Новые правила по биометрическим персданным заработают позже, чем планировалось

13 Января 2022 10:32 13 Янв 2022 10:32 |

Крупнейшие банки России отлучают от совместного предприятия
по развитию ЕБС в стране.

По данным источников РБК, причины кредитных
организациям названы не были, их просто перестали приглашать на обсуждение
проекта. Ранее в нем участвовали Сбербанк, ВТБ, Газпромбанк, Альфа-банк, Тинькофф-банк
и пр.

В августе 2021 г. Сбербанк сам разорвал сотрудничество с «Ростелекомом»
по созданию СП из-за не устроивших его условий.

Правительство может исключить крупнейшие банки из совместного
предприятия по развитию Единой биометрической системы (ЕБС) в России. Ранее в
обсуждении создания СП приняли участие Сбербанк, ВТБ, Газпромбанк, Альфа-банк, Тинькофф-банк
и пр. Теперь участниками совместного предприятия для развития ЕБС станут только
Правительство, «Ростелеком» (оператор
системы) и ЦБ, пишет РБК.

Решение о таком составе уже принято, формирования
предприятия может завершиться к лету 2022 г. Его руководителем может стать выходец
из Федеральной налоговой службы, отметил собеседник издания.

По словам источника РБК на банковском рынке, кредитным
организациям никто не называл причины отказа от участия банков в проекте.
«Минцифры и “Ростелеком” просто перестали приглашать кредитные организации на
обсуждения проекта», — сообщил он. При этом два собеседника РБК связали новый
состав участников СП с тем, что к предыдущим форматам СП были вопросы у Федеральной
службы безопасности.

Представитель «Ростелекома» отказался от комментариев.
Представитель ЦБ и крупных кредитных
организаций не ответили на вопросы РБК. Представители ВТБ рассказали, что банк будет действовать в соответствии с
утвержденными Правительством и Банком России направлениями развития
биометрической системы.

Сбербанк ушел сам

В апреле 2021 г. Сбербанк и «Ростелеком» объявили о создании СП «Цифровые технологии идентификации» для совместной работы по
развитию ЕБС. Предполагалось, что пользователи базы Сбербанка будут добавлены в
реестр ЕБС, при этом общая система унаследует функциональность обеих систем,
включая оказываемые через госуслуги сервисы.

Банки не будут участвовать в СП по развитии ЕБС в России

Но уже в августе стало известно о том, что Сбербанк разорвал сотрудничество с «Ростелекомом». По данным источника
«Коммерсанта», банк не устроили новые условия, где он лишился лидирующей роли в
СП.

Изначально в капитале СП у «Ростелекома» и Сбербанка планировались равные
доли по 49% у каждого, при этом государство напрямую получало еще 2%.

Позже 49%
Сбербанка планировалось разделить между несколькими банками, утверждали
источники «Коммерсанта».

История ЕБС

Создание российской ЕБС для удаленной идентификации клиентов
банков стартовало в 2016 г. по инициативе Центробанка и Минцифры. Оператором
системы, как говорилось выше, выступает «Ростелеком».

Согласно приказу Минцифры
№624, сервисы для удаленной идентификации через ЕБС стали также доступны для
некредитных финансовых организаций и компаний из других секторов экономики. С 1
января 2021 г. к ЕБС наряду с банками подключились страховые компании.

В
будущем планируется подключение компаний из сферы телекома, ритейла и др.

Илья Зуев, «Райффайзен банк»: Передовые технологии не помогут, если в ИБ-процессах отсутствуют качество и полнота

ИТ в банках

В начале 2018 г. CNews рассказал о том, что оператор ЕБС будет продавать биометрические данные россиян банкам по
200 руб. за штуку, из которых половину будет получать банк, разместивший
биометрию пользователя, и половина останется у «Ростелекома».

В середине февраля 2021 г. CNews сообщил о планах создания федерального реестра с перечнем госорганов, финансовых и иных
организаций, индивидуальных предпринимателей и нотариусов, использующих ЕБС. Оператором
планируется назначить «Ростелеком». Участнику реестра одно обращение за
биометрией в ЕБС обойдется в те же 200 руб.

В начале марта 2021 г. CNews рассказал о том, что власти рассматривают различные варианты стимулирования сбора
биометрических данных граждан, с планами собрать биометрию у 70 млн россиян в
ближайшие два года, то есть, почти уравнять их число с числом подтвержденных
профилей на портале госуслуг.

В начале августа 2021 г. CNews рассказал о критике новых правил работы с биометрическими данными россиян Российский союз
промышленников и предпринимателей (РСПП), которые, по мнению представителей
РСПП, могут привести к отставанию в развитии биометрии в России, а также ведут
к дискриминации крупнейших российских ИТ-компаний.

В соответствии с ФЗ №482-ФЗ все банки должны регистрировать
граждан в ЕБС, если к ним поступил соответствующий запрос. По состоянию на
февраль 2021 г. в системе было зарегистрировано около 164 тыс. россиян.

• Какой дисплей для смартфона лучше: AMOLED или IPS?

Кристина Холупова

Подписаться на новости Короткая ссылка

Биометрические данные граждан в 2022 году: сбор биометрии и право

Биометрия – относительно новое слово в лексиконе каждого гражданина. Но одно полностью понятно – сегодня без биометрии не обойдется ни одни Гражданин, который хочет иметь персональный документ. Гражданам выдают биометрические паспорта, создаются биометрические базы, где собрана самая главная информация о людях.

Подделать такие сведения практически невозможно, что делает биометрическую базу значительнее удобнее не только на государственном, а даже на международном уровне. Не удивительно, что все больше государств вводит биометрическую систему.

Россия не является исключением, хотя пока редко какой гражданин согласен сдавать свой персональный биометрический материал.

Что такое биометрические данные

Не так давно такое понятие, как биометрические данные было известно только небольшой группе людей. Сегодня оно пребывает на общем слуху. Всем интересно, что это такое, и как персональные данные могут быть использованы.

Биометрические данные – это перечень характеристик биологического и физиологического характера. Эти данные отличаются у каждого человека. Они индивидуальны и не повторяются даже у очень похожих внешне людей.

Именно потому биометрический материал используется для установления личности человека.

На сегодня биометрия включает пять типов данных, которые может дать гражданин:

• Собираются отпечатки пальцев человека;
• Изображение лица;
• Записывают персональный голос;
• Делают сканирование радужки глаз;
• Фиксируют рисунок кровеносных сосудов на ладони и на пальце.

Все эти показатели индивидуальны у каждого человека и вероятность, что у кого-то будет идентичным хотя бы один из рассматриваемых показателей, сводится к нулю. А поскольку берутся все пять образцов для обработки данных, личность человека будет полностью идентифицирована, даже если гражданин изменит внешность. Ведь биометрический материал у него останется тем же.

Использование биометрии с 1 октября 2022 года

Биометрические персональные данные теперь собирают и с россиян. Жители РФ могут сами загрузить рассматриваемые данные в систему, которая начала работать с 1 октября. Называется система «Единая биометрическая система».

Получить возможность войти в неё можно, используя приложение «Биометрия». Эта система позволяет внести данные без обращения в банк, как это нужно было делать ранее.

Процедуру проходит дистанционно, потому считается особенно удобной.

Кроме того, биометрия позволяет дистанционно получать и оплачивать множество актуальных услуг:

• Проезд в метро. Биометрия позволяет оплачивать проезд в любой станции метро Москвы.
• Банковские Услуги. Теперь подтвердить личность гражданин сможет без лишней бумажной волокиты.
• Заключение договоров. Например, на данный момент такая услуга доступна для заключения договора с операторами связи.

Мировая практика использования биометрии довольно распространена. Интересно, что самая крупная база данныхбиометрии расположена в неожиданном государстве – Индии.

Эта система называется Aadhaar, куда внесены более 80% всех жителей страны. Практика оказалась очень полезной, и теперь данные используются в большинстве областей.

Например, для получения разнообразных государственных услуг, финансовой отрасли, туризме, даже в образовательной сфере.

Россия пока только развивает это направление, но уже сделала несколько решительных шагов. Например, биометрическая идентификация возможна в девяти банках, но в планах её освоение не только в финансах, но медицине, образовании, ритейле и т.п.

Кто и зачем собирает биометрию

Собирать биометрию начали не ради чипирования людей, как опасаются многие граждане, которые не знают, что собой представляет эта технология. Да, эти данные будут использоваться для идентификации человека, но только в цифровом формате. Это невероятно удобно, в первую очередь, для человека.

Теперь не придется стоять долгие очереди и собирать сотни бумажек, чтобы получить какой-то банковскую или любую другую услугу.

Все можно сделать удаленно, а чтобы подтвердить свою личность, достаточно биометрическихданных, обработка которых может заменить недельную бумажную волокиту.

Они только ваши, поэтому получить доступ к сведениям не сможет никто кроме вас. И не нужны никакие дополнительные защитные функции и т.п.

Рассмотрим для примера один из самых распространенных случаев – когда гражданин берет Кредит. Раньше, чтобы одолжить в банке деньги, нужно было прийти в банк, принести не одну сотню бумажек. Это стоило времени и усилий. Благодаря биометрии Процедура стала доступной удаленно.

Ещё одно очень важное преимущество биометрии – упрощенная процедура поездок в другие страны. Например, с биометрическими документами не нужно стоять на паспортном контроле. Биометрический документ – персональный. Его невозможно подделать. В некоторых странах уже можно не проходить контроль, если у вас есть биометрический паспорт.

Чтобы пройти процедуру и легально передвигаться по стране, потребуется подойти к датчику (это специальный прибор). Приложите к нему персональный биометрический паспорт. Теперь нужно отсканировать сетчатку глаза. Если система считала ваши данные, и человек попал в страну легально, он может свободно идти куда захочет.

Биометрия – это способ получать услуги быстрее и безопаснее, используя персональный набор физиологических качеств. Пока технология только набирает популярность, но происходит это стремительно. Придется в скором темпе адаптироваться.

Как пользоваться биометрическими данными

Прежде чем пользоваться биометрией, должна быть выполнена обработка биометрических данных. Сведения обрабатываются после их подачи. Именно на моменте передачи данных застопоривается большинство людей. Они не знают куда идти, что сдавать и как будет проходить процедура. Это пугает. Поэтому давайте рассмотрим, как все сделать правильно.

Сначала потребуется пройти регистрацию в системе «Единая биометрическая система», где происходит обработка данных. Делается это так:

• Пойдите в банк и откройте в нем счет;
• Банковский работник заведет вам запись на платформе «Госуслуги» (не нужно, если учетная запись есть);
• Сотрудник банка возьмет образцы голоса и фото клиента, чтобы отправить в Систему для обработки.

Теперь услуги для граждан будут доступны дистанционно, а обработка данных займет пару секунд. Но не всех, а только те, что на данный момент доступны для удаленной идентификации.

Останется только указать регистрационные данные (пароль и логин) Госуслуг. Система потребует озвучить контрольную фразу. Говорить её нужно в камеру смартфона или ноутбука.

Так система распознавания сработает и откроет доступ к материалам.

Учтите, чтобы попасть в Единую биометрическую систему нужно прийти в один из девяти банков, что с ней сотрудничают. Если дать свой биометрический материал в другие банки, гражданам не смогут оказать такую услугу.

Надежность системы биометрии данных

Обработка биометрических персональных данных проходит достаточно быстро, но после этого, до тех пор, пока вы остаетесь собой, о рисках можно не беспокоиться. Биометрия – это надежный ключ от сейфа, который вы носите с собой. Система сложная, но чтобы защититься от мошенников её сделали ещё сложнее. В результате, подделка в принципе невозможна.

Принцип работы механизма достаточно продуктивный:

• Гражданин проходит удаленную идентификацию по видео, передавай свой биометрический материал.
• Алгоритм занимается обработкой выражения лица и голоса отдельно друг от друга, чтобы определить % процент схожести рассматриваемого видео с контрольным шаблоном, полученным ранее.
• Работа «модуля аномалий» включается, если алгоритм дает сбой и не обрабатывает данные. Работа этого модуля – найти причины сбоя обработки. Если есть риск мошенничества, информация об этом стремительно поступает в банк. Через несколько секунд мошенник уже заблокирован.

На случай если системой воспользуются люди с очень похожей внешностью (например, идентичные близнецы), у них ничего не получится.

Причина во множественности ступеней защиты, включая двухфакторную идентификацию (голос и внешность), а также логин и пароль от госуслуг.

Так что без вашего ведома, никто не сможет войти в систему, даже если обработка внешних данных по видео может совпасть, биометрия не допустит операцию.

Биометрические данные граждан при изменении внешности

Внешность человека имеет свойство меняться в силу возраста, травм или операций. Если хотите, чтобы система исправно работала даже после таких трансформаций, персональные данные в ней нужно менять. Стандартный срок – раз в три года.

Внеурочно зарегистрироваться придется, если внешность изменилась сильно и обработкаперсональных данных невозможна. Например, после пластической операции, травмы. Если просто отрастили бороду – сбоя не возникнет.

Также придется вносить обновленные данные, если сильно охрипли – система не считает изменившийся голос.

Конечно, можно подождать пока голос не вернет свой привычный тембр, но если этого не происходит, придется идти в банк, подтверждать свою личность и новый голос.

Закон и право по биометрии в России и мире

Согласно текущему закону, по отношению к биометрическимданным, использовать сведения о физиологических особенностях человека разрешено, только если есть письменное разрешение человека, которому рассматриваемые биометрические данные принадлежат. В других случаях обработка невозможна.

Но есть ситуации, когда персональные биометрические данные могут обрабатываться и без согласия человека. Например, в случаях, когда действует Договор о реадмиссии, когда исполняются судебные акты или правосудие осуществляет другие действия, где биометрия необходима.

Также биометрическиеперсональные сведения могут быть использованы в задачах, связанных с безопасностью, противодействием терроризму/коррупции. Иногда персональные материалы применяются в оперативно-розыскной работе и других задачах предусмотренных законодательством России.

Получить юридическую помощь по вопросам биометрических данных граждан можно на нашем сайте.

Суд разрешил властям следить за людьми через системы распознавания лиц

Суд не стал ограничивать возможности правоохранительных органов следить за людьми / Michael Aleo / Unsplash

За москвичами следят с помощью видеокамер без вмешательства в их частную жизнь, пришел к выводу Савеловский суд. Решение было вынесено по иску москвички Алены Поповой, требовавшей признать незаконным применение технологии распознавания лиц в системе видеонаблюдения. 25 ноября была опубликована мотивировочная часть решения суда.

Попова утверждала, что обработка биометрии, полученной с помощью видеонаблюдения, без письменного согласия человека нарушает закон о персональных данных, а также право на частную жизнь. В апреле 2018 г.

она провела одиночный пикет около здания Госдумы, за что Тверской районный суд оштрафовал ее на 20 000 руб. Он изучил записи с видеокамер, зафиксировавших лицо Поповой, ее изображение на них было увеличено в 32 раза – это признаки применения технологии распознавания лиц.

Закон о персональных данных относит к ним сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность.

Без письменного согласия человека их можно обрабатывать только в случаях, описанных в законах об обороне, о безопасности и о противодействии терроризму, говорится в иске Поповой.

Осенью 2017 г. мэрия Москвы сообщила, что в городе заработала система массового распознавания лиц, тогда к ней было подключено более 3000 видеокамер. К 2019 г.

планировалось развернуть общегородскую систему распознавания лиц для розыска преступников, для чего было обновлено 40% из 162 000 видеокамер.

При тестовом внедрении систем распознавания лиц в Москве сотрудники правоохранительных органов задержали 90 человек с помощью 1000 камер снаружи подъездов жилых домов, рассказывал «Ведомостям» в июне представитель ГУ МВД по Москве.

Ранее ДИТ поручил IT-интегратору «Ситроникс» организовать постоянное техническое сопровождение массовых мероприятий.

Когда видеонаблюдение станет постоянным, в систему будет внедрена технология распознавания лиц, обещал замруководителя ДИТа Александр Горбатько.

В закупке «Ситрониксу» ДИТ не требовал создать систему распознавания лиц, но поручил протестировать российские решения по видеоаналитике, а также проверить, нужно ли по законодательству согласие людей на использование их изображений при видеонаблюдении.

Система видеонаблюдения использует технологии распознавания лиц, но не позволяет установить личность человека, говорится в решении Савеловского суда.

У Единого центра хранения данных (ЕЦХД) отсутствуют необходимые для этого персональные данные, в том числе биометрические (радужная оболочка глаз, рост, вес и проч.

) – система только сравнивает изображение, поступающее с видеокамер, с фотографией, предоставленной правоохранительными органами. Алгоритмы могут выявить совпадение лишь с определенной долей вероятности (65%), а персональные данные департаменту не передаются.

Поэтому видеоизображения не могут считаться биометрическими персональными данными и не требуется получать письменное согласие человека на их обработку, делает вывод суд.

Полиция же имеет полное право обрабатывать данные о гражданах и вносить полученную информацию в банки данных.

Сотрудники МВД используют доступ к ЕЦХД «в целях реализации служебных обязанностей», объясняет суд, например для обнаружения людей, находящихся в розыске или под административным надзором.

В отношении самой Поповой алгоритм распознавания лиц не применялся, ее личность сотрудники полиции установили, проверив паспорт, говорится в решении суда. Видеозапись с камер была предоставлена суду самой Поповой, однако тот не принял ее в качестве доказательства. Права Поповой не были нарушены, решил суд.

Система работает в соответствии с законом о персональных данных и государственной программой, говорила в суде представитель департамента Наталья Андриянова. Но суд не ответил на вопросы, которые ставились в иске, указывает адвокат «Роскомсвободы» Саркис Дарбинян, участвовавший в его подготовке.

Суд объяснил, что ДИТ хранит только изображение граждан и после передачи этих данных не отвечает за их сохранность, отмечает Дарбинян. Между тем в иске ставился вопрос о процедуре доступа к данным и об их сохранности.

«Мы надеялись, что процесс позволит ближе познакомиться с регламентами ведомства, которые устанавливают порядок доступа сотрудников правоохранительных органов к биометрическим базам данных, – говорит Дарбинян.

– Нам также не удалось выяснить, какие существуют гарантии сохранности этой информации, есть подозрение, что доступ к ней имеют не только те сотрудники, которым это положено по должности».

Представитель ДИТа к моменту публикации статьи не ответил на запрос «Ведомостей» о процедуре предоставления сотрудникам правоохранительных органов доступа к записям с камер.

Суд так и не разобрался, была ли проведена биометрическая идентификация, кто – правоохранительные органы или ДИТ – ее проводил и на каких основаниях, говорит управляющий партнер консалтинговой компании «Емельянников, Попова и партнеры» Михаил Емельянников. Суд не объяснил четко, почему видеоизображение не является персональными данными, отмечает партнер Pen & Paper Екатерина Тягай: под это определение подпадает любая информация, если она позволяет идентифицировать человека.

Само видеоизображение человека не является биометрическими персональными данными, пока оно не переведено в математический код и не сравнивается с другими кодами из базы шаблонов, обращает внимание Емельянников.

По его словам, в законе о персональных данных перечислены случаи, когда можно использовать биометрические данные человека без его согласия, и функций ДИТа и ЕЦХД в этом перечне нет, т. е. обрабатывать биометрию человека без его согласия они не могут.

Не могут этого делать даже правоохранительные органы, уверен Емельянников: для них не предусмотрен конкретный алгоритм, в том числе в законе об оперативно-розыскной деятельности.

Малый и средний бизнес могут отказаться от биометрии

Вступающие в силу с 1 января 2022 года поправки к 479-ФЗ, которым в настоящее время регулируются сбор и использование биометрии физических лиц в России, оставляют российским компаниям три варианта использования биометрической идентификации в своих продуктах и услугах, один из которых — полный отказ от процедуры. Об этом «Коммерсанту» рассказала директор по стратегическим проектам Института исследований Интернета Ирина Левова.

По ее словам, первый вариант — присоединиться к государственной Единой биометрической системе (ЕБС), оператором которой выступает «Ростелеком», и оснастить офисы сертифицированным оборудованием.

Второй — попытаться получить аккредитацию на собственную систему.

Третий — полностью отказаться от биометрической идентификации, предложив своим клиентам являться в офисы с паспортом по любому вопросу, однако это не относится к банкам, так как они обязаны подключаться к ЕБС.

«Универсального ответа для бизнеса не существует — он слишком сильно зависит от профиля и размеров компании, не говоря уже о неизвестных затратах на не существующее пока облачное решение по безопасности каналов связи, по которым должна передаваться биометрия», — отметила Левова.

При этом в случае присоединения к системе затраты на оборудование пока кажутся самой скромной статьей: минимально оснастить один офис обслуживания стоит около 50 тыс. рублей, рассказала Эксперт.

Дооснащение информационной защиты, например банка, обязательными аппаратными модулями безопасности HSM обойдется еще в несколько миллионов рублей. Альтернативные затраты на облачное решение неизвестны, но в кулуарах называлась цифра 15 рублей за одну трансакцию.

Все вместе это сразу убирает с рынка умные видеодомофоны с распознаванием, биометрическую идентификацию в фитнесе и прочих «не необходимых» целях.

«Если идти по пути аккредитации собственной системы, затраты на сертифицированные ИБ-решения никуда не денутся, использование собственной системы позволяет избежать лишь уплаты тарифа за использование непосредственно Единой биометрической системы (не менее 200 рублей за трансакцию и ниже, в зависимости от объемов).

ЗАТО прибавятся затраты на саму аккредитацию. Это при условии, что вам разрешат пройти аккредитацию: законом она предусмотрена только для российских юридических лиц, доля иностранного участия в которых не превышает 49%.

Но если у вас есть крупные иностранные акционеры, процедура аккредитации вам недоступна», — пояснила Левова.

При этом представители государства уже оглашают планы по дальнейшему изменению регулирования: даже коммерческие системы обяжут работать через ЕБС, там же будут аккумулироваться все «сырые» данные (сами записи голоса, отпечатки пальцев и т. д.). Такое решение фактически ставит крест на рынке коммерческой идентификации в России: развитие собственных решений теряет смысл, когда вы не можете обрабатывать биометрические данные самостоятельно, считает она.

Новый порядок обработки биометрических ПД вступит в силу с марта 2022 года – приказ Минцифры

Минцифры утвердило новый порядок обработки биометрических персональных данных (ПД) в единой биометрической системе (ЕБС) и в иных информационных системах.

Подписанный приказ вступает в силу с 1 марта 2022 года и действует до 1 марта 2028 года. Действующий в настоящее время приказ Минкомсвязи от 25.06.2018 № 321 с 1 марта 2022 года будет признан утратившим силу.

Ранее Минцифры поясняло, что документ направлен на решение проблемы в части регулирования деятельности организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических ПД физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических ПД физических лиц и обеспечения требования для сбора и формирования требований к качеству биометрических образцов, размещаемых в ЕБС из организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических ПД физических лиц.

Как следует из сопроводительных документов, опубликованных при обсуждении проекта, существует проблема «невозможности использования коммерческих биометрических систем», эта проблема и должна быть решена с выходом нового приказа.

В соответствии с новым порядком проводится обработка параметров биометрических ПД физического лица следующих видов: данные изображения лица; данные голоса, собранные текстозависимым методом (означает фиксацию голоса в процессе чтения определённого текста – ред.).

Для проведения идентификации сбор параметров биометрии физического лица производится при его личном присутствии уполномоченным сотрудником государственного органа, банка и иной организации, в случаях, определённых федеральными законами, в целях создания биометрического контрольного шаблона, хранение которого осуществляется в ЕБС.

Также сбор осуществляется уполномоченными сотрудниками организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических ПД физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических ПД физических лиц – в целях создания биометрического контрольного шаблона, хранение которого осуществляется в иных информационных системах организаций.

Биометрические контрольные шаблоны используются в процессе проведения идентификации и (или) аутентификации физического лица, в том числе без его личного присутствия.

Уполномоченный сотрудник органа и организации при сборе параметров биометрических ПД подписывает собранные данные своей усиленной электронной подписью. Эти сотрудники обязаны соблюдать конфиденциальность используемых ими ключей электронной подписи.

• Организации финансового рынка, осуществляющие сбор и обработку используемых для идентификации параметров биометрических ПД, должны информировать Банк России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации, которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации — не позднее одного рабочего дня со дня их выявления.
• Кроме того, организации должны ежегодно проводить оценки соответствия требований к защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, и информирование Банка России о результатах такой оценки.
• К организациям нефинансового рынка предъявляются аналогичные требования, только контроль за их соблюдением возложен на Минцифры.

Обработка биометрии физлиц осуществляется только после получения согласия на обработку персональных и биометрических ПД в соответствии с требованиями законодательства. В случае отзыва субъектом ПД своего согласия обработка биометрических ПД должна быть прекращена.

При создании биометрического образца изображения предъявляются, в частности, следующие требования:

• изображение должно содержать полное изображение головы человека в анфас, включая левое и правое ухо (при их наличии), верхнюю точку лобной области головы и подбородок;
• не допускается перекрытие волосами или посторонними предметами изображения лица по всей ширине от бровей до нижней губы;
• на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается;
• выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта (с учетом поведенческих факторов и (или) медицинских заболеваний);
• лицо должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и блики;
• не допускается использование ретуши и редактирования изображения; допускается кадрирование изображения;
• в случае фотографирования человека в очках не допускается наличие солнцезащитных очков и ярких световых артефактов или отражения вспышки от очков;
• изображение лица должно быть сохранено в формате .jpeg или .png.

Биометрические образцы записи голоса должны соответствовать следующим требованиям:

• отношение сигнал-шум для звука не менее 15 дБ; глубина квантования не менее 16 бит; частота дискретизации не менее 16 кГц; запись голоса должна быть сохранена в формате RIFF (WAV); код сжатия: PCM/uncompressed (0 х 0001); количество каналов в записи голоса: 1 (монорежим) канал;
• не допускается использовать шумоподавление;
• на записи должен присутствовать голос одного человека;
• произнесенное субъектом сообщение должно соответствовать последовательности букв и (или) цифр, сгенерированной программным обеспечением информационной системы органа или организации;
• запись голоса должна содержать указанную последовательность полностью и не должна прерываться;
• при осуществлении записи голоса эмоционально-психологическое состояние и состояние субъекта должно быть нормальным, не возбужденным, без явных признаков заболеваний, препятствующих произнесению сообщения, или способных нарушить тембр и (или) звучание голоса;
• сообщение должно быть произнесено субъектом на русском языке.

1. Запрещено получение образцов записи голоса путём перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования.
2. Хранение параметров биометрических ПД, размещенных в ЕБС, осуществляется в течение не менее чем 50 лет со дня их размещения в указанной системе.
3. Обновление биометрических ПД в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических ПД физических лиц, осуществляется физическим лицом добровольно по собственной инициативе либо по истечении пяти лет со дня их размещения в указанных системах, а в некоторых случаях (расстояние между центрами глаз биометрических ПД изображения лица составляет менее допустимого значения в 120 пикселей) – по истечении трёх лет со дня их размещения.
4. Также документом установлены требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПД в целях проведения идентификации.
5. Наталья Касперская порекомендовала гражданам «ни в коем случае не сдавать биометрические данные»

Прописана допустимая вероятность ложного совпадения предоставленных государственным органом, органом местного самоуправления, кредитной организацией, некредитной финансовой организацией. Для изображения лица этот показатель должен составлять не более 0,0001, для голоса — не более 0,1.

Напомним, что ранее в октябре правительство расширило случаи сбора биометрических ПД для идентификации и аутентификации физического лица, выразившего согласие на их проведение – для водителей легкового такси, каршеринга, при проходе на территорию организаций (за рядом исключений), при участии в собрании участников гражданско-правового сообщества.

В ЕБС появятся данные о дате рождения и гражданстве – постановление правительства

Законом также разрешено собирать и использовать биометрическую информацию банкам и МФЦ. Сбор биометрических данных населения стартовал в банках в начале июля 2018 года.

По данным Национального совета финансового рынка на август, в ЕБС накоплено 180 тысяч биометрических шаблонов россиян.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

7 мифов о биометрии: разбираем с экспертом | РБК Тренды

Внедрение биометрии, как и любой другой современной технологии, сопровождается мифами. Одни возникают из-за недостатка информации, другие — не без влияния научной фантастики, в которых факты переплетаются с домыслами

Об эксперте: Евгений Золотарев — директор компании-интегратора систем безопасности «Делетрон».

Распознавание лиц (Face ID, биометрия) — это результат работы видеоаналитики, которая определяет соответствие лица в кадре имеющемуся изображению в базе данных. Вопреки распространенному мнению, биометрия не может идентифицировать людей, которые не являются их целью.

«Поясню на примере системы «Безопасный город» в Москве. Камеры видеонаблюдения, которые установлены в общественных местах и на улице, не могут следить за всеми и каждым человеком в отдельности. Это и не нужно. Она лишь «перебирает» лица в кадре и сверяется с базой данных. Например, это могут быть базы правоохранительных органов».

Иными словами, Face ID используется только для распознавания «интересующих» ее лиц. Остальные данные для системы излишни.

Миф 2. Биометрия распознает лица не на 100%

Сегодня точность распознавания лиц из базы данных — выше 99%.

«Согласно тестам Национального института стандартов и технологий министерства торговли США (NIST), проведенным в ноябре 2018 года, всего 0,2% поисков в базе данных из 26,6 млн фотографий не соответствовали правильному изображению, по сравнению с 4% в 2014 году.

А в тестах 2020 года лучший алгоритм идентификации лица имеет коэффициент ошибок 0,08%, что меньше одной ошибки на 1000 изображений. Это 50-кратное улучшение за шесть лет. И система продолжает совершенствоваться.

Повысить точность распознавания позволяют алгоритмы нейронной сети».

И если раньше на результат могли повлиять угол зрения, погодные условия, то сейчас система распознает человека из базы даже при наличии головного убора или очков. Такая технология уже используется в офисах компаний и торговых сетях России.

«В целях безопасности «Северсталь» внедрила Face ID в здании своего представительства в Москве. Система сверяет данные магнитного пропуска и показания биометрии. Если обнаружит несоответствие с внесенными в базу сведениями и изображениями, то немедленно подаст сигнал службе охраны. К тому же, она сообщит о несанкционированном доступе лиц, внесенных в «черный список».

Добиться 100% точности тоже можно, но для этого придется задать алгоритму более высокий уровень соответствия. При этом ужесточатся требования и по входной информации, то есть эталону в базе данных и качеству изображения видеоданных.

А значит, при малейших несовпадениях с эталоном алгоритм будет отказывать в обслуживании. Такие меры обоснованы в банковских системах. Там внедрение строгого алгоритма оправдано рисками, которые могут понести пользователи при попадании данных в руки мошенников.

Но на практике все же нужно соблюдать баланс.

Миф 3. Биометрия — дорогое удовольствие

Здесь важно понимать, как и в случаях с другими технологиями, что стоимость решения зависит от сложности применения и архитектуры системы, от скорости работы и степени надежности (качества «железа»), от возможности масштабирования и даже от цены владения лицензией. Все эти моменты нужно соотнести с теми задачами, которые ставятся перед Face ID.

Например, стоимость терминала для распознавания лиц и комплексной системы распознавания лиц для крупного объекта со всеми необходимыми системами интеграции будут отличаться. Простой терминал может стоить от ₽17 тыс.

, а комплекс программного обеспечения по распознаванию лиц для сети ресторанов быстрого питания — около ₽180 млн и охватывать полторы тысячи объектов.

Здесь речь идет уже о полноценной разработке ПО под конкретные задачи бизнеса, включая интеграцию Face ID с системой учета рабочего времени, фиксацию температуры тела, ограничение на проход уже уволенных или нежелательных к посещению сотрудников из «черного списка».

Также можно интегрировать систему контроля нахождения сотрудников на смене, фиксацию обеденного перерыва и даже выбор блюд на обед для дальнейшего списания его себестоимости с сотрудника.

И не стоит забывать, что сейчас большинство поставщиков стараются максимально эффективно интегрировать Face ID в свои системы, например, в привычные всем смартфоны.

Миф 4. Все системы распознавания одинаковы

Схемы работы Face ID могут сильно отличаться друг от друга. Для примера обратимся снова к сравнению простого терминала распознавания и сложной системы для крупного предприятия. Различия в схеме их работы будут не столько в алгоритмах (теоретически они могут быть одинаковыми), сколько в их устройстве, в «железе».

Терминал — автономное устройство. В него, как правило, встроен дополнительный считыватель карт, управление входом/выходом, сама система распознавания. База образов также хранится непосредственно на нем.

Решение о допуске или запрете на проход терминал принимает самостоятельно. Настройка может производиться на самом устройстве. Также возможна схема, при которой несколько терминалов объединены в единую систему с общей базой лиц.

В таком случае решение принимает софт.

Распознавание лиц средствами системы видеонаблюдения всегда связано с сервером. Отсюда и дороговизна таких систем. Камера выступает просто инструментом получения исходной информации (снимка лица) для дальнейшей обработки на сервере.

При этом нельзя сказать что система на терминалах «неполноценная». Она имеет место быть и на крупных объектах. Все зависит от конкретной задачи и функций системы распознавания лиц.

Миф 5. Технология не справляется с большими объемами информации

Биометрические системы проходят обучение и тестирование на огромных массивах данных, используя несколько идентификационных параметров. И если в процессе работы система получает данные высокого качества, она успешно справится и с большим объемом данных.

«Например, крупнейшая в мире система биометрической идентификации действует в Индии. В ней содержатся сведения о 1,3 млрд жителях страны. Это отпечатки пальцев, радужные оболочки глаз, фотографии, а также персональные данные. Такая система позволила присвоить каждому гражданину уникальный ID.

Чтобы получить любые услуги, требующие подтверждения личности, житель должен ввести номер ID-карты и пройти биометрическую проверку. Недавно власти страны сообщили о модернизации системы.

К слову, алгоритмы этой разработанной системы получили наивысшие результаты по итогам независимых оценок технологий, включая NIST MINEX, PFT, FRVT, IREX и FVC-onGoing».

Подтверждение эффективности алгоритмов Face ID проводится на конкурсе алгоритмов распознавания лиц Face Recognition Vendor Test (FRVT). Среди победителей конкурса есть и отечественные алгоритмы интеллектуальной видеоаналитики. К примеру, российский FindFace по итогам тестирования в 2021 году показал лучший результат за все время проведения FRVT.

Миф 6. Биометрическую базу могут взломать хакеры и использовать данные в своих целях

Мы констатируем повышенный риск для любых информационных систем со стороны хакерских атак. Это факт сегодняшнего дня. Биометрические данные, причисленные к персональным, всегда требуют повышенного внимания со стороны информационной безопасности.

Для защиты таких данных сейчас используется распределенное хранение. Зашифрованный биометрический шаблон хранится на защищенных серверах в обезличенной форме отдельно от персональных данных. Выглядит он как некая математическая модель биометрических данных (лицо, отпечаток пальца, голос и так далее).

Для обычного человека это представляет собой условно набор цифр. Восстановить из таких шаблонов образец голоса, изображение, отпечаток пальца без системы нельзя.

А обезличенные сведения, даже с точки зрения внесенных в базу фотографий, не особенно интересны хакерам, поскольку для совершения каких-то мошеннических действий одного лишь изображения будет недостаточно.

«Для противодействия атакам биометрического спруфинга сегодня в банках используются такие механизмы подтверждения личности как liveness detection (дословно «проверка живости»). Это способность системы определять, является ли отпечаток пальца, лицо или другие биометрические данные реальным или поддельным.

В качестве такой активной проверки биометрических данных, в частности, видеоизображения, человека могут попросить улыбнуться или повернуть голову. Система следит за естественностью движений пользователя, их соответствием полученному заданию и непрерывностью действий.

При этом алгоритмы контролируют статику и динамику, что позволяет обнаружить взлом с использованием маски».

Как показывает практика, в большинстве случаев злоумышленники выбирают другие способы. Алгоритмы аутентификации пользователя мошенники стараются обходить с помощью социальной инженерии или уязвимостей в платежных приложениях.

Но нельзя исключать интерес злоумышленников к таким базам в части вывода системы из строя, что может стать элементом шантажа или вымогательства. Для защиты систем разработчики используют трансформацию биометрических параметров и криптографию. То есть в системе хранится только часть информации — защищенный эскиз.

«К примеру, при защите Единой биометрической системы в России, используется не один, а множество алгоритмов. Взлом даже одного займет у хакера много времени, сил и средств. А таких там десятки. К тому же они постоянно совершенствуются».

Миф 7. Биометрия, распознавая лица, нарушает закон о персональных данных

Обработка данных для систем распознавания не всегда попадает под действие законодательства. Это зависит от множества факторов, например, кем и для чего используется система, где она применена и так далее. Например, распознавание лиц в магазине под действие закона не подпадает, так как торговая точка считается общественным местом, съемка там не запрещена, а данные не персонализированы.

Надо разделять данные, используемые системой распознавания, в соответствии с требованиями Федерального закона N 152-ФЗ «О персональных данных». Но даже в судебной практике встречаются совершенно противоположные подходы относительно того, какие сведения относятся к биометрическим персональным данным (далее — БПД), а какие — нет. Например, фотографии на пропуске они оценивают как БПД.

Законодательство требует наличия согласия носителя БПД в письменной форме. Если у человека не было возможности дать отказ от передачи его персональных данных третьим лицам, это считается нарушением законодательства.

Без согласия идентификация может быть использована лишь:

• при осуществлении правосудия и исполнении судебных актов;
• при проведении обязательной государственной дактилоскопической регистрации;
• в случаях, предусмотренных законодательством об обороне, безопасности, противодействии терроризму, транспортной безопасности, оперативно-розыскной деятельности, государственной службе и так далее.