8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00
Перейти к услуге

Защита биометрических персональных данных

Содержание данной статьи проверено и подтверждено:

Персональные данные (далее ПДн) — это личные сведения о человеке, с помощью которых можно понять, что это конкретный человек, то есть идентифицировать его (например, паспортные данные). Как правило, человека, который предоставляет свои данные, называют субъектом ПДн.

Биометрические персональные данные — это данные, которые характеризуют физические и биологические особенности человека. С их помощью можно установить личность человека. Это может быть фото или голос субъекта. Важно понимать, что состояние здоровья относится к категории специальных, а не биометрических ПДн. Категории ПДн приведены в ФЗ № 152.

 

Хранение и защита биометрических данных

Согласно 152-ФЗ персональные сведенья могут храниться не дольше, чем этого требуют цели их обработки, после чего они должны быть удалены или обезличены. Храниться биометрия может в информационных системах (далее – ИС), либо же вне ИС на материальных носителях информации (далее – МНИ). К МНИ могут относиться флешки, диски и т. д. Важно указать, что бумажные носители не являются МНИ.

В случаи использования МНИ, к ним и к технологиям хранения должны применяться требования защиты. Данные требования приведены в Постановлении от 6 июля 2008 г. №512 (далее – П 512).

МНИ должны обеспечивать:

  • невозможность НСД;
  • идентификацию ИС, в которую была записана данная биометрия;
  • доступ к данным для уполномоченных лиц;
  • защиту от несанкционированного изменения, записи или дополнения.

Технологии хранения биометрии вне ИС должны обеспечивать:

  • доступ к данным для уполномоченных лиц;
  • применение электронной цифровой подписи или других технологий для обеспечения целостности и неизменности данных на МНИ;
  • проверку наличия согласия субъекта на обработку биометрии.

Основной сферой, в которой актуально использование биометрических ПДн, является банковская сфера. В банке может быть развернута так называемая Единая биометрическая система (далее – ЕБС). Это совсем небольшой выделенный сегмент в организации, в котором происходит сбор, обработка и хранение биометрии. Все данные из ЕБС передаются в Единую систему идентификации и аутентификации (далее – ЕСИА).

 

Защита биометрических данных и закон

ЕБС необходимо защищать в соответствии с 321 Приказом Минкомсвязи (далее – 321 Приказ). В нем содержатся правила обработки биометрии, размещения и обновления, а также требования к информационным технологиям и техническим средствам, которые собирают и обрабатывают данные. Биометрические образцы нельзя снимать подручными средствами, данный Приказ определяет характеристики для изображения лица и голоса субъекта ПДн.

Обязательным условием сдачи биометрии является регистрация физического лица, которое сдает свою биометрию, в ЕСИА. Если лицо там не зарегистрировано, то организация предлагает это сделать, при наличии заявления, прямо на месте.

Произвести обновление биологической персональной информации можно по предложению самого физического лица, а также по истечению 3-х лет с момента предоставления свидетельств.

 

От чего необходимо защищать биометрические данные?

Разобраться с этим нам поможет Приказ №494, в котором содержится перечень актуальных угроз безопасности при обработке биометрии. Но данный документ определяет угрозы для биометрии, которая обрабатывается в государственных органах, органах местного самоуправления, и организациях, но не в сегменте ЕБС банков.

Для определения угроз безопасности в сегменте ЕБС необходимо пользоваться Указанием Банка России и ПАО «Ростелеком» №4859 -У/01/01/782-18 (далее – Указание №4859).

Самыми главными угрозами является угрозы:

  • целостности;
  • конфиденциальности;
  • доступности;
  • НСД.

Также ЦБ приводит Методические рекомендации № 4-МР, которые содержат в себе информацию по нейтрализации банками актуальных угроз безопасности. Документ содержит в себе рекомендации для обеспечения безопасности на этапе сбора и обработки биометрических ПДн.

Для защиты биометрии банкам рекомендуется применять сертифицированные СЗИ и СКЗИ, выделять сегмент ЕБС и реализовывать для него стандартный уровень защиты информации в соответствии с ГОСТ 57580.1–2017. Также необходимо обеспечить реализацию мер 321 Приказа.

 

Защита биометрических данных: основные моменты

Подводя итог можно выделить главные документы, которые регламентируют обработку, хранение и защиту биометрических ПДн:

  • 149 ФЗ;
  • 152 ФЗ;
  • 321 Приказ Минкомсвязи;
  • Постановление 512;
  • 494 Приказ;
  • Указание № 4859-У/01/01/782-18;
  • №4-МР.

Сбор биометрии очень важен для дальнейшего развития технологий. Достаточно сказать слово, чтобы оформить кредит или посмотреть в камеру, чтобы оплатить проезд в метро. Но стоит помнить о рисках, которые возрастают с такой же невероятной скоростью, с которой наступает будущее.

Задать вопрос эксперту

    Связанные услуги

    Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.