CC BY
7УДК 004.01 Коновалов С.М., Резниченко С.А.
Коновалов С.М.
студент факультета информационных технологий и анализа больших данных, Финансовый университет при Правительстве Российской Федерации
(г. Москва, Россия)
Научный руководитель: Резниченко С.А.
кандидат технических наук, доцент, доцент кафедры информационной безопасности. Финансовый университет при Правительстве Российской Федерации
(г. Москва, Россия)
АНАЛИЗ НОРМАТИВНО-ПРАВОВОЙ БАЗЫ ДЛЯ ПРОВЕДЕНИЯ АУДИТА СИСТЕМ, ОБРАБАТЫВАЮЩИХ БИОМЕТРИЧЕСКИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Аннотация: в данной статье рассматривается роль нормативно-правовой базы в обработке биометрических персональных данных и ее влияние на аудиторскую деятельность в этой области. Анализируются ключевые законодательные акты и приказы, определяющие требования к защите и обработке биометрических данных, а также их практическое применение при проведении аудита систем безопасности данных.
Ключевые слова: биометрические персональные данные, информационная безопасность, аудит информационной безопасности, защита персональных данных.
Биометрические данные, будучи уникальными и неизменными атрибутами личности, представляют собой особенно чувствительную категорию персональных данных, обработка которой подвержена строгим регулятивным требованиям. В этой связи аудит обработки биометрических персональных данных выступает как неотъемлемый инструмент обеспечения
соблюдения нормативно-правовых актов, регулирующих данную деятельность, а также защиты прав субъектов данных.
Актуальность темы аудита обработки биометрических персональных данных обусловлена не только необходимостью соблюдения законодательства, но и растущей обеспокоенностью общественности в отношении конфиденциальности и защиты своих персональных данных. Изучение нормативно-правовой базы, регулирующей обработку биометрических персональных данных, имеет ключевое значение для проведения эффективного аудита систем обработки биометрии. Знание законодательных и нормативных документов в этой сфере позволяет аудиторам точно определить критерии и стандарты, к которым должны быть приравнены процессы сбора, хранения, обработки и защиты биометрических данных. Это, в свою очередь, обеспечивает возможность анализировать системы на предмет их соответствия установленным требованиям, выявлять потенциальные уязвимости и риски для прав и свобод субъектов данных. Понимание нормативно-правовой базы также способствует формулированию конкретных и обоснованных рекомендаций по улучшению механизмов защиты данных и повышению уровня безопасности обрабатываемой биометрической информации.
В настоящее время комплексный анализ и оценка системы защиты биометрических персональных данных проводятся с учетом положений четырех ключевых нормативно-правовых актов, которые являются основополагающими в регулировании этой сферы. К ним относятся:
- Федеральный закон №152 "О персональных данных", устанавливающий общие принципы обработки персональных данных, включая биометрические,
- Федеральный закон №572, который специализируется на процедурах идентификации и аутентификации с использованием биометрических данных, определяя дополнительные требования к их обработке и защите.,
- Приказ Минцифры №2453, определяющий технические требования к обработке, хранению и защите биометрических данных,
- Приказ ФСТЭК №21, устанавливающий стандарты информационной безопасности для систем, обрабатывающих персональные данные, в том числе биометрические.
В рамках данной статьи предпринимается попытка глубокого анализа требований, предъявляемых вышеупомянутыми документами, с целью выявления основных направлений, на которые должны быть направлены внимание и усилия аудиторов при оценке систем защиты биометрических данных. Особое внимание будет уделено аспектам, связанным с обеспечением конфиденциальности, целостности и доступности биометрических данных на протяжении всего цикла их обработки - от сбора до уничтожения. Анализ позволит не только выявить ключевые риски и уязвимости в системах защиты, но и определить наиболее эффективные методы их преодоления, обеспечивая тем самым высокий уровень защиты биометрических данных в соответствии с современными требованиями и стандартами информационной безопасности.
Основополагающие положения, касающиеся обработки биометрических персональных данных, устанавливаются Федеральным законом № 152-ФЗ "О персональных данных". Статья 11 данного закона четко определяет, что обработка биометрических данных субъектов допустима исключительно с их письменного согласия. Это согласие представляет собой письменное разрешение субъекта на сбор, обработку, хранение, и использование его биометрических данных, обеспечивая тем самым защиту этих данных от несанкционированного доступа и их использование строго в оговоренных целях. Несоблюдение этого требования может привести к юридической ответственности, включая наложение штрафов.
Дополнительно, в соответствии с 152-ФЗ, персональные данные, в том числе биометрические, должны храниться только в течение периода, необходимого для достижения целей их обработки. По истечении этого времени данные должны быть либо удалены, либо обезличены. Хранение
таких данных может осуществляться как в электронных информационных системах, так и на физических носителях информации, при этом важно отметить, что бумажные документы не квалифицируются как материальные носители информации.
Аудиторам необходимо убедиться, что организации получают согласие от субъектов на обработку их биометрических данных, а также что процессы хранения и уничтожения данных строго соответствуют законодательству. Это включает в себя проверку наличия и корректности оформления согласий, а также анализ систем хранения данных и механизмов их обезличивания или удаления после окончания срока хранения.
Федеральный закон № 572-ФЗ ввел обязательность взаимодействия и обмена данными с Единой биометрической системой (ЕБС) для коммерческих структур, занимающихся автоматизированной обработкой биометрических данных в целях идентификации или аутентификации пользователей. Согласно данному законодательству, использование автоматизировано обрабатываемых биометрических данных в коммерческих целях для аутентификации будет ограничено и потребует прохождения процесса аккредитации. В то же время, применение биометрических данных, не зарегистрированных в государственной информационной системе ЕБС, в принципе запрещается. Кроме того, закон запрещает передачу биометрических персональных данных за пределы страны в контексте идентификации и аутентификации, за исключением случаев, когда такие действия выполняют аккредитованные государственные органы или Центральный Банк РФ под определенными обстоятельствами.
Эти положения оказывают существенное влияние на аудит систем биометрической идентификации и аутентификации, поскольку аудиторам необходимо теперь уделять внимание проверке соответствия коммерческих организаций требованиям аккредитации и правилам взаимодействия с ЕБС. В ходе аудита необходимо будет уделить внимание тому, как организации управляют процессами сбора, обработки и хранения биометрических данных,
а также их соответствию установленным ограничениям на использование данных вне ЕБС и запрету на трансграничную передачу. Это подразумевает проверку наличия всех необходимых процедур и механизмов для обеспечения защиты биометрических данных согласно последним законодательным изменениям, тем самым подтверждая прозрачность и законность обработки биометрических персональных данных в рамках деятельности организации.
Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ №453 заслуживает пристального внимания в контексте обработки биометрических данных и их использования в рамках Единой биометрической системы (ЕБС) для целей аутентификации. Данный нормативный акт устанавливает детальные инструкции и стандарты для обработки биометрии, включая методологию сбора данных и их интеграцию в ЕБС, а также использование в информационных системах.
Документ структурирован на основе пяти приложений, которые охватывают следующие ключевые аспекты:
- Детализация процесса обработки биометрических данных и установление требований к параметрам для их эффективного сбора.
- Регламентация процедуры размещения и обновления биометрических данных в ЕБС, включая правила использования данных, их сроки действия и условия.
- Установление правил обработки биометрических данных и векторов ЕБС в информационных системах, задействованных в процедурах аутентификации на основе биометрии.
- Описание механизмов создания и передачи векторов биометрических данных для реализации аутентификационных процессов.
- Формулирование требований к информационным технологиям и техническим средствам, обрабатывающим биометрию и вектора ЕБС, а также процедуры подтверждения их соответствия установленным стандартам.
Приказ ФСТЭК №21 предоставляет детализированные указания для усиления технической защиты персональных данных и минимизации рисков их утечки. Особое внимание в приказе уделяется следующим аспектам:
- Установление процедур и основ идентификации и аутентификации пользователей, имеющих доступ к персональным данным,
- Разработка систем управления доступом к персональным данным, включая учетные записи и права доступа,
- Указания по использованию программного обеспечения, включая ограничения и требования к безопасности,
- Меры по обеспечению физической безопасности компьютерной техники и мест хранения данных,
- Протоколы реагирования на инциденты безопасности и ведение записей о них,
- Меры антивирусной защиты и противодействия вредоносному ПО,
- Стратегии обнаружения и предотвращения несанкционированного доступа в информационные системы,
- Процедуры для регулярного мониторинга и оценки состояния защиты персональных данных.
В рамках аудита систем обработки биометрических данных проверка соответствия мер безопасности, предписанных Приказом ФСТЭК №21, имеет значение, поскольку критерии по определению уровня безопасности системы, на основе которого выстраиваются дальнейшие механизмы защиты, напрямую зависит от факта обработки системой биометрии. Знание основных рекомендаций приказа напрямую влияет на работу аудитора, предоставляя ряд определенных критериев защищенности персональных данных, благодаря которым он может убедиться в должной сохранности данных посредством реализованных организацией методов их защиты.
В заключение, хочется еще раз подчеркнуть, что нормативно-правовая база не только формирует фундамент для защиты биометрических персональных данных, но и служит руководством для аудиторов в их
критически важной работе по оценке и поддержке безопасности и конфиденциальности данных в организациях. Учитывая быстро меняющийся ландшафт информационной безопасности, постоянное обновление знаний и адаптация к новым нормативным требованиям являются обязательными для всех сторон, занимающихся обработкой и защитой биометрических персональных данных.
СПИСОК ЛИТЕРАТУРЫ:
1. Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ (последняя редакция) - Доступ из справ.-правовой системы КонсультантПлюс. -Текст: электронный;
2. Федеральный закон от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" - Доступ из справ. -правовой системы КонсультантПлюс. - Текст: электронный;
3. Приказ Минцифры России от 12.05.2023 N 453 (ред. от 29.11.2023) "О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц" - Доступ из справ.-правовой системы КонсультантПлюс. - Текст: электронный;
4. Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных" - Доступ из справ.-правовой системы КонсультантПлюс. - Текст: электронный;
5. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" - Доступ из справ.-правовой системы КонсультантПлюс. - Текст: электронный
Konovalov S.M., Reznichenko S.A.
Konovalov S.M.
Financial University under Government of Russian Federation
(Moscow, Russia)
Scientific advisor: Reznichenko S.A.
Financial University under Government of Russian Federation
(Moscow, Russia)
ANALYSIS OF REGULATORY FRAMEWORK FOR AUDITING SYSTEMS THAT PROCESS BIOMETRIC PERSONAL DATA
Abstract: this article examines the role of the regulatory framework in the processing of biometric personal data and its impact on auditing activities in this area. The key legislative acts and orders defining the requirements for the protection and processing of biometric data, as well as their practical application in auditing data security systems, are analyzed.
Keywords: biometric personal data, information security, information security audit, personal data protection.
