Подписано и опубликовано постановление правительства от 26.08.2022 № 1498, утверждающее требования к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами (ГИС), с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем; правила прохождения такой аккредитации.
Постановление вступает в силу с 1 марта 2023 года.
Согласно требованиям закона № 149-ФЗ «Об информации», в случае, если для реализации установленных нормативными правовыми актами полномочий государственных органов, и (или) органов местного самоуправления, и (или) организаций, осуществляющих отдельные публичные полномочия, необходима обработка видов биометрических персональных данных, не соответствующих размещаемым в единой биометрической системе (ЕБС), идентификация и (или) аутентификация осуществляются с применением иных ГИС, владельцами и (или) операторами которых являются госорганы, прошедшие соответствующую аккредитацию. Порядок аккредитации и требования к госорганам устанавливаются правительством.
Соответственно, постановление содержит этот порядок и требования, согласованные с ФСБ, Роскомнадзором и Центробанком.
Требования к госорганам:
- наличие у государственного органа права собственности или иного вещного права на аппаратные шифровальные (криптографические) средства, применяемые для осуществления идентификации и (или) аутентификации с использованием биометрических ПД, и наличие права использования криптографических средств на законных основаниях;
- наличие в штате госоргана не менее двух работников, непосредственно осуществляющих эксплуатацию ГИС, имеющих высшее образование в области информационных технологий или информационной безопасности;
- обеспечение взаимодействия госоргана с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА);
- соответствие информационных технологий и технических средств, предназначенных для обработки биометрических ПД в целях проведения идентификации и (или) аутентификации, требованиям, установленным законом «Об информации», в случаях, если ГИС используется для сбора и передачи биометрических ПД для размещения в ЕБС, а также если в ней используется информация, являющаяся результатом обработки биометрических ПД физического лица, содержащихся в ЕБС, не подпадающая под действие статьи 11 федерального закона «О персональных данных», в целях аутентификации физических лиц;
- использование технологий, предназначенных для обработки биометрических ПД в целях проведения идентификации и (или) аутентификации, в которых используется программное обеспечение, включенное в реестр отечественного ПО и реестр евразийского ПО.
Устанавливается, что если госорган является лишь владельцем «идентификационной» ГИС, то требования предъявляются в том числе к организации, осуществляющей функции оператора этой ГИС.
Аккредитация государственных органов проводится Минцифры. Для этого госорганы подают в министерство заявление об аккредитации с приложением документов, подтверждающих выполнение вышеописанных требований – подать можно по почте, по электронной почте или с помощью системы межведомственного электронного документооборота (СМЭВ).
Подтверждением наличия у аккредитованного государственного органа аккредитации является соответствующая запись в перечне аккредитованных госорганов.
