SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок

Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
17.01.2022

|  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


К сфере обработки биометрических данных (а это, в первую очередь применение технологий распознавания по лицу и голосу) в последние несколько лет значительно повысился интерес со стороны государства. Это внимание обусловлено как возможностями, предоставляемыми данными технологиями, так и новыми (порожденными) угрозами.


Если же говорить про новые возможности, то это упрощение процесса и повышение точности аутентификации человека, что удобно пользователям и выгодно бизнесу. При этом данные технологии позволяют в полной мере реализовать удаленную аутентификацию. Применительно к кредитно-финансовой сфере это вылилось в выделение данного направления в приоритетные на уровне Центрального банка и инициирование (совместно с Минсвязи) создания Единой биометрической системы (ЕБС). Разработчик и оператор ЕБС – Ростелеком.


Данная система по задумке должна была оказать положительный эффект на кредитно-финансовую сферу в плане упрощения конкуренции между организациями - поставщиками финансовых услуг и как следствие снижения для населения стоимости оказываемых услуг и возможность небольшим организациям проще привлекать клиентов. При этом появлялись и новые угрозы, связанные с перехватом, внесением изменений в процесс аутентификации и даже с подделкой биометрии (грим, технология deep fake и т.д.).


В целях минимизации рисков информационной безопасности ЕБС создана с применением комплекса технических, организационных и технологических мер. А для банков (бизнес-пользователей) мегарегулятор отдельно выпустил Указание Банка России от 9 июля 2018 г. № 4859-У с перечнем актуальных угроз и Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации. Для мотивации применения ЕБС была проработана тарифная политика с элементами «кэшбека», когда за использование биометрии взимается плата с организации и 50% от неё передается в организацию, собравшую и предоставившую в ЕБС образцы биометрических персональных данных. Также через требования обеспечено принудительное оборудование отделений банков местами сдачи биометрии – в Федеральном законе от 7 августа 2001 г. N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» установлена обязательная возможность использования ЕБС для удаленной идентификации. На текущий момент решение, судя по статистике, не особо выгодно банкам – оно в самом простом варианте обходится в сумму от 1 миллиона рублей, а количество биометрических экземпляров равно приблизительно 200 тысячам и растет медленными темпами. Судя по заявлениям властей, на первый план выходит обеспечение безопасности биометрических данных, и все мероприятия будут сводиться к централизации обработки биометрии и защиты её в одном месте, что в целом вызывает понимание – с точки зрения обеспечения конфиденциальности преимущества хранения и проверки биометрии в единой системе налицо. Создание единой государственной системы на базе Единой биометрической системы (ЕГБС) и работа только с ней сильно меняет текущий «ландшафт» технологий, применяющих биометрические персональные данные – все коммерческие системы будут должны обеспечить интеграцию с ЕГБС и работать не с самой биометрией, а с векторами.


На текущий момент в целях реализации этой политики внесены изменения (часть требований вступает в силу с 01.09.2022) в 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», а также опубликованы постановления Правительства (№1815 от 23.10.2021, №1799 от 20.10.2021) и приказ Минцифры РФ (№930 от 10.09.2021), в соответствии с которым определен ряд требований и особенностей функционирования. Рассмотрим ключевые.


На что хотелось бы обратить внимание в 149-ФЗ:

  • Работа ЕБС, по сути, определяется Правительством Российской Федерации по согласованию с ФСБ, Роскомнадзором и Банком России.

  • Физические лица могут сами размещать свои биометрические данные с применением ЕСИА и загранпаспорта с чипом.

  • На текущий момент в ЕБС хранит информацию о лице и голосе, но он будет расширен. Состав биометрии определяет Правительство РФ.

  • Обработка биометрии (и работа с ЕБС) должна осуществляться в соответствии с требованиями к защите биометрических персональных данных.

  • Проверить организации могут ФСБ, ФСТЭК, Роскомнадзор, Банк России в рамках своих компетенций.

  • Минцифры России определяет

    • требования к работе с ЕБС (сбор биометрии, хранение и т.д.)

    • определяет формы подтверждения соответствия технических средств требованиям

    • определяет методики проверки качества биометрических данных

    • определяет перечень угроз безопасности актуальных при обработке биометрических персональных данных

    • распространяет на безвозмездной основе для физических и юридических лиц программное средство криптографической защиты информации (СКЗИ, сертифицированное ФСБ), необходимое для работы с ЕБС

    • обеспечивает работу с биометрией в МФЦ

    • осуществляет аккредитацию организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц

  • Оператор ЕБС (Ростелеком)

    • обеспечивает взаимодействие с внешними пользователями ЕБС

    • предоставляет по запросу в МВД, ФСБ сведения из ЕБС

    • по требованию физического лица (или государственных специальных служб) удаляет биометрию из ЕБС

    • ведет реестр пользователей (государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов) ЕБС

  • Разделены организации, которые проводят по биометрии идентификацию и (или) аутентификацию и те, которые проводят только аутентификацию (т.е. пользователь предварительно идентифицируется иными способами).

  • Запрещены сбор и обработка биометрии в иных системах, но допускаются в установленных Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации случаях (похоже, для крупных операторов биометрических данных, например, таких как Сбербанк) при условии:

    • выполнения требования по обеспечению безопасности

    • выполнения требований закона от 26 июля 2017 года N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и подключения к ГосСОПКА

    • прохождения аккредитации в Минцифры России

  • Все системы с биометрией должны либо подключиться к ЕБС, сдав туда ранее собранную биометрию, либо добиться исключения (по решению Правительства), либо прекратить работу с биометрией.

  • Организации и их руководство не входят в перечни причастности к экстремистской деятельности, терроризму или распространению оружия массового уничтожения.

  • У руководства организации отсутствует неснятая или непогашенная судимость.

  • В отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице.

  • Должна быть обеспечена защита каналов передачи данных с применением СКЗИ.

  • Тарифы (в том числе обязательный «кэшбек» для поставщиков биометрии) устанавливает Ростелеком, но в соответствии с методикой расчета взимания платы, утвержденной Минцифры России по согласованию с Банком России.

  • Организации могут пользоваться информационными системами аккредитованных на работу с биометрией организаций, при условии выполнения ими основных требований (по сути, всё кроме аккредитации Минцифры России).

  • Аккредитация осуществляется при выполнении организацией следующих условий:

    • доля иностранного участия менее 49% (если это не особый случай, определяемый Правительством

    • минимальный размер капитала не менее 50 млн рублей

    • наличия страховки от неправильной аутентификации в размере не менее 50 млн рублей

    • наличие лицензии ФСБ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств

    • наличие права собственности на аппаратные СКЗИ

    • наличие в штате не менее двух работников, имеющих высшее образование в области информационных технологий или информационной безопасности

    • соответствие требованиям к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа, установленным Минцифры России

    • соответствие дополнительным требованиям единоличного исполнительного органа, таким как наличие гражданства РФ, отсутствие неснятой или непогашенной судимости, не привлечение в течение пяти лет, предшествующих дню подачи заявления об аккредитации, к уголовной ответственности в соответствии со статьями 183 и 283 УК РФ за незаконные получение и разглашение сведений, составляющих государственную, коммерческую, налоговую или банковскую тайну, отсутствие в перечнях сведений о причастности к терроризму и т.д.

    • в отношении организации, претендующей на получение аккредитации, не была досрочно прекращена ее аккредитация в течение трех лет, предшествующих дню подачи нового заявления

    • лицо, имеющее право действовать без доверенности от имени организации, претендующей на получение аккредитации, не являлось лицом, имевшим право действовать без доверенности от имени иной организации, осуществляющей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, аккредитация которой досрочно прекращена в течение трех лет, предшествующих дню подачи заявления.

  • Предъявляются дополнительные повышенные требования к организациям, осуществляющим идентификацию либо идентификацию и аутентификацию:

    • минимальный размер капитала не менее 500 млн рублей

    • наличия страховки от неправильной проверки биометрии в размере не менее 100 млн рублей

    • подключение к ГосСОПКА

  • Плановые проверки Минцифры России в отношении аккредитованных организаций должны проводиться не реже чем один раз в три года.


Следующий документ - постановление Правительства №1799 от 20.10.2021 определяет правила аккредитации организаций, работающих с биометрическими персональными данными. Данные правила определяют требования к форме заявки на аккредитацию и сопутствующие документы, подтверждающие выполнение требований к организациям, а также регламентируют сроки рассмотрения заявки и фиксацию аккредитации в специализированном перечне аккредитованных организаций. Отдельно хотелось бы обратить внимание на требования к иностранным организациям – от них требуют размещения технических средств на территории РФ и не являться представителями иностранного государства, включенного в перечень иностранных государств, совершающих недружественные действия в отношении РФ, её граждан и юридических лиц.


В постановлении Правительства №1815 от 23.10.2021, в свою очередь, определен перечень случаев осуществления сбора и обработки, используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций – некий белый список применения информационных систем, использующих биометрию, в частности для идентификации (аутентификации):

  • водителей легкового такси

  • водителей каршеринга (для аренды до 24 часов)

  • при проходе на территорию организаций посредством СКУД на территории данных организаций, кроме организаций оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры, субъектам критической информационной инфраструктуры, объектов, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями, режимных объектов, дошкольных образовательных организаций и общеобразовательных организаций

  • при участии в собрании участников гражданско-правового сообщества


Также приказом Минцифры РФ №930 от 10.09.2021 определен порядок обработки биометрии, где стоит обратить внимание на следующие особенности:

  • указано требование (для неподнадзорных Банку России) по информированию Минцифры России о выявленных инцидентах ИБ, не позднее 1 рабочего дня

  • требование по ежегодной оценке соответствия требованиям по защите информации внешней организацией с лицензией и информирование о результатах Минцифры России

  • определены технические требования к биометрии (изображениям и голосу), такие как разрешение, глубина цвета, углы поворота головы, освещенность, форматы данных, уровень сигнал-шум для голоса, качество и т.д.

  • проверка качества осуществляется с помощью ПО, предоставленного Ростелекомом. Некачественная биометрия не должна собираться.

  • не допускается хранение биометрии (в целях идентификации/аутентификации) кроме как в ЕБС

  • использование должны быть только биометрии не старше 5 лет

  • определены максимальные (допустимые) вероятности ложного совпадения для разных случаев анализа биометрии

  • требование по использованию не менее 5 разных алгоритмов обнаружения атаки на биометрическое предъявление


При анализе этого набора требований также возникает вопрос функционального характера – а как быть автономным системам распознавания, например, лиц (например, такая возможность сейчас есть в умных домофонах)? Такие технологии, по сути, теперь запрещены.


Как мы видим, на текущий момент обеспечено жесткое регулирование и ограничение биометрических технологий, что повышает безопасность. Однако, такое ограничение может вызвать отставание РФ в этих технологиях – будут значительно осложнены развитие новых направлений, апробация и, самое главное, космически повышен порог входа на данный рынок.




Что такое биометрические персональные данные?

Биометрические персональные данные представляют собой уникальные физиологические и биологические характеристики человека, которые могут быть использованы для его идентификации. Эти характеристики включают в себя отпечатки пальцев, сканирование лица, радужку глаза, голосовые анализы, геометрию руки и другие биометрические параметры.

Главная особенность биометрических данных заключается в их уникальности. Ни у каких двух людей не существует абсолютно одинаковых биометрических характеристик, что делает их идеальным инструментом для аутентификации и идентификации. Когда биометрические персональные данные используются для доступа к системам или данных, это повышает уровень безопасности и устраняет проблему с утерей или кражей паролей.


Применение биометрических персональных данных

1. Аутентификация: Одним из наиболее распространенных способов использования биометрических персональных данных является аутентификация пользователя. С помощью сканирования отпечатков пальцев или распознавания лица, устройства могут убедиться в том, что доступ предоставляется только уполномоченному лицу.

2. Безопасность мобильных устройств: Многие современные смартфоны и планшеты оборудованы сенсорами для сканирования отпечатков пальцев или распознавания лица. Это делает устройства более защищенными и предотвращает несанкционированный доступ.

3. Защита данных: Биометрические персональные данные также могут использоваться для защиты конфиденциальных данных. Например, биометрический сканер может быть интегрирован в систему доступа к серверам с важной корпоративной информацией.

4. Замена паролей: Биометрические данные предоставляют возможность забыть о сложных паролях и PIN-кодах. Вместо этого, вы можете использовать свои уникальные биометрические характеристики для доступа к вашим устройствам и данным.

5. Медицинская безопасность: В медицинских учреждениях биометрические персональные данные могут использоваться для обеспечения безопасности доступа к медицинским записям и личным данным пациентов.


Особенности биометрических данных

Однако, несмотря на все преимущества, связанные с использованием биометрических персональных данных, существуют и определенные риски. Например, биометрические данные могут быть скомпрометированы в случае утечки, и их нельзя сменить, как пароль или PIN-код. Поэтому защита и шифрование биометрических данных становятся критически важными задачами.


Подкасты ИБ Угрозы ИБ ГОСТы и документы ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют