Журнал "Information Security/ Информационная безопасность" #5, 2021

10 • ПРАВО И НОРМАТИВЫ идентификации и (или) аутентификации с использованием биометрических пер- сональных данных физических лиц" 24 . Аккредитацию проводит Минцифры. Правила вступают в силу с 1 января 2022 г. (для иностранных юридических лиц – с 1 марта 2022 г.) и действуют до 1 января 2028 г. Определен перечень случаев, в кото- рых нужна аккредитация. 26 октября опубликовано постанов- ление Правительства Российской Феде- рации от 23.10.2021 г. № 1815 "Об утверждении перечня случаев осу- ществления сбора и обработки исполь- зуемых для идентификации либо иден- тификации и аутентификации биомет- рических персональных данных в информационных системах организа- ций, осуществляющих идентификацию и (или) аутентификацию с использова- нием биометрических персональных данных физических лиц, а также слу- чаев использования организациями, за исключением кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 761 Федерального закона "О Центральном банке Россий- ской Федерации (Банке России)" виды деятельности, субъектами националь- ной платежной системы, индивидуаль- ными предпринимателями указанных информационных систем для иденти- фикации либо идентификации и аутен- тификации физического лица, выра- зившего согласие на их проведение" 25 . Перечень включает случаи идентифи- кации и (или) аутентификации водителей такси, водителей каршеринга, с исполь- зованием СКУД (за рядом исключений), участников гражданско-правовых сообществ (за рядом исключений). Документ вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г. О порядке обработки биометрии Официально опубликован приказ Мин- цифры от 10.09.2021 г. № 930 "Об утвер- ждении порядка обработки, включая сбор и хранение, параметров биометри- ческих персональных данных, порядка размещения и обновления биометриче- ских персональных данных в единой биометрической системе и в иных инфор- мационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических пер- сональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки био- метрических персональных данных в целях проведения идентификации" 26 . Порядок обработки распространяется на данные изображения лица и данные голоса, собранные текстонезависимым методом. Приказ содержит порядок защиты указанных биометрических ПДн, требования к уведомлению об инциден- тах ИБ, проведении оценки соответствия, хранению биометрических данных. Закреплены требуемые характеристики создаваемых образцов биометрических данных, подлежащих контролю каче- ства. Установлены условия и порядок раз- мещения биометрических ПДн в единой биометрической системе, а также усло- вия и сроки обязательного обновления данных. Приказ вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г. Изменения в Положение о контроле в сфере электронной подписи (проект) Для общественного обсуждения пред- ставлен проект постановления Прави- тельства Российской Федерации "О вне- сении изменений в Положение о госу- дарственном контроле (надзоре) в сфере электронной подписи" 27 . Проект предлагает дополнить Поло- жение о государственном контроле (над- зоре) в сфере электронной подписи ключевыми показателями федерального государственного контроля (надзора) в сфере электронной подписи и их целе- выми значениями. Еще один оптимистичный прогноз: согласно предлагаемым изменениям, целевой показатель соотношения конт- ролируемых лиц, которые получат повторные предписания, к общему коли- честву контролируемых лиц, в отноше- нии которых выданы первичные пред- писания, к 2026 г. уменьшится на 25% (по сравнению с целевым показателем 2022 г.). Обсуждение проекта завершено 1 ноября. Изменения в перечень должностных лиц ФСБ России, уполномоченных составлять протоколы об административных правонарушениях ФСБ России опубликовала проект при- каза "О внесении изменений в приказ ФСБ России от 11 декабря 2013 г. № 747 "Об утверждении Перечня долж- ностных лиц органов федеральной служ- бы безопасности, уполномоченных составлять протоколы об администра- тивных правонарушениях, и о реализа- ции отдельных положений Кодекса Рос- сийской Федерации об административ- ных правонарушениях в органах феде- ральной службы безопасности" и утвер- жденный этим приказом Перечень" 28 . Проект предлагает расширить пере- чень лиц, уполномоченных составлять протоколы об административных право- нарушениях, перечисленных в ч. 1 ст. 23.91 КоАП РФ. Независимая антикоррупционная экс- пертиза проекта завершена 1 ноября. Изменения в Положении о сертификации средств защиты информации Официально опубликован приказ Федеральной службы по техническому и экспортному контролю от 05.08.2021 г. № 121 "О внесении изменений в Поло- жение о системе сертификации средств защиты информации, утвержденное при- казом Федеральной службы по техниче- скому и экспортному контролю от 3 апре- ля 2018 г. № 55". В соответствии с приказом серийно производимое средство защиты инфор- мации (СрЗИ) считается сертифициро- ванным, если оно произведено в срок действия сертификата, соответствует требованиям по безопасности и изгото- витель осуществляет его техническую поддержку. Срок действия сертификата единичного средства (или партии) не устанавливается. Приказ вносит ряд изменений и допол- нений к описанию порядка подготовки образцов для сертификационных испы- таний, их проведения, взаимодействия органа сертификации и производителя СрЗИ. Дополнительные требования для некоторых объектов КИИ Вступило в силу постановление Пра- вительства Российской Федерации от 24 июля 2019 г. № 955 "Об утверждении требований к автоматизированной информационной системе оформления воздушных перевозок, к базам данных, входящим в ее состав, к информа- ционно-телекоммуникационной сети, обеспечивающей работу указанной автоматизированной информационной системы, к ее оператору, а также мер по защите информации, содержащейся в ней, и порядка ее функционирова- ния" 29 . Документ закрепляет дополнительные требования обеспечения информацион- ной безопасности для объектов КИИ сферы транспорта, а именно воздушных перевозок. Среди требований – разме- щение баз данных и серверов на терри- тории Российской Федерации, а также применение сертифицированных средств криптографической защиты информа- ции. l 24 http://publication.pravo.gov.ru/Document/View/0001202110210028 25 http://publication.pravo.gov.ru/Document/View/0001202110260023 26 http://publication.pravo.gov.ru/Document/View/0001202110280037 27 https://regulation.gov.ru/projects#npa=121618 28 https://regulation.gov.ru/projects#npa=121631 29 http://publication.pravo.gov.ru/Document/View/0001201908020011 Ваше мнение и вопросы присылайте по адресу is@groteck.ru