Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных

«Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных(ПДн), векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой» №18-МР были утверждены Банком России 8 октября 2024 года.

Документ представляет собой детальные технические и организационные предписания для банков и других финансовых организаций по защите биометрических данных на всех этапах работы с Единой биометрической системой (ЕБС): от сбора и передачи до идентификации / аутентификации и обработки запросов.

Документ устанавливает единый срок хранения не менее 5 лет для нескольких типов регистрационной информации о действиях, связанных с:

• Доступом и работой с биометрическими данными при их сборе (п. 2.6);
  
  
• Обработкой и передачей данных в единую биометрическую систему (ЕБС) (п. 3.11);
  
  
• Взаимодействием информационных систем организаций финансового рынка с ЕБС (п. 6.7);
  
  
• Взаимодействием с ЕСИА и ЕБС (п. 7.4).

При сборе биометрических ПДн физических лиц при личном присутствии клиента работниками банков банкам рекомендуется обеспечить регистрацию действий, связанных с (п. 2.5):

• Назначением и изменением прав доступа уполномоченных сотрудников к объектам информационной инфраструктуры банка, используемым для сбора;
  
  
• Выполнением процедур идентификации, аутентификации, авторизации уполномоченных сотрудников при доступе к объектам информационной инфраструктуры банка, используемым для сбора;
  
  
• Формированием электронного сообщения, содержащего собранные биометрические ПДн физических лиц, для передачи;
  
  
• Подписанием электронных сообщений, содержащих собранные биометрические ПДн физических лиц;
  
  
• Передачей электронных сообщений, содержащих собранные биометрические персональные данные физических лиц в целях размещения или обновления биометрических ПДн в единой биометрической системе;
  
  
• Уничтожением (удалением) биометрических ПДн физических лиц на объектах информационной инфраструктуры банка.

При взаимодействии информационных систем банков с единой биометрической системой в целях размещения или обновления биометрических персональных данных в единой биометрической системе с использованием СМЭВ, банкам рекомендуется обеспечить регистрацию действий, связанных с (п.3.10):

• Выполнением процедур сверки электронных сообщений, содержащих биометрические ПДн, входящих в сегмент вычислительной сети банков, в котором осуществляется их обработка, с исходящими из указанного сегмента вычислительной сети электронными сообщениями, содержащими биометрические ПДн;
  
  
• Подписанием УКЭП банка электронных сообщений, содержащих биометрические ПДн физических лиц;
  
  
• Передачей электронных сообщений, содержащих биометрические ПДн физических лиц, при направлении в единую биометрическую систему.

При взаимодействии информационных систем организаций финансового рынка с единой биометрической системой рекомендуется обеспечить регистрацию действий по передаче электронных сообщений, содержащих биометрические ПДн физических лиц (п.6.6):

• При передаче собранных данных в единую биометрическую систему;
  
  
• При получении векторов единой биометрической системы;
  
  
• При направлении оператору единой биометрической системы мотивированного запроса и получении информации.

При предоставлении организациями финансового рынка в единую систему идентификации и аутентификации сведений о физических лицах, содержащихся в их информационных системах, включая идентификаторы таких сведений, перед использованием ЕБС для аутентификации организациям финансового рынка рекомендуется обеспечить регистрацию действий по (п.7.4):

• Взаимодействию с единой системой идентификации и аутентификации и единой биометрической системой, реализуемым, в том числе, с применением протокола на базе OpenID Connect;
  
  
• Проверке сведений о физических лицах, содержащихся в информационных системах организаций финансового рынка, включая идентификаторы таких сведений.

Мой комментарий: У любых таких требований есть как свои «плюсы», так и «минусы». 
Положительные аспекты установленных сроков хранения, с моей точки зрения, следующие:

• Обеспечение надзора и возможности проведения аудита. Длительный срок хранения позволит Банку России и внутренним аудиторам проводить глубокие ретроспективные проверки деятельности организаций. За 5 лет можно выявить не только единичные инциденты, но и системные проблемы или схемы.
  
  
• Расследование инцидентов. В случае утечки данных, мошенничества или судебного спора лог-файлы за 5 лет являются доказательной базой. Они помогают восстановить полную картину событий, установить виновных и масштаб ущерба и т.д.
  
  
• Сдерживающий фактор. Осознание того, что все действия протоколируются и хранятся долгие годы, является мощным сдерживающим фактором для потенциальных злоумышленников (как внешних, так и внутренних).
  
  
• Унификация подхода. Установление единого срока для всех организаций финансового рынка упрощает надзорную деятельность и создает равные условия для всех участников.

В числе негативных аспектов и рисков можно назвать:

• Риск утечки конфиденциально информации из создаваемых массивных баз данных. Фактически, в течение 5 лет финансовые организации накапливают детальные журналы, которые могут прямо или косвенно раскрывать сведения о поведении клиентов и сотрудников. Речь идёт не просто о «действиях с биометрией», а о метаданных, говорящих о том, кто, когда, с какого устройства и в каком контексте взаимодействовал с системой;
  
  Централизованно хранящиеся богатые информационные активы такого рода сами по себе становятся привлекательной целью для злоумышленников. Утечка этих данных (и их последующая обработка с использованием продвинутых алгоритмов) могут привести к раскрытию не только самих биометрических данных, но и контекста их использования (например, когда и в каком банке конкретный человек проходил аутентификацию);
  
  
• Высокие операционные затраты и сложности.
  
  Вырастут прямые затраты на поддержание систем хранения, на резервное копирование, на программное обеспечение и на обслуживание соответствующей инфраструктуры.
  
  
• ­Объем данных. Логи операций, особенно с учетом требований к детализации (процедуры идентификации, подписание ЭП, передача сообщений), будут занимать значительные объемы памяти;
  
  
• ­Инфраструктура. Требуется развертывание и поддержка высоконадежных систем хранения и управления журналами аудита (логами), соответствующих тем же требованиям по защите, что и основные системы;
  
  
• Правовая и регуляторная неопределенность. Возможен конфликт с другими требованиями законодательства, в частности, с положениями федерального закона ФЗ-№152 «О персональных данных», который требует хранить их не дольше, чем это необходимо для целей обработки. Организациям будет сложно обосновать, почему для целей аудита им необходимо хранить логи именно 5 лет, а не, скажем, 3 года. Это создает определенный правовой риск, поскольку сроки хранения установлены Банком России не на уровне законодательства. а в методических рекомендациях;
  
  
• Сложность обеспечения целостности и достоверности логов. Гарантировать, что за 5 лет логи не будут случайно или намеренно изменены, удалены или повреждены, а также что сохранится в работоспособном виде инфраструктура, позволяющая их обрабатывать - это отдельная сложная техническая задача. Потребуется применение дополнительных мер (например, электронное подписание логов усиленными электронными подписями или вычисление, сохранение и верификация их хеш-значений с целью контроля целостности).

Требование о хранении информации в течение 5 лет является обоснованным с точки зрения надзора и безопасности, но затратным и рискованным с операционной и правовой точек зрения.

• С точки зрения регулятора (Банка России) - это инструмент для контроля над новой и крайне чувствительной системой;
  
  
• С точки зрения финансовой организации - это прямое обязывающее требование, исполнение которого ведёт к существенным капитальным и операционным расходам, а также к новым рискам;
  
  
• С точки зрения клиента ситуация является двойственной. С одной стороны, его данные лучше защищены от мошенничества благодаря возможности глубокого аудита. С другой стороны, о нём самом накапливается огромный массив сведений, который сам по себе может стать источником риска.

Требование по срокам является «необходимым злом» в рамках выбранной модели централизованной биометрической системы. Его исполнение - это «плата» за возможность работать с биометрией, которая ляжет бременем на финансовые организации и создаст новые, долгосрочные риски для персональных данных и конфиденциальной деловой информации.

Источник: Консультант Плюс 
https://www.consultant.ru/cons/cgi/online.cgi?req=doc&cacheid=F2C886A7E662063DB52C1E0D4B08AAE9&mode=searchcard&base=LAW&n=488828