Наверх

Правительство РФ утвердило требования к материальным носителям биометрических персональных данных

Архив
Время чтения: 4 минуты
3
Правительство РФ утвердило требования к материальным носителям биометрических персональных данных

Требования утверждены постановлением правительства РФ от 6 июля 2008 г N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".

Требования утверждены постановлением правительства РФ от 6 июля 2008 г N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

Настоящее постановление вступает в силу по истечении 6 месяцев со дня его официального опубликования.

Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных:

1. Настоящие требования применяются при использовании материальных носителей, на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных.

2. В настоящих требованиях под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность (далее - материальный носитель).

3. Настоящие требования не распространяются на отношения, возникающие при использовании:

●     оператором информационной системы персональных данных (далее – оператор) материальных носителей для организации функционирования информационной системы персональных данных, оператором которой он является;

●     бумажных носителей для записи и хранения биометрических персональных данных.

4. Материальный носитель должен обеспечивать:

●     защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;

●     возможность доступа к записанным на материальный носитель биометрическим персональным данным, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими персональными данными (далее - уполномоченные лица);

●     возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись;

●     невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.

5. Оператор утверждает порядок передачи материальных носителей уполномоченным лицам.

6. Материальный носитель должен использоваться в течение срока, установленного оператором, осуществившим запись биометрических персональных данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя.

7. Тип материального носителя, который будет использован для обработки биометрических персональных данных, определяет оператор, за исключением случаев, когда нормативными правовыми актами Российской Федерации предписано использование материального носителя определенного типа.

8. Оператор обязан:

●     осуществлять учет количества экземпляров материальных носителей;

●     осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.

9. Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать:

●     доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц;

●     применение средств электронной цифровой подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;

●     проверку наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой персональных данных.

10. В случае если на материальном носителе содержится дополнительная информация, имеющая отношение к записанным биометрическим персональным данным, то такая информация должна быть подписана электронной цифровой подписью и (или) защищена иными информационными технологиями, позволяющими сохранить целостность и неизменность информации, записанной на материальный носитель.

Использование шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации.

11. При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.

12. Оператор вправе установить не противоречащие требованиям законодательства Российской Федерации дополнительные требования к технологиям хранения биометрических персональных данных вне информационных систем персональных данных в зависимости от методов и способов защиты биометрических персональных данных в информационных системах персональных данных этого оператора.

Источник: ПРАЙМ-ТАСС

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 3

Интересно, а что предполагается делать, если на практике некоторые пункты станут противоречить друг другу? Например, если носитель, использование которого предписано нормативными правовыми актами Российской Федерации не сможет обеспечить невозможность несанкционированного доступа к биометрическим персональным данным...

RFID в электронных паспортах мы уже проходили.

Строго говоря, 100% невозможность несанкционированного доступа к данным можно обеспечить только одним способом - не собирая и не записывая эти данные. Поэтому в документе речь, конечно же, идет о достаточной степени защищенности данных. 

Учитывая количество случаев масштабных утечек персональных данных, мне кажется, было бы разумно потребовать, чтобы в случае выноса носителей за пределы "защищенного периметра" организации, данные, как минимум, шифровались. Проблемка-то в том, что, в отличие, например, от паролей, номеров кредитных карт и т.д., заменить персональные биометрические данные на новые довольно сложно... Любопытно, кстати, а что делать человеку, если его биометрические данные все-таки "утекли"? (Аналогия с ЭЦП: закрытый ключ скомпрометирован, но заменить его невозможно)

Да, основным злоупотреблением здесь может стать не подмена данных, а "кража личности". Тоже довольно неприятная штука.

Чтобы прокомментировать, или зарегистрируйтесь