Советуем ознакомиться: постановление №1498 об аккредитации ГИС

В конце августа 2022 года было опубликовано постановление №1498 «Об утверждении требований к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем и Правил прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем» (далее ГИС. Прим.ред.).

Опубликованные требования вступают в силу с 1 марта 2023 года и должны помочь государственным органам в прохождении и получении аккредитации на право владения ГИС.

Чем обоснованы новые требования

Согласно требованиям закона №149-ФЗ «Об информации», если государственным органам, органам местного самоуправления или иным организациям требуется обработка отдельных видов биометрических персональных данных (ПДн), не соответствующих размещаемым в единой биометрической системе (ЕБС), идентификация и (или) аутентификация таких данных осуществляются с применением иных ГИС. Их владельцами и/или операторами могут быть аккредитованные госорганы. Порядок аккредитации и требования к госорганам устанавливаются правительством.

Порядок и требования к госорганам для аккредитации ГИС

Опубликованные нововведения согласованы с ФСБ, Роскомнадзором и Центробанком.

Требования к госорганам:

• наличие права собственности или иного вещного права на аппаратные шифровальные (криптографические) средства, применяемые для осуществления идентификации и (или) аутентификации с использованием биометрических ПДн,

• наличие права использования криптографических средств на законных основаниях;

• не менее двух работников в штате, осуществляющих эксплуатацию ГИС (с высшим образованием в ИТ- или ИБ-области);

• подключение к ГосСОПКА (Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ);

• соответствие ИТ и технических средств, предназначенных для обработки биометрических ПДн в целях проведения идентификации и/или аутентификации, требованиям закона №149-ФЗ «Об информации». Требования касаются случаев, если ГИС – в целях аутентификации физических лиц –  собирает и передает биометрические ПДн для размещения в ЕБС, а также использует обработанные биометрические ПДн физического лица, содержащиеся в ЕБС и не подпадающие под действие ст. 11 №152-ФЗ «О персональных данных»;

• применение технологий для обработки биометрических ПДн в целях проведения идентификации и/или аутентификации, в которых используется ПО из реестров отечественного и евразийского ПО.

Если госорган лишь владеет «идентификационной» ГИС, то требования предъявляются и к организации, осуществляющей функции оператора этой ГИС.

Порядок аккредитации ГИС

Аккредитация государственных органов закреплена за Минцифры.

Для ее получения необходимо подать в министерство заявление об аккредитации и приложить документы, подтверждающие выполнение вышеописанных требований.

Документацию можно отправить по почте, по электронной почте или с помощью системы межведомственного электронного документооборота (СМЭВ).

После получения аккредитации госорганом соответствующая отметка появится в перечне аккредитованных государственных органов.

Напомним, что также Минцифры представило законопроект о критериях государственных информационных систем (ГИС).