Законодательная база для биометрии

    image


    Сейчас у банкоматов можно увидеть приободряющую надпись, что скоро аппараты с деньгами станут узнавать нас по лицу. Недавно писали об этом здесь.


    Здорово, придётся меньше стоять в очереди.


    Айфон опять же отличился камерой для снятия биометрических данных.


    Едина Биометрическая Система (ЕБС) послужит фундаментом для воплощения этих вех будущего в реальность.


    Центробанк выкатил перечень угроз, от которых операторы, работающие с биометрическими персональными данными, должны быть готовы защищать клиентов, а в феврале представил методические рекомендации по устранению опасностей.


    Очередной свод правил должен минимизировать следующие риски:


    • Риски, которые возникают при сборе биометрических данных.
    • Риски, которые возникают при обработке запросов людей и работе с их персональными данными.
    • Риски, возникающие при удалённом установлении личности.

    Для этого предлагают:


    • Регистрировать каждый чих операторов.
    • Использовать только сертифицированные средства.
    • Выдавать ключи электронной подписи операторам.
    • Информировать Центральный Банк о всех инцидентах.

    Вернёмся немного к истории вопроса. Cпустя 10 лет после первых законодательных движений в этой сфере в России стали выдавать паспорта, которые законно могли бы содержать электронные носители информации.


    Со временем 152-й федеральный закон только дополнялся. В 11-й статье закона прописали, что биометрия — это сведения, которые характеризуют физические (затем добавили, что и биологические) особенности человека, на основе которых можно установить его личность. Потом добавили, что данные биометрии операторы используют для идентификации человека, а обработка этих данных возможна только с письменного согласия клиента.


    Исключение будет только если обнаружат, что клиент — террорист.


    Решили, что такие данные следует защищать:


    • От неправомерного или случайного доступа к ним.
    • От уничтожения или изменения.
    • От блокировки.
    • От копирования.
    • От предоставления к ним доступа.
    • От распространения.

    Следующим шагом стала стандартизация под мировой уровень. Она затронула отпечатки пальцев, изображения лиц, данные ДНК. В 2008-м запилили требования к материальным носителям и технологиям хранения вне информационной системы персональных данных.
    Под носителями понимают только устройства, которые может читать робот без сканирования. Бумажные материалы не в счёт.


    Требования следующие:


    • Обеспечение доступа только уполномоченным лицам.
    • Способность определять систему и её оператора.
    • Предотвращать перезапись вне информационной системы и несанкционированный доступ.

    Должно будет обеспечиваться:


    • Использование цифровой подписи или другого способа сохранить целостность и неизменность данных.
    • Проверка, есть ли письменное согласие субъекта персональных данных.

    Единая Биометрическая Система базируется на федеральном законе 149. Он связывает её с Единой Системой Идентификации и Аутентификации. Операторы идентифицируют человека с его согласия и в его присутствии. А затем засылают данные в ЕБС.


    Правительство определяет, как собирать, передавать, обрабатывать данные и назначает надзирателя за всем этим. Сейчас ответственным за разработку регламентов стал Ростелеком.


    Кроме того, контролирует и надзирает ФСБ и ФСТЭК.


    ФСБ требует с банков в первую очередь криптозащиту. К тому же банк, который страхует вклады, имеет право вносить Биометрические Данные в ЕБС и удалённо идентифицировать для оказания базовых услуг, если только это не террорист или около того.


    Как всегда, жизнь вносит свои коррективы во всё, что зарегулировало государство. В частности, во время контрольной закупки ЦБ выявил недочёты как в самой системе, так и при удалённой идентификации при оказании услуг.


    Многие банки дак вообще традиционно отчитались формально, а на деле даже не отрабатывали взаимодействие с клиентами.


    Время движется вперёд, подготавливая законодательную почву для того, чтобы киборги могли нас узнавать. А мы готовы предоставить облачную инфраструктуру, отвечающую всем подобным законам.


    Cloud4Y
    57,00
    #1 Корпоративный облачный провайдер
    Поделиться публикацией

    Комментарии 24

      0
      А в законах есть указание об ответственности за нарушения и за компрометацию? Или как обычно — штраф 100р?
        0
        А также 200к за разглашение факта компрометации, да.
          0
          Даже если ответственность есть. Многих ли привлекут?
            0
            А кого привлекут — не смогут ли откупиться? :)
          0
          Это вы базой называете систему (ЕБС), в которой один REST запрос стоит 100-200р?
            0
            Законодательной базой — ряд законопроектов.
            +2

            [paranoid mode on]
            Помнится, в одной из статей про системы оптического распознавания в автомобильных "автопилотах" упоминались способы искажения визуальных данных.
            Кажется, пора разрабатывать латексные лицевые маски с подобным jammer-ом.
            Если существуют защитные чехлы для бесконтактных карт, то уж собственную физиономию точно стоит обезопасить.
            Банки, почта, госуслуги — все тянутся к биометрии. В обстановке, когда практически любая база данных — не более чем товар. Вопрос стоимости.
            [paranoid mode off]

              0
              А смысл?
                0

                Смысл простой.
                Существуют не очень добросовестные нотариусы (к примеру), которые в наше время по ксероксу паспорта подтверждают незаконные сделки.
                А вопрос, когда наши биометрические данные станут достаточным основанием для авторизации — только в сроках.
                Вот так приезжает человек на дачу, и выясняет, что он ее продал благополучно полгода назад, и сделка его биометрией заверена. И докажи теперь, что ты не лось.

                  +1
                  Ещё хуже — если на операционном столе окажется, что он уже пожертвовал клинике свои сердце, печень и почки, и это тоже заверено биометрией. И платной клинике окажется более выгодным продать пожертвованные органы, чем лечить.
                    +1

                    Вот как хирург вам говорю — чисто технически нереально.

                      0
                      В чём техническая сложность, при наличии заверенного биометрией согласия?
                        0

                        В том, что подбор органов для трансплантации — дело очень сложное, и заготовить, "что попало" впрок — нынешняя медицина не умеет. Исключение — препараты крови, и то — далеко не все.

                          0
                          Из ваших слов следует, что органы тех кто случайно помер в автокатастрофе — тоже «не годятся». Как же их тогда используют?

                          И чем орган помершего во время операции критически отличается от органа помершего в автокатастрофе?
                            0

                            А у нас используют органы умерших от дтп?
                            Или декларируют возможность?
                            В идеальных условиях, человек, изъявивший желание после смерти "пойти на запчасти" (в некоторых странах за это бонусы неплохие), должен быть обследован чуть более, чем полностью, и вести опредеденный образ жизни, сохраняющий его органы пригодными доя трансплантации. Никто же не захочет иметь легкие курильщика с 20-летним стажем, или печень наркозависимого или алкоголика.
                            Далее. После остановки кровообращения остается совсем мало времени, в течение которого надо все успеть. Соответственно, реципиент уже должен лежать на соседнем столе, в идеале. А это означает еще более предварительное обследование на иммунологическую совместимость, что намного сложнее типирования групп крови (по АВ0) и резус-фактора.
                            Если кратко — потенциальный донор уже кому-то определенному "предназначен".

                              0
                              А чьи органы используют в России?
                              реципиент уже должен лежать на соседнем столе, в идеале

                              Это почка проданная донором.
                              А если сердце или печень, тогда как?
                              потенциальный донор уже кому-то определенному «предназначен»

                              И как это «предназначение» при живом пациенте происходит?
                              И как он исполняет своё «предназначение»?
                              Особенно, если у него «предназначен» непарный орган вроде сердца.
                                0
                                Печень, кстати, можно кусочком (долей) продать. Не смертельно для донора.
                                А вот жизненно важные неделимые органы — очень сложно.
                                Я не трансплантолог, «я так вижу», могу и ошибаться.
                                Примерно так:
                                «Я, Имярек И.И. в случае своей внезапной смерти даю согласие на {разобрать мое тело на органы} »
                                Это согласие регистрируется в базе данных потенциальных доноров. Такого человека обследуют на пригодность к донорству, берут необходимые анализы, в том числе — на гисто-совместимость (условный показатель того, что трансплантат приживется). Далее донор живет себе, бережет теперь уже не совсем свое тельце.
                                Пациент, нуждающийся в трансплантации, сдает анализы на гисто-совместимость. При совпадении «лотерейных билетов» в базе отметка: Если (донор) внезапно ударится об столб, а (реципиент) еще живой — берем нужный орган и на стол. В случае подозрения на то, что появится донорский орган реципиент вызывается срочно в клинику и ждет. Так, одному реципиенту, теоретически, могут подойти несколько доноров, в порядке слепой случайности (или злого умысла).
                                А так что «О, у него сердце вроде здоровое, давай кому-нибудь попробуем втулить» — не пройдет.
                                Есть возможность, когда жертва ДТП (к примеру) находится достаточно долго в стационаре, чтобы быть обследованным на предмет донорства. Но. Кроме крупнейших центров трансплантологии, не могу представить, кто этим будет заниматься.
                                Обычной районной-городской-областной больнице этот геморрой не нужен.
              +1
              Сейчас у банкоматов можно увидеть приободряющую надпись, что скоро аппараты с деньгами станут узнавать нас по лицу.
              Теперь пацаны за гаражами будут просить поделиться финансами фразой «сыш ща так атделаем — банкамат да канца жизни не узнает!»
                0
                Может быть введут ограничение на сумму снятия по такому способу идентификации.
                +1
                Несмотря на то, что биометрия это пока добровольное дело, возникает такой вопрос, может кто из юристов поможет ответить.
                Можно ли заранее, например, для сбербанка, в письменном виде составить банковское поручение, о запрете получения любых банковских услуг с использованием биометрии в отношении себя.
                  0
                  Лучше всего могут проконсультировать непосредственно колл-центры самих банков.
                    0
                    Колл-центры самих банков не смогут помочь по крайней мере сбербанк.
                    Интересно ради эксперимента, попробовать обратиться к независимому юристу, что бы он составил, юридически точное, поручение шаблон. Дальше зарегистрировать его в сбербанке.
                    0

                    Как-то вспомнилось заявление относительно прав на интеллектуальную собственность, размещенную на "стене" в синей соцсети.
                    Думаю, составить-то можно и несложно, но…
                    Попробуйте в больнице отказать в обработке персональных данных. Технически, это не влияет на ваше право получить мед.помощь, а вот что получится на практике?
                    Банки куда проще откажут в обслуживании, сославшись на 100500 рекомендаций по ИБ и иных важных документов.


                    "Дополнительные 5см паяльника в вашей… — исключительно для вашей безопасности"

                      0
                      Есть разные ПД, например банку для обслуживания счета необязательно знать есть ли в собственности квартира, машина и тд., если конечно не берется кредит под залог данной собственности. Или например медицинские данные когда, чем болел и тд.
                      Хотя и тут сбербанк пытается, в один из сервисов телемедицины можно зайти, используя аккаунт онлайнсбербанка

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое