Jump to content

Искусство читать нормативку. О биометрии для идентификации и аутентификации


Recommended Posts

http://www.securitylab.ru/upload/blog/avatar/6a3/6a342c247410a37612cb9f1b4f95d913.jpg

С наступившим вас! Теперь и трудовым.

Начинаем трудиться.

Одна из главных проблем для меня в прошлом году – нормативно-правовые документы по биометрии от новоявленного (новоназначенного?) регулятора – Минцифры России. Казалось бы, каждый новый подзаконный акт должен вносить ясность в общую норму закона, раскладывая по полочкам конкретный порядок действий по ее выполнению. Как бы не так. Последние результаты нормотворчества ситуацию только запутывают, на мой взгляд. О проблемах использования биометрии в конце декабря хорошо написал на своем сайте-блоге Алексей Лукацкий . Но я сейчас немного о другом.

Итак, при выполнении проектов 2021 года наше агентство столкнулось с рядом вопросов заказчиков, касающихся применения биометрии. Сформулирую в более-менее обобщенном виде два основных вопроса ввиду ограниченности формата поста (на самом деле их гораздо больше):

1.     Всем ли можно применять биометрию для идентификации и аутентификации? Например, можно ли небольшому ритейлеру купить и поставить на компьютеры персонала или кассовые аппараты в магазине систему распознавания пользователей по пальчикам, то есть систему дактилоскопической идентификации?   

2.     Можно ли использовать в школе систему идентификации по рисунку вен ладоней для организации доступа на территорию школы, связав ее с системами учета полученного питания и выдачи книг в библиотеках (идея «Ладошек» пока вовсе не умерла, как думают некоторые).

Рассматриваемой биометрии (дактилоскопия и рисунки вен ладони) в Единой биометрической системе (ЕБС) нет. Можно ли их использовать в России? В ответах будет очень много букв. Понимаю, после каникул напряженно, но …

Читаем статью 14.1 ФЗ «Об информации, информационных технологиях и о защите информации» - самую главную в российском законодательстве с точки зрения регулирования использования биометрии. Она и называется соответствующе – «Применение информационных технологий в целях идентификации физических лиц» (хотя почему-то про аутентификацию в названии не упоминается, но порядок ее проведения статья определяет).

Части с 1 по 10 данной статьи регламентируют использование биометрии исключительно в ЕБС, где, как все хорошо знают, только лицо и голос.

Значит, если мы живем вне ЕБС, для нас требования данный статьи обязательными не являются? Нет, просто мы еще не все прочитали.

С 1 января в статье появилась новая часть 10.1, неожиданно расширяющая действие норм, изложенных ранее: контроль и надзор за обработкой персональных данных в ЕБС, а также в информационных системах государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций и индивидуальных предпринимателей, которые осуществляют обработку биометрических персональных данных при идентификации и (или) аутентификации, в том числе при взаимодействии с ЕБС осуществляет Роскомнадзор. Что это его область надзора, на мой взгляд, очевидно и так – глава 5 ФЗ «О персональных данных» для биометрии никаких исключений не содержит. И зачем об этом писать еще и в 149-ФЗ - совершенно не понятно. Важны слова про иные биометрические системы, не связанные с ЕБС – а новая часть их существование прямо допускает.

Про новую редакцию части 11, наделяющую Банк России полномочиями по контролю и надзору за реализацией организационных и технических мер по обеспечению безопасности персональных данных, отсутствующими в ФЗ «О персональных данных», надо писать отдельно, это в границы данного поста не вписывается.

Ну, а дальше, из части 13 статьи 14.1 становится очевидным, что с 01.01.2021 Минцифры регулирует использование любой биометрии в любых системах идентификации и аутентификации любых организаций, включая требования к таким системам (приказы Минцифры от 25.06.2018 № 321 в новой редакции, который утратит силу с 01.03.2022 и от 10.09.2021 № 943, с 01.03.2022 вступающий в силу), формы подтверждения соответствия любых технологий и средств для этих целей (приказ Минцифры от 07.07.21 № 685). Но вот беда: приложение № 3 к приказу № 943 опять только про голос и лицо, соответственно, и № 685 – тоже. Зато приложения №№ 1 и 2 к тому же приказу – про сбор, размещение хранение и использование биометрии и в иных системах тоже.

А дальше читаем крайне внимательно: часть 18.2 дает право организациям использовать ЕБС для аутентификации в целях совершения определенных действий (прохода на территорию, доступа к компьютеру или кассе), но не обязывает использовать только ее. Тем, кто использует ЕБС, необходимо использовать сертифицированную криптографию (часть 18.3), за реализацией мер защиты надзирают ФСБ и ФСТЭК (часть 18.4). И далее –про тех, кто подпадает под часть 18.2, то есть использует ЕБС.

Пока вроде бы никаких препятствий для использования систем, упомянутых в вопросах в начале поста и в тех целях, которые указаны в тех же вопросах, нет. Но это только пока.

С 1 сентября наступившего года вступят в силу новые части статьи 14.1. Части 18.18 и 18.20 определяют условия проведения идентификации и аутентификации с использованием биометрии в собственных информационных системах операторов уже без упоминания и связи с ЕБС. И тогда применение сертифицированной криптографии станет обязательным для нейтрализации актуальных угроз. И самое главное – все операторы, использующие биометрию, должны будут пройти аккредитацию в Минцифре (правила аккредитации утверждены Постановлением Правительства РФ от 20.10.2021 № 1799, вступившем в силу 1 января нового года, хотя статьи об аккредитации закона заработают с 1 сентября). Если же кроме аутентификации операторы захотят проводить и идентификацию с использованием биометрии, то есть создавать шаблоны и базы биометрии, а не только сверять полученные данные с шаблонами, то на них будут распространяться требования безопасности, предъявляемые к значимым объектам КИИ и ГИСам и взаимодействовать с Госсопкой (пункт 2 части 18.20), причем отнесение владельца системы идентификации к субъектам КИИ в качестве критерия здесь не упоминается.

И не менее важное: идентификация либо идентификация и аутентификация допускаются в случаях , установленных Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации (часть 18.26 статьи 14.1). А вот с этой частью – полная засада. Распространяются ли эти случаи только на идентификацию и (или) аутентификацию с использованием ЕСИА и ЕБС или это закрытый перечень случаев биометрической аутентификации, которая выполняется без ЕБС, понять из текста нельзя. Не вносит ясность и Постановление Правительства РФ от 23.10.2021 № 1815, которым этот перечень случаев определен (вступает в силу с 1 марта, а статья закона, требующая его принятия – с 1 сентября).  Постановление ссылается на части 18.20 (в которой ЕБС не упоминается) и 18.26 (в которой использование ЕБС является обязательным). Кроме того, пункт 3 Перечня случаев допускает использование биометрии в СКУД, но кроме случаев входа на объекты, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями, а также режимных объектов, дошкольных и общеобразовательных организаций. В школах биометрия невозможна? Нет в Перечне случаев упоминания и об использовании биометрии товаров и услуг, которая вовсю внедряется сегодня где только можно и нельзя. Так закрытый это перечень случаев или нет? Распространяется ли он только на случаи использования ЕБС или нет? Вопросы, вопросы…

С аккредитацией тоже все очень плохо. Посмотреть можно про нее, если лень разбираться в законе и постановлении правительства, в посте Алексея Лукацкого, ссылка на который есть выше. Здесь уже про это рассказать не удастся, возможно, получится свою точку зрения высказать позже.

Ну, и ответы на поставленные в начале поста вопросы. До 1 сентября все это можно. После 1 сентября, похоже, лавочки придется свернуть.

С удовольствием почитаю мнение коллег – не накосячил ли я чего, разбираясь в законах, постановлениях и приказах, не ошибся ли при интерпретации установленных ими норм. Единственная просьба – указывать конкретные нормы, которые коллегами понимаются по-другому. С цитированием и пояснениями.

С новым вас трудовым годом. Мало, похоже, в нем не покажется. Трудимся.

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...