, Роскомнадзором и Центробанком. Обозначенные требования к госорганам отражают порядок действий, которые необходимо принять организации.
- наличие права собственности или иного вещного права на аппаратные шифровальные (криптографические) средства, применяемые для осуществления идентификации и (или) аутентификации с использованием биометрических ПДн;
- наличие права использования криптографических средств на законных основаниях;
- от двух и более сотрудников в штате, осуществляющих эксплуатацию ГИС (с высшим образованием в ИТ- или ИБ-области);
- подключение к ГосСОПКА (Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ);
- соответствие ИТ и технических средств, предназначенных для обработки биометрических ПДн в целях проведения идентификации и/или аутентификации, требованиям закона №149-ФЗ «Об информации». Требования касаются случаев, если ГИС – в целях аутентификации физических лиц – собирает и передает биометрические ПДн для размещения в ЕБС, а также использует обработанные биометрические ПДн физического лица, содержащиеся в ЕБС и не подпадающие под действие ст. 11 №152-ФЗ «О персональных данных»;
- применение технологий для обработки биометрических ПДн в целях проведения идентификации и/или аутентификации, в которых используется ПО из реестров отечественного и евразийского ПО.
Важно: если госорган лишь владеет «идентификационной» ГИС, то требования предъявляются и к организации, осуществляющей функции оператора этой ГИС.
Как проходит аккредитация ГИС
Аккредитация государственных органов закреплена за Минцифры.
Для ее получения необходимо подать в министерство заявление об аккредитации и приложить документы, подтверждающие выполнение вышеописанных требований.
Документацию можно отправить по почте, по электронной почте или с помощью системы межведомственного электронного документооборота (СМЭВ).
После получения аккредитации госорганом соответствующая отметка появится в перечне аккредитованных государственных органов.
Напомним, что также Минцифры представило законопроект о критериях государственных информационных систем (ГИС).
