Найти в Дзене
ООО «Рубикон». Комплексные ИБ-решения
382 подписчика

Единая биометрическая система. Обзор законодательства с изменениями.

5438
6 мин
Правительство РФ приняло новое постановление об аккредитации лиц, использующих Единую биометрическую систему (ЕБС) для аутентификации физических лиц. Постановление № 670 от 28.04.2023 года приняли взамен утратившего силу № 1498 от 26.08.2022 г. Несмотря на то, что документ вступил в силу 1 июня 2023 года, уже ведется работа по подготовке дополнений и изменений. В постановлении регламентирован перечень требований к операторам и владельцам ИС (информационных систем), которые обеспечивают аутентификацию физ.лиц. В список основных требований вошли следующие: Также Постановлением закреплена обязанность владельцев и операторов ИС: Постановлением Правительства № 810 от 22.05.2023 г. утверждены Правила, в соответствии с которыми владельцы и операторы ИС, обеспечивающих аутентификацию физ.лиц, будут проходить аккредитацию. В том числе Правилами определены: Согласно Правил уполномоченным органом, осуществляющим аккредитацию, является Минцифры РФ. При подаче заявления на аккредитацию заявитель до
Оглавление

Правительство РФ приняло новое постановление об аккредитации лиц, использующих Единую биометрическую систему (ЕБС) для аутентификации физических лиц. Постановление № 670 от 28.04.2023 года приняли взамен утратившего силу № 1498 от 26.08.2022 г.

Несмотря на то, что документ вступил в силу 1 июня 2023 года, уже ведется работа по подготовке дополнений и изменений.

Основные изменения в части работы с ЕБС и биометрическими персональными данными

В постановлении регламентирован перечень требований к операторам и владельцам ИС (информационных систем), которые обеспечивают аутентификацию физ.лиц. В список основных требований вошли следующие:

  • в штатном расписании должно быть предусмотрено 2 и более сотрудника, которые будут заниматься эксплуатацией ИС, обеспечивающих аутентификацию;
  • для аутентификации разрешено использовать только то ПО, которое включено в соответствующий единый реестр;
  • для обработки биометрических персональных данных допускается использовать только те векторы ЕБС, которые находятся на территории РФ;
  • выполнять требования 152-ФЗ (в том числе ч.4 ст.19) – обязательно.

Также Постановлением закреплена обязанность владельцев и операторов ИС:

  • владеть средствами шифрования;
  • иметь лицензию на деятельность, связанную с шифровальными средствами и средствами криптографии (разработка, производство, распространение).

Постановлением Правительства № 810 от 22.05.2023 г. утверждены Правила, в соответствии с которыми владельцы и операторы ИС, обеспечивающих аутентификацию физ.лиц, будут проходить аккредитацию.

В том числе Правилами определены:

  • порядок подачи заявления на аккредитацию;
  • содержание этого заявления;
  • порядок рассмотрения заявления;
  • сроки прохождения процедур по аккредитации;
  • основания для приостановления действия аккредитации и его прекращения;
  • порядок внесения изменений в списки органов, прошедших аккредитацию;
  • порядок обжалования решений уполномоченных органов.

Согласно Правил уполномоченным органом, осуществляющим аккредитацию, является Минцифры РФ.

При подаче заявления на аккредитацию заявитель должен подтвердить свое соответствие требованиям Правил, в том числе:

  • наличие минимального размера собственного капитала (500 миллионов рублей);
  • наличие финансового обеспечения ответственности (минимум 100 миллионов рублей);
  • права на аппаратные средства шифрования (криптографии);
  • соответствие требованиям к деловой репутации, которые утверждены Приказом Минцифры № 387 от 20.04.2023 г. В частности, единый исполнительный и/или учредитель/участник, имеющий 10% акций/долей уставного капитала не должен иметь непогашенных судимостей, не должен совершать административные правонарушения в течение минимум 1 года до даты подачи, быть привлеченным к ответственности за правонарушения в сферах, связанных с обработкой ПДн и/или неоднократными правонарушениями при банкротстве.

Аккредитация действует бессрочно, но может быть приостановлена или аннулирована.

Новое Постановление и Правила аккредитации будут действовать до 01.06.2029 года.

Как изменился порядок размещения биометрических ПДн в ЕБС через мобильное приложение

Правила, в соответствии с которыми физические лица размещали свои биометрические ПДн в ЕБС через мобильное приложение этой системы ранее были установлены постановлением Правительства № 1066 от 15.06.2022 г. В новой редакции эти правила были утверждены постановлением Правительства № 851 от 29.05.2023 г.

Актуальная редакция позволяет разместить биометрические ПДн в ЕБС:

  • при наличии учетной записи в ЕБС с прохождением аутентификации;
  • с использованием идентификационной информации из иных ИС. В предыдущей редакции такой возможности не было.

В некоторых ситуациях допускается размещать ПДн, не используя заграничный паспорт.

Также документ определяет порядок размещения биометрических ПДн в региональном сегменте системы. При этом пользователь должен использовать региональное мобильное приложение.

Полный перечень случаев и сроков использования биометрических ПДн определяется постановлением Правительства № 815 от 25.05.2023 г.

В частности, биометрические ПДн могут использоваться в течение 3 лет с даты размещения. Их обновление должно осуществляться либо по истечении этого срока, либо ранее – по инициативе самого физ.лица. Этот порядок установлен Постановлением

Когда не допускается аутентификация на основе биометрических ПДн физ.лиц

Осуществлять аутентификацию физ.лица на основе биометрии разрешено не всегда. Перечень случаев-исключений утвержден постановлением Правительства РФ № 815 от 25.05.2023 г. В него вошли следующие случаи:

  • проведение вступительных экзаменов, промежуточных и итоговых аттестаций в учебных заведениях;
  • оказание медицинской помощи, в том числе получение добровольного информированного согласия или отказа от вмешательства, проведение медосмотров и отпуск лекарств;
  • оказание государственных и муниципальных услуг и осуществление функций органами государственного и местного управления.

Также Постановлением определен перечень случаев, когда можно использовать биометрические ПДн, если физ.лицо подписало согласие на их обработку простой электронной подписью. В этот список вошли:

  • безналичные расчеты на сумму до 5 тысяч рублей с НДС;
  • обслуживание клиентов при личном присутствии, если ранее клиент проходил процедуру идентификации в установленном порядке, для организаций финансовой сферы;
  • взаимодействие при помощи телефонной связи через контакт-центр;
  • проход через КПП на объекты транспортной инфраструктуры, за исключением субъектов КИИ и случаев аутентификации с использованием региональной ЕБС;
  • проход через КПП на территории организаций (перечень исключений также обозначен в Постановлении);
  • вручение простых почтовых отправлений ценностью до 2500 рублей.

Сколько стоит использование ЕБС

Конкретной фиксированной ставки за пользование ЕБС нет. Однако методика расчета платы за ее использование уже установлена Приказом Минцифры № 334 от 31.03.2023 г.

Методика предусматривает несколько вариантов расчета платы:

  • за одно предоставление информации (единичный запрос);
  • за 1 календарный день;
  • единовременная за 1 календарный месяц;
  • ежегодная плата.

Тариф дифференцированный, рассчитывается путем умножения базовой ставки (30 рублей) на ряд коэффициентов, в том числе отраслевой и региональный. Формула вычисления зависит от количества успешных сравнений за отчетный период.

Этот документ также действует в период 01.06.2023 - 01.06.2029 гг.

Угрозы при работе с биометрическими ПДн

Какие угрозы безопасности актуальны при работе с биометрическими ПДн и взаимодействии ИС с ЕБС? Их перечень утвержден Приказами Минцифры № 445 от 05.05.2023 г. и № 446 от 05.05.2023 г. В число основных вошли угрозы нарушения:

  • целостности биометрических ПДн (подмена, удаление);
  • конфиденциальности биометрических ПДн (компрометация);
  • достоверности биометрических ПДн (в том числе внесение фиктивных, ложных сведений). Методика проверки соответствия данных биометрии определена приказом Минцифры от 17.04.2023 № 378.

Данные угрозы могут реализоваться при сборе, обработке и передаче ПДн, в том числе в результате умышленных целенаправленных действий.

Об ответственности за незаконное размещение биометрических данных

Новое Постановление не определяет порядок привлечения к ответственности за факты незаконного размещения биометрической информации. Однако это не означает, что таковая не будет предусмотрена другими законодательными актами. В настоящее время на рассмотрении в Государственной думе РФ находится законопроект о внесении изменений в Кодекс об административных правонарушениях, в том числе в ст.13.11.

Документ устанавливает административную ответственность за такие нарушения, как:

  • обработка персональных данных без согласия субъекта ПД;
  • размещение биометрических ПД субъекта в ЕБС с нарушением требований действующего законодательства РФ.

Уже предусмотренная НПА ответственность за подобные нарушения в случае принятия законопроекта будет усилена. Речь идет как о первичных, так и о повторных нарушениях.

В частности, законопроектом предусмотрены следующие штрафы за первичное нарушение:

  • для должностных лиц – 100-300 тысяч рублей (в действующей редакции – 20-40 тысяч рублей);
  • для юридических лиц – 300-700 тысяч рублей (в действующей редакции 30-155 тысяч рублей).

За повторное нарушение максимальный размер штрафов вырастет с 500 тысяч до 1,5 миллионов рублей.

40
Безопасность и правопорядок
95,2 тыс интересуются