Защита биометрических персональных данных

Персональные данные (далее – ПДн) — это личные сведения о человеке, с помощью которых можно понять, что это конкретный человек, то есть идентифицировать его (например, паспортные данные). Как правило, человека, который предоставляет свои данные, называют субъектом ПДн.

Биометрические персональные данные – это?

Биометрические персональные данные — это данные, которые характеризуют физические и биологические особенности человека. С их помощью можно установить личность человека. Это может быть фото или голос субъекта. Важно понимать, что состояние здоровья относится к категории специальных, а не биометрических ПДн. Категории ПДн приведены в ФЗ № 152.

Что относится к биометрическим персональным данным?

Исчерпывающего перечня по данному вопросу нет. Основываясь на определении, представленном в ст. 11 ФЗ №152-ФЗ “О персональных данных” , к биометрическим данным можно отнести:

• черты лица;
• сетчатку глаза;
• отпечатки пальцев;
• голос;
• и другие сведения, характеризующие неотъемлемые особенности человека.

Что относится к биометрической системе защиты?

Биометрические системы защиты подразделяются на:

• статические;
• динамические

К первому виду относятся:

• дактилоскопия (распознавание субъекта по отпечатку пальца);
• сканирование радужной оболочки и сетчатки глаза;
• сканирование геометрии лица и тела.

Динамические системы защиты анализируют биометрические данные, основываясь на поведении субъекта, и включают в себя:

• распознавание голоса;
• сканирование графического почерка человека.

Согласие на обработку биометрических данных

Как гласит ст. 11 ФЗ №152 – обработка биометрических персональных данных допускается только при наличии согласия на это субъекта. Согласие на обработку биометрических данных – это разрешение субъекта ПДн в письменной форме, которое он дает на сбор, обработку, хранение и использование своих биометрических данных. Данный документ также предоставляет гарантию того, что предоставленная им информация будет защищена от несанкционированного доступа и будет использована только в определенных целях. Отсутствие такого документа может повлечь ответственность в виде штрафа.

Обработка, хранение и защита биометрических персональных данных: требования к материальным носителям биометрических персональных данных

Согласно 152-ФЗ персональные сведения могут храниться не дольше, чем этого требуют цели их обработки, после чего они должны быть удалены или обезличены. Храниться биометрия может в информационных системах (далее – ИС), либо же вне ИС на материальных носителях информации (далее – МНИ). К МНИ могут относиться флешки, диски и т. д. Важно указать, что бумажные носители не являются МНИ.

В случаи использования МНИ, к ним и к технологиям хранения должны применяться требования защиты. Данные требования приведены в Постановлении от 6 июля 2008 г. №512 (далее – П 512).

МНИ должны обеспечивать:

• невозможность несанкционированного доступа;
• идентификацию ИС, в которую была записана данная биометрия;
• доступ к данным для уполномоченных лиц;
• защиту от несанкционированного изменения, записи или дополнения.

Технологии хранения биометрии вне ИС должны обеспечивать:

• доступ к данным для уполномоченных лиц;
• применение электронной цифровой подписи или других технологий для обеспечения целостности и неизменности данных на МНИ;
• проверку наличия согласия субъекта на обработку биометрии.

Основной сферой, в которой актуально использование биометрических ПДн, является банковская сфера. В банке может быть развернута так называемая Единая биометрическая система (далее – ЕБС). Это совсем небольшой выделенный сегмент в организации, в котором происходит сбор, обработка и хранение биометрии. Все данные из ЕБС передаются в Единую систему идентификации и аутентификации (далее – ЕСИА).

Защита биометрических ПДн и закон

ЕБС необходимо защищать в соответствии с 453 Приказом Минцифры (далее – 453 Приказ). В нем содержатся правила обработки биометрии, размещения и обновления, а также требования к информационным технологиям и техническим средствам, которые собирают и обрабатывают данные. Биометрические образцы нельзя снимать подручными средствами, данный Приказ определяет характеристики для изображения лица и голоса субъекта ПДн.

Обязательным условием сдачи биометрии является регистрация физического лица, которое сдает свою биометрию, в ЕСИА. Если лицо там не зарегистрировано, то организация предлагает это сделать, при наличии заявления, прямо на месте.

Произвести обновление биологической персональной информации можно по предложению самого физического лица, а также по истечению 3-х лет с момента предоставления свидетельств.

От чего необходимо защищать биометрические персональные данные?

Разобраться с этим нам поможет Приказ №494, в котором содержится перечень актуальных угроз безопасности при обработке биометрии. Но данный документ определяет угрозы для биометрии, которая обрабатывается в государственных органах, органах местного самоуправления, и организациях, но не в сегменте ЕБС банков.

Для определения угроз безопасности в сегменте ЕБС необходимо пользоваться Указанием Банка России и ПАО «Ростелеком» №4859 -У/01/01/782-18 (далее – Указание №4859).

Самыми главными угрозами является угрозы:

• целостности;
• конфиденциальности;
• доступности;
• НСД.

Также ЦБ приводит Методические рекомендации № 4-МР, которые содержат в себе информацию по нейтрализации банками актуальных угроз безопасности. Документ содержит в себе рекомендации для обеспечения безопасности на этапе сбора и обработки биометрических ПДн.

Для защиты биометрии банкам рекомендуется применять сертифицированные СЗИ и СКЗИ, выделять сегмент ЕБС и реализовывать для него стандартный уровень защиты информации в соответствии с ГОСТ 57580.1–2017. Также необходимо обеспечить реализацию мер 453 Приказа.

Защита биометрических данных: основные моменты

Подводя итог можно выделить главные документы, которые регламентируют обработку, хранение и защиту биометрических ПДн:

• 149 ФЗ;
• 152 ФЗ;
• 453 Приказ Минцифры;
• Постановление 512;
• 494 Приказ;
• Указание № 4859-У/01/01/782-18;
• №4-МР.

Сбор биометрии очень важен для дальнейшего развития технологий. Достаточно сказать слово, чтобы оформить кредит или посмотреть в камеру, чтобы оплатить проезд в метро. Но стоит помнить о рисках, которые возрастают с такой же невероятной скоростью, с которой наступает будущее.