Защита биометрических персональных данных
Содержание данной статьи проверено и подтверждено:
Музалевский Федор Александрович
Ведущий эксперт компьютерно-технического направленияПерсональные данные (далее — ПДн) — это личные сведения о человеке, с помощью которых можно понять, что это конкретный человек, то есть идентифицировать его (например, паспортные данные). Как правило, человека, который предоставляет свои данные, называют субъектом ПДн.
Биометрические персональные данные — это?
Биометрические персональные данные — это данные, которые характеризуют физические и биологические особенности человека. С их помощью можно установить личность человека. Это может быть фото или голос субъекта. Важно понимать, что состояние здоровья относится к категории специальных, а не биометрических ПДн. Категории ПДн приведены в ФЗ № 152.
Что относится к биометрическим персональным данным?
Исчерпывающего перечня по данному вопросу нет. Основываясь на определении, представленном в ст. 11 ФЗ №152-ФЗ «О персональных данных» , к биометрическим данным можно отнести:
- черты лица;
- сетчатку глаза;
- отпечатки пальцев;
- голос;
- и другие сведения, .
Что относится к биометрической системе защиты?
Биометрические системы защиты подразделяются на:
- статические;
- динамические
К первому виду относятся:
- дактилоскопия (распознавание субъекта по отпечатку пальца);
- сканирование радужной оболочки и сетчатки глаза;
- сканирование геометрии лица и тела.
Динамические системы защиты анализируют биометрические данные, основываясь на поведении субъекта, и включают в себя:
- распознавание голоса;
- сканирование графического почерка человека.
Согласие на обработку биометрических данных
Как гласит ст. 11 ФЗ №152 – обработка биометрических персональных данных допускается только при наличии согласия на это субъекта. Согласие на обработку биометрических данных – это разрешение субъекта ПДн в письменной форме, которое он дает на сбор, обработку, хранение и использование своих биометрических данных. Данный документ также предоставляет гарантию того, что предоставленная им информация будет защищена от несанкционированного доступа и будет использована только в определенных целях. Отсутствие такого документа может повлечь ответственность в виде штрафа.
Обработка, хранение и защита биометрических персональных данных: требования к материальным носителям биометрических персональных данных
Согласно 152-ФЗ персональные сведения могут храниться не дольше, чем этого требуют цели их обработки, после чего они должны быть удалены или обезличены. Храниться биометрия может в информационных системах (далее — ИС), либо же вне ИС на материальных носителях информации (далее – МНИ). К МНИ могут относиться флешки, диски и т. д. Важно указать, что бумажные носители не являются МНИ.
В случаи использования МНИ, к ним и к технологиям хранения должны применяться требования защиты. Данные требования приведены в Постановлении от 6 июля 2008 г. №512 (далее – П 512).
МНИ должны обеспечивать:
- невозможность несанкционированного доступа;
- идентификацию ИС, в которую была записана данная биометрия;
- доступ к данным для уполномоченных лиц;
- защиту от несанкционированного изменения, записи или дополнения.
Технологии хранения биометрии вне ИС должны обеспечивать:
- доступ к данным для уполномоченных лиц;
- применение электронной цифровой подписи или других технологий для обеспечения целостности и неизменности данных на МНИ;
- проверку наличия согласия субъекта на обработку биометрии.
Основной сферой, в которой актуально использование биометрических ПДн, является банковская сфера. В банке может быть развернута так называемая Единая биометрическая система (далее – ЕБС). Это совсем небольшой выделенный сегмент в организации, в котором происходит сбор, обработка и хранение биометрии. Все данные из ЕБС передаются в Единую систему идентификации и аутентификации (далее – ЕСИА).
Защита биометрических ПДн и закон
ЕБС необходимо защищать в соответствии с 453 Приказом Минцифры (далее – 453 Приказ). В нем содержатся правила обработки биометрии, размещения и обновления, а также требования к информационным технологиям и техническим средствам, которые собирают и обрабатывают данные. Биометрические образцы нельзя снимать подручными средствами, данный Приказ определяет характеристики для изображения лица и голоса субъекта ПДн.
Обязательным условием сдачи биометрии является регистрация физического лица, которое сдает свою биометрию, в ЕСИА. Если лицо там не зарегистрировано, то организация предлагает это сделать, при наличии заявления, прямо на месте.
Произвести обновление биологической персональной информации можно по предложению самого физического лица, а также по истечению 3-х лет с момента предоставления свидетельств.
От чего необходимо защищать биометрические персональные данные?
Разобраться с этим нам поможет Приказ №494, в котором содержится перечень актуальных угроз безопасности при обработке биометрии. Но данный документ определяет угрозы для биометрии, которая обрабатывается в государственных органах, органах местного самоуправления, и организациях, но не в сегменте ЕБС банков.
Для определения угроз безопасности в сегменте ЕБС необходимо пользоваться Указанием Банка России и ПАО «Ростелеком» №4859 -У/01/01/782-18 (далее – Указание №4859).
Самыми главными угрозами является угрозы:
- целостности;
- конфиденциальности;
- доступности;
- НСД.
Также ЦБ приводит Методические рекомендации № 4-МР, которые содержат в себе информацию по нейтрализации банками актуальных угроз безопасности. Документ содержит в себе рекомендации для обеспечения безопасности на этапе сбора и обработки биометрических ПДн.
Для защиты биометрии банкам рекомендуется применять сертифицированные СЗИ и СКЗИ, выделять сегмент ЕБС и реализовывать для него стандартный уровень защиты информации в соответствии с ГОСТ 57580.1–2017. Также необходимо обеспечить реализацию мер 453 Приказа.
Защита биометрических данных: основные моменты
Подводя итог можно выделить главные документы, которые регламентируют обработку, хранение и защиту биометрических ПДн:
- 149 ФЗ;
- 152 ФЗ;
- 453 Приказ Минцифры;
- Постановление 512;
- 494 Приказ;
- Указание № 4859-У/01/01/782-18;
- №4-МР.
Сбор биометрии очень важен для дальнейшего развития технологий. Достаточно сказать слово, чтобы оформить кредит или посмотреть в камеру, чтобы оплатить проезд в метро. Но стоит помнить о рисках, которые возрастают с такой же невероятной скоростью, с которой наступает будущее.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram