Журнал "Системы Безопасности" № 6‘2021

К текущему времени законодательство Рос- сийской Федерации уже содержит большое количество норм, связанных с биометрией, которые можно условно разделить на три направления: 1. Сбор и обработка биометрических данных в целях исполнения функций государственных органов. 2. Сбор и обработка биометрических данных в банковской сфере. 3. Сбор и обработка биометрических данных для целей идентификации. Поскольку мы разговариваем о системах конт- роля и управления доступом, ограничусь крат- ким обзором только 3-го пункта. Законодательное регулирование Основой законодательства в области идентифи- кации пользователя можно назвать Федераль- ный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных техноло- гиях и о защите информации", который в 2017 г. законодатель дополнил ст. 14.1 "При- менение информационных технологий в целях идентификации граждан Российской Федера- ции". В статье устанавливается фундамент для Единой биометрической системы и ее связи с Единой системой идентификации и аутенти- фикации (ЕСИА), знакомой вам по порталу госуслуг. В ч. 9 настоящей статьи есть отсылка к 152-ФЗ, что говорит о том, что собранные нами биометрические данные являются явно персо- нальными, несмотря ни на какие заявления производителей оборудования и ПО, где они говорят, что их системы не подпадают под закон о защите персональных данных. Поскольку биометрические данные в СКУД являются персональными, то мы должны исполнить требования Федерального закона "О персональных данных" от 27 июля 2006 г. № 152-ФЗ, который также относит биомет- рические данные к персональным, поскольку с их помощью можно однозначно идентифи- цировать личность. При этом законодатель не учитывает, что идентификация может быть выполнена только в строго ограниченных условиях при проведении контроля доступа на предприятии. Иными словами, фотогра- фия паспорта на столе у кадровика и матема- тическая модель дактилоскопического узора в базе данных сервера СКУД – это одно и то же с точки зрения защиты персональных дан- ных. 152-ФЗ устанавливает совершенно конкретные требования к обработке биометрических пер- сональных данных, в том числе для целей конт- роля и учета доступа, а именно: 1. Если вы обрабатываете биометрические персональные данные, вы должны подать уведомление в Роскомнадзор о том, что являетесь оператором персональных дан- ных. Уведомление нужно подать даже в том случае, если юридическое лицо, которому принадлежит СКУД, не является работода- телем для сотрудников предприятия. К при- меру, за контроль периметра и СКУД на предприятии отвечает другое юридическое лицо. 2. Вы должны получить у владельца персональ- ных данных отдельное согласие в письменной форме на обработку его персональных данных в целях контроля и учета доступа. Такое же согласие вы должны получить у гостей пред- приятия, если вы вносите их имена в СКУД, привязывая к биометрии. 3. Ч. 4 ст. 21 закона говорит, что в случае дости- жения цели обработки персональных данных оператор обязан прекратить обработку персо- нальных данных или обеспечить ее и уничто- жить персональные данные в срок, не превы- шающий 30 дней с даты достижения цели обра- ботки персональных данных, если иное не предусмотрено договором. Это означает, что вы должны удалить биометрические данные сотрудника из СКУД не позднее 30 дней со дня его увольнения. Вы также можете ознакомиться с документом РКН от 30 августа 2013 г. "Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информа- ции к биометрическим персональным данным и особенностей их обработки". Сравнение биометрии  и СКУД на метках Классические системы контроля и учета доступа с использованием смарт-карт имеют несколько технологически не устранимых уязвимостей: 1. Уязвимость к копированию. Смарт-карты Em- Marin можно скопировать, не доставая из кар- мана владельца. Конечно, можно использовать карты стандарта MIFARE, но их применение накладывает повышенные требования на СКУД, контроллеры и считыватели. Обычной атакой на СКУД по этому направлению является копиро- вание смарт-карты злоумышленником или передача сотрудником копии карты посторон- нему лицу для прохождения на территорию предприятия. 2. Уязвимость к отчуждению у владельца. Любую, даже защищенную от копирования, смарт-карту может украсть злоумышленник или сотрудник может передать неавторизованному лицу. Злоумышленники могут эксплуатировать последнюю уязвимость – к отчуждению у вла- дельца – несколькими путями: 1. Использовать для прохода на территорию других людей, которые будут выдавать себя за сотрудника компании. У меня был случай, когда два брата-близнеца ходили на работу по одной карте. При этом у одного из них не было патен- та. Вычислили только благодаря всплеску коли- чества отработанных часов. 2. Использовать для отметки прохода сотрудни- ков, которые не проходили на территорию предприятия, с целью кражи заработной платы за фиктивно отработанное время в сговоре с руководителем. 3. Использовать для отметки прохода сотрудни- ков, которые исчезли или не выходят на связь, но сотрудник предприятия имеет доступ к их зарплатной карте с целью хищения средств организации через оплату "мертвым душам". 4. Скрывать от руководителей организации нарушение внутреннего трудового распорядка путем отметки карт на контроллере вовремя. 5. Проходить на территорию предприятия без автоматизированного контроля СКУД, ссылаясь на то, что забыли или потеряли карту. 6. Скрывать нарушение правил внутреннего трудового распорядка, мотивируя отсутствием или утерей карты доступа. Понятно, что и биометрические технологии не идеальны и обладают рядом проблем: 1. Дактилоскопия очень чувствительна к состоя- нию папиллярного узора. Мокрые, грязные, жирные, поврежденные пальцы не только плохо распознаются, но и загрязняют и повреж- дают полимерные линзы считывателей. Дакти- лоскопию практически невозможно применять на предприятиях с широким использованием ручного труда. 2. Распознавание по радужке – по-прежнему дорогостоящая технология. 3. Распознавание по лицу пока обладает недо- статочными, по мнению автора, коэффициента- ми ложного отказа/ложного пропуска (FAR/FRR) и высокой стоимостью для использо- вания в массовых решениях. 4. Биометрия вен ладони – молодая техноло- гия, пока не лишенная "детских болезней". www.secuteck.ru декабрь 2021 – январь 2022 БИОМЕТРИЧЕСКИЕ СИСТЕМЫ  С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 91 Максим Каранкевич ИТ-директор ТД "БАЛТИЙСКИЙ БЕРЕГ" Технологии биометрического контроля доступа. Часть 2. Практическое применение В первой части статьи мы обсуждали историю развития биометрической идентифи- кации и анализировали предложения на рынке. Теперь пора перейти к практическо- му применению технологии и ее интеграции в правовое и информационно-техноло- гическое поле организации