Автор: Елена Петрова, выпускница курса «ИБ. Basic».

Цель работы

Рассмотреть и проанализировать актуальные требования по защите информации, предъявляемые в России к информационным технологиям и техническим средствам для работы с биометрическими персональными данными.

Проблема

29 декабря 2022 был принят Федеральный Закон № 572 «Об осуществлении идентификации…». До принятия этого закона организации могли аутентифицировать людей по биометрическим персональным данным самостоятельно. Но ФЗ № 572 изменил ситуацию:

  • все биометрические персональные данные должны храниться только в государственной единой биометрической системе – ЕБС
  • ограниченное число организаций может собирать биометрические персональные данные по определённым правилам 
  • распознавать человека можно только с помощью специальных «векторов ЕБС», через ЕБС или с помощью аккредитованных организаций, требования к которым сильно ужесточились, в том числе и в области информационной безопасности.

Поэтому необходимо изучить эти новые требования по защите информации к ИТ и техническим средствам, чтобы работать с биометрическими персональными данными в новых реалиях.

Методы решения

Я изучила разнообразные нормативные правовые акты, связанные с обработкой биометрии в области информационной безопасности.

Вот некоторые из них:

  1. ФЗ № 572 от 29 декабря 2022 «Об осуществлении идентификации…»
  2. ФЗ № 152 от 8 июля 2006  «О персональных данных…»
  3. ФЗ № 149 от 27 июля 2006 «Об информации…»
  4. ФЗ № 187 от 12 июля 2017 «О безопасности инфраструктуры…»
  5. ПП РФ № 1119 от 1 ноября 2012 «Об утверждении требований к защите ПД»
  6. Приказ ФСБ РФ № 66 от 9 февраля 2005 «Об утверждении положения о разработке СКЗИ (Положение ПКЗ-2005)
  7. Приказ ФСБ РФ № 378 от 10 июля 2014  «Об утверждении мер по обеспечению безопасности персональных данных»
  8. ПП РФ № 313 от 16 апреля 2012 «Об утверждении положения о лицензировании шифровальных (криптографических) средств»
  9. Приказ МЦ № 323 от 25 июня 2018 «Об утверждении форм подтверждения соответствия ИТ требованиям» 
  10. Приказ МЦ № 445 от 05 мая 2023  «Об утверждении перечня угроз безопасности, актуальных при обработке БПД…» (в ЕБС)
  11. Приказ МЦ № 446 от 05 мая 2023  «Об утверждении перечня угроз безопасности, актуальных при обработке БПД…» (в КБС) «Об утверждении перечня угроз безопасности, актуальных при обработке БПД…» (в КБС)
  12. ПП РФ № 585 от 11 апреля 2023 «Об утверждении Положения о государственном контроле в сфере идентификации и/или аутентификации и признании ПП РФ № 1729 утратившим силу»
  13. Постановление ПП РФ № 608 от 26 июня 1995 «О сертификации СКЗИ»
  14. Приказ МЦ № 1034 от 29 ноября 2023 «О формах подтверждения соответствия ИТ, предназначенных для обработки БПД, требованиям ФЗ № 572 и внесении изменений в приказ МЦ № 453  
  15. Указание ЦБ ФР № 6540-У от 25 сентября 2023  «О перечне угроз безопасности, актуальных при обработке БПД, векторов ЕБС при взаимодействии ИС организаций финансового рынка с ЕБС»
  16. Указание ЦБ РФ от 25.09.2023 N 6541-У «О перечне угроз безопасности, актуальных при обработке БПД, векторов ЕБС финансовыми организациями через КБС и при взаимодействии с ИС других организаций»

Требования к техническим средствам

В приказе Министерства цифрового развития № 453 указаны следующие требования к техническим средствам и уровням их защиты для обработки биометрических персональных данных:

Требования к камере и условия съемки

ТребованиеУсловие съемки
Фокусное расстояниеот 26,7 до 100 мм при расположении субъекта на расстоянии 0,3-1,0 м от камеры
Разрешение получаемого изображенияне менее 1280х720 пикселей
Освещенностьдля камер с коррекцией освещенности: не менее 300 лк для камер без коррекции: не менее 100 лк
Режим автоматической корректировки баланса белого цветаприсутствует

Требования к уровню защиты технических средств

Уровень защитыТип организации
Второй уровень защиты информации (стандартный) для финансовых организаций (установлен национальным стандартом Российской Федерации по ГОСТ Р 57580.1-2017)
Третий уровень защиты информациидля остальных организаций

При этом для работы с биометрией необходимо произвести процедуру оценки соответствия требований к информационным технологиям и техническим средствам, предоставив следующие документы:

  • документы, подтверждающие право на использование ИТ, предназначенных для обработки векторов ЕБС
  • наименование, модель и тип технических средств, предназначенных для обработки изображения лица, а также эксплуатационные документы на указанные технические средства
  • наименование, версию, модальность и планируемые случаи использования информационных технологий, предназначенных для обработки векторов ЕБС
  • протокол эксплуатационных испытаний информационных технологий, предназначенных для обработки векторов ЕБС
Анализ требований по защите информации при работе с биометрическими данными

Требования к уровням защиты и организационным мерам по обеспечению информационной безопасности при работе с биометрическими персональными данными

Чтобы бороться с угрозами безопасности при работе с БПД, нужно применять специальные меры. Согласно приказам Министерства цифрового развития № 445 и № 446, для организаций могут быть актуальны следующие угрозы:

  • нарушение целостности (подмена, удаление) БПД
  • нарушения конфиденциальности (компрометации)
  • нарушение достоверности при обработке (внесение фиктивных биометрических персональных данных) 

Такие нарушения могут произойти:

  • при сборе БПД и их передаче между устройствами или ИС-подразделениями
  • когда банки взаимодействуют с ЕБС, чтобы разместить и обновить биометрические персональные данные в ЕБС
  • при автоматизированной обработке БПД на устройстве клиента

Для противодействия этим угрозам необходимо соблюдать требования к защите биометрических персональных данных, использовать технические и организационные меры.

Информационная система считается способной к обработке биометрических персональных данных, если обрабатывает сведения о физиологических и биологических особенностях человека, кроме:

  • расовой и национальной принадлежности
  • политических взглядов
  • религиозных или философских убеждений
  • сведений о состоянии здоровья
  • сведений об интимной жизни

Информационные системы, обрабатывающие БПД, обязаны обеспечить безопасность при обработке персональных данных в зависимости от типа угроз.

Три типа угроз

Тип 1: недокументированные возможности в системном ПО, которое использует ИС

Тип 2: недокументированные возможности в прикладном ПО
Тип 3: не связан с недокументированными возможностями в системном и прикладном ПО

Для систем всех организаций, работающих с биометрией, необходимо устанавливать третий уровень защищённости. Второй уровень защищенности подходит для организаций финансовой сферы.

Согласно приказу ФСБ России № 378 в системах третьего уровня защищённости должны соблюдаться следующие организационные меры защиты БПД:

  • режим обеспечения безопасности помещений, в которых размещена ИС, должен препятствовать неконтролируемому проникновению посторонних лиц
  • носители данных должны находиться в сохранности
  • руководитель должен утверждать оператора документа с перечнем лиц, чей доступ к персональным данным необходим для выполнения ими служебных обязанностей
  • необходимо использовать средства защиты информации, прошедшие процедуру оценки на соответствие требованиям законодательства РФ по обеспечению безопасности информации (использование СКЗИ класса КС-1 и выше, когда для информационной системы актуальны угрозы третьего типа)
  • необходимо назначить должностное лицо, ответственное за безопасность персональных данных в ИС
  • ограничить доступ к содержанию электронного журнала сообщений для всех, кроме уполномоченного лица или должностных лиц из перечня оператора, которым сведения из электронного журнала нужны для выполнения служебных обязанностей (актуально только для банковской сферы)

Требования к шифровальным средствам

Что касается технических мер безопасности, здесь необходимо использовать средства криптографической защиты информации (СКЗИ) для работы с БПД.

Правила применения шифровальных средств

ПравилоНормативные правовые акты
Обязательно использовать шифровальные средства при передаче БПД физического лица в процессе идентификации и аутентификацииФЗ № 149 
Необходимо оценивать шифровальные средств на соответствие требованиям законодательства РФ в области обеспечения безопасности информацииПП РФ № 608
ФЗ № 149 
Если человек отказывается использовать шифровальные средства, его нельзя аутентифицировать без его личного присутствия ФЗ № 572 

Основные требования к СКЗИ согласно приказу ФСБ России № 66

  • СКЗИ должны быть сертифицированы
  • Класс используемого СКЗИ должен нейтрализовывать установленные угрозы

Требования к применению СКЗИ

  • СКЗИ должны приобретаться у лицензиатов ФСБ России
  • Монтировать и устанавливать СКЗИ может только организация, которая осуществляет работы по лицензируемым видам деятельности
  • СКЗИ должны быть учтены в соответствии с учётными номерами, присваиваемыми ФСБ России
  • Там, где используется СКЗИ, должны быть дистрибутивы, формуляры и правила пользования
  • СКЗИ должны использоваться по правилами, а все изменения условий использования СКЗИ нужно согласовывать с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ
  • Используемые СКЗИ должны проходить контрольные тематические исследования
  • Пользователи СКЗИ должны знать правила работы с отметками в журнале учёта пользователей СКЗИ
  • При использовании СКЗИ необходимо внимательно относиться к выполнению требований и условий из формуляра и правила пользования

Результат

В ходе изучения нормативных правовых актов я выяснила, что особые требования к информационной безопасности необходимо выполнять следующим организациям:

  • финансовым организациям с биометрической ИС, которые работают с биометрией 
  • нефинансовым организации с биометрической ИС, которые работают с биометрией
  • организациям, аккредитованным Министерством цифрового развития для работы с биометрией 

Всем этим организациям необходимо выполнять:

  • требования к техническим средствам
  • требования к организационным мерам
  • требования к шифровальным средствам

Глоссарий

БПД – биометрические персональные данные, биометрия. Характеризуют физиологические и биологические особенности человека. Используются оператором для установления личности субъекта персональных данных 

ЕБС единая биометрическая система. Государственная цифровая платформа, которая позволяет установить и подтвердить личность человека по его физиологическим и биологическим характеристикам

КБС – коммерческая биометрическая система. Организация, аккредитованная Министерством цифрового развития для работы с биометрией, имеет право хранить у себя векторы ЕБС, аутентифицировать по биометрии и оказывать услуги аутентификации третьим лицам (организациям)

СКЗИ – средство криптографической защиты информации. Программные решения, которые используются для шифрования данных при обмене информацией и её хранении