На злобу дня о биометрии и изображении лица
Минцифры представило для общественного обсуждения проект ведомственного приказа «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе
и в иных информационных системах, обеспечивающих идентификацию
и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации» (фактически заменяет приказ Минцифры от 25 июня 2018 г. № 321).
Подход Министерства не меняется, чтобы получить биометрические образцы данных изображения лица необходимо соблюсти следующие условия:
🔘 цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;
🔘 поворот головы должен быть не более 5° от фронтального положения;
🔘 наклон головы должен быть не более 5° от фронтального положения;
🔘 отклонение головы должно быть не более 8° от фронтального положения;
🔘 расстояние между центрами глаз должно составлять не менее 60 пикселей;
🔘 изображение должно содержать полное изображение головы человека в анфас, включая левое и правое ухо (при их наличии), верхнюю точку лобной области головы и подбородок;
🔘 не допускается перекрытие волосами или посторонними предметами изображения лица по всей ширине от бровей до нижней губы;
🔘 на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается;
🔘 выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта (с учетом поведенческих факторов и (или) медицинских заболеваний);
🔘 лицо должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и блики;
🔘 не допускается использование ретуши и редактирования изображения;
🔘 допускается кадрирование изображения;
🔘 в случае фотографирования человека в очках не допускается наличие солнцезащитных очков и ярких световых артефактов или отражения вспышки
от очков;
🔘 изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (0 x 00), PNG (0 x 03);
🔘 для регистрации изображения лица необходимо использовать фото- или видеокамеру, эквивалентное фокусное расстояние которой должно составлять от 26,7 до 100 мм при расположении субъекта на расстоянии 0,3 - 1,0 м от камеры;
🔘 применяемые фото- или видеокамеры должны удовлетворять следующими характеристиками:
🔻 разрешение получаемого изображения: не менее 1280 x 720 пикселей;
🔻 наличие режима автоматической корректировки баланса белого цвета;
🔘 используемые источники освещения должны создавать в области лица освещенность:
🔻 для фото-, видеокамер без автоматической коррекции освещенности не менее - 300 лк;
🔻 для фото-, видеокамер с автоматической коррекцией освещенности не менее - 100 лк.
❓Так любое изображение лица человека будет именно биометрическими персональными данными или нет?..
Мысли на этот счёт ещё можно посмотреть здесь и здесь.
Минцифры представило для общественного обсуждения проект ведомственного приказа «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе
и в иных информационных системах, обеспечивающих идентификацию
и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации» (фактически заменяет приказ Минцифры от 25 июня 2018 г. № 321).
Подход Министерства не меняется, чтобы получить биометрические образцы данных изображения лица необходимо соблюсти следующие условия:
🔘 цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;
🔘 поворот головы должен быть не более 5° от фронтального положения;
🔘 наклон головы должен быть не более 5° от фронтального положения;
🔘 отклонение головы должно быть не более 8° от фронтального положения;
🔘 расстояние между центрами глаз должно составлять не менее 60 пикселей;
🔘 изображение должно содержать полное изображение головы человека в анфас, включая левое и правое ухо (при их наличии), верхнюю точку лобной области головы и подбородок;
🔘 не допускается перекрытие волосами или посторонними предметами изображения лица по всей ширине от бровей до нижней губы;
🔘 на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается;
🔘 выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта (с учетом поведенческих факторов и (или) медицинских заболеваний);
🔘 лицо должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и блики;
🔘 не допускается использование ретуши и редактирования изображения;
🔘 допускается кадрирование изображения;
🔘 в случае фотографирования человека в очках не допускается наличие солнцезащитных очков и ярких световых артефактов или отражения вспышки
от очков;
🔘 изображение лица должно быть сохранено в формате .jpeg или .png; код сжатия: JPEG (0 x 00), PNG (0 x 03);
🔘 для регистрации изображения лица необходимо использовать фото- или видеокамеру, эквивалентное фокусное расстояние которой должно составлять от 26,7 до 100 мм при расположении субъекта на расстоянии 0,3 - 1,0 м от камеры;
🔘 применяемые фото- или видеокамеры должны удовлетворять следующими характеристиками:
🔻 разрешение получаемого изображения: не менее 1280 x 720 пикселей;
🔻 наличие режима автоматической корректировки баланса белого цвета;
🔘 используемые источники освещения должны создавать в области лица освещенность:
🔻 для фото-, видеокамер без автоматической коррекции освещенности не менее - 300 лк;
🔻 для фото-, видеокамер с автоматической коррекцией освещенности не менее - 100 лк.
❓Так любое изображение лица человека будет именно биометрическими персональными данными или нет?..
Мысли на этот счёт ещё можно посмотреть здесь и здесь.
⚡️Штрафы за разглашение и за незаконное получение ИОД
Официально опубликованы изменения в Кодекс Российской Федерации об административных правонарушениях, которыми предусматривается усиление административной ответственности за разглашение информации с ограниченным доступом. Точнее, это планировалось на стадии представления законопроекта, но на стадии рассмотрения в Государственной Думе депутатами было предложено внести в этот пакет поправок ещё ряд положений. В результате получилось не только увеличить размеры штрафов за разглашение информации с ограниченным доступом, но и добавить новый состав административного правонарушения, которым устанавливается ответственность за незаконное получение информации с ограниченным доступом.
Наглядная раскладка по размерам штрафов прилагается в форме изображения ниже.
Источник: Федеральный закон от 11.06.2021 № 206-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
Официально опубликованы изменения в Кодекс Российской Федерации об административных правонарушениях, которыми предусматривается усиление административной ответственности за разглашение информации с ограниченным доступом. Точнее, это планировалось на стадии представления законопроекта, но на стадии рассмотрения в Государственной Думе депутатами было предложено внести в этот пакет поправок ещё ряд положений. В результате получилось не только увеличить размеры штрафов за разглашение информации с ограниченным доступом, но и добавить новый состав административного правонарушения, которым устанавливается ответственность за незаконное получение информации с ограниченным доступом.
Наглядная раскладка по размерам штрафов прилагается в форме изображения ниже.
Источник: Федеральный закон от 11.06.2021 № 206-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
Законодательное закрепление понятия ЦОД. Продолжение
Правительством Российской Федерации в Государственную Думу Российской Федерации внесён законопроект, предусматривающий внесение изменений в Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи». Представленными изменениями предлагается, в частности, законодательно закрепить понятие ЦОД, под которым предлагается понимать сооружение связи с комплексом систем инженерно-технического обеспечения, спроектированное и используемое для размещения оборудования, обеспечивающего обработку и (или) хранение данных, и соответствующее утверждённой классификации.
————————————————————
Очень интересная тенденция намечается, что если какой-то законопроект не получается пропустить через процедуру общественного обсуждения и критику Минэкономразвития (напомню, что с аналогичными предложениями выступало Минцифры, но Минэкономразвития дало отрицательное заключение), то можно попробовать зайти через ГосДуму, где мало тех, кто может помешать, например, как случилось с введение административной ответственности за нарушение законодательства о безопасности критической информационной инфраструктуры Российской Федерации.
—————————————————————
Напомню, что, на мой взгляд, этот законопроект может иметь значение для практики взаимодействия субъектов КИИ с ЦОД.
Правительством Российской Федерации в Государственную Думу Российской Федерации внесён законопроект, предусматривающий внесение изменений в Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи». Представленными изменениями предлагается, в частности, законодательно закрепить понятие ЦОД, под которым предлагается понимать сооружение связи с комплексом систем инженерно-технического обеспечения, спроектированное и используемое для размещения оборудования, обеспечивающего обработку и (или) хранение данных, и соответствующее утверждённой классификации.
————————————————————
Очень интересная тенденция намечается, что если какой-то законопроект не получается пропустить через процедуру общественного обсуждения и критику Минэкономразвития (напомню, что с аналогичными предложениями выступало Минцифры, но Минэкономразвития дало отрицательное заключение), то можно попробовать зайти через ГосДуму, где мало тех, кто может помешать, например, как случилось с введение административной ответственности за нарушение законодательства о безопасности критической информационной инфраструктуры Российской Федерации.
—————————————————————
Напомню, что, на мой взгляд, этот законопроект может иметь значение для практики взаимодействия субъектов КИИ с ЦОД.
Министерство
труда и социальной защиты Российской Федерации представило для общественного обсуждения проект профессионального стандарта «Специалист по информационной безопасности в кредитно-финансовой сфере».
труда и социальной защиты Российской Федерации представило для общественного обсуждения проект профессионального стандарта «Специалист по информационной безопасности в кредитно-финансовой сфере».
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных и использования средств защиты информации при использовании ЕБС
ФСБ России представила для общественного обсуждения проект постановления Правительства Российской Федерации «О порядке осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями, нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона
от 27 июля 2006 г. № 149-ФЗ, организационных и технических мер по обеспечению безопасности персональных данных и использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ».
ФСБ России представила для общественного обсуждения проект постановления Правительства Российской Федерации «О порядке осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями, нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона
от 27 июля 2006 г. № 149-ФЗ, организационных и технических мер по обеспечению безопасности персональных данных и использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ».
Обеспечение методическими документами ФСТЭК России
ФСТЭК России напоминает о порядке обеспечения организаций методическими документами ФСТЭК России, содержащими сведения, составляющими охраняемую законом тайну.
Соответствующая информация опубликована на официальном сайте регулятора.
ФСТЭК России напоминает о порядке обеспечения организаций методическими документами ФСТЭК России, содержащими сведения, составляющими охраняемую законом тайну.
Соответствующая информация опубликована на официальном сайте регулятора.
📣Информация ФСТЭК России для субъектов КИИ из сферы здравоохранения
ФСТЭК России уточняет порядок представления субъектами критической информационной инфраструктуры, осуществляющих деятельность в сфере здравоохранения, сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий.
Соответствующее информационное сообщение от 18 июня 2021 г. № 240/82/1037 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий» опубликовано на сайте регулятора.
ФСТЭК России уточняет порядок представления субъектами критической информационной инфраструктуры, осуществляющих деятельность в сфере здравоохранения, сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий.
Соответствующее информационное сообщение от 18 июня 2021 г. № 240/82/1037 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий» опубликовано на сайте регулятора.
Forwarded from Парламентская газета
Контроль за хранением биометрии в МФЦ могут передать Роскомнадзору и ФСБ
Полномочиями контроля обработки и хранения биометрических персональных данных в МФЦ предлагают наделить Роскомнадзор и ФСБ.
https://www.pnp.ru/social/kontrol-za-khraneniem-biometrii-v-mfc-mogut-peredat-roskomnadzoru-i-fsb.html
Полномочиями контроля обработки и хранения биометрических персональных данных в МФЦ предлагают наделить Роскомнадзор и ФСБ.
https://www.pnp.ru/social/kontrol-za-khraneniem-biometrii-v-mfc-mogut-peredat-roskomnadzoru-i-fsb.html
Парламентская Газета
Контроль за хранением биометрии в МФЦ могут передать Роскомнадзору и ФСБ
Полномочиями контроля обработки и хранения биометрических персональных данных в МФЦ предлагают наделить Роскомнадзор и ФСБ.
Forwarded from РоскомнадZор
🖥 Роскомнадзор разработал сервис для операторов персональных данных
С 1 июля на официальном сайте Роскомнадзора запущен сервис для операторов персональных данных (ПД), который позволит им сформировать шаблон формы согласия на обработку ПД, разрешенных субъектом для распространения.
С 1 сентября для операторов вступают в силу обязательные требования к форме согласия на обработку ПД, разрешенных для распространения. Разработанный Роскомнадзором сервис позволит операторам ПД сформировать шаблон согласия, который будет соответствовать требованиям, а также учитывать специфику деятельности конкретного оператора.
При помощи сервиса в формате конструктора оператору будет достаточно заполнить необходимые поля, после чего шаблон будет рассмотрен специалистами Роскомнадзора, и при необходимости оператору будут даны рекомендации по его доработке. В дальнейшем оператор сможет использовать сформированную форму согласия в своей работе.
Созданию такого сервиса предшествовал анализ правоприменительной практики и обращений операторов по оформлению согласия на обработку персональных данных, разрешенных субъектом ПД для распространения. Обязанность операторов получать отдельное согласие гражданина на распространение его персональных данных установлена Федеральным законом 519-ФЗ, который вступил в силу 1 марта текущего года.
#Роскомнадзор #ПерсональныеДанные
С 1 июля на официальном сайте Роскомнадзора запущен сервис для операторов персональных данных (ПД), который позволит им сформировать шаблон формы согласия на обработку ПД, разрешенных субъектом для распространения.
С 1 сентября для операторов вступают в силу обязательные требования к форме согласия на обработку ПД, разрешенных для распространения. Разработанный Роскомнадзором сервис позволит операторам ПД сформировать шаблон согласия, который будет соответствовать требованиям, а также учитывать специфику деятельности конкретного оператора.
При помощи сервиса в формате конструктора оператору будет достаточно заполнить необходимые поля, после чего шаблон будет рассмотрен специалистами Роскомнадзора, и при необходимости оператору будут даны рекомендации по его доработке. В дальнейшем оператор сможет использовать сформированную форму согласия в своей работе.
Созданию такого сервиса предшествовал анализ правоприменительной практики и обращений операторов по оформлению согласия на обработку персональных данных, разрешенных субъектом ПД для распространения. Обязанность операторов получать отдельное согласие гражданина на распространение его персональных данных установлена Федеральным законом 519-ФЗ, который вступил в силу 1 марта текущего года.
#Роскомнадзор #ПерсональныеДанные
📯Государственный контроль в сфере электронной подписи
Официально опубликовано постановление Правительства Российской Федерации от 29.06.2021 № 1044 «Об утверждении Положения о федеральном государственном контроле (надзоре)в сфере электронной подписи».
Официально опубликовано постановление Правительства Российской Федерации от 29.06.2021 № 1044 «Об утверждении Положения о федеральном государственном контроле (надзоре)в сфере электронной подписи».
📯Изменения в 31-й приказ ФСТЭК
Официально опубликованы изменения в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды, утверждённые приказом ФСТЭК России от 14.03.2014 № 31.
Изменения касаются применения сертифицированных средств защиты информации, соответствующих тому или иному уровню доверия, в зависимости от класса защищённости автоматизированных систем управления.
Источник: приказ ФСТЭК России от 15.03.2021 № 46 «О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31».
Официально опубликованы изменения в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды, утверждённые приказом ФСТЭК России от 14.03.2014 № 31.
Изменения касаются применения сертифицированных средств защиты информации, соответствующих тому или иному уровню доверия, в зависимости от класса защищённости автоматизированных систем управления.
Источник: приказ ФСТЭК России от 15.03.2021 № 46 «О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31».
Стратегия национальной безопасности Российской Федерации
Официально опубликована обновлённая Стратегия национальной безопасности Российской Федерации: Указ Президента Российской Федерации от 02.07.2021 № 400 «О Стратегии национальной безопасности Российской Федерации».
Один из стратегических национальных приоритетов - информационная безопасность, который немного касается КИИ.
Ну и куда же без импортозамещения.
P.S.: анонимность в сети «Интернет. вызывает отдельные опасения у Президента.
Официально опубликована обновлённая Стратегия национальной безопасности Российской Федерации: Указ Президента Российской Федерации от 02.07.2021 № 400 «О Стратегии национальной безопасности Российской Федерации».
Один из стратегических национальных приоритетов - информационная безопасность, который немного касается КИИ.
Ну и куда же без импортозамещения.
P.S.: анонимность в сети «Интернет. вызывает отдельные опасения у Президента.
📯 Требования к средствам обеспечения безопасной удалёнки
ФСТЭК России информирует об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах.
Утверждённые требования предназначены для разработчиков программно-технических средств защиты информации, обеспечивающих безопасную дистанционную работу, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.
Соответствующее информационное сообщение ФСТЭК России от 23 июня 2021 г. № 240/24/3057 «Об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах» опубликовано на сайте регулятора.
ФСТЭК России информирует об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах.
Утверждённые требования предназначены для разработчиков программно-технических средств защиты информации, обеспечивающих безопасную дистанционную работу, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.
Соответствующее информационное сообщение ФСТЭК России от 23 июня 2021 г. № 240/24/3057 «Об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах» опубликовано на сайте регулятора.
📯 Государственный контроль за обработкой ПДн
Ровно неделю назад было опубликовано постановление Правительства Российской Федерации от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».
В связи с чем ниже прилагается обновлённая система нормативных правовых актов, методических и информационных документов по проблеме организации обработки и защиты ПДн.
—————————————————————
Было 146, а стало 1046.
Обсудить данный документ можно в чате https://xn--r1a.website/PDn152FZ, где и напомнили об этом опущении.
Ровно неделю назад было опубликовано постановление Правительства Российской Федерации от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».
В связи с чем ниже прилагается обновлённая система нормативных правовых актов, методических и информационных документов по проблеме организации обработки и защиты ПДн.
—————————————————————
Было 146, а стало 1046.
Обсудить данный документ можно в чате https://xn--r1a.website/PDn152FZ, где и напомнили об этом опущении.
Forwarded from ZLONOV security
document-158908.pdf
7.9 MB
Минэнерго совместно c ФСБ России, ФСТЭК России и Минцифрой разработали базовую модель угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности). Распознанный текст приложен. Ссылка на публикацию на сайте: https://minenergo.gov.ru/node/20966
Изменения в Положение о лицензировании деятельности по ТЗКИ и Положение о лицензировании деятельности по разработке и производству СЗКИ
ФСТЭК России анонсировала начало работ по разработке нормативных правовых актов, вносящих изменения в:
📍Положение о лицензировании деятельности по технической защите конфиденциальной информации, утверждённое постановлением Правительства Российской Федерации от 03.02.2012 № 79.
📍Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утверждённое постановлением Правительства Российской Федерации от 03.03.2012 № 171.
Изменения, как сейчас модно, связаны с переходом на реестровую модель.
ФСТЭК России анонсировала начало работ по разработке нормативных правовых актов, вносящих изменения в:
📍Положение о лицензировании деятельности по технической защите конфиденциальной информации, утверждённое постановлением Правительства Российской Федерации от 03.02.2012 № 79.
📍Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утверждённое постановлением Правительства Российской Федерации от 03.03.2012 № 171.
Изменения, как сейчас модно, связаны с переходом на реестровую модель.
Forwarded from Пост Лукацкого
Если верить правкам в положение о лицензировании ТЗКИ, удаленка становится под запретом и из дома лицензируемыми ФСТЭК видами деятельности (SOCи, пентесты и т.п.) заниматься будет нельзя. Интересное развитие событий https://t.co/81lOzkAX6c
— Alexey Lukatsky (@alukatsky) Jul 14, 2021
— Alexey Lukatsky (@alukatsky) Jul 14, 2021
regulation.gov.ru
Нормативные правовые акты - Официальный сайт для размещения информации о подготовке нормативных правовых актов и результатах их…
Официальный сайт для размещения информации о подготовке федеральными органами исполнительной власти проектов нормативных правовых актов и результатах их общественного обсуждения