среда, 25 июля 2018 г.

Порядок обработки параметров биометрических персональных данных в целях идентификации


Приказом Минкомсвязи России от 25 июня 2018 года № 321 утверждены:
  • Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации;

  • Порядок размещения и обновления биометрических ПДн в единой биометрической системе;

  • Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн в целях проведения идентификации.
Обработка, включая сбор и хранение, параметров биометрических ПДн в целях идентификации осуществляется с применением информационных технологий и технических средств, имеющих подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (п.2).

Осуществляется обработка параметров биометрических ПДн физического лица - гражданина РФ следующих видов (п.4):
  • Данные изображения лица;

  • Данные голоса.
Для обработки применяются информационные технологии и технические средства, имеющие подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн в целях проведения идентификации (п.5).

В целях обеспечения подтверждения соответствия государственный орган, банк, иная организация направляет в Министерство цифрового развития, связи и массовых коммуникаций РФ следующие сведения, документы либо их заверенные копии:
  • Документы, подтверждающие право собственности либо иное законное основание использования информационных технологий и технических средств, предназначенных для обработки изображения лица и данных голоса;

  • Наименование, модель и тип технических средств, предназначенных для обработки изображения лица и данных голоса, а также эксплуатационные документы на указанные технические средства;

  • Сведения о приведенном фокусном расстоянии, применяемом для регистрации изображения лица, содержащиеся в технической документации на техническое средство (предоставляются органами и организациями, осуществляющими размещение в единой биометрической системе биометрических ПДн субъекта).
Подтверждение соответствия осуществляется уполномоченным органом в течение 30 дней с даты получения документов и сведений.

Сбор параметров биометрических ПДн производится при личном присутствии гражданина уполномоченным сотрудником органа или организации с целью создания биометрического контрольного шаблона. Хранение шаблона осуществляется в единой информационной системе ПДн, которая обеспечивает обработку, включая сбор и хранение биометрических ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн  гражданина РФ (п.6).

Биометрические контрольные шаблоны используются в процессе проведения идентификации гражданина РФ с использованием информационных технологий.

Уполномоченный сотрудник органа и организации при сборе параметров биометрических ПДн подписывает их простой электронной подписью.

Органы и организации обязаны принимать организационно-распорядительные меры, предусматривающие (п.7):
  • Определение уполномоченных сотрудников, осуществляющих сбор параметров биометрических ПДн и выдачу им ключей простой электронной подписи;

  • Использование уполномоченными сотрудниками в качестве ключа простой электронной подписи идентификатора, которым является страховой номер индивидуального лицевого счета сотрудника, пароля ключа и иной аутентифицирующей информации (не являющейся паролем), уникальных для каждого сотрудника;

  • Защищенное хранение выданных уполномоченным сотрудникам ключей простой электронной подписи, обеспечивающее их конфиденциальность и исключающее несанкционированное изменение, добавление и удаление;

  • Сохранение идентификатора уполномоченного сотрудника, осуществляющего сбор параметров биометрических ПДн и результата его аутентификации в составе данных, содержащих биометрические персональные данные.
Уполномоченные сотрудники обязаны соблюдать конфиденциальность выданных им паролей ключа простой электронной подписи и аутентифицирующей информации (не являющейся паролем). Сотрудники, осуществляющие создание, выдачу и хранение ключей простой электронной подписи, обязаны соблюдать конфиденциальность ключей простой электронной подписи, к которым имеют доступ (п.8).

Дополнительно банки должны обеспечивать (п.9):
  • Информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических ПДн, которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.

  • Информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня с момента их выявления.

  • Ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Обработка параметров биометрических ПДн гражданина РФ осуществляется после проведения его идентификации при его личном присутствии (п.10).

В случае отзыва согласия на обработку ПДн, использование биометрических персональных данных гражданина в целях проведения идентификации не осуществляется.

Мой комментарий: Вообще-то после отзыва согласия на обработку персональные данные гражданина должны быть уничтожены, но об этом не сказано ни слова.

В процессе обработки параметров биометрических ПДн создаются биометрические образцы данных изображения лица субъекта (БО изображения лица) и биометрические образцы данных голоса (БО записи голоса) (п.11).

В порядке определены требования к БО изображения лица (п.12) и БО записи голоса (п.13).  Собранные образцы в автоматизированном режиме проверяются в информационных системах органов и организаций, на соответствие требованиям этим требованиям (п.14).

После прохождения контроля качества образцы, содержащие, в том числе, метку даты, времени и места, передаются органами и организациями в единую биометрическую систему с использованием единой системы межведомственного электронного взаимодействия.

В единой биометрической системе переданные образцы также проходят контроль качества с использованием программного обеспечения (п.16).

Хранение биометрических ПДн, размещенных в единой биометрической системе, в целях идентификации осуществляется в соответствии со статьей 19 Федерального закона № 152-ФЗ в течение не менее чем 50 лет с момента их размещения в системе (п.17).

Биометрические ПДн, собранные в соответствии с настоящим Порядком, размещенные в единой биометрической системе, а также обрабатываемые в информационных системах органов и организаций, используются в целях идентификации не более 3 лет с даты сбора. По истечении этого срока использование их в целях идентификации не допускается.

Мой комментарий: Хочу задать наивный вопрос: как Вы думаете, зачем 50 лет хранить биометрические образцы, если при этом их нельзя будет уже через три года использовать для идентификации? :)

Во всяком случае, можно поздравить оператора единой биометрической системы - ему нужно будет целую вечность (в электронном мире 50 лет – это больше, чем вечность) обеспечивать сохранность электронной биометрической информации, которая к тому же будет подписана усиленными электронными подписями юридических лиц. Интересно, будет ли поддерживаться возможность перепроверки УКЭП на протяжении всего срока хранения, или же будут найдены более практичные решения?

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=302133

Комментариев нет:

Отправить комментарий