Что такое биометрия для подписания документов
Биометрическая подпись на документе
В данном посте речь пойдет о способе аутентификации человека по динамике написания рукописного пароля (подписи). В последнее время к этому направлению проявляется огромный интерес, и связано это в первую очередь с распространением мобильных устройств с сенсорными экранами. Согласитесь, было бы здорово получить по почте документ, открыть его, пальцем нарисовать свою подпись и отправить адресату. При этом документ будет иметь юридическую силу. За рубежом – это уже давно реальность. В России пока доверяют подписанному бумажному документу, либо электронному документу с официально зарегистрированной ЭЦП.
Существенным недостатком ЭЦП является то, что она может быть передана другому лицу, т.е. в отличие от традиционной подписи она является отчуждаемой от своего владельца. При этом будет сохраняться юридическая значимость документов подписанных ЭЦП посторонним лицом, что в некоторых случаях может оказаться недопустимым. Если же объединить ЭЦП и биометрическую подпись в электронном документообороте, то можно решить проблему неотчуждаемости юридически значимой ЭЦП от её владельца!
Остановимся на самой технологии… Для начала, Вы должны понимать, что с точки зрения метода аутентификации нет никакой разницы, что Вы будете использовать в качестве пароля: фиксированное рукописное слово или подпись. Главное, чтобы динамика написания и геометрия Вашего рукописного слова оставалась более менее стабильной.
Автор данного поста в составе коллектива Научно-технического центра «КАСИБ» более 10 лет занимается исследованиями и разработкой алгоритмов по данному направлению. Защищено 2 кандидатские диссертации (3-я – в ближайшее время), выполнено более 5-ти НИОКР. Еще 5-6 лет назад для реализации способа аутентификации по динамике написания рукописного пароля (подписи) необходима была покупка дополнительного оборудования – графического планшета (дигитайзера) со световым пером (Wacom). Эволюция мобильных устройств за последние годы в сторону использования сенсорных экранов ввода, позволила сделать эту технологию максимально доступной. В конце 2012 года наш центр создал облачный сервис SignToLogin, реализующий аутентификацию пользователей по динамике написания рукописных паролей, как услугу, а позднее в App Store появилось одноименное приложение. Далее описание технологии будет сопровождаться примерами этой облачной платформы.
Процедура аутентификации сводится к тому, что для каждого пользователя сначала должен быть создан эталон рукописного пароля. Процесс создания эталона сводится к последовательному вводу 10-ти реализаций рукописного пароля на сенсорном экране мобильного планшета (возможно с использованием стилуса), что может занять в среднем 3 минуты.
Пользователь должен написать своим обычным почерком рукописное слово. После ввода необходимого количества реализаций, выполняется их статистическая обработка для получения признаков, необходимых в дальнейшем для аутентификации динамических характеристик написания рукописного пароля пользователя. Как правило, это только функции скорости курсора в плоскости сенсорного экрана. Но если пользователь расписывается световым пером, чувствительным к нажатию на плоскость графического планшета (типа Wacom), то будет использоваться еще и функция давления. Это повысит надежность аутентификации.
Облачный сервис SignToLogin формирует эталонные значения всех необходимых характеристик пользователя и «запоминает» их. Во время процедуры аутентификации каждая введенная реализация рукописного пароля будет обработана по такому же принципу, что и реализации, вошедшие в эталон. В режиме аутентификации обработанная реализация сравнивается с эталонными значениями с помощью специальных алгоритмов и методов, которые делают сервис SignToLogin максимально удобным для пользователя. Введенные реализации рукописного слова (подписи) автоматически масштабируются и при этом не чувствительны к поворотам в плоскости экрана! В случае успешной аутентификации пользователя, введенная реализация рукописного слова добавляется в эталон, вытесняя из него самую позднюю реализацию. Таким образом, эталон рукописного пароля всегда обновляется и становится не чувствительным к изменениям почерка пользователя.
Чтобы все наши научные результаты не «пылились» на полках, мы решили создать полезный инструментарий в виде API для разработчиков веб- и iOS- приложений, который позволит использовать данную технологию в реальной практике. Здесь можно ознакомиться со всей необходимой документацией.
Мы также разработали iOS-приложение для подписания документов в формате PDF, которое демонстрирует использование SignToLogin Mobile API. Оно принципиально отличается от аналогов, существующих на рынке: SignNow, HelloSign, PDFpenPro, Signosign/2, QuickSign.
Биометрия упрощает документооборот: как получить электронную подпись не выходя из дома
Рассказываем, как получить квалифицированную электронную подпись с помощью биометрии за 15 минут.
Квалифицированная электронная подпись (КЭП) стала настоящей «палочкой-выручалочкой» для тех, кто регулярно работает с документами. Она представляет собой юридически достоверный цифровой аналог обычной подписи на бумаге. С её помощью можно дистанционно заверить документы, которые в прошлом необходимо было подписывать от руки при личном посещении ведомства: налоговые декларации, документы для получения ипотеки и кредитов, акты, подтверждающие право на недвижимость и многие другие.
Электронная цифровая подпись состоит из пары ключей: открытого и закрытого. Открытый ключ находится в публичном доступе, а закрытый известен только владельцу цифровой подписи. Алгоритмы асимметричной криптографии позволяют шифровать информацию одним из ключей и расшифровывать другим. Чтобы сгенерировать пару ключей, не нужно специальное оборудование и навыки. При желании это можно сделать самостоятельно без помощи специалистов. Тогда зачем посещать удостоверяющий центр?
Чтобы у электронной подписи появилась юридическая сила, нужно не только сгенерировать ключи, но и подтвердить личность владельца. Для этого удостоверяющие центры выдают сертификат, который содержит набор дополнительных свойств: срок действия ключа, текстовое описание владельца, набор служебных идентификаторов.
Квалифицированная электронная подпись, полученная по биометрии, ничем не отличается от подписи, полученной традиционным способом — лично в удостоверяющем центре.
Благодаря новой услуге выигрывают все: клиенты могут получить сертификат проверки ключа электронной подписи, не тратя время на дорогу в удостоверяющий центр, а удостоверяющие центры — расширить географию привлечения клиентов и оказывать услуги людям со всей страны.
Что такое ЕБС и нужно ли начинать бояться биометрии в России
Насколько защищены биометрические данные и стоит ли переживать, что с помощью биометрии государство сможет контролировать каждого?
В 1983 году на экраны вышла очередная серия бондианы «Никогда не говори никогда». В этом фильме актёр Шон Коннери в роли агента 007 проникает в секретную комнату после прохождения биометрии: идентификации глаз, ладони и голоса.
Прошло 38 лет, и вход в офис по отпечатку пальца или перевод денег голосом уже не кажется такой фантастикой. Биоэквайринг работает в России с 2017 года, благодаря чему можно с помощью пальца оплатить покупки в магазине или рассчитаться ладошкой за школьный обед в столовой. Кроме того, к концу 2021 года в столичном метро должна появиться возможность оплаты проезда по лицу.
Обозреватель Skillbox Media. Пишет про бизнес, интернет-маркетинг и управление.
Что такое Единая биометрическая система?
Новый закон регламентирует объединение уже имеющихся и будущих биометрических данных в общую систему. С помощью ЕБС россияне могут взять кредит, открыть банковский счёт, снять наличные в банкомате или дистанционно подписать документы. За два года правительство рассчитывает увеличить число записей в ЕБС со 164 тысяч до 70 млн.
Чтобы сдать биометрические данные, нужно пойти в банк и завести учётную запись. Компьютер получит снимок лица человека и запомнит всё до мельчайших подробностей: форму носа, цвет глаз и другие параметры. При этом доступа к системе сами кредитные организации иметь не будут. Они смогут лишь узнавать о соответствии предоставленных данных шаблону, который хранится в ЕБС. Если процент соответствия окажется выше 99,99%, банк сможет предоставить услугу дистанционно.
Как рассказал Skillbox Media директор по цифровой идентичности ПАО «Ростелеком» Иван Беров, регуляторы предъявляют к ЕБС наиболее строгие правила. Биометрические данные передаются по защищённым каналам связи и хранятся в виде математически обработанных моделей.
«Восстановить фотографию или голос по модели просто невозможно. Кроме того, биометрические данные хранятся в обезличенной форме отдельно от персональных. Биометрия — в ЕБС, а персональные данные — на „Госуслугах“», — пояснил он.
Беров добавил, что, даже если злоумышленники выкрадут такие «слепки» у оператора, они не смогут увидеть фото или прослушать запись голоса.
По мнению директора технического департамента RTM Group Фёдора Музалевского, опасаться стоит не утечек биометрических данных, а обычных мошенников.
«Утечка образца голоса через ЕБС — не самое страшное. Обычные телефонные мошенники могут вывести вас на разговор и записать его, получив образец вашего голоса», — подчеркнул эксперт в разговоре со Skillbox Media.
Уже известны случаи, когда злоумышленники подделывали голоса, чтобы выманить деньги у своих жертв. Если в перспективе для подтверждения платёжной операции достаточно будет голосовой команды, то любые сведения о голосе гражданина могут стать материалом для фальсификации, считает Музалевский. Однако, как правило, банки используют двухфакторную аутентификацию — изображение лица и запись голоса.
Отпечаток пальца вместо банковской карты
Сканирование отпечатков пальцев в настоящее время чаще всего используется для аутентификации на смартфонах. Впервые таким сенсором оснастили телефон Pantech GI100 в 2004 году. Однако широкое распространение дактилоскопические сканеры получили только в 2013 году, когда Apple выпустила на рынок iPhone 5S.
Отпечаток пальца можно использовать не только в качестве ключа к защите информации, но и вместо банковской карты. Так, ещё в 2014 году Сбербанк опробовал в образовательных учреждениях Чувашии технологию безналичной оплаты питания с использованием отпечатков пальцев. Сейчас система, получившая название «Ладошки», запущена во многих российских школах.
Покупатели «Азбуки Вкуса» тоже могут расплатиться за покупки отпечатком пальца. Для этого необходимо зарегистрироваться на кассе магазина и привязать банковскую карту к своим биометрическим данным. После этого будет достаточно просто приложить палец к специальному терминалу — нужная сумма автоматически спишется со счёта клиента.
По словам руководителя направления анализа защищённости исходных кодов ПАО «Ростелеком» Вячеслава Герасименко, цифровой отпечаток пальца сам по себе нигде не хранится. Тот же дактилоскопический сканер для разблокировки смартфона просто генерирует математическую модель пальца и не требует для работы его снимок. Воспроизвести эти данные невозможно, отметил Герасименко в разговоре со Skillbox Media.
Однако надёжность такого метода аутентификации не раз подвергалась сомнению. Так, в 2014 году хакер Ян Крисслер, известный под псевдонимом Starbug, сумел подделать отпечаток пальца тогдашнего министра обороны Германии, а ныне главы Еврокомиссии, Урсулы фон дер Ляйен. Для этого Крисслер использовал программу Verifinger и несколько фотографий чиновницы, снятых обычным фотоаппаратом под разными углами.
Также Starbug демонстрировал способ обхода Apple Touch ID на iPhone 5S. Хакер взял отпечаток с поверхности экрана смартфона и распечатал его на кусочке латекса. Затем он намазал узор столярным клеем и покрыл графитом. С помощью этого «слепка» Крисслер смог разблокировать чужое устройство.
Как хакеры обманывают системы распознавания лиц
В 2020 году сеть московских кафе Prime запустила функцию оплаты счёта по лицу. Чтобы воспользоваться этой услугой, необходимо предварительно сдать биометрические данные в банке, который выпустил карту. Также оплату по лицу тестируют сети магазинов «Лента», «Перекрёсток» и «Пятёрочка».
Но иногда нейросети дают сбой. В 2020 году система распознавания лиц в столичном метро приняла москвича за преступника. В итоге его задержали — и не сняли с него все подозрения, пока не нашли реального подозреваемого.
В 2021 году двое похожих мужчин из Екатеринбурга случайно взломали Face ID на iPad. Даниил взял у своего друга Никиты планшет и хотел спросить пароль, но экран разблокировался сам. При этом они не приходятся друг другу родственниками, а лицо Даниила не было внесено в память устройства.
Это не единственный случай, когда Face ID не сумела защитить гаджет Apple от несанкционированной авторизации. В 2019 году на конференции Black Hat USA исследователи продемонстрировали способ обхода аутентификации, позволяющий получить доступ к iPhone жертвы за 120 секунд. Для этого потребовалось три вещи: очки, скотч и спящий владелец смартфона.
Исследователи обнаружили, что система биометрической аутентификации не извлекает полные 3D-данные из области вокруг глаз, если распознаёт, что владелец носит очки. Вместо этого Face ID ищет чёрную область с белой точкой посередине, которая является радужной оболочкой глаза.
Исследователи решили воспользоваться этим. Они взяли обычные очки, наклеили на линзы чёрный скотч, проделали в нём дырочку и надели аксессуар на спящего владельца смартфона. Этого оказалось достаточно, чтобы обмануть FaceID и получить доступ к смартфону.
Китайские хакеры пошли ещё дальше. Чтобы обойти государственную систему распознавания лиц, они использовали технологию deepfake, позволяющую «примерить» на себя чужую внешность. Злоумышленники подавали налоговые декларации за якобы трудоустроенные «мёртвые души» и присваивали себе деньги из фонда заработной платы. За три года они «заработали» более 76 млн долларов.
Борьба с дипфейками
Нейросети могут подделывать не только лица, но и голос. В 2016 году компания Adobe представила систему VoCo. Она позволяет редактировать запись речи, изменяя слова и целые фразы — как в текстовом редакторе. Приложение также может синтезировать любой голос путём анализа исходного аудиофайла. В основе системы лежат технологии рекуррентных и свёрточных нейронных сетей.
В 2019 году компания Тимура Бекмамбетова Screenlife Technologies и команда «Робот Вера» заявили о работе над проектом на основе искусственного интеллекта Vera Voice. Искусственный голос сможет озвучивать сериалы, игры, рекламу или даже отправлять поздравления с днём рождения с голосами знаменитостей.
Пока что для создания качественного дипфейка требуются немалые ресурсы, вычислительные мощности и время на тренировку моделей. Но тем не менее высококлассные подделки становятся всё более доступными благодаря решениям с открытым кодом. Распространение технологии вынуждает исследователей и власти искать способы противодействия новой угрозе.
Над технологиями распознавания дипфейков работают крупнейшие лаборатории Стэнфордского, Бингемтонского и Калифорнийского университетов, а также многие IT-гиганты, включая Facebook, Microsoft, Intel и Twitter. В 2019 году в Калифорнии приняли первый в истории закон по работе с дипфейками, который запрещает любую попытку манипуляции человеческим вниманием с помощью искусственного интеллекта.
Кроме того, в мае 2021 года МВД России объявило о запуске разработки решения для распознавания дипфейков. Система, получившая название «Зеркало», должна быть готова к ноябрю 2022 года. Однако эксперты скептически оценивают шансы правоохранителей на успех.
«На отечественные исследования в этой области выделено около 4 млн рублей, что ставит под сомнение создание действительно эффективного решения», — рассказала Skillbox Media Мария Чмир, глава стартапа Deepcake, специализирующегося на применении технологий замены лиц в рекламных роликах.
Переживать пока рано?
Директор технического департамента RTM Group Фёдор Музалевский считает, что сегодня не следует переживать из-за активного сбора биометрических данных и внедрения систем распознавания лиц. По словам специалиста, такие данные пока не предназначены для взаимодействия с произвольными камерами.
«Камеры ЕБС изначально созданы для идентификации граждан, в том числе для подтверждения финансовых операций. А вот камеры безопасности не позволяют достоверно и автоматизированно идентифицировать человека, поэтому на данный момент они не связаны с ЕБС», — пояснил Музалевский.
При этом он не исключил, что в отдельных случаях, например при раскрытии преступлений, данные из ЕБС могут сравниваться с данными камер наблюдения. Однако это не планируется делать систематически, так как сейчас точность идентификации оставляет желать лучшего.
Вместе с тем эксперт отметил, что любому государству удобнее управлять гражданами, если они находятся «на карандаше».
«ЕБС — один из способов учёта финансово активных граждан, что становится особенно актуальным в условиях санкций. Создание удобного механизма перевода безналичных денежных средств, очевидно, позволит усилить контроль за денежными потоками и сократить теневой сектор экономики», — резюмировал Музалевский в разговоре со Skillbox Media.
Что такое биометрия в Сбербанке
Что такое биометрические данные?
Биометрические данные включают в себя любые параметры человека, выраженные в абсолютных значениях. Данные могут быть:
Уже в скором времени привычно будет, пользуясь услугами Сбербанка, идентифицироваться в различных системах не с помощью бумажной фотографии и паспорта. А с использованием электронного снимка высокого качества и уникальных характеристик голоса.
Зачем Сбербанк собирает биометрические данные?
С 2018 года Сбербанк все больше уходит в цифру, начав сбор биометрических данных. Биометрия в Сбербанке позволит клиентам получать доступ к большему количеству банковских услуг дистанционно. Цифровая идентификация выгодна как банку, так и пользователям:
При этом, при удаленном получении услуг особенно это актуально для жителей страны, которые живут в труднодоступных местах и в малонаселенных пунктах.
До 1 июля 2019 года каждый первый счет в каждом новом банке необходимо было открывать с помощью очной явки. Теперь достаточно однократно явившись в отделение:
К слову сказать, Тинькофф Банк с 2011 года собирает биометрические данные:
Требования к качеству информации, которая будет использоваться в Сбербанке более жесткие:
В настоящее время при звонке в контактный центр, оператор запрашивает паспортные и личные данные, кодовое слово. Иногда люди опасаются в телефонном разговоре передавать собственные данные. Кроме того, эта процедура передачи данных занимает много времени. К тому же можно допустить ошибку.
Благодаря биометрии, система мгновенно распознает по голосу и безошибочно идентифицирует клиента. Даже если голос изменился в результате болезни, индивидуальный тембр сохранится. Если система не распознает голос, то:
Какие данные собирает Сбербанк?
Центральный Банк РФ разработал законопроект, согласно которому российским банкам рекомендовано собирать биометрические данные россиян и вносить в Единую Биометрическую Систему (ЕБС), доступную всем кредитным организациям. Прежде всего:
Запись голоса производится при помощи микрофона. Все данные обрабатываются в высокотехнологичных программах.
Идентифицировать личность будет техника, а человек исключается из системы распознавания. Используют именно голос и изображение лица, потому что их при установлении личности посредством удаленных сервисов:
Следует знать, что биометрию в любое время можно пересдать. Эксперты даже рекомендуют обновлять свою запись в базе данных с периодичностью один раз в три года.
Как отказаться от биометрии в Сбербанке?
После того как представитель Сбербанка разъясняет особенности системы, клиент дает добровольное согласие на предоставление собственных биометрических данных.
Отказаться от предоставления биометрических данных можно:
Потребуется выбрать любой способ:
Прохождение биометрии
Пройти биометрию можно при личном посещении банка или используя банкомат. Порядок, следующий:
По отзывам тех, кто уже прошел процедуру биометрии, процесс сдачи может занять значительное количество времени в связи с тем, что техника может подвести.
Как использовать биометрию?
При звонке в колл-центр не нужно будет передавать какие-либо данные, сразу после произнесения первого слова, система распознает голос клиента и поприветствует его, назвав по имени и отчеству.
При желании получить кредит или открыть вклад дистанционно, потребуется:
Безопасность передачи данных
К тому же разработчики программы учитывают все нюансы и возможные проблемы, и стремятся свести их к минимуму:
Что такое биометрия для подписания документов
(1).jpg "Что такое биометрия для подписания документов. Смотреть фото Что такое биометрия для подписания документов. Смотреть картинку Что такое биометрия для подписания документов. Картинка про Что такое биометрия для подписания документов. Фото Что такое биометрия для подписания документов")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 25 июня 2018 г. № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации”
В соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2003, № 28, ст. 2895; № 46, ст. 4434; 2006, № 31, ст. 3448; 2007, № 1, ст. 7; 2009, № 12, ст. 1431; № 21, ст. 2573; 2010, № 31, ст. 4196; 2011, № 15, ст. 2038; № 30, ст. 4600; 2012, № 31, ст. 4328; № 44, ст. 6044; 2013, № 14, ст. 1658; № 23, ст. 2870; № 27, ст. 3479; № 52, ст. 6961, 6963; 2014, № 19, ст. 2302; № 30, ст. 4223, 4243; № 48, ст. 6645; 2015, № 1, ст. 84, № 27, ст. 3979; № 29, ст. 4389, 4390; 2016, № 26, ст. 3877; № 28, ст. 4558; № 52, ст. 7491; 2017, № 18, ст. 2664; № 24, ст. 3478; № 25, ст. 3596; № 27, ст. 3953; № 31, ст. 4790, 4825, 4827; № 48, ст. 7051; 2018, № 1, ст. 66; № 18, ст. 2572), приказываю:
1. Утвердить прилагаемые:
порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации;
порядок размещения и обновления биометрических персональных данных в единой биометрической системе;
требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации.
2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
4. Настоящий приказ вступает в силу со дня его официального опубликования.
Зарегистрировано в Минюсте РФ 4 июля 2018 г.
Регистрационный № 51532
Приложение № 1
к приказу
Министерства цифрового развития,
связи и массовых коммуникаций
Российской Федерации
от 25.06. 2018 № 321
Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации
3. В настоящем Порядке используются термины и определения, установленные в:
межгосударственном стандарте ГОСТ ISO/IEC 2382-37-2016 «Информационные технологии (ИТ). Словарь. Часть 37. Биометрия», введенном в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 февраля 2017 года № 71-ст. (М., ФГУП «Стандартинформ», 2017);
национальном стандарте Российской Федерации ГОСТ ISO/IEC 19794-1-2015 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2015 года № 1928-ст «О введении в действие межгосударственного стандарта» (М., ФГУП «Стандартинформ», 2016);
национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 06 сентября 2013 года № 987-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2015);
национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 29794-1-2012 «Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 18 сентября 2012 года № 351-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2013);
национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 882-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).
данные изображения лица;
5. Для обработки биометрических персональных данных применяются информационные технологии и технические средства, имеющие подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации согласно приложению № 3 к настоящему Приказу.
документы, подтверждающие право собственности заявителя либо иное законное основание использования информационных технологий и технических средств, предназначенных для обработки изображения лица и данных голоса;
наименование, модель и тип технических средств, предназначенных для обработки изображения лица и данных голоса, а также эксплуатационные документы на указанные технические средства;
сведения о приведенном фокусном расстоянии, применяемом для регистрации изображения лица, содержащиеся в технической документации на техническое средство (предоставляются органами и организациями, осуществляющими размещение в единой биометрической системе биометрических персональных данных субъекта).
Подтверждение соответствия требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации осуществляется уполномоченным органом в течение 30 дней с даты получения указанных документов и сведений.
Биометрические контрольные шаблоны используются в процессе проведения идентификации гражданина Российской Федерации с использованием информационных технологий.
Уполномоченный сотрудник органа и организации при сборе параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации подписывает собранные биометрические персональные данные простой электронной подписью.
7. Органы и организации обязаны принимать организационно-распорядительные меры, предусматривающие:
определение уполномоченных сотрудников, осуществляющих сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и выдачу им ключей простой электронной подписи;
использование уполномоченными сотрудниками, осуществляющими сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, в качестве ключа простой электронной подписи идентификатора, которым является страховой номер индивидуального лицевого счета сотрудника, пароля ключа и иной аутентифицирующей информации (не являющейся паролем), уникальных для каждого сотрудника;
защищенное хранение выданных уполномоченным сотрудникам, осуществляющим сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, ключей простой электронной подписи, обеспечивающее их конфиденциальность и исключающее несанкционированное изменение, добавление и удаление;
сохранение идентификатора уполномоченного сотрудника, осуществляющего сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, и результата его аутентификации в составе данных, содержащих биометрические персональные данные, собранные указанным сотрудником, и иную информацию, указанную в пункте 14 настоящего Порядка.
8. Уполномоченные сотрудники, осуществляющие сбор параметров биометрических персональных данных в целях проведения идентификации гражданина Российской Федерации, обязаны соблюдать конфиденциальность выданных им паролей ключа простой электронной подписи и аутентифицирующей информации (не являющейся паролем). Сотрудники, осуществляющие создание, выдачу и хранение ключей простой электронной подписи, обязаны соблюдать конфиденциальность ключей простой электронной подписи, к которым имеют доступ.
9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать:
Банки осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня с момента их выявления.
2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (Собрание законодательства Российской Федерации, 2012, № 7, ст. 863; 2016, № 26, ст. 4049).
В случае отзыва субъектом персональных данных в соответствии с частью 2 статьи 9 Федерального закона № 152-ФЗ согласия на обработку персональных данных, использование его биометрических персональных данных в целях проведения идентификации не осуществляется.
12. БО изображения лица должны соответствовать следующим требованиям:
цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;
поворот головы должен быть не более 5° от фронтального положения;
наклон головы должен быть не более 5° от фронтального положения;
отклонение головы должно быть не более 8° от фронтального положения;
расстояние между центрами глаз должно составлять не менее 120 пикселей;
при расстоянии между центрами глаз 120 пикселей значение горизонтального размера изображения лица должно составлять не менее 480 пикселей;
при расстоянии между центрами глаз 120 пикселей значение вертикального размера изображения лица должно составлять не менее 640 пикселей;
не допускается перекрытие волосами или посторонними предметами изображение лица по всей ширине от бровей до нижней губы;
на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц не допускается;
выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта (с учетом поведенческих факторов и (или) медицинских заболеваний);
лицо должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и блики;
не допускается использование ретуши и редактирования изображения;
допускается кадрирование изображения;
в случае фотографирования человека в очках не допускается наличие солнцезащитных очков и ярких световых артефактов или отражения вспышки от очков;
13. БО записи голоса должны соответствовать следующим требованиям:
отношение сигнал-шум для звука не менее 15 дБ;
глубина квантования не менее 16 бит;
частота дискретизации не менее 16 кГц;
запись голоса должна быть сохранена в формате RIFF (WAV);
код сжатия: PCM/uncompressed (0x0001)
количество каналов в записи голоса: 1 (моно режим) канал;
не допускается использовать шумоподавление;
на записи должен присутствовать голос одного человека;
запрещено получение БО записи голоса путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования;
для текстозависимого алгоритма распознавания по голосу:
произнесенное субъектом сообщение должно соответствовать последовательности букв и (или) цифр, сгенерированной программным обеспечением информационной системы органа или организации;
запись голоса должна содержать указанную последовательность полностью и не должна прерываться;
при осуществлении записи голоса эмоционально-психологическое состояние и состояние субъекта должно быть нормальным, не возбужденным, без явных признаков заболеваний, препятствующих произнесению сообщения, указанного в абзаце двенадцатом настоящего пункта, или способных нарушить тембр и (или) звучание голоса;
сообщение, указанное в абзаце двенадцатом настоящего пункта, должно быть произнесено субъектом на русском языке.
15. Если в случае прохождения контроля качества установлено соответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, такие образцы, содержащие, в том числе, метку даты, времени и места, передаются органами и организациями в единую биометрическую систему с использованием единой системы межведомственного электронного взаимодействия.
16. В единой биометрической системе переданные биометрические образцы проходят контроль качества с использованием программного обеспечения указанной системы.
В случае если в процессе прохождения контроля качества, осуществляемого в соответствии с абзацем первым настоящего пункта, установлено не соответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, в единой биометрической системе, создание биометрического контрольного шаблона не осуществляется.
17. Хранение биометрических персональных данных, размещенных в единой биометрической системе, в целях идентификации осуществляется в соответствии со статьей 19 Федерального закона № 152-ФЗ в течение не менее чем 50 лет с момента их размещения в указанной системе.
Биометрические персональные данные, собранные в соответствии с настоящим Порядком, размещенные в единой биометрической системе, а также обрабатываемые в информационных системах органов и организаций, используются в целях идентификации не более 3 лет с даты сбора.
По истечении срока, указанного в абзаце втором настоящего пункта, использование биометрических персональных данных, размещенных в единой биометрической системе, в целях идентификации не допускается.
Приложение № 2
к приказу
Министерства цифрового развития,
связи и массовых коммуникаций
Российской Федерации
от 25.06. 2018 № 321
Порядок размещения и обновления биометрических персональных данных в единой биометрической системе
3. Размещение и обновление в единой биометрической системе биометрических персональных данных осуществляются в соответствии с законодательством Российской Федерации в области персональных данных и настоящим Порядком.
4. Размещение и обновление биометрических персональных данных в единой биометрической системе осуществляется органами и организациями с использованием единой системы межведомственного электронного взаимодействия.
6. При размещении и обновлении сведений в единой биометрической системе банки должны осуществлять информирование Банка России о выявленных инцидентах безопасности в соответствии с подпунктом 1 пункта 9 Порядка обработки.
7. Размещение и обновление сведений в единой биометрической системе осуществляется в соответствии с требованиями к фиксированию действий в соответствии с пунктом 1 части 2 статьи 14.1 Федерального закона № 149-ФЗ.
Размещение биометрических персональных данных гражданина Российской Федерации в единой биометрической системе осуществляется при условии, что личность гражданина Российской Федерации удостоверена в соответствии с подпунктом «з» пункта 6.1 Положения.
10. В случае если гражданин Российской Федерации не зарегистрирован в единой системе идентификации и аутентификации, уполномоченный сотрудник после проведения идентификации гражданина Российской Федерации осуществляет с его согласия процедуру регистрации в единой системе идентификации и аутентификации, в соответствии с Положением.
11. Если сведения, необходимые для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, внесены в указанную систему, но процесс регистрации в соответствии с пунктом 9 Порядка не завершен, уполномоченное лицо перед сбором параметров биометрических персональных данных с согласия гражданина Российской Федерации размещает или обновляет в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней, а также устанавливает личность соответствующего гражданина Российской Федерации и вносит в единую систему идентификации и аутентификации сведения о способе установления личности заявителя в соответствии с Положением.
12. При наличии у гражданина Российской Федерации учетной записи в единой системе идентификации и аутентификации, уполномоченный сотрудник осуществляет сбор биометрических персональных данных и размещение их в единой биометрической системе.
13. Размещенные в единой биометрической системе биометрические персональные данные гражданина Российской Федерации используются в целях идентификации гражданина Российской Федерации, в случае завершения регистрации соответствующего гражданина Российской Федерации в единой системе идентификации и аутентификации при условии, что личность гражданина Российской Федерации удостоверена в соответствии с подпунктом «з» пункта 6.1 Положения.
14. Обновление биометрических персональных данных в единой биометрической системе в целях идентификации осуществляется гражданином Российской Федерации добровольно в следующих случаях:
1) по истечении 3 лет с момента их размещения в указанной системе;
2) по инициативе гражданина Российской Федерации.
1 Зарегистрирован Министерством юстиции Российской Федерации 26 апреля 2012 г., регистрационный № 23952.
Приложение № 3
к приказу
Министерства цифрового развития,
связи и массовых коммуникаций
Российской Федерации
от 25.06. 2018 № 321
Требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации
межгосударственном стандарте ГОСТ ISO/IEC 2382-37-2016 «Информационные технологии (ИТ). Словарь. Часть 37. Биометрия», введенном в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 февраля 2017 года № 71-ст. (М., ФГУП «Стандартинформ», 2017);
национальном стандарте Российской Федерации ГОСТ ISO/IEC 19794-1-2015 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2015 года № 1928-ст «О введении в действие межгосударственного стандарта» (М., ФГУП «Стандартинформ», 2016);
национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 06 сентября 2013 года № 987-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2015);
национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 29794-1-2012 «Информационные технологии. Биометрия. Качество биометрических образцов. Часть 1. Структура», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 18 сентября 2012 года № 351-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2013);
национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 882-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).
2. Требования к информационным технологиям и техническим средствам, предназначенным для обработки изображения лица в целях проведения идентификации:
разрешение получаемого изображения: не менее 1280×720 пикселей;
эквивалентное фокусное расстояние должно составлять от 31 до 100 мм при расположении субъекта на расстоянии 0,3-0,5 м от камеры; эквивалентное фокусное расстояние должно составлять от 28 мм до 100 мм от камеры при расположении субъекта на расстоянии 0,51-1,0 м от камеры;
фото-видеосъемка должна проводится при использовании режима автоматической корректировки баланса белого цвета.
б) используемые источники освещения должны создавать в области лица освещенность:
3. Требования к информационным технологиям и техническим средствам, предназначенным для обработки данных голоса в целях проведения идентификации:
а) Для регистрации записи голоса необходимо использовать микрофон со следующими характеристиками:
тип: конденсаторный, без автоматической регулировки усиления;
соотношение сигнал/шум: не менее 58 дБ;
диапазон частот: от 40 до 10000 Гц;
форма диаграммы направленности: всенаправленная, кардиоида, суперкардиоида или гиперкардиоида.
4. Защита от подбора, обеспечиваемая в единой биометрической системе, неподлинных биометрических образцов должна быть в объеме не менее 10 4 попыток на каждый образец.
5. Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», утвержденному приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 882-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).
Обзор документа
С 30 июня 2018 г. вступили в силу нормы законодательства по вопросам применения информационных технологий в целях идентификации граждан. Речь идет в т. ч. о размещении определенных данных в единой биометрической системе.
В связи с этим определен порядок обработки, включая сбор и хранение, параметров биометрических персональных данных. Урегулированы вопросы размещения и обновления последних в единой биометрической системе. Закреплены требования к информационным технологиям и техническим средствам, предназначенным для обработки данных.
Обработке подвергаются данные голоса, изображения лица. Определены качественные характеристики данных. Сбор параметров производится при личном присутствии гражданина уполномоченным сотрудником органа или организации. После проверки в автоматизированном режиме биометрических образцов создается биометрический контрольный шаблон, который будет храниться в системе и использоваться для идентификации.
Сведения хранятся не менее чем 50 лет, но используются в целях идентификации не более 3 лет с даты сбора. Предусмотрено их обновление по истечении указанного срока, а также по инициативе гражданина.
Данные размещаются, если гражданин прошел процедуру регистрации в ЕСИА.