Изменения в регулировании обработки биометрических персональных данных и их влияние на рынок

Изменения в регулировании обработки биометрических персональных данных и их влияние на рынок


  |  Слушать на Apple Podcasts  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   Слушать на Castbox  |   Слушать на Podcast Addict  |   Слушать на Pocket cast  |  

Руслан Рахметов, Security Vision

К сфере обработки биометрических данных (а это, в первую очередь применение технологий распознавания по лицу и голосу) в последние несколько лет значительно повысился интерес со стороны государства. Это внимание обусловлено как возможностями, предоставляемыми данными технологиями, так и новыми (порожденными) угрозами.

Если же говорить про новые возможности, то это упрощение процесса и повышение точности аутентификации человека, что удобно пользователям и выгодно бизнесу. При этом данные технологии позволяют в полной мере реализовать удаленную аутентификацию. Применительно к кредитно-финансовой сфере это вылилось в выделение данного направления в приоритетные на уровне Центрального банка и инициирование (совместно с Минсвязи) создания Единой биометрической системы (ЕБС). Разработчик и оператор ЕБС – Ростелеком.

Данная система по задумке должна была оказать положительный эффект на кредитно-финансовую сферу в плане упрощения конкуренции между организациями - поставщиками финансовых услуг и как следствие снижения для населения стоимости оказываемых услуг и возможность небольшим организациям проще привлекать клиентов. При этом появлялись и новые угрозы, связанные с перехватом, внесением изменений в процесс аутентификации и даже с подделкой биометрии (грим, технология deep fake и т.д.).

В целях минимизации рисков информационной безопасности ЕБС создана с применением комплекса технических, организационных и технологических мер. А для банков (бизнес-пользователей) мегарегулятор отдельно выпустил Указание Банка России от 9 июля 2018 г. № 4859-У с перечнем актуальных угроз и Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации. Для мотивации применения ЕБС была проработана тарифная политика с элементами «кэшбека», когда за использование биометрии взимается плата с организации и 50% от неё передается в организацию, собравшую и предоставившую в ЕБС образцы биометрических персональных данных. Также через требования обеспечено принудительное оборудование отделений банков местами сдачи биометрии – в Федеральном законе от 7 августа 2001 г. N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» установлена обязательная возможность использования ЕБС для удаленной идентификации. На текущий момент решение, судя по статистике, не особо выгодно банкам – оно в самом простом варианте обходится в сумму от 1 миллиона рублей, а количество биометрических экземпляров равно приблизительно 200 тысячам и растет медленными темпами. Судя по заявлениям властей, на первый план выходит обеспечение безопасности биометрических данных, и все мероприятия будут сводиться к централизации обработки биометрии и защиты её в одном месте, что в целом вызывает понимание – с точки зрения обеспечения конфиденциальности преимущества хранения и проверки биометрии в единой системе налицо. Создание единой государственной системы на базе Единой биометрической системы (ЕГБС) и работа только с ней сильно меняет текущий «ландшафт» технологий, применяющих биометрические персональные данные – все коммерческие системы будут должны обеспечить интеграцию с ЕГБС и работать не с самой биометрией, а с векторами.

На текущий момент в целях реализации этой политики внесены изменения (часть требований вступает в силу с 01.09.2022) в 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», а также опубликованы постановления Правительства (№1815 от 23.10.2021, №1799 от 20.10.2021) и приказ Минцифры РФ (№930 от 10.09.2021), в соответствии с которым определен ряд требований и особенностей функционирования. Рассмотрим ключевые.

На что хотелось бы обратить внимание в 149-ФЗ:

  • Работа ЕБС, по сути, определяется Правительством Российской Федерации по согласованию с ФСБ, Роскомнадзором и Банком России.

  • Физические лица могут сами размещать свои биометрические данные с применением ЕСИА и загранпаспорта с чипом.

  • На текущий момент в ЕБС хранит информацию о лице и голосе, но он будет расширен. Состав биометрии определяет Правительство РФ.

  • Обработка биометрии (и работа с ЕБС) должна осуществляться в соответствии с требованиями к защите биометрических персональных данных.

  • Проверить организации могут ФСБ, ФСТЭК, Роскомнадзор, Банк России в рамках своих компетенций.

  • Минцифры России определяет
    • требования к работе с ЕБС (сбор биометрии, хранение и т.д.)
    • определяет формы подтверждения соответствия технических средств требованиям
    • определяет методики проверки качества биометрических данных
    • определяет перечень угроз безопасности актуальных при обработке биометрических персональных данных
    • распространяет на безвозмездной основе для физических и юридических лиц программное средство криптографической защиты информации (СКЗИ, сертифицированное ФСБ), необходимое для работы с ЕБС
    • обеспечивает работу с биометрией в МФЦ
    • осуществляет аккредитацию организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц
  • Оператор ЕБС (Ростелеком)
    • обеспечивает взаимодействие с внешними пользователями ЕБС
    • предоставляет по запросу в МВД, ФСБ сведения из ЕБС
    • по требованию физического лица (или государственных специальных служб) удаляет биометрию из ЕБС
    • ведет реестр пользователей (государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов) ЕБС
  • Разделены организации, которые проводят по биометрии идентификацию и (или) аутентификацию и те, которые проводят только аутентификацию (т.е. пользователь предварительно идентифицируется иными способами).

  • Запрещены сбор и обработка биометрии в иных системах, но допускаются в установленных Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации случаях (похоже, для крупных операторов биометрических данных, например, таких как Сбербанк) при условии:
    • выполнения требования по обеспечению безопасности
    • выполнения требований закона от 26 июля 2017 года N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и подключения к ГосСОПКА
    • прохождения аккредитации в Минцифры России
  • Все системы с биометрией должны либо подключиться к ЕБС, сдав туда ранее собранную биометрию, либо добиться исключения (по решению Правительства), либо прекратить работу с биометрией.
  • Организации и их руководство не входят в перечни причастности к экстремистской деятельности, терроризму или распространению оружия массового уничтожения.
  • У руководства организации отсутствует неснятая или непогашенная судимость.
  • В отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице.
  • Должна быть обеспечена защита каналов передачи данных с применением СКЗИ.
  • Тарифы (в том числе обязательный «кэшбек» для поставщиков биометрии) устанавливает Ростелеком, но в соответствии с методикой расчета взимания платы, утвержденной Минцифры России по согласованию с Банком России.
  • Организации могут пользоваться информационными системами аккредитованных на работу с биометрией организаций, при условии выполнения ими основных требований (по сути, всё кроме аккредитации Минцифры России).
  • Аккредитация осуществляется при выполнении организацией следующих условий:
    • доля иностранного участия менее 49% (если это не особый случай, определяемый Правительством
    • минимальный размер капитала не менее 50 млн рублей
    • наличия страховки от неправильной аутентификации в размере не менее 50 млн рублей
    • наличие лицензии ФСБ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств
    • наличие права собственности на аппаратные СКЗИ
    • наличие в штате не менее двух работников, имеющих высшее образование в области информационных технологий или информационной безопасности
    • соответствие требованиям к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа, установленным Минцифры России
    • соответствие дополнительным требованиям единоличного исполнительного органа, таким как наличие гражданства РФ, отсутствие неснятой или непогашенной судимости, не привлечение в течение пяти лет, предшествующих дню подачи заявления об аккредитации, к уголовной ответственности в соответствии со статьями 183 и 283 УК РФ за незаконные получение и разглашение сведений, составляющих государственную, коммерческую, налоговую или банковскую тайну, отсутствие в перечнях сведений о причастности к терроризму и т.д.
    • в отношении организации, претендующей на получение аккредитации, не была досрочно прекращена ее аккредитация в течение трех лет, предшествующих дню подачи нового заявления
    • лицо, имеющее право действовать без доверенности от имени организации, претендующей на получение аккредитации, не являлось лицом, имевшим право действовать без доверенности от имени иной организации, осуществляющей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, аккредитация которой досрочно прекращена в течение трех лет, предшествующих дню подачи заявления.
  • Предъявляются дополнительные повышенные требования к организациям, осуществляющим идентификацию либо идентификацию и аутентификацию:
    • минимальный размер капитала не менее 500 млн рублей
    • наличия страховки от неправильной проверки биометрии в размере не менее 100 млн рублей
    • подключение к ГосСОПКА
  • Плановые проверки Минцифры России в отношении аккредитованных организаций должны проводиться не реже чем один раз в три года.

Следующий документ - постановление Правительства №1799 от 20.10.2021 определяет правила аккредитации организаций, работающих с биометрическими персональными данными. Данные правила определяют требования к форме заявки на аккредитацию и сопутствующие документы, подтверждающие выполнение требований к организациям, а также регламентируют сроки рассмотрения заявки и фиксацию аккредитации в специализированном перечне аккредитованных организаций. Отдельно хотелось бы обратить внимание на требования к иностранным организациям – от них требуют размещения технических средств на территории РФ и не являться представителями иностранного государства, включенного в перечень иностранных государств, совершающих недружественные действия в отношении РФ, её граждан и юридических лиц.

В постановлении Правительства №1815 от 23.10.2021, в свою очередь, определен перечень случаев осуществления сбора и обработки, используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций – некий белый список применения информационных систем, использующих биометрию, в частности для идентификации (аутентификации):

  • водителей легкового такси
  • водителей каршеринга (для аренды до 24 часов)
  • при проходе на территорию организаций посредством СКУД на территории данных организаций, кроме организаций оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры, субъектам критической информационной инфраструктуры, объектов, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями, режимных объектов, дошкольных образовательных организаций и общеобразовательных организаций
  • при участии в собрании участников гражданско-правового сообщества

Также приказом Минцифры РФ №930 от 10.09.2021 определен порядок обработки биометрии, где стоит обратить внимание на следующие особенности:

  • указано требование (для неподнадзорных Банку России) по информированию Минцифры России о выявленных инцидентах ИБ, не позднее 1 рабочего дня

  • требование по ежегодной оценке соответствия требованиям по защите информации внешней организацией с лицензией и информирование о результатах Минцифры России

  • определены технические требования к биометрии (изображениям и голосу), такие как разрешение, глубина цвета, углы поворота головы, освещенность, форматы данных, уровень сигнал-шум для голоса, качество и т.д.

  • проверка качества осуществляется с помощью ПО, предоставленного Ростелекомом. Некачественная биометрия не должна собираться.

  • не допускается хранение биометрии (в целях идентификации/аутентификации) кроме как в ЕБС

  • использование должны быть только биометрии не старше 5 лет

  • определены максимальные (допустимые) вероятности ложного совпадения для разных случаев анализа биометрии

  • требование по использованию не менее 5 разных алгоритмов обнаружения атаки на биометрическое предъявление

При анализе этого набора требований также возникает вопрос функционального характера – а как быть автономным системам распознавания, например, лиц (например, такая возможность сейчас есть в умных домофонах)? Такие технологии, по сути, теперь запрещены.

Как мы видим, на текущий момент обеспечено жесткое регулирование и ограничение биометрических технологий, что повышает безопасность. Однако, такое ограничение может вызвать отставание РФ в этих технологиях – будут значительно осложнены развитие новых направлений, апробация и, самое главное, космически повышен порог входа на данный рынок.


Интересные публикации