Введение
Помните, как в фильмах про агентов 007 прикладывали палец к сенсору или сканировали сетчатку глаза, чтобы попасть в секретную лабораторию? Когда-то это казалось чем-то фантастически дорогим, сложным и абсолютно надежным.
Сейчас технологии, связанные с биометрией, как-то резко и незаметно вошли в нашу жизнь. Но очень многие отказываются пользоваться ими.
Я сама оттягивала момент сдачи куда-либо биометрии, пока не узнала, что один из банков сам уже её как-то получил. И да, по законодательству они имеют право, и возможно, они меня даже предупреждали, точнее просили дать согласие, а я игнорировала. Ещё был случай: в магазине тянулась картой к терминалу, чтобы оплатить, но терминал меня резко узнал и снял деньги с карты другого банка, а не с той, которая была в руках. В этом тоже стоит разобраться.
Страх сдавать биометрию подогревается не только новостями об утечках, но и распространёнными в обществе фобиями: слухами о тотальной слежке, «Большом брате», полной утрате конфиденциальности и свободы, а также технологией дипфейков («подмены лиц»). Эти опасения в какой-то степени оправданы: любая система, способная уникально идентифицировать человека, потенциально может быть использована для его негласного контроля, ограничения анонимности или манипуляции (как раз создание поддельного видео с вашим лицом). Именно поэтому законодатели и организации обязаны применять строгие технические и организационные меры, обеспечивать прозрачность каждого запроса и право безусловного удаления, чтобы минимизировать риски, сохранив при этом баланс между удобством и приватностью.
Я, как специалист по информационной безопасности, погружённый в законодательство и меры защиты, хочу разобраться и поделиться с вами, как государство защищает и заставляет бизнес и банки защищать и хранить наши «лица» и «голоса».
В приложении ниже будет вся законодательная база, к которой я обращалась.
Что такое биометрия с точки зрения закона?
Согласно ст. 11 № 152-ФЗ, биометрические персональные данные - это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.
В законодательстве по биометрии нет деления на «обычные фото» и «секретные сканы». Ваше селфи, сделанное в приложении банка, с этого момента становится биометрией, а значит, попадает под защиту.
Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…» устанавливает два ключевых запрета, которые в совокупности исключают возможность хранения оригиналов (фотографий, фонограмм голоса). Пункты 2 и 3 статьи 15 этого закона вводят следующие требования для организаций, работающих с биометрией: оригиналы биометрии запрещено не только долго хранить, но и обрабатывать (включая сбор) вне Единой биометрической системы (ЕБС).
Вместо оригинала закон оперирует понятием «вектор единой биометрической системы» - это те самые необратимые математические шаблоны (контрольные шаблоны), которые получаются в результате преобразования исходной биометрии. Обратно в фото или голос их восстановить нельзя.
Ключевое правило, которое обязывает соблюдать любую компанию, звучит так: обработка биометрии возможна только с письменного согласия гражданина. Исключений очень мало: госбезопасность, правосудие или спасение жизни.
Три «У»: почему биометрию вообще можно использовать
Прежде чем говорить о защите, давайте поймём, как вообще к этому пришли, что решили использовать конкретные параметры для роли персонализированного «цифрового ключа».
Можно выделить главные требования к биометрическим характеристикам. Их называют «тремя У»:
1. Универсальность - параметр должен быть у каждого человека. Нет смысла внедрять сканер «формы уха», если у 10% людей нестандартная анатомическая форма.
2. Уникальность - параметр должен отличаться в каждом конкретном случае. Даже у близнецов узор радужной оболочки глаза не совпадает.
3. Устойчивость - характеристика должна оставаться относительно неизменной со временем (поэтому, кстати, голос считается «слабой» биометрией: ангина или возраст сильно меняют тембр).
Есть и сопутствующие требования: например, характеристика должна быть удобна для измерения, включая общественную приемлемость процедуры. Именно поэтому отпечатки пальцев принимают охотнее, чем, скажем, ДНК-анализ: второй вызывает куда больше этических споров.
Что всё-таки относится к биометрии
В соответствии с методическими рекомендациями Минкомсвязи (письмо от 28.08.2020 № ЛБ-С-074-24059) и разъяснениями Роскомнадзора (письмо от 29.08.2022 № 08-78032) к биометрическим данным относятся:
· физиологические параметры (отпечатки пальцев, радужка, ДНК, рост, вес);
· фото и видео человека (фиксируют физиологические особенности) - цветное цифровое фото лица - это биометрия;
· голосовая запись (№ 572-ФЗ).
Что НЕ относится к биометрии:
· скан или ксерокопия паспорта (без цели идентификации);
· фото из личного дела сотрудника;
· подпись и почерк (даже при экспертизе);
· рентген и флюорография (для диагностики, а не опознания);
· видеонаблюдение в публичных местах / на охраняемой территории.
Главный критерий: данные становятся биометрией, только если оператор использует их для установления личности (идентификации). Если нет - это не биометрия, даже если это фото или голос.
Так что там с банками?
Банки не «снимают» биометрию самостоятельно - они обязаны передавать собранные биометрические данные клиентов в Единую биометрическую систему (ЕБС) в соответствии с требованием Федерального закона от 29 декабря 2022 года № 572-ФЗ.
Основные причины такой передачи:
1. Централизация данных. ЕБС - государственная информационная система, которая позволяет унифицировать обработку биометрии и повысить безопасность за счёт централизованного хранения данных в зашифрованном виде. Это снижает риски утечек и упрощает взаимодействие клиентов с различными организациями.
2. Соблюдение законодательства. Закон № 572-ФЗ обязывает банки передавать уже собранную биометрию в ЕБС, предварительно уведомив клиента. При этом при первоначальном сборе биометрических данных банк должен получить письменное согласие клиента на обработку биометрии.
3. Упрощение услуг для клиентов. Если биометрия уже зарегистрирована в одном банке, она становится доступной для других организаций, подключённых к ЕБС. Это избавляет от необходимости каждый раз предоставлять паспорт и ускоряет обслуживание.
Важные нюансы:
· Добровольный характер. Передача биометрии - добровольный процесс. Клиент может отказаться от сбора и хранения биометрии, а также отозвать ранее данное согласие.
· Управление. Гражданин вправе проверить наличие своих биометрических данных в ЕБС через личный кабинет на портале «Госуслуги» в разделе «Биометрия». Также он может отозвать согласие и удалить данные из системы через «Госуслуги», в отделении банка или МФЦ.
· Ограничения для банков. После передачи данных банки не хранят их у себя, а получают доступ к информации только через систему. Они видят только результат проверки — подтверждена личность или нет.
Таким образом, передача биометрии в ЕБС - это не инициатива банков, а требование закона, направленное на унификацию системы обработки биометрических данных и повышение её безопасности.
Единая биометрическая система
Если раньше банки использовали биометрию клиентов в своей внутренней базе, а обязанность передавать данные была только у банков с универсальной лицензией, то теперь закон это меняет. С 1 июня 2023 года банки, нотариусы, государственные и муниципальные ведомства при получении биометрических данных от пользователя обязаны передавать их в Единую биометрическую систему.
Что же это за система?
Единая биометрическая система (ЕБС) - это государственная платформа, созданная по инициативе Банка России и Минцифры России. На её базе граждане получают доступ к целому каталогу услуг (ниже они указаны), использующих «лицо как ключ». Все эти сервисы работают по принципу «одного лица»: вы сдали биометрию один раз в ЕБС - пользуетесь сотней сервисов.
Кто отвечает за хранение? Центр биометрических технологий
Если ЕБС - это «банкомат» выдачи услуг, то Центр биометрических технологий (ЦБТ) - это само хранилище. ЦБТ - организация, ответственная за хранение данных в Единой биометрической системе. Важно понимать: данные используются исключительно для получения услуг, на которые вы дали согласие.
Три уровня биометрии: упрощённая, стандартная, подтверждённая
Один из главных источников путаницы - люди думают, что биометрия «или есть, или её нет». На самом деле закон (и техническая реализация ЕБС) выделяет три уровня качества и надежности биометрических данных. От уровня зависит, какие услуги вам станут доступны.
Упрощённая биометрия (низкий порог входа)
Самый простой способ «познакомить» систему со своим лицом. Обычно требует только одного фактора (например, фото через приложение без строгой верификации личности).
Услуги:
· проезд в метро (оплата лицом);
· защита учётной записи на «Госуслугах» (вход по лицу вместо пароля);
· оплата покупок в магазинах (на небольшие суммы);
· проход в бизнес-зал аэропорта.
Стандартная биометрия (средний уровень)
Требует подтверждения личности через ЕСИА («Госуслуги») или при личном присутствии. Это уже юридически значимый идентификатор, но с некоторыми ограничениями.
Услуги:
· все услуги упрощённой биометрии;
· оформление eSIM;
· карта болельщика (Fan ID);
· пенсия за рубежом.
Подтверждённая биометрия (максимальный уровень)
Требует личного присутствия в уполномоченной организации (например, в отделении банка с государственным участием или в МФЦ), где специалист сверяет ваш паспорт и снимает биометрию на сертифицированное оборудование.
Услуги:
· все услуги упрощённой и стандартной биометрии;
· заселение в гостиницу (без паспорта);
· открытие банковского счёта и вкладов удалённо;
· оформление усиленной квалифицированной электронной подписи (УКЭП);
· оформление eSIM и сим-карт для иностранцев;
· получение пенсии за рубежом;
· обслуживание в МФЦ (без паспорта - достаточно лица);
· старт бизнеса онлайн (регистрация ИП или ООО без личного визита в налоговую).
Если вы думаете, что биометрию хранят как пароль - простой строкой в базе данных, - это не так. Российское законодательство, и в частности Приказ ФСТЭК № 21, предъявляет к системам, работающим с биометрией, требования, которые соответствуют 3-му (максимальному) уровню защищённости. И если вам это ни о чём не говорит, то читайте дальше.
Анализ законодательства: ключевые факты по защите биометрии
Рассмотрим подробно, как законодательство обязывает защищать наши данные и какие у нас есть в соответствии с этим права.
1. Базовые законы
Документ | Ключевой факт для защиты биометрии |
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» | Помимо получения согласия, оператор обязан позаботиться о сохранности и защите биометрических персональных данных. |
Федеральный закон от 29.12.2022 № 572-ФЗ «Об идентификации и аутентификации по биометрии» | Создаёт правовую основу для ЕБС. Ключевой принцип: добровольность - организации не вправе отказывать в услуге, если человек не хочет сдавать биометрию. |
Федеральный закон от 30.11.2024 № 420-ФЗ (изменения в КоАП РФ) | Вводит административную ответственность за нарушение биометрического законодательства. Штрафы: до 1 млн руб. за нарушение порядка обработки; до 1,5 млн руб. за непринятие организационных и технических мер по обеспечению безопасности БПДн при их обработке; до 2 млн руб. за обработку без аккредитации; до 20 млн руб. за утечку. |
Федеральный закон от 30.11.2024 № 421-ФЗ (изменения в УК РФ) | Вводит уголовную ответственность за незаконный сбор, хранение, использование или распространение биометрических персональных данных. По ст. 272.1 УК за незаконные использование, передачу, сбор и хранение БПДн назначат: уголовный штраф в размере до 700 тыс. руб., либо принудительные работы, либо лишение свободы на срок до пяти лет. |
С 2025 года защита биометрии подкреплена реальными штрафами (миллионы рублей для юрлиц) и уголовными санкциями.
2. Постановления Правительства РФ
Документ | Ключевой факт |
Постановление № 1066 от 15.06.2022 | Регулирует самостоятельную регистрацию биометрии гражданами через мобильное приложение ЕБС (без посещения банка или МФЦ). |
Постановление № 1067 от 15.06.2022 | Определяет случаи и сроки использования биометрических данных. |
Постановление № 15 от 18.01.2025 | Вносит изменения в № 1067 - конкретно уточняет сроки обновления биометрии. |
Постановление № 1703 от 28.12.2018 | Устанавливает порядок предоставления биометрических сведений в МВД и ФСБ - для правоохранительных целей, но под строгим контролем. |
Постановление № 478 от 27.03.2023 | Утверждает порядок отказа от сбора биометрии - гражданин может в любой момент отозвать согласие, и оператор обязан удалить данные. |
Постановление № 834 от 21.06.2024 | Определяет организацию-оператора ЕБС (функции возложены на ЦБТ). |
Постановление № 1119 от 01.11.2012 | Устанавливает требования к защите персональных данных при их обработке в ИСПДн, включая определение уровней защищённости. |
Правительство создало полный цикл регулирования - от сбора до удаления и передачи в правоохранительные органы. Законодательство покрывает все этапы жизни биометрических данных.
3. Технические требования и приказы Минцифры
Документ | Ключевой факт |
Приказ Минцифры № 453 от 12.05.2023 | Утверждает порядок обработки биометрических ПДн — включая сбор, хранение, уничтожение. Содержит требования к параметрам (качество фото, характеристики микрофона для голоса). |
Приказ Минцифры № 1024 от 29.11.2023 | Регулирует подтверждение соответствия технологий для обработки биометрии. Технические средства и ПО, используемые для работы с биометрией, должны быть сертифицированы. |
Приказ Минцифры № 432 от 27.04.2023 | Определяет порядок и сроки направления заявки о блокировании данных — механизм экстренной блокировки биометрии (например, при утере телефона или подозрении на компрометацию). |
Приказ Минцифры № 445 от 05.05.2023 | Утверждает перечень угроз для ЕБС — классификация угроз, которые должны учитываться при построении системы защиты. |
Приказ Минцифры № 446 от 05.05.2023 | Утверждает перечень угроз для КБС (коммерческих биометрических систем). |
Приказ Минцифры № 378 от 17.04.2023 | Утверждает методику проверки соответствия биометрических данных векторам ЕБС — то есть как именно система сравнивает «живое лицо» с эталоном. |
Минцифры детально проработало техническую сторону: есть требования к оборудованию (№ 453), классификация угроз (№ 445, 446), методики проверки (№ 378) и механизм экстренной блокировки (№ 432).
4. Инфраструктурные и процессные документы
Документ | Ключевой факт |
Постановление № 1754 от 15.10.2021 | О проверке простой электронной подписи - важно, так как биометрия может использоваться как второй фактор аутентификации. |
Постановление № 670 от 28.04.2023 | Утверждает порядок аккредитации госорганов и ЦБ для работы с биометрией. Без аккредитации - нельзя. |
Постановление № 810 от 22.05.2023 | Утверждает порядок аккредитации коммерческих биометрических систем (КБС), чтобы частные компании могли легально использовать биометрию. |
Постановление № 552 от 06.04.2023 | Определяет порядок и сроки рассмотрения обращений граждан по вопросам биометрии. |
Постановление № 451 от 24.03.2023 | Устанавливает порядок запроса к оператору ЕБС по претензионным вопросам. |
Приказ Минцифры № 658 от 09.09.2022 | Утверждает типовой порядок действий сотрудников МФЦ при работе с биометрией. |
Приказ Минцифры № 387 от 20.04.2023 | Устанавливает требования к деловой репутации лиц, работающих с биометрией (для аккредитации). |
Создана полноценная система: от того, как гражданин подаёт обращение, до того, как бизнес платит за использование ЕБС. Даже поведение сотрудников МФЦ регламентировано.
5. Указания Банка России (для финансового сектора)
Документ | Ключевой факт |
Указание Банка России № 6540-У от 25.09.2023 | Регулирует работу банков с ЕБС - как кредитные организации должны интегрироваться с единой биометрической системой. |
Указание Банка России № 6541-У от 25.09.2023 | Регулирует работу банков с КБС (коммерческими биометрическими системами). |
Банковский сектор (один из главных пользователей биометрии) имеет отдельные регуляторные акты ЦБ, которые детализируют применение общих требований в финансовой сфере.
6. Письма, методические рекомендации
Документ | Ключевой факт |
Письмо Банка России от 13.12.2019 | Разъясняет, что для сбора биометрии не нужен отдельный счёт в банке - важное уточнение, упрощающее доступ к системе. |
Методические рекомендации Банка России № 4-МР от 14.02.2019 | Содержат практические рекомендации по нейтрализации угроз при работе с биометрией - для технических специалистов. |
Распоряжение Правительства РФ № 3375-р от 28.11.2023 | Утверждает состав Координационного совета по развитию цифровых технологий на основе биометрии - создан постоянно действующий орган для управления отраслью. |
Обязательные меры защиты данных для работы с биометрией в ГИС ЕБС
В соответствии с Регламентом информационного взаимодействия участников биометрических процессов с ГИС ЕБС (версия 1.38 от 03.04.2026) в части требований к защите данных пользователей описаны не просто «рекомендации», а жёсткие обязательные технические и организационные меры, без выполнения которых организация (Участник БВ) просто не получит доступа к работе с биометрией через ГИС ЕБС.
Что нужно для работы с ЕБС: инфраструктурные требования
Прямое взаимодействие с ЕБС предполагает соблюдение жёстких требований к безопасности и инфраструктуре: нужны аттестованные решения и защищённые каналы взаимодействия. Компания с нуля выстраивает контур взаимодействия с государственными системами: от каналов связи до программно-аппаратных комплексов.
1. Организационно-правовые меры
1. Аккредитация: Организация (КБС) обязана пройти аккредитацию в Минцифры России. Согласно статье 17 Федерального закона № 572-ФЗ, организации, владеющие системами для биометрической аутентификации или оказывающие такие услуги, обязаны получить аккредитацию. Порядок аккредитации зависит от типа организации: для коммерческих организаций - Постановление Правительства РФ № 810 от 22.05.2023; для государственных органов и ЦБ - Постановление Правительства РФ № 670 от 28.04.2023.
2. Принятие оферты: Участник БВ обязан произвести акцепт публичной оферты (цифровое соглашение) на оказание услуг по передаче векторов или предоставлению информации о степени соответствия биометрии. Без акцепта - нет доступа.
3. Регистрация участника: Организация последовательно регистрируется в тестовой среде (ТЕБС), а затем в продуктивной среде ГИС ЕБС. Порядок регистрации детализирован в Регламенте информационного взаимодействия с ГИС ЕБС.
4. Уведомительный порядок: Оператор обязан направить уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор (ст. 22 № 152-ФЗ). Роскомнадзор вносит оператора в свой Реестр операторов, осуществляющих обработку персональных данных.
5. Информирование об инцидентах: Организация обязана уведомить оператора ГИС ЕБС о любом инциденте безопасности в срок не позднее 3 часов с момента обнаружения. О плановых работах - не позднее чем за 24 часа.
2. Реализация организационных и технических мер по обеспечению безопасности данных
2.1. Организационные и технические меры защиты персональных данных (база)
Информационная система, обрабатывающая персональные данные (включая биометрию), должна реализовать организационные и технические меры защиты в соответствии с Приказом ФСТЭК России от 18.02.2013 № 21.Ниже полный перечень организационных и технических мер, которые должна реализовать ИСПДн в соответствии с Приказом ФСТЭК № 21, в привязке к биометрии.
1. Идентификация и аутентификация - система должна однозначно идентифицировать пользователей и устройства.
2. Управление доступом - чёткое разграничение прав: кто может вносить биометрию, кто — читать, кто - удалять.
3. Ограничение программной среды - разрешено запускать только доверенное (белый список) ПО.
4. Защита машинных носителей информации - физическая защита носителей (диски, флешки, серверы) с биометрическими данными.
5. Регистрация событий безопасности - логирование всех входов, попыток доступа, изменений биометрии.
6. Антивирусная защита - обязательна на всех узлах, участвующих в обработке биометрии.
7. Обнаружение (предотвращение) вторжений - использование систем IDS/IPS.
8. Контроль (анализ) защищённости - регулярные сканирования уязвимостей, пентесты.
9. Обеспечение целостности - защита от модификации программного кода, настроек и баз биометрии.
10. Обеспечение доступности - отказоустойчивость, чтобы законный пользователь всегда мог пройти идентификацию.
11. Защита среды виртуализации - если ИС использует виртуализацию, она должна быть защищена.
12. Защита технических средств - ограничение физического доступа в серверные комнаты и к оборудованию.
13. Защита информационной системы и сетей связи - шифрование каналов передачи биометрии (реализуется через СКЗИ).
14. Выявление инцидентов и реагирование на них - процедуры обнаружения, анализа и устранения инцидентов.
15. Управление конфигурацией - контроль настроек системы безопасности.
Важное замечание: 8 мер (точный перечень в Приказе № 21) являются обязательными независимо от уровня защищённости. Для биометрии, которая относится к специальным категориям ПДн, скорее всего, потребуется максимальный (1 или 2) уровень защищённости по Постановлению Правительства № 1119, а значит - реализация практически всего перечня из 15 мер.
2.2. Оценка рисков и утверждение у уполномоченного органа
Оператор ПДн обязан самостоятельно или с привлечением лицензиата провести оценку вреда, который может быть причинён субъектам ПДн в случае нарушения закона, в соответствии со ст. 14 Федерального закона № 152-ФЗ. Это требование для всех операторов ПДн, включая работающих с биометрией.
Результаты оценки вреда должны быть документально зафиксированы и учтены при выборе и реализации мер защиты информации.
По общему правилу утверждение модели угроз в ФСТЭК или ФСБ для коммерческого оператора не требуется, для госинформсистем и КИИ может требоваться.
2.3. Аттестация информационной системы (Приказ ФСТЭК № 117)
Информационная система организации (ИС Участника БВ) должна пройти аттестацию на соответствие требованиям о защите информации. Приказ ФСТЭК России от 11.04.2025 № 117 регламентирует требования к защите информации в государственных информационных системах, подпадающих под его действие. Для коммерческих систем может потребоваться аттестация ИСПДн по иным документам (например, по требованиям к ИСПДн), но оператор ЕБС вправе запросить подтверждение защищённости. Копия аттестата соответствия должна быть предоставлена оператору ГИС ЕБС.
Ниже приведены кратко основные меры защиты:
Управление активами и уязвимостями 1. Инвентаризация активов (знать, что именно защищается) 2. Управление уязвимостями: устранение критических уязвимостей в течение 24 часов 3. Управление уязвимостями: устранение уязвимостей высокого уровня опасности в течение 7 дней 4. Управление конфигурациями (контроль изменений настроек и состава ПО)
Контроль доступа
5. Идентификация и аутентификация
6. Управление доступом (включая мандатный доступ, если требуется)
7. Управление привилегированным доступом (PAM)
8. Строгая многофакторная аутентификация (по ГОСТ Р 58833-2020)
9. Минимизация прав доступа
10. Обязательное журналирование действий администраторов
Мониторинг и реагирование
11. Мониторинг информационной безопасности (реализация функций SIEM-системы: круглосуточный сбор, анализ и корреляция событий безопасности)
12. Взаимодействие с ГосСОПКА
13. Реагирование на инциденты (наличие регламентированной процедуры)
14. Отработка практических навыков реагирования у сотрудников
Человеческий фактор
15. Повышение знаний пользователей (практические тренировки персонала)
16. Проведение учебных фишинговых атак
17. Регулярное обучение и проверка знаний (не реже 1 раза в 3 года)
Техническая защита
18. Защита конечных и мобильных устройств
19. Защита при удалённом и беспроводном доступе
20. Защита каналов связи (криптографическая защита - СКЗИ с использованием сертифицированных ФСБ России средств)
21. Разработка безопасного ПО (внедрение процессов безопасной разработки по ГОСТ Р 56939-2024)
Показатели эффективности
22. Оценка показателя защищённости (не реже 1 раза в 6 месяцев)
23. Оценка показателя зрелости (не реже 1 раза в 2 года)
24. Направление отчетов о результатах в ФСТЭК
3. Криптографическая защита (СКЗИ и ЭП)
3.1. Защищённый канал связи (СКЗИ)
Взаимодействие информационной системы участника БВ с ГИС ЕБС осуществляется исключительно по защищённому каналу с применением сертифицированных ФСБ России средств криптографической защиты информации (СКЗИ).
3.2. Классы СКЗИ
Для большинства процессов (импорт биометрических образцов, верификация, идентификация): СКЗИ класса не ниже КС3 (обеспечение целостности и конфиденциальности).
Для мобильных приложений клиента: допускается СКЗИ класса КС1.
3.3. Усиленная квалифицированная электронная подпись (УКЭП)
Все передаваемые данные (биометрические образцы, запросы, ответы) подписываются УКЭП:
· для процессов регистрации - класс КВ2;
· для процессов верификации / идентификации - класс КС3.
Это гарантия того, что данные не были подменены в пути, а также подтверждение авторства.
3.4. ГОСТ TLS
При использовании веб-форм съёма биометрии организация обязана настроить TLS-соединение строго по российским криптографическим алгоритмам:
· ГОСТ Р 34.10-2012 (электронная подпись);
· ГОСТ Р 34.11-2012 (хэширование);
· ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015 (шифрование).
Это требование для организаций, использующих собственные веб-формы съёма биометрии.
4. Инфраструктурная безопасность и защита процессов сбора и передачи данных
4.1. Использование сертифицированного ПО (ТИБ / ОТИБ)
Если организация не разрабатывает собственное криптографическое решение с сертификацией ФСБ, она обязана использовать:
· Типовое решение информационной безопасности (ТИБ);
· Облачное типовое решение информационной безопасности (ОТИБ).
Эти решения имеют положительное заключение ФСБ России о корректности встраивания СКЗИ.
4.2. Изоляция сред (тестовая / продуктивная)
Организация обязана различать и изолировать:
· тестовую среду (содержит только фиктивные, обезличенные данные);
· продуктивную среду (содержит реальные биометрические данные).
Доступ в продуктивную среду без успешного тестирования в тестовой запрещён.
4.3. Проверка витальности (Liveness)
При регистрации и аутентификации ГИС ЕБС проводит проверку Liveness (витальности) для предотвращения атак с использованием фотографий, масок, видеозаписей или deepfake-технологий. Организация не должна мешать этой проверке (например, использовать собственные формы, которые её обходят).
4.4. Обеспечение целостности данных при передаче
Должны быть реализованы механизмы, гарантирующие, что биометрические образцы не были повреждены, изменены или подменены на этапе передачи.
Способ реализации: использование УКЭП и защищённых каналов связи (СКЗИ).
4.5. Контроль устройств (Device Attestation) для терминалов организации
Если организация использует свои терминалы (устройства) для съёма биометрии (а не устройства клиентов), она обязана поддерживать:
· контроль устройств (device attestation);
· криптографическую проверку целостности биометрического образца.
Техническая реализация: сертификат устройства прикладывается к заявке, биометрический образец подписывается.
Для организаций, использующих собственные терминалы съёма биометрии.
4.6. Технические ограничения
90% операций по выгрузке векторов должны выполняться за 60 секунд. Таймаут ожидания ответа от системы организации установлен в 60 секунд.
5. Политика управления данными (удаление и блокировка)
Регламент удаления: хранимые биометрические данные должны быть уничтожены не позднее 10 суток после истечения срока их действия или отзыва согласия. Уничтожение производится методом многократной затирки через сертифицированное ПО.
Деактивация при отзыве: если пользователь удалил биометрию на «Госуслугах» или отозвал согласие, ГИС ЕБС автоматически уведомляет организацию (КБС) о необходимости немедленной деактивации соответствующих векторов в локальной системе организации (срок реакции - 1 день на удаление, до 5 дней на подтверждение).
Обеспечение права субъекта требовать удаление / исключение данных - да, это фундаментальное право субъекта персональных данных (ст. 14 № 152-ФЗ). Применительно к биометрии действуют специальные правила.
Общий вывод: что это значит для обычного пользователя?
1. Вы не обязаны сдавать биометрию ни в банке, ни в МФЦ, ни в магазине
Если отказывают в услуге - это незаконно, и организация может получить штраф (до 500 тыс. руб. за отказ обслуживать без биометрии). Нарушителей ждут серьёзные последствия - миллионные штрафы и уголовные дела. В теории это должно дисциплинировать бизнес.
2. Ваши данные хранятся только в ЕБС или в аккредитованных КБС, прошедших проверку
· Ни один банк, магазин или МФЦ не может хранить ваши биометрические образцы (фото, голос) у себя локально - это запрещено законом. После передачи данных в ЕБС они обязаны быть удалены с рабочего места сотрудника.
· Коммерческие биометрические системы (КБС), которые могут получать из ЕБС необратимые математические шаблоны («векторы»), проходят обязательную аккредитацию в Минцифры и соответствуют жёстким требованиям.
3. Ваши данные защищены на уровне государства
Требования к защите высоки:
· Криптография: все каналы передачи вашей биометрии шифруются сертифицированными ФСБ России средствами (СКЗИ класса КС3 для серверов, КС1 для вашего телефона). Это значит, что прослушать или перехватить данные в пути невозможно.
· Целостность: каждый ваш биометрический образец подписывается усиленной квалифицированной электронной подписью (УКЭП) класса КВ2/КС3. Это гарантирует, что данные не были подменены на этапе передачи.
· Доверенная среда: если организация использует собственный терминал для съёма биометрии (например, в банке или магазине), он должен иметь сертификат устройства и подтверждённую целостность. Это исключает подмену терминала злоумышленником.
4. Система защищена от взлома изнутри и снаружи
Технические меры защиты (Приказ ФСТЭК № 21 и № 117) обязывают организации, работающие с биометрией, реализовать:
· разграничение доступа - сотрудник, который снимает биометрию, не может её просматривать или копировать;
· логирование - каждое действие с вашими данными (кто, когда, зачем) записывается в защищённый журнал и не может быть удалено;
· антивирусную защиту и обнаружение вторжений (IDS/IPS) - чтобы хакеры не могли проникнуть в сеть;
· управление уязвимостями - критические дыры в ПО устраняются в течение 24 часов;
· аттестацию информационных систем (для государственных систем и по требованию оператора ЕБС) - независимое подтверждение, что всё работает правильно.
· Внутренние регламенты организаций (как именно сотрудники допущены к работе с биометрией, как настроены серверы, как проводится антивирусная защита) - вы не видите этого, но это проверяется ФСТЭК, ФСБ и оператором ЕБС.
· Для государственных систем вводятся количественные показатели защищённости и зрелости (оценка не реже 1 раза в 6 месяцев и 1 раза в 2 года с отчётом в ФСТЭК). Это делает систему защиты непрерывной, а не разовой «галочкой».
· Человеческий фактор в организациях контролируется через учебные фишинговые атаки, регулярные тренировки персонала и проверку знаний (не реже 1 раза в 3 года). Это снижает риск «внутреннего нарушителя».
5. Вы контролируете свои данные
· Вы можете в любой момент отозвать согласие на обработку биометрии. Это можно сделать через личный кабинет на «Госуслугах», в приложении «Госуслуги Биометрия» или лично в отделении.
· После отзыва согласия (или истечения срока действия векторов) все ваши биометрические шаблоны деактивируются как в ЕБС, так и во всех коммерческих системах, куда они были выгружены. Организации обязаны удалить их в течение установленного срока (до 10 суток).
6. За нарушения предусмотрены реальные санкции
Штрафы за нарушение биометрического законодательства (с 30 мая 2025 года по Федеральному закону № 420-ФЗ) достигают:
· до 1 млн руб. за нарушение порядка обработки;
· до 1,5 млн руб. за непринятие мер безопасности;
· до 2 млн руб. за обработку без аккредитации.
Кроме того, за утечку биометрии (как специальной категории персональных данных) наступает уголовная ответственность (ст. 272, 272.1, 273, 274 УК РФ) с реальными сроками для руководителей и технических специалистов.
Итог
Вы имеете полное право не сдавать биометрию, а если сдали - ваши данные находятся под серьёзной защитой. Их невозможно перехватить, подменить или украсть из-за криптографии и строгих технических мер. Государство (через ФСБ, ФСТЭК, Минцифры и Банк России) контролирует каждый шаг организаций, а за утечку грозит уголовная ответственность. Вы можете отозвать согласие в любой момент. Бизнес же поставлен в жёсткие рамки: штрафы до 2 млн рублей и реальные сроки за нарушение правил работы с биометрией.
По поводу биометрии и банков, которые обязаны брать согласия. Я встретила похожую на свою ситуацию на форумах - а то уже подумала, что схожу с ума и где-то всё же случайно согласилась.
В общении и при оформлении чего-либо в одном конкретном банке периодически всплывают моменты о согласиях, которые я точно не давала. Например, когда оформляла подписку «Про», просто нажав кнопку «Подтверждаю» в чате с техподдержкой, мне оформляют страховку для путешествий. Бесплатно. Но… это же куча сведений, которые сами по себе циркулируют в интернете.
Но спасибо «Госуслугам» - хотя бы они подсвечивают такие моменты.
Что стоит помнить каждому пользователю?
· Читайте политику обработки биометрии - ищите пункты о «не хранении оригинальных образцов» и «шифровании».
· Проверяйте наличие согласия - если система собирает биометрию без вашего явного согласия, это нарушение № 152-ФЗ.
· Управляйте правом на удаление - в любой момент можете потребовать уничтожения ваших шаблонов.
Список нормативно-правовых актов
Основные законы и кодексы (база)
1. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (глобальная рамка информационного законодательства, содержащая ст. 14.1 о применении технологий для идентификации граждан).
2. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (регулирует общие принципы работы с данными, в частности ст. 11 «Биометрические персональные данные» и ст. 19 «Меры по обеспечению безопасности»).
3. Федеральный закон от 31 декабря 2017 г. № 482-ФЗ (внёс изменения в № 149-ФЗ и № 152-ФЗ, дополнив их нормами о биометрии и создав фундамент для Единой биометрической системы).
4. Федеральный закон от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» (создаёт правовую основу для ЕБС, закрепляет принцип добровольности и определяет Минцифры главным регулятором).
5. Федеральный закон от 30 ноября 2024 г. № 420-ФЗ (вносит изменения в КоАП РФ, вводя административную ответственность за нарушения в сфере биометрии с 30 мая 2025 г.: штрафы до 1–2 млн рублей).
6. Федеральный закон от 30 ноября 2024 г. № 421-ФЗ (вносит изменения в УК РФ, вводя уголовную ответственность за незаконный сбор, хранение, использование или распространение биометрии).
Постановления Правительства РФ (процедуры и требования)
7. Постановление Правительства РФ от 6 июля 2008 г. № 512 (утверждает требования к материальным носителям биометрических персональных данных).
8. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 (утверждает требования к защите персональных данных при их обработке в информационных системах персональных данных, включая установление уровней защищённости).
9. Постановление Правительства РФ от 28 декабря 2018 г. № 1703 (устанавливает порядок предоставления биометрических сведений в МВД и ФСБ для правоохранительных целей).
10. Постановление Правительства РФ от 15 октября 2021 г. № 1753 (утверждает требования к организационным и техническим условиям осуществления МФЦ размещения или обновления биометрических персональных данных).
11. Постановление Правительства РФ от 15 октября 2021 г. № 1754 (регулирует проверку простой электронной подписи, что важно для биометрии как второго фактора аутентификации).
12. Постановление Правительства РФ от 15 июня 2022 г. № 1066 (определяет порядок самостоятельной регистрации биометрии через мобильное приложение ЕБС).
13. Постановление Правительства РФ от 15 июня 2022 г. № 1067 (определяет случаи и сроки использования биометрических данных).
14. Постановление Правительства РФ от 27 марта 2023 г. № 478 (утверждает порядок отказа от сбора биометрии - гражданин может в любой момент отозвать согласие, и оператор обязан удалить данные).
15. Постановление Правительства РФ от 6 апреля 2023 г. № 552 (определяет порядок и сроки рассмотрения обращений граждан по вопросам биометрии).
16. Постановление Правительства РФ от 28 апреля 2023 г. № 670 (утверждает порядок аккредитации государственных органов и Центрального банка РФ для работы с биометрией).
17. Постановление Правительства РФ от 22 мая 2023 г. № 810 (утверждает порядок аккредитации коммерческих биометрических систем).
18. Постановление Правительства РФ от 31 мая 2023 г. № 883 (утверждает Положение о единой биометрической системе, регулирующее архитектуру и правила использования ЕБС).
19. Постановление Правительства РФ от 21 июня 2024 г. № 834 (определяет организацию-оператора ЕБС — АО «Центр Биометрических Технологий» (ЦБТ)).
20. Постановление Правительства РФ от 18 января 2025 г. № 15 (вносит изменения в № 1067, уточняя сроки обновления биометрии).
21. Распоряжение Правительства РФ от 28 ноября 2023 г. № 3375-р (утверждает состав Координационного совета по развитию цифровых технологий на основе биометрии).
Ведомственные акты и стандарты (техническая реализация)
22. ГОСТ Р 58624.3 (национальный стандарт, аналог ISO 30107, определяющий методы тестирования систем Liveness Detection для защиты от deepfake-атак).
23. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 (устанавливает требования к обеспечению безопасности биометрических персональных данных, включая 4 уровня защищённости, криптографию и системы обнаружения вторжений).
24. Приказ ФСТЭК России от 11 апреля 2025 г. № 117 (утверждает новые требования к защите информации в государственных информационных системах, включая ЕБС; вводит обязательную регулярную оценку защищённости и зрелости, расширяет зону ответственности на всю ИТ-инфраструктуру и ужесточает требования к подрядчикам и квалификации ИБ-персонала).
25. Приказ Минцифры России от 17 апреля 2023 г. № 378 (утверждает методику проверки соответствия биометрических данных векторам ЕБС).
26. Приказ Минцифры России от 27 апреля 2023 г. № 432 (определяет порядок и сроки направления заявки о блокировании данных - механизм экстренной блокировки биометрии).
27. Приказ Минцифры России от 5 мая 2023 г. № 445 (утверждает перечень угроз для Единой биометрической системы).
28. Приказ Минцифры России от 5 мая 2023 г. № 446 (утверждает перечень угроз для коммерческих биометрических систем).
29. Приказ Минцифры России от 12 мая 2023 г. № 453 (утверждает порядок обработки биометрических персональных данных - требования к качеству фото, характеристикам микрофона и т.д.).
30. Приказ Минцифры России от 29 ноября 2023 г. № 1024 (регулирует подтверждение соответствия технологий для обработки биометрии).
Указания Банка России (для финансового сектора)
31. Указание Банка России от 25 сентября 2023 г. № 6540-У (регулирует работу банков с Единой биометрической системой).
32. Указание Банка России от 25 сентября 2023 г. № 6541-У (регулирует работу банков с коммерческими биометрическими системами).
Письма и методические рекомендации
33. Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР (содержат практические рекомендации по нейтрализации угроз при работе с биометрией для кредитных организаций).
34. Письмо Банка России от 13 декабря 2019 г. (разъясняет, что для сбора биометрии не требуется отдельный счёт в банке).
35. Письмо Минкомсвязи России от 28 августа 2020 г. № ЛБ-С-074-24059 (методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных, содержащие разъяснения по биометрии).
36. Письмо Роскомнадзора от 29 августа 2022 г. № 08-78032 (разъяснение о том, что цветное цифровое фото лица владельца документа является его биометрическими персональными данными).
