ПОСТАНОВЛЕНИЕ
от 26 августа 2022 года N 1498
Об утверждении требований к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем и Правил прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем
____________________________________________________________________
Утратило силу с 1 июня 2023 года на основании
постановления Правительства Российской Федерации
от 28 апреля 2023 года N 670
____________________________________________________________________
В соответствии с частью 18_14 статьи 14_1 Федерального закона "Об информации, информационных технологиях и о защите информации" Правительство Российской Федерации
постановляет:
1. Утвердить согласованные с Федеральной службой безопасности Российской Федерации, Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и Центральным банком Российской Федерации прилагаемые:
2. Настоящее постановление вступает в силу с 1 марта 2023 г.
Председатель Правительства
Российской Федерации
М.Мишустин
Требования к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем
1. Аккредитация государственного органа на право владения государственной информационной системой, с применением которой осуществляется идентификация и (или) аутентификация (далее - государственная информационная система), и (или) осуществления функции оператора государственной информационной системы, являющегося владельцем и оператором либо оператором государственной информационной системы, осуществляется при условии выполнения им следующих требований:
а) наличие у государственного органа права собственности или иного вещного права на аппаратные шифровальные (криптографические) средства, применяемые для осуществления идентификации и (или) аутентификации с использованием биометрических персональных данных, имеющие подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, и наличие права использования программных шифровальных (криптографических) средств на законных основаниях;
б) наличие в штате государственного органа не менее 2 работников, непосредственно осуществляющих эксплуатацию государственной информационной системы, имеющих высшее образование в области информационных технологий или информационной безопасности;
в) обеспечение взаимодействия государственного органа с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
г) соответствие информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации и (или) аутентификации, требованиям, установленным в соответствии с пунктом 1 части 13 статьи 14_1 Федерального закона "Об информации, информационных технологиях и о защите информации", в случаях, если в соответствии с частью 18_15 статьи 14_1 Федерального закона "Об информации, информационных технологиях и о защите информации" государственная информационная система используется для сбора и передачи биометрических персональных данных для размещения в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, в соответствии с федеральными законами, а также если в ней используется информация, являющаяся результатом обработки биометрических персональных данных физического лица, содержащихся в указанной единой информационной системе персональных данных, произведенной с использованием информационных технологий и технических средств, соответствующих требованиям, определенным в соответствии с пунктом 1 части 13 статьи 14_1 Федерального закона "Об информации, информационных технологиях и о защите информации", не подпадающая под действие статьи 11 Федерального закона "О персональных данных", в целях аутентификации физических лиц;
д) использование технологий, предназначенных для обработки биометрических персональных данных в целях проведения идентификации и (или) аутентификации, в которых используется программное обеспечение, включенное в единый реестр российских программ для электронных вычислительных машин и баз данных в соответствии с Правилами формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных и единого реестра программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 16 ноября 2015 г. N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд".
2. Аккредитация государственного органа на право владения государственной информационной системой, являющегося владельцем государственной информационной системы, осуществляется в случае, если оператором государственной информационной системы является организация, получившая аккредитацию в соответствии с Правилами аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, утвержденными постановлением Правительства Российской Федерации от 20 октября 2021 г. N 1799 "Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц".
Правила прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем
1. Настоящие Правила устанавливают порядок аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация (далее - государственная информационная система), и (или) осуществления функций операторов государственных информационных систем, государственных органов, являющихся владельцами и (или) операторами государственных информационных систем (далее - государственные органы).
2. Аккредитация государственных органов проводится Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - уполномоченный федеральный орган) в соответствии с настоящими Правилами.
3. Понятия, используемые в настоящих Правилах, означают следующее:
"аккредитация государственного органа" - подтверждение уполномоченным федеральным органом соответствия государственного органа требованиям к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем, утвержденным постановлением Правительства Российской Федерации от 26 августа 2022 г. N 1498 "Об утверждении требований к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем и Правил прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем";
"аккредитованный государственный орган" - государственный орган, включенный в перечень аккредитованных государственных органов;
"заявитель" - государственный орган, претендующий на получение аккредитации;
"перечень аккредитованных государственных органов" - список аккредитованных государственных органов, размещенный на официальном сайте уполномоченного федерального органа в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет");
"требования к государственным органам для аккредитации" - требования, предъявляемые к аккредитуемым государственным органам в соответствии с требованиями к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем, утвержденными постановлением Правительства Российской Федерации от 26 августа 2022 г. N 1498 "Об утверждении требований к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем и Правил прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем".
4. Аккредитация государственных органов действует без ограничения срока.
5. В целях аккредитации государственные органы представляют в уполномоченный федеральный орган заявление об аккредитации, подписанное руководителем государственного органа или его уполномоченным заместителем (далее - заявление об аккредитации), с приложением документов, подтверждающих выполнение требований к государственным органам для аккредитации.
Заявление об аккредитации представляется заявителем в уполномоченный федеральный орган непосредственно или направляется почтовым отправлением (с описью вложения) с уведомлением о вручении на почтовый адрес уполномоченного федерального органа или на адрес электронной почты уполномоченного федерального органа либо посредством системы межведомственного электронного документооборота.
Заявление об аккредитации считается поданным со дня его регистрации в системе электронного документооборота уполномоченного федерального органа.
6. В заявлении об аккредитации указываются следующие сведения о заявителе:
а) полное наименование и адрес;
б) идентификационный номер налогоплательщика;
в) адрес сайта в сети "Интернет";
г) в случае если функции оператора государственной информационной системы осуществляет организация, - полное наименование, адрес, идентификационный номер налогоплательщика такой организации.
7. К заявлению об аккредитации государственного органа, являющегося владельцем и оператором либо оператором государственной информационной системы, прилагаются следующие документы, подтверждающие соблюдение заявителем требований к государственным органам для аккредитации:
а) документы, подтверждающие наличие права собственности или иного вещного права на аппаратные шифровальные (криптографические) средства, применяемые для осуществления идентификации и (или) аутентификации с использованием биометрических персональных данных, имеющие подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, и наличие права использования программных шифровальных (криптографических) средств на законных основаниях;
б) документы, подтверждающие наличие в штате заявителя не менее 2 работников, непосредственно осуществляющих эксплуатацию государственной информационной системы, имеющих высшее образование в области информационных технологий или информационной безопасности;
в) документы, подтверждающие соответствие информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации и (или) аутентификации, требованиям, установленным в соответствии с пунктом 1 части 13 статьи 14_1 Федерального закона "Об информации, информационных технологиях и о защите информации", либо подтверждающие, что используются информационные технологии и технические средства, включенные в перечень технологий и средств, имеющих подтверждение соответствия, публикуемый уполномоченным федеральным органом в соответствии с пунктом 2 части 13 статьи 14_1 Федерального закона "Об информации, информационных технологиях и о защите информации";
г) документ, подтверждающий право уполномоченного лица заявителя, направившего документы, указанные в настоящем пункте, действовать от имени заявителя.
8. Уполномоченный федеральный орган:
а) осуществляет проверку документов, представленных заявителем, на предмет комплектности, полноты и достоверности содержащихся в них сведений в срок, не превышающий 10 рабочих дней со дня регистрации заявления в системе электронного документооборота уполномоченного федерального органа;
б) запрашивает в отношении заявителя - государственного органа, являющегося владельцем и оператором либо оператором государственной информационной системы, на основании межведомственных запросов с использованием единой системы межведомственного электронного взаимодействия у федерального органа исполнительной власти в области обеспечения безопасности сведения о взаимодействии заявителя с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
в) проверяет наличие у организации, выполняющей функции оператора государственной информационной системы, владельцем которой является государственный орган, аккредитации, полученной в соответствии с Правилами аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, утвержденными постановлением Правительства Российской Федерации от 20 октября 2021 г. N 1799 "Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц";
г) осуществляет в порядке, установленном в соответствии с пунктом 1 части 13 статьи 14_1 Федерального закона "Об информации, информационных технологиях и о защите информации", оценку соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации и (или) аутентификации, требованиям, установленным в соответствии с пунктом 1 части 13 статьи 14_1 Федерального закона "Об информации, информационных технологиях и о защите информации", на основании результатов технической оценки, проведенной оператором единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, либо проверяет наличие используемых информационных технологий и технических средств в перечне технологий и средств, имеющих подтверждение соответствия, публикуемом в соответствии с пунктом 2 части 13 статьи 14_1 Федерального закона "Об информации, информационных технологиях и о защите информации";
д) принимает решение об аккредитации или об отказе в аккредитации в срок, не превышающий 25 рабочих дней со дня регистрации заявления в системе электронного документооборота уполномоченного федерального органа, на основании документарной оценки соответствия заявителя требованиям к государственным органам для аккредитации.
9. Уполномоченный федеральный орган принимает решение о приостановлении процедуры аккредитации в случае выявления в ходе проверки документов, предусмотренной подпунктом "а" пункта 8 настоящих Правил, факта представления заявителем неполного комплекта документов, подтверждающих соответствие заявителя требованиям к государственным органам для аккредитации.
Уполномоченный федеральный орган в течение 5 рабочих дней со дня принятия решения о приостановлении процедуры аккредитации вручает представителю заявителя непосредственно под расписку или направляет почтовым отправлением (с описью вложения) с уведомлением о вручении на почтовый адрес заявителя или на адрес электронной почты либо посредством системы межведомственного электронного документооборота уведомление о приостановлении процедуры аккредитации, содержащее информацию о причинах и сроке приостановления.
Приостановление процедуры аккредитации осуществляется на срок, не превышающий 10 рабочих дней со дня принятия решения о приостановлении процедуры аккредитации, при этом срок проверки документов, предусмотренной подпунктом "а" пункта 8 настоящих Правил, продлевается на соответствующий срок.
Заявитель вправе до окончания срока приостановления процедуры аккредитации направить в уполномоченный федеральный орган непосредственно, почтовым отправлением (с описью вложения) с уведомлением о вручении на почтовый адрес уполномоченного федерального органа или на адрес электронной почты уполномоченного федерального органа либо посредством системы межведомственного электронного документооборота недостающие документы, отсутствие которых было выявлено в ходе проверки, предусмотренной подпунктом "а" пункта 8 настоящих Правил.
В случае представления заявителем в уполномоченный федеральный орган недостающих документов, отсутствие которых было выявлено в ходе проверки, предусмотренной подпунктом "а" пункта 8 настоящих Правил, проверка указанных документов осуществляется в течение 10 рабочих дней со дня их регистрации в системе электронного документооборота уполномоченного федерального органа. При этом общий срок процедуры аккредитации, установленный подпунктом "д" пункта 8 настоящих Правил, увеличивается на 10 рабочих дней.
В случае если заявителем до окончания срока приостановления процедуры аккредитации не представлены недостающие документы, необходимые для аккредитации государственного органа в соответствии с настоящими Правилами, уполномоченным федеральным органом принимается решение об отказе в аккредитации по основанию, указанному в подпункте "б" пункта 14 настоящих Правил.
10. Подтверждением наличия у аккредитованного государственного органа аккредитации является соответствующая запись в перечне аккредитованных государственных органов.