Искусство читать нормативку. О биометрии для идентификации и аутентификации
С наступившим вас! Теперь и трудовым.
Начинаем трудиться.
Одна из главных проблем для меня в прошлом году – нормативно-правовые
документы по биометрии от новоявленного (новоназначенного?) регулятора –
Минцифры России. Казалось бы, каждый новый подзаконный акт должен вносить
ясность в общую норму закона, раскладывая по полочкам конкретный порядок
действий по ее выполнению. Как бы не так. Последние результаты нормотворчества
ситуацию только запутывают, на мой взгляд. О проблемах использования
биометрии в конце декабря хорошо
написал на своем сайте-блоге Алексей Лукацкий. Но я сейчас немного о
другом.
Итак, при выполнении проектов 2021 года наше агентство
столкнулось с рядом вопросов заказчиков, касающихся применения биометрии.
Сформулирую в более-менее обобщенном виде два основных вопроса ввиду ограниченности
формата поста (на самом деле их гораздо больше):
1. Всем
ли можно применять биометрию для идентификации и аутентификации? Например,
можно ли небольшому ритейлеру купить и поставить на компьютеры персонала или
кассовые аппараты в магазине систему распознавания пользователей по пальчикам,
то есть систему дактилоскопической идентификации?
2. Можно
ли использовать в школе систему идентификации по рисунку вен ладоней для
организации доступа на территорию школы, связав ее с системами учета
полученного питания и выдачи книг в библиотеках (идея «Ладошек» пока вовсе не
умерла, как думают некоторые).
Рассматриваемой биометрии (дактилоскопия и рисунки вен
ладони) в Единой биометрической системе (ЕБС) нет. Можно ли их использовать в
России? В ответах будет очень много букв. Понимаю, после каникул напряженно, но
…
Читаем статью 14.1 ФЗ «Об информации, информационных
технологиях и о защите информации» — самую главную в российском
законодательстве с точки зрения регулирования использования биометрии. Она и
называется соответствующе – «Применение информационных технологий в целях
идентификации физических лиц» (хотя почему-то про аутентификацию в названии не
упоминается, но порядок ее проведения статья определяет).
Части с 1 по 10 данной статьи регламентируют использование биометрии
исключительно в ЕБС, где, как все хорошо знают, только лицо и голос.
Значит, если мы живем вне ЕБС, для нас требования данный
статьи обязательными не являются? Нет, просто мы еще не все прочитали.
С 1 января в статье появилась новая часть 10.1, неожиданно
расширяющая действие норм, изложенных ранее: контроль и надзор за обработкой
персональных данных в ЕБС, а также в информационных системах государственных
органов, органов местного самоуправления, организаций финансового рынка, иных
организаций и индивидуальных предпринимателей, которые осуществляют обработку
биометрических персональных данных при идентификации и (или) аутентификации,
в том числе при взаимодействии с ЕБС осуществляет Роскомнадзор. Что это его
область надзора, на мой взгляд, очевидно и так – глава 5 ФЗ «О персональных
данных» для биометрии никаких исключений не содержит. И зачем об этом писать
еще и в 149-ФЗ — совершенно не понятно. Важны слова про иные биометрические
системы, не связанные с ЕБС – а новая часть их существование прямо допускает.
Про новую редакцию части 11, наделяющую Банк России
полномочиями по контролю и надзору за реализацией организационных и технических
мер по обеспечению безопасности персональных данных, отсутствующими в ФЗ «О
персональных данных», надо писать отдельно, это в границы данного поста не
вписывается.
Ну, а дальше, из части 13 статьи 14.1 становится очевидным,
что с 01.01.2021 Минцифры регулирует использование любой биометрии в любых
системах идентификации и аутентификации любых организаций, включая требования к
таким системам (приказы Минцифры от 25.06.2018 № 321 в новой редакции, который
утратит силу с 01.03.2022 и от 10.09.2021 № 943, с 01.03.2022 вступающий в
силу), формы подтверждения соответствия любых технологий и средств для этих
целей (приказ Минцифры от 07.07.21 № 685). Но вот беда: приложение № 3 к приказу
№ 943 опять только про голос и лицо, соответственно, и № 685 – тоже. Зато приложения
№№ 1 и 2 к тому же приказу – про сбор, размещение хранение и использование
биометрии и в иных системах тоже.
А дальше читаем крайне внимательно: часть 18.2 дает право
организациям использовать ЕБС для аутентификации в целях совершения
определенных действий (прохода на территорию, доступа к компьютеру или кассе),
но не обязывает использовать только ее. Тем, кто использует ЕБС, необходимо
использовать сертифицированную криптографию (часть 18.3), за реализацией мер
защиты надзирают ФСБ и ФСТЭК (часть 18.4). И далее –про тех, кто подпадает под
часть 18.2, то есть использует ЕБС.
Пока вроде бы никаких препятствий для использования систем,
упомянутых в вопросах в начале поста и в тех целях, которые указаны в тех же
вопросах, нет. Но это только пока.
С 1 сентября наступившего года вступят в силу новые части
статьи 14.1. Части 18.18 и 18.20 определяют условия проведения идентификации и
аутентификации с использованием биометрии в собственных информационных системах
операторов уже без упоминания и связи с ЕБС. И тогда применение
сертифицированной криптографии станет обязательным для нейтрализации актуальных
угроз. И самое главное – все операторы, использующие биометрию, должны будут
пройти аккредитацию в Минцифре (правила аккредитации утверждены Постановлением
Правительства РФ от 20.10.2021 № 1799, вступившем в силу 1 января нового года,
хотя статьи об аккредитации закона заработают с 1 сентября). Если же кроме
аутентификации операторы захотят проводить и идентификацию с использованием
биометрии, то есть создавать шаблоны и базы биометрии, а не только сверять
полученные данные с шаблонами, то на них будут распространяться требования
безопасности, предъявляемые к значимым объектам КИИ и ГИСам и взаимодействовать
с Госсопкой (пункт 2 части 18.20), причем отнесение владельца системы
идентификации к субъектам КИИ в качестве критерия здесь не упоминается.
И не менее важное: идентификация либо идентификация и
аутентификация допускаются в случаях, установленных
Правительством Российской Федерации по согласованию с Центральным банком
Российской Федерации (часть 18.26 статьи 14.1). А вот с этой частью – полная
засада. Распространяются ли эти случаи только на идентификацию и (или) аутентификацию
с использованием ЕСИА и ЕБС или это закрытый перечень случаев биометрической аутентификации,
которая выполняется без ЕБС, понять из текста нельзя. Не вносит ясность и Постановление
Правительства РФ от 23.10.2021 № 1815, которым этот перечень случаев определен
(вступает в силу с 1 марта, а статья закона, требующая его принятия – с 1 сентября).
Постановление ссылается на части 18.20 (в
которой ЕБС не упоминается) и 18.26 (в которой использование ЕБС является
обязательным). Кроме того, пункт 3 Перечня случаев допускает использование
биометрии в СКУД, но кроме случаев входа на объекты, совершение
террористического акта на территории которых может привести к возникновению
чрезвычайных ситуаций с опасными социально-экономическими последствиями, а
также режимных объектов, дошкольных и общеобразовательных организаций. В школах
биометрия невозможна? Нет в Перечне случаев упоминания и об использовании
биометрии товаров и услуг, которая вовсю внедряется сегодня где только можно и
нельзя. Так закрытый это перечень случаев или нет? Распространяется ли он
только на случаи использования ЕБС или нет? Вопросы, вопросы…
С аккредитацией тоже все очень плохо. Посмотреть можно про
нее, если лень разбираться в законе и постановлении правительства, в посте Алексея
Лукацкого, ссылка на который есть выше. Здесь уже про это рассказать не
удастся, возможно, получится свою точку зрения высказать позже.
Ну, и ответы на поставленные в начале поста вопросы. До 1
сентября все это можно. После 1 сентября, похоже, лавочки придется
свернуть.
С удовольствием почитаю мнение коллег – не накосячил ли я
чего, разбираясь в законах, постановлениях и приказах, не ошибся ли при
интерпретации установленных ими норм. Единственная просьба – указывать
конкретные нормы, которые коллегами понимаются по-другому. С цитированием и
пояснениями.
С новым вас трудовым годом. Мало, похоже, в нем не покажется.
Трудимся.
Источник — блог Емельянникова Михаила «Рецепты безопасности от Емельянникова».
