Как защитить персональные данные в соответствии с новым приказом Минцифры №453

По данным отчёта INFOWATCH за прошедший 2022 год утекло 187 миллионов записей, содержащие личные данные пользователей. Это число превышает население России (146 млн.)

Утечка таких данных даёт злоумышленникам возможность приводить мошеннические схемы в действия, поэтому вопрос о защите персональных данных (далее — ПДн) пользователей сети стоит очень остро. Особое внимание стоит уделить биометрическим ПДн, содержащие фото данные и данные голоса человека.

Законодательные органы продолжают разрабатывать и улучшать документы, которые способствуют защите ПДн.

Обзор Приказа Минцифры №453

Особое внимание операторам биометрических ПДн необходимо обратить на новый Приказ Минцифры №453. Он пришел на замену Приказа №930 12 мая этого года и уже вступил в силу. В документе описан порядок обработки биометрии и векторов единой биометрической системы (далее – ЕБС) в ЕБС и информационных системах (далее – ИС), использующие личные данные для аутентификации.

Документ содержит в себе 5 приложений, что существенно отличается от прошлого приказа.

Теперь список приложений выглядит следующим образом:

• Порядок обработки биометрии и требования к параметрам для ее сбора;
• Порядок размещения и обновления биометрии в ЕБС, а также случаи и сроки ее использования;
• Порядок обработки биометрии и векторов ЕБС в ИС, которые осуществляют аутентификацию на основе биометрических ПДн физических лиц;
• Порядок создания и передачи векторов ЕБС для того, чтобы осуществлять аутентификацию;
• Требования к информационным технологиям (далее – ИТ) и техническим средствам (далее – ТС), которые обрабатывают биометрию и вектора ЕБС, а также порядок подтверждения соответствия данных технологий и средств.

Одним из главных отличий является введение понятия «вектор ЕБС». Вектор ЕБС – это результат математического преобразования биометрии человека, которое было получено с помощью технических и информационных средств. Хранятся они в самой системе ЕБС.

Приложение 1 состоит из 22 пунктов, и главным в данном приложении является:

• обработка осуществляется с помощью ТС и ИТ;
• к биометрическим ПДн относятся только данные голоса и фото;
• для сбора данных необходимо личное присутствие человека;
• сотрудник многофункционального центра, собирающий данные, должен подписывать их своей усиленной квалифицированной электронной подписью (далее — УКЭП);
• сотрудники банков и организаций, собирающие данные, должны подписывать их своими УКЭП или усиленными неквалифицированными ЭП;
• обработка происходит только при наличии согласия от ее обладателя;
• проверка качества собранных данных проводится автоматически ПО, которое предоставлено самой ЕБС;
• если биометрия прошла проверку качества, то тогда она подписывается УЭП банка согласно приложению 2 и передается в ЕБС;
• при обработке должны применяться меры в соответствии с 152 ФЗ;
• хранение осуществляется в соответствии с 152 ФЗ, а также с помощью СКЗИ;
• данные, собранные оператором регионального сегмента, хранятся отдельно от всех остальных.

Понятие биометрический контрольный шаблон в новом Приказе не упоминается. Стоит отметить, что требования к самой биометрии тоже расширились по сравнению с 930 Приказом.

Приложение 2 содержит в себе 18 пунктов и, помимо порядка размещения и обновления, здесь описаны случаи и сроки использования личных данных.

Главное в данном тексте:

• определение групп, кто может размещать биометрию в ЕБС;
• размещение и обновление данных происходит согласно приложению 1.
• размещение и обновление происходит с помощью СКЗИ;
• размещение и обновление происходит с помощью единой системы межведомственного электронного взаимодействия;
• Банки обязаны:

• • уведомлять ЦБ о выявленных инцидентах безопасности не позднее 1 рабочего дня;
  • проводить оценку по ГОСТ 57580.1 не реже 1 раза в 2 года и соответствовать 2 уровню защиты информации (далее – ЗИ), при этом оценка должна проводиться лицензиатом ФСТЭК;
  • уведомлять ЦБ о результатах оценки по ГОСТ 57580.1;
  • уведомлять об инцидентах безопасности Роскомнадзор не позднее 1 рабочего дня.

• все остальные должны:

• • уведомлять об инцидентах безопасности Минцифры не позднее 1 рабочего дня;
  • проводить оценку соответствия в соответствии с 152 ФЗ, при этом оценка должна проводиться лицензиатом ФСТЭК;
  • уведомлять об инцидентах безопасности Роскомнадзор не позднее 1 рабочего дня.

• биометрия размещается и обновляется уполномоченным сотрудником организации, при этом он подписывает все данные УКЭП;
• занесение в ЕБС происходит только при условии регистрации человека в ЕСИА;
• если биометрия размещается в ЕБС, то перед размещением организация направляет ПДн человека в ЕСИА и после проверки данных получает идентификатор ЕСИА.
• организация должна иметь свой идентификатор человека, в который входит:

• • дата;
  • время;
  • место размещения в ИС.

• вектора ЕБС создаются только после прохождения контроля качества данных и занесения их в ЕБС;
• обновление данных происходит исключительно добровольно субъектом ПДн:

• • спустя 5 лет;
  • по предложению субъекта.

В Приказе №453 особое внимание уделено мобильному приложению ЕБС и региональному сегменту ЕБС, поэтому для них выделены отдельные пункты в документе.

Приложение 3 содержит в себе 11 пунктов. Главное из требований данного приложения:

• обработка осуществляется с помощью ТС и ИТ;
• к биометрическим ПДн относятся только данные голоса и фото;
• в ИС организаций запрещено хранение ПДн, которые использовались для аутентификации;
• при обработке должны:

• • выполняться меры 152 ФЗ;
  • использоваться СКЗИ;
  • использоваться только БД, которые находятся на территории РФ;
  • использоваться специальные ИТ.

• использование СЗИ, которые имеют функцию автоматического удаления данных по заданному сроку;
• вектора ЕБС должны храниться с помощью СКЗИ;
• уничтожение векторов ЕБС происходит по запросу человека, либо оператора ПДн;
• организации обязаны уведомлять Минцифры и Роскомнадзор об инцидентах ИБ.

Приложение 4 состоит из 14 пунктов. Что важно знать:

• вектора ЕБС создаются автоматически с помощью специальных ИТ;
• если вектор не получилось создать, то сотрудник направляет уведомление об этом человеку, если имеется связь с ним;
• запрос и передача векторов ЕБС происходит с использованием СКЗИ;
• передача векторов ЕБС осуществляется только при наличии согласия на обработку от субъекта и мотивированного запроса организации;
• передавать вектора ЕБС третьим лицам запрещено!

Приложение 5 содержит в себе 9 пунктов требований к ИТ и ТС.

Главное то, что ИТ и ТС обязательно должны проходить проверку, если они не соответствуют требованиям, то в течение трех дней организация будет уведомлена об этом. Проверка проводится Минцифры в течение 60 дней.

Сроки действия Приказа Министерства цифрового развития №453 о персональных данных

Документ уже вступил в силу и будет действовать до 01.06.2029 года (исключением являются некоторые пункты первого и второго приложений, они действуют до 2027). Важно, что оценка по ГОСТ 57580.1 должна проводиться не реже 1 раза в 2 года, а оценка соответствия по 152 ФЗ (часть 4 статья 19) ежегодно. Документ определяет сроки по уведомлению регуляторов об инцидентах ИБ, составляющие 1 рабочий день.

Основные положения Приказа Минцифры №453 от 12.05.2023

1. Новый Приказ Минцифры №453 сильно отличается от старого Приказа №930. Основными отличиями являются введение новых понятий и приложений, которые делают документ более полным и понятным.
2. Приказ №453 содержит в себе на 2 приложения больше, чем прошлый №930, так как теперь описаны не только порядки обработки и размещения биометрии, но и векторов ЕБС. Также в документе приведены требования для регионального сегмента ЕБС и мобильного приложения.
3. Следует подчеркнуть, что ИТ и ТС, которые используются для обработки биометрии и векторов ЕБС теперь должны соответствовать требованиям, приведенным в новом порядке Приказа.
4. Оценка по ГОСТ 57580.1, как и ранее, должна соответствовать стандартному уровню. Так же важно то, что оценку соответствия по ГОСТу и ежегодную оценку соответствия по 152 ФЗ должны проводить лицензиаты ФСТЭК.

Подводя итоги, стоит отметить, что Минцифры ужесточили свои требования, касающиеся защиты биометрии, поэтому документ от регулятора стал значительно больше и конкретнее, следовательно, и проверки будут проводиться более детально.