С октября 2023 г. биометрия граждан должна храниться в Единой биометрической системе (ЕБС). Все компании, которые когда-либо собирали биометрические данные, обязаны передать их в ЕБС. Чтобы работать с ЕБС и продолжить оказывать услуги клиентам, коммерческие организации должны получить государственную аккредитацию. Единая биометрическая система аттестована по требованиям регуляторов как государственная информационная система (ГИС).
Пресс-служба Министерства цифрового развития, связи и массовых коммуникаций РФ (Минцифры) напомнила: "Оператором ГИС ЕБС является АО "Центр биометрических технологий" (ЦБТ). Федеральному агентству по управлению государственным имуществом принадлежит 26% компании. Таким образом, Минцифры участвует в управлении и принятии стратегических решений".
В Минцифры рассказали, что плановые и контрольные мероприятия проводятся не реже чем раз в три года, периодичность и виды проверок зависят от категорий риска, а объекты контроля с повышенными требованиями к безопасности специалисты ведомства проверяют раз в два года. "Мы проводим инспекционный визит, или документарную и выездную проверки. При среднем риске подобные мероприятия проводятся один раз в 2,5 года. Хотим напомнить, что компании обязаны уведомить граждан, которые сдавали биометрию, о передаче данных в ЕБС за 30 дней до начала процесса. Граждане могут отказаться от передачи данных в ЕБС и деактивировать биометрию", - дополнил представитель пресс-службы Минцифры.
Пресс-служба АО "ЦБТ" сообщила корреспонденту ComNews, что Центр биометрических технологий находится в постоянном диалоге с банками и другими организациями, которые предоставляют услуги по биометрии, а также помогает компаниям перейти на новые правила работы с биометрией в соответствии с требованиями Федерального закона №572. Также компания консультирует по вопросам обеспечения информационной безопасности (ИБ), тестированию биометрических процессоров и по вопросам требуемой документации. Представитель Центра биометрических технологий добавил: "Даже при получении аккредитации у организации не появится доступ к самой биометрии. В работе будут использоваться только векторы - математические шаблоны, преобразованные из биометрии".
Директор по консалтингу разработчика решений в сфере ИБ InfoWatch Ирина Зиновкина сообщила, что пока сложно оценить безопасность данной системы, однако вопросы безопасности при разработке ЕБС были одними из главных, из чего можно сделать вывод, что для ее защиты предпримут максимально возможное количество мер. "Любые данные могут быть подвержены атаке, в том числе и биометрия. Сложность биометрических данных еще состоит в том, что они уникальны и сбросить их невозможно", - прокомментировала Ирина Зиновкина.
Директор по продуктам разработчика систем ИБ "Гарда Технологии" (входит в группу компаний "Гарда") Павел Кузнецов считает, что беспокоиться стоит не о моменте сбора данных, а о должном обеспечении безопасности хранилищ. "Для защиты структурированных хранилищ данных подходят решения, обеспечивающие более глубокий аудит происходящего на конкретных серверах базы данных (БД) и реагирующие, к примеру, на аномально большие выгрузки либо на попытки доступа к БД неуполномоченных пользователей. Дополнительная фокусировка на контрмерах против утечек данных позволяет существенно повысить уровень защищенности и избежать опасных инцидентов", - объяснил Павел Кузнецов.
Руководитель департамента аудита и консалтинга группы компаний iTPROTECT Роман Писарев рассказал, что для защиты данных, передаваемых в ЕБС, требуется применение широкого спектра систем защиты информации и подхода, при котором нельзя допустить ни одного послабления. "Требования по защите контуров системы в организациях, где обрабатываются биометрические данные и ведется взаимодействие с ЕБС, подробные и четкие. При их соблюдении на стороне банков - риски небезопасного использования системы минимальны", - дополнил Роман Писарев.
Генеральный директор ООО "Бюро цифровых технологий" Виталий Зарубин рассказал, что единый портал хранения агрегированных данных является более надежным, чем когда их собирают банки, которых слишком много, поэтому безопаснее иметь единую централизованную систему. "Могут быть утечки, но они необязательно будут связаны с самой системой, а скорее с переносом данных, по вине человеческого фактора", - рассуждает Виталий Зарубин.
В "Сбере", Альфа-Банке, ВТБ, Тинькофф банке, Райффайзенбанке и "Открытии" не ответили на вопросы корреспондента ComNews.
Дмитрий Федонин