Биометрия - то, о чем вам никто не расскажет

Первое, о чем мы хотели бы сказать, что есть ДВЕ биометрии.

1.Одна - официальная с использованием ЕБС в полном соответствии с законодательством, другая - внутри организации.

2.Внутреннюю можно использовать на свой страх и риск. Беда в том, что в случае разбирательств она считаться не будет, а вот спрашивать будут по полной.

3.Далее, мы говорим только об официально признанной биометрии, т.к. для местной необходимы практически такие же сервера и средства защиты, иначе накажут.

Итак начнем: нас много раз просили написать аналитическую статью по вопросу внедрения биометрии в гостиницах РФ, в связи с тем, что одно из наших направлений деятельности – это защита персональных данных  и у нас в компании работают не только узкопрофильные юристы, но и квалифицированные специалисты по защите персональных данных, которые имеют дополнительное образование, включающее в себя и юридические  и технические аспекты.

Итак, про биометрию не написал только ленивый, но никто не предоставил план внедрения с юридической и технической стороны и предполагаемые финансовые затраты.  Мы вам рассказываем.

Напомним,с чего все началось: Постановлением  Правительства РФ от 20 марта 2024 года № 341,внесены изменения в Правила регистрации и снятия граждан РФ с регистрационного учета по месту пребывания и месту жительства и Правила предоставления гостиничных услуг. Согласно тексту постановления, зарегистрироваться по биометрии можно будет в гостинице, санатории, доме отдыха, пансионате, кемпинге, медицинской организации, на турбазе и т.д.

Заселение в гостиницы по биометрии планируют запустить в пилотном режиме только со второго полугодия 2024 года, об этом сообщает аппарат вице-премьера Дмитрия Григоренко.

 Россияне смогут заселяться в гостиницы без предъявления документов, подтверждая личность через Единую биометрическую систему (ЕБС). Такая возможность будет реализована в виде специального сервиса, при этом процедура и регламенты работы сервиса пока не разъяснены.

Когда система заработает в полную силу – вопрос остается открытым.

О преимуществах внедрения данной системы написаны десятки статей, кратко напомним: Внедрение биометрии в гостиницы представляет собой инновационную технологию, которая позволяет совершенствовать процесс регистрации и проживания гостей в гостиницах и предлагает ряд новых возможностей и преимуществ. Первое, с чего можно начать, – это идентификация гостей.  Вместо использования ключей или карт доступа, гости могут просто пройти процедуру сканирования отпечатков пальцев, ладоней либо распознания лица, чтобы получить доступ к своим номерам.

Это не только упрощает процесс регистрации и проверки личности гостей, но также повышает уровень безопасности.

Итак, что нужно гостинице будет сделать, закупить, оплачивать, чтобы внедрить данную систему:

1. Подключиться к Единой Биометрической Системе (файл прилагаем ниже), т.е. за каждое "опознавание" надо платить.

2. Стоимость внедрения: цифры приблизительные, но порядок цен известен – цитату с сайта ЕБС прилагаем.

3. При использовании биометрии в штат придется брать специалиста по информационной безопасности на постоянную работу, на период внедрения - системного администратора.

4. Необходимо обеспечить круглосуточную и высококвалифицированную техническую поддержку комплекса. Для этого потребуется не менее 200 000 рублей в месяц на одного специалиста в городах Федерального значения и от 100 000 рублей в месяц в других городах..

5. Придется обеспечить: помещение серверной (резервное питание, кондиционирование, сигнализация) и два независимых канала связи.

Это значительные финансовые затраты, при этом сумма в каждом регионе будет разной, но она будет начинаться от 300 000 рублей.

6. Количество необходимых документов по информационной безопасности будет около 100,  ОКОЛО 100!

Список прилагаем ниже, чтобы вы дочитали статью и не упали в обморок...

7. Ключевое: сэкономить, обмануть или отложить покупку НЕ получится, т.к. объект должен быть аттестован по требованиям безопасности.

Орган аттестации просто не выдаст аттестат и подключиться не получится.

8. Так же стоит удостовериться, что гости будут информированы о том, что их биометрические данные будут использоваться в рамках системы безопасности и не будут разглашаться третьим лицам без их согласия.

Это можно сделать путем размещения соответствующих предупреждающих знаков и оповещений, а также через информационные материалы в номерах гостей.

Также стоит рассмотреть возможные юридические препятствия, связанные с использованием биометрии в гостиницах. Например, в случае, если гость отказывается предоставить свои биометрические данные, необходимо иметь альтернативный способ регистрации и проживания.

Кроме того, важно учесть возможность возникновения конфликтов с государственными органами в случае неправомерного использования или утечки биометрических данных, но тут смотри п.6 и остальные обязательные выше пункты.

Ключевые аргументы:

1. По закону нельзя заставить гражданина использовать биометрию.

2. Есть необходимость подписывать и хранить отдельное письменное согласие на обработку биометрии

3. Процесс сложен и дорогостоящий. требуется постоянное ежегодное финансирование объекта.

4. Могут сбои и ложные срабатывания.

5.  Ключевое - в ЕБС крайне мало данных, чаще всего будет отказ, самим собирать биометрию - процесс еще сложнее

 .

Еще одной проблемой может быть неполадка в работе биометрических систем и возможность ложного распознавания. Технические сбои могут привести к неправильному управлению доступом и ненужным неудобствам для гостей.

Гостиницы должны быть готовы к таким неисправностям и иметь системы резервного копирования или альтернативные способы идентификации, чтобы минимизировать потенциальные проблемы с гостями.

Какие нужно будет пройти этапы и какие документы нужно создать для внедрения биометрии в гостинице РФ.

Этапы

1.    Разработка технического задания (далее - ТЗ) на создание информационной системы персональных данных (далее – ИСПДн)

1.1.  Подготовительный этап выполнения работ;

1.2.   Предпроектная стадия, включающая предпроектное обследование ИСПДн, классификацию ИСПДн

1.3.    Этап разработки комплекта организационно-распорядительных документов;

2.      Разработка ТЗ на создание системы защиты ИСПДн

2.1.    Предпроектное обследование ИСПДн

2.2.    Разработка аналитического обоснования и ТЗ

3.       Развертывание ИСПДн

4.       Внедрение средств защиты:

4.1.    Опытная эксплуатация

4.2.   Приемо-сдаточные испытания средств защиты информации

4.3.   Оценка соответствия ИСПДн требованиям безопасности информации

5.       Аттестация ИСПДн.

6.      Подключение к единой системе межведомственного электронного взаимодействия (далее – СМЭВ):

6.1.   Определить наличие электронного сервиса Поставщика услуги - Оператора СМЭВ,

6.2.   Оповестить Оператора СМЭВ о готовности подключения своих информационных систем к СМЭВ.

6.3.   За счет собственных средств обеспечить выполнение технологических операций по присоединению своей информационной системы к СМЭВ.

6.4.   Доработать свою информационную систему в соответствии с требованиями Оператора СМЭВ;

6.5.   Направить в Департамент государственной политики в области создания и развития электронного правительства Министерства связи и массовых коммуникаций заявку на предоставление доступа к электронному сервису;

6.6.    Согласно поступившей заявке и в соответствии с реестром прав доступа для запрашиваемого сервиса Оператор СМЭВ предоставляет доступ/отказывает в доступе Потребителю;

6.7.     По факту предоставления доступа/отказа в доступе Оператор СМЭВ уведомляет об этом Потребителя.

7.         Подключение к Единой биометрической системе (далее – ЕБС).

7.1.      Выбор решения по контролю целостности и подтверждения подлинности электронных сообщений (типовое, облачное, собственное);

7.2.      Получение тестового сертификата ключа электронной подписи для подключаемой информационной системы.

7.3.       Регистрация организации в промышленной Единой системе идентификации и аутентификации (далее – ЕСИА)

7.4.        Получение сертификата ключа электронной подписи ИСПДн.

7.5.         Регистрация ИСПДн в промышленной ЕСИА.

7.6.         Получение доступа к сервисам аутентификации тестовой среде ЕСИА

7.7.          Регистрация ИСПДн в тестовой среде ЕБС

7.8.          Регистрация тестовой учетной записи в тестовой среде ЕСИА

7.9.          Тестирование ИСПДн в тестовой среде ЕБС

7.10.         Получение доступа к сервисам аутентификации ЕСИА

7.11.         Организация защищенного канала связи до ЕСИА (при отсутствии СМЭВ)

7.12.         Организация защищенного канала связи до ЕБС

7.13.         Заключение соглашений на удалённую идентификацию в ЕБС

7.14.        Регистрация в продуктивной среде ЕБС

8.             Подготовка к сбору биометрических ПДн.

8.1.          Выделение и подготовка помещения для обработки и хранения ПДн

8.2.          Закупка оборудования для фотографирования и записи голоса.

8.3.          Необходимо обеспечить:

-                       Определение уполномоченных сотрудников, осуществляющих сбор параметров биометрических персональных данных и их обеспечение сертификатами ключей проверки электронной подписи;

-                       Защищенное хранение выданных уполномоченным сотрудникам, осуществляющим сбор параметров биометрических персональных данных, ключей электронной подписи, обеспечивающее их конфиденциальность и исключающее несанкционированное изменение, добавление и удаление в соответствии с законодательством Российской Федерации в области использования электронных подписей;

-                       Подписание своей усиленной электронной подписью уполномоченным сотрудником, осуществляющим сбор параметров биометрических персональных данных, информации, содержащей биометрические персональные данные, собранные указанным сотрудником, а также иной информации;

-                       Обеспечение и регулярную проверку (не реже одного раза в неделю) функционирования информационных технологий и технических средств, иных программно-технических средств, предназначенных для обеспечения процессов сбора и обработки параметров биометрических персональных данных.

9.         Сбор биометрических ПДн, их регистрация в ЕБС:

9.1.       Сбор осуществляется только при личной явке.

9.2.       Требуется получение и хранение письменного согласия на обработку биометрических ПДн

9.3.       Обязательное наличие регистрации гражданина в ЕСИА. При ее отсутствии уполномоченный сотрудник осуществляет регистрацию в ЕСИА.

10.         Эксплуатация ИСПДн:

10.1.      Информирование Минцифры России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке

10.2.     Ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации

10.3.     Перевыпуск электронных подписей уполномоченных лиц.

10.4.         Биометрические персональные данные используются в целях идентификации и (или) аутентификации не более 5 лет с даты сбора, а в некоторых случаях – не более 3 лет с даты сбора.

 С любовью, #КомандаРайлян💋