Журнал "Системы безопасности" #5, 2019

Т екущие методы удаленной биометрической идентификации можно разделить на две группы: 1) идентификация осуществляется встроенными сервисами операционной системы устройства; 2) идентификация проводится удаленно, на стороне компании, предоставляющей доступ к защищенному ресурсу. Рассмотрим, в чем заключаются различия и уязвимости этих видов идентификации. Идентификация на устройстве Неважно, каким способом проводится иденти- фикация пользователя на устройстве – по отпе- чатку пальца, характерным параметрам лица, рисунку вен или радужной оболочке глаза. В зависимости от используемого алгоритма на разных устройствах эти методы могут демонстри- ровать более или менее точные результаты. Например, смартфоны под управлением опера- ционной системы Android на момент написания статьи не поддерживали подтверждение финансовых операций при помощи биометри- ческой идентификации по лицу. Быстро и удобно Положительным моментом реализации биомет- рического функционала на стороне пользователя является то, что биометрические данные хранят- ся на личных устройствах и тем самым не нару- шаются требования GDPR по хранению и обра- ботке персональных биометрических данных граждан. Сама идентификация осуществляется также на самом устройстве встроенными сред- ствами операционной системы, что исключает зависимость от качества каналов связи, обес- печивает стабильную скорость биометрической идентификации и демонстрирует высокий уро- вень безопасности при обработке биометриче- ских данных. Основными причинами широкого применения такого метода биометрической идентификации стала простота интеграции, понятный пользова- телю интерфейс и отсутствие необходимости дополнительно приобретать биометрические лицензии. Благодаря этому компания имеет возможность бесплатно реализовать удобный для пользователя способ идентификации, а пользователю такое решение позволяет не посещать офис компании для регистрации своих биометрических данных. октябрь – ноябрь 2019 www.secuteck.ru БИОМЕТРИЧЕСКИЕ СИСТЕМЫ  С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 120 Александр Горшков Директор по развитию бизнеса ООО "Айрис Девайсез" У спехи отечественных и зарубежных фирм в повышении точно- сти и надежности распознавания биометрических характери- стик привели к необходимости подробного изучения темы защиты при обработке биометрических персональных данных. В актуаль- ной статье Александра Горшкова рассмотрен ряд вопросов, свя- занных с защитой этих данных при удаленной биометрической идентификации. 25 мая 2018 г. вступил в силу Общий регламент по защите персональ- ных данных Европейского союза (GDPR – General Data Protection Regulation). GDPR является экстерриториальным и распространяется не только на европейские организации или компании, обрабатываю- щие персональные данные на территории Европейского союза, но и на организации, находя- щиеся за его пределами. Можно выделить шесть принципов обработки данных по GDPR 1 : 1. Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объемах обработки персональных данных следует излагать максимально доступно и просто. 2. Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом). 3. Минимизация данных. Нельзя собирать личные данные в большем объеме, чем это необхо- димо для целей обработки. 4. Точность. Личные данные, которые являются неточными, должны быть удалены или исправ- лены (по требованию пользователя). 5. Ограничение хранения. Личные данные должны храниться в форме, которая позволяет иден- тифицировать субъекты данных, не дольше, чем это необходимо для целей обработки. 6. Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения. В России основные принципы защиты персональных данных определены Федеральным законом от 27.07.2006 г. № 152-ФЗ (ред. от 31.12.2017 г.) "О персональных данных". Постановлением Правительства РФ от 16.03.2009 г. № 228 (ред. от 28.02.2019 г.) "О Феде- ральной службе по надзору в сфере связи, информационных технологий и массовых коммуни- каций" (в соответствии со ст. 23 ФЗ-152) Роскомнадзор назначен федеральным органом испол- нительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных и массовых коммуникаций, информационных техноло- гий и связи, и функции по контролю и надзору за соответствием обработки персональных дан- ных требованиям законодательства Российской Федерации. Ответственность за нарушения в области обработки, хранения и передачи определяется сле- дующими документами РФ: l Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ (ред. от 02.08.2019 г.); l Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 г. № 195-ФЗ (ред. от 02.08.2019 г.); l Уголовный кодекс Российской Федерации от 13.06.1996 г. 63-ФЗ (ред. от 02.08.2019 г.). Вместе с тем до конца не определен порядок контроля правил GDPR 2 . Правила GDPR не раскрывают процедуру контроля за соблюдением Регламента организациями, расположенными вне ЕС и не назначившими представителя, и не объясняют, каким образом организации, расположенные вне ЕС, будут нести ответственность за нарушения правил обра- ботки персональных данных. Сегодняшняя геополитическая ситуация и позиция руководителя Роскомнадзора Александра Жарова по вопросу необходимости соответствия российских организа- ций требованиям GDPR ясно не определены 2 . Однако требования по защите биомет- рических персональных данных как в соответствии с требованиями GDPR, так и в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ необходимо выполнять безусловно. Василий Мамаев Редактор рубрики "Биометрические системы", заместитель директора НП "Русское биометрическое общество" 1 https://habr.com/ru/company/digitalrightscenter/blog/344064/ 2 https://habr.com/ru/company/infosecurity/blog/412729/ КОЛОНКА РЕДАКТОРА Много правил есть на свете…

RkJQdWJsaXNoZXIy Mzk4NzYw