Журнал "Системы Безопасности" № 6‘2024

К О М П Л Е К С Н А Я Б Е З О П А С Н О С Т Ь , П Е Р И М Е Т Р О В Ы Е С И С Т Е М Ы 52 В последнее время в инфополе систем без- опасности значительно возросло количество статей, докладов и других материалов, относя- щихся к теме персональных данных. В частно- сти, в 2024 г. на порядок увеличилось количе- ство упоминаний систем биометрической иден- тификации и правовых аспектов их реализации. Причина этому – уточнение и ужесточение законодательства в части хранения и обработки персональных данных. Ключевой фактор – при- нятие Федерального закона № 572, закрепляю- щего необходимость интеграции с Единой био- метрической системой (ЕБС) для реализации большей части сценариев биометрической идентификации. Но постойте, в системах безопасности в целом и контроля и управления доступом в частности обработка и хранение персональных данных о сотрудниках и посетителях всегда были осново- полагающим элементом. На эти данные завяза- ны процессы выдачи пропусков, идентифика- ции, учета рабочего времени и многие другие. В базе данных системы почти наверняка хранят- ся фотографии сотрудников, а биометрическая идентификация уже очень давно применяется для осуществления надежных процедур контро- ля доступа. Зачем ставить хорошо работающие системы, тем более созданные с благой целью обеспечения безопасности, вне закона? Благими намерениями Стремительное развитие информационных (цифровых) технологий в последние годы и десятилетия вынуждает общество и государст- венные органы все больше сосредотачиваться на связанных с этим рисках. Так, по данным экс- пертно-аналитического центра ГК InfoWatch [1], в 2023 г. на 111,5% увеличилось количество утекших записей персональных данных в сравнении с 2022 г. А в I полугодии 2024 г. количество утечек в России выросло на 10,1% по сравнению с аналогичным периодом 2023 г., при этом скомпрометирован почти 1 млрд еди- ниц персональных данных [2]. На сегодняшний день стало понятно, что обес- печить 100%-ную защиту от инцидентов в циф- ровой среде невозможно. Можно лишь плано- мерно заниматься профилактикой, работать над уменьшением количества утечек и быстрым устранением соответствующих негативных последствий. И биометрические персональные данные закономерно оказываются в центре внимания. С развитием цифровых сервисов, завязанных на биометрию, например госу- дарственных и финансовых услуг, компромета- ция таких данных может иметь очень серьезные последствия для людей. Более того, фотогра- фия или отпечаток пальца – это не номер теле- фона и даже не имя, их изменить почти невоз- можно. А потому последствия утечки таких дан- ных устранить уже невозможно. Именно поэтому в последние годы российское государство активно реформирует нормативно- правовое регулирование обработки персональ- ных данных, постепенно принимая ряд феде- ральных законов и подзаконных актов. При этом основным объектом контроля являются отнюдь не системы безопасности и контроля доступа. Лидерами по количеству утечек в 2023 г. стали торговые организации, ИТ-компании и компа- нии промышленного сектора [1]. По количеству утечек данных среди отраслей экономики в Рос- сии первое место занимает торговля – по ито- гам I полугодия на нее пришлась почти треть всех зарегистрированных инцидентов [2]. Зло- умышленники регулярно атакуют российские интернет-магазины, в основном небольшие, и других представителей ритейла, пользуясь слабым уровнем информационной безопасно- сти. Именно из-за стремительного роста коли- чества утечек информации в торговле произо- шел общий рост количества утечек в России по итогам I полугодия 2024 г. Системы физической безопасности же, по всей видимости, просто попали под "каток законно- сти". Ведь в "зоне поражения", например, зако- на о ЕБС оказались автоматически и многие объекты транспортной безопасности страны, как вновь оснащаемые, так и успешно работаю- щие на протяжении многих лет. Приведение уже готового проекта системы с биометриче- ской идентификацией к актуальным требова- ниям по интеграции с Единой биометрической системой требует значительных усилий и средств. Да и использование ЕБС само по себе далеко не бесплатно. А если система уже запу- щена, развернута где-нибудь в удаленной части нашей родины, и еще работает полностью авто- номно, без доступа в сеть "Интернет"?.. О рисках Закон – это закон. Закон надо исполнять. Но не всем и не все законы хочется исполнять. Если исключить из рассмотрения вопрос морали (что, увы, часто свойственно бизнесу в силу его смысловой цели получения прибыли), то на одной чаше весов будут требования и издерж- ки, а на другой – риски и последствия. А риски, связанные с невыполнением законов в части обработки персональных данных, значительно возросли в последнее время. 30 ноября 2024 г. президент России подписал федеральные законы № 420-ФЗ и № 421-ФЗ, которые ужесточают наказания за утечки персо- нальных данных и нарушения в части их обра- ботки [3]. За нарушения в работе с персональ- ными данными будет грозить административ- ная и уголовная ответственность. Привлекать к административной ответственности (назначая штрафы) будут тех, кто незаконно обрабатыва- ет, распространяет персональные данные или допустил их утечку, к уголовной – тех, кто неза- конно распространяет и использует персональ- ные данные. С 30 мая 2025 г. обработка биометрических данных для аутентификации в информацион- ных системах государственных органов, орга- низаций или Банка России без аккредитации или в случае ее приостановления или прекра- щения повлечет для должностных лиц штраф в размере от 500 тыс. до 1 млн руб., а для юри- дических – от 1 млн до 2 млн руб. С 30 мая 2025 г. размер штрафа за утечку пер- сональных будет зависеть от объема данных: 1. Если утечка коснется 1–10 тыс. субъектов персональных данных или 10–100 тыс. их идентификаторов, нарушителей ждет штраф. Для обычных граждан от 100 до 200 тыс. руб., для должностных лиц от 200 до 400 тыс. руб., для юридических лиц до 5 млн руб. 2. За массовую утечку данных – от 100 тыс. субъ- ектов персональных данных или от 1 млн иден- тификаторов граждане могут заплатить до 400 тыс. руб. штрафа, должностные лица до 600 тыс. руб., юридические лица до 15 млн руб. 3. За повторную массовую утечку данных обыч- ные граждане заплатят до 600 тыс. руб. штра- фа, должностные лица до 1,2 млн руб. Юриди- ческие лица заплатят оборотный штраф в раз- мере 1–3% от общей выручки за год, предше- ствующий тому, в котором было совершено нарушение. декабрь 2024 – январь 2025 www.secuteck.ru Глеб Рыбаков Заместитель генерального директора по информационным технологиям и инновациям ООО "Итриум СПб" Ф едеральные законы № 420-ФЗ и № 421-ФЗ значительно ужесточают наказания за утечки персональных данных и нарушения в части их обработки. Страх и ненависть к персональным данным Вопрос о персональных данных не сходит с повестки дня. Автор рассказывает, как этот вопрос может быть решен в системах безопасности.