С 1 января 2021 года в силу вступил закон, расширяющий сферы применения Единой биометрической системы. Благодаря этому, предоставлять услуги по биометрии могут не только банки, как было ранее, но также ряд коммерческих и государственных организаций.
У использования биометрической удаленной идентификации есть ряд преимуществ — в первую очередь это позволит коммерческим организациям снизить стоимость привлечения клиентов и увеличить клиентскую базу, так как предоставлять услуги можно будет в удаленном канале обслуживания. А пользователи смогут получать услуги удобно и безопасно, из любой точки мира.
Однако требования регуляторов к безопасности при работе с биометрическими данными очень высоки — они сопоставимы с уровнем защиты государственной тайны. И регуляторы предъявляют высокие требования не только к самой Единой биометрической системе, но и к организациям, которые будут использовать ее ресурсы и сервисы. Для граждан это означает, что их данные будут надежно защищены, а для организаций — необходимость проведения серьезных работ в части информационной безопасности.
В этой статье мы расскажем, какие требования по информационной безопасности предъявляются к организациям, работающим с биометрией, и какие существуют пути их выполнения.
Врага надо знать в лицо: угрозы информационной безопасности
Первый этап в цикле создания решений по информационной безопасности — составление списка угроз, описание информации, которую требуется защитить, и ее объемов. После этого по каждой угрозе формулируются возможности нарушителя и классы средств криптографической защиты, которыми необходимо эти угрозы нейтрализовать.
Угрозы информационной безопасности при работе с биометрией в целом можно разделить на два основных типа:
- Угроза нарушения целостности биометрических данных — риск того, что на различных участках пути от организации до ЕБС злоумышленник может вмешаться и подменить данные (биометрические образцы или результат удаленной идентификации)
- Угроза нарушения конфиденциальности биометрических персональных данных — риск того, что передаваемые данные будут разглашены третьим лицам.
Список угроз при работе с биометрией был сформулирован со стороны Центрального Банка России, ФСБ России и «Ростелекома» в Указании Банка России №4859-У от 9 июля 2018 года «О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных [...]»
Однако этот список угроз был сформулирован только для организаций финансовой сферы. После принятия закона о расширении сфер применения Единой биометрической системы должны быть сформированы перечни угроз также для коммерческих и государственных организаций, получивших возможность использовать биометрическую идентификацию в своих процессах.
На данный момент готовится большой пакет документов, дополняющих Указание №4859-У. Требования, которые будут сформулированы для остальных организаций, вряд ли будут слабее, чем требования для финансовых организаций. Ведь основной принцип информационной безопасности говорит о том, что уровень защищенности системы равен уровню защищенности самого слабого ее звена.
Подробнее https://ib-bank.ru/bisjournal/post/1510