Rivalry2

HTML Diff

0 added 0 removed

Original 2026-01-01

Modified 2026-03-10

1 <ul><li><a>Цель работы</a></li>

2 <li><a>Проблема</a></li>

3 <li><a>Методы решения</a><ul><li><a>Требования к техническим средствам</a></li>

4 <li><a>Требования к уровням защиты и организационным мерам по обеспечению информационной безопасности при работе с биометрическими персональными данными</a></li>

5 <li><a>Требования к шифровальным средствам</a></li>

6 </ul></li>

7 <li><a>Результат</a></li>

8 </ul>Автор: Елена Петрова, выпускница<a>курса "ИБ. Basic"</a>.

9 <h2>Цель работы</h2>

10 Рассмотреть и проанализировать актуальные требования по защите информации, предъявляемые в России к информационным технологиям и техническим средствам для работы с биометрическими персональными данными.

11 <h2>Проблема</h2>

12 29 декабря 2022 был принят Федеральный Закон № 572 "Об осуществлении идентификации…". До принятия этого закона организации могли аутентифицировать людей по биометрическим персональным данным самостоятельно. Но ФЗ № 572 изменил ситуацию:

13 <ul><li>все биометрические персональные данные должны храниться только в государственной единой биометрической системе - ЕБС</li>

14 <li>ограниченное число организаций может собирать биометрические персональные данные по определённым правилам </li>

15 <li>распознавать человека можно только с помощью специальных "векторов ЕБС", через ЕБС или с помощью аккредитованных организаций, требования к которым сильно ужесточились, в том числе и в области информационной безопасности.</li>

16 </ul>Поэтому необходимо изучить эти новые требования по защите информации к ИТ и техническим средствам, чтобы работать с биометрическими персональными данными в новых реалиях.

17 <h2>Методы решения</h2>

18 Я изучила разнообразные нормативные правовые акты, связанные с обработкой биометрии в области информационной безопасности.

19 Вот некоторые из них:

20 <ol><li>ФЗ № 572 от 29 декабря 2022 "Об осуществлении идентификации…"</li>

21 <li>ФЗ № 152 от 8 июля 2006 "О персональных данных…"</li>

22 <li>ФЗ № 149 от 27 июля 2006 "Об информации…"</li>

23 <li>ФЗ № 187 от 12 июля 2017 "О безопасности инфраструктуры…"</li>

24 <li>ПП РФ № 1119 от 1 ноября 2012 "Об утверждении требований к защите ПД"</li>

25 <li>Приказ ФСБ РФ № 66 от 9 февраля 2005 "Об утверждении положения о разработке СКЗИ (Положение ПКЗ-2005)</li>

26 <li>Приказ ФСБ РФ № 378 от 10 июля 2014 "Об утверждении мер по обеспечению безопасности персональных данных"</li>

27 <li>ПП РФ № 313 от 16 апреля 2012 "Об утверждении положения о лицензировании шифровальных (криптографических) средств"</li>

28 <li>Приказ МЦ № 323 от 25 июня 2018 "Об утверждении форм подтверждения соответствия ИТ требованиям" </li>

29 <li>Приказ МЦ № 445 от 05 мая 2023 "Об утверждении перечня угроз безопасности, актуальных при обработке БПД…" (в ЕБС)</li>

30 <li>Приказ МЦ № 446 от 05 мая 2023 "Об утверждении перечня угроз безопасности, актуальных при обработке БПД…" (в КБС) "Об утверждении перечня угроз безопасности, актуальных при обработке БПД…" (в КБС)</li>

31 <li>ПП РФ № 585 от 11 апреля 2023 "Об утверждении Положения о государственном контроле в сфере идентификации и/или аутентификации и признании ПП РФ № 1729 утратившим силу"</li>

32 <li>Постановление ПП РФ № 608 от 26 июня 1995 "О сертификации СКЗИ"</li>

33 <li>Приказ МЦ № 1034 от 29 ноября 2023 "О формах подтверждения соответствия ИТ, предназначенных для обработки БПД, требованиям ФЗ № 572 и внесении изменений в приказ МЦ № 453 </li>

34 <li>Указание ЦБ ФР № 6540-У от 25 сентября 2023 "О перечне угроз безопасности, актуальных при обработке БПД, векторов ЕБС при взаимодействии ИС организаций финансового рынка с ЕБС"</li>

35 <li>Указание ЦБ РФ от 25.09.2023 N 6541-У "О перечне угроз безопасности, актуальных при обработке БПД, векторов ЕБС финансовыми организациями через КБС и при взаимодействии с ИС других организаций"</li>

36 </ol><h2>Требования к техническим средствам</h2>

37 В приказе Министерства цифрового развития № 453 указаны следующие требования к техническим средствам и уровням их защиты для обработки биометрических персональных данных:

38 Требования к камере и условия съемки

39 ТребованиеУсловие съемкиФокусное расстояниеот 26,7 до 100 мм при расположении субъекта на расстоянии 0,3-1,0 м от камерыРазрешение получаемого изображенияне менее 1280х720 пикселейОсвещенностьдля камер с коррекцией освещенности: не менее 300 лк для камер без коррекции: не менее 100 лкРежим автоматической корректировки баланса белого цветаприсутствуетТребования к уровню защиты технических средств

40 Уровень защитыТип организацииВторой уровень защиты информации (стандартный) для финансовых организаций (установлен национальным стандартом Российской Федерации по<a>ГОСТ Р 57580.1-2017</a>)Третий уровень защиты информациидля остальных организацийПри этом для работы с биометрией необходимо произвести процедуру оценки соответствия требований к информационным технологиям и техническим средствам, предоставив следующие документы:

41 <ul><li>документы, подтверждающие право на использование ИТ, предназначенных для обработки векторов ЕБС</li>

42 <li>наименование, модель и тип технических средств, предназначенных для обработки изображения лица, а также эксплуатационные документы на указанные технические средства</li>

43 <li>наименование, версию, модальность и планируемые случаи использования информационных технологий, предназначенных для обработки векторов ЕБС</li>

44 <li>протокол эксплуатационных испытаний информационных технологий, предназначенных для обработки векторов ЕБС</li>

45 </ul><a></a><h2>Требования к уровням защиты и организационным мерам по обеспечению информационной безопасности при работе с биометрическими персональными данными</h2>

46 Чтобы бороться с угрозами безопасности при работе с БПД, нужно применять специальные меры. Согласно приказам Министерства цифрового развития № 445 и № 446, для организаций могут быть актуальны следующие угрозы:

47 <ul><li>нарушение целостности (подмена, удаление) БПД</li>

48 <li>нарушения конфиденциальности (компрометации)</li>

49 <li>нарушение достоверности при обработке (внесение фиктивных биометрических персональных данных) </li>

50 </ul>Такие нарушения могут произойти:

51 <ul><li>при сборе БПД и их передаче между устройствами или ИС-подразделениями</li>

52 <li>когда банки взаимодействуют с ЕБС, чтобы разместить и обновить биометрические персональные данные в ЕБС</li>

53 <li>при автоматизированной обработке БПД на устройстве клиента</li>

54 </ul>Для противодействия этим угрозам необходимо соблюдать требования к защите биометрических персональных данных, использовать технические и организационные меры.

55 Информационная система считается способной к обработке биометрических персональных данных, если обрабатывает сведения о физиологических и биологических особенностях человека, кроме:

56 <ul><li>расовой и национальной принадлежности</li>

57 <li>политических взглядов</li>

58 <li>религиозных или философских убеждений</li>

59 <li>сведений о состоянии здоровья</li>

60 <li>сведений об интимной жизни</li>

61 </ul>Информационные системы, обрабатывающие БПД, обязаны обеспечить безопасность при обработке персональных данных в зависимости от типа угроз.

62 Три типа угроз

63 Тип 1:недокументированные возможности в системном ПО, которое использует ИС

64 Тип 2:недокументированные возможности в прикладном ПОТип 3:не связан с недокументированными возможностями в системном и прикладном ПО

65 Для систем всех организаций, работающих с биометрией, необходимо устанавливать третий уровень защищённости. Второй уровень защищенности подходит для организаций финансовой сферы.

66 Согласно приказу ФСБ России № 378 в системах третьего уровня защищённости должны соблюдаться следующие организационные меры защиты БПД:

67 <ul><li>режим обеспечения безопасности помещений, в которых размещена ИС, должен препятствовать неконтролируемому проникновению посторонних лиц</li>

68 </ul><ul><li>носители данных должны находиться в сохранности</li>

69 <li>руководитель должен утверждать оператора документа с перечнем лиц, чей доступ к персональным данным необходим для выполнения ими служебных обязанностей</li>

70 </ul><ul><li>необходимо использовать средства защиты информации, прошедшие процедуру оценки на соответствие требованиям законодательства РФ по обеспечению безопасности информации (использование СКЗИ класса КС-1 и выше, когда для информационной системы актуальны угрозы третьего типа)</li>

71 </ul><ul><li>необходимо назначить должностное лицо, ответственное за безопасность персональных данных в ИС</li>

72 </ul><ul><li>ограничить доступ к содержанию электронного журнала сообщений для всех, кроме уполномоченного лица или должностных лиц из перечня оператора, которым сведения из электронного журнала нужны для выполнения служебных обязанностей (актуально только для банковской сферы)</li>

73 </ul><h2>Требования к шифровальным средствам</h2>

74 Что касается технических мер безопасности, здесь необходимо использовать средства криптографической защиты информации (СКЗИ) для работы с БПД.

75 Правила применения шифровальных средств

76 ПравилоНормативные правовые актыОбязательно использовать шифровальные средства при передаче БПД физического лица в процессе идентификации и аутентификацииФЗ № 149 Необходимо оценивать шифровальные средств на соответствие требованиям законодательства РФ в области обеспечения безопасности информацииПП РФ № 608ФЗ № 149 Если человек отказывается использовать шифровальные средства, его нельзя аутентифицировать без его личного присутствия ФЗ № 572 Основные требования к СКЗИ согласно приказу ФСБ России № 66

77 <ul><li>СКЗИ должны быть сертифицированы</li>

78 <li>Класс используемого СКЗИ должен нейтрализовывать установленные угрозы</li>

79 </ul>Требования к применению СКЗИ

80 <ul><li>СКЗИ должны приобретаться у лицензиатов ФСБ России</li>

81 <li>Монтировать и устанавливать СКЗИ может только организация, которая осуществляет работы по лицензируемым видам деятельности</li>

82 <li>СКЗИ должны быть учтены в соответствии с учётными номерами, присваиваемыми ФСБ России</li>

83 <li>Там, где используется СКЗИ, должны быть дистрибутивы, формуляры и правила пользования</li>

84 <li>СКЗИ должны использоваться по правилами, а все изменения условий использования СКЗИ нужно согласовывать с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ</li>

85 <li>Используемые СКЗИ должны проходить контрольные тематические исследования</li>

86 <li>Пользователи СКЗИ должны знать правила работы с отметками в журнале учёта пользователей СКЗИ</li>

87 <li>При использовании СКЗИ необходимо внимательно относиться к выполнению требований и условий из формуляра и правила пользования</li>

88 </ul><h2>Результат</h2>

89 В ходе изучения нормативных правовых актов я выяснила, что особые требования к информационной безопасности необходимо выполнять следующим организациям:

90 <ul><li>финансовым организациям с биометрической ИС, которые работают с биометрией </li>

91 <li>нефинансовым организации с биометрической ИС, которые работают с биометрией</li>

92 <li>организациям, аккредитованным Министерством цифрового развития для работы с биометрией </li>

93 </ul>Всем этим организациям необходимо выполнять:

94 <ul><li>требования к техническим средствам</li>

95 <li>требования к организационным мерам</li>

96 <li>требования к шифровальным средствам</li>

97 </ul>Глоссарий

98 БПД -биометрические персональные данные, биометрия. Характеризуют физиологические и биологические особенности человека. Используются оператором для установления личности субъекта персональных данных

99 ЕБС-единая биометрическая система. Государственная цифровая платформа, которая позволяет установить и подтвердить личность человека по его физиологическим и биологическим характеристикам

100 КБС- коммерческая биометрическая система. Организация, аккредитованная Министерством цифрового развития для работы с биометрией, имеет право хранить у себя векторы ЕБС, аутентифицировать по биометрии и оказывать услуги аутентификации третьим лицам (организациям)

101 СКЗИ -средство криптографической защиты информации. Программные решения, которые используются для шифрования данных при обмене информацией и её хранении

102