26 February 2019

Законодательная база для биометрии

Cloud4Y corporate blogInformation SecurityLegislation in ITSmart HouseThe future is here

image


Сейчас у банкоматов можно увидеть приободряющую надпись, что скоро аппараты с деньгами станут узнавать нас по лицу. Недавно писали об этом здесь.


Здорово, придётся меньше стоять в очереди.


Айфон опять же отличился камерой для снятия биометрических данных.


Едина Биометрическая Система (ЕБС) послужит фундаментом для воплощения этих вех будущего в реальность.


Центробанк выкатил перечень угроз, от которых операторы, работающие с биометрическими персональными данными, должны быть готовы защищать клиентов, а в феврале представил методические рекомендации по устранению опасностей.


Очередной свод правил должен минимизировать следующие риски:


  • Риски, которые возникают при сборе биометрических данных.
  • Риски, которые возникают при обработке запросов людей и работе с их персональными данными.
  • Риски, возникающие при удалённом установлении личности.

Для этого предлагают:


  • Регистрировать каждый чих операторов.
  • Использовать только сертифицированные средства.
  • Выдавать ключи электронной подписи операторам.
  • Информировать Центральный Банк о всех инцидентах.

Вернёмся немного к истории вопроса. Cпустя 10 лет после первых законодательных движений в этой сфере в России стали выдавать паспорта, которые законно могли бы содержать электронные носители информации.


Со временем 152-й федеральный закон только дополнялся. В 11-й статье закона прописали, что биометрия — это сведения, которые характеризуют физические (затем добавили, что и биологические) особенности человека, на основе которых можно установить его личность. Потом добавили, что данные биометрии операторы используют для идентификации человека, а обработка этих данных возможна только с письменного согласия клиента.


Исключение будет только если обнаружат, что клиент — террорист.


Решили, что такие данные следует защищать:


  • От неправомерного или случайного доступа к ним.
  • От уничтожения или изменения.
  • От блокировки.
  • От копирования.
  • От предоставления к ним доступа.
  • От распространения.

Следующим шагом стала стандартизация под мировой уровень. Она затронула отпечатки пальцев, изображения лиц, данные ДНК. В 2008-м запилили требования к материальным носителям и технологиям хранения вне информационной системы персональных данных.
Под носителями понимают только устройства, которые может читать робот без сканирования. Бумажные материалы не в счёт.


Требования следующие:


  • Обеспечение доступа только уполномоченным лицам.
  • Способность определять систему и её оператора.
  • Предотвращать перезапись вне информационной системы и несанкционированный доступ.

Должно будет обеспечиваться:


  • Использование цифровой подписи или другого способа сохранить целостность и неизменность данных.
  • Проверка, есть ли письменное согласие субъекта персональных данных.

Единая Биометрическая Система базируется на федеральном законе 149. Он связывает её с Единой Системой Идентификации и Аутентификации. Операторы идентифицируют человека с его согласия и в его присутствии. А затем засылают данные в ЕБС.


Правительство определяет, как собирать, передавать, обрабатывать данные и назначает надзирателя за всем этим. Сейчас ответственным за разработку регламентов стал Ростелеком.


Кроме того, контролирует и надзирает ФСБ и ФСТЭК.


ФСБ требует с банков в первую очередь криптозащиту. К тому же банк, который страхует вклады, имеет право вносить Биометрические Данные в ЕБС и удалённо идентифицировать для оказания базовых услуг, если только это не террорист или около того.


Как всегда, жизнь вносит свои коррективы во всё, что зарегулировало государство. В частности, во время контрольной закупки ЦБ выявил недочёты как в самой системе, так и при удалённой идентификации при оказании услуг.


Многие банки дак вообще традиционно отчитались формально, а на деле даже не отрабатывали взаимодействие с клиентами.


Время движется вперёд, подготавливая законодательную почву для того, чтобы киборги могли нас узнавать. А мы готовы предоставить облачную инфраструктуру, отвечающую всем подобным законам.


Tags:biometricslegitimacydata analysis
Hubs: Cloud4Y corporate blog Information Security Legislation in IT Smart House The future is here
+13
5k 18
Comments 24
Top of the last 24 hours