2024/07/24 12:19:56

Рынок биометрии в России: как соответствовать требованиям законодательства. Решение компании BIOSMART

На мировом рынке систем безопасности вопрос конфиденциальности персональных данных всегда выдвигался на первое место. Биометрические данные, использование которых наблюдается все больше и больше последние несколько лет, безусловно, относятся к персональным. В связи с этим у мирового сообщества возникает потребность в обеспечении защиты и сохранности биометрической информации. Однако, как показало недавнее опубликованное исследование Центра Биометрических Технологий, в 15-ти анализируемых странах не сформировалось единого регулятора на законодательном уровне.

Так, например, в США на сегодняшний день не существует (на общенациональном уровне) законов, регламентирующих работу с биометрией. А в Великобритании есть UK-GDPR, или Общие правила защиты данных Соединенного Королевства. В Индии, ОАЭ и Китае есть действующие законы о защите персональных данных, в то время, как в Новой Зеландии это закон о неприкосновенности частной жизни (Закон о конфиденциальности). Таким образом, во многих странах (практически во всех развитых и развивающихся) существуют нормативные акты, регулирующие сбор, хранение и обработку персональных данных, но нет отдельного законодательства, регулирующего биометрическую информацию.

Ситуация на российском рынке

С точки зрения нормативно-правового регулирования, хранения и обработки биометрических данных своих граждан — российский рынок биометрии отличается от мирового. Помимо обязательств, диктуемых законодательством о персональных данных (152-ФЗ), организации, использующие биометрическую идентификацию сотрудников, должны выполнять требования 572-го Федерального Закона от 29 декабря 2022 г. «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных».

В июне 2024 года стало известно, что Минцифры будут проверять степень безопасности работы с биометрией в организациях, которые ее используют. Предметом проверки станет наличие обеспечения необходимой защитой биометрической информации сотрудников компаний. Подобное обеспечение безопасности стало необходимостью еще с 2023 года, когда биометрические данные россиян стали храниться в Единой биометрической системе (далее ЕБС).

Согласно действующему законодательству, в ЕБС передаются уникальные биометрические характеристики пользователей, а именно лицо и голос. Если говорить в целом о современном рынке биометрических технологий в России, эти признаки обладают наибольшей долей проникновения, как и на мировом уровне.

В этом обзоре будет рассмотрен кейс российского разработчика и производителя биометрических устройств BIOSMART: как использовать биометрию на объектах, соблюдая при этом требования 572-ФЗ. Каким образом может быть выстроено взаимодействие с ЕБС по векторной (через КБС^[1]) и транзакционной (напрямую) моделям.

Векторная модель. Интеграция с КБС

Для идентификации личности с помощью векторной модели компания BIOSMART подготовила интеграционное решение по взаимодействию с КБС, которое подойдет для любого бизнеса различных отраслей, за исключением объектов критической информационной инфраструктуры (КИИ).

Что такое векторная модель?

Векторная модель — это технология, использующая математические шаблоны векторов, которые получают на основе фотографий или голосовых записей. Эти векторы сами по себе не являются биометрическими данными, и в случае утечки не могут быть использованы для воссоздания исходных биометрических данных, обеспечивая дополнительный уровень защиты. Этот инновационный подход гарантирует высокую безопасность, конфиденциальность данных, что делает его привлекательным решением для организаций, стремящихся защитить персональные данные своих сотрудников.

При приобретении первичных векторов организации должны обращаться в ГИС ЕБС через аккредитованную КБС. Это гарантирует, что векторы будут получены через безопасный и надежный канал, и сводит к минимуму риск утечки данных. Данное решение подходит широкому кругу организаций, включая государственные, финансовые учреждения и частные компании. Однако он неприменим к объектам критической информационной инфраструктуры, таким как военные объекты, атомные электростанции и другие объекты с высокими требованиями к уровню безопасности, обязывающие иметь специализированные протоколы.

Кроме того, при внедрении векторной модели в организации здравоохранения и финансов, важно учитывать особые требования, необходимые для обеспечения безопасности данных в этих сферах. Здесь необходима дополнительная экспертная консультация для соблюдения всех применимых отраслевых законов и правил.

Схема подключения к КБС по векторной модели выглядит следующим образом:

Интеграционное решение

Компания BIOSMART подготовила интеграционное решение, которое позволяет использовать терминал распознавания лиц Quasar 7 и программное обеспечение Biosmart-Studio в полной мере выполняя требования 572-го Федерального закона.

Biosmart-Studio — это программное обеспечение для организации системы контроля и управления доступом, а также ведения учета рабочего времени. Для обеспечения бесперебойного взаимодействия с КБС в Biosmart-Studio добавлены следующие возможности:

Управление согласием: реализована функция инициирования согласия сотрудников на использование биометрических данных.

Хранение результатов идентификации: программное обеспечение получает и сохраняет результаты идентификации для отслеживания рабочего времени и других бизнес-процессов.
Мониторинг состояния КБС: программное обеспечение предоставляет функцию мониторинга состояния привязки к КБС.

BioSmart Quasar 7 — это терминал для организации контроля и управления доступом, а также учета рабочего времени посредством идентификации пользователей по биометрическим данным (лицо и вены ладони), а также по RFID-картам и смартфонам. Для обеспечения безопасного взаимодействия с КБС в терминал BioSmart Quasar 7 добавлены следующие возможности:

Криптографическая защита: Для связи с КБС установлен уровень криптографической защиты КС1.
Идентификация: терминал позволяет проходить аутентификацию с использованием технологии распознавания лиц через КБС и/или по RFID-картам.
Получение результатов идентификации: терминал получает результаты идентификации от КБС.
Защита биометрических данных: на терминале Quasar 7 не хранятся биометрические объекты

Решение BIOSMART для взаимодействия с КБС устанавливает новый стандарт безопасной биометрической идентификации. Так, терминал Quasar 7 обеспечивает дополнительный уровень безопасности с криптографической защитой, идентификацией и получением результатов, а также защищает биометрические данные, не сохраняя биометрические объекты. Программное обеспечение Biosmart-Studio позволяет легко настраивать биометрические устройства, обеспечивая правомерное взаимодействие с КБС.

Транзакционная модель. Интеграция с ЕБС

Транзакционная модель взаимодействия с ЕБС — обязательное условие для биометрической аутентификации в организациях, относящимся к объектам КИИ. В то же время, данная модель применима для любых других организаций. Решение BIOSMART по взаимодействию с ЕБС является надежным способом реализации биометрической идентификации на объекте, соответствуя требованиям 572-го Федерального Закона.

Что такое транзакционная модель?

Транзакционная модель — это прямая интеграция между информационной системой клиента и ЕБС, позволяющая безопасно и эффективно обрабатывать биометрические данные для аутентификации пользователей. Это означает, что система биометрической аутентификации отправляет запрос в ЕБС для проверки личности человека, и ЕБС возвращает ответ с результатом идентификации человека на основе существующей базы данных.

Почему такая модель названа транзакционной? Дело в том, что с 1 апреля 2023 года вступили в силу коэффициенты дифференцирования по отраслям для тарификации услуг ГИС ЕБС по идентификации и аутентификации физических лиц с использованием биометрических персональных данных. Таким образом, осуществляется тарификация за каждую идентификацию — транзакцию. Это означает, что за каждую операцию идентификации организация платит определенный тариф.

Схема подключения по транзакционной модели выглядит следующим образом:

На схеме присутствует ТИБ — типовое решение по информационной безопасности. Это программно-аппаратный комплекс, который размещается локально в сети клиента. ТИБ обеспечивает надежное шифрование каналов взаимодействия с ЕБС согласно требованиям законодательства. Благодаря этому, ТИБ помогает организациям выполнять требования информационной безопасности в части обеспечения целостности, конфиденциальности и достоверности биометрических данных на всех этапах обработки: от регистрации учетной записи без биометрических образцов до процесса биометрической идентификации.

Интеграционное решение

Специалисты BIOSMART подготовили ряд изменений, затрагивающих ПО Biosmart-Studio и терминал BioSmart Quasar 7, чтобы БиоСКУД мог работать по транзакционной модели с ЕБС. В ПО Biosmart-Studio добавили:

Функционал инициирования согласия: сотруднику потребуется дать согласие на использование его биометрии, что является обязательным требованием для работы с ЕБС.
Связывание идентификаторов учетной записи сотрудника с его идентификатором ЕБС, что обеспечит корректную идентификацию внутри организации.

В терминале BioSmart Quasar 7 внесены следующие изменения:

Обновление встроенного ПО для прямого контакта с ЕБС с учетом криптозащиты уровня КС1.
Идентификация сотрудника с помощью терминала теперь работает либо по транзакционной модели с ЕБС, либо по RFID-карте.
Биометрические объекты на терминале не хранятся.

Заключение

Реализованные интеграции с КБС и ЕБС компании BIOSMART способны предоставить организациям любого уровня и сферы комплексное коробочное решение для осуществления безопасной биометрической идентификации, соблюдая при этом все требования 572-ФЗ.

Подробная информация на официальном сайте BIOSMART.