Was ist neu und gibt es Perspektiven / Sudo Null IT News

Ab dem 1. März 2023 schränkt die Gesetzgebung die Nutzung von Informationssystemen (IS) für Identifikation und/oder Authentifizierung verwenden Biometrie. Wie Seneca sagte: “Das Gesetz sollte kurz sein, damit es auch von Unwissenden leicht erinnert werden kann.” In diesem Artikel werde ich mich an diese Regel halten und kurz beschreiben, wer und unter welchen Bedingungen solche Systeme nutzen darf.

Wichtig. Es gibt 3 Möglichkeiten, Systeme zu verwenden:

  1. Identifikation;

  2. Identifizierung und Authentifizierung;

  3. Authentifizierung.

Das Gesetz stellt die gleichen Anforderungen an die ersten beiden Optionen, daher nenne ich sie beide gleich – „Identifizierung“.

Bereits in naher Zukunft wird der Gesetzgeber die Identifizierung und/oder Authentifizierung durch Biometrie ausschließlich über drei IP-Varianten zulassen: Staats-IP (im Folgenden – GIS) “Unified Biometric System” (im Folgenden – UBS), andere GIS und andere (kommerzielle) IP. Betrachten wir jede Option.

Einheitliches biometrisches System

Hier werden die Bilddaten von Gesicht und Stimme einer Person platziert.

  • Die Verarbeitung biometrischer Daten zu Identifizierungszwecken unter Verwendung des EBS kann in Fällen durchgeführt werden, die durch das Bundesgesetz, die Gesetze der Regierung der Russischen Föderation und andere regulatorische Rechtsakte festgelegt sind. Jetzt dürfen es Banken, Zertifizierungsstellen, Behörden, die staatliche / kommunale Dienstleistungen erbringen, multifunktionale Zentren, Notare, Telekommunikationsbetreiber und Universitäten verwenden (letztere bisher nur in 2021/2022, aber sie planen, es kontinuierlich zuzulassen). ).

Es wird erwartet, dass diese Liste nach Durchführung von Versuchen zur Identifizierung mit EBS in verschiedenen Tätigkeitsbereichen aktualisiert wird.

Zur Durchführung der Identifizierung arbeitet die EBS mit dem Unified Identification and Authentication System (ESIA) zusammen.

Schema 1. Verarbeitung biometrischer Daten zum Zwecke der Identifizierung mit EBSSchema 1. Verarbeitung biometrischer Daten zum Zwecke der Identifizierung mit EBS

Gleichzeitig werden die Fälle der Verarbeitung biometrischer Daten zu Authentifizierungszwecken nicht durch die Verordnung eingeschränkt, und das EBS kann verwendet werden, um eine Person zu authentifizieren, die der Durchführung zustimmt.

Der EBS zur Authentifizierung kann sowohl in Verbindung mit dem ESIA als auch mit anderen IS verwendet werden, die personenbezogene Daten enthalten.

Schema 2. Verarbeitung biometrischer Daten zum Zweck der Authentifizierung unter Verwendung von EBSSchema 2. Verarbeitung biometrischer Daten zum Zweck der Authentifizierung unter Verwendung von EBS

Andere GIS

Die Verarbeitung biometrischer Daten für die Arbeit staatlicher Stellen, Gemeinden und Organisationen, die bestimmte hoheitliche Befugnisse ausüben, erfolgt mit dem EBS. Wenn Arten von biometrischen Daten verarbeitet werden müssen, die nicht den Bedingungen des EBS entsprechen, können Regierungsbehörden, die für das Recht, die Funktionen eines Betreibers zu besitzen und / oder auszuführen, akkreditiert sind, andere GIS verwenden. Die Voraussetzungen für das Bestehen der Akkreditierung wurden bereits entwickelt und treten am 1. März 2023 in Kraft.

Für ihre Anwendung müssen eine Reihe von Bedingungen erfüllt sein:

  • Maßnahmen ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten;

  • tatsächliche Bedrohungen der Informationssicherheit neutralisieren;

  • das Verfahren zur Verarbeitung biometrischer Parameter beachten;

  • Befolgen Sie das Verfahren zum Platzieren und Aktualisieren biometrischer Daten im System.

  • die Anforderungen an die Informationstechnologie und die technischen Mittel zur Verarbeitung biometrischer Daten erfüllen.

Es wird davon ausgegangen, dass die Liste der aktuellen Bedrohungen, das Verfahren zur Verarbeitung, Platzierung und Aktualisierung biometrischer Daten, die Anforderungen an die Informationstechnologie und die technischen Mittel vom Gesetzgeber bei der Erstellung anderer GIS in Analogie zu den EBS erstellt werden. Heute gibt es solche Anforderungen nicht.

Andere IP

Zunächst möchte ich erwähnen, dass staatliche Stellen, Kommunen und Finanzorganisationen andere IS nicht zu Identifizierungszwecken verwenden können. Die Liste möglicher Fälle des Einsatzes anderer IS ist hier streng begrenzt und hat auch Ausnahmen, die sich auf die Art der Tätigkeit der Organisation oder des Unternehmers beziehen. Für solche „Außergewöhnlichen“ gibt es keine Wahl – nur EBS.

Schema 3. Verarbeitung biometrischer Daten zum Zwecke der Identifizierung mit anderen ISSchema 3. Verarbeitung biometrischer Daten zum Zwecke der Identifizierung mit anderen IS

Bemerkenswert ist, dass hier die Anforderungen für die Themen Kritische Informationsinfrastruktur sowie für den Schutz der im GIS enthaltenen Informationen zu erfüllen sind.

  • Wenn Organisationen solche Systeme besitzen oder Identifizierungs- und/oder Authentifizierungsdienste anbieten, müssen sie sich einer entsprechenden Akkreditierung beim russischen Ministerium für digitale Entwicklung unterziehen.

Staatliche und kommunale Behörden können keine anderen IS zur Authentifizierung verwenden. Aber der Rest des Normativen schränkt nicht ein.

Schema 4. Verarbeitung biometrischer Daten zum Zwecke der Authentifizierung unter Verwendung anderer ISSchema 4. Verarbeitung biometrischer Daten zum Zwecke der Authentifizierung unter Verwendung anderer IS

Die in den Diagrammen angegebene Vorschrift bezieht sich auf Gesichts- und Stimmbilddaten, und es stellt sich die Frage: „Was sollten diejenigen tun, in deren Systemen andere Arten von Biometrie verwendet werden (z. B. ein Muster von Handvenen)?“. Nun, die Liste der Vorschriften wächst weiter – und vielleicht das russische Ministerium für digitale Entwicklung einmal Regeln für die Verwendung anderer Arten von Biometrie zu entwickeln. Nun ist aber davon auszugehen, dass die Nutzung anderer Arten von Biometrie in anderen IS neben Gesicht und Stimme weiterhin nicht erlaubt ist.

  • Es ist auch erwähnenswert, dass die biometrischen Parameter im EBS gespeichert werden müssen und die Speicherung biometrischer Parameter in anderen IS nicht erlaubt ist.

Ein paar Schlussfolgerungen, oder was mit dem oben Gesagten zu tun ist

Organisationen, in denen die im Artikel beschriebenen Verfahren nicht mit personenbezogenen Daten IS, sondern unter direkter Beteiligung einer Person durchgeführt werden, können aufatmen: Die neuen Anforderungen gelten nicht für sie.

Auf der KI-Konferenz im November 2021 stellte der Präsident fest, dass die Biometrie der Bürger in einem einzigen staatlichen System gespeichert werden sollte und der Staat die Verantwortung für die Speicherung der biometrischen personenbezogenen Daten der russischen Bevölkerung übernehmen sollte. Gleichzeitig wurden die Wörter gesetzlich abgesichert – zuvor gemäß dem Bundesgesetz erhobene Biometriedaten (Stimme oder Gesichtsbild) müssen Betreiber im EBS platzieren.

Was haben wir? Der Kurs in Richtung Zentralisierung ist eingeschlagen (natürlich mit hehren Zielen). Biometrische Daten (Stimme/Gesichtsbild) werden immer noch in das EBS gelangen, auch wenn sie mit anderen IS erfasst werden, worüber jeder Benutzer, der sie übermittelt hat, auf die eine oder andere Weise benachrichtigt wird (Hoffen wir, dass sie wenigstens eine E-Mail schicken.).

Banken mit einer universellen Lizenz haben keine Wahl, aber diejenigen, die nur berechtigt sind, biometrische Systeme zu verwenden, sollten sich mit der von mir in den Flussdiagrammen angegebenen Regelung vertraut machen, die Ressourcen der Organisation einschätzen und sich die Frage stellen: „Muss ich solche Systeme wirklich verwenden?“

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *