«Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных(ПДн), векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой» №18-МР были утверждены Банком России 8 октября 2024 года.
Документ представляет собой детальные технические и организационные предписания для банков и других финансовых организаций по защите биометрических данных на всех этапах работы с Единой биометрической системой (ЕБС): от сбора и передачи до идентификации / аутентификации и обработки запросов.
Документ устанавливает единый срок хранения не менее 5 лет для нескольких типов регистрационной информации о действиях, связанных с:
- Доступом и работой с биометрическими данными при их сборе (п. 2.6);
- Обработкой и передачей данных в единую биометрическую систему (ЕБС) (п. 3.11);
- Взаимодействием информационных систем организаций финансового рынка с ЕБС (п. 6.7);
- Взаимодействием с ЕСИА и ЕБС (п. 7.4).
При сборе биометрических ПДн физических лиц при личном присутствии клиента работниками банков банкам рекомендуется обеспечить регистрацию действий, связанных с (п. 2.5):
- Назначением и изменением прав доступа уполномоченных сотрудников к объектам информационной инфраструктуры банка, используемым для сбора;
- Выполнением процедур идентификации, аутентификации, авторизации уполномоченных сотрудников при доступе к объектам информационной инфраструктуры банка, используемым для сбора;
- Формированием электронного сообщения, содержащего собранные биометрические ПДн физических лиц, для передачи;
- Подписанием электронных сообщений, содержащих собранные биометрические ПДн физических лиц;
- Передачей электронных сообщений, содержащих собранные биометрические персональные данные физических лиц в целях размещения или обновления биометрических ПДн в единой биометрической системе;
- Уничтожением (удалением) биометрических ПДн физических лиц на объектах информационной инфраструктуры банка.
При взаимодействии информационных систем банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе с использованием СМЭВ, банкам рекомендуется обеспечить регистрацию действий, связанных с (п.3.10):
- Выполнением процедур сверки электронных сообщений, содержащих биометрические ПДн, входящих в сегмент вычислительной сети банков, в котором осуществляется их обработка, с исходящими из указанного сегмента вычислительной сети электронными сообщениями, содержащими биометрические ПДн;
- Подписанием УКЭП банка электронных сообщений, содержащих биометрические ПДн физических лиц;
- Передачей электронных сообщений, содержащих биометрические ПДн физических лиц, при направлении в единую биометрическую систему.
При взаимодействии информационных систем организаций финансового рынка с единой биометрической системой рекомендуется обеспечить регистрацию действий по передаче электронных сообщений, содержащих биометрические ПДн физических лиц (п.6.6):
- При передаче собранных данных в единую биометрическую систему;
- При получении векторов единой биометрической системы;
- При направлении оператору единой биометрической системы мотивированного запроса и получении информации.
При предоставлении организациями финансового рынка в единую систему идентификации и аутентификации сведений о физических лицах, содержащихся в их информационных системах, включая идентификаторы таких сведений, перед использованием ЕБС для аутентификации организациям финансового рынка рекомендуется обеспечить регистрацию действий по (п.7.4):
- Взаимодействию с единой системой идентификации и аутентификации и единой биометрической системой, реализуемым, в том числе, с применением протокола на базе OpenID Connect;
- Проверке сведений о физических лицах, содержащихся в информационных системах организаций финансового рынка, включая идентификаторы таких сведений.
Мой комментарий: У любых таких требований есть как свои «плюсы», так и «минусы».
Положительные аспекты установленных сроков хранения, с моей точки зрения, следующие:
- Обеспечение надзора и возможности проведения аудита. Длительный срок хранения позволит Банку России и внутренним аудиторам проводить глубокие ретроспективные проверки деятельности организаций. За 5 лет можно выявить не только единичные инциденты, но и системные проблемы или схемы.
- Расследование инцидентов. В случае утечки данных, мошенничества или судебного спора лог-файлы за 5 лет являются доказательной базой. Они помогают восстановить полную картину событий, установить виновных и масштаб ущерба и т.д.
- Сдерживающий фактор. Осознание того, что все действия протоколируются и хранятся долгие годы, является мощным сдерживающим фактором для потенциальных злоумышленников (как внешних, так и внутренних).
- Унификация подхода. Установление единого срока для всех организаций финансового рынка упрощает надзорную деятельность и создает равные условия для всех участников.
В числе негативных аспектов и рисков можно назвать:
- Риск утечки конфиденциально информации из создаваемых массивных баз данных. Фактически, в течение 5 лет финансовые организации накапливают детальные журналы, которые могут прямо или косвенно раскрывать сведения о поведении клиентов и сотрудников. Речь идёт не просто о «действиях с биометрией», а о метаданных, говорящих о том, кто, когда, с какого устройства и в каком контексте взаимодействовал с системой;
Централизованно хранящиеся богатые информационные активы такого рода сами по себе становятся привлекательной целью для злоумышленников. Утечка этих данных (и их последующая обработка с использованием продвинутых алгоритмов) могут привести к раскрытию не только самих биометрических данных, но и контекста их использования (например, когда и в каком банке конкретный человек проходил аутентификацию); - Высокие операционные затраты и сложности.
Вырастут прямые затраты на поддержание систем хранения, на резервное копирование, на программное обеспечение и на обслуживание соответствующей инфраструктуры. - Объем данных. Логи операций, особенно с учетом требований к детализации (процедуры идентификации, подписание ЭП, передача сообщений), будут занимать значительные объемы памяти;
- Инфраструктура. Требуется развертывание и поддержка высоконадежных систем хранения и управления журналами аудита (логами), соответствующих тем же требованиям по защите, что и основные системы;
- Правовая и регуляторная неопределенность. Возможен конфликт с другими требованиями законодательства, в частности, с положениями федерального закона ФЗ-№152 «О персональных данных», который требует хранить их не дольше, чем это необходимо для целей обработки. Организациям будет сложно обосновать, почему для целей аудита им необходимо хранить логи именно 5 лет, а не, скажем, 3 года. Это создает определенный правовой риск, поскольку сроки хранения установлены Банком России не на уровне законодательства. а в методических рекомендациях;
- Сложность обеспечения целостности и достоверности логов. Гарантировать, что за 5 лет логи не будут случайно или намеренно изменены, удалены или повреждены, а также что сохранится в работоспособном виде инфраструктура, позволяющая их обрабатывать - это отдельная сложная техническая задача. Потребуется применение дополнительных мер (например, электронное подписание логов усиленными электронными подписями или вычисление, сохранение и верификация их хеш-значений с целью контроля целостности).
Требование о хранении информации в течение 5 лет является обоснованным с точки зрения надзора и безопасности, но затратным и рискованным с операционной и правовой точек зрения.
- С точки зрения регулятора (Банка России) - это инструмент для контроля над новой и крайне чувствительной системой;
- С точки зрения финансовой организации - это прямое обязывающее требование, исполнение которого ведёт к существенным капитальным и операционным расходам, а также к новым рискам;
- С точки зрения клиента ситуация является двойственной. С одной стороны, его данные лучше защищены от мошенничества благодаря возможности глубокого аудита. С другой стороны, о нём самом накапливается огромный массив сведений, который сам по себе может стать источником риска.
Требование по срокам является «необходимым злом» в рамках выбранной модели централизованной биометрической системы. Его исполнение - это «плата» за возможность работать с биометрией, которая ляжет бременем на финансовые организации и создаст новые, долгосрочные риски для персональных данных и конфиденциальной деловой информации.
Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc&cacheid=F2C886A7E662063DB52C1E0D4B08AAE9&mode=searchcard&base=LAW&n=488828







