Защита биометрических персональных данных

Содержание данной статьи проверено и подтверждено:

Персональные данные (далее — ПДн) — это личные сведения о человеке, с помощью которых можно понять, что это конкретный человек, то есть идентифицировать его (например, паспортные данные). Как правило, человека, который предоставляет свои данные, называют субъектом ПДн.

Биометрические персональные данные — это?

Биометрические персональные данные — это данные, которые характеризуют физические и биологические особенности человека. С их помощью можно установить личность человека. Это может быть фото или голос субъекта. Важно понимать, что состояние здоровья относится к категории специальных, а не биометрических ПДн. Категории ПДн приведены в ФЗ № 152.

Что относится к биометрическим персональным данным?

Исчерпывающего перечня по данному вопросу нет. Основываясь на определении, представленном в ст. 11 ФЗ №152-ФЗ «О персональных данных» , к биометрическим данным можно отнести:

  • черты лица;
  • сетчатку глаза;
  • отпечатки пальцев;
  • голос;
  • и другие сведения, характеризующие неотъемлемые особенности человека.

Что относится к биометрической системе защиты?

Биометрические системы защиты подразделяются на:

  • статические;
  • динамические

К первому виду относятся:

  • дактилоскопия (распознавание субъекта по отпечатку пальца);
  • сканирование радужной оболочки и сетчатки глаза;
  • сканирование геометрии лица и тела.

Динамические системы защиты анализируют биометрические данные, основываясь на поведении субъекта, и включают в себя:

  • распознавание голоса;
  • сканирование графического почерка человека.

Согласие на обработку биометрических данных

Как гласит ст. 11 ФЗ №152 – обработка биометрических персональных данных допускается только при наличии согласия на это субъекта. Согласие на обработку биометрических данных – это разрешение субъекта ПДн в письменной форме, которое он дает на сбор, обработку, хранение и использование своих биометрических данных. Данный документ также предоставляет гарантию того, что предоставленная им информация будет защищена от несанкционированного доступа и будет использована только в определенных целях. Отсутствие такого документа может повлечь ответственность в виде штрафа.

Обработка, хранение и защита биометрических персональных данных: требования к материальным носителям биометрических персональных данных

Согласно 152-ФЗ персональные сведения могут храниться не дольше, чем этого требуют цели их обработки, после чего они должны быть удалены или обезличены. Храниться биометрия может в информационных системах (далее — ИС), либо же вне ИС на материальных носителях информации (далее – МНИ). К МНИ могут относиться флешки, диски и т. д. Важно указать, что бумажные носители не являются МНИ.

В случаи использования МНИ, к ним и к технологиям хранения должны применяться требования защиты. Данные требования приведены в Постановлении от 6 июля 2008 г. №512 (далее – П 512).

МНИ должны обеспечивать:

  • невозможность несанкционированного доступа;
  • идентификацию ИС, в которую была записана данная биометрия;
  • доступ к данным для уполномоченных лиц;
  • защиту от несанкционированного изменения, записи или дополнения.

Технологии хранения биометрии вне ИС должны обеспечивать:

  • доступ к данным для уполномоченных лиц;
  • применение электронной цифровой подписи или других технологий для обеспечения целостности и неизменности данных на МНИ;
  • проверку наличия согласия субъекта на обработку биометрии.

Основной сферой, в которой актуально использование биометрических ПДн, является банковская сфера. В банке может быть развернута так называемая Единая биометрическая система (далее – ЕБС). Это совсем небольшой выделенный сегмент в организации, в котором происходит сбор, обработка и хранение биометрии. Все данные из ЕБС передаются в Единую систему идентификации и аутентификации (далее – ЕСИА).

Защита биометрических ПДн и закон

ЕБС необходимо защищать в соответствии с 453 Приказом Минцифры (далее – 453 Приказ). В нем содержатся правила обработки биометрии, размещения и обновления, а также требования к информационным технологиям и техническим средствам, которые собирают и обрабатывают данные. Биометрические образцы нельзя снимать подручными средствами, данный Приказ определяет характеристики для изображения лица и голоса субъекта ПДн.

Обязательным условием сдачи биометрии является регистрация физического лица, которое сдает свою биометрию, в ЕСИА. Если лицо там не зарегистрировано, то организация предлагает это сделать, при наличии заявления, прямо на месте.

Произвести обновление биологической персональной информации можно по предложению самого физического лица, а также по истечению 3-х лет с момента предоставления свидетельств.

 

От чего необходимо защищать биометрические персональные данные?

Разобраться с этим нам поможет Приказ №494, в котором содержится перечень актуальных угроз безопасности при обработке биометрии. Но данный документ определяет угрозы для биометрии, которая обрабатывается в государственных органах, органах местного самоуправления, и организациях, но не в сегменте ЕБС банков.

Для определения угроз безопасности в сегменте ЕБС необходимо пользоваться Указанием Банка России и ПАО «Ростелеком» №4859 -У/01/01/782-18 (далее – Указание №4859).

Самыми главными угрозами является угрозы:

  • целостности;
  • конфиденциальности;
  • доступности;
  • НСД.

Также ЦБ приводит Методические рекомендации № 4-МР, которые содержат в себе информацию по нейтрализации банками актуальных угроз безопасности. Документ содержит в себе рекомендации для обеспечения безопасности на этапе сбора и обработки биометрических ПДн.

Для защиты биометрии банкам рекомендуется применять сертифицированные СЗИ и СКЗИ, выделять сегмент ЕБС и реализовывать для него стандартный уровень защиты информации в соответствии с ГОСТ 57580.1–2017. Также необходимо обеспечить реализацию мер 453 Приказа.

 

Защита биометрических данных: основные моменты

Подводя итог можно выделить главные документы, которые регламентируют обработку, хранение и защиту биометрических ПДн:

  • 149 ФЗ;
  • 152 ФЗ;
  • 453 Приказ Минцифры;
  • Постановление 512;
  • 494 Приказ;
  • Указание № 4859-У/01/01/782-18;
  • №4-МР.

Сбор биометрии очень важен для дальнейшего развития технологий. Достаточно сказать слово, чтобы оформить кредит или посмотреть в камеру, чтобы оплатить проезд в метро. Но стоит помнить о рисках, которые возрастают с такой же невероятной скоростью, с которой наступает будущее.

Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

Телеграм канал ИТ Право Безопасность

Задать вопрос эксперту

    Связанные услуги