Защита биометрических персональных данных

Персональные данные (далее ПДн) — это личные сведения о человеке, с помощью которых можно понять, что это конкретный человек, то есть идентифицировать его (например, паспортные данные). Как правило, человека, который предоставляет свои данные, называют субъектом ПДн.

Биометрические персональные данные — это данные, которые характеризуют физические и биологические особенности человека. С их помощью можно установить личность человека. Это может быть фото или голос субъекта. Важно понимать, что состояние здоровья относится к категории специальных, а не биометрических ПДн. Категории ПДн приведены в ФЗ № 152.

Хранение и защита биометрических данных

Согласно 152-ФЗ персональные сведенья могут храниться не дольше, чем этого требуют цели их обработки, после чего они должны быть удалены или обезличены. Храниться биометрия может в информационных системах (далее – ИС), либо же вне ИС на материальных носителях информации (далее – МНИ). К МНИ могут относиться флешки, диски и т. д. Важно указать, что бумажные носители не являются МНИ.

В случаи использования МНИ, к ним и к технологиям хранения должны применяться требования защиты. Данные требования приведены в Постановлении от 6 июля 2008 г. №512 (далее – П 512).

МНИ должны обеспечивать:

• невозможность НСД;
• идентификацию ИС, в которую была записана данная биометрия;
• доступ к данным для уполномоченных лиц;
• защиту от несанкционированного изменения, записи или дополнения.

Технологии хранения биометрии вне ИС должны обеспечивать:

• доступ к данным для уполномоченных лиц;
• применение электронной цифровой подписи или других технологий для обеспечения целостности и неизменности данных на МНИ;
• проверку наличия согласия субъекта на обработку биометрии.

Основной сферой, в которой актуально использование биометрических ПДн, является банковская сфера. В банке может быть развернута так называемая Единая биометрическая система (далее – ЕБС). Это совсем небольшой выделенный сегмент в организации, в котором происходит сбор, обработка и хранение биометрии. Все данные из ЕБС передаются в Единую систему идентификации и аутентификации (далее – ЕСИА).

Защита биометрических данных и закон

ЕБС необходимо защищать в соответствии с 321 Приказом Минкомсвязи (далее – 321 Приказ). В нем содержатся правила обработки биометрии, размещения и обновления, а также требования к информационным технологиям и техническим средствам, которые собирают и обрабатывают данные. Биометрические образцы нельзя снимать подручными средствами, данный Приказ определяет характеристики для изображения лица и голоса субъекта ПДн.

Обязательным условием сдачи биометрии является регистрация физического лица, которое сдает свою биометрию, в ЕСИА. Если лицо там не зарегистрировано, то организация предлагает это сделать, при наличии заявления, прямо на месте.

Произвести обновление биологической персональной информации можно по предложению самого физического лица, а также по истечению 3-х лет с момента предоставления свидетельств.

От чего необходимо защищать биометрические данные?

Разобраться с этим нам поможет Приказ №494, в котором содержится перечень актуальных угроз безопасности при обработке биометрии. Но данный документ определяет угрозы для биометрии, которая обрабатывается в государственных органах, органах местного самоуправления, и организациях, но не в сегменте ЕБС банков.

Для определения угроз безопасности в сегменте ЕБС необходимо пользоваться Указанием Банка России и ПАО «Ростелеком» №4859 -У/01/01/782-18 (далее – Указание №4859).

Самыми главными угрозами является угрозы:

• целостности;
• конфиденциальности;
• доступности;
• НСД.

Также ЦБ приводит Методические рекомендации № 4-МР, которые содержат в себе информацию по нейтрализации банками актуальных угроз безопасности. Документ содержит в себе рекомендации для обеспечения безопасности на этапе сбора и обработки биометрических ПДн.

Для защиты биометрии банкам рекомендуется применять сертифицированные СЗИ и СКЗИ, выделять сегмент ЕБС и реализовывать для него стандартный уровень защиты информации в соответствии с ГОСТ 57580.1–2017. Также необходимо обеспечить реализацию мер 321 Приказа.

Защита биометрических данных: основные моменты

Подводя итог можно выделить главные документы, которые регламентируют обработку, хранение и защиту биометрических ПДн:

• 149 ФЗ;
• 152 ФЗ;
• 321 Приказ Минкомсвязи;
• Постановление 512;
• 494 Приказ;
• Указание № 4859-У/01/01/782-18;
• №4-МР.

Сбор биометрии очень важен для дальнейшего развития технологий. Достаточно сказать слово, чтобы оформить кредит или посмотреть в камеру, чтобы оплатить проезд в метро. Но стоит помнить о рисках, которые возрастают с такой же невероятной скоростью, с которой наступает будущее.