Журнал "Information Security/ Информационная безопасность" #3, 2024

Что принципиально изменил 572-ФЗ Понимание структуры органов госвла- сти, вовлеченных в обработку и защиту биометрии, важно и для граждан, чьи данные могут обрабатываться, и для всех организаций, осуществляющих эту обработку. Рассмотрим эти и другие вопросы в разрезе не только самого федерального закона, но и практики работы с защитой биометрических дан- ных. Закон 572-ФЗ принципиально ничего не меняет, но обобщает существовавшие ранее нормативно-правовые акты. Он является логичным шагом в развитии направления государственного регули- рования биометрии. Одно из наиболее важных уточнений закона – представ- ление закрытого перечня типов биомет- рии (фото и голос), которые обрабаты- ваются в Единой биометрической систе- ме (ЕБС). Отпечатки пальцев, сканы сетчатки глаза и т.п. данным законом не регулируются и могут применяться в коммерческих организациях без огляд- ки на него. Закрепляются основные права субъ- екта персональных данных: разрешено отзывать свою биометрию, а также полу- чать услуги независимо от факта нали- чия биометрии у оператора (например, банка). Это важно, поскольку в послед- нее время было много негативных откли- ков со стороны граждан о навязывании банками биометрии и невозможности откатить ее назад. Практически все статьи закона всту- пили в силу. Более того, подзаконные акты уже активно ссылаются на 572-ФЗ – это и приказы о назначении ответствен- ных органов госвласти (поговорим о них ниже), и ведомственные приказы о порядке работы с ЕБС. С 2027 г. вступает в силу раздел закона, относящийся к региональным сегментам. Уже сейчас очевидно, что централизованная обработка и хране- ние – узкое место с точки зрения надежности и производительности. В этой части необходимо будет внести доработки еще до того, как документ вступит в силу. Новый закон логичен и смотрится целостно. Некоторые вопросы вызывает лишь исключение миграционного учета из области его действия. Непонятно пока, зачем власти пошли на этот шаг. В сегодняшней напряженной обстановке подключение биометрии является для иностранных граждан одним из способов доказать свою лояльность законода- тельству РФ. К тому же это эффектив- ный инструмент для правоохранительных органов, позволяющий идентифициро- вать преступников. Как распределяется ответственность между регуляторами Распределение ответственности закон не описывает. Здесь нужно разбираться отдельно. Двадцатая статья носит фор- мальный характер, что естественно для федерального закона. Отметить следует явное выделение ролей оператора ЕБС и регулирующего органа. На данный момент это Центр Биометрических Тех- нологий (ЦБТ) и Минцифры, соответ- ственно. Интерес представляет "орган по защи- те прав субъектов" ПДн – Роскомнадзор. В случае если ваши данные не удалены из ЕБС, то жаловаться нужно именно туда. За безопасность, очевидно, уполно- мочена отвечать Федеральная служба по техническому и экспортному контро- лю (ФСТЭК России). Отдельно вынесена роль Банка Рос- сии – теперь он официально осуществ- ляет контроль над применением био- метрии в финансовом секторе. До вступления закона в силу были только рекомендации (хотя те же рекоменда- ции 4-МР от 2019 г. во многом повторя- ли 321-й приказ Минцифры). Теперь снята неоднозначность для финансовых организаций, которые ранее считали, что 321-й приказ не для них, а ЦБ не является регулятором ЕБС. Что с информационной безопасностью? Информационная безопасность как была, так и осталась в части соответ- ствия требованиям по защите персо- нальных данных. Ничего для ЕБС закон фактически не прописывает, есть лишь отсылки к 152-ФЗ и уточ- нение требований по криптографии. При этом в тексте закона часто встре- чается термин "финансовые органи- зации" – очевидно, что Центробанк принимал активное участие в работе над ним, привнеся хорошую практику. Внедрение ЕБС в финансовой отрасли началось еще в 2019 г. и на данный момент является, пожалуй, самым массовым в стране. Отметим отдельно, что аутентификацию на основе ЕБС могут осуществлять только аккредитованные организации. Важное условие для получения доступа – наличие капитала не менее полумиллиарда руб- лей. Так и получается, что почти все ИТ- компании, которые могли бы работать с биометрией профессионально, не прой- дут аккредитацию. Применение биометрии четко разде- лено по типам данных. В ЕБС и, как гла- сит закон, только в ней обрабатываются фото и голос. И даже тот, кто хочет открывать дверь подъезда голосом, дол- жен подключиться к Единой биометри- ческой системе. Нужно учитывать, что ЕБС – онлайн- система, ее доступность на конкретном объекте может иногда "сбоить". Отклю- чат, например, Интернет в отдельном доме, и все перестанет работать. При этом условия использования системы сделают ее максимально дорогой, и из удобного решения для "открытия ворот" она станет эксклюзивной игрушкой. Обеспечить все условия смогут только финансовые организации и крупные тор- говые сети. Возможно, это сделано умышленно, чтобы ограничить доступ небольшим игрокам, которые не имеют полноценных средств ИБ и не смогут обеспечить защиту данных. 66 • УПРАВЛЕНИЕ Полгода после вступления в силу 572-ФЗ. Полет нормальный? рошло полгода после вступления в силу большей части федерального закона о применении биометрии 572-ФЗ 1 . Закон определяет сразу несколько регуляторов – попробуем разобраться, кто за что отвечает. П Федор Музалевский, директор технического департамента RTM Group Фото: RTM Group 1 https://www.consultant.ru/document/cons_doc_LAW_436110/