Журнал "Information Security/ Информационная безопасность" #3, 2022

• 7 ПРАВО И НОРМАТИВЫ www.itsec.ru 18 https://regulation.gov.ru/projects#npa=128073 19 http://publication.pravo.gov.ru/Document/View/0001202110280037? 20 № 1066 http://publication.pravo.gov.ru/Document/View/0001202206170013 21 http://publication.pravo.gov.ru/Document/View/0001202206170005 Реклама персональных данных (ПДн) будет обя- зан получить от органов власти ино- странного государства, иностранных физических лиц, иностранных юридиче- ских лиц, которым планируется транс- граничная передача, определенный перечень сведений; l из нормы по взаимодействию с Госу- дарственной системой обнаружения, пред- упреждения и ликвидации последствий компьютерных атак (ГосСОПКА) исклю- чено положение о "непрерывности"; l уведомлять Роскомнадзор об утечке ПДн будет необходимо в течение 24 часов не с момента наступления инцидента, а с момента выявления инци- дента оператором, Роскомнадзором или иным заинтересованным лицом. В тече- ние 72 часов необходимо будет уведо- мить о результатах внутреннего рассле- дования выявленного инцидента, а также предоставить сведения о лицах, дей- ствия которых стали причиной выявлен- ного инцидента (при наличии). Административная ответственностьзанарушения в сфереидентификациии(или) аутентификациифизическихлиц В июне 2022 г. для общественного обсуждения был представлен проект Федерального закона "О внесении изме- нений в Кодекс Российской Федерации об административных правонарушениях" (далее – проект ФЗ) 18 . Проектом ФЗ предлагается введение административной ответственности за нарушение порядка применения инфор- мационных технологий в целях иденти- фикации и (или) аутентификации физи- ческих лиц. В частности, нарушение при- каза Минцифры России от 10.09.2021 г. № 930 "Об утверждении порядка обра- ботки, включая сбор и хранение, пара- метров биометрических персональных данных, порядка размещения и обновле- ния биометрических персональных дан- ных в единой биометрической системе и в иных информационных системах, обес- печивающих идентификацию и (или) аутентификацию с использованием био- метрических персональных данных физи- ческих лиц, а также требований к инфор- мационным технологиям и техническим средствам, предназначенным для обра- ботки биометрических персональных дан- ных в целях проведения идентифика- ции" 19 влечет за собой штраф для долж- ностных лиц в размере от 100 тыс. руб. до 300 тыс. руб., а для юридических лиц – от 300 тыс. руб. до 500 тыс. руб. Обработка биометрических ПДн для идентификации и (или) аутентификации без аккредитации – штраф для долж- ностных лиц в размере от 300 тыс. руб. до 600 тыс. руб., а для юридических лиц – от 500 тыс. руб. до 1 млн руб. ЗащитаПДнвЕБСиЕСИА Постановление Правительства Рос- сийской Федерации от 15.06.2022 г. № 1066 "О размещении физическими лицами своих биометрических персо- нальных данных в единой информа- ционной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических пер- сональных данных, их проверку и пере- дачу информации о степени их соответ- ствия предоставленным биометрическим персональным данным физического лица" 20 (далее – ПП РФ № 1066) офици- ально опубликовано 17 июня 2022 г. ПП РФ № 1066 вступило в силу со дня официального опубликования, за исклю- чением Правил размещения физически- ми лицами своих биометрических ПДн, вступающих в силу с 30 сентября 2022 г. Согласно ПП РФ № 1066 Минцифры России должно обеспечить возможность применения в Единой системе иденти- фикации и аутентификации (ЕСИА) и Единой биометрической системе (ЕБС) средств криптографической защиты информации (СКЗИ), прошедших про- цедуру оценки соответствия. Оператору ЕБС рекомендовано разработать про- грамму и методику для оценки алгорит- мов проверок на обнаружение атаки на биометрическое предъявление, создать российское программное обеспечение, предназначенное для обработки био- метрических ПДн, с применением шиф- ровальных средств и дальнейшим про- ведением ФСБ России оценки соответ- ствия. СлучаииспользованияЕБС Постановление Правительства Рос- сийской Федерации от 15.06.2022 г. № 1067 "О случаях и сроках использо- вания биометрических персональных данных, размещенных физическими лицами в единой информационной системе персональных данных, обес- печивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу инфор- мации о степени их соответствия предо- ставленным биометрическим персональ- ным данным физического лица" (далее – ПП РФ № 1067) 21 было опубликовано 17 июня 2022 г. ПП РФ № 1067 вступит в силу 1 марта 2023 г. и будет действо- вать до 1 марта 2029 г. ПП РФ№ 1067 устанавливает случаи, в которых могут использоваться био- метрические ПДн, размещенные в ЕБС, например: l осуществление организациями финансового рынка аутентификации клиента; l обеспечение выдачи персонифици- рованной карты на посещение спортив- ных соревнований; l осуществление прохода на террито- рию государственных органов и органи- заций посредством системы контроля и управления доступом (СКУД) их терри- тории, за исключением организаций оборонно-промышленного, атомного