В Казахстане закрывают личные данные граждан: вход только по биометрии

О нововведениях сообщили в Комитете информационной безопасности Министерства искусственного интеллекта и цифрового развития.

Биометрия становится обязательной: кого коснутся новые правила

Ключевым изменением стало введение обязательной многофакторной аутентификации, включая биометрические данные, при работе с крупными базами персональной информации.

Новое требование распространяется на базы данных, содержащие более 100 тысяч записей с персональными данными ограниченного доступа. Теперь при доступе к таким системам одного логина и пароля будет недостаточно — потребуется подтверждение личности с использованием биометрии.

Зачем это нужно: ответ Минцифры

По словам вице-министра искусственного интеллекта и цифрового развития Досжана Мусалиева, новые меры направлены на точную идентификацию пользователей и снижение рисков несанкционированного доступа.

«Применение многофакторной аутентификации, включая биометрическую, позволяет минимизировать вероятность входа в систему под чужими логинами и паролями и защитить персональные данные от посторонних лиц», — пояснил он.

Таким образом, государство делает ставку на технологические барьеры, которые должны осложнить как внешние атаки, так и внутренние злоупотребления.

Кто обязан проходить биометрическую проверку

Согласно утвержденным правилам, обязательную биометрическую аутентификацию при работе с защищенными базами данных должны проходить:

• владельцы информационных систем;

• операторы баз данных;

• третьи лица, получившие доступ к персональной информации.

Мера распространяется на всех участников процесса обработки данных, вне зависимости от формы собственности и статуса организации.

Какие данные считаются ограниченными

В Комитете информационной безопасности уточнили, что к персональным данным ограниченного доступа относятся:

• сведения, составляющие личную и семейную тайну;

• банковская и налоговая информация;

• коммерческая тайна;

• данные, подпадающие под врачебную тайну и тайну медицинского работника;

• любые персональные данные с грифом «конфиденциально»;

• иные сведения, охраняемые законодательством Республики Казахстан.

Доступ к таким данным изначально ограничен законом, а новые правила усиливают контроль за тем, кто и на каких условиях может с ними работать.

Изменения затронули и «электронное правительство»

Помимо правил доступа к персональным данным, обновлены методики и требования к проведению испытаний объектов информатизации:

• системы «электронного правительства»;

• критически важные объекты информационно-коммуникационной инфраструктуры.

Эти объекты теперь будут проходить проверку на соответствие требованиям информационной безопасности по обновленным стандартам.

Испытания больше не бессрочные: введен жесткий срок

Еще одно важное новшество — ограничение срока действия протоколов испытаний информационных систем.

Теперь такие протоколы действуют три года. Ранее они могли быть бессрочными, что, по мнению регуляторов, снижало актуальность проверок в условиях быстро меняющихся киберугроз.

Исключение сделано только для информационно-коммуникационной платформы «электронного правительства».

Что обязаны делать владельцы информационных систем

Собственники и владельцы объектов информатизации теперь обязаны:

• отслеживать срок действия протоколов испытаний;

• не позднее чем за три месяца до их окончания подать заявку на повторное тестирование;

• обеспечить соответствие систем актуальным требованиям безопасности.

Несоблюдение этих требований может повлечь ограничения в эксплуатации информационных систем.

Почему правила ужесточают именно сейчас

Усиление требований происходит на фоне роста числа утечек персональных данных и увеличения объемов информации, аккумулируемой в цифровых системах. Чем больше массив данных — тем выше риски и потенциальный ущерб в случае компрометации.

Новые меры должны не только защитить чувствительную информацию казахстанцев, но и повысить доверие к государственным и корпоративным цифровым сервисам.