Биометрия. Краткий ликбез и опасности

По малочисленным просьбам ЯПа и пока есть время.
О себе. Да, внедрял, да, защищал, проходил проверки контролирующих органов. Бывал много где, видел всякое, в т.ч. у самих контролирующих (здравия желаю, товарищ майор!). Буду рад замечаниям, дополнениям.

В начале, определение:
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных.
Т.е. биометрия – это когда тебя определяют. По фото, голосу, сетчатке глаза, отпечаткам пальца, анализу мочи. В остальных случаях – просто персональные данные специальной категории, это другое.
Таким образом, главная опасность биометрии – это автоматическая идентификация, без твоего участия, согласия, догадок об авторизации. Типа глянул – определился, согласился с чем угодно.
Для обработки биометрии надо специальное согласие. На бумаге, подчеркиваю, на бумаге. Образец и форма - Распоряжение Правительства РФ от 30.06.2018 N 1322-р. Согласие можно отозвать. Хоть какой-то аргумент на суде.
Как оно обрабатывается описывается в Приказе от 25 июня 2018 года N 321 Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».
Там много всякого интересного.
Ключевое: использование сотрудников банка или иной организации ПРОСТОЙ электронной подписи. Электронные подписи – тема отдельного поста (принимаются заявки). Есть простая и есть квалифицированная подпись. Для нас принципиальное значение имеет следующее различие: квалифицированная подпись – административная или уголовная ответственность без вопросов, в части определения виновного и его умысла, регулируется 63-ФЗ «Об электронной подписи». Простая подпись – имя пользователя пароль и т.п., регулируется внутренними документами организации. Докажи, что это ты и т.д. Плюс простая подпись не позволяет правильно по ГОСТу защищать информацию.
Так что за подлог или слив биометрии в банковской сфере хрен кого особо накажешь. Так Сбербанка нагнул законодательство и защиту информации.
Еще из любопытного.Цитата: «Биометрические персональные данные, собранные в соответствии с настоящим Порядком, размещенные в единой биометрической системе, а также обрабатываемые в информационных системах органов и организаций, используются в целях идентификации не более 3 лет с даты сбора.». Т.е. через три года Вас опять должны оцифровать, но это сильно не поможет, т.к. учет этого не ведется или это будет автоматом.
Что касается защиты биометрических данных, там все очень плохо и запущено.
По Постановлению Правительства №1119 должны использоваться только сертифицированные средства защиты информации, чего, разумеется, не происходит. Далее, в нормальных организациях, где погоны, ВСЕ действия и информация подписывается квалифицированной ЭП, т.к. это ответственность, банкам – похеру.
Про внутреннюю защиту писать не могу, но одно из главных требований, очевидное, - расположение средств в контролируемой зоне, т.е. там, где нет посторонних, либо они под присмотром сотрудников. Банкам – похеру.

Так. Теперь у сути.
1. Проебав паспорт, Вы его поменяете, проебав биометрию Вы её не поменяете никогда, только резать яйца для изменения голоса (ШУТКА).
2. Получив Вашу биометрию, можно делать что угодно и без Вашего присутствия, типа идентифицировался по биометрии, хрен что докажешь.
3. Использование для обработки биометрии смартфоны или другое «гражданское» оборудование – вверх безответственности и похуизма.
4. В нашей стране есть только одна организация, где это сделано правильно и полностью, остальные – компромисс или наебательство.
5. Главное, у нас – капитализм. На защите информации все экономят, нормальная защита стоит космических денег, не всегда технически исполнима и всегда неудобна. Поэтому забивают, обходят, экономят, посылают нахер. Так Сбербанк нагнул биометрию. Готовьтесь к продажам данных, сливам просто по договорам и т.д.
Потом Вы ничего никому не докажите. О кредите Вы узнаете от приставов, когда там долг и пеня, и не докажите, что Вас там не было. Даже Ваше «Да» по телефону м.б. использовано.
Максимально аккуратно и по минимуму!
Берегите себя.
Готов к вопросам и пояснениям.

тут