Журнал "Information Security/ Информационная безопасность" #1, 2020

На текущий момент лишь единичные банки готовы оказывать финансовые услуги на основе удаленной идентификации граждан в ЕСИА и ЕБС. Согласно положениям информационного письма Банка России от 28.06.2018 №ИН-03-13/40 2 с 1 января 2020 г. 100% отделений банков (позже было уточнение на cbr.ru: имею- щих универсальную лицензию), должны предоставлять услугу приема биометрических данных клиентов. Для банков с базовой лицензией этот срок было пред- ложено перенести на начало 2021 г. (в том же сообщении на cbr.ru ). Согласно разъяснениям от Банка России по вопросу сбора и размещения биометрических дан- ных клиента – физического лица в ЕБС, изложенным в информа- ционном письме от 13.12.2019 № ИН-06-59/91, "размещение и обновление в ЕСИА и ЕБС сведе- ний о клиенте – физическом лице является самостоятельной услу- гой, оказываемой банком. В связи с этим отсутствие предшествую- щих договорных отношений с бан- ком, в том числе отсутствие заключенного договора банков- ского счета, не может являться основанием для отказа в разме- щении и обновлении в электрон- ной форме в ЕСИА и ЕБС сведе- ний о клиенте – физическом лице". То есть если любой человек "с улицы" может обратиться в банк по вопросу размещения и (или) обновления в электрон- ной форме своих биометриче- ских данных в ЕБС и банком (цитата из указанного письма) "должна быть выполнена его идентификация в соответствии с требованиями Федерального закона № 115-ФЗ, сведения о нем должны быть внесены в анкету (досье) клиента" и долж- ны быть проведены процедуры сбора и размещения данных в ЕБС и ЕСИА. Получается, банки – это теперь еще и "пункты приема и размещения в ЕБС" биомет- рических образцов граждан. На сайте Банка России (cbr.ru ) с 9 октября 2018 г. публикуется "Карта точек банковского обслу- живания, где можно сдать био- метрию" 3 . На карте отмечено множество отделений банков из разных субъектов РФ. Но, как говорится, не стоит прини- мать карту за местность. Посчитаем Давайте для начала разби- раться, что у нас с количеством банков, уже предоставляющих услугу по сбору и размещению в ЕБС биометрических данных клиентов. На конец 2018 г. таких банков, по сообщениям в СМИ, насчи- тывалось 61. В декабре 2019 г. в СМИ прошла информация, что глава "Ростелекома" 4 на слушаниях в Госдуме сообщил о более 150 российских банках, собирающих биометрические данные клиентов. Согласно законодательству РФ, к сбору и размещению био- метрии в ЕБС допускаются только те финансовые органи- зации, которые удовлетворяют критериям, одним из которых является установленный абза- цами вторым – четвертым п. 5.7 ст. 7 Федерального закона от 07.08.2001 № 115-ФЗ "О проти- водействии легализации (отмы- ванию) доходов, полученных преступным путем, и финанси- рованию терроризма". На сайте Банка России (cbr.ru ) размещен и регулярно обнов- ляется перечень банков, соот- ветствующих указанным выше требованиям. По состоянию на 10 января 2020 г. в этом перечне находились 365 финансовых организаций. Сделав нехитрый расчет, получаем, что более 200 банков пока еще не оказывают услугу по сбору и размещению в ЕБС биометрии граждан. 22 • УПРАВЛЕНИЕ Биометрия в банках – несуразная, угловатая и противоречивая вся рамках выполнения требований закона № 482-ФЗ, согласно которому были приняты дополнения в законы № 115-ФЗ и № 149-ФЗ 1 , кредитные организации должны были до конца 2018 г. создать центры регистрации биометрических контрольных шаблонов для обеспечения возможности клиентам – физическим лицам проходить в офисах банков биометрическую идентификацию на безвозмездной основе, а также размещать и обновлять сведения, полученные в ходе биометрической идентификации (изображение лица и запись голоса), в Единой биометрической системе (ЕБС) и в Единой системе идентификации и аутентификации (ЕСИА, действует с 2010 г.). В Валерий Естехин, эксперт по вопросам информационной безопасности,автор блога estekhin.blogspot.ru 1 Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации". 2 Согласно положениям информационного письма Банка России от 28.06.2018 № ИН-03-13/40 банки обязаны выполнять регистрацию клиентов – физических лиц в ЕБС и обеспечивать внутренние структурные подразделения (ВСП) банков в каждом субъекте РФ необходимым, отвечающим всем требованиям законодательства оборудованием и программным обеспечением: l не менее чем в 20% ВСП – по состоянию на 31 декабря 2018 г.; l не менее чем в 60% ВСП – по состоянию на 30 июня 2019 г.; l во всех ВСП – по состоянию на 31 декабря 2019 г. 3 https://www.cbr.ru/fintech/remote_authentication/map/ 4 Согласно распоряжению Правительства РФ от 22.02.2018 № 293-р оператором Единой биометрической системы назначено ПАО “Ростелеком".