Аналитическая справка по постановлению Правительства РФ от 26.08.2022 № 1498

26.08.2022 г. Председатель Правительства Российской Федерации М. Мишустин подписал текст постановления от 26.08.2022 № 1498 "Об утверждении требований к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем и Правил прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем", опубликованный 29.08.2022 г. Согласно ему утверждаются согласованные с Федеральной службой безопасности Российской Федерации, Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и Центральным банком Российской Федерации следующие приложения к настоящему постановлению:

требования к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем;

Правила прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем.

Само постановление вступает в силу с 1 марта 2023 г.

Следует сразу обратить внимание на название первого приложения к рассматриваемому постановлению Правительства Российской Федерации, постулирующее, при прохождения аккредитации, право владения государственных органов государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация граждан. На первый взгляд все логично: кому же как не государственным органам владеть государственными информационными системами? Однако здесь следует принять во внимание особенности российского законодательства. Статья 209 ГК РФ «Содержание права собственности» совершенно недвусмысленно определяет следующее: 

«1. Собственнику принадлежат права владения, пользования и распоряжения своим имуществом.

2. Собственник вправе по своему усмотрению совершать в отношении принадлежащего ему имущества любые действия, не противоречащие закону и иным правовым актам и не нарушающие права и охраняемые законом интересы других лиц, в том числе отчуждать свое имущество в собственность другим лицам, передавать им, оставаясь собственником, права владения, пользования и распоряжения имуществом, отдавать имущество в залог и обременять его другими способами, распоряжаться им иным образом.

(…)

4. Собственник может передать свое имущество в доверительное управление другому лицу (доверительному управляющему). Передача имущества в доверительное управление не влечет перехода права собственности к доверительному управляющему, который обязан осуществлять управление имуществом в интересах собственника или указанного им третьего лица».

Итак, мы видим, что государственные органы как собственники государственных информационных системам, с применением которых осуществляется идентификация и (или) аутентификация, теоретически вправе по своему усмотрению совершать в отношении них любые действия, в том числе отчуждать ГИС в собственность другим лицам, передавать им, оставаясь собственником, права владения, пользования и распоряжения этим имуществом, отдавать имущество в залог или доверительное управление. Данное обстоятельство следует хорошо понимать гражданам, передающие свои персональные данные, в том числе и биометрические, в различные пока еще государственные информационные системы.

В требованиях к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами перечисляются следующие условия при выполнении которых произойдет их аккредитация:

а) наличие у государственного органа права собственности или иного вещного права на аппаратные шифровальные (криптографические) средства, применяемые для осуществления идентификации и (или) аутентификации с использованием биометрических персональных данных, имеющие подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, и наличие права использования программных шифровальных (криптографических) средств на законных основаниях;

б) наличие в штате государственного органа не менее 2 работников, непосредственно осуществляющих эксплуатацию государственной информационной системы, имеющих высшее образование в области информационных технологий или информационной безопасности;

в) обеспечение взаимодействия государственного органа с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

г) соответствие информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации и (или) аутентификации, требованиям, установленным в соответствии с пунктом 1 части 13 статьи 141 Федерального закона "Об информации, информационных технологиях и о защите информации", в случаях, если в соответствии с частью 1815 статьи 141 Федерального закона "Об информации, информационных технологиях и о защите информации" государственная информационная система используется для сбора и передачи биометрических персональных данных для размещения в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, в соответствии с федеральными законами, а также если в ней используется информация, являющаяся результатом обработки биометрических персональных данных физического лица, содержащихся в указанной единой информационной системе персональных данных, произведенной с использованием информационных технологий и технических средств, соответствующих требованиям, определенным в соответствии с пунктом 1 части 13 статьи 141 Федерального закона "Об информации, информационных технологиях и о защите информации", не подпадающая под действие статьи 11 Федерального закона "О персональных данных", в целях аутентификации физических лиц;

д) использование технологий, предназначенных для обработки биометрических персональных данных в целях проведения идентификации и (или) аутентификации, в которых используется программное обеспечение, включенное в единый реестр российских программ для электронных вычислительных машин и баз данных в соответствии с Правилами формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных и единого реестра программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 16 ноября 2015 г. № 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд".

Правила прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем устанавливают, что для получения аккредитации государственные органы представляют в уполномоченный федеральный орган заявление об аккредитации, подписанное руководителем государственного органа или его уполномоченным заместителем (далее - заявление об аккредитации), с приложением документов, подтверждающих выполнение требований к государственным органам для аккредитации. Как следует из сообщений СМИ, аккредитация будет проводиться Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации. Согласно п. 10 Правил, подтверждением наличия у аккредитованного государственного органа аккредитации является соответствующая запись в перечне аккредитованных государственных органов. Этот список аккредитованных государственных органов будет размещен на официальном сайте уполномоченного федерального органа в информационно-телекоммуникационной сети "Интернет". Согласно п. 4 Правил прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем, аккредитация государственных органов действует без ограничения срока. Однако п. 15. Правил наделяет уполномоченный федеральный орган правом принять решение о приостановлении аккредитации аккредитованного государственного органа в случае выявления в рамках осуществления федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации несоответствия аккредитованного государственного органа требованиям к государственным органам для аккредитации и выдачи предписания об устранении нарушения, связанного с нарушением требований к государственным органам для аккредитации, путем внесения соответствующей записи в перечень аккредитованных государственных органов. Приостановление аккредитации аккредитованного государственного органа осуществляется на срок, не превышающий 15 рабочих дней со дня принятия решения о приостановлении аккредитации. В случае если аккредитованным государственным органом до окончания срока приостановления его аккредитации не представлены информация и документы, подтверждающие устранение причин, вследствие которых было принято решение о приостановлении аккредитации, уполномоченный федеральный орган принимает решение о прекращении аккредитации. П. 16 Правил устанавливает всего два случая, когда аккредитация аккредитованного государственного органа прекращается по решению уполномоченного федерального органа:

а) невыполнение предписания о выявлении несоответствия аккредитованного государственного органа требованиям к государственным органам для аккредитации по истечении срока приостановления аккредитации аккредитованного государственного органа;

б) получение уполномоченным федеральным органом заявления аккредитованного государственного органа о прекращении аккредитации по его инициативе.

Весьма показательно, что случай массовой утечки персональных данных граждан из той или иной государственной информационной системы или тяжелые последствия даже небольшой утечки персональных данных даже не рассматривается в качестве основания прекращения аккредитации. Выводы из этого граждане должны делать сами.