Авторы проекта отмечают, что, согласно федеральному закону, до 1 января 2027 г. размещение и обработка биометрических ПДн разрешена не только в единой биометрической системе, но и в ее региональных сегментах. Поэтому они предлагают распространить действие нормативов и на региональные системы.
Проект приказа предусматривает, что обработка биометрических данных ЕБС и в ее региональных сегментах, в информационных системах аккредитованных государственных органов, Центрального банка в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц, а также обработка векторов ЕБС должны осуществляться с применением информационных технологий и технических средств, получивших подтверждение Минцифры об их соответствии требованиям, которые также устанавливает проект приказа. Подтверждение соответствия осуществляется Минцифры России в течение 30 рабочих дней с даты получения соответствующих документов и сведений.
Согласно документу, для обеспечения безопасности должны использоваться средства защиты информации, позволяющие предотвратить актуальные угрозы, возникающие в процессе обработки биометрических данных и векторов.
Также документ устанавливают требования к качеству размещаемых в ЕБС и ее региональных сегментах биометрических образцов изображения лица и записи голоса, в зависимости от целей использования, идентификация или аутентификация, и способов их регистрации - личная явка, саморегистрация или передача из других систем. "Создаваемые векторы имеют срок действия, равный сроку возможной обработки биометрических ПДн, из которых такие векторы были получены. По истечении данного срока векторы должны быть удалены", - объясняют авторы документа.
Председатель комитета Ассоциации российских банков по информационной безопасности Андрей Федорец сообщил, что в марте Минцифры и ЦБ проведут встречу с представителями банковского сообщества для разъяснения инициативы. Он считает, что текущее понимание законодательной инициативы далеко от глубокой полноты. "Сообщество ожидает разъяснений со стороны Минцифры и ЦБ. Ожидаем, что инициированная руководством Банка России встреча с представителями банков пройдет в начале марта", - рассказал он.
По его словам, основной посыл законопроекта в том, что хранить фотографии, записи видео или аудиозаписи, используемые для собственных целей идентификации, в банке нельзя. "Таким образом, вносимые изменения существенным образом меняют взаимодействие тех банков с клиентами или персоналом, в которых использовались собственные биометрические системы. Для остальных банков особо менять бизнес-процессы не потребуется, так как их, в общем-то, нет. Потребуется их просто выстроить в соответствии с законом", - объясняет Андей Федорец.
По его мнению, требование не хранить в организации биометрические образцы - правильное. "Мы все видим, что количество утечек ПДн увеличивается. Поэтому возможность потерять такие чувствительные данные, как биометрические, сродни катастрофе. Остальные требования также достаточно здравые - не принуждать сдавать биометрию, не навязывать как услугу. Проблемой может быть сворачивание собственных биометрических систем организаций. Достаточно много сил и средств вложено в такие проекты. Как быстро перестроить их - сложно сказать. Ведь даже система контроля и управления доступом теперь попадает под законодательные требования", - говорит Андрей Федорец.
По его мнению, правила, описанные в документе, согласно которым обработка векторов ЕБС должна осуществляться с применением информационных технологий и технических средств, получивших подтверждение Минцифры об их соответствии требованиям, приведут к увеличению стоимости решений. "Но это справедливо. Привести некоторую информационную систему к требованиям, предъявляемым к высокозащищенным, высокоточным системам, - это не бесплатное представление. Это год-полтора работы производственной команды, затраты на аудиты, тестирования, оценки соответствия и проч.", - отметил он.
Независимый эксперт Вадим Плесский считает, что использование в системах обработки биометрии и предоставления биометрических данных компаниям-партнерам только сертифицированных решений вполне логично. "Утерянный пароль можно поменять, а аккаунт на время смены пароля заблокировать. А биометрические данные, будь это метрика на основе лица человека, отпечаток пальца или голос, поменять нельзя. Если биометрические данные человек скомпрометированы, то это катастрофа", - говорит Вадим Плесский.
По его мнению, проблемой может стать сложность и стоимость внедрения. "Стоимость получения подтверждения личности через биометрические системы на данный момент практически напрочь отталкивает потенциальных партнеров от интеграции и использования таких систем. Стоимость коммерческого СМС, используемого для отправки кода-подтверждения, составляет 3-4 руб. Решения на основе приложения аутентификатора дешевле. В то же время стоимость аутентификации с помощью биометрии, заявленная для банков, оставляет около 200 руб. Причем это не подписка на год, а разовый платеж", - объясняет эксперт.
По его мнению, логичнее всего на данный момент использовать смарт-карты, которые должны быть у всего населения. "Это может быть "электронный паспорт", "электронные водительские права" или что-то еще. Второй фактор при такой схеме аутентификации можно обсуждать. Но опять-таки биометрия не выглядит предпочтительным вариантом для массового использования для аутентификации пользователей", - уверен он.
Ирина Приборкина