Контакты
Подписка 2024

Полгода после вступления в силу 572-ФЗ. Полет нормальный?

Федор Музалевский, 12/08/24

Прошло полгода после вступления в силу большей части федерального закона о применении биометрии 572-ФЗ [1]. Закон определяет сразу несколько регуляторов – попробуем разобраться, кто за что отвечает.

Автор: Федор Музалевский, директор технического департамента RTM Group

ris1-Aug-12-2024-03-06-41-4345-PM

Что принципиально изменил 572-ФЗ

Понимание структуры органов госвласти, вовлеченных в обработку и защиту биометрии, важно и для граждан, чьи данные могут обрабатываться, и для всех организаций, осуществляющих эту обработку. Рассмотрим эти и другие вопросы в разрезе не только самого федерального закона, но и практики работы с защитой биометрических данных.

Закон 572-ФЗ принципиально ничего не меняет, но обобщает существовавшие ранее нормативно-правовые акты. Он является логичным шагом в развитии направления государственного регулирования биометрии. Одно из наиболее важных уточнений закона – представление закрытого перечня типов биометрии (фото и голос), которые обрабатываются в Единой биометрической системе (ЕБС). Отпечатки пальцев, сканы сетчатки глаза и т.п. данным законом не регулируются и могут применяться в коммерческих организациях без оглядки на него.

Закрепляются основные права субъекта персональных данных: разрешено отзывать свою биометрию, а также получать услуги независимо от факта наличия биометрии у оператора (например, банка). Это важно, поскольку в последнее время было много негативных откликов со стороны граждан о навязывании банками биометрии и невозможности откатить ее назад.

Практически все статьи закона вступили в силу. Более того, подзаконные акты уже активно ссылаются на 572-ФЗ – это и приказы о назначении ответственных органов госвласти (поговорим о них ниже), и ведомственные приказы о порядке работы с ЕБС.

С 2027 г. вступает в силу раздел закона, относящийся к региональным сегментам. Уже сейчас очевидно, что централизованная обработка и хранение – узкое место с точки зрения надежности и производительности. В этой части необходимо будет внести доработки еще до того, как документ вступит в силу.

Новый закон логичен и смотрится целостно. Некоторые вопросы вызывает лишь исключение миграционного учета из области его действия. Непонятно пока, зачем власти пошли на этот шаг. В сегодняшней напряженной обстановке подключение биометрии является для иностранных граждан одним из способов доказать свою лояльность законодательству РФ. К тому же это эффективный инструмент для правоохранительных органов, позволяющий идентифицировать преступников.

Как распределяется ответственность между регуляторами

Распределение ответственности закон не описывает. Здесь нужно разбираться отдельно. Двадцатая статья носит формальный характер, что естественно для федерального закона. Отметить следует явное выделение ролей оператора ЕБС и регулирующего органа. На данный момент это Центр Биометрических Технологий (ЦБТ) и Минцифры, соответственно.

Интерес представляет "орган по защите прав субъектов" ПДн – Роскомнадзор. В случае если ваши данные не удалены из ЕБС, то жаловаться нужно именно туда.

За безопасность, очевидно, уполномочена отвечать Федеральная служба по техническому и экспортному контролю (ФСТЭК России).

Отдельно вынесена роль Банка России – теперь он официально осуществляет контроль над применением биометрии в финансовом секторе. До вступления закона в силу были только рекомендации (хотя те же рекомендации 4-МР от 2019 г. во многом повторяли 321-й приказ Минцифры). Теперь снята неоднозначность для финансовых организаций, которые ранее считали, что 321-й приказ не для них, а ЦБ не является регулятором ЕБС.

Что с информационной безопасностью?

Информационная безопасность как была, так и осталась в части соответствия требованиям по защите персональных данных. Ничего для ЕБС закон фактически не прописывает, есть лишь отсылки к 152-ФЗ и уточнение требований по криптографии. При этом в тексте закона часто встречается термин "финансовые организации" – очевидно, что Центробанк принимал активное участие в работе над ним, привнеся хорошую практику. Внедрение ЕБС в финансовой отрасли началось еще в 2019 г. и на данный момент является, пожалуй, самым массовым в стране.

Отметим отдельно, что аутентификацию на основе ЕБС могут осуществлять только аккредитованные организации. Важное условие для получения доступа – наличие капитала не менее полумиллиарда рублей. Так и получается, что почти все ИТ-компании, которые могли бы работать с биометрией профессионально, не пройдут аккредитацию.

Применение биометрии четко разделено по типам данных. В ЕБС и, как гласит закон, только в ней обрабатываются фото и голос. И даже тот, кто хочет открывать дверь подъезда голосом, должен подключиться к Единой биометрической системе.

Нужно учитывать, что ЕБС – онлайн-система, ее доступность на конкретном объекте может иногда "сбоить". Отключат, например, Интернет в отдельном доме, и все перестанет работать. При этом условия использования системы сделают ее максимально дорогой, и из удобного решения для "открытия ворот" она станет эксклюзивной игрушкой.

Обеспечить все условия смогут только финансовые организации и крупные торговые сети. Возможно, это сделано умышленно, чтобы ограничить доступ небольшим игрокам, которые не имеют полноценных средств ИБ и не смогут обеспечить защиту данных.

Методика для модели угроз

Разумеется, федеральный закон не должен регламентировать моделирование угроз. Но он содержит четкие требования о том, что регулирующему органу необходимо определять актуальные угрозы и согласовывать их с ЦБ и ФСТЭК России. Как будет осуществляться межведомственное взаимодействие, будет понятно из практики, но эта задачка не из простых.

Если смотреть формально, то актуальной является методика ФСТЭК России от 05.02.2021 г. Она достаточно сложна и учитывает множество вариантов атак. Применяется эта методика для значимых объектов КИИ и ПДн и может быть существенно упрощена для узкого класса решений, взаимодействующих с ЕБС.

В то же время ГОСТ 57580.1 содержит базовую модель угроз персональным данным. Именно этому ГОСТу надо один раз в два года подтверждать соответствие (согласно приказу Минцифры № 453). Приказ является развитием 321-го приказа, обновление выпущено как раз после вступления в силу большинства пунктов 572-ФЗ.

Если многочисленные уполномоченные регуляторы смогут договориться, будет прорыв не только в межведомственном взаимодействии, но и в априорном моделировании угроз, ведь применяемые технологии известны, поэтому применяющим ЕБС организациям останется только эффективно реализовывать меры защиты.

Какими встроенными и наложенными средствами закрываются угрозы

Закрытие угроз не является типовой задачей с универсальным решением, несмотря на схожесть реализации сегментов ЕБС. В самой системе присутствуют такие функции безопасности, как разграничение доступа, шифрование данных в базе и при передаче по сети. Применяемые отказоустойчивые решения можно отнести ко встроенным средствам безопасности.

На безопасность системы в целом будет влиять не только безопасность государственной системы, но и защищенность комплексов участников ЕБС, например банков. Под средствами защиты обычно подразумевают технические, однако ввиду чувствительности данных, хранящихся в ЕБС, необходимо реализовать меры защиты, направленные на минимизацию "человеческого фактора", прежде всего контроль действий, определение юридической ответственности.

Если вновь обратиться к ГОСТ 57580, то мы увидим, что организационные меры, особенно планирование, контроль и совершенствование, занимают существенный объем стандарта. Самое важное – понимание того, что выстроенная система информационной безопасности не может существовать продолжительное время без потери эффективности, именно поэтому она должна постоянно оцениваться и улучшаться.

С технической точки зрения ГОСТ 57580 выделяет восемь процессов безопасности, каждый из которых подразумевает одно или несколько технических решений для защиты от актуальных угроз.

Набор таких решений перекрывает требования приказов ФСТЭК России по защите персональных данных, в том числе по биометрии.

ГОСТ 57580 диктует необходимость обеспечивать безопасность при разработке программного обеспечения. Было бы хорошо увидеть такую отсылку в законе, но ее, увы, нет. Между тем бреши в безопасности прикладного и системного ПО, например при некорректном разграничении доступа, не могут быть эффективно закрыты наложенными средствами. Применение требований по оценке соответствия (ОУД4 в том числе) было бы весьма логичным. Возможно, законодатели готовят что-то аналогичное.

t1-4
Процессы и классы решений

Коммерческие биометрические системы

На практике можно часто услышать словосочетание "коммерческая биометрическая система" (КБС). КБС – не законодательный термин, а результат естественного желания рынка удовлетворить потребность в использовании биометрии без лишних расходов. Юридически под КБС можно понимать аккредитованную для работы с ЕБС организацию, которая может дать свое условное мобильное приложение и выдать да/нет по результатам аутентификации пользователя. Воспользоваться этим результатом может третья организация, которая хочет использовать вход по биометрии, но доступа к биометрическим данным она таким образом не получит.

Заключение

Закон 572-ФЗ не дает подробностей технической реализации ЕБС и защиты данных в ней, однако достаточно четко определяет, куда можно обращаться с вопросами.

Из того, что явно нуждается в пояснениях и доработке, отметим область действия закона (непонятно, как быть с миграционным учетом) и отсутствие требований к безопасной разработке (возможно, появится позднее усилиями регуляторов).

Что же касается нормативной базы применения биометрии, то после выхода данного закона она лишилась большинства противоречий, что не может не радовать.

В ближайшем будущем стоит ожидать от регуляторов результат их совместных усилий по определению угроз.


  1. https://www.consultant.ru/document/cons_doc_LAW_436110/ 
Темы:БиометрияПраво и нормативыЕБСЖурнал "Информационная безопасность" №3, 2024

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Обзор изменений в законодательстве. Июль, август - 2024
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения правил категорирования ОКИИ. Защита ГИС и ЗОКИИ от DoS. Изменения в 152-ФЗ, 98-ФЗ и КоАП. Защита ГИС. Переход ОКИИ на доверенные ПАК. Госконтроль за ПДн. Требования к уничтожению и обезличиванию ПДн. Методические рекомендации ЦБ по показателям уровня риска ИБ. 
  • Обзор изменений в законодательстве. Май, июнь 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Методика оценки защиты ОКИИ. Дополнительные требования по защите ЗОКИИ в электроэнергетике. Защита цифрового рубля. Контроль ЦБ за импортозамещением ПО. Требования для хостинг-провайдеров. Деятельность по стандартизации.
  • Обзор изменений в законодательстве. Март, апрель 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения в ФЗ о безопасности КИИ. Категорирование для сферы транспорта. Продление эксперимента по повышению уровня защищенности ГИС. Новые стандарты в области защиты информации. Сертификация процессов безопасной разработки.
  • Обзор изменений в законодательстве. Январь, февраль 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Доверенные ПАК, перечни типовых ОКИИ, формы  для обработки биометрических ПДн, методика оценки безопасности ОКИИ, госконтроль за обеспечением защиты гостайны, стандарты по безопасной разработке.
  • Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных
    Денис Лукаш, управляющий партнер юридической компании Lukash & Partners
    На каких основаниях операторы ПДн привлекаются к ответственности и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...