СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Михаил Емельянников
04.07.2022
#Dev#ИБ#Инфра

Три июньских постановления Правительства про ЕБС и еще кое-какие инициативы в области биометрии. Часть 1

Три июньских постановления Правительства про ЕБС и еще кое-какие инициативы в области биометрии. Часть 1

В июне Правительством России приняты три новых
постановления, касающиеся функционирования Единой биометрической системы.
Учитывая новость Банка России о необходимости «полной перезагрузки»
ЕБС в
течение двух ближайших лет, такая активность говорит, с одной стороны, о фактическом
провале программы поголовной максимальной фиксации данных граждан
страны, обеспечивающих отслеживание их передвижения (биометрия лица) и
использование средств связи (биометрия голоса) (на конец 2021 году в системе
было немногим больше 200 тысяч аккаунтов), а с другой – о крайней важности этой
программы для государства. И банковские услуги, конечно, здесь совсем ни
при чем.

Начнем с перезагрузки. Цитирую первого зампреда Банка
России О.Н. Скоробогатову по РИА Новости: «Единая биометрическая система,
которая была создана в 2018-2019 году, в этом и в следующем году будет
полностью «перезагружена». Мы понимаем, что нам не хватает терминалов и
мобильных приложений, где люди могут просто сдать свою биометрию, как это было
в иностранных приложениях. Развитие системы мы относим на 2022-2023 год». В действительности
в иностранных приложениях пользователи никому биометрию не сдают, если верить
западным и восточным вендорам. Пользователи фиксировали ее на своем мобильном
устройстве для идентификации на нем же, а дальше каждый пользователь, в
зависимости от степени параноидальности и веры вендору, принимал решение,
использовать ли пальчик или личико вместо пароля для разблокировки устройства
или нет.

С ЕБС все по-другому. Там биометрия именно сдается
оператору – ПАО Ростелеком, а затем, в соответствии с постановлением
Правительства РФ от
28.12.2018 № 1703, в течение одного дня после получения запроса передается
спецслужбам – ФСБ и МВД.

Но, чтобы облегчить сдачу биометрии с использованием мобильных
приложений, с 30 декабря 2021 года заработали поправки в «трехглавый»
закон № 149-ФЗ
(часть 1.3 статьи 14.1), позволяющие размещать свои биометрические персональные
данные в ЕБС с применением пользовательского оборудования, имеющего в своем
составе идентификационный модуль, если личность физического лица при таком
размещении подтверждена с использованием загранпаспорта, содержащего
электронный носитель с биометрическими персональными данными. А 15 июня 2022 года
принято Постановление
Правительства РФ № 1066, определяющее порядок размещения физическими лицами своих
биометрических персональных данных в ЕБС. Рассмотрим его основные положения.

Минцифры, до конца текущего месяца, должно обеспечить возможность
применения прошедших в установленном порядке процедуру оценки соответствия (читаем
– сертификации ФСБ России) средств криптографической защиты информации при
использовании ЕСИА и ЕБС и обеспечить функционирование технического решения для
проверки действительности загранпаспорта с чипом, обычно называемого
биометрическим.

Ростелекому к этому же сроку Постановление, как в нем
указывается, рекомендует разработать программу и методику оценки алгоритмов
обнаружения атак на биометрическое предъявление (так указано в тексте
Постановления) в соответствии с требованиями ГОСТ Р 58624.3-2019 и создать российское
программное обеспечение (мобильное приложение) для обработки биометрии в ЕБС,
согласовать его с ФСБ и Минцифры, а к 30 сентября утвердить согласованный с
этими же ведомствами системный проект решения, обеспечивающего самостоятельное
размещение физлицами своей биометрии в ЕБС и подключить мобильное приложение к
ЕСИА и ЕБС. Как оператор системы уложится в эти более чем сжатые сроки и не
просто разработает, но и успешно реализует системный проект, будет видно. ФСБ
отведено на согласие системного проекта всего 15 дней.

Тогда же, 30 сентября, вступают в силу Правила
самостоятельного размещения физлицами своей биометрии в ЕБС, утвержденные
Постановлением Правительства.

Из примечательного в Правилах размещения отметим:

· обязательность наличия
у такого пользователя учётной записи в ЕСИА, полученной при личной явке;

· необходимость
размещения в ЕБС, помимо собственно биометрии, идентификатора из ЕСИА, номера
мобильного телефона, адреса электронной почты, даты рождения и сведений о
гражданстве (зачем они нужны для проверки предъявляемой биометрии именно в ЕБС
при наличии записи в ЕСИА отдельный, скорее, риторический вопрос, тем более,
что все сведения, кроме биометрии, в ЕБС и так загружаются из ЕСИА);

· подтверждение личности
субъекта, загружающего в ЕБС свою биометрию, и автоматическая проверка
загружаемой биометрии осуществляются с использованием биометрического
загранпаспорта путем сопоставления размещаемых биометрических персональных
данных его данным, записанным на чип загранпаспорта, и данных владельца со
сведениями в ЕСИА;

· необходимость проверки
Ростелекомом отсутствия на мобильном устройстве пользователя вредоносного
программного обеспечения (вопрос о способе установки приложения на мобильное
устройство в документах деликатно обходится);

· необходимость выражения
согласия субъекта на обработку его биометрии при ее размещении в ЕБС,
подписанного, в том числе, простой электронной подписью (видимо, даваемого в
том же мобильном приложении).

Продолжение следует.

Источник — блог Емельянникова Михаила «Рецепты безопасности от Емельянникова».

Михаил Емельянников
Автор: Михаил Емельянников
Экcперт в области информационной безопасности и безопасности бизнеса. Управляющий партнер Консалтингового агентства "Емельянников, Попова и партнеры"
Комментарии: