Требования по аккредитации для осуществления идентификации
Требования к аккредитации организаций, заявляющих необходимость осуществления идентификации и (или) идентификации и аутентификации с использованием биометрических персональных данных:
1. Включение случая необходимости обработки биометрических персональных данных в целях идентификации или идентификации и аутентификации в перечень, утверждённый Правительством Российской Федерации (Постановление Правительства Российской Федерации от 23.10.2021 № 1815 «Об утверждении перечня случаев осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также случаев использования организациями, за исключением кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 761 Федерального закона «О Центральном банке Российской Федерации (Банке России)» виды деятельности, субъектами национальной платежной системы, индивидуальными предпринимателями указанных информационных систем для идентификации либо идентификации и аутентификации физического лица, выразившего согласие на их проведение»).
2. Применение организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
3. Выполнение требований Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», в том числе посредством выполнения требований о защите содержащейся в государственных информационных системах информации, установленных ФСБ России и ФСТЭК России, в пределах их полномочий, а также посредством автоматизированного информационного взаимодействия с ГосСОПКА для решения задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак.
4. Наличие согласия физического лица на обработку его биометрических персональных данных в указанных целях, в том числе в интересах конкретного третьего лица.
5. Не являться иностранным юридическим лицом, а также юридическим лицом, в уставном (складочном) капитале которого доля участия иностранных юридических лиц превышает 49 процентов.
6. Наличие минимального размера собственных средств (капитала) в размере не менее чем 500 миллионов рублей.
7. Наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к результату аутентификации с использованием биометрических персональных данных в сумме не менее чем 100 миллионов рублей.
8. Наличие подключения (доступа) к ГосСОПКА.
9. Наличие лицензии на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств.
10. Наличие права собственности на аппаратные шифровальные (криптографические) средства, используемые для оказания организацией услуг по идентификации и (или) аутентификации с использованием биометрических персональных данных, имеющие подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, и наличие права использования программных шифровальных (криптографических) средств на законных основаниях.
11. Наличие в штате организации не менее двух работников, непосредственно осуществляющих деятельность по идентификации и аутентификации с использованием биометрических персональных данных, имеющих высшее образование в области информационных технологий или информационной безопасности.
12. Соответствие требованиям к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа, установленным федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных и уполномоченным на принятие решения об аккредитации.
13. Отсутствие записи в едином государственном реестре юридических лиц о недостоверности сведений о юридическом лице.
14. Соответствие дополнительным требованиям единоличного исполнительного органа:
а) наличие гражданства Российской Федерации;
б) лицо не включено в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, или перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к распространению оружия массового уничтожения;
в) отсутствие у лица неснятой или непогашенной судимости за совершение преступления;
г) лицо не привлекалось в течение пяти лет, предшествующих дню подачи заявления, к уголовной ответственности в соответствии со статьями 183 и 283 Уголовного кодекса Российской Федерации за незаконные получение и разглашение сведений, составляющих государственную, коммерческую, налоговую или банковскую тайну.
15. Не была досрочно прекращена предыдущая аккредитация в течение трех лет, предшествующих дню подачи заявления.
16. Лицо, имеющее право действовать без доверенности от имени организации, претендующей на получение аккредитации, не являлось лицом, имевшим право действовать без доверенности от имени иной организации, осуществляющей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, аккредитация которой досрочно прекращена в течение трех лет, предшествующих дню подачи заявления.
Вернуться в основную заметку «Страсти по биометрии»
Перейти к просмотру требований по аккредитации для аутентификации