1 6 Table of Contents 8 60

Журнал "Information Security/ Информационная безопасность" #5, 2021

ботки персональных данных требованиям законодательства Российской Федерации в области персональных данных" и внесенных в него изменений" и вне- сенных в него изменений" 3 (далее – приказ № 686). Приказ № 686 вступил в силу 2 октября 2021 г. Приказом № 686 признаются утратив- шими силу: l приказ Минцифры России от 14 ноября 2011 г. № 312 "Об утверждении Адми- нистративного регламента исполнения Федеральной службой по надзору в сфере связи, информационных техно- логий и массовых коммуникаций госу- дарственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области пер- сональных данных"; l приказ Минцифры России от 8 октября 2014 г. № 403 "О внесении изменений в Административный регламент исполне- ния Федеральной службой по надзору в сфере связи, информационных техно- логий и массовых коммуникаций госу- дарственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области пер- сональных данных, утвержденный при- казом Министерства цифрового разви- тия, связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. № 312". Стоит отметить, что теперь государст- венный контроль (надзор) будет осуществ- ляться в соответствии с постановлением Правительства Российской Федерации от 29 июня 2021 № 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных" 4 . Дан- ное постановление мы рассматривали в июньском обзоре за 2021 г. 5 . Требования по обработке биометрических персональных данных 1. Приказ Минцифры России от 27 августа 2021 г. № 896 "Об утвержде- нии требований к деловой репутации единоличного исполнительного органа или членов коллегиального исполни- тельного органа организации, владею- щей информационной системой, обес- печивающей идентификацию и (или) аутентификацию с использованием био- метрических персональных данных физи- ческих лиц и (или) оказывающей услуги по идентификации и (или) аутентифика- ции с использованием биометрических персональных данных физических лиц" 6 (далее – приказ № 896) официально опубликован 17 сентября 2021 г. 2. Приказ № 896 устанавливает часть требований для прохождения организа- циями аккредитации для допуска к сбору и обработке используемых для аутенти- фикации биометрических персональных данных (ПДн) в информационных систе- мах (далее – ИС) организаций, в том числе организаций финансового рынка, осуществляющих такую идентификацию и (или) аутентификацию. Требования к таким ИС установлены ст. 14.1 Феде- рального закона от 27 июля 2006 г. № 149-ФЗ "Об информации информа- ционных технологиях и о защите инфор- мации" (далее – ФЗ-149). Большая часть указанных требований, как и приказ№869, вступают в силу с 1 марта 2022 г. и будут действовать до 1 марта 2028 г. 3. Приказ Минцифры России от 6 авгу- ста 2021 г. № 816 "Об утверждении методик проверки соответствия предо- ставленных биометрических персональ- ных данных физического лица его био- метрическим персональным данным, содержащимся в информационных системах, обеспечивающих идентифи- кацию и (или) аутентификацию с исполь- зованием биометрических персональных данных, а также об определении степени взаимного соответствия указанных био- метрических персональных данных, достаточной для проведения идентифи- кации, предусмотренной Федеральным законом от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных тех- нологиях и о защите информации" 7 (далее – приказ № 816) официально опубликован 8 сентября 2021 г. 4. Приказом № 816 отменяется дей- ствовавшая ранее методика, опреде- ленная приказом Минцифры России от 21 июня 2018 г. № 307 "Об утверждении методик проверки соответствия предо- ставленных биометрических персональ- ных данных физического лица его био- метрическим персональным данным, содержащимся в единой информацион- ной системе персональных данных, обес- печивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу инфор- мации о степени их соответствия предо- ставленным биометрическим персональ- ным данным гражданина Российской Федерации, а также об определении степени взаимного соответствия ука- занных биометрических персональных данных, достаточной для проведения идентификации, предусмотренной Феде- ральным законом от 27 июля 2006 года № 149-Ф3 "Об информации, информа- ционных технологиях и о защите инфор- мации". 5. Приказом № 816 установлено, что в отношении биометрических ПДн, используемых в соответствии с ч. 18 и 18.14 ст. 14.1 ФЗ-149 для идентифи- кации, степень взаимного соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в ИС, обеспечи- вающих идентификацию и (или) аутен- тификацию с использованием биомет- рических ПДн, достаточная для прове- дения идентификации физического лица, составляет не менее 0,9999. 6. 3 сентября 2021 г. официально опубликован приказ Минцифры России от 7 июля 2021 г. № 685 "Об определении форм подтверждения соответствия информационных технологий и техни- ческих средств, предназначенных для обработки биометрических персональ- ных данных, требованиям, определен- ным в соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-Ф3 "Об инфор- мации, информационных технологиях и о защите информации" 8 (далее – при- каз № 685). Приказ № 685 замещает ранее действовавший приказ Минцифры России от 25 июня 2018 г. № 323 "Об утверждении форм подтверждения соответствия информационных техно- логий и технических средств, предна- значенных для обработки биометриче- ских персональных данных в целях про- ведения идентификации, требованиям к информационным технологиям и тех- ническим средствам, предназначенным для указанных целей". Порядок уничтожения обезличенных ПДн субъектами экспериментального правового режима Минцифры России 2 сентября 2021 г. опубликовало проект приказа "Об утвер- ждении порядка уничтожения персо- нальных данных, полученных в резуль- тате обезличивания, субъектом экспе- риментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспери- ментального правового режима" 9 (далее – проект приказа). Требования проекта приказа будут распространяться на субъекты экспери- ментального правового режима в сфере цифровых инноваций в случае прекра- • 5 ПРАВО И НОРМАТИВЫ www.itsec.ru 3 http://publication.pravo.gov.ru/Document/View/0001202109210016 4 http://publication.pravo.gov.ru/Document/View/000120210630005 5 См. Заведенская А.А. Обзор изменений в законодательстве. Июнь-2021 // Information Security/Информационная безопасность. 2021. № 3. С. 6–9. 6 http://publication.pravo.gov.ru/Document/View/0001202109170030 7 http:// publication. pravo. gov. ru/ Document/ View/0001202109080035 8 http://publication.pravo.gov.ru/Document/View/0001202109030034 9 https://regulation.gov.ru/projects#npa=119927

RkJQdWJsaXNoZXIy Mzk4NzYw