Различия приказов № 321 и № 930 Минцифры

Законы >> 19.11.2022, 11:21

Применение биометрических данных

В век развития цифровых технологий предоставление услуг с использованием биометрических данных становится популярным. Такой способ позволяет значительно упростить жизнь людей, но это приводит к появлению у мошенников возможности кражи ПДн и их дальнейшее незаконное использование. Минцифры опубликовало Приказ № 930, вступивший в силу 1 марта 2022 года, который отменяет действие Приказа № 321. Данный документ регламентирует обработку биометрических данных в том числе сбор и хранение.

Риск того, что биометрия может использоваться незаконно растет, тем самым увеличивая необходимость в повышении уровня их защиты, применения новых технологий и средств. Таким образом, утвержденный документ предназначен для повышения безопасности данных и исключения возможности попадания их в руки злоумышленников. Особенно важно обратить внимание на увеличение количества организаций, которые применяют биометрию. Следовательно, появляется необходимость в контроле безопасного и качественного применения таких технологий.

Область действия Приказа № 930

Появление нового Приказа привило к обязательному выполнению требований к обработке биометрических ПДн и их сбору, а также требований к информационным технологиям и техническим средствам. Порядок регламентирует сбор данных изображения лица и данных голоса, собранные текстонезависимым методом. Кроме того, закреплены характеристики, которым должна соответствовать собираемая информация. Минцифры установило условия и порядок размещения биометрических ПДн в ЕБС, а также условия и сроки обязательного обновления данных. Кроме того, предъявляются требования по защите биометрии, выполнение которых позволит избежать их незаконного использования.

Чем отличаются Приказы № 930 и № 321?

Различия двух документов заключаются в том, что в 930 Приказе уточнены каким образом должны размещаться биометрические ПДн и сроки их обновления в ЕБС и в иных информационных системах, которые используют их для идентификации и аутентификации физических лиц, а также требования, к применяемым информационным технологиям и техническим средствам, предназначением которых является обработка биометрических ПДн.

Важно отметить, что контроль за исполнением 321 Приказа возлагался на Минцифру, но с его отменой и вступлением в силу нового документа контроль возлагается в том числе и на Банк России. Разделение 930 Приказа между двумя регуляторами заключается в том, что Банк России контролирует организации финансового рынка, то есть кредитные и некредитные компании, а иные компании, не относящиеся к ним, должны отчитываться перед Минцифрой.

Основные требования обработки биометрических ПДн

В связи с тем, что количество слабых мест в системе защиты, а также различных схем кражи информации не уменьшается, появляется необходимость в постоянном контроле за полнотой реализации безопасности. Основным способом обеспечения необходимого уровня защиты является выполнения требований ГОСТ Р 57580.1-2017. Оценку соответствия необходимо проводить каждый год и выполнять требования защиты информации, которые относятся ко второму уровню защиты. Таким образом, можно повысить уровень безопасности и обеспечить защиту биометрических ПДн.

Также можно отметить сроки обновления и хранения биометрии. Физические лица могут по собственному желанию осуществить обновление по истечению пяти лет со дня их сбора, а в некоторых случаях по истечению трех лет. Хранение биометрических персональных данных должно осуществляться не менее 50 лет со дня их размещения в системе. В целом, регулятор нацелен повысить уровень безопасности использования биометрических ПДн и расширить список услуг, который позволит упростить их предоставление.