Три июньских постановления Правительства про ЕБС и еще кое-какие инициативы в области биометрии. Часть 1

Дата: 04.07.2022. Автор: Михаил Емельянников. Категории: Блоги экспертов по информационной безопасности
Три июньских постановления Правительства про ЕБС и еще кое-какие инициативы в области биометрии. Часть 1

В июне Правительством России приняты три новых постановления, касающиеся функционирования Единой биометрической системы. Учитывая новость Банка России о необходимости «полной перезагрузки» ЕБС в течение двух ближайших лет, такая активность говорит, с одной стороны, о фактическом провале программы поголовной максимальной фиксации данных граждан страны, обеспечивающих отслеживание их передвижения (биометрия лица) и использование средств связи (биометрия голоса) (на конец 2021 году в системе было немногим больше 200 тысяч аккаунтов), а с другой – о крайней важности этой программы для государства. И банковские услуги, конечно, здесь совсем ни при чем.

Начнем с перезагрузки. Цитирую первого зампреда Банка России О.Н. Скоробогатову по РИА Новости: «Единая биометрическая система, которая была создана в 2018-2019 году, в этом и в следующем году будет полностью «перезагружена». Мы понимаем, что нам не хватает терминалов и мобильных приложений, где люди могут просто сдать свою биометрию, как это было в иностранных приложениях. Развитие системы мы относим на 2022-2023 год». В действительности в иностранных приложениях пользователи никому биометрию не сдают, если верить западным и восточным вендорам. Пользователи фиксировали ее на своем мобильном устройстве для идентификации на нем же, а дальше каждый пользователь, в зависимости от степени параноидальности и веры вендору, принимал решение, использовать ли пальчик или личико вместо пароля для разблокировки устройства или нет.

С ЕБС все по-другому. Там биометрия именно сдается оператору – ПАО Ростелеком, а затем, в соответствии с постановлением Правительства РФ от 28.12.2018 № 1703, в течение одного дня после получения запроса передается спецслужбам – ФСБ и МВД.

Но, чтобы облегчить сдачу биометрии с использованием мобильных приложений, с 30 декабря 2021 года заработали поправки в «трехглавый» закон № 149-ФЗ(часть 1.3 статьи 14.1), позволяющие размещать свои биометрические персональные данные в ЕБС с применением пользовательского оборудования, имеющего в своем составе идентификационный модуль, если личность физического лица при таком размещении подтверждена с использованием загранпаспорта, содержащего электронный носитель с биометрическими персональными данными. А 15 июня 2022 года принято Постановление Правительства РФ № 1066, определяющее порядок размещения физическими лицами своих биометрических персональных данных в ЕБС. Рассмотрим его основные положения.

Минцифры, до конца текущего месяца, должно обеспечить возможность применения прошедших в установленном порядке процедуру оценки соответствия (читаем – сертификации ФСБ России) средств криптографической защиты информации при использовании ЕСИА и ЕБС и обеспечить функционирование технического решения для проверки действительности загранпаспорта с чипом, обычно называемого биометрическим.

Ростелекому к этому же сроку Постановление, как в нем указывается, рекомендует разработать программу и методику оценки алгоритмов обнаружения атак на биометрическое предъявление (так указано в тексте Постановления) в соответствии с требованиями ГОСТ Р 58624.3-2019 и создать российское программное обеспечение (мобильное приложение) для обработки биометрии в ЕБС, согласовать его с ФСБ и Минцифры, а к 30 сентября утвердить согласованный с этими же ведомствами системный проект решения, обеспечивающего самостоятельное размещение физлицами своей биометрии в ЕБС и подключить мобильное приложение к ЕСИА и ЕБС. Как оператор системы уложится в эти более чем сжатые сроки и не просто разработает, но и успешно реализует системный проект, будет видно. ФСБ отведено на согласие системного проекта всего 15 дней.

Тогда же, 30 сентября, вступают в силу Правила самостоятельного размещения физлицами своей биометрии в ЕБС, утвержденные Постановлением Правительства.

Из примечательного в Правилах размещения отметим:

·     обязательность наличия у такого пользователя учётной записи в ЕСИА, полученной при личной явке;

·     необходимость размещения в ЕБС, помимо собственно биометрии, идентификатора из ЕСИА, номера мобильного телефона, адреса электронной почты, даты рождения и сведений о гражданстве (зачем они нужны для проверки предъявляемой биометрии именно в ЕБС при наличии записи в ЕСИА отдельный, скорее, риторический вопрос, тем более, что все сведения, кроме биометрии, в ЕБС и так загружаются из ЕСИА);

·     подтверждение личности субъекта, загружающего в ЕБС свою биометрию, и автоматическая проверка загружаемой биометрии осуществляются с использованием биометрического загранпаспорта путем сопоставления размещаемых биометрических персональных данных его данным, записанным на чип загранпаспорта, и данных владельца со сведениями в ЕСИА;

·     необходимость проверки Ростелекомом отсутствия на мобильном устройстве пользователя вредоносного программного обеспечения (вопрос о способе установки приложения на мобильное устройство в документах деликатно обходится);

·     необходимость выражения согласия субъекта на обработку его биометрии при ее размещении в ЕБС, подписанного, в том числе, простой электронной подписью (видимо, даваемого в том же мобильном приложении).

Продолжение следует.


Источник — блог Емельянникова Михаила «Рецепты безопасности от Емельянникова».

Об авторе Михаил Емельянников

Экcперт в области информационной безопасности и безопасности бизнеса. Управляющий партнер Консалтингового агентства "Емельянников, Попова и партнеры"
Читать все записи автора Михаил Емельянников

Добавить комментарий

Ваш адрес email не будет опубликован.