Искусство читать нормативку 2. Эта загадочная аккредитация работающих с биометрией

Дата: 04.05.2022. Автор: Михаил Емельянников. Категории: Блоги экспертов по информационной безопасности
Искусство читать нормативку 2. Эта загадочная аккредитация работающих с биометрией

Посты о биометрии – одни из самых читаемых в моем блоге. Вот и последний из опубликованных, про искусство чтения нашей запутанной нормативки в области биометрии, за последние три месяца собрал на порядок больше прочтений, чем все остальные публикации. В нем я обещал вернуться к теме аккредитации, и, хотя три года на исполнение обещанного еще не прошло, решил к этой теме вернуться. Тем более, что на моем последнем вебинаре о выполнении требований законодательства о персональных данных в кредитных организациях этот вопрос тоже вызвал оживленную дискуссию участников, а к единому мнению прийти не удалось.

Главный вопрос – надо ли аккредитовываться всем, в том числе банкам, для которых использование Единой биометрической системы (ЕБС) является обязательным, а также владельцам собственных систем биометрической идентификации, никак с ЕБС не связанных, и использующих формы биометрии, отсутствующие в ЕБС (дактилоскопию, радужку глаза, рисунок вен и другие). Регулятор (Минцифры), надзор и защитник прав субъектов (Роскомнадзор) на эту тему молчат, разъяснений нет, а те, что есть в частных письмах с ответами на вопросы волнующихся операторов и специалистов однозначных ответов на поставленные вопросы не содержат. Самый наглядный пример – хождение за тремя ответами Алексея Лукацкого.

Что ж, нет разъяснений — будем читать нормативку как положено – буквально и внимательно.

Правила аккредитации операторов, обрабатывающих биометрические персональные данные, определены в Постановлении Правительства РФ от 20 октября 2021 г. № 1799. В самом Постановлении и утвержденных им Правилах ЕБС не упоминается совсем. Там есть отсылки к единому порталу гос- и муниципальных услуг, единой СМЭВ, ЕГРЮЛ, но про ЕБС — молчок.

Правила устанавливают порядок аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по такой идентификации и (или) аутентификации. Опять никаких исключений, при буквальном прочтении очевидно: если организация использует биометрию, то ей надо к 1 сентября бежать в Минцифры с заявлением для подтверждения своих полномочий. 

Но дьявол, как известно, в деталях. Возьмем лупу и внимательно рассмотрим их.

В преамбуле Постановления есть отсылка к частям 18.28, 18.30, 18.31 и 18.33 статьи 14.1 «трехглавого» закона от 27.06.2006 № 149-ФЗ, детально рассматривающей применение биометрии. Что же в этих частях?

В части 18.28 указывается, что аккредитация проводится в отношении организаций, в том числе финансового рынка, указанных в части 18.18 этой же статьи. ОК. А в ней что? Условия сбора и обработки биометрических персональных данных, используемых для аутентификации (как следует из текста остальных частей – без идентификации) в информационных системах этих самых организаций (реализация мер защиты, в том числе применение сертифицированных средств шифрования, наличие согласия субъекта и … аккредитация. Без рекурсии мы никак). Про ЕБС снова ни слова.

Часть 18.30 – про особенности аккредитации иностранных юридических лиц, подпадающих под требования части 18.18. Опять мимо ЕБС.

Часть 18.31 – про отсутствие ограничения срока аккредитации, но не организаций, указанных в части 18.18 и подпадающих под аккредитацию, а про упомянутые в части 18.20. Но мы упорные, разберемся и с этим.

Часть 18.20 – это про еще одну загадку законодательства о биометрии. В ней – о возможности использования биометрии уже включая идентификацию, а не только аутентификацию, организациями, кроме госорганов и органов местного самоуправления, в случаях, установленных Правительством РФ по согласованию с Банком России. Продвинутые читатели уже поняли, что речь идет про Постановление Правительства РФ от 23 октября 2021 г. № 1815, определяющем случаи, когда биометрическую идентификацию и аутентификацию можно использовать в принципе, в том числе в случае отсутствия биометрических персональных данных в ЕБС (это написано не в Постановлении, а в части 18.26 статьи 14.1, требования которой Постановление № 1815 и реализует). То есть, если ЕБС не используется, аккредитовываться точно надо. Но для того, чтобы это было возможно, помимо требований, указанных в части 18.29 (о ней будет дальше) организации надо подключиться к ГосСОПКА. Обязательно. В том числе иностранным юрлицам, которые хотят получить аккредитацию.

Ну, и наконец (будем последовательны) – про часть 18.33.Она — про особенности аккредитации иностранных юридических лиц, подпадающих под требования уже не части 18.18, а части 18.20. И опять мимо ЕБС.

Уфффф, выдохнули…? Не совсем. Странно, что в преамбуле Постановления не упоминается часть 14.29 статьи 14.1, в которой устанавливаются требований к аккредитации, которые как раз реализуются в Постановлении. Может быть потому, что в документе Правительства зачем-то полностью повторяются требования, уже прописанные в законе?

Итоги: читая буквально закон и подзаконные акты, приходим к однозначному выводу, что аккредитация нужна всем операторам, использующим биометрию для аутентификации, аутентификации и идентификации физических лиц, а также оказывающих такие услуги вне зависимости от того взаимодействуют ли они с ЕБС или нет. Даже если биометрия используется для входа в собственные помещения или информационные системы. Кстати, исходя из требований Постановления № 1815, входить в систему по биометрии (например, по «пальчику») будет нельзя.

Про условия аккредитации и требования к заявителям писать не буду. Для чтения на неделе между длинными праздниками-выходными это будет перебор. Скажу лишь, что аккредитоваться, если опять читать нормативку буквально, удастся далеко не всем, даже если использование для них биометрии является обязательным по закону, например, банкам с универсальной лицензией и иностранным участием более 49%. У таких операторов останется только один путь – получение услуг идентификации и аутентификации у счастливых обладателей аккредитации (ВТБ, Сбер?), не безвозмездно, конечно, но обязательно. Статья 7 «антиотмывочного» закона № 115-ФЗ требует.

Но об этом – как-нибудь в следующий раз. При наличии времени и желания.


Источник — блог Емельянникова Михаила «Рецепты безопасности от Емельянникова».

Об авторе Михаил Емельянников

Экcперт в области информационной безопасности и безопасности бизнеса. Управляющий партнер Консалтингового агентства "Емельянников, Попова и партнеры"
Читать все записи автора Михаил Емельянников

Добавить комментарий

Ваш адрес email не будет опубликован.