Доступ к крупным базам персональных данных защитят биометрией

22 декабря 2025 года обновлены Правила осуществления мер по защите персональных данных. Изменения направлены на усиление контроля доступа к персональным данным ограниченного доступа.

В частности, установлено, что при работе с базами данных, содержащими более 100 тысяч записей персональных данных, собственники, операторы и третьи лица обязаны при применении многофакторной аутентификации одним из методов использовать биометрическую аутентификацию. Данная мера призвана снизить риски несанкционированного доступа к крупным массивам персональной информации и повысить уровень защищенности цифровых систем.

«Теперь при работе с базами, содержащими более 100 тысяч записей персональных данных ограниченного доступа, обязательно применяется многофакторная аутентификация, включая биометрическую. Такая мера направлена на точную идентификацию пользователей и снижение рисков доступа посторонних лиц к персональным данным, в том числе входа в систему под чужими логинами и паролями, - разъяснил Досжан Мусалиев, вице-министр МИИЦР РК.

Персональными данными ограниченного доступа являются данные, доступ к которым ограничен законодательством Республики Казахстан (к таким персональным данным ограниченного доступа относятся личная, семейная, налоговая, банковская, коммерческая, тайна медицинского работника и иная охраняемая законом тайна, а также любые сведения с грифом конфиденциальности, содержащие персональные данные).

Также были внесены изменения в методики и правила проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности.

Согласно обновленным нормам, срок действия протоколов испытаний информационных систем установлен на три года. Данное требование распространяется на все объекты информатизации, за исключением информационно-коммуникационной платформы «электронного правительства». Владельцы и собственники объектов информатизации обязаны не позднее чем за три месяца до окончания срока действия протоколов подать заявку на повторное прохождение испытаний.

«Раньше проверка информационных систем проводилась бессрочно. Теперь введено чёткое правило: все системы должны проходить проверку на кибербезопасность каждые три года. Это нужно для того, чтобы регулярно убеждаться, что данные надёжно защищены, вовремя находить слабые места и обеспечивать стабильную работу цифровых сервисов», - отметили в КИБ.