Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок

Руслан Рахметов, Security Vision

К сфере обработки биометрических данных (а это, в первую очередь применение технологий распознавания по лицу и голосу) в последние несколько лет значительно повысился интерес со стороны государства. Это внимание обусловлено как возможностями, предоставляемыми данными технологиями, так и новыми (порожденными) угрозами.

Если же говорить про новые возможности, то это упрощение процесса и повышение точности аутентификации человека, что удобно пользователям и выгодно бизнесу. При этом данные технологии позволяют в полной мере реализовать удаленную аутентификацию. Применительно к кредитно-финансовой сфере это вылилось в выделение данного направления в приоритетные на уровне Центрального банка и инициирование (совместно с Минсвязи) создания Единой биометрической системы (ЕБС). Разработчик и оператор ЕБС – Ростелеком.

Данная система по задумке должна была оказать положительный эффект на кредитно-финансовую сферу в плане упрощения конкуренции между организациями - поставщиками финансовых услуг и как следствие снижения для населения стоимости оказываемых услуг и возможность небольшим организациям проще привлекать клиентов. При этом появлялись и новые угрозы, связанные с перехватом, внесением изменений в процесс аутентификации и даже с подделкой биометрии (грим, технология deep fake и т.д.).

В целях минимизации рисков информационной безопасности ЕБС создана с применением комплекса технических, организационных и технологических мер. А для банков (бизнес-пользователей) мегарегулятор отдельно выпустил Указание Банка России от 9 июля 2018 г. № 4859-У с перечнем актуальных угроз и Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации. Для мотивации применения ЕБС была проработана тарифная политика с элементами «кэшбека», когда за использование биометрии взимается плата с организации и 50% от неё передается в организацию, собравшую и предоставившую в ЕБС образцы биометрических персональных данных. Также через требования обеспечено принудительное оборудование отделений банков местами сдачи биометрии – в Федеральном законе от 7 августа 2001 г. N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» установлена обязательная возможность использования ЕБС для удаленной идентификации. На текущий момент решение, судя по статистике, не особо выгодно банкам – оно в самом простом варианте обходится в сумму от 1 миллиона рублей, а количество биометрических экземпляров равно приблизительно 200 тысячам и растет медленными темпами. Судя по заявлениям властей, на первый план выходит обеспечение безопасности биометрических данных, и все мероприятия будут сводиться к централизации обработки биометрии и защиты её в одном месте, что в целом вызывает понимание – с точки зрения обеспечения конфиденциальности преимущества хранения и проверки биометрии в единой системе налицо. Создание единой государственной системы на базе Единой биометрической системы (ЕГБС) и работа только с ней сильно меняет текущий «ландшафт» технологий, применяющих биометрические персональные данные – все коммерческие системы будут должны обеспечить интеграцию с ЕГБС и работать не с самой биометрией, а с векторами.

На текущий момент в целях реализации этой политики внесены изменения (часть требований вступает в силу с 01.09.2022) в 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», а также опубликованы постановления Правительства (№1815 от 23.10.2021, №1799 от 20.10.2021) и приказ Минцифры РФ (№930 от 10.09.2021), в соответствии с которым определен ряд требований и особенностей функционирования. Рассмотрим ключевые.

На что хотелось бы обратить внимание в 149-ФЗ:

• Работа ЕБС, по сути, определяется Правительством Российской Федерации по согласованию с ФСБ, Роскомнадзором и Банком России.

• Физические лица могут сами размещать свои биометрические данные с применением ЕСИА и загранпаспорта с чипом.

• На текущий момент в ЕБС хранит информацию о лице и голосе, но он будет расширен. Состав биометрии определяет Правительство РФ.

• Обработка биометрии (и работа с ЕБС) должна осуществляться в соответствии с требованиями к защите биометрических персональных данных.

• Проверить организации могут ФСБ, ФСТЭК, Роскомнадзор, Банк России в рамках своих компетенций.

• Минцифры России определяет

• требования к работе с ЕБС (сбор биометрии, хранение и т.д.)

• определяет формы подтверждения соответствия технических средств требованиям

• определяет методики проверки качества биометрических данных

• определяет перечень угроз безопасности актуальных при обработке биометрических персональных данных

• распространяет на безвозмездной основе для физических и юридических лиц программное средство криптографической защиты информации (СКЗИ, сертифицированное ФСБ), необходимое для работы с ЕБС

• обеспечивает работу с биометрией в МФЦ

• осуществляет аккредитацию организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц

• Оператор ЕБС (Ростелеком)

• обеспечивает взаимодействие с внешними пользователями ЕБС

• предоставляет по запросу в МВД, ФСБ сведения из ЕБС

• по требованию физического лица (или государственных специальных служб) удаляет биометрию из ЕБС

• ведет реестр пользователей (государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов) ЕБС

• Разделены организации, которые проводят по биометрии идентификацию и (или) аутентификацию и те, которые проводят только аутентификацию (т.е. пользователь предварительно идентифицируется иными способами).

• Запрещены сбор и обработка биометрии в иных системах, но допускаются в установленных Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации случаях (похоже, для крупных операторов биометрических данных, например, таких как Сбербанк) при условии:

• выполнения требования по обеспечению безопасности

• выполнения требований закона от 26 июля 2017 года N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и подключения к ГосСОПКА

• прохождения аккредитации в Минцифры России

• Все системы с биометрией должны либо подключиться к ЕБС, сдав туда ранее собранную биометрию, либо добиться исключения (по решению Правительства), либо прекратить работу с биометрией.

• Организации и их руководство не входят в перечни причастности к экстремистской деятельности, терроризму или распространению оружия массового уничтожения.

• У руководства организации отсутствует неснятая или непогашенная судимость.

• В отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице.

• Должна быть обеспечена защита каналов передачи данных с применением СКЗИ.

• Тарифы (в том числе обязательный «кэшбек» для поставщиков биометрии) устанавливает Ростелеком, но в соответствии с методикой расчета взимания платы, утвержденной Минцифры России по согласованию с Банком России.

• Организации могут пользоваться информационными системами аккредитованных на работу с биометрией организаций, при условии выполнения ими основных требований (по сути, всё кроме аккредитации Минцифры России).

• Аккредитация осуществляется при выполнении организацией следующих условий:

• доля иностранного участия менее 49% (если это не особый случай, определяемый Правительством

• минимальный размер капитала не менее 50 млн рублей

• наличия страховки от неправильной аутентификации в размере не менее 50 млн рублей

• наличие лицензии ФСБ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств

• наличие права собственности на аппаратные СКЗИ

• наличие в штате не менее двух работников, имеющих высшее образование в области информационных технологий или информационной безопасности

• соответствие требованиям к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа, установленным Минцифры России

• соответствие дополнительным требованиям единоличного исполнительного органа, таким как наличие гражданства РФ, отсутствие неснятой или непогашенной судимости, не привлечение в течение пяти лет, предшествующих дню подачи заявления об аккредитации, к уголовной ответственности в соответствии со статьями 183 и 283 УК РФ за незаконные получение и разглашение сведений, составляющих государственную, коммерческую, налоговую или банковскую тайну, отсутствие в перечнях сведений о причастности к терроризму и т.д.

• в отношении организации, претендующей на получение аккредитации, не была досрочно прекращена ее аккредитация в течение трех лет, предшествующих дню подачи нового заявления

• лицо, имеющее право действовать без доверенности от имени организации, претендующей на получение аккредитации, не являлось лицом, имевшим право действовать без доверенности от имени иной организации, осуществляющей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, аккредитация которой досрочно прекращена в течение трех лет, предшествующих дню подачи заявления.

• Предъявляются дополнительные повышенные требования к организациям, осуществляющим идентификацию либо идентификацию и аутентификацию:

  • минимальный размер капитала не менее 500 млн рублей

  • наличия страховки от неправильной проверки биометрии в размере не менее 100 млн рублей

  • подключение к ГосСОПКА

• Плановые проверки Минцифры России в отношении аккредитованных организаций должны проводиться не реже чем один раз в три года.

Следующий документ - постановление Правительства №1799 от 20.10.2021 определяет правила аккредитации организаций, работающих с биометрическими персональными данными. Данные правила определяют требования к форме заявки на аккредитацию и сопутствующие документы, подтверждающие выполнение требований к организациям, а также регламентируют сроки рассмотрения заявки и фиксацию аккредитации в специализированном перечне аккредитованных организаций. Отдельно хотелось бы обратить внимание на требования к иностранным организациям – от них требуют размещения технических средств на территории РФ и не являться представителями иностранного государства, включенного в перечень иностранных государств, совершающих недружественные действия в отношении РФ, её граждан и юридических лиц.

В постановлении Правительства №1815 от 23.10.2021, в свою очередь, определен перечень случаев осуществления сбора и обработки, используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций – некий белый список применения информационных систем, использующих биометрию, в частности для идентификации (аутентификации):

• водителей легкового такси

• водителей каршеринга (для аренды до 24 часов)

• при проходе на территорию организаций посредством СКУД на территории данных организаций, кроме организаций оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры, субъектам критической информационной инфраструктуры, объектов, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями, режимных объектов, дошкольных образовательных организаций и общеобразовательных организаций

• при участии в собрании участников гражданско-правового сообщества

Также приказом Минцифры РФ №930 от 10.09.2021 определен порядок обработки биометрии, где стоит обратить внимание на следующие особенности:

• указано требование (для неподнадзорных Банку России) по информированию Минцифры России о выявленных инцидентах ИБ, не позднее 1 рабочего дня

• требование по ежегодной оценке соответствия требованиям по защите информации внешней организацией с лицензией и информирование о результатах Минцифры России

• определены технические требования к биометрии (изображениям и голосу), такие как разрешение, глубина цвета, углы поворота головы, освещенность, форматы данных, уровень сигнал-шум для голоса, качество и т.д.

• проверка качества осуществляется с помощью ПО, предоставленного Ростелекомом. Некачественная биометрия не должна собираться.

• не допускается хранение биометрии (в целях идентификации/аутентификации) кроме как в ЕБС

• использование должны быть только биометрии не старше 5 лет

• определены максимальные (допустимые) вероятности ложного совпадения для разных случаев анализа биометрии

• требование по использованию не менее 5 разных алгоритмов обнаружения атаки на биометрическое предъявление

При анализе этого набора требований также возникает вопрос функционального характера – а как быть автономным системам распознавания, например, лиц (например, такая возможность сейчас есть в умных домофонах)? Такие технологии, по сути, теперь запрещены.

Как мы видим, на текущий момент обеспечено жесткое регулирование и ограничение биометрических технологий, что повышает безопасность. Однако, такое ограничение может вызвать отставание РФ в этих технологиях – будут значительно осложнены развитие новых направлений, апробация и, самое главное, космически повышен порог входа на данный рынок.

Биометрические персональные данные представляют собой уникальные физиологические и биологические характеристики человека, которые могут быть использованы для его идентификации. Эти характеристики включают в себя отпечатки пальцев, сканирование лица, радужку глаза, голосовые анализы, геометрию руки и другие биометрические параметры.

Главная особенность биометрических данных заключается в их уникальности. Ни у каких двух людей не существует абсолютно одинаковых биометрических характеристик, что делает их идеальным инструментом для аутентификации и идентификации. Когда биометрические персональные данные используются для доступа к системам или данных, это повышает уровень безопасности и устраняет проблему с утерей или кражей паролей.

Применение биометрических персональных данных

1. Аутентификация: Одним из наиболее распространенных способов использования биометрических персональных данных является аутентификация пользователя. С помощью сканирования отпечатков пальцев или распознавания лица, устройства могут убедиться в том, что доступ предоставляется только уполномоченному лицу.

2. Безопасность мобильных устройств: Многие современные смартфоны и планшеты оборудованы сенсорами для сканирования отпечатков пальцев или распознавания лица. Это делает устройства более защищенными и предотвращает несанкционированный доступ.

3. Защита данных: Биометрические персональные данные также могут использоваться для защиты конфиденциальных данных. Например, биометрический сканер может быть интегрирован в систему доступа к серверам с важной корпоративной информацией.

4. Замена паролей: Биометрические данные предоставляют возможность забыть о сложных паролях и PIN-кодах. Вместо этого, вы можете использовать свои уникальные биометрические характеристики для доступа к вашим устройствам и данным.

5. Медицинская безопасность: В медицинских учреждениях биометрические персональные данные могут использоваться для обеспечения безопасности доступа к медицинским записям и личным данным пациентов.

Особенности биометрических данных

Однако, несмотря на все преимущества, связанные с использованием биометрических персональных данных, существуют и определенные риски. Например, биометрические данные могут быть скомпрометированы в случае утечки, и их нельзя сменить, как пароль или PIN-код. Поэтому защита и шифрование биометрических данных становятся критически важными задачами.