Банк России опубликовал для обсуждения два проекта, которыми определил перечень угроз безопасности при обработке биометрических персональных данных, при работе финорганизаций с такими данными и прочее. Это Проект указания Банка России «О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, при взаимодействии организаций финансового рынка с единой биометрической системой с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных» и Проект указания Банка России «О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных». Мы изучили документы, чтобы ответить: что из перечисленных угроз несет реальную опасность и с чем вероятнее всего банкам придется столкнуться в первую очередь? Рассуждает Алексей Парфентьев, руководитель отдела аналитики "СёрчИнформ".
Биометрическая информация выделена в отдельный тип данных еще в ФЗ-152, и это оправдано. Компрометация таких данных – это критический инцидент, потому что голос или отпечаток пальца жертва не сможет заменить в отличие от данных паспорта или платежной информации. То есть если злоумышленник получит в распоряжение чужие биометрические данные, он всегда сможет авторизоваться под личностью жертвы.
Тем не менее среди угроз, которые перечислены ЦБ, утечка биометрической информации не фигурирует. Среди других угроз перечислены нарушение целостности, подмена, удаление, нарушение конфиденциальности, что может произойти в ходе сбора, обработки, пересылки информации. Все это риски неправомерного доступа, тогда как утечка – это результат правомерного доступа, в рамках должностных полномочий. И вот этот риск не описан.
Еще обращает внимание, что в указании не прописаны регламенты по защите от этих угроз, есть только отсылка к требованиям ФСБ. Для эффективности имело бы смысл прописать регламенты явно и прямо в указании ЦБ. Например, требование хранить данные в не просто шифрованной виде, а в том, из которого данные невозможно восстановить даже математическим методом. Это позволило бы снизить риск утечки, т.к. в случае слива злоумышленник получил бы набор бессмысленной информации. А вот как в реальности организации хранят биометрические данные – это вопрос.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных