SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок

Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
17.01.2022

|  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


К сфере обработки биометрических данных (а это, в первую очередь применение технологий распознавания по лицу и голосу) в последние несколько лет значительно повысился интерес со стороны государства. Это внимание обусловлено как возможностями, предоставляемыми данными технологиями, так и новыми (порожденными) угрозами.


Если же говорить про новые возможности, то это упрощение процесса и повышение точности аутентификации человека, что удобно пользователям и выгодно бизнесу. При этом данные технологии позволяют в полной мере реализовать удаленную аутентификацию. Применительно к кредитно-финансовой сфере это вылилось в выделение данного направления в приоритетные на уровне Центрального банка и инициирование (совместно с Минсвязи) создания Единой биометрической системы (ЕБС). Разработчик и оператор ЕБС – Ростелеком.


Данная система по задумке должна была оказать положительный эффект на кредитно-финансовую сферу в плане упрощения конкуренции между организациями - поставщиками финансовых услуг и как следствие снижения для населения стоимости оказываемых услуг и возможность небольшим организациям проще привлекать клиентов. При этом появлялись и новые угрозы, связанные с перехватом, внесением изменений в процесс аутентификации и даже с подделкой биометрии (грим, технология deep fake и т.д.).


В целях минимизации рисков информационной безопасности ЕБС создана с применением комплекса технических, организационных и технологических мер. А для банков (бизнес-пользователей) мегарегулятор отдельно выпустил Указание Банка России от 9 июля 2018 г. № 4859-У с перечнем актуальных угроз и Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации. Для мотивации применения ЕБС была проработана тарифная политика с элементами «кэшбека», когда за использование биометрии взимается плата с организации и 50% от неё передается в организацию, собравшую и предоставившую в ЕБС образцы биометрических персональных данных. Также через требования обеспечено принудительное оборудование отделений банков местами сдачи биометрии – в Федеральном законе от 7 августа 2001 г. N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» установлена обязательная возможность использования ЕБС для удаленной идентификации. На текущий момент решение, судя по статистике, не особо выгодно банкам – оно в самом простом варианте обходится в сумму от 1 миллиона рублей, а количество биометрических экземпляров равно приблизительно 200 тысячам и растет медленными темпами. Судя по заявлениям властей, на первый план выходит обеспечение безопасности биометрических данных, и все мероприятия будут сводиться к централизации обработки биометрии и защиты её в одном месте, что в целом вызывает понимание – с точки зрения обеспечения конфиденциальности преимущества хранения и проверки биометрии в единой системе налицо. Создание единой государственной системы на базе Единой биометрической системы (ЕГБС) и работа только с ней сильно меняет текущий «ландшафт» технологий, применяющих биометрические персональные данные – все коммерческие системы будут должны обеспечить интеграцию с ЕГБС и работать не с самой биометрией, а с векторами.


На текущий момент в целях реализации этой политики внесены изменения (часть требований вступает в силу с 01.09.2022) в 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», а также опубликованы постановления Правительства (№1815 от 23.10.2021, №1799 от 20.10.2021) и приказ Минцифры РФ (№930 от 10.09.2021), в соответствии с которым определен ряд требований и особенностей функционирования. Рассмотрим ключевые.


На что хотелось бы обратить внимание в 149-ФЗ:

  • Работа ЕБС, по сути, определяется Правительством Российской Федерации по согласованию с ФСБ, Роскомнадзором и Банком России.

  • Физические лица могут сами размещать свои биометрические данные с применением ЕСИА и загранпаспорта с чипом.

  • На текущий момент в ЕБС хранит информацию о лице и голосе, но он будет расширен. Состав биометрии определяет Правительство РФ.

  • Обработка биометрии (и работа с ЕБС) должна осуществляться в соответствии с требованиями к защите биометрических персональных данных.

  • Проверить организации могут ФСБ, ФСТЭК, Роскомнадзор, Банк России в рамках своих компетенций.

  • Минцифры России определяет

    • требования к работе с ЕБС (сбор биометрии, хранение и т.д.)

    • определяет формы подтверждения соответствия технических средств требованиям

    • определяет методики проверки качества биометрических данных

    • определяет перечень угроз безопасности актуальных при обработке биометрических персональных данных

    • распространяет на безвозмездной основе для физических и юридических лиц программное средство криптографической защиты информации (СКЗИ, сертифицированное ФСБ), необходимое для работы с ЕБС

    • обеспечивает работу с биометрией в МФЦ

    • осуществляет аккредитацию организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц

  • Оператор ЕБС (Ростелеком)

    • обеспечивает взаимодействие с внешними пользователями ЕБС

    • предоставляет по запросу в МВД, ФСБ сведения из ЕБС

    • по требованию физического лица (или государственных специальных служб) удаляет биометрию из ЕБС

    • ведет реестр пользователей (государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов) ЕБС

  • Разделены организации, которые проводят по биометрии идентификацию и (или) аутентификацию и те, которые проводят только аутентификацию (т.е. пользователь предварительно идентифицируется иными способами).

  • Запрещены сбор и обработка биометрии в иных системах, но допускаются в установленных Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации случаях (похоже, для крупных операторов биометрических данных, например, таких как Сбербанк) при условии:

    • выполнения требования по обеспечению безопасности

    • выполнения требований закона от 26 июля 2017 года N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и подключения к ГосСОПКА

    • прохождения аккредитации в Минцифры России

  • Все системы с биометрией должны либо подключиться к ЕБС, сдав туда ранее собранную биометрию, либо добиться исключения (по решению Правительства), либо прекратить работу с биометрией.

  • Организации и их руководство не входят в перечни причастности к экстремистской деятельности, терроризму или распространению оружия массового уничтожения.

  • У руководства организации отсутствует неснятая или непогашенная судимость.

  • В отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице.

  • Должна быть обеспечена защита каналов передачи данных с применением СКЗИ.

  • Тарифы (в том числе обязательный «кэшбек» для поставщиков биометрии) устанавливает Ростелеком, но в соответствии с методикой расчета взимания платы, утвержденной Минцифры России по согласованию с Банком России.

  • Организации могут пользоваться информационными системами аккредитованных на работу с биометрией организаций, при условии выполнения ими основных требований (по сути, всё кроме аккредитации Минцифры России).

  • Аккредитация осуществляется при выполнении организацией следующих условий:

    • доля иностранного участия менее 49% (если это не особый случай, определяемый Правительством

    • минимальный размер капитала не менее 50 млн рублей

    • наличия страховки от неправильной аутентификации в размере не менее 50 млн рублей

    • наличие лицензии ФСБ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств

    • наличие права собственности на аппаратные СКЗИ

    • наличие в штате не менее двух работников, имеющих высшее образование в области информационных технологий или информационной безопасности

    • соответствие требованиям к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа, установленным Минцифры России

    • соответствие дополнительным требованиям единоличного исполнительного органа, таким как наличие гражданства РФ, отсутствие неснятой или непогашенной судимости, не привлечение в течение пяти лет, предшествующих дню подачи заявления об аккредитации, к уголовной ответственности в соответствии со статьями 183 и 283 УК РФ за незаконные получение и разглашение сведений, составляющих государственную, коммерческую, налоговую или банковскую тайну, отсутствие в перечнях сведений о причастности к терроризму и т.д.

    • в отношении организации, претендующей на получение аккредитации, не была досрочно прекращена ее аккредитация в течение трех лет, предшествующих дню подачи нового заявления

    • лицо, имеющее право действовать без доверенности от имени организации, претендующей на получение аккредитации, не являлось лицом, имевшим право действовать без доверенности от имени иной организации, осуществляющей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, аккредитация которой досрочно прекращена в течение трех лет, предшествующих дню подачи заявления.

  • Предъявляются дополнительные повышенные требования к организациям, осуществляющим идентификацию либо идентификацию и аутентификацию:

    • минимальный размер капитала не менее 500 млн рублей

    • наличия страховки от неправильной проверки биометрии в размере не менее 100 млн рублей

    • подключение к ГосСОПКА

  • Плановые проверки Минцифры России в отношении аккредитованных организаций должны проводиться не реже чем один раз в три года.


Следующий документ - постановление Правительства №1799 от 20.10.2021 определяет правила аккредитации организаций, работающих с биометрическими персональными данными. Данные правила определяют требования к форме заявки на аккредитацию и сопутствующие документы, подтверждающие выполнение требований к организациям, а также регламентируют сроки рассмотрения заявки и фиксацию аккредитации в специализированном перечне аккредитованных организаций. Отдельно хотелось бы обратить внимание на требования к иностранным организациям – от них требуют размещения технических средств на территории РФ и не являться представителями иностранного государства, включенного в перечень иностранных государств, совершающих недружественные действия в отношении РФ, её граждан и юридических лиц.


В постановлении Правительства №1815 от 23.10.2021, в свою очередь, определен перечень случаев осуществления сбора и обработки, используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций – некий белый список применения информационных систем, использующих биометрию, в частности для идентификации (аутентификации):

  • водителей легкового такси

  • водителей каршеринга (для аренды до 24 часов)

  • при проходе на территорию организаций посредством СКУД на территории данных организаций, кроме организаций оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры, субъектам критической информационной инфраструктуры, объектов, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями, режимных объектов, дошкольных образовательных организаций и общеобразовательных организаций

  • при участии в собрании участников гражданско-правового сообщества


Также приказом Минцифры РФ №930 от 10.09.2021 определен порядок обработки биометрии, где стоит обратить внимание на следующие особенности:

  • указано требование (для неподнадзорных Банку России) по информированию Минцифры России о выявленных инцидентах ИБ, не позднее 1 рабочего дня

  • требование по ежегодной оценке соответствия требованиям по защите информации внешней организацией с лицензией и информирование о результатах Минцифры России

  • определены технические требования к биометрии (изображениям и голосу), такие как разрешение, глубина цвета, углы поворота головы, освещенность, форматы данных, уровень сигнал-шум для голоса, качество и т.д.

  • проверка качества осуществляется с помощью ПО, предоставленного Ростелекомом. Некачественная биометрия не должна собираться.

  • не допускается хранение биометрии (в целях идентификации/аутентификации) кроме как в ЕБС

  • использование должны быть только биометрии не старше 5 лет

  • определены максимальные (допустимые) вероятности ложного совпадения для разных случаев анализа биометрии

  • требование по использованию не менее 5 разных алгоритмов обнаружения атаки на биометрическое предъявление


При анализе этого набора требований также возникает вопрос функционального характера – а как быть автономным системам распознавания, например, лиц (например, такая возможность сейчас есть в умных домофонах)? Такие технологии, по сути, теперь запрещены.


Как мы видим, на текущий момент обеспечено жесткое регулирование и ограничение биометрических технологий, что повышает безопасность. Однако, такое ограничение может вызвать отставание РФ в этих технологиях – будут значительно осложнены развитие новых направлений, апробация и, самое главное, космически повышен порог входа на данный рынок.




Что такое биометрические персональные данные?

Биометрические персональные данные представляют собой уникальные физиологические и биологические характеристики человека, которые могут быть использованы для его идентификации. Эти характеристики включают в себя отпечатки пальцев, сканирование лица, радужку глаза, голосовые анализы, геометрию руки и другие биометрические параметры.

Главная особенность биометрических данных заключается в их уникальности. Ни у каких двух людей не существует абсолютно одинаковых биометрических характеристик, что делает их идеальным инструментом для аутентификации и идентификации. Когда биометрические персональные данные используются для доступа к системам или данных, это повышает уровень безопасности и устраняет проблему с утерей или кражей паролей.


Применение биометрических персональных данных

1. Аутентификация: Одним из наиболее распространенных способов использования биометрических персональных данных является аутентификация пользователя. С помощью сканирования отпечатков пальцев или распознавания лица, устройства могут убедиться в том, что доступ предоставляется только уполномоченному лицу.

2. Безопасность мобильных устройств: Многие современные смартфоны и планшеты оборудованы сенсорами для сканирования отпечатков пальцев или распознавания лица. Это делает устройства более защищенными и предотвращает несанкционированный доступ.

3. Защита данных: Биометрические персональные данные также могут использоваться для защиты конфиденциальных данных. Например, биометрический сканер может быть интегрирован в систему доступа к серверам с важной корпоративной информацией.

4. Замена паролей: Биометрические данные предоставляют возможность забыть о сложных паролях и PIN-кодах. Вместо этого, вы можете использовать свои уникальные биометрические характеристики для доступа к вашим устройствам и данным.

5. Медицинская безопасность: В медицинских учреждениях биометрические персональные данные могут использоваться для обеспечения безопасности доступа к медицинским записям и личным данным пациентов.


Особенности биометрических данных

Однако, несмотря на все преимущества, связанные с использованием биометрических персональных данных, существуют и определенные риски. Например, биометрические данные могут быть скомпрометированы в случае утечки, и их нельзя сменить, как пароль или PIN-код. Поэтому защита и шифрование биометрических данных становятся критически важными задачами.


Подкасты ИБ Угрозы ИБ ГОСТы и документы ИБ

Рекомендуем

Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Пентесты
Пентесты
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
False или не false?
False или не false?
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust

Рекомендуем

Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Пентесты
Пентесты
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
False или не false?
False или не false?
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust

Похожие статьи

Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Сертификация ФСТЭК
Сертификация ФСТЭК
Обзор Баз данных угроз
Обзор Баз данных угроз
Уязвимости
Уязвимости
Динамические плейбуки
Динамические плейбуки
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust

Похожие статьи

Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Сертификация ФСТЭК
Сертификация ФСТЭК
Обзор Баз данных угроз
Обзор Баз данных угроз
Уязвимости
Уязвимости
Динамические плейбуки
Динамические плейбуки
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust