Полгода после вступления в силу 572-ФЗ. Полет нормальный?
Федор Музалевский, 12/08/24
Прошло полгода после вступления в силу большей части федерального закона о применении биометрии 572-ФЗ [1]. Закон определяет сразу несколько регуляторов – попробуем разобраться, кто за что отвечает.
Автор: Федор Музалевский, директор технического департамента RTM Group
Что принципиально изменил 572-ФЗ
Понимание структуры органов госвласти, вовлеченных в обработку и защиту биометрии, важно и для граждан, чьи данные могут обрабатываться, и для всех организаций, осуществляющих эту обработку. Рассмотрим эти и другие вопросы в разрезе не только самого федерального закона, но и практики работы с защитой биометрических данных.
Закон 572-ФЗ принципиально ничего не меняет, но обобщает существовавшие ранее нормативно-правовые акты. Он является логичным шагом в развитии направления государственного регулирования биометрии. Одно из наиболее важных уточнений закона – представление закрытого перечня типов биометрии (фото и голос), которые обрабатываются в Единой биометрической системе (ЕБС). Отпечатки пальцев, сканы сетчатки глаза и т.п. данным законом не регулируются и могут применяться в коммерческих организациях без оглядки на него.
Закрепляются основные права субъекта персональных данных: разрешено отзывать свою биометрию, а также получать услуги независимо от факта наличия биометрии у оператора (например, банка). Это важно, поскольку в последнее время было много негативных откликов со стороны граждан о навязывании банками биометрии и невозможности откатить ее назад.
Практически все статьи закона вступили в силу. Более того, подзаконные акты уже активно ссылаются на 572-ФЗ – это и приказы о назначении ответственных органов госвласти (поговорим о них ниже), и ведомственные приказы о порядке работы с ЕБС.
С 2027 г. вступает в силу раздел закона, относящийся к региональным сегментам. Уже сейчас очевидно, что централизованная обработка и хранение – узкое место с точки зрения надежности и производительности. В этой части необходимо будет внести доработки еще до того, как документ вступит в силу.
Новый закон логичен и смотрится целостно. Некоторые вопросы вызывает лишь исключение миграционного учета из области его действия. Непонятно пока, зачем власти пошли на этот шаг. В сегодняшней напряженной обстановке подключение биометрии является для иностранных граждан одним из способов доказать свою лояльность законодательству РФ. К тому же это эффективный инструмент для правоохранительных органов, позволяющий идентифицировать преступников.
Как распределяется ответственность между регуляторами
Распределение ответственности закон не описывает. Здесь нужно разбираться отдельно. Двадцатая статья носит формальный характер, что естественно для федерального закона. Отметить следует явное выделение ролей оператора ЕБС и регулирующего органа. На данный момент это Центр Биометрических Технологий (ЦБТ) и Минцифры, соответственно.
Интерес представляет "орган по защите прав субъектов" ПДн – Роскомнадзор. В случае если ваши данные не удалены из ЕБС, то жаловаться нужно именно туда.
За безопасность, очевидно, уполномочена отвечать Федеральная служба по техническому и экспортному контролю (ФСТЭК России).
Отдельно вынесена роль Банка России – теперь он официально осуществляет контроль над применением биометрии в финансовом секторе. До вступления закона в силу были только рекомендации (хотя те же рекомендации 4-МР от 2019 г. во многом повторяли 321-й приказ Минцифры). Теперь снята неоднозначность для финансовых организаций, которые ранее считали, что 321-й приказ не для них, а ЦБ не является регулятором ЕБС.
Что с информационной безопасностью?
Информационная безопасность как была, так и осталась в части соответствия требованиям по защите персональных данных. Ничего для ЕБС закон фактически не прописывает, есть лишь отсылки к 152-ФЗ и уточнение требований по криптографии. При этом в тексте закона часто встречается термин "финансовые организации" – очевидно, что Центробанк принимал активное участие в работе над ним, привнеся хорошую практику. Внедрение ЕБС в финансовой отрасли началось еще в 2019 г. и на данный момент является, пожалуй, самым массовым в стране.
Отметим отдельно, что аутентификацию на основе ЕБС могут осуществлять только аккредитованные организации. Важное условие для получения доступа – наличие капитала не менее полумиллиарда рублей. Так и получается, что почти все ИТ-компании, которые могли бы работать с биометрией профессионально, не пройдут аккредитацию.
Применение биометрии четко разделено по типам данных. В ЕБС и, как гласит закон, только в ней обрабатываются фото и голос. И даже тот, кто хочет открывать дверь подъезда голосом, должен подключиться к Единой биометрической системе.
Нужно учитывать, что ЕБС – онлайн-система, ее доступность на конкретном объекте может иногда "сбоить". Отключат, например, Интернет в отдельном доме, и все перестанет работать. При этом условия использования системы сделают ее максимально дорогой, и из удобного решения для "открытия ворот" она станет эксклюзивной игрушкой.
Обеспечить все условия смогут только финансовые организации и крупные торговые сети. Возможно, это сделано умышленно, чтобы ограничить доступ небольшим игрокам, которые не имеют полноценных средств ИБ и не смогут обеспечить защиту данных.
Методика для модели угроз
Разумеется, федеральный закон не должен регламентировать моделирование угроз. Но он содержит четкие требования о том, что регулирующему органу необходимо определять актуальные угрозы и согласовывать их с ЦБ и ФСТЭК России. Как будет осуществляться межведомственное взаимодействие, будет понятно из практики, но эта задачка не из простых.
Если смотреть формально, то актуальной является методика ФСТЭК России от 05.02.2021 г. Она достаточно сложна и учитывает множество вариантов атак. Применяется эта методика для значимых объектов КИИ и ПДн и может быть существенно упрощена для узкого класса решений, взаимодействующих с ЕБС.
В то же время ГОСТ 57580.1 содержит базовую модель угроз персональным данным. Именно этому ГОСТу надо один раз в два года подтверждать соответствие (согласно приказу Минцифры № 453). Приказ является развитием 321-го приказа, обновление выпущено как раз после вступления в силу большинства пунктов 572-ФЗ.
Если многочисленные уполномоченные регуляторы смогут договориться, будет прорыв не только в межведомственном взаимодействии, но и в априорном моделировании угроз, ведь применяемые технологии известны, поэтому применяющим ЕБС организациям останется только эффективно реализовывать меры защиты.
Какими встроенными и наложенными средствами закрываются угрозы
Закрытие угроз не является типовой задачей с универсальным решением, несмотря на схожесть реализации сегментов ЕБС. В самой системе присутствуют такие функции безопасности, как разграничение доступа, шифрование данных в базе и при передаче по сети. Применяемые отказоустойчивые решения можно отнести ко встроенным средствам безопасности.
На безопасность системы в целом будет влиять не только безопасность государственной системы, но и защищенность комплексов участников ЕБС, например банков. Под средствами защиты обычно подразумевают технические, однако ввиду чувствительности данных, хранящихся в ЕБС, необходимо реализовать меры защиты, направленные на минимизацию "человеческого фактора", прежде всего контроль действий, определение юридической ответственности.
Если вновь обратиться к ГОСТ 57580, то мы увидим, что организационные меры, особенно планирование, контроль и совершенствование, занимают существенный объем стандарта. Самое важное – понимание того, что выстроенная система информационной безопасности не может существовать продолжительное время без потери эффективности, именно поэтому она должна постоянно оцениваться и улучшаться.
С технической точки зрения ГОСТ 57580 выделяет восемь процессов безопасности, каждый из которых подразумевает одно или несколько технических решений для защиты от актуальных угроз.
Набор таких решений перекрывает требования приказов ФСТЭК России по защите персональных данных, в том числе по биометрии.
ГОСТ 57580 диктует необходимость обеспечивать безопасность при разработке программного обеспечения. Было бы хорошо увидеть такую отсылку в законе, но ее, увы, нет. Между тем бреши в безопасности прикладного и системного ПО, например при некорректном разграничении доступа, не могут быть эффективно закрыты наложенными средствами. Применение требований по оценке соответствия (ОУД4 в том числе) было бы весьма логичным. Возможно, законодатели готовят что-то аналогичное.
Процессы и классы решений
Коммерческие биометрические системы
На практике можно часто услышать словосочетание "коммерческая биометрическая система" (КБС). КБС – не законодательный термин, а результат естественного желания рынка удовлетворить потребность в использовании биометрии без лишних расходов. Юридически под КБС можно понимать аккредитованную для работы с ЕБС организацию, которая может дать свое условное мобильное приложение и выдать да/нет по результатам аутентификации пользователя. Воспользоваться этим результатом может третья организация, которая хочет использовать вход по биометрии, но доступа к биометрическим данным она таким образом не получит.
Заключение
Закон 572-ФЗ не дает подробностей технической реализации ЕБС и защиты данных в ней, однако достаточно четко определяет, куда можно обращаться с вопросами.
Из того, что явно нуждается в пояснениях и доработке, отметим область действия закона (непонятно, как быть с миграционным учетом) и отсутствие требований к безопасной разработке (возможно, появится позднее усилиями регуляторов).
Что же касается нормативной базы применения биометрии, то после выхода данного закона она лишилась большинства противоречий, что не может не радовать.
В ближайшем будущем стоит ожидать от регуляторов результат их совместных усилий по определению угроз.