Биометрическая идентификация в банках!!!

Для запуска биометрической идентификации в соответствии с изменениями, внесенными в Федеральный закон «Об информации, информационных технологиях и о защите информации», было необходимо принятие целого ряда подзаконных нормативных правовых актов.

22 февраля распоряжением правительства № 293-р на ПАО «Ростелеком» были возложены функции оператора единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (Единой биометрической системы, ЕБС).

Затем 28 марта 2018 года Правительство постановлением № 335 определило федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации граждан Российской Федерации на основе биометрических персональных данных, которым стало Минкомсвязи России.

Дальше решались процессные задачи и согласовывались со всеми заинтересованными сторонами, что всегда в нашей стране дается не легко.

К концу июня документы стали появляться как из рога изобилия:

21 июня подписан Приказ Минкомсвязи России № 307 «Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также об определении степени взаимного соответствия указанных биометрических персональных данных, достаточной для проведения идентификации, предусмотренной Федеральным законом от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»» (вместе с  «Методикой проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, для одного бимодального алгоритма» и аналогичной методикой для для двух независимых биометрических алгоритмов) (зарегистрирован в Минюсте 29.06.2018, вступление в силу – 6 июля).

25 июня подписан Приказ Минкомсвязи России № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации» (зарегистрирован в Минюсте 04.07.2018, вступление в силу – 11 июля).

В тот же день — Приказ Минкомсвязи России № 323 «Об утвержденииформ подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации, требованиям к информационным технологиям и техническим средствам, предназначенным для указанных целей» (зарегистрировано в Минюсте 29.06.2018, вступление в силу – 6 июля).

В тот же день — Приказ Минкомсвязи России № 322 «Об определении размера платы, взимаемой оператором единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, за предоставление банкам, соответствующим критериям, установленным абзацами вторым — четвертым пункта 5.7 статьи 7 Федерального закона от 7 августа 2001 г. N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», информации о степени соответствия предоставленных биометрических персональных данных биометрическим персональным данным клиента-физического лица, содержащимся в указанной системе» (зарегистрирован в Минюсте 04.07.2018, вступление в силу – 10 июля).

29 июня — Постановление Правительства РФ № 747 «Об установлениитребований к фиксированию действий при размещении в электронной форме в единой системе идентификации и аутентификации сведений, необходимых для регистрации гражданина Российской Федерации в указанной системе, и иных сведений, предусмотренных федеральными законами, а также при размещении биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации» (вступление в силу – 30 июня 2018).

30 июня принято Постановление Правительства РФ № 772 «Обопределении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации» (вступление в силу – 11 июля 2018).

В тот же день – Распоряжение Правительства РФ № 1322-р «Об утверждении формы согласия на обработку персональных данных, необходимых для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, и биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации» (вступление в силу – 30 июня 2018).

То есть система законно заработала тогда, когда большинство регламентирующих ее функционирование нормативные актов еще не действовали, а часть вступила в силу в день старта, и банки каким-то мифическим способом узнали их содержание, например, форму согласия субъекта на обработку биометрии.

Но, если читатели помнят, нам обещали суперзащищенную систему. Вот только модели угроз, от которых ее надо защищать, пока нет. Не сложилось.

27 июня Банк России разослал письмо № 03-56/4799, в котором сообщил, что перечень угроз согласовывается с ФСБ и ФСТЭК, и в него планируется включить угрозы, указанные в приложении к письму. Планируется. А система работает. И ее надо защищать. Сегодня. А не когда согласуют модель.

Судя по обилию ссылок в предполагаемом перечне угроз на приказ № 378 ФСБ России, согласование идет.

Во всем этом клубке проблем, а также во многих других проблемах мы будет разбираться на семинаре «Соблюдение законодательства о персональных данных в кредитно-финансовых учреждениях в новых условиях 2018 года», который пройдет 25 июля в НОО НП «БизнесШколаКонсультант».

Обновленная программа — здесь.

 

Статья взять с блога Емельяннинкого Михаила Юрьевича