Coleta de Dados Biométricos: Como Nossa Biometria é Protegida na Prática
Este artigo explora a proteção de dados biométricos, desde a legislação russa até as medidas técnicas e organizacionais implementadas. Aborda os três níveis de biometria, os requisitos legais para empresas e as responsabilidades do governo na proteção de dados sensíveis.
MundiX News·25 de maio de 2026·15 min de leitura·👁 4 views
Bystrovavv
3 minutos atrás
Coleta de Dados Biométricos: Como Nossa Biometria é Protegida na Prática
26 minutos
0
Segurança da Informação
*
Visão geral
Introdução
Lembra-se de como nos filmes de agentes 007 eles colocavam o dedo em um sensor ou escaneavam a retina para entrar em um laboratório secreto? Antigamente, isso parecia algo fantasticamente caro, complicado e absolutamente confiável.
Agora, as tecnologias relacionadas à biometria entraram em nossas vidas de forma repentina e imperceptível. Mas muitos se recusam a usá-las.
Eu mesma adiei o momento de entregar minha biometria para qualquer lugar, até descobrir que um dos bancos já a havia obtido de alguma forma. E sim, de acordo com a lei, eles têm o direito, e talvez até tenham me avisado, ou melhor, pediram meu consentimento, e eu ignorei. Houve outro caso: na loja, estendi o cartão para o terminal para pagar, mas o terminal de repente me reconheceu e retirou o dinheiro do cartão de outro banco, e não daquele que estava em minhas mãos. Isso também precisa ser investigado.
O medo de entregar a biometria é alimentado não apenas por notícias sobre vazamentos, mas também por fobias comuns na sociedade: rumores sobre vigilância total, o "Big Brother", perda completa de privacidade e liberdade, bem como a tecnologia deepfake ("substituição de rostos"). Essas preocupações são, em certa medida, justificadas: qualquer sistema capaz de identificar exclusivamente uma pessoa pode ser usado para seu controle secreto, restrição de anonimato ou manipulação (apenas a criação de um vídeo falso com seu rosto). É por isso que legisladores e organizações são obrigados a aplicar rigorosas medidas técnicas e organizacionais, garantir a transparência de cada solicitação e o direito de exclusão incondicional, a fim de minimizar os riscos, mantendo o equilíbrio entre conveniência e privacidade.
Eu, como especialista em segurança da informação, imerso na legislação e nas medidas de proteção, quero entender e compartilhar com você como o estado protege e força as empresas e bancos a proteger e armazenar nossos "rostos" e "vozes".
Abaixo, no aplicativo, estará toda a base legal à qual me referi.
O que é biometria do ponto de vista da lei?
De acordo com a art. 11 nº 152-FZ, dados pessoais biométricos são informações que caracterizam as características fisiológicas de uma pessoa e com base nas quais sua identidade pode ser estabelecida.
Na legislação sobre biometria, não há divisão em "fotos comuns" e "digitalizações secretas". Sua selfie, tirada no aplicativo do banco, a partir deste momento se torna biometria e, portanto, está sujeita à proteção.
A Lei Federal de 29 de dezembro de 2022 nº 572-FZ "Sobre a implementação da identificação e (ou) autenticação de indivíduos usando dados pessoais biométricos..." estabelece duas proibições-chave, que juntas excluem a possibilidade de armazenar os originais (fotos, fonogramas de voz). Os parágrafos 2 e 3 do artigo 15 desta lei introduzem os seguintes requisitos para organizações que trabalham com biometria: os originais da biometria são proibidos não apenas de serem armazenados por muito tempo, mas também de serem processados (incluindo a coleta) fora do Sistema Biométrico Unificado (EBS).
Em vez do original, a lei opera com o conceito de
"vetor do sistema biométrico unificado"
são os mesmos padrões matemáticos irreversíveis (padrões de controle) que são obtidos como resultado da transformação da biometria original. É impossível restaurá-los de volta em uma foto ou voz.
A regra-chave que obriga qualquer empresa a cumprir é:
o processamento da biometria só é possível com o consentimento por escrito do cidadão.
Existem muito poucas exceções: segurança do estado, justiça ou salvamento de vidas.
Três "U": por que a biometria pode ser usada
Antes de falar sobre proteção, vamos entender como isso aconteceu, o que foi decidido usar parâmetros específicos para o papel de uma "chave digital" personalizada.
Podemos destacar os principais requisitos para as características biométricas. Eles são chamados de
"três U":
1.
Universalidade
o parâmetro deve estar em cada pessoa. Não faz sentido introduzir um scanner de "formato da orelha" se 10% das pessoas tiverem uma forma anatômica não padrão.
Unicidade
o parâmetro deve ser diferente em cada caso específico. Mesmo em gêmeos, o padrão da íris não coincide.
Estabilidade
a característica deve permanecer relativamente inalterada ao longo do tempo (é por isso que, aliás, a voz é considerada uma biometria "fraca": angina ou idade mudam muito o timbre).
Existem também requisitos relacionados: por exemplo, a característica deve ser conveniente para medição, incluindo a aceitabilidade pública do procedimento. É por isso que as impressões digitais são aceitas com mais vontade do que, digamos, a análise de DNA: a segunda causa muito mais disputas éticas.
O que realmente se refere à biometria
De acordo com as recomendações metodológicas do Ministério das Comunicações (carta de 28.08.2020 nº LB-S-074-24059) e explicações do Roskomnadzor (carta de 29.08.2022 nº 08-78032), os dados biométricos incluem:
· parâmetros fisiológicos (impressões digitais, íris, DNA, altura, peso);
· fotos e vídeos de uma pessoa (fixam características fisiológicas) - uma foto digital colorida do rosto é biometria;
· gravação de voz (nº 572-FZ).
O que NÃO se refere à biometria:
· digitalização ou fotocópia do passaporte (sem o objetivo de identificação);
· fotos do arquivo pessoal do funcionário;
· assinatura e caligrafia (mesmo em perícia);
· raios-X e fluorografia (para diagnóstico, não para reconhecimento);
· videovigilância em locais públicos / em uma área protegida.
O principal critério:
os dados se tornam biometria somente se o operador os usar para estabelecer a identidade (identificação). Se não, não é biometria, mesmo que seja uma foto ou voz.
Então, e os bancos?
Os bancos não "retiram" a biometria por conta própria - eles são obrigados a transferir os dados biométricos coletados dos clientes para o Sistema Biométrico Unificado (EBS), de acordo com os requisitos da Lei Federal de 29 de dezembro de 2022 nº 572-FZ.
As principais razões para essa transferência:
Centralização de dados.
EBS é um sistema de informação estatal que permite unificar o processamento da biometria e aumentar a segurança por meio do armazenamento centralizado de dados de forma criptografada. Isso reduz os riscos de vazamentos e simplifica a interação dos clientes com várias organizações.
2.
Conformidade com a legislação.
A Lei nº 572-FZ obriga os bancos a transferir a biometria já coletada para o EBS, após notificar o cliente. Ao mesmo tempo, na coleta inicial de dados biométricos, o banco deve obter o consentimento por escrito do cliente para o processamento da biometria.
3.
Simplificação de serviços para clientes.
Se a biometria já estiver registrada em um banco, ela se torna disponível para outras organizações conectadas ao EBS. Isso elimina a necessidade de fornecer um passaporte a cada vez e acelera o atendimento.
Nuances importantes:
·
Caráter voluntário.
A transferência de biometria é um processo voluntário. O cliente pode se recusar a coletar e armazenar biometria, bem como revogar o consentimento dado anteriormente.
·
Gerenciamento.
O cidadão tem o direito de verificar a disponibilidade de seus dados biométricos no EBS por meio de sua conta pessoal no portal "Gosuslugi" na seção "Biometria". Ele também pode revogar o consentimento e excluir dados do sistema por meio do "Gosuslugi", em uma agência bancária ou MFC.
·
Restrições para bancos.
Após a transferência de dados, os bancos não os armazenam, mas recebem acesso às informações apenas por meio do sistema. Eles veem apenas o resultado da verificação - a identidade é confirmada ou não.
Assim, a transferência de biometria para o EBS não é uma iniciativa dos bancos, mas um requisito da lei, que visa unificar o sistema de processamento de dados biométricos e aumentar sua segurança.
Sistema Biométrico Unificado
Se antes os bancos usavam a biometria dos clientes em sua base interna, e a obrigação de transferir os dados era apenas dos bancos com licença universal, agora a lei muda isso. A partir de 1º de junho de 2023, bancos, notários, departamentos estatais e municipais, ao receber dados biométricos do usuário, são obrigados a transferi-los para o Sistema Biométrico Unificado.
O que é esse sistema?
O Sistema Biométrico Unificado (EBS) é uma plataforma estatal, criada por iniciativa do Banco da Rússia e do Ministério da Transformação Digital da Rússia. Com base nele, os cidadãos têm acesso a todo um catálogo de serviços (eles são indicados abaixo), que usam o "rosto como chave". Todos esses serviços funcionam com o princípio de "um rosto": você entregou a biometria uma vez no EBS - usa uma centena de serviços.
Quem é responsável pelo armazenamento? Centro de Tecnologias Biométricas
Se o EBS é um "caixa eletrônico" de emissão de serviços, então o Centro de Tecnologias Biométricas (TsBT) é o próprio repositório. TsBT - organização responsável pelo armazenamento de dados no Sistema Biométrico Unificado. É importante entender: os dados são usados exclusivamente para obter serviços para os quais você deu seu consentimento.
Três níveis de biometria: simplificado, padrão, confirmado
Uma das principais fontes de confusão - as pessoas pensam que a biometria "existe ou não existe". Na verdade, a lei (e a implementação técnica do EBS) destaca três níveis de qualidade e confiabilidade dos dados biométricos. Dependendo do nível, quais serviços estarão disponíveis para você.
Biometria simplificada
(limiar de entrada baixo)
A maneira mais fácil de "familiarizar" o sistema com seu rosto. Geralmente requer apenas um fator (por exemplo, uma foto por meio de um aplicativo sem verificação estrita da identidade).
Serviços:
· viagem de metrô (pagamento com o rosto);
· proteção da conta no "Gosuslugi" (entrada por rosto em vez de senha);
· pagamento de compras em lojas (para pequenas quantias);
· passagem para a sala de negócios do aeroporto.
Biometria padrão
(nível médio)
Requer confirmação da identidade por meio do ESIA ("Gosuslugi") ou em presença pessoal. Este já é um identificador legalmente significativo, mas com algumas restrições.
Serviços:
· todos os serviços de biometria simplificada;
· registro de eSIM;
· cartão de torcedor (Fan ID);
· pensão no exterior.
Biometria confirmada
(nível máximo)
Requer presença pessoal em uma organização autorizada (por exemplo, em uma agência bancária com participação estatal ou no MFC), onde um especialista verifica seu passaporte e remove a biometria em equipamentos certificados.
Serviços:
· todos os serviços de biometria simplificada e padrão;
· check-in no hotel (sem passaporte);
· abertura de contas bancárias e depósitos remotamente;
· emissão de assinatura eletrônica qualificada aprimorada (UKEP);
· emissão de eSIM e cartões SIM para estrangeiros;
· recebimento de pensões no exterior;
· atendimento no MFC (sem passaporte - o rosto é suficiente);
· início de negócios online (registro de IP ou LLC sem uma visita pessoal ao escritório fiscal).
Se você acha que a biometria é armazenada como uma senha - uma linha simples no banco de dados - não é assim. A legislação russa, e em particular a Ordem FSTEC nº 21, impõe requisitos aos sistemas que trabalham com biometria, que correspondem ao 3º (máximo) nível de segurança. E se isso não lhe diz nada, leia mais.
Análise da legislação: fatos-chave sobre a proteção da biometria
Vamos considerar em detalhes como a legislação obriga a proteger nossos dados e quais direitos temos de acordo com isso.
Leis básicas
Documento
Fato-chave para a proteção da biometria
Lei Federal de 27.07.2006 nº 152-FZ "Sobre dados pessoais"
Além de obter o consentimento, o operador é obrigado a cuidar da segurança e proteção dos dados pessoais biométricos.
Lei Federal de 29.12.2022 nº 572-FZ "Sobre identificação e autenticação por biometria"
Cria a base legal para o EBS. O princípio-chave: voluntariedade - as organizações não têm o direito de se recusar a fornecer um serviço se uma pessoa não quiser entregar a biometria.
Lei Federal de 30.11.2024 nº 420-FZ (alterações ao Código de Infrações Administrativas da Federação Russa)
Introduz responsabilidade administrativa por violação da legislação biométrica. Multas: até 1 milhão de rublos por violação da ordem de processamento; até 1,5 milhão de rublos por não tomar medidas organizacionais e técnicas para garantir a segurança dos BPDn durante seu processamento; até 2 milhões de rublos por processamento sem credenciamento; até 20 milhões de rublos por vazamento.
Lei Federal de 30.11.2024 nº 421-FZ (alterações ao Código Penal da Federação Russa)
Introduz responsabilidade criminal por coleta, armazenamento, uso ou distribuição ilegais de dados pessoais biométricos. De acordo com o art. 272.1 do Código Penal, para uso, transferência, coleta e armazenamento ilegais de BPDn, será nomeado: multa criminal de até 700 mil rublos, ou trabalho forçado, ou privação de liberdade por um período de até cinco anos.
A partir de 2025, a proteção da biometria é reforçada por multas reais (milhões de rublos para pessoas jurídicas) e sanções criminais.
Resoluções do Governo da Federação Russa
Documento
Fato-chave
Resolução nº 1066 de 15.06.2022
Regula o auto-registro de biometria pelos cidadãos por meio do aplicativo móvel EBS (sem visitar um banco ou MFC).
Resolução nº 1067 de 15.06.2022
Determina os casos e prazos para o uso de dados biométricos.
Resolução nº 15 de 18.01.2025
Faz alterações no nº 1067 - especifica especificamente os prazos para atualização da biometria.
Resolução nº 1703 de 28.12.2018
Estabelece o procedimento para fornecer informações biométricas ao Ministério do Interior e ao FSB - para fins de aplicação da lei, mas sob controle rigoroso.
Resolução nº 478 de 27.03.2023
Aprova o procedimento para recusa de coleta de biometria - o cidadão pode, a qualquer momento, revogar o consentimento, e o operador é obrigado a excluir os dados.
Resolução nº 834 de 21.06.2024
Determina a organização operadora do EBS (as funções são atribuídas ao TsBT).
Resolução nº 1119 de 01.11.2012
Estabelece requisitos para a proteção de dados pessoais durante seu processamento no ISPDn, incluindo a definição de níveis de segurança.
O governo criou um ciclo completo de regulamentação - da coleta à exclusão e transferência para as agências de aplicação da lei. A legislação cobre todas as etapas da vida dos dados biométricos.
Requisitos técnicos e ordens do Ministério da Transformação Digital
Documento
Fato-chave
Ordem do Ministério da Transformação Digital nº 453 de 12.05.2023
Aprova o procedimento para o processamento de PPDn biométricos - incluindo coleta, armazenamento, destruição. Contém requisitos para parâmetros (qualidade da foto, características do microfone para voz).
Ordem do Ministério da Transformação Digital nº 1024 de 29.11.2023
Regula a confirmação da conformidade das tecnologias para o processamento da biometria. Ferramentas técnicas e software usados para trabalhar com biometria devem ser certificados.
Ordem do Ministério da Transformação Digital nº 432 de 27.04.2023
Determina o procedimento e os prazos para enviar uma solicitação para bloquear dados - um mecanismo para bloquear a biometria de emergência (por exemplo, em caso de perda de telefone ou suspeita de comprometimento).
Ordem do Ministério da Transformação Digital nº 445 de 05.05.2023
Aprova a lista de ameaças para o EBS - classificação de ameaças que devem ser consideradas ao construir um sistema de proteção.
Ordem do Ministério da Transformação Digital nº 446 de 05.05.2023
Aprova a lista de ameaças para o KBS (sistemas biométricos comerciais).
Ordem do Ministério da Transformação Digital nº 378 de 17.04.2023
Aprova a metodologia para verificar a conformidade dos dados biométricos com os vetores do EBS - ou seja, como exatamente o sistema compara o "rosto vivo" com o padrão.
O Ministério da Transformação Digital trabalhou em detalhes o lado técnico: existem requisitos para equipamentos (nº 453), classificação de ameaças (nº 445, 446), metodologias de verificação (nº 378) e um mecanismo de bloqueio de emergência (nº 432).
Documentos de infraestrutura e processo
Documento
Fato-chave
Resolução nº 1754 de 15.10.2021
Sobre a verificação da assinatura eletrônica simples - é importante, pois a biometria pode ser usada como um segundo fator de autenticação.
Resolução nº 670 de 28.04.2023
Aprova o procedimento de credenciamento de órgãos governamentais e do Banco Central para trabalhar com biometria. Sem credenciamento - é impossível.
Resolução nº 810 de 22.05.2023
Aprova o procedimento de credenciamento de sistemas biométricos comerciais (KBS), para que empresas privadas possam usar legalmente a biometria.
Resolução nº 552 de 06.04.2023
Determina o procedimento e os prazos para a consideração de apelos de cidadãos sobre questões de biometria.
Resolução nº 451 de 24.03.2023
Estabelece o procedimento para solicitar ao operador EBS sobre questões de reclamação.
Ordem do Ministério da Transformação Digital nº 658 de 09.09.2022
Aprova o procedimento padrão para as ações dos funcionários do MFC ao trabalhar com biometria.
Ordem do Ministério da Transformação Digital nº 387 de 20.04.2023
Estabelece requisitos para a reputação comercial de pessoas que trabalham com biometria (para credenciamento).
Um sistema completo foi criado: de como o cidadão apresenta um apelo a como as empresas pagam pelo uso do EBS. Até mesmo o comportamento dos funcionários do MFC é regulamentado.
Instruções do Banco da Rússia (para o setor financeiro)
Documento
Fato-chave
Instrução do Banco da Rússia nº 6540-U de 25.09.2023
Regula o trabalho dos bancos com o EBS - como as instituições de crédito devem se integrar ao sistema biométrico unificado.
Instrução do Banco da Rússia nº 6541-U de 25.09.2023
Regula o trabalho dos bancos com KBS (sistemas biométricos comerciais).
O setor bancário (um dos principais usuários da biometria) tem atos regulatórios separados do Banco Central, que detalham a aplicação dos requisitos gerais no setor financeiro.
Cartas, recomendações metodológicas
Documento
Fato-chave
Carta do Banco da Rússia de 13.12.2019
Explica que não é necessária uma conta separada no banco para coletar biometria - uma especificação importante que simplifica o acesso ao sistema.
Recomendações metodológicas do Banco da Rússia nº 4-MR de 14.02.2019
Contêm recomendações práticas para neutralizar ameaças ao trabalhar com biometria - para especialistas técnicos.
Ordem do Governo da Federação Russa nº 3375-r de 28.11.2023
Aprova a composição do Conselho de Coordenação para o Desenvolvimento de Tecnologias Digitais com base na biometria - um órgão permanente foi criado para gerenciar a indústria.
Medidas obrigatórias de proteção de dados para trabalhar com biometria no GIS EBS
De acordo com o Regulamento de interação de informações dos participantes dos processos biométricos com o GIS EBS (versão 1.38 de 03.04.2026), em termos de requisitos para a proteção de dados do usuário, não são apenas "recomendações", mas medidas técnicas e organizacionais obrigatórias rígidas, sem as quais a organização (Participante BV) simplesmente não terá acesso ao trabalho com biometria por meio do GIS EBS.
O que é necessário para trabalhar com o EBS: requisitos de infraestrutura
A interação direta com o EBS envolve a conformidade com requisitos rígidos de segurança e infraestrutura: você precisa de soluções certificadas e canais de interação protegidos. A empresa constrói o contorno de interação com os sistemas estatais do zero: de canais de comunicação a complexos de hardware e software.
Medidas organizacionais e legais
Credenciamento:
A organização (KBS) deve ser credenciada no Ministério da Transformação Digital da Rússia. De acordo com o artigo 17 da Lei Federal nº 572-FZ, as organizações que possuem sistemas para autenticação biométrica ou prestam tais serviços são obrigadas a obter credenciamento. O procedimento de credenciamento depende do tipo de organização: para organizações comerciais - Resolução do Governo da Federação Russa nº 810 de 22.05.2023; para órgãos governamentais e Banco Central - Resolução do Governo da Federação Russa nº 670 de 28.04.2023.
2.
Aceitação da oferta:
O Participante BV é obrigado a aceitar uma oferta pública (acordo digital) para a prestação de serviços de transferência de vetores ou fornecimento de informações sobre o grau de conformidade da biometria. Sem aceitação - sem acesso.
3.
Registro do participante:
A organização é registrada sequencialmente no ambiente de teste (TEBS) e, em seguida, no ambiente de produção do GIS EBS. O procedimento de registro é detalhado no Regulamento de Interação de Informações com o GIS EBS.
4.
Procedimento de notificação:
O operador é obrigado a enviar uma notificação da intenção de processar dados pessoais ao Roskomnadzor (art. 22 nº 152-FZ). O Roskomnadzor inclui o operador em seu Registro de operadores que processam dados pessoais.
5.
Notificação de incidentes:
A organização é obrigada a notificar o operador GIS EBS sobre qualquer incidente de segurança o mais tardar 3 horas após a detecção. Sobre o trabalho planejado - o mais tardar 24 horas.
2. Implementação de medidas organizacionais e técnicas para garantir a segurança dos dados
2.1. Medidas organizacionais e técnicas de proteção de dados pessoais (base)
O sistema de informação que processa dados pessoais (incluindo biometria) deve implementar medidas organizacionais e técnicas de proteção de acordo com a Ordem FSTEC da Rússia de 18.02.2013 nº 21. Abaixo está uma lista completa de medidas organizacionais e técnicas que o ISPDn deve implementar de acordo com a Ordem FSTEC nº 21, em relação à biometria.
1.
Identificação e autenticação
o sistema deve identificar exclusivamente usuários e dispositivos.
Gerenciamento de acesso
clara diferenciação de direitos: quem pode inserir biometria, quem - ler, quem - excluir.
Restrição do ambiente de software
é permitido executar apenas software confiável (lista branca).
Proteção de mídia de informação de máquina
proteção física de mídia (discos, pen drives, servidores) com dados biométricos.
Registro de eventos de segurança
registro de todos os logins, tentativas de acesso, alterações na biometria.
Proteção antivírus
obrigatório em todos os nós envolvidos no processamento da biometria.
Detecção (prevenção) de intrusões
uso de sistemas IDS/IPS.
Controle (análise) de segurança
varreduras regulares de vulnerabilidades, testes de penetração.
Garantia de integridade
proteção contra modificação de código de software, configurações e bancos de dados de biometria.
Garantia de disponibilidade
tolerância a falhas, para que um usuário legítimo sempre possa passar pela identificação.
Proteção do ambiente de virtualização
se o IS usa virtualização, ele deve ser protegido.
Proteção de meios técnicos
restrição de acesso físico a salas de servidores e equipamentos.
Proteção do sistema de informação e redes de comunicação
criptografia de canais de transmissão de biometria (implementada por meio de SKZI).
Detecção e resposta a incidentes
procedimentos para detecção, análise e resolução de incidentes.
Gerenciamento de configuração
controle das configurações do sistema de segurança.
Observação importante:
8 medidas (a lista exata na Ordem nº 21) são obrigatórias, independentemente do nível de segurança. Para biometria, que pertence a categorias especiais de PDn, muito provavelmente, será necessário o nível máximo (1 ou 2) de segurança de acordo com a Resolução do Governo nº 1119, e, portanto, a implementação de quase toda a lista de 15 medidas.
2.2. Avaliação de riscos e aprovação pela autoridade competente
O operador PDn é obrigado a realizar de forma independente ou com o envolvimento de um licenciado uma avaliação dos danos que podem ser causados aos sujeitos PDn em caso de violação da lei, de acordo com o art. 14 da Lei Federal nº 152-FZ. Este requisito é para todos os operadores PDn, incluindo aqueles que trabalham com biometria.
Os resultados da avaliação de danos devem ser documentados e levados em consideração ao selecionar e implementar medidas de proteção de informações.
Como regra geral, a aprovação do modelo de ameaças no FSTEC ou FSB para um operador comercial não é necessária, para sistemas de informação estatais e KII pode ser necessária.
2.3. Certificação do sistema de informação (Ordem FSTEC nº 117)
O sistema de informação da organização (IS do Participante BV) deve ser certificado para conformidade com os requisitos de proteção de informações. A Ordem FSTEC da Rússia de 11.04.2025 nº 117 regulamenta os requisitos para a proteção de informações em sistemas de informação estatais que se enquadram em sua ação. Para sistemas comerciais, a certificação ISPDn pode ser necessária de acordo com outros documentos (por exemplo, de acordo com os requisitos para ISPDn), mas o operador EBS tem o direito de solicitar uma confirmação de segurança.
Uma cópia do certificado de conformidade deve ser fornecida ao operador GIS EBS.
Abaixo estão as principais medidas de proteção:
Gerenciamento de ativos e vulnerabilidades
Inventário de ativos (saber exatamente o que está sendo protegido) 2. Gerenciamento de vulnerabilidades: eliminação de vulnerabilidades críticas dentro de 24 horas 3. Gerenciamento de vulnerabilidades: eliminação de vulnerabilidades de alto nível de perigo dentro de 7 dias 4. Gerenciamento de configurações (controle de alterações nas configurações e composição do software)
Controle de acesso
Identificação e autenticação
Gerenciamento de acesso (incluindo acesso mandatário, se necessário)
Gerenciamento de acesso privilegiado (PAM)
Autenticação multifator rigorosa (de acordo com GOST R 58833-2020)
Minimização de direitos de acesso
Registro obrigatório das ações dos administradores
Monitoramento e resposta
Monitoramento da segurança da informação (implementação das funções do sistema SIEM: coleta, análise e correlação de eventos de segurança 24 horas por dia)
Interação com o GosSOPKA
Resposta a incidentes (disponibilidade de um procedimento regulamentado)
Desenvolvimento de habilidades práticas de resposta em funcionários
Fator humano
Melhoria do conhecimento do usuário (treinamento prático do pessoal)
Realização de ataques de phishing de treinamento
Treinamento regular e verificação de conhecimento (pelo menos 1 vez a cada 3 anos)
Proteção técnica
Proteção de dispositivos finais e móveis
Proteção com acesso remoto e sem fio
Proteção de canais de comunicação (proteção criptográfica - SKZI usando ferramentas certificadas pelo FSB da Rússia)
Desenvolvimento de software seguro (introdução de processos de desenvolvimento seguro de acordo com GOST R 56939-2024)
Indicadores de eficiência
Avaliação do indicador de segurança (pelo menos 1 vez a cada 6 meses)
Avaliação do indicador de maturidade (pelo menos 1 vez a cada 2 anos)
Envio de relatórios de resultados ao FSTEC
Proteção criptográfica (SKZI e EP)
3.1. Canal de comunicação protegido (SKZI)
Interação do sistema de informação em
Bystrovavv
3 minutos atrás
Coleta de Dados Biométricos: Como Nossa Biometria é Protegida na Prática
26 minutos
0
Segurança da Informação
*
Visão geral
Introdução
Lembra-se de como nos filmes de agentes 007 eles colocavam o dedo em um sensor ou escaneavam a retina para entrar em um laboratório secreto? Antigamente, isso parecia algo fantasticamente caro, complicado e absolutamente confiável.
Agora, as tecnologias relacionadas à biometria entraram em nossas vidas de forma repentina e imperceptível. Mas muitos se recusam a usá-las.
Eu mesma adiei o momento de entregar minha biometria para qualquer lugar, até descobrir que um dos bancos já a havia obtido de alguma forma. E sim, de acordo com a lei, eles têm o direito, e talvez até tenham me avisado, ou melhor, pediram meu consentimento, e eu ignorei. Houve outro caso: na loja, estendi o cartão para o terminal para pagar, mas o terminal de repente me reconheceu e retirou o dinheiro do cartão de outro banco, e não daquele que estava em minhas mãos. Isso também precisa ser investigado.
O medo de entregar a biometria é alimentado não apenas por notícias sobre vazamentos, mas também por fobias comuns na sociedade: rumores sobre vigilância total, o "Big Brother", perda completa de privacidade e liberdade, bem como a tecnologia deepfake ("substituição de rostos"). Essas preocupações são, em certa medida, justificadas: qualquer sistema capaz de identificar exclusivamente uma pessoa pode ser usado para seu controle secreto, restrição de anonimato ou manipulação (apenas a criação de um vídeo falso com seu rosto). É por isso que legisladores e organizações são obrigados a aplicar rigorosas medidas técnicas e organizacionais, garantir a transparência de cada solicitação e o direito de exclusão incondicional, a fim de minimizar os riscos, mantendo o equilíbrio entre conveniência e privacidade.
Eu, como especialista em segurança da informação, imerso na legislação e nas medidas de proteção, quero entender e compartilhar com você como o estado protege e força as empresas e bancos a proteger e armazenar nossos "rostos" e "vozes".
Abaixo, no aplicativo, estará toda a base legal à qual me referi.
O que é biometria do ponto de vista da lei?
De acordo com a art. 11 nº 152-FZ, dados pessoais biométricos são informações que caracterizam as características fisiológicas de uma pessoa e com base nas quais sua identidade pode ser estabelecida.
Na legislação sobre biometria, não há divisão em "fotos comuns" e "digitalizações secretas". Sua selfie, tirada no aplicativo do banco, a partir deste momento se torna biometria e, portanto, está sujeita à proteção.
A Lei Federal de 29 de dezembro de 2022 nº 572-FZ "Sobre a implementação da identificação e (ou) autenticação de indivíduos usando dados pessoais biométricos..." estabelece duas proibições-chave, que juntas excluem a possibilidade de armazenar os originais (fotos, fonogramas de voz). Os parágrafos 2 e 3 do artigo 15 desta lei introduzem os seguintes requisitos para organizações que trabalham com biometria: os originais da biometria são proibidos não apenas de serem armazenados por muito tempo, mas também de serem processados (incluindo a coleta) fora do Sistema Biométrico Unificado (EBS).
Em vez do original, a lei opera com o conceito de
"vetor do sistema biométrico unificado"
são os mesmos padrões matemáticos irreversíveis (padrões de controle) que são obtidos como resultado da transformação da biometria original. É impossível restaurá-los de volta em uma foto ou voz.
A regra-chave que obriga qualquer empresa a cumprir é:
o processamento da biometria só é possível com o consentimento por escrito do cidadão.
Existem muito poucas exceções: segurança do estado, justiça ou salvamento de vidas.
Três "U": por que a biometria pode ser usada
Antes de falar sobre proteção, vamos entender como isso aconteceu, o que foi decidido usar parâmetros específicos para o papel de uma "chave digital" personalizada.
Podemos destacar os principais requisitos para as características biométricas. Eles são chamados de
"três U":
1.
Universalidade
o parâmetro deve estar em cada pessoa. Não faz sentido introduzir um scanner de "formato da orelha" se 10% das pessoas tiverem uma forma anatômica não padrão.
Unicidade
o parâmetro deve ser diferente em cada caso específico. Mesmo em gêmeos, o padrão da íris não coincide.
Estabilidade
a característica deve permanecer relativamente inalterada ao longo do tempo (é por isso que, aliás, a voz é considerada uma biometria "fraca": angina ou idade mudam muito o timbre).
Existem também requisitos relacionados: por exemplo, a característica deve ser conveniente para medição, incluindo a aceitabilidade pública do procedimento. É por isso que as impressões digitais são aceitas com mais vontade do que, digamos, a análise de DNA: a segunda causa muito mais disputas éticas.
O que realmente se refere à biometria
De acordo com as recomendações metodológicas do Ministério das Comunicações (carta de 28.08.2020 nº LB-S-074-24059) e explicações do Roskomnadzor (carta de 29.08.2022 nº 08-78032), os dados biométricos incluem:
· parâmetros fisiológicos (impressões digitais, íris, DNA, altura, peso);
· fotos e vídeos de uma pessoa (fixam características fisiológicas) - uma foto digital colorida do rosto é biometria;
· gravação de voz (nº 572-FZ).
O que NÃO se refere à biometria:
· digitalização ou fotocópia do passaporte (sem o objetivo de identificação);
· fotos do arquivo pessoal do funcionário;
· assinatura e caligrafia (mesmo em perícia);
· raios-X e fluorografia (para diagnóstico, não para reconhecimento);
· videovigilância em locais públicos / em uma área protegida.
O principal critério:
os dados se tornam biometria somente se o operador os usar para estabelecer a identidade (identificação). Se não, não é biometria, mesmo que seja uma foto ou voz.
Então, e os bancos?
Os bancos não "retiram" a biometria por conta própria - eles são obrigados a transferir os dados biométricos coletados dos clientes para o Sistema Biométrico Unificado (EBS), de acordo com os requisitos da Lei Federal de 29 de dezembro de 2022 nº 572-FZ.
As principais razões para essa transferência:
Centralização de dados.
EBS é um sistema de informação estatal que permite unificar o processamento da biometria e aumentar a segurança por meio do armazenamento centralizado de dados de forma criptografada. Isso reduz os riscos de vazamentos e simplifica a interação dos clientes com várias organizações.
2.
Conformidade com a legislação.
A Lei nº 572-FZ obriga os bancos a transferir a biometria já coletada para o EBS, após notificar o cliente. Ao mesmo tempo, na coleta inicial de dados biométricos, o banco deve obter o consentimento por escrito do cliente para o processamento da biometria.
3.
Simplificação de serviços para clientes.
Se a biometria já estiver registrada em um banco, ela se torna disponível para outras organizações conectadas ao EBS. Isso elimina a necessidade de fornecer um passaporte a cada vez e acelera o atendimento.
Nuances importantes:
·
Caráter voluntário.
A transferência de biometria é um processo voluntário. O cliente pode se recusar a coletar e armazenar biometria, bem como revogar o consentimento dado anteriormente.
·
Gerenciamento.
O cidadão tem o direito de verificar a disponibilidade de seus dados biométricos no EBS por meio de sua conta pessoal no portal "Gosuslugi" na seção "Biometria". Ele também pode revogar o consentimento e excluir dados do sistema por meio do "Gosuslugi", em uma agência bancária ou MFC.
·
Restrições para bancos.
Após a transferência de dados, os bancos não os armazenam, mas recebem acesso às informações apenas por meio do sistema. Eles veem apenas o resultado da verificação - a identidade é confirmada ou não.
Assim, a transferência de biometria para o EBS não é uma iniciativa dos bancos, mas um requisito da lei, que visa unificar o sistema de processamento de dados biométricos e aumentar sua segurança.
Sistema Biométrico Unificado
Se antes os bancos usavam a biometria dos clientes em sua base interna, e a obrigação de transferir os dados era apenas dos bancos com licença universal, agora a lei muda isso. A partir de 1º de junho de 2023, bancos, notários, departamentos estatais e municipais, ao receber dados biométricos do usuário, são obrigados a transferi-los para o Sistema Biométrico Unificado.
O que é esse sistema?
O Sistema Biométrico Unificado (EBS) é uma plataforma estatal, criada por iniciativa do Banco da Rússia e do Ministério da Transformação Digital da Rússia. Com base nele, os cidadãos têm acesso a todo um catálogo de serviços (eles são indicados abaixo), que usam o "rosto como chave". Todos esses serviços funcionam com o princípio de "um rosto": você entregou a biometria uma vez no EBS - usa uma centena de serviços.
Quem é responsável pelo armazenamento? Centro de Tecnologias Biométricas
Se o EBS é um "caixa eletrônico" de emissão de serviços, então o Centro de Tecnologias Biométricas (TsBT) é o próprio repositório. TsBT - organização responsável pelo armazenamento de dados no Sistema Biométrico Unificado. É importante entender: os dados são usados exclusivamente para obter serviços para os quais você deu seu consentimento.
Três níveis de biometria: simplificado, padrão, confirmado
Uma das principais fontes de confusão - as pessoas pensam que a biometria "existe ou não existe". Na verdade, a lei (e a implementação técnica do EBS) destaca três níveis de qualidade e confiabilidade dos dados biométricos. Dependendo do nível, quais serviços estarão disponíveis para você.
Biometria simplificada
(limiar de entrada baixo)
A maneira mais fácil de "familiarizar" o sistema com seu rosto. Geralmente requer apenas um fator (por exemplo, uma foto por meio de um aplicativo sem verificação estrita da identidade).
Serviços:
· viagem de metrô (pagamento com o rosto);
· proteção da conta no "Gosuslugi" (entrada por rosto em vez de senha);
· pagamento de compras em lojas (para pequenas quantias);
· passagem para a sala de negócios do aeroporto.
Biometria padrão
(nível médio)
Requer confirmação da identidade por meio do ESIA ("Gosuslugi") ou em presença pessoal. Este já é um identificador legalmente significativo, mas com algumas restrições.
Serviços:
· todos os serviços de biometria simplificada;
· registro de eSIM;
· cartão de torcedor (Fan ID);
· pensão no exterior.
Biometria confirmada
(nível máximo)
Requer presença pessoal em uma organização autorizada (por exemplo, em uma agência bancária com participação estatal ou no MFC), onde um especialista verifica seu passaporte e remove a biometria em equipamentos certificados.
Serviços:
· todos os serviços de biometria simplificada e padrão;
· check-in no hotel (sem passaporte);
· abertura de contas bancárias e depósitos remotamente;
· emissão de assinatura eletrônica qualificada aprimorada (UKEP);
· emissão de eSIM e cartões SIM para estrangeiros;
· recebimento de pensões no exterior;
· atendimento no MFC (sem passaporte - o rosto é suficiente);
· início de negócios online (registro de IP ou LLC sem uma visita pessoal ao escritório fiscal).
Se você acha que a biometria é armazenada como uma senha - uma linha simples no banco de dados - não é assim. A legislação russa, e em particular a Ordem FSTEC nº 21, impõe requisitos aos sistemas que trabalham com biometria, que correspondem ao 3º (máximo) nível de segurança. E se isso não lhe diz nada, leia mais.
Análise da legislação: fatos-chave sobre a proteção da biometria
Vamos considerar em detalhes como a legislação obriga a proteger nossos dados e quais direitos temos de acordo com isso.
Leis básicas
Documento
Fato-chave para a proteção da biometria
Lei Federal de 27.07.2006 nº 152-FZ "Sobre dados pessoais"
Além de obter o consentimento, o operador é obrigado a cuidar da segurança e proteção dos dados pessoais biométricos.
Lei Federal de 29.12.2022 nº 572-FZ "Sobre identificação e autenticação por biometria"
Cria a base legal para o EBS. O princípio-chave: voluntariedade - as organizações não têm o direito de se recusar a fornecer um serviço se uma pessoa não quiser entregar a biometria.
Lei Federal de 30.11.2024 nº 420-FZ (alterações ao Código de Infrações Administrativas da Federação Russa)
Introduz responsabilidade administrativa por violação da legislação biométrica. Multas: até 1 milhão de rublos por violação da ordem de processamento; até 1,5 milhão de rublos por não tomar medidas organizacionais e técnicas para garantir a segurança dos BPDn durante seu processamento; até 2 milhões de rublos por processamento sem credenciamento; até 20 milhões de rublos por vazamento.
Lei Federal de 30.11.2024 nº 421-FZ (alterações ao Código Penal da Federação Russa)
Introduz responsabilidade criminal por coleta, armazenamento, uso ou distribuição ilegais de dados pessoais biométricos. De acordo com o art. 272.1 do Código Penal, para uso, transferência, coleta e armazenamento ilegais de BPDn, será nomeado: multa criminal de até 700 mil rublos, ou trabalho forçado, ou privação de liberdade por um período de até cinco anos.
A partir de 2025, a proteção da biometria é reforçada por multas reais (milhões de rublos para pessoas jurídicas) e sanções criminais.
Resoluções do Governo da Federação Russa
Documento
Fato-chave
Resolução nº 1066 de 15.06.2022
Regula o auto-registro de biometria pelos cidadãos por meio do aplicativo móvel EBS (sem visitar um banco ou MFC).
Resolução nº 1067 de 15.06.2022
Determina os casos e prazos para o uso de dados biométricos.
Resolução nº 15 de 18.01.2025
Faz alterações no nº 1067 - especifica especificamente os prazos para atualização da biometria.
Resolução nº 1703 de 28.12.2018
Estabelece o procedimento para fornecer informações biométricas ao Ministério do Interior e ao FSB - para fins de aplicação da lei, mas sob controle rigoroso.
Resolução nº 478 de 27.03.2023
Aprova o procedimento para recusa de coleta de biometria - o cidadão pode, a qualquer momento, revogar o consentimento, e o operador é obrigado a excluir os dados.
Resolução nº 834 de 21.06.2024
Determina a organização operadora do EBS (as funções são atribuídas ao TsBT).
Resolução nº 1119 de 01.11.2012
Estabelece requisitos para a proteção de dados pessoais durante seu processamento no ISPDn, incluindo a definição de níveis de segurança.
O governo criou um ciclo completo de regulamentação - da coleta à exclusão e transferência para as agências de aplicação da lei. A legislação cobre todas as etapas da vida dos dados biométricos.
Requisitos técnicos e ordens do Ministério da Transformação Digital
Documento
Fato-chave
Ordem do Ministério da Transformação Digital nº 453 de 12.05.2023
Aprova o procedimento para o processamento de PPDn biométricos - incluindo coleta, armazenamento, destruição. Contém requisitos para parâmetros (qualidade da foto, características do microfone para voz).
Ordem do Ministério da Transformação Digital nº 1024 de 29.11.2023
Regula a confirmação da conformidade das tecnologias para o processamento da biometria. Ferramentas técnicas e software usados para trabalhar com biometria devem ser certificados.
Ordem do Ministério da Transformação Digital nº 432 de 27.04.2023
Determina o procedimento e os prazos para enviar uma solicitação para bloquear dados - um mecanismo para bloquear a biometria de emergência (por exemplo, em caso de perda de telefone ou suspeita de comprometimento).
Ordem do Ministério da Transformação Digital nº 445 de 05.05.2023
Aprova a lista de ameaças para o EBS - classificação de ameaças que devem ser consideradas ao construir um sistema de proteção.
Ordem do Ministério da Transformação Digital nº 446 de 05.05.2023
Aprova a lista de ameaças para o KBS (sistemas biométricos comerciais).
Ordem do Ministério da Transformação Digital nº 378 de 17.04.2023
Aprova a metodologia para verificar a conformidade dos dados biométricos com os vetores do EBS - ou seja, como exatamente o sistema compara o "rosto vivo" com o padrão.
O Ministério da Transformação Digital trabalhou em detalhes o lado técnico: existem requisitos para equipamentos (nº 453), classificação de ameaças (nº 445, 446), metodologias de verificação (nº 378) e um mecanismo de bloqueio de emergência (nº 432).
Documentos de infraestrutura e processo
Documento
Fato-chave
Resolução nº 1754 de 15.10.2021
Sobre a verificação da assinatura eletrônica simples - é importante, pois a biometria pode ser usada como um segundo fator de autenticação.
Resolução nº 670 de 28.04.2023
Aprova o procedimento de credenciamento de órgãos governamentais e do Banco Central para trabalhar com biometria. Sem credenciamento - é impossível.
Resolução nº 810 de 22.05.2023
Aprova o procedimento de credenciamento de sistemas biométricos comerciais (KBS), para que empresas privadas possam usar legalmente a biometria.
Resolução nº 552 de 06.04.2023
Determina o procedimento e os prazos para a consideração de apelos de cidadãos sobre questões de biometria.
Resolução nº 451 de 24.03.2023
Estabelece o procedimento para solicitar ao operador EBS sobre questões de reclamação.
Ordem do Ministério da Transformação Digital nº 658 de 09.09.2022
Aprova o procedimento padrão para as ações dos funcionários do MFC ao trabalhar com biometria.
Ordem do Ministério da Transformação Digital nº 387 de 20.04.2023
Estabelece requisitos para a reputação comercial de pessoas que trabalham com biometria (para credenciamento).
Um sistema completo foi criado: de como o cidadão apresenta um apelo a como as empresas pagam pelo uso do EBS. Até mesmo o comportamento dos funcionários do MFC é regulamentado.
Instruções do Banco da Rússia (para o setor financeiro)
Documento
Fato-chave
Instrução do Banco da Rússia nº 6540-U de 25.09.2023
Regula o trabalho dos bancos com o EBS - como as instituições de crédito devem se integrar ao sistema biométrico unificado.
Instrução do Banco da Rússia nº 6541-U de 25.09.2023
Regula o trabalho dos bancos com KBS (sistemas biométricos comerciais).
O setor bancário (um dos principais usuários da biometria) tem atos regulatórios separados do Banco Central, que detalham a aplicação dos requisitos gerais no setor financeiro.
Cartas, recomendações metodológicas
Documento
Fato-chave
Carta do Banco da Rússia de 13.12.2019
Explica que não é necessária uma conta separada no banco para coletar biometria - uma especificação importante que simplifica o acesso ao sistema.
Recomendações metodológicas do Banco da Rússia nº 4-MR de 14.02.2019
Contêm recomendações práticas para neutralizar ameaças ao trabalhar com biometria - para especialistas técnicos.
Ordem do Governo da Federação Russa nº 3375-r de 28.11.2023
Aprova a composição do Conselho de Coordenação para o Desenvolvimento de Tecnologias Digitais com base na biometria - um órgão permanente foi criado para gerenciar a indústria.
Medidas obrigatórias de proteção de dados para trabalhar com biometria no GIS EBS
De acordo com o Regulamento de interação de informações dos participantes dos processos biométricos com o GIS EBS (versão 1.38 de 03.04.2026), em termos de requisitos para a proteção de dados do usuário, não são apenas "recomendações", mas medidas técnicas e organizacionais obrigatórias rígidas, sem as quais a organização (Participante BV) simplesmente não terá acesso ao trabalho com biometria por meio do GIS EBS.
O que é necessário para trabalhar com o EBS: requisitos de infraestrutura
A interação direta com o EBS envolve a conformidade com requisitos rígidos de segurança e infraestrutura: você precisa de soluções certificadas e canais de interação protegidos. A empresa constrói o contorno de interação com os sistemas estatais do zero: de canais de comunicação a complexos de hardware e software.
Medidas organizacionais e legais
Credenciamento:
A organização (KBS) deve ser credenciada no Ministério da Transformação Digital da Rússia. De acordo com o artigo 17 da Lei Federal nº 572-FZ, as organizações que possuem sistemas para autenticação biométrica ou prestam tais serviços são obrigadas a obter credenciamento. O procedimento de credenciamento depende do tipo de organização: para organizações comerciais - Resolução do Governo da Federação Russa nº 810 de 22.05.2023; para órgãos governamentais e Banco Central - Resolução do Governo da Federação Russa nº 670 de 28.04.2023.
2.
Aceitação da oferta:
O Participante BV é obrigado a aceitar uma oferta pública (acordo digital) para a prestação de serviços de transferência de vetores ou fornecimento de informações sobre o grau de conformidade da biometria. Sem aceitação - sem acesso.
3.
Registro do participante:
A organização é registrada sequencialmente no ambiente de teste (TEBS) e, em seguida, no ambiente de produção do GIS EBS. O procedimento de registro é detalhado no Regulamento de Interação de Informações com o GIS EBS.
4.
Procedimento de notificação:
O operador é obrigado a enviar uma notificação da intenção de processar dados pessoais ao Roskomnadzor (art. 22 nº 152-FZ). O Roskomnadzor inclui o operador em seu Registro de operadores que processam dados pessoais.
5.
Notificação de incidentes:
A organização é obrigada a notificar o operador GIS EBS sobre qualquer incidente de segurança o mais tardar 3 horas após a detecção. Sobre o trabalho planejado - o mais tardar 24 horas.
2. Implementação de medidas organizacionais e técnicas para garantir a segurança dos dados
2.1. Medidas organizacionais e técnicas de proteção de dados pessoais (base)
O sistema de informação que processa dados pessoais (incluindo biometria) deve implementar medidas organizacionais e técnicas de proteção de acordo com a Ordem FSTEC da Rússia de 18.02.2013 nº 21. Abaixo está uma lista completa de medidas organizacionais e técnicas que o ISPDn deve implementar de acordo com a Ordem FSTEC nº 21, em relação à biometria.
1.
Identificação e autenticação
o sistema deve identificar exclusivamente usuários e dispositivos.
Gerenciamento de acesso
clara diferenciação de direitos: quem pode inserir biometria, quem - ler, quem - excluir.
Restrição do ambiente de software
é permitido executar apenas software confiável (lista branca).
Proteção de mídia de informação de máquina
proteção física de mídia (discos, pen drives, servidores) com dados biométricos.
Registro de eventos de segurança
registro de todos os logins, tentativas de acesso, alterações na biometria.
Proteção antivírus
obrigatório em todos os nós envolvidos no processamento da biometria.
Detecção (prevenção) de intrusões
uso de sistemas IDS/IPS.
Controle (análise) de segurança
varreduras regulares de vulnerabilidades, testes de penetração.
Garantia de integridade
proteção contra modificação de código de software, configurações e bancos de dados de biometria.
Garantia de disponibilidade
tolerância a falhas, para que um usuário legítimo sempre possa passar pela identificação.
Proteção do ambiente de virtualização
se o IS usa virtualização, ele deve ser protegido.
Proteção de meios técnicos
restrição de acesso físico a salas de servidores e equipamentos.
Proteção do sistema de informação e redes de comunicação
criptografia de canais de transmissão de biometria (implementada por meio de SKZI).
Detecção e resposta a incidentes
procedimentos para detecção, análise e resolução de incidentes.
Gerenciamento de configuração
controle das configurações do sistema de segurança.
Observação importante:
8 medidas (a lista exata na Ordem nº 21) são obrigatórias, independentemente do nível de segurança. Para biometria, que pertence a categorias especiais de PDn, muito provavelmente, será necessário o nível máximo (1 ou 2) de segurança de acordo com a Resolução do Governo nº 1119, e, portanto, a implementação de quase toda a lista de 15 medidas.
2.2. Avaliação de riscos e aprovação pela autoridade competente
O operador PDn é obrigado a realizar de forma independente ou com o envolvimento de um licenciado uma avaliação dos danos que podem ser causados aos sujeitos PDn em caso de violação da lei, de acordo com o art. 14 da Lei Federal nº 152-FZ. Este requisito é para todos os operadores PDn, incluindo aqueles que trabalham com biometria.
Os resultados da avaliação de danos devem ser documentados e levados em consideração ao selecionar e implementar medidas de proteção de informações.
Como regra geral, a aprovação do modelo de ameaças no FSTEC ou FSB para um operador comercial não é necessária, para sistemas de informação estatais e KII pode ser necessária.
2.3. Certificação do sistema de informação (Ordem FSTEC nº 117)
O sistema de informação da organização (IS do Participante BV) deve ser certificado para conformidade com os requisitos de proteção de informações. A Ordem FSTEC da Rússia de 11.04.2025 nº 117 regulamenta os requisitos para a proteção de informações em sistemas de informação estatais que se enquadram em sua ação. Para sistemas comerciais, a certificação ISPDn pode ser necessária de acordo com outros documentos (por exemplo, de acordo com os requisitos para ISPDn), mas o operador EBS tem o direito de solicitar uma confirmação de segurança.
Uma cópia do certificado de conformidade deve ser fornecida ao operador GIS EBS.
Abaixo estão as principais medidas de proteção:
Gerenciamento de ativos e vulnerabilidades
Inventário de ativos (saber exatamente o que está sendo protegido) 2. Gerenciamento de vulnerabilidades: eliminação de vulnerabilidades críticas dentro de 24 horas 3. Gerenciamento de vulnerabilidades: eliminação de vulnerabilidades de alto nível de perigo dentro de 7 dias 4. Gerenciamento de configurações (controle de alterações nas configurações e composição do software)
Controle de acesso
Identificação e autenticação
Gerenciamento de acesso (incluindo acesso mandatário, se necessário)
Gerenciamento de acesso privilegiado (PAM)
Autenticação multifator rigorosa (de acordo com GOST R 58833-2020)
Minimização de direitos de acesso
Registro obrigatório das ações dos administradores
Monitoramento e resposta
Monitoramento da segurança da informação (implementação das funções do sistema SIEM: coleta, análise e correlação de eventos de segurança 24 horas por dia)
Interação com o GosSOPKA
Resposta a incidentes (disponibilidade de um procedimento regulamentado)
Desenvolvimento de habilidades práticas de resposta em funcionários
Fator humano
Melhoria do conhecimento do usuário (treinamento prático do pessoal)
Realização de ataques de phishing de treinamento
Treinamento regular e verificação de conhecimento (pelo menos 1 vez a cada 3 anos)
Proteção técnica
Proteção de dispositivos finais e móveis
Proteção com acesso remoto e sem fio
Proteção de canais de comunicação (proteção criptográfica - SKZI usando ferramentas certificadas pelo FSB da Rússia)
Desenvolvimento de software seguro (introdução de processos de desenvolvimento seguro de acordo com GOST R 56939-2024)
Indicadores de eficiência
Avaliação do indicador de segurança (pelo menos 1 vez a cada 6 meses)
Avaliação do indicador de maturidade (pelo menos 1 vez a cada 2 anos)
Envio de relatórios de resultados ao FSTEC
Proteção criptográfica (SKZI e EP)
3.1. Canal de comunicação protegido (SKZI)
Interação do sistema de informação em
