Единый контакт-центр

1414

+7-7172-906-984

Категория

Условие поиска

Государственный орган *

Публичное обсуждение до

С По

Тип

Статус

Дата создания

С По

 


Об утверждении Программы создания Национальной платформы цифровой биометрической идентификации на 2022-2024 годы

Краткое содержание: Об утверждении Программы создания Национальной платформы цифровой биометрической идентификации на 2022-2024 годы
Статус: Архив
Версия проекта:   Версия 2    (  Версия 1  )
Тип НПА: Постановление
Дата создания: 05/03/2022 06:20:09
Публичное обсуждение до: 30/03/2022
Дата запуска онлайн-обсуждения: 04/04/2022 09:00:00
Дата окончания онлайн-обсуждения: 04/04/2022 18:30:00
Приложенные документы:

 

 

 

 

 

 

 

 

 

 

 

 

Об утверждении Программы создания

Национальной платформы цифровой биометрической

идентификации на 2022-2024 годы

 

Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

  1. Утвердить прилагаемую Программу создания Национальной платформы цифровой биометрической идентификации на 2022-2024 годы (далее – Программа).

2.   Министерству внутренних дел Республики Казахстан, Министерству цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, Комитету национальной безопасности Республики Казахстан (по согласованию), Национальному Банку Республики Казахстан (по согласованию) принять меры по реализации Программы.

3. Министерству внутренних дел Республики Казахстан, Комитету национальной безопасности Республики Казахстан (по согласованию), Национальному Банку Республики Казахстан (по согласованию) представлять информацию два раза в год не позднее 1 июля и 1 января следующего за отчетным полугодием о ходе реализации Программы в Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

4.   Контроль за исполнением настоящего постановления возложить на Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

5.   Настоящее постановление вводится в действие со дня его подписания.

 

 

Премьер-Министр

       Республики Казахстан                                                                    А. Смаилов

 

 

 

 

 

 

 

 

 

 

Программа создания

Национальной

платформы цифровой

биометрической

идентификации на

2022–2024 годы

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СОДЕРЖАНИЕ

 

 

1. ПАСПОРТ ПРОГРАММЫ.......................................................................... 4

2. ВВЕДЕНИЕ.................................................................................................... 6

3. ОБЗОР МЕЖДУНАРОДНОГО ОПЫТА................................................... 9

3.1 Принципы разработки национальных систем цифровой идентификации  9

3.2 Классификация моделей реализации национальных систем цифровой идентификации. 10

3.3 Опыт зарубежных стран. 11

3.4 Мировые тренды, используемые для национальных систем цифровой идентификации. 14

4. АНАЛИЗ ТЕКУЩЕЙ СИТУАЦИИ ПО СИСТЕМАМ ЦИФРОВОЙ БИОМЕТРИЧЕСКОЙ ИДЕНТИФИКАЦИИ В КАЗАХСТАНЕ.............. 19

4.1 Обзор существующих инициатив. 19

4.2 Жизненный цикл биометрической идентификации в Казахстане. 21

4.3 Технологическая карта существующих решений. 21

4.4 Области применения биометрических данных. 23

4.5 SWOT-анализ. 23

4.6 Выводы.. 28

5. СОЗДАНИЕ НАЦИОНАЛЬНОЙ ПЛАТФОРМЫ ЦИФРОВОЙ БИОМЕТРИЧЕСКОЙ ИДЕНТИФИКАЦИИ ............................................ 31

5.1 Цели и задачи Платформы.. 31

5.2 Гипотезы по решению выявленных проблем.. 32

5.3 Ожидаемые эффекты от реализации Программы.. 33

6. КОНЦЕПТУАЛЬНАЯ ЦЕЛЕВАЯ АРХИТЕКТУРА ПЛАТФОРМЫ. 36

6.1 Описание компонентов целевой архитектуры.. 37

6.2 Обеспечение безопасности данных. 40

6.3 Планирование реализации целевой архитектуры.. 43

6.4 Задачи для достижения целевой архитектуры.. 44

6.5 Ожидаемые результаты.. 44

6.6 Выводы и формирование перечня предложений по реализации целевой архитектуры.. 44

7. ОПЕРАЦИОННО-ПРАВОВАЯ МОДЕЛЬ РЕГУЛИРОВАНИЯ.......... 47

7.1 Обзор международного опыта правового регулирования. 46

7.2 Анализ текущего законодательства Республики Казахстан. 48

7.3 Анализ проблем, вызовов в законодательстве РК в отношении биометрической идентификации. 49

7.4 Рекомендации и предложения по выработке операционно-правовой модели  50

8. ЦИФРОВАЯ БИОМЕТРИЧЕСКАЯ ИДЕНТИФИКАЦИЯ ДЛЯ ФИНАНСОВОГО РЫНКА............................................................................................................. 68

8.1 Текущая архитектура ЦОИД.. 68

8.2 Предложения по развитию ЦОИД.. 70

9. ПЛАН МЕРОПРИЯТИЙ............................................................................ 79

ГЛОССАРИЙ................................................................................................... 86

ПРИЛОЖЕНИЕ 1........................................................................................... 91

ПРИЛОЖЕНИЕ 2........................................................................................... 98

ПРИЛОЖЕНИЕ 3......................................................................................... 125

 

 

Наименование Программы

1.   ПАСПОРТ ПРОГРАММЫ

 

 

Программа создания Национальной платформы цифровой биометрической идентификации на 2022-2024 годы

Государственный орган, ответственный за разработку Программы

Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан

Государственные органы и организации, ответственные за реализацию Программы

Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, Национальный Банк Республики Казахстан, Министерство внутренних дел Республики Казахстан, Комитет Национальной Безопасности Республики Казахстан

Цель Программы

1. Расширение проникновения цифровых сервисов в масштабе государства и повышение доступности государственных, финансовых и иных видов услуг в полностью цифровом формате

2. Обеспечение оперативного и безопасного обмена и доступа к персональным данным для всех участников процесса цифровой идентификации
3. Повышение безопасности и обеспечение контроля над персональными данными для граждан Республики Казахстан
4. Стимулирование цифрового развития отраслей экономики

Задачи Программы

1. Создание национальной инфраструктуры цифровой идентификации в рамках единого архитектурного подхода

2. Утверждение операционной модели функционирования национальной инфраструктуры цифровой идентификации и распределение ролей между участниками системы

3. Создание эффективной правовой модели функционирования цифровой идентификации в Казахстане

Сроки реализации

2022-2024 годы

Целевые индикаторы

−       Формирование единой архитектуры цифровой идентификации в Республике Казахстан

−       Возможность интерактивного управления согласиями на доступ к персональным данным третьим лицам

−       Доля оказания финансовых услуг в цифровом формате – 80% к 2022 году

−       Доля оказания государственных услуг в цифровом формате - 90% к 2022 году

−       Доступность государственных и коммерческих услуг в цифровом формате – 365 дней в году, 24 часа в сутки
 

 

 

 

 

 

2.   ВВЕДЕНИЕ

Стремительное развитие информационных технологий, распространение электронного взаимодействия и цифровых сервисов во всех сферах современного общества диктуют необходимость создания надежной, безопасной, удобной и универсально доступной системы цифровой идентификации граждан.

 

Цифровая идентификация предлагает людям социальные, гражданские и политические преимущества, от более широкого участия, формализации и прозрачности до лучшего контроля онлайн-данных. Международными экспертами (Всемирный банк, BCG и др.) уделяется особое внимание на необходимость развития цифровых инструментов идентификации как основы цифровой трансформации.

Область применения систем цифровой идентификации в международной практике постоянно расширяется, и в настоящее время включает (но не ограничивается)[1]:

  • обеспечение финансовой инклюзивности, расширение доступа граждан к финансовым услугам и финтех-инновациям;
  • предоставление государственных услуг и поддержки, включая социальные и пенсионные выплаты, услуги в области здравоохранения и образования;
  • трудовая и миграционная политика, включая учет трудоспособного населения, региональных и отраслевых перетоков рабочей силы;
  • сокращение теневого сектора и повышение собираемости налогов;
  • подтверждение и защита прав собственности, других экономических, социальных и гражданских прав;
  • обеспечение правопорядка и национальной безопасности и др.

В целом, сценариев успешного взаимодействия физических лиц и учреждений посредством правильно внедрённой экосистемы цифровой идентификации множество. Согласно исследованию McKinsey[2] отдельные страны могут получить экономическую ценность, эквивалентную 3–13% от ВВП к 2030 году от реализации программ цифровой идентификации. В странах с развивающейся экономикой одна только базовая цифровая идентификация (которая обеспечивает верификацию и аутентификацию) может раскрыть 50‑70% всего экономического потенциала при коэффициенте внедрения около 70%. Зрелой экономике, где многие процессы уже являются цифровыми, требуется продвинутая цифровая идентификация (с расширенным хранением и обменом данными).

Таким образом, тщательно разработанные и масштабируемые системы цифровой идентификации могут создать значительную экономическую ценность, особенно в странах с развивающейся экономикой, с преимуществами как для отдельных лиц, так и для организаций[3].

Пандемия COVID-19 только подтвердила ключевую роль цифровой идентификации в режиме самоизоляции и важность наличия готовой инфраструктуры, позволяющей удаленно подтверждать личность граждан и удаленно получать доступ к услугам в цифровом виде.

Ряд стран, использующие системы удаленной идентификации получили преимущество во время пандемии как в экономическом, так и социальном плане. Так, например, в Эстонии, где 99% государственных услуг доступны онлайн, граждане получали электронные медицинские рецепты, платили налоги, идентифицировали личность при входе в онлайн-банкинг и другие интернет-сервисы, открывали бизнес, не выходя из дома. В Португалии[4] благодаря Цифровому мобильному ключу (Chave Movel Digital), обеспечивающей безопасную аутентификацию на различных общедоступных и частных веб-сайтах, требуя только мобильного телефона, 4-значного PIN-кода и OTP или биометрического распознавания, во время вспышек COVID-19 банки и операторы связи смогли идентифицировать и регистрировать новых клиентов, а также аутентифицировать существующих. В запущенной в 2016 году системе идентификации Италии, во время вспышки COVID-19 резко возросло число запросов на процедуры аутентификации.

Для Казахстана пандемия положительно повлияла и ускорила проектирование и разработку инструментов цифровой идентификации.

Так, в республике с целью удовлетворения растущего спроса на онлайн-услуги и транзакции в государственном и частном секторах в кратчайшие сроки были презентованы новые цифровые решения по удаленной идентификации личности - «Центр обмена идентификационными данными» Национального Банка РК, а также Digital ID Министерства цифрового развития, инноваций и аэрокосмической промышленности РК.

Сервис биометрической идентификации «Digital ID» на фоне пандемии идентифицировал граждан удаленно при выпуске электронной цифровой подписи, обеспечил прием онлайн-заявлений и выдачу физических пропусков в аудитории во время проведения Единого национального тестирования. Для участников финансового рынка ЦОИД предоставил возможность дистанционно идентифицировать пользователей и предоставлять услуги кредитования, открытия счетов и депозитов, а также выпуска платежных карточек.

Вместе с тем, текущая экосистема цифровой и биометрической идентификации в Республике Казахстан требует дальнейшего совершенствования технологических и методологических подходов для обеспечения роста доступности цифровых услуг для населения и бизнеса, повышения эффективности процессов цифровой идентификации и безопасности персональных данных населения.

Предлагаемая Национальная платформа цифровой биометрической идентификации станет основой для дальнейшего безопасного, эффективного, удобного для граждан и бизнеса внедрения цифровых технологий в Казахстане, обеспечит возможность управления собственными персональными данными, конкурентное развитие цифровых услуг, будет способствовать достижению целей экономического и социального развития и поддержанию цифрового лидерства Казахстана в регионе.

Настоящая Программа описывает принципы функционирования, порядок и временные этапы создания единой Национальной платформы цифровой биометрической идентификации граждан, распределение компетенций и ответственности, а также порядок взаимодействия государственных органов Республики Казахстан в целях создания и обеспечения эффективной работы данной платформы.


          

 

1.        

           Используемые в разных странах системы цифровой идентификации могут значительно различаться по охвату населения, функционалу и задачам, дизайну, организационной структуре и ролям участвующих сторон и т.д. Вместе с тем, исследующие данную тематику эксперты международных организаций выделяют ряд общих принципов и лучших практик, позволяющих осуществить успешное практическое внедрение цифровых идентификационных систем.

3.   ОБЗОР МЕЖДУНАРОДНОГО ОПЫТА

 

 

3.1  Принципы разработки национальных систем цифровой идентификации
 

 Всемирный Банк суммировал десять основных принципов, одобренных широким экспертным сообществом, международными организациями и ассоциациями для построения эффективной системы цифровой идентификации.

           Данные десять нижеперечисленных принципов объединены вокруг трех ключевых компонентов: инклюзивность, дизайн и управление.

                                                    

Таблица 1. Принципы создания систем цифровой идентификации
 

Инклюзивность: равное участие и доступ

Обеспечение равного доступа к системе для всех индивидов

Устранение барьеров к доступу и использованию системы, и устранение неравных условий в доступности информации и технологий

Дизайн: надежный, безопасный, адаптируемый и устойчивый

 

Установление надежной – уникальной, безопасной и точной – идентичности

Создание интероперабельной и адаптируемой к нуждам различных пользователей платформы

Использование открытых стандартов и обеспечение вендорной и технологической нейтральности

Встроенные в дизайн системы защита личных данных и пользовательский контроль

Планирование финансовой и операционной устойчивости системы без снижения ее доступности

Управление: создание доверия через защиту данных и прав пользователей.

Гарантирование защиты данных, безопасности и прав пользователей в рамках всеобъемлющей нормативной и регуляторной базы

Установление четких институциональных мандатов и ответственности

Обеспечение соблюдения нормативного регулирования и принципа доверия через эффективный надзор

 

 

Принципы являются релевантными для текущей ситуации в Казахстане и будут использованы для целей создания Национальной платформы цифровой биометрической идентификации.

 

3.2  Классификация моделей реализации национальных систем цифровой идентификации


           Помимо набора основных принципов создания эффективной системы цифровой идентификации, все разнообразие существующих страновых систем эксперты международных организаций (Всемирного Банка, Международного союза электросвязи, Всемирного экономического форума) классифицируют по трем основным моделям организации цифровой идентификации на национальном уровне.

При централизованной модели существует одна организация, которая является единственным провайдером юридически признаваемой цифровой идентификации. В некоторых случаях это может быть та же организация, которая обеспечивает работу фундаментальной системы документирования населения, на которой основана цифровая идентификация. В других случаях это может быть организация, которая использует в качестве источников подтверждения идентичности множество других систем государственного документирования.

В рамках федерализованной модели несколько организаций-провайдеров обеспечивают юридически признаваемую цифровую идентификацию, обеспечивая координацию или аккредитацию через централизованную платформу или отдельную организацию, выступающую посредником. В некоторых случаях эти провайдеры являются государственными и/или частными организациями, которые используют фундаментальную систему документирования населения в качестве единственного источника подтверждения идентичности. В других случаях провайдеры используют множество государственных источников данных и систем документирования через организацию-посредника.

Открытая рыночная модель допускает множество регулируемых организаций в качестве провайдеров юридически признаваемой цифровой идентификации, использующих различные государственные источники данных и/или системы документирования. В отличие от федерализованной модели, эти провайдеры оперируют на основе прямых двусторонних договоренностей с отдельными государственными организациями, а не через централизованную платформу или посредника.

Кроме того, развитие технологий распределенного реестра предоставляет возможность для создания децентрализованной модели цифровой идентификации, в которых доступ к персональным данным и биометрическим атрибутам, хранимых в различных базах данных, предоставляется пользователем самостоятельно.

Оптимальной для реализации в условиях Казахстана с учетом существующей инфраструктуры и инициатив, уровня зрелости доступных технологий и интересов национальной безопасности представляется федерализованная модель с несколькими провайдерами, объединённых в единую экосистему биометрической идентификации, использующую в качестве источников данных государственные информационные ресурсы, пополняемые уполномоченными государственными органами.
           Такая модель, в рамках которой несколько провайдеров юридически признаваемой цифровой биометрической идентификации взаимодействуют на основе четкой регламентации их ролей через общую платформу и единый источник достоверных данных, обеспечит эффективную координацию имеющихся инициатив в области цифровой биометрической идентификации различных государственных органов с использованием существующей инфраструктуры и без существенных дополнительных финансовых и временных издержек. 

 

3.3            Опыт зарубежных стран   
 

В качестве важного и релевантного для Казахстана тренда из международной практики следует отметить стратегический курс разных государств на интеграцию цифрового профиля граждан с финансовой инфраструктурой и национальными платежными системами.

Объединение цифрового и платежного профиля индивида обеспечивает долгосрочные выгоды в результате развития цифровой финансовой и платежной инфраструктуры, повышения разнообразия и доступности финансовых услуг, возможности использования биометрии для совершения платежей, продвижения на пути к созданию безналичной экономики.

Так, в функционал государственного цифрового сервиса Aadhaar, которым охвачено почти 95% населения Индии, входит цифровая идентификация и цифровые документы, возможность совершения электронных платежей, сбор и хранение биометрических данных в финансовых институтах. Система охватывает более 1 млрд. человек, тем самым является крупнейшей системой биометрической идентификации.

В настоящее время аутентификация в системе осуществляется с использованием уникального идентификатора и биометрических данных (обычно отпечатков пальцев) с помощью устройства POS (торговой точки). Банки и операторы платежных сетей внедрили аутентификацию Aadhaar в микро-банкоматы, чтобы предоставлять банковские услуги без отделений в любой точке страны в режиме реального времени, масштабируемым и совместимым образом. Согласно Отчету, Secure Identity Alliance & the one point team на 2020 год из 95% взрослого населения индекс удовлетворенности программой составил 92%.

Другим примером одним из наиболее интегрированных в цифровую среду обществ в мире является Эстония. 99% государственных услуг в Эстонии доступны онлайн (включая I-голосование 44% пользователей на последних выборах). Люди могут получить доступ к цифровым услугам благодаря трем совместимым решениям для цифровой идентификации:

  • Удостоверение личности (ID-Kaart) на основе смарт-карт (Национальное удостоверение личности и удостоверение личности резидента).
  • Мобильный идентификатор, предоставляемый эстонскими операторами мобильной связи и правительством. Эта система позволяет осуществлять онлайн - транзакции без использования компьютера или считывателя карт.
  • Смарт-идентификатор, предоставляемый частным сектором, также является мобильным идентификатором на основе приложения.

Активно используемая в Сингапуре система National Digital Identity включает в себя единую биометрическую систему, цифровую идентификацию и цифровое хранение документов, а также сбор биометрических данных в финансовых институтах. Проект объединяет различные цифровые инструменты для обеспечения большего удобства и безопасности транзакций для граждан и бизнеса.

В ЕС инициирован проект единого цифрового кошелька для 27 стран, который обеспечит мультимодальную цифровую идентификацию, цифровое хранение документов и платежный сервис для оплаты различных услуг. С помощью кошелька граждане смогут подтвердить свою личность, если это необходимо для доступа к услугам в Интернете, для обмена цифровыми документами или просто для подтверждения определенного личного атрибута, такого как возраст, без раскрытия своей личности или других личных данных. Граждане всегда будут иметь полный контроль над данными, которыми они делятся. Помимо доступа к публичным сервисам, предусмотрен доступ и к частным онлайн-сервисам в ЕС, в частности к тем, которые требуют строгой аутентификации пользователя. Примерами этого могут быть доступ к банковскому счету или подача заявки на ссуду, подача налоговых деклараций, поступление в университет в стране или за рубежом и многое другое.

Реализуемый проект имеет множество преимуществ для граждан, в том числе:

  • право каждого гражданина ЕС иметь цифровую идентификацию, которая признается в любой точке ЕС;
  • простой и безопасный способ контролировать объем информации путем предоставления доступа;
  • доступ к широкому спектру услуг;
  • профиль будет доступен в приложениях для мобильных телефонов и других устройствах.

В Швеции реализован проект BankID – система электронной идентификации клиентов, которая позволяет банкам, компаниям и государственным учреждениям идентифицировать клиента, а также заключать удаленно (подписывать) договора через Интернет. Система была создана для обслуживания клиентов банков через системы дистанционного банковского обслуживания, и в дальнейшем ею стали пользоваться государственные органы и компании. Таким образом, в настоящее время BankID это электронный идентификационный документ наряду с паспортом и водительскими правами, который используется не только как инструмент идентификации, но и как электронная цифровая подпись.

Verified.Me – это платформа аутентификации в Канаде для удобного подключения людей к важнейшим онлайн-услугам с использованием банковских учетных данных, которые они уже имеют. Verified.Me настроена по принципу «Triple Blind», гарантируя, что ни одна из сторон не получает конфиденциальную информацию пользователя. Учетные данные (содержащие атрибуты) шифруются от начала до конца с помощью сгенерированных вручную криптографических ключей, которые передаются независимо от передачи учетных данных. Блокчейн также является ключевым фактором в обеспечении доверия, конфиденциальности и безопасности.

В Российской Федерации в 2018 году создана Единая биометрическая система, с использованием которой осуществляется проведение биометрической идентификации физических лиц, а также запущен механизм удаленной идентификации. Сейчас к системе подключены банки и страховые компании. Однако в 2020 году в Законодательство РФ внесены изменения и ведутся работы по расширению спектра оказания услуг посредством биометрической идентификации. Дополнительно ведутся работы по подготовке наполнения базы биометрических данных через приложение «Биометрия» для мобильного телефона, смартфона или планшетного компьютера с 1 октября 2021 года. Для граждан, которые будут пользоваться данным приложением будет доступен широкий спектр услуг: дистанционный банковский сервис, онлайн-сдача сессии в высших учебных заведениях, оплата проезда, проход на спортивные объекты, удаленное заключение договоров и др.

 

 

 

Рис. 1. Обзор национальных инициатив по инфраструктурам цифровой идентификации[5]

 

 

 

3.4            Мировые тренды, используемые для национальных систем цифровой идентификации

 

Биометрическая идентификация — это процесс предоставления пользователем системы своего уникального биометрического атрибута и процесс сравнения его со всей базой имеющихся данных. Биометрические системы контроля доступа удобны для пользователей тем, что носители информации находятся всегда при них, не могут быть утеряны либо физически украдены.

Для идентификации могут быть использованы различные атрибуты, которые можно разделить на 2 группы – статические и динамические.                Статические биометрические атрибуты основываются на физиологических признаках человека, присутствующих на протяжении всей жизни. К ним относят:    

  • отпечатки пальцев;
  • лицо;
  • радужная оболочка глаза;
  • геометрия руки;
  • термограмма лица;
  • ДНК;
  • и другие (акустические характеристики уха, рисунок вен и т. д.).

В свою очередь, динамические атрибуты берут за основу поведенческие характеристики людей, а именно подсознательные движения в процессе повторения какого-либо обыденного действия: почерк, голос, походка.

           Различные атрибуты имеют различную степень надежности, безопасности, уровни коэффициентов ложного пропуска и ложного отказа, а также различные технические показатели.

В настоящее время десятки стран внедряют цифровую идентификацию на национальном уровне. На основании международного опыта можно выделить перечень технологических решений, которые в перспективе позволят выйти на новый уровень по использованию биометрической идентификации:

  1. Мультимодальные технологии биометрической идентификации - являются одним из самых надежных способов аутентификации. Комбинированные системы идентификации, использующие несколько биометрических характеристик, позволяют удовлетворить самые строгие требования к надежности и безопасности систем идентификации и аутентификации.

Несмотря на то, что отдельные сочетания используемых биометрических атрибутов могут обеспечить высокий уровень надежности и безопасности, с точки зрения практической имплементации также необходимо учитывать скорость обработки и сравнения атрибутов, стоимость и практичность устройств считывания, и другие.         В следующей таблице отражен ряд национальных инициатив цифровой идентификации, использующих различные биометрические параметры. Следует также отметить значительный рост количества коммерческих инициатив в сфере биометрической идентификации, в том числе с использованием распределенных реестров для создания так называемых «юзерцентричных» (управляемых пользователем) систем цифровой идентификации. 
 

Таблица 2. Обзор национальных биометрических систем в мире [6]

 

Страна

Год запуска

Цель/сферы использования

Атрибуты

Обязательность

Южная Африка

2018

банковские услуги; социальные услуги

образцы отпечатков пальцев, распознавание лиц, радужки глаза

Обязательна

Индия

2009

государственные субсидии; банковские услуги; оплата налогов; запись детей в школу и т.д.

шаблоны отпечатков пальцев, шаблоны радужки, фотография

Обязательна

Таиланд

2019

банковские услуги; повышение цифровой безопасности; упрощение онлайн-транзакций; расширение доступа к банковским счетам и кредитам; предоставление банкам возможности упрощенной процедуры e-KYC («знай своего клиента»)

распознавание лиц

Не обязательна

Сингапур

2020

государственные услуги (регистрация подоходных налогов, оплата штрафов); банковские услуги (открытие счетов, управление транзакциями)

распознавание лиц, голосовых характеристик, радужки глаза и отпечатков пальцев

Пока добровольна, но планируется обязательность

 

 

Кроме считывания, хранения и сравнения с биометрическими атрибутами для систем идентификации чрезвычайно важен процесс дедупликации, обеспечивающий уникальность каждого пользователя в системе и однозначность принадлежности конкретного биометрического атрибута к конкретному пользователю.

Все записи о гражданине, хранимые в государственных базах данных и иных источниках, представляют собой так называемый цифровой профиль гражданина. Системы цифровой идентификации могут обеспечить управление доступа гражданином к своему цифровому профилю, включая управление согласиями на предоставление информации третьим лицам.

  1. KYC (англ. Know your customer) становится неотъемлемой частью финансового сектора во многих странах. «Знай своего клиента» - это процесс проверки клиента, проводимый до начала предоставления услуг. Этот процесс включает в себя идентификацию личности, проверку документов, а также оценку всех рисков потенциального клиента.

Благодаря KYC происходит постоянный мониторинг, который обеспечивает актуальность данных верификации и позволяет системе тщательно анализировать операции, вызывающие подозрения. Процедура позволяет отслеживать крупные транзакции в страны, причастные к терроризму, по данным правительства США. Лидерами отрасли являются такие крупные компании как Thomson Reuters, Tradle, KYC-chain, IdentityMind, Accurate, Jumio, Sum&Substance, Checkr, Trunomi.

Так, Банк Таиланда разрешил шести коммерческим банкам использовать технологию распознавания лиц с помощью электронного Know Your Customer для проверки личности новых клиентов в рамках регулятивной песочницы при открытии депозитных счетов онлайн. Банкам разрешено проверять личность клиентов, пользующихся финансовыми услугами других банков, с помощью платформы National Digital ID (NDID), что устранило необходимость заполнения дублирующей информации.

По данным исследований эффекты от внедрения e-KYC:

  • Сокращение времени, затрачиваемого на открытие депозитного счета, на 83%;
  • Сокращение неудачных сделок по привлечению клиентов;
  • Привлечение новых клиентов, ранее избегавших бюрократию и сложные процессы во время регистрации в банковских системах;
  • Повышение операционной эффективности работников банка, позволяющее им не менять фокус от своей основной работы на регистрацию пользователей.
  1. Принцип «открытой архитектуры» подразумевает предоставление клиенту комплексного решения, которое включает в себя не только инструменты конкретной компании, в которую он обратился, но и сторонних подрядных компаний – партнеров. Открытая архитектура гарантирует, что клиент может удовлетворить все свои финансовые потребности и что финансовая организация может действовать в интересах каждого клиента, рекомендуя финансовые продукты, наиболее подходящие для него, даже если они не являются собственными продуктами (Примеры использования: Великобритания (Open Banking Standard), Австралия, Италия).

Концепция Open Banking, движимая развитием правовых норм, технологий и конкуренции, призывает банки использовать интерфейсы API, чтобы предоставлять часть информации о клиентах сторонним агентам за пределами банковской сферы. Инновационная концепция дает банкам возможность расширять свои экосистемы и сферу деятельности.

В совокупности с эффективной системой сбора и обновления биометрических атрибутов граждан, инфраструктуры цифровой идентификации и цифрового профиля станут основой для эффективного перехода к открытой цифровой экономике.

  1. Блокчейн. Объединив биометрию и блокчейн, технологические лидеры могут создать решения для сохранения личности пользователя в защищенной распределенной системе учета, добиваясь полного контроля со стороны человека. Например, биометрические данные, такие как сердцебиение и голосовые сигналы, могут помешать людям украсть чью-либо личность в финансовом секторе. Внедрение решений на основе блокчейна может упростить государственные и частные транзакции и обеспечить «национальную идентичность» каждому гражданину и иностранцу.

KSI Blockchain - технология, выбранная для эстонских систем, также используемая НАТО и Министерством обороны США. Данные не покидают систему, только хэш отправляется в службу блокчейна. Поскольку никакие данные не хранятся на KSI Blockchain, он может масштабироваться для обеспечения неизменности для петабайтов данных каждую секунду.

Выделенные эффекты от внедрения KSI Blockchain:

  • Повышение доверия населения государственным органам;
  • Повышение способности обеспечить целостность правительственных данных;
  • Повышение способности проверять целостность правительственных данных независимо от их локальной базы данных.
 

 

4.1 

Обзор существующих инициатив

 

Базовым элементом систем цифровой идентификации является сбор, хранение и обработка персональных биометрических данных – набора физических и поведенческих характеристик (атрибутов, модальностей), уникальных для каждого индивида, таких как лицо, радужка глаза, голос, отпечатки пальцев, походка и др.

 

Рис. 2. Составляющие цифровых идентификационных систем[7]

 

 

 

В Казахстане в настоящее время существует несколько систем сбора, хранения и обработки биометрических данных, работа которых обеспечивается рядом государственных органов в рамках собственных компетенций и выполнения ведомственных задач: 
 

  1. Министерство внутренних дел Республики Казахстан.

Обеспечивает функционирование системы документирования населения, осуществляя сбор установочных данных и фотоизображений в рамках процесса документирования в ЦОНах. Также проводятся работы в части организации процесса дактилоскопической регистрации через автоматизированную информационную систему «Биометрическая идентификация личности». Сбор данных будет осуществляться в рамках Закона Республики Казахстан от 30 декабря 2016 года № 40-VІ ЗРК «О дактилоскопической и геномной регистрации».

 

  1. Комитет национальной безопасности Республики Казахстан.

 В рамках единой информационной системы «Беркут» будет осуществляться сбор биометрических данных нерезидентов при пересечении государственной границы, а также сбор дактилоскопических данных в процессе пограничного контроля. Сбор данных будет осуществляться в рамках Закона Республики Казахстан от 30 декабря 2016 года № 40-VІ ЗРК «О дактилоскопической и геномной регистрации».

 

  1.  Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.  

Проект Digital ID позволяет получать услугу по выпуску электронной цифровой подписи с помощью удаленной идентификации личности. Регистрация в сервисе происходит полностью в онлайн формате. Для регистрации используется двухфакторная идентификация посредством OTP и биометрической идентификации (liveness + photo matching). Статистика показывает около 5 миллионов зарегистрированных пользователей в системе. На сегодняшний день в рамках развития проекта МЦРИАП реализует внедрение национальной системы цифрового профиля гражданина Digital ID, который предоставит гражданам безопасный доступ к государственным услугам, в том числе, осуществляя сбор данных посредством добровольного предоставления данных гражданами в ЦОНах.

 

  1. Национальный Банк Республики Казахстан.

Реализован сервис удаленной биометрической идентификации для получения финансовых услуг через собственный Центр обмена идентификационными данными (ЦОИД). На основании полученного согласия клиента на сбор, обработку, хранение и представление, в том числе при необходимости третьим лицам, его персональных данных, подтвержденного посредством идентификационного средства, банки проводят с клиентом сеанс видеоконференции либо использует технологию выявления движения клиента. Содержательная часть сеанса видеоконференции (перечень контрольных вопросов при их наличии), а также перечень и объемы услуг, оказываемых банками при удаленной идентификации клиентов, устанавливаются банками самостоятельно.

           Помимо вышеуказанных решений по биометрической идентификации ряд ведущих частных финансовых организаций поддерживают собственные базы биометрических данных клиентов, на основе которых предоставляют сервисы идентификации и аутентификации для доступа к собственным услугам.

 

4.2             Жизненный цикл биометрической идентификации в Казахстане

 

В любой системе идентификации процесс установления личности человека и последующего использования этой информации включает в себя несколько этапов, называемых «жизненным циклом идентификации».

Жизненный цикл включает в себя следующие этапы:

  • Регистрация (подтверждение личности);
  • Управление учетными данными;
  • Аутентификация;
  • Управление идентификацией.
  1. Этап регистрации начинается со сбора и записи предоставленной информации от пользователя (согласие на сбор персональной информации, документы, удостоверяющие личность, фото) при обращении в отделы НАО «Государственная корпорация «Правительство для граждан» или подразделения Комитета миграционной службы МВД РК. После чего проводится процесс валидации и верификации пользователя на основе имеющихся данных в информационных системах МВД РК.
  2. После успешной регистрации, системы МВД РК направляют данные в ГБД ФЛ МЮ РК. Пользователю выдается изготовленный документ, удостоверяющий личность.
  3. Как только человек зарегистрирован, он может пройти аутентификацию или «подтвердить» свою личность, когда это необходимо для доступа к соответствующим услугам. Процесс аутентификации может включать один или несколько факторов, т. е. учетные данные для идентификации и/или средства аутентификации. Например, люди могут использовать имя пользователя и PIN-код для входа на портал электронного правительства или использовать свое фотоизображение для подтверждения своей личности. Таким образом, в настоящее время, при обращении за государственными услугами – система Digital ID, финансовыми услугами – ЦОИД валидируют пользователя путем сличения фотоизображения с ГБД ФЛ МЮ РК.
  4. На протяжении всего жизненного цикла, в рамках управления данными, потребители могут обращаться в уполномоченный орган для пополнения, обновления записей в рамках соответствующих государственных услуг.

 

4.3            Технологическая карта существующих решений

 

Представленная технологическая карта описывает взаимодействие каждой системы начиная от клиента заканчивая базами данных государственных органов.

  1. Клиенты - финансовые, платежные, микрофинансовые, страховые организации, брокеры и дилеры обращаются через интернет на платформу ЦОИД, отправляя данные: ИИН, фотоизображение, мобильный номер пользователя. Далее ЦОИД, по ИИН направляет в ГБД ФЛ (посредством ШЭП) запрос на получение фотоизображения физического. Далее ГБД ФЛ выдает изображение лица. На платформе ЦОИД происходит сличение лиц и результаты сличения и данных отправляются клиенту. Следует отметить, что сличение производится в контуре ЦОИД, фотоизображения физических лиц, полученные из ГБД ФЛ, финансовым организациям не передаются.
  2. Клиенты - граждане, коммерческие организации, организации образования, кадровые службы коммерческих организаций обращаются через интернет на платформу Digital ID, отправляя данные ИИН, фотоизображение, мобильный номер пользователя. Далее Digital ID запрашивает по ИИН изображение лица посредством ШЭП из ГБД ФЛ, ГБД ФЛ выдает изображение лица. На платформе Digital ID происходит сличение лиц и результаты сличения и данных отправляются клиенту. Дополнительно Digital ID обращается в системы БМГ, НУЦ в зависимости от цели услуги. В перспективе Digital ID планирует дополнить модальность и производить сличение с помощью радужки глаза.
  3. Клиенты - подразделения документирования населения работают с ведомственной информационной системой РП ДРН, где содержатся первичные записи о гражданах РК, первичные данные о нерезидентах РК заполняются через ИС МП. Далее, по завершению процедур оказания государственных услуг, записи о физических лица с ИИН направляются в ГБД ФЛ. В соответствии с Законом Республики Казахстан от 30 декабря 2016 года № 40-VІ ЗРК «О дактилоскопической и геномной регистрации», с 2023 года АИС БИЛ будет наполняться биометрическими данными (отпечатки пальцев) резидентов и нерезидентов РК в рамках процессов выдачи документов, удостоверяющих личность, и учета иностранцев и лиц без гражданства.
  4. Клиенты – подразделения Пограничной службы Комитета национальной безопасности ведут учет лиц, проходящих через государственную границу в ЕИС Беркут. В ЕИС Беркут проводятся необходимые проверочные процедуры. В соответствии с Законом Республики Казахстан от 30 декабря 2016 года № 40-VІ ЗРК «О дактилоскопической и геномной регистрации», с 2023 года Пограничной службой будет осуществляться сбор биометрических данных (отпечатки пальцев) лиц, пересекающих государственную границу Республики Казахстан.

 

 

 

Рис. 3. Технологическая карта текущей ситуации

 

 

 

4.4             Области применения биометрических данных

 

Таким образом, в настоящее время, сбор и обработка биометрической информации осуществляется в следующих случаях:

  • Документирование населения (выдача документов, удостоверяющих личность);
  • Осуществление миграционного контроля;
  • Образование в части удаленной сдачи экзаменов, а также идентификации личности при приеме документов и пропуска в экзаменационные залы;
  • Оказание финансовых услуг в части открытия банковских счетов, получения карточек, выдачи кредита;
  • Оказание государственных услуг в части получения удаленно электронной цифровой подписи, а также возможности авторизации на портале электронных услуг.

 

4.5             SWOT-анализ

 

Проведенный SWOT-анализ в рамках имеющихся инициатив показал следующее:

  1. Министерство внутренних дел

 

Сильные стороны:

Слабые стороны:

  • Эффективная точная и быстрая система биометрического поиска
  • Ведущая мировая технология (занимает первое место в отрасли)

 

  • ИТ-инфраструктура частично не соответствует требованиям (медленные телекоммуникационные сети)
  • Региональные отделения МВД не полностью оснащены дактилоскопическими сканерами.
  • Бюджетные ограничения

Возможности:

  • расширение мультимодальности + распознавание радужной оболочки глаза
  • интеграция с интерполом
 

 

  1. Комитет Национальной безопасности РК

 

Сильные стороны:

Слабые стороны:

  • Мультимодальность системы
  • Архитектура микросервисов
  • Быстрая скорость обработки информации
  • Высокий уровень квалификации разработчиков поставщиков и интеграторов
  • Широкий ассортимент сканеров
  • Государственная поддержка
  • Строгие государственные бюджетные ограничения
  • Высокий уровень бюрократии
  • Нехватка аппаратных средств
  • Отсутствие подключения к Интернету в удаленных пограничных пунктах

Возможности:

  • Модернизация аппаратного и программного обеспечения
  • Интеграция с базами данных третьих сторон
 

 

  1. Министерство цифрового развития, инноваций и аэрокосмической промышленности

 

Сильные стороны:

Слабые стороны:

  • Быстрый и надежный алгоритм сопоставления лиц
  • Эффективное определение «оживленности» лица
  • Хорошее понимание инфраструктуры
  • Доступ к базе данных паспортов для составления портрета лица
  • Большая база клиентов (граждан)
  • Готовность к улучшению сервиса
  • Использование одной биометрической модальности одного поставщика
  • Требование оборудования и сетевого подключения достаточно хорошего качества для удаленного доступа
  • Недостаточный уровень поддержки граждан, и недовольство граждан из-за этого
  • Незрелая бизнес-модель
  • Отсутствие доступности решения из-за зависимости от других сервисов
  • Отсутствие контроля за тем, как клиенты выполняют требования

Возможности:

Угрозы:

  • Добавление других биометрических модальностей: национальный идентификатор и отпечатки пальцев на начальном этапе
  • Внедрение подхода с участием нескольких поставщиков для биометрического решения
  • Распространение решения по обнаружению оживленности лица на всю экосистему
  • Прекращение обслуживания в случае блокировки поставщика
  • Мошенничество: идентификация по лицу и по видео не подходит для крупномасштабных транзакций;
  • Новое законодательство по работе с персональными и биометрическими данными, которое может усложнить работу над решением
 

 

  1. Национальный Банк Республики Казахстан

 

Сильные стороны:

Слабые стороны:

  • Четкая и эффективная архитектура решения
  • Сильная финансовая модель
  • Мультивендорность платформы
  • Готовность к совершенствованию услуг
  • Доступ к государственным базам данных
  • Ведущие мировые технологии
  • Наличие защищенных каналов связи с участниками
  • Быстрая скорость обработки информации
  • Наличие только одной биометрической модальности
  • Отсутствие контроля за тем, как финансовые организации выполняют требования Национального банка
  • Отсутствие подключения к Интернету в отдаленных районах

Возможности:

Угрозы:

  • Модернизация аппаратного и программного обеспечения
  • Интеграция с базами данных третьих сторон
  • Добавление других биометрических модальностей: национальный идентификатор и отпечатки пальцев на начальном этапе.
  • Вероятность возникновения случаев мошенничества из-за отсутствия надлежащего видеоанализа
  • Недоступность системы при сбоях на стороне АО «НИТ».
 

 

На основании анализа каждого объекта технологических решений сформирован общий анализ текущей ситуации по процессу биометрической идентификации:
 

 

 

Сильные стороны     
 

Законодательство:

  • Регулированы процессы работ с персональными данными (в том числе право на уничтожение биометрических данных, хранящихся для получения госуслуг) согласно ЗРК «О персональных данных и их защите»;
  • Определены уполномоченные органы ГО, собирающие и хранящие персональные данные по различным направлениям (правоохранительная деятельность, государственные услуги, финансовый сектор).

Организационная структура:

  • Пять государственных органов – собственники базы (МВД, КНБ, МЦРИАП, НБ, МЮ);
  • Коммерческие организации – операторы базы;
  • Сбор данных на текущий момент покрывает основное активное население Республики Казахстан.

Охват применения:

  • Получатели государственных услуг;
  • Клиенты банковского сектора и платежных систем (от 6 лет и старше);
  • Граждане, выезжающие за границу (все население РК).

Безопасность:

  • Прохождение испытаний на соответствие требованиям информационной безопасности согласно Закона Республики Казахстан «Об информатизации» от 24 ноября 2015 года №418-V;
  • Все базы данных находятся в единой транспортной среде государственных органов;
  • Распределенное хранение персональных данных.

 

Слабые стороны       
 

Законодательство:

  • Децентрализованное законодательное регулирование по вопросам сбора, хранения и обработки биометрических и персональных данных;
  • Отсутствует методология по разделению верификации/ идентификации, разделению ответственности за неправильно проведенную верификацию, идентификацию;
  • Отсутствует понятие «владельца данных»;
  • Отсутствуют требования/стандарты к форматам биометрических данных;
  • Технически не реализованы возможности, регулированные в ЗРК (право на уничтожение, просмотр запрошенных/предоставленных персональных данных).

          

 

 

Организационная структура:

  • Не выстроены взаимодействия между участниками, не ясны роли участников;
  • Жизненный цикл полностью автоматизирован только этапом регистрации;
  • Отсутствует описание форматов подключения для идентификации/верификации с коммерческими организациями (за исключением ЦОИД);

           Безопасность:

  • Хранение данных в различных системах и государственных базах данных, в связи с чем возможно расхождение сведений.
     

Возможности
 

Законодательство:

  • Внесение изменений в НПА, с разделением назначения использования данных в целях централизации основных понятий и закрепления всех уполномоченных органов, работающих с цифровизацией данных;
  • Использование стандартных решений либо централизованной платформы – система управление доступами к персональным данным, система отчетности использования данных;
  • Разработка требований/стандартов к форматам биометрических данных;

           Организационная структура:

  • Уполномоченные государственные органы регулируют все основные отрасли экономики.

 

Угрозы
 

Законодательство:

  • Не реализованы нормы правового законодательства на уничтожение данных и на просмотр данных, запрошенных третьими лицами;
  • Отказ в верификации биометрических данных в виду хранения различных модальностей и назначения использования данных;

 Организационная структура:

  • Отсутствует ясность в разработке сбалансированной бизнес-модели, стоимости запросов на верификацию биометрических данных;
  • Невозможность определения достоверных данных, ввиду отсутствия взаимодействия.

Безопасность:

  • Нарушение целостности биометрических данных, их подмена, удаление, компрометация, а также недостоверность;
  • Социальные волнения со стороны части населения из-за опасения возможности тотального контроля.

 

4.6             Выводы

 

По результатам обследования инициативы и существующие решения по биометрической идентификации полностью соответствуют только трем принципам Всемирного банка из десяти, а именно:

  • Обеспечение равного доступа к системе для всех индивидов;
  • Устранение барьеров к доступу и использованию системы, и устранение неравных условий в доступности информации и технологий;
  • Создание надежной - уникальной, безопасной и точной идентичности.

Помимо этого, проведенное обследование позволило определить ряд проблемных вопросов, решение которых послужит основой для разработки Национальной платформы.

Проблемы классифицированы на три группы.

Первая группа базируется на безопасности персональных данных населения:

  1. Высокий риск мошенничества при получении цифровых услуг
  • Отсутствие стандартов при использовании биометрической идентификации при получении услуг;
  • Отсутствие законодательства, регламентирующего ответственность в случае ложной идентификации;
  • Отсутствие контроля пользователя над доступом к персональным данным, в том числе, биометрической информации.
  1. Низкий уровень безопасности передачи персональных данных
  • Необходимость усиления механизмов обеспечение целостности данных.
  1. Обеспечение прозрачности использования персональных данных
  • Отсутствие технической реализации права гражданина на забвение;
  • Обеспечение контроля доступа к персональным данным для граждан.


           Вторая группа включает вопросы стимулирования цифровой экономики и содержит:

  1. Невозможность риск-ориентированной мультимодальной идентификации:
  • Отсутствие регламентированного взаимодействия между информационными системами ГУ, обеспечивающими идентификацию;
  • Отсутствие эталонной базы данных биометрических атрибутов и доступных регламентированных способов взаимодействия с ней.
  1. Доступность биометрической идентификации для бизнеса и государственных органов:
  • Отсутствие регламентированных форматов подключения к государственным системам идентификации;
  • Отсутствие регламентов хранения и обмена биометрическими данными;
  • Отказ в верификации биометрических данных ввиду хранения различных модальностей и назначения использования данных.
  1. Зависимость от уровня распространенности мобильных устройств у населения:
  • Удаленное предоставление услуг через распознавание лица гражданина осуществляется через камеру мобильного устройства. Требования к качеству захвата изображения повлияет на соответствие минимальным требованиям для корректной работы механизма распознавания лица.
  1. Низкий уровень доверия к внедрению новых технологических инструментов и отсутствие у населения желания использования новых технологий могут привести к снижению или отказу от использования механизмов биометрической идентификации.
  2. Низкий уровень осведомленности граждан о степени защиты персональных, в том числе биометрических данных.
     

Третья группа, не менее важная, проблемы интероперабельности, актуальность решения проблем которых постоянно возрастает с расширением области применения технологий:

  1. Отсутствие национальной системы управления цифровой идентификацией:
  • Отсутствие регулятора или четко распределенных зон ответственности по управлению цифровой идентификацией;
  • Несбалансированные бизнес-модели оказания услуг в сфере цифровой идентификации;
  • Отсутствие сформированного понятийного аппарата и классификации биометрических образцов для выработки необходимой нормативной базы;
  • Отсутствие стандартов хранения и обмена биометрическими данными;
  • Несформулированная операционная модель;
  • Отсутствие законодательно регламентированной эталонной биометрической информации.
  1. Отсутствие покрытия регионов страны высокоскоростным доступом к интернету
  • Зависимость проекта от доступа к сети Интернет является слабостью проекта и может ограничить возможность предоставления услуг через биометрическую идентификацию в некоторых населенных пунктах различных областей страны ввиду данной проблемы.      
     

С учетом развития систем идентификации в стране выявленные проблемы требуют незамедлительного и комплексного подхода по их решению. Решение вышеуказанных проблем является сложным и длительным процессом. Однако это позволит выйти на качественно новый уровень развития и эффективности, путем создания единого государственного механизма для идентификации граждан, с закреплением правовых норм на законодательном уровне для обеспечения защиты прав человека и гражданина.

 

 

5.1           

5.   СОЗДАНИЕ НАЦИОНАЛЬНОЙ ПЛАТФОРМЫ ЦИФРОВОЙ БИОМЕТРИЧЕСКОЙ ИДЕНТИФИКАЦИИ

Цели и задачи Платформы

 

Настоящая Программа направлена на систематизацию координации между инициативами различных государственных участников для обеспечения эффективной системы цифровой идентификации национального уровня – Национальной платформы цифровой биометрической идентификации.

Основной задачей Национальной платформы является объединение совокупности существующих инициатив государственных органов в сфере цифровой идентификации в единую систему, которая будет управляться на основе однозначного распределения ролей и регламентов взаимодействия участвующих сторон.

 

Рис. 4. Целевая архитектура взаимодействия государственных участников в рамках Национальной платформы цифровой биометрической идентификации

 

 

 

Создание Национальной платформы имеет в качестве целей достижение нижеперечисленных преимуществ для индивидов, бизнесов, государства и общества в целом:

  • Дальнейшее расширение доступа граждан Казахстана и нерезидентов к государственным и частным услугам, увеличение возможностей их участия в формальной экономике и реализации ими своих экономических, социальных, гражданских и иных прав.
  • Укрепление прозрачности, повышение эффективности государственного управления и оказания государственных услуг и государственной помощи в Казахстане, в том числе, за счет снижения дублирования данных, процессов и услуг, уменьшение возможностей для ошибок и мошенничества при оказании государственных услуг и помощи, повышения надежности необходимой для государственного планирования и принятия решений информации и статистики.
  • Поддержка развития частного сектора и услуг, выравнивание доступа на рынок и усиление конкуренции в частном секторе, генерирование надежной и релевантной рыночной информации, повышение удобства для пользователей.
  • Дальнейшее развитие цифровой финансовой и платежной инфраструктуры и рост цифровой экономики в Казахстане: повышение открытости и создание новых цифровых бизнес-моделей, услуг и отраслей, фасилитация цифровых платежей, перспективное внедрение технологий Open API и Open Banking, способствование переходу к безналичной экономике и росту производительности за счет повышения доверия, надежности, безопасности и эффективности транзакций.
  • Выравнивание региональных диспропорций, повышение трудовой и экономической мобильности граждан Казахстана.
  • Снижение совокупных издержек на цифровую инфраструктуру в различных отраслях экономики Казахстана.

 

5.2            Гипотезы по решению выявленных проблем

 

Создание Национальной платформы представляет собой комплексный подход по решению выявленных проблем в ходе анализа текущего состояния систем, осуществляющих сбор, обработку и хранение биометрических данных.

 

Выявленные проблемы

Гипотезы

Обеспечение безопасности и конфиденциальности данных

Разработка операционно-правовой модели для регулирования отношений в рамках законодательства

Выработка требований к стандартизации в рамках жизненного цикла процессов и используемых технологий по биометрической идентификации

Интероперабельность

Создание единого механизма взаимодействия (Контрольная биометрическая система) государственных и иных организаций для проведения верификации физических лиц по персональным (в том числе биометрическим) данным.

Регламентирование порядка взаимодействия участников в рамках процесса с биометрическими данными с Контрольной биометрической системой

Реализация возможности удаленной верификации физических лиц, в том числе с использованием мобильных устройств

Стимулирование цифровой экономики

Расширение возможностей использования мультимодальной идентификации путем взаимодействия с Контрольной биометрической системой

Повышение цифровой грамотности путем обучения граждан использованию новых внедряемых технологий

 

 

5.3            Ожидаемые эффекты от реализации Программы

 

 Создание Национальной платформы и общей прозрачной, надежной и эффективной системы цифровой идентификации в Казахстане обеспечит многочисленные положительные эффекты для граждан, бизнесов и государства.

           В частности, граждане и частный сектор в результате улучшенной идентификации получат выгоду от уменьшения рисков цифрового мошенничества и краж, снижения временных затрат и операционных расходов на администрирование, комплаенс, проведение транзакций и т. д. К ожидаемым положительным эффектам также следует отнести повышение доступности цифровых услуг для граждан и рост клиентской базы для бизнеса. Отдельно необходимо упомянуть ожидаемое общее повышение доверия граждан и бизнеса к цифровым услугам, создание более благоприятного бизнес-климата. Кроме этого, для граждан и бизнеса можно выделить следующие ожидаемые эффекты:

  • возможность получения новых видов услуг (в том числе, платежных) в полностью цифровом виде и удаленном формате;
  • возможность самостоятельного управления доступом к персональным данным для третьих сторон;
  • сокращение времени и шагов для оказания государственных и коммерческих услуг в цифровом формате;
  • снижение стоимости цифровых услуг за счет оптимизации процессов их предоставления;
  • повышение надежности и безопасность персональных данных;
  • появление новых сервисов и бизнес-моделей, основанных на обработке данных;
  • повышение операционной эффективности за счет увеличения объема данных, используемых в принятии управленческих решений.

           Государственный сектор также получит значительные выгоды в виде уменьшения ошибок и мошенничества в процессах распределения социальных пособий и помощи (устранение «мертвых душ», дублирования, неправомерных получателей государственных средств), снижения административных и транзакционных издержек за счет упрощения, автоматизации и устранения дублирования государственных услуг и функций.

           К положительным эффектам для государства также относятся повышение собираемости налогов и расширение налогооблагаемой базы, дополнительные доходы за оказание платных государственных услуг и др. Согласно совместному исследованию McKinsey[8] и Всемирного банка, а также оценке эффективности аналогичных программ в развивающихся экономиках, предположительный экономический эффект от внедрения программы может составить до 3% от ВВП.

           Созданная в рамках Платформы инфраструктура также позволит избежать выполнения дублируемых функций между существующими инициативами с соответствующим снижением совокупных издержек государственных органов на реализацию цифровой идентификации.

           Внедрение Национальной платформы цифровой биометрической идентификации будет способствовать развитию финансового рынка и финансовой инклюзивности, повышению конкуренции и качества финансовых услуг благодаря переходу от текущего состояния закрытых экосистем и барьеров для возникновения и роста новых финансовых игроков и финтех-инноваций к общей цифровой финансовой инфраструктуре, обеспечивающей контроль пользователей над собственными персональными данными и равные возможности для роста и инноваций для цифровых бизнесов.

 Программа создания Национальной платформы цифровой биометрической идентификации на 2022-2024 годы является системным документом, отражающим комплексное развитие цифровой идентификации в Казахстане. Предлагаемые инициативы затрагивают изменения в деятельности всех заинтересованных сторон процессов цифровой идентификации – граждан, частного сектора и государственных органов.

В этой связи успешная и эффективная реализация заданных направлений может быть достигнута только при комплексном и целостном подходе, в тесном взаимодействии и высокой вовлеченности всех сторон.

Процесс реализации стратегических направлений Программы также должен быть адаптивен к возможным изменениям макроэкономической ситуации. В этой связи исполнение мероприятий будет осуществляться и корректироваться с учетом рисков и ограничений, связанных с общим экономическим положением и другими макрофакторами.

 

 В рамках Национальной платформы цифровой биометрической идентификации существующие инициативы государственных органов по биометрической идентификации необходимо объединить в единую архитектуру через четкое распределение ролей и осуществление необходимых интеграций, которое позволит в том числе:

 

1.       определить приоритетные направления развития биометрической идентификации на законодательном уровне;

2.       исключить дублирование функций объектов и создать возможность для совместного использования биометрических модальностей;

3.       оптимизировать расходы на развитие цифровой идентификации;

4.       обеспечить оптимальный выбор и эффективное внедрение Национальной платформы с обеспечением безопасности и доступности услуг.

Архитектурный масштаб охватывает следующие государственные органы:

  • МВД РК – обеспечивает государственную регистрацию биометрических данных граждан Республики Казахстан и отдельных категорий иностранцев и лиц без гражданства;
  • КНБ РК – обеспечивает государственную регистрацию биометрических данных иностранцев и лиц без гражданства;
  • МЦРИАП РК – Провайдер, определенный государством, посредством которого предоставляется доступ информационным системам государственных органов и коммерческих организаций (за исключением финансовых организаций) к Платформе;
  • НБ РК – Разработчик и интегратор контрольной биометрической системы; провайдер, определенный государством, посредством которого предоставляется доступ информационным системам финансовых организаций к Платформе.

Помимо ответственных за реализацию Национальной платформы государственных органов, знаменательную роль отведена Правительству Республики Казахстан, которое определяет ответственный государственный орган за владение и развитие контрольной биометрической системы на период ее эксплуатации.

Оказание услуг по биометрической идентификации гражданам и бизнесу посредством Платформы предлагается осуществлять исключительно посредством технологических платформ государственных органов:

  • НБРК:
  • разработчиком контрольной биометрической системы (в рамках пилота);
  • выступит интегратором по проекту НПЦБИ;
  • обеспечит определение политики предоставления доступа к Контрольной биометрической системе участникам финансового рынка;
  • обеспечит управление цифровыми согласиями на доступ и обработку персональных (биометрических) данных для участников финансового рынка;
  • обеспечит идентификацию для финансового рынка, Национальной платежной системы и иных задач.
  • МЦРИАП РК станет провайдером цифровой идентификации по направлению государственных и коммерческих услуг для нефинансового рынка и по направлению иных услуг включающих, но не ограничивающих:
  • услуги сотовой связи;
  • услуги в области здравоохранения;
  • услуги в области образования;
  • услуги социально-трудовой сферы;
  • транспортные услуги и др. нефинансовые услуги.                

         Доступ к эталонным биометрическим данным через операционные базы данных в рамках оказания услуг населению и бизнесу, системами НБРК и МЦРИАП РК будет осуществляться только на основе согласий на обработку персональных данных, фиксируемых в Системе управления согласиями на сбор и обработку персональных данных.

 

Рис. 5 Целевая архитектура взаимодействия государственных участников в рамках Национальной платформы цифровой биометрической идентификации

 

 

Перечень компонентов, использующийся для построения целевой архитектуры:

Компонент

Состояние

  1.  

1.Системы сбора (регистрации) биометрических данных

Действующий

  1.  

Контрольная биометрическая система

Новый

  1.  

Операционная база данных

Новый

  1.  

Платформа биометрической верификации (биометчер)

Новый

  1.  

Система управления согласиями на сбор и обработку персональных данных

Новый

  1.  

Система миграции данных

Новый

 

6.1             Описание компонентов целевой архитектуры

 

В рамках разработки целевой архитектуры предусмотрены следующие компоненты:

  1. Системы сбора (регистрации) биометрических данных.

Сбор первичных биометрических данных граждан Казахстана и нерезидентов с 2023 года будет осуществляться в соответствии с законом Республики Казахстан от 30 декабря 2016 года № 40-VІ ЗРК «О дактилоскопической и геномной регистрации», в рамках существующих процессов сбора данных государственными органами, а именно:

  • МВД РК посредством системы РП ДРН и АИС БИЛ в рамках процедур выдачи документов, удостоверяющих личность в Центрах обслуживания населения;
  • МВД РК посредством ИС МП и АИС БИЛ в рамках процедур учета иностранцев и лиц без гражданства;
  • КНБ РК посредством ЕИС «Беркут» в рамках процессов пограничного контроля.

Потребуется модернизация существующих информационных систем МВД РК и КНБ РК, задействованных в процедурах сбора биометрических данных, и интеграция с Контрольной биометрической системой в части передачи информации.

Процедуры дедупликации персон будут осуществляться на уровне внутренней логики информационных систем МВД РК и КНБ РК в рамках процессов оказания государственных услуг.

Центры обслуживания населения для граждан Республики Казахстан будут обеспечены устройствами для сбора биометрических данных.

 

  1. Контрольная биометрическая система

Контрольная биометрическая система будет выполнять роль единого хаба биометрической информации из государственных и ведомственных баз данных, данных финансового рынка и других источников и т.д. Отправка данных в Контрольную биометрическую систему будет осуществляться посредством сервиса миграции.

Контрольная биометрическая система будет разработана ресурсами Национального Банка РК с ее последующей передачей Правительству Республики Казахстан. Правительство определяет ответственный государственный орган за владение и развитие КБС и передает во владение.

Контрольная биометрическая система содержит все биометрические данные и обеспечивает уникальность всех заявителей. Она состоит из набора баз данных (по одной на модальность) с соответствующими биометрическими кодерами и блоками сопоставления. Кодеры преобразуют необработанные биометрические данные в шаблонные данные (двоичные данные, используемые алгоритмами матчеров для сравнения данных). Кодеры используются для любой операции сопоставления: во время миграции и во время всех запросов на регистрацию.

Блоки сопоставления (матчеры) предназначены для выполнения поисков с дедупликацией (1:N), гарантируя отсутствие любой новой записи в системе.

Существует столько же типов кодеров и сопоставителей, сколько типов модальности, так как для каждой модальности существует отдельный алгоритм. Следовательно, будут кодеры лиц, которые превращают изображения лиц в шаблоны лиц, и матчеры сопоставления лиц, выполняющие сопоставления лиц; будут кодеры отпечатков пальцев, которые превращают сканированные отпечатки пальцев в шаблоны отпечатков пальцев, и матчеры сопоставления отпечатков пальцев, которые выполняют сопоставления отпечатков пальцев и т. д.

Контрольная биометрическая система управляет мультимодальностью: каждая модальность управляется одной цепочкой обработки (кодирование, сопоставление, сохранение), а верхний уровень управляет реагированием и объединяет результаты каждой модальности.

Настройки конфигурации предлагается выявить на этапе проектирования, чтобы определить политику мультимодального соответствия:

  • Один за другим: например, сначала поиск отпечатка пальца, затем поиск лица, затем поиск радужной оболочки глаза. Если какой-либо из них положительный (обнаружен дубликат), процесс останавливается.
  • Параллельно: все поиски запускаются одновременно, а результаты консолидируются. В некоторых случаях наличие результатов каждой модальности может позволить избежать ошибок (например, в случае близнецов лицо может совпадать, но поскольку отпечатки пальцев и радужная оболочка будут полностью отличаться, отклонения не будет).

Контроль над управлением конфиденциальностью, целостностью и доступностью информации осуществляется собственником Контрольной биометрической системы при помощи встроенных средств. Не допускается вмешательство в работу Контрольной биометрической системы иными компонентами платформы.

 

  1. Операционная база данных

В целях обеспечения информационной безопасности и рационального распределения нагрузки должного уровня отказоустойчивости, а также обеспечения возможности оперативного масштабирования в зависимости от поступающей нагрузки предполагается создание Операционных баз данных.

Эталонные данные по определенным модальностям передаются в операционные базы данных государственных органов согласно операционных потребностей. Информационные системы по работе с биометрическими данными пользуются данными из операционных баз данных согласно своим потребностям.

Доступ к операционным базам данных получают технологические платформы сравнения биометрических параметров (лицо, дактилоскопия (контрольные отпечатки), голос, радужка) согласно ведомственной принадлежности.

При создании Операционных баз данных Провайдеров предполагается реализация модели взаимодействия с внешними информационными системами, при которой образцы биометрических данных не будут покидать защищенного периметра, вместо этого будут передаваться математические шаблоны, по которым невозможно восстановить (подделать) биометрические образцы.

 

  1. Платформа биометрической верификации

В целях обеспечения принципов вендорной нейтральности, на стороне Провайдеров предполагается создание мультивендорной платформы биометрической верификации.

Применение мультивендорной платформы биометрической верификации предполагает возможность подключения любого количества вендоров (производители программного обеспечения), после проведения соответствующих проверок.

Мультивендорная платформа биометрической верификации обеспечит:

  • Проведение процедур «liveness detection» для определения возможного использования злоумышленниками средств взлома;
  • Проведение процедур верификации по биометрическим параметрам (фото, отпечатки пальцев, в перспективе радужная оболочка глаза).

Мультивендорная платформа биометрической верификации будет обеспечивать сравнение биометрических образцов (1:1), полученных от физического лица в момент обращения за услугой с эталонными образцами, хранящимися в Операционной базе данных.

 

  1. Система управления согласиями на сбор и обработку персональных данных

Система управления согласиями на сбор и обработку персональных данных обеспечит управление процессами предоставления и отзыва согласия на сбор и обработку персональных данных физических лиц.

В составе Системы управления согласиями на сбор и обработку персональных данных будут предусмотрены самостоятельные (независимые) механизмы просмотра (в виде мобильного приложения и веб-портала) физическими лицами ранее выданных разрешений на сбор и обработку персональных данных, а также их отзыва.

Кроме того, буду реализованы механизмы уведомления физических лиц о фактах сбора и обработки персональных (биометрических) данных. Данный механизм позволит отслеживать кто имеет доступ к персональным данным, и кто именно обрабатывает их в настоящее время.

 

  1. Система миграции данных

Собранные и обработанные данные поступают в контрольную биометрическую систему.

Источником данных по отпечаткам пальцев рук граждан Республики Казахстан, иностранцев и лиц без гражданства, постоянно проживающих на территории Республики Казахстан, трудовых мигрантов, лиц, подлежащих выдворению с территории Республики Казахстан будет выступать АДИС МВД АИС БИЛ.

Источником данных по установочным данным и фотоизображениям граждан Республики Казахстан, иностранцев и лиц без гражданства, постоянно проживающих на территории Республики Казахстан будет выступать ИС РП ДРН.

Источником данных по фотоизображениям трудовых мигрантов и лиц, подлежащих выдворению с территории Республики Казахстан будет выступать АДИС МВД АИС БИЛ.

Источником данных по установочным данным трудовых мигрантов и лиц, подлежащих выдворению с территории Республики Казахстан будет выступать ИС МП МВД РК.

 

 

6.2            Обеспечение безопасности данных

 

Вопросы конфиденциальности, касающиеся биометрической идентификации, становятся все более актуальными в связи с их распространением в различных областях. Неправильное использование биометрических данных может иметь серьезные последствия, такие как кража личных данных или профилирование клиентов.

Система информационной безопасности инфраструктуры Национальной платформы должна представлять собой комплекс взаимосвязанных организационных и технических мер по обеспечению необходимого уровня защищенности всей инфраструктуры Национальной платформы и ее отдельных подсистем/компонентов.

 

Централизованная система управления согласиями

 

В рамках обеспечения безопасности данных Национальной платформы, необходимо принять активный и целостный подход для решения постоянно растущих проблем кибербезопасности. К примеру, такие страны, как Сингапур и Индия активно применяют централизованную систему управления цифровыми согласиями в рамках своих национальных биометрических идентификационных систем для обеспечения безопасности предоставления доступа к личной информации граждан.

В целях обеспечения безопасности биометрических данных, хранящихся в Контрольной биометрической системе, доступ в рамках оказания услуг населению будет осуществляться только на основе согласий физических лиц на сбор и обработку персональных данных, фиксируемых в Системе управления согласиями на сбор и обработку персональных данных.

Система управления согласиями позволит гражданам активно влиять на процессы сбора и обработки персональных (биометрических данных), управлять доступом к своим персональным данных путем предоставления разрешения\отказа в предоставлении\просмотра и отзыва выданных разрешений конкретным организациям.

         Реализация реестра согласий, в первую очередь, стимулирует развитие в стране механизма контроля и управления собственными персональными данными гражданами Республики Казахстан, что в потенциале позволит минимизировать риски утечек конфиденциальной личной информации.

Доступ граждан к системе управления согласиями будет осуществлено посредством интерфейса, где гражданин сможет управлять собственными данными, а именно:

  • Предоставлять согласия на обработку своих данных (в том числе сторонним организациям);
  • Отзывать согласия на обработку своих данных;
  • Видеть историю транзакций предоставления доступа к персональным данным (логирование транзакций).

Таким образом, гражданин будет контролировать доступ к своим персональным данным собственноручно, посредством своих цифровых инструментов.

 

Механизмы защиты и стандарты для достижения кибербезопасности

                

Биометрические данные являются персональными данными, целостность и сохранность, которых должна обеспечиваться на высоком уровне. Необходимо предусмотреть ряд физических, технических, программных, криптографических и административных мер, направленных на обеспечение информационной безопасности.

Помимо этого, стоит учесть, что биометрические данные, которые будут храниться в информационных ресурсах уполномоченных государственных органов, не будут покидать защищенный контур. Для обеспечения данного подхода, будет построена распределенная система доступа, которая обеспечит хранение персональной и биометрической информации в физически разных банках данных, доступ к одному, из которых, не позволит установить личность физического лица. Кроме того, все компоненты Платформы будут развернуты в защищенном контуре государственных органов.

Данный подход поспособствует минимизации мошеннических и иных кибер рисков.

В целях обеспечения защиты передачи биометрических данных будут четко определены требования к ПО, периферийному оборудованию в части соответствия их к признанным международным стандартам, таким как ANSI/INCITS 378-2004, NIST-500-290.

Для обеспечения конфиденциальности хранимых данных будут использованы различные формы криптографических алгоритмов шифрования. Алгоритмы шифрования применяются к биометрическим данным для получения зашифрованных данных и разработаны таким образом, что зашифрованные данные не предоставляют информации о биометрических данных.

Кроме технических мер, будут приняты и организационные меры, включающие разработку соответствующих политик и регламентов.

Однако, отмечаем, что Система управления информационной безопасности является общим компонентом и не должен рассматриваться как разработка системы в рамках НПЦБИ. Всеми ответственными государственными органами по согласованию с КНБ должны быть предусмотрены меры по обеспечению информационной безопасности создаваемых компонентов согласно рекомендаций ГТС КНБ РК.

 На уровне приложений необходимо выделить 8 основных функций безопасности:

  • Управление идентификацией и доступом пользователей. Управление идентификацией и доступом пользователей (суперпользователей) является ключевым компонентом цифровой безопасности;
  • Управление рисками третьих сторон (поставщиков услуг);
  • Безопасность API (Application Program Interface) - процессы и инструменты для управления API, открытыми для запросов или транзакций, и обеспечения их безопасности, включая аутентификацию, контроль доступа, проверку параметров и шифрование;
  • Управление уязвимостями - программа, состоящая из инструментов проверки кода, последовательности тестирования на проникновение и процессов выявления уязвимостей, которые позволяют непрерывно оценивать безопасность приложений от разработки до развертывания;
  • Мониторинг мошенничества - мониторинг данных из нескольких каналов для выявления аномалий в поведении пользователей, которые могут быть расценены как признаки мошенничества, и реагирование на предупреждения. Мониторинг мошенничества может быть профилактическим или детективным;
  • Поведенческая аналитика - понимание и базовое определение моделей поведения пользователей с целью выявления отклонений от этих моделей. Это может быть использовано как для выявления мошенничества, так и для идентификации операций с высоким риском, требующих дополнительных данных;
  • Разведка угроз - сбор данных из внутренних и внешних источников, которые являются индикаторами известных угроз. Это могут быть данные об устройствах, информация об IP-адресах, поддельные адреса электронной почты или любая другая информация для выявления угроз;
  • Аналитика устройств - сбор и обработка данных об устройстве для принятия более эффективных решений по обеспечению безопасности, включая идентификацию устройства, его принадлежность, геолокацию и информацию об ОС.

В целях технического регулирования необходимо предусмотреть гармонизацию международных стандартов:

  • ISO/IEC 19989-1:2020 Information security — Criteria and methodology for security evaluation of biometric systems — Part 1: Framework
  • ISO/IEC 19989-2:2020 Information security — Criteria and methodology for security evaluation of biometric systems — Part 2: Biometric recognition performance
  • ISO/IEC 19989-3:2020 Information security — Criteria and methodology for security evaluation of biometric systems — Part 3: Presentation attack detection
  • ANSI/INCITS 378-2004
  • NIST-500-290.

 

6.3            Планирование реализации целевой архитектуры       

 

Масштабирование АИС БИЛ на базе МВД РК в рамках исполнения задач по сбору, обработке, а также хранению и обмену биометрическими данными. На первоначальном этапе предполагается, что АИС БИЛ позволит обрабатывать отпечатки пальцев. В перспективе рассматривается возможность сбора и обработки радужной оболочки глаза.

В настоящее время, АИС БИЛ и РП ДРН покрывают внутриведомственные потребности МВД РК и не рассчитаны на дополнительную нагрузку, которая образуется по результатам реализации Платформы.

Для обеспечения возможности верификации физических лиц без нарушения функционирования ведомственных баз данных требуется модернизация АИС БИЛ и РП ДРН (в том числе обеспечение инфраструктурой).

Также, для обеспечения хранения и обработки персональных и биометрических данных планируется создание Контрольной биометрической системы и операционных баз данных Провайдеров (МЦРИАП РК и НБ РК). 

Кроме того, предусматривается модернизация отраслевой системы идентификации – ЦОИД НБ РК в части расширения функционала биометрической верификации, реализации сервиса KYC, использования облачной ЭЦП при оказании электронно-банковских услуг. Детальное описание по модернизации ЦОИД представлено в разделе 8.

Мероприятия по расширению функциональных возможностей проекта DigitalID (МЦРИАП) предусматриваются соответствующим Договором государственно-частного партнерства и не предполагаются к реализации в рамках реализации Национальной платформы.

Вместе с тем, в целях создания универсального механизма верификации на государственном уровне, предполагается предоставление защищенного доступа DigidalID к отдельным инфраструктурным элементам Национальной платформы.

Детальный перечень мероприятий по переходу к целевой архитектуре с указанием сроков представлен в Плане мероприятий к настоящей Программе.

 

6.4            Задачи для достижения целевой архитектуры

 

На основе поставленной цели определены следующие ключевые задачи по достижению целевого состояния архитектуры данных:

−         разработка организационно-распорядительных документов, направленных на регулирование процедур биометрической верификации и распределения ответственности;

−         определение и применение методов биометрической верификации в рамках законодательства и стандартов;

−         оценка и определение бюджета на реализацию целевой архитектуры;

−         составление и утверждение план-графика по переходу от текущего до целевого состояния.

 

6.5            Ожидаемые результаты

 

Ожидаемыми результатами целевого состояния архитектуры являются:

1.       Определение и закрепление владельцев компонентов Платформы.

2.       Повышение точности результатов верификации за счет использования мультимодальной биометрической верификации.

3.       Исключение передачи биометрической информации в различные ИС.

4.       Соблюдение требований к безопасности, конфиденциальности и целостности данных.

5.       Обеспечение высокого уровня эффективности и результативности управления биометрическими данными, включая сбор, обработку, использование, архивацию и удаление данных.

 

6.6            Выводы и формирование перечня предложений по реализации целевой архитектуры

 

В целях выработки рекомендаций и оценки соответствия существующих решений компонентам целевой архитектуры проведен анализ текущих компонентов архитектуры и рекомендаций международного опыта.

Инфраструктура Платформы должна быть спроектирована и введена в действие с учётом возможности дальнейшего расширения сферы ее использования. При проектировании инфраструктуры необходимо обеспечить устойчивость по отношению к программно-аппаратным ошибкам, отказам технических и программных средств, с возможностью восстановления его работоспособности и целостности информационного содержимого при возникновении ошибок и отказов, а также восстановление программного обеспечения серверов в случае сбоя работы оборудования.

В рамках целевой архитектуры также должно быть предусмотрено масштабирование системы как с точки зрения технологических характеристик и производительности, так и с точки зрения применяемых технологий идентификации с многоуровневой моделью доступа с разными уровнями аутентификации / верификации данных в зависимости от сценариев использования и уровней риска.

Дополнительно для обеспечения реализации целевой архитектуры предполагается:

  1. Внесение изменений в текущее законодательство с четким определением терминологии и закреплением ролей участников, зон ответственности, прав и обязанностей.
  2. Внедрение новых (актуальных) и обеспечение применения действующих стандартов для обеспечения формирования единого уровня компетенций участников и партнеров в рамках реализуемых решений.
  3. Использование открытых стандартов для обмена информацией об аутентификации и авторизации (поддержка стандартов, как OpenID Connect и OAUTH2).
  4. Расположение систем, осуществляющих обработку данных в защищенном контуре Единой транспортной среды государственных органов.
  5. Наличие резервных серверов и их устойчивость к отказам по программным и аппаратным компонентам.
  6. Предоставление доступа к компонентам – системам, прошедших процедуры испытаний/сертификации на предмет соответствия требованиям информационной безопасности информационных систем, в том числе Единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832.
  7. Утверждение план-графика по переходу от текущего состояния к целевой архитектуре.
 

 

 

7.   ОПЕРАЦИОННО-ПРАВОВАЯ МОДЕЛЬ РЕГУЛИРОВАНИЯ

Активное развитие информационных технологий, в том числе цифровой биометрической идентификации способствует острой необходимости в операционно-правовом регулировании. Для предупреждения ненадлежащего использования биометрических данных необходимо рассмотрение возможности пересмотра законодательства и внесении в него корректив, отражающих современные виды применения усовершенствованных биометрических технологий, обеспечивая при этом информационную безопасность участников взаимоотношений, четкое разграничение прав и ответственности, а также повышая уровень доверия и доступности в сфере электронного информационного взаимодействия.

 

 

7.1            Обзор международного опыта правового регулирования

 

Правительства стран, в которых системы биометрической идентификации развиваются стремительным ростом активно вводят новые поправки в законодательство и стандарты для регулирования отношений в области конфиденциальности и безопасности данных.

В некоторых странах правовые рамки и практика уже могут включать инклюзивные и надежные системы идентификации. Однако во многих других случаях ключевые законы и нормативные акты не существуют, не применяются, не соответствуют международному праву или предшествуют использованию систем цифровой идентификации и доверительных услуг, таких как электронные подписи.

В 2020 году в России подписан федеральный Закон, направленный на комплексное урегулирование вопросов, связанных с функционированием систем, обеспечивающих идентификацию с использованием биометрических персональных данных. Закон вступил в силу с 1 января 2021 года. Теперь уже на законодательном уровне расширение сфер применения биометрии дает возможность запустить новые массовые сервисы на основе биометрии, а также предоставляет банкам и другим финансовым организациям с базовой лицензией право собирать биометрические данные в ЕБС.

Китай в середине марта 2020 года ввел новые стандарты для приложений, которые собирают биометрические данные, в том числе для систем распознавания лиц. Причиной послужили скандалы в 2019 году по поводу утечки данных из приложения Zao для создания deep-fake. В результате Китай обновил рекомендации по сбору биометрических данных и требованиям к согласию. В обновленных стандартах компаниям также рекомендуется хранить биометрическую информацию отдельно от информации, позволяющей установить личность, и предлагается несколько разъяснений по обработке данных, включая доступ третьих сторон.

Компании стран ЕС в области защиты персональных данных должны соответствовать требованиям регламента General Data Protection Regulation, регулирующий отношения между теми, кто предоставляет свои личные данные (граждане ЕС) и теми, кто эти данные собирает, обрабатывает и использует в своей работе (интернет-сервисы, веб-ресурсы, коммерческие и некоммерческие компании, организации). За нарушение требований GDPR компаниям могут наложить большие штрафы.

Разработка схемы идентификации на основе существующих международных стандартов, таких как ISO, ICAO, OSIA, NIST или рамочных стандартов, таких как eIDAS, имеет ключевое значение для правительств, чтобы обеспечить совместимость, предоставить общий язык и понимание между политиками и техническими специалистами, а также обеспечить сопоставимость внутри стран на национальном и местном уровнях и с другими странами на региональном/ международном уровне. Таким образом, цифровая идентификационная система Нигерии строится на открытых стандартах, таких как спецификации IS0/ICAO для размещения данных, спецификации FIPS Level 2 и NIST для PKI и шифрования, OSIA и GDPR для соответствия API. Взаимосвязанная система Nigeria MobileID будет основана на очень надежной системе серверного уровня, включающей в себя систему идентификации, невозврата, биометрической аутентификации с помощью распознавания лиц, блокчейн-метки времени и аудита, и, конечно, дружественные OSIA интерфейсы REST API.

Стандарт ISO/IEC 18013-3 относительно мобильных водительских прав определяет протоколы связи для обеспечения аутентификации и проверки подлинности приложения для мобильных водительских прав в Аризоне и Австралии. Международное признание и совместимость особенно важны, учитывая характер водительских прав, используемых во всем мире. Приложения MDL и ID verifier часто не предоставляются одним и тем же поставщиком, особенно на международном уровне взаимодействия. Тем не менее, плавное взаимодействие между этими двумя устройствами должно обеспечивать отсутствие каких-либо сложностей. Многие органы управления общественным транспортом были вовлечены в разработку стандарта ISO на очень ранней стадии, например, департамент TMR австралийского Квинсленда и органы AMVA США. Они смогли обозначить свои проблемные моменты, чтобы наилучшим образом решить их, а также получить представление о новейших функциях и протоколах, чтобы иметь четкое видение следующих шагов.

Использование стандартов, а также четкое регулирование отношений на уровне законодательства обеспечивает внедрение универсально понимаемых протоколов, необходимых для работы, совместимости и интероперабельности, которые, в свою очередь, необходимы для разработки и внедрения продукции.[9]

 

 

 

7.2            Анализ текущего законодательства Республики Казахстан

 

В Казахстане на сегодняшний день имеется ряд нормативно-правовых актов, в которых определены термины и порядок использования биометрической и цифровой идентификации. Перечень действующих нормативно-правовых актов приведен в Приложении 1.

Область применения биометрической идентификации в той или иной степени, урегулированная законодательством РК:

  • Оказание государственных услуг;
  • Оказание электронно-банковских услуг;
  • Правоохранительная деятельность.

Общественные отношения в сфере персональных данных регулируются законом Республики Казахстан от 21 мая 2013 года N 94-V «О персональных данных и их защите». Согласно ЗРК к персональным данным относятся сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.[10]

Биометрические данные являются персональными данными, которые характеризуют физиологические и биологические особенности субъекта, на основе которых можно установить его личность.[11]

В соответствии с Постановлением Межпарламентской Ассамблеи государств – участников СНГ от 13 апреля 2018 года № 47-13 «О Глоссарии терминов и понятий, используемых государствами – участниками СНГ в пограничной сфере» биометрическими данными являются сведения, характеризующие физиологические особенности человека, на основе которых можно установить его личность: цифровая фотография, отпечатки пальцев, изображение радужной оболочки глаз и иные биометрические данные; могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных и в соответствии с национальным законодательством. Аналогичное определение используется в Соглашении о сотрудничестве в создании государственных информационных систем паспортно-визовых документов нового поколения и дальнейшем их развитии и использовании в государствах-участниках СНГ.[12]

Также дактилоскопической информацией являются биометрические данные об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека или неопознанного трупа, позволяющие установить его личность, и ПД в соответствии с требованиями ЗРК «О дактилоскопической и геномной регистрации».[13]

Подробное описание этапов операционной деятельности биометрических систем согласно действующему законодательству РК, описан в приложении 2 к Программе, которые включают в себя следующие модели:

  • сбор и обработка персональных и биометрических данных;
  • хранение персональных и биометрических данных;
  • биометрическая идентификация (1:N);
  • биометрическая верификация (1:1);
  • доступ к персональным и биометрическим данным;
  • сообщение о действиях с персональными и биометрическими данными;
  • использование персональных и биометрических данных;
  • распространение информации с персональными и биометрическими данными;
  • изменение и дополнение персональных и биометрических данных;
  • блокирование персональных и биометрических данных;
  • обезличивание персональных и биометрических данных;
  • уничтожение персональных и биометрических данных;
  • защита персональных и биометрических данных.

 

7.3            Анализ проблем, вызовов в законодательстве РК в отношении биометрической идентификации

 

Внедрение Национальной платформы станет необходимым толчком для усовершенствования законодательной базы в части расширения возможности использования механизма удаленной идентификации.

По результатам проведенного обследования текущего законодательства Казахстана выявлено, что значение терминов не раскрывается в полной мере, отсутствует единый понятийный аппарат и единые унифицированные определения терминов в биометрической идентификации, при том, что биометрия уже массово применяется гражданами в повседневной жизни и активно масштабируется: миллионы людей используют отпечатки пальцев или лицо для разблокировки своих мобильных устройств, пропуска в здания, открытия счетов и получения других финансовых услуг (список не исчерпывающий).

Для обеспечения, безопасности, целостности и непрерывности функционирования Национальной платформы выявленные вызовы/пробелы в законодательстве распределены по соответствующим блокам вопросов:

  1. Терминология
  • Отсутствует единый перечень терминов и определений в сфере персональных и биометрических данных, биометрической идентификации.
    1. Стандартизация требований
  • Отсутствие в РК единого технологического стандарта биометрической идентификации\верификации.
    1. Правовое регулирование
  • Не закреплены роли, права, обязанности и ответственность участников для регулирования отношений в сфере биометрической идентификации, а также их взаимодействие.
  • В Правилах классификации государственных услуг в электронной форме для определения способа аутентификации услугополучателя не определена возможность аутентификации посредством Digital ID, несмотря на его использование при получении государственной услуги онлайн по получению ЭЦП.
  • Законодательно не закреплен срок хранения БД, сбор и обработка которых были осуществлены при оказании государственных услуг.
  • Отсутствие прав на «Цифровой след».

 

7.4            Рекомендации и предложения по выработке операционно-правовой модели

 

Основные принципы регулирования законодательства в сфере цифровой идентификации базируются в первую очередь на защите прав и свобод человека и гражданина.

При этом для полноценной работы Национальной платформы и обеспечения защиты конфиденциальной информации персональных данных должны быть разработаны правовые нормы, которые будут содержать в себе основы регулирования функционирования Платформы, необходимые изменения и дополнения в действующие НПА и взаимодействие между существующими и будущими механизмами, не противоречащие Конституции РК. НПА должны содержать положения/регламент, определяющие процедуры, способы и механизмы использования и обращения с биометрическими данными всех модальностей, разграничение ответственности и зоны регулирования ответственных органов, взаимодействие между текущими системами и возможность доработки или интеграции Национальной платформы в будущем. Так как система затрагивает персональные данные граждан Казахстана и нерезидентов, то вопрос защиты персональных данных и возложение ответственности за нарушение сохранности персональных данных также должен быть рассмотрен в НПА. В мировой практике существует ряд действующих НПА и стандартов, которые могут быть использованы при разработке Технического задания Платформы и НПА. Например: GDRP, Стандарты ISO серии 27000 и другие (подробнее в пункте «Стандартизация требований»).

Кроме того, учитывая стремление к достижению принципов управления Всемирного Банка предлагается рассмотреть следующие предложения и рекомендации:

  1. Единый понятийный аппарат

Основные понятия и определения в сфере биометрии, биометрической идентификации отражены в межгосударственных стандартах ГОСТ ISO/IEC 24713-1-2013,[14] ГОСТ ISO/IEC 2382-37-2016,[15] которые представлены в Приложении 3 «Перечень терминов и определений» к настоящей Программе.

Ниже рассматриваются отдельные определения, которые регулируются казахстанским законодательством, с рекомендациями к применению таких определений в той или иной редакции.

           Определения понятия «биометрические данные»:

  • Постановление Межпарламентской Ассамблеи государств – участников Содружества Независимых Государств от 13 апреля 2018 года № 47-13 «О Глоссарии терминов и понятий, используемых государствами – участниками СНГ в пограничной сфере» (Санкт-Петербург).

Биометрические данные — сведения, характеризующие физиологические особенности человека, на основе которых можно установить его личность: цифровая фотография, отпечатки пальцев, изображение радужной оболочки глаз и иные биометрические персональные данные; могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных и в соответствии с национальным законодательством.

  • ЗРК «О персональных данных и их защите»

Биометрические данные – персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность (статья 1).

Рекомендация

В качестве рекомендации предлагается применение понятия «биометрические данные», которое дано в Постановлении Межпарламентской Ассамблеи государств – участников СНГ от 13 апреля 2018 года № 47-13 «О Глоссарии терминов и понятий, используемых государствами – участниками СНГ в пограничной сфере» (Санкт-Петербург) в связи с его полнотой и действием данного документа на территории стран СНГ, участником которого является РК. В дополнение, дополнить пункт возможностью обработки данных при наличии также согласия в электронной форме субъекта персональных данных.

Определения понятия «биометрическая идентификация»:

  • Правила оказания электронных банковских услуг, Правила функционирования системы ЦОИД

Биометрическая идентификация – процедура установления личности клиента с целью однозначного подтверждения его прав на получение электронных банковских услуг на основе его физиологических и биологических особенностей (подпункт 2) п. 2 Правил оказания электронных банковских услуг и подпункт 3) пункта 3 Правил функционирования системы ЦОИД).

  • ГОСТ ISO/IEC 2382-37-2016

Биометрическая идентификация – процесс поиска по базе данных биометрических регистраций, направленный на поиск и возврат идентификатора(ов) биометрического контрольного шаблона, связанного с одним индивидом (пункт 37.08.02 ГОСТ ISO/IEC 2382-37-2016).

Рекомендация

Рекомендуется использование определения, указанному в ГОСТ ISO/IEC 2382-37-2016 в связи с его универсальностью и возможности применения при получении различного рода услуг, не только банковских.

 

  1. Правовое регулирование ролей участников, прав и обязанностей, а также процессов по биометрической идентификации

 

Наименование органа

Права / обязанности

Правительство РК

Без изменений.

Определяет владельца Контрольной биометрической системы и ответственного за ее дальнейшее развитие

Ответственный государственный орган на этапе создания платформы

МЦРИАП РК

Без изменений

Интегратор и разработчик  контрольной биометрической системы

НБ РК

К существующим правам и обязанностям в рамках процесса сбора и обработки БД предлагается включить следующее:

  • Определение статуса интегратора Контрольной биометрической системы;
  • Разработка Контрольной биометрической системы (в рамках пилота) и ее дальнейшая передача во владение Правительству;
  • Определение требований к информационно-коммуникационной инфраструктуре Контрольной биометрической системы, а также требований к обработке и наполнению Контрольной биометрической системы и информационной безопасности с учетом мониторинга, контроля и ликвидации последствий инцидентов ИБ;

Отраслевые операторы базы биометрических данных

МВД РК

 

К существующим правам и обязанностям органов внутренних дел в рамках процесса сбора и обработки БД предлагается включить следующее:

  • Обязанность по передаче собранных и обработанных ПД и БД в Контрольную биометрическую систему

Отраслевые провайдеры

МЦРИАП РК

К существующей компетенции предлагается включить следующее:

  • Обеспечение доступа к определенным сервисам биометрических данных при оказании государственных услуг и иных коммерческих услуг, не относящихся к финансовым услугам

НБ РК

(и их дочерние организации)

К существующей компетенции предлагается включить следующее:

  • Определение политики предоставления доступа к Национальной платформе участникам финансового рынка;
  • Утверждение Правил подключения участников финансового рынка к Национальной платформе;
  • Предоставление доступа к Национальной платформе и обеспечение контроля по осуществлению взаимодействия участников финансового рынка с Национальной платформой;
  • Определение политики управления цифровыми согласиями на доступ и обработку персональных (биометрических) данных для участников финансового рынка к Национальной платформе.

 

Процесс

Рекомендации

  1. 1.

Сбор и обработка ПД и БД

При оказании государственных услуг, в случае необходимости использования МЦРИАП в рамках оказания государственных услуг иных модальностей (радужка глаз, отпечатки пальцев и т.д.), кроме фотоизображения физического лица, требуется внесение дополнений в Перечень ПД, необходимого и достаточного для выполнения осуществляемых задач, утвержденных Приказом и.о. Министра ЦРИАП РК от 29 июля 2020 года № 278/НҚ.

При оказании банковских/финансовых услуг, в отдельных законах, подзаконных актах необходимо регламентировать определенный перечень ПД, в том числе БД, подлежащих обработке банками и иными организациями, оказывающими финансовые услуги, порядок сбора и обработки (хранения, распространения и т.д.) таких данных.

Предполагается, что согласие на сбор и обработку ПД и БД от субъектов данных могут быть получены посредством подписи субъекта (при очном обращении), электронного подтверждения с помощью ЭЦП, видеоконференции или иных способов (при дистанционном обращении).

Дополнительно ввиду планируемого внедрения со стороны НБРК облачной электронной цифровой подписи УЦ КЦМР при оказании банковских услуг необходимо внесение изменений в соответствующие нормативные акты, а также обеспечение соблюдения Правил создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре, утвержденным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 27 октября 2020 года № 405/НҚ.

  1. 2.

Хранение ПД и БД

 

Согласно рассматриваемой целевой архитектуре Платформы, предполагается, что ПД и БД будут храниться как в Контрольной биометрической системе, так и в отдельных операционных базах данных участников Платформы, находящихся в защищенном контуре. Сроки хранения ПД и БД должны быть едины для хранения во всех операционных базах, при этом рекомендуется предусмотреть более длительный срок хранения данных в Контрольной биометрической системе, а также процессы архивирования данных при необходимости.

При этом в рамках функционирования Национальной платформы необходимо предусмотреть сбор согласий от субъектов на сбор, обработку и хранение ПД и БД в Контрольной биометрической системе. Дополнительно предполагается формирование и утверждение единого шаблона заявления согласия на сбор и хранение ПД и БД субъекта в Контрольной биометрической системе.

  1. 3.

Биометрическая идентификация (1:N)

 

Предполагается, что механизм и правовое регулирование идентификации ПД и БД не будет подлежать каким-либо изменениям и может быть применено действующее регулирование в рамках оказания финансовых услуг и деятельности правоохранительных органов.

  1. 4.

Биометрическая аутентификация

 

Предполагается, что способы, которые применяются в настоящее время в целях аутентификации будут также дополнены возможностью использования дополнительных способов в виде использования БД.

  1. 5.

Доступ к ПД и БД

 

В соответствии с законодательством РК, дактилоскопическая информация относится к ПД ограниченного доступа. Таким образом, условия сбора и обработки дактилоскопической информации должны исключать возможность ее утраты, искажения и несанкционированного доступа к ней, а равно неправомерного и (или) непреднамеренного доступа и (или) воздействия на электронные информационные ресурсы с дактилоскопической или геномной информацией.

Полагается, что доступ к персональным данным, хранящимся в государственных информационных ресурсах для финансового сектора будет осуществляться АО «Государственного кредитного бюро» (далее – ГКБ). В связи с этим, полагается, что интеграция и иное взаимодействие с государственными информационными системами в качестве шлюза для передачи финансовому рынку сервисов по государственным услугам и информации из государственных информационных систем, будет являться функцией ГКБ.

  1. 6.

Сообщение о действиях с ПД и БД

Необходимо рассмотреть возможность функционирования сервиса по управлению персональными данными. Полагается, что уведомления об обработке, распространении и использовании ПД и БД, которые будут храниться в Контрольной биометрической системе и базах данных участников Платформы, будут направлены и видны субъекту ПД и БД в сервисе. В связи с этим необходимо законодательное закрепление порядка, периодичности направления уведомления (информации) о действиях в отношении ПД и БД субъектов проактивно самими операторами баз данных и (или) при обращении субъекта за получением такой информации.

  1. 7.

Использование ПД и БД

 

Законодательством РК установлено, что дактилоскопическая информация граждан РК, иностранцев и лиц без гражданства, полученная при дактилоскопической регистрации, будет использоваться для следующих целей:[16]

−          подтверждения и (или) установления личности граждан РК, иностранцев и лиц без гражданства;

−          учета и контроля иностранцев и лиц без гражданства на территории РК;

−          обеспечения безопасности личности, общества и государства;

−          учета и контроля лиц, пересекающих Государственную границу РК, посредством процедуры подтверждения личности по дактилоскопической информации.

Полагается, что поскольку после первичного сбора ПД и БД, данные будут переданы в операционные базы данных участников Платформы, цели их дальнейшего использования могут отличаться от первоначальных. В связи с этим, полагается, что при получении согласия субъекта ПД и БД на сбор и обработку данных должны быть отражены дальнейшие действия, которые будут совершены с ПД и БД со ссылками на законодательство РК, в целях исключения рисков оспаривания субъекта ПД и БД использования его данных.

Полагается, что доступ к ПД, хранящимся в государственных базах данных для финансового сектора будет осуществляться АО «Государственного кредитного бюро» (далее – ГКБ). В связи с этим, полагается, что интеграция и иное взаимодействие с государственными информационными системами в качестве шлюза для передачи финансовому рынку сервисов по государственным услугам и информации из государственных информационных систем, будет являться функцией ГКБ.

  1. 8.

Распространение информации с ПД и БД

 

Поскольку полагается, что после сбора ПД и БД у субъектов, данные будут переданы в Контрольную биометрическую систему для дальнейшего распространения полученных данных по операционным базам участников Платформы необходимо наличие согласия субъекта ПД и БД на такую передачу данных, которая может быть запрошена/получена при первичном обращении субъекта и сборе его ПД и БД. При этом, полагается внесение изменений в ЗРК о геномной и дактилоскопической информации по возможности передачи данных государственным органам в рамках проекта Национальной платформы.

Также, для правомерной передачи БД от правоохранительных органов в адрес Национального банка в рамках возможности сличения по отпечаткам пальцев, радужке глаз необходимо внесение изменений в Правила проведения дактилоскопической и геномной регистрации, в которых должна быть предусмотрена возможность для НБ получать БД на основании запроса.

Полагается, что доступ к ПД, хранящимся в государственных базах данных для финансового сектора будет осуществляться АО «Государственного кредитного бюро» (далее – ГКБ). В связи с этим, полагается, что интеграция и иное взаимодействие с государственными информационными системами в качестве шлюза для передачи финансовому рынку сервисов по государственным услугам и информации из государственных информационных систем, будет являться функцией ГКБ.

  1. 9.

Изменение и дополнение ПД и БД

 

Учитывая использование в качестве источников данных государственных информационных ресурсов, пополняемых уполномоченными государственными органами, изменение и дополнение персональных и биометрических данных должно осуществляться исключительно в рамках оказания государственных услуг населению в порядке, закрепленном действующим законодательством.

  1.  

Блокирование ПД и БД

В случае внедрения системы Цифрового профиля гражданина или иного сервиса по предоставлению доступа к данным, полагается, что помимо указанного выше, у субъекта ПД и БД также должна быть предусмотрена возможность направления обращения/запроса о блокировании данных. Основаниями такого обращения могут служить наличие информации о нарушении условий сбора, обработки ПД и БД и срок блокирования данных должен быть ограничен до полного подтверждения операторами баз данных и (или) уполномоченных государственных органов об устранении нарушений или отсутствии нарушений по результатам проведенных проверочных мероприятий.

  1.  

Обезличивание ПД и БД

 

Полагается, что механизм и правовое регулирование обезличивания ПД и БД не будет подлежать каким-либо изменениям и может быть применено действующее регулирование.

  1.  

Уничтожение ПД и БД

 

В связи с возможным внедрением системы самостоятельной актуализации, Цифрового профиля гражданина или иного сервиса по предоставлению доступа к данным, полагается, что необходимо предусмотреть возможность субъекта ПД и БД на направление запроса на уничтожение своих ПД и БД. В данном случае требуется законодательное закрепление порядка обращения субъекта ПД и БД, с перечнем оснований для такого обращения и порядка обработки запроса оператором Платформы. Уничтожение ПД и БД должно подлежать согласованию уполномоченными государственными органами.

При этом механизм по уничтожению ПД и БД в правоохранительной деятельности не будет подлежать изменениям и может быть применено действующее регулирование.

Поскольку полное уничтожение ПД и БД может повлечь риски утраты важной информации о субъекте ПД и БД, которые имеет важное значение для дальнейшей его идентификации, полагается, что в данном случае могут быть рассмотрены возможности уничтожения старых данных по истечение определенного законодательством РК периода времени и их замены новыми актуальными данными.

  1.  

Защита ПД и БД

Полагается, что будет законодательно закреплены требования защиты биометрических данных, обеспечения безопасности, целостности, порядка его осуществления посредством определения детального перечня механизмов и обязательных к соблюдению положений.

  1.  

Права на БД

Необходимо четкое закрепление прав на БД. Вопрос, регламентирующий права на БД законодательными актами РК четко не урегулирован, однако полагается, что в связи с тем, что перечень благ и прав, относящихся к личным неимущественным благам и правам по ПД не является исчерпывающим и предусматривает и «другие нематериальные блага и права», то такими другими правами и благами могут являться также и БД.

Таким образом, права на ПД и БД исходя из вышеизложенного в форме личных неимущественных прав принадлежат субъектам ПД и БД.

Полагается, что права на ПД и БД могут принадлежать также и иным лицам на основании согласия на сбор, обработку, полученного от субъекта ПД и БД.

  1.  

Права на цифровой след

Законодательством РК не определено понятие «цифровой след» и право на него. Тем самым с целью обеспечения доступности БД рекомендуется:

  • изменить базовый подход к регулированию и надзору за этой областью деятельности с тем, чтобы обеспечить развитие способов предоставления услуг с идентификацией пользователя в порядке, исключающем использование уже имеющихся в сети данных для подмены идентификационных данных либо «хищения цифровой личности» клиента с целью последующего хищения активов. Новая экосистема получения и использования персональных данных должна обеспечивать «устаревание» совокупности данных, единожды использованных для совершения сделки (проведения финансовой операции), непосредственно после заключения сделки / проведения транзакции и невозможность повторного использования данной совокупности данных для подтверждения любой другой сделки;
  • доработать принципы контроля использования ПД социальными сетями с тем, чтобы обеспечить дисциплину в части сбора ПД, их конфиденциальности (включая данные о потребительском поведении, в т.ч. финансовую (кредитную) историю, данные о перемещениях и покупках граждан) и предоставлении сторонним сервисам, за исключением определенного в законе перечня лиц, а также минимального набора данных, не позволяющего собрать полноценный «цифровой след» субъекта ПД;
  • перестроить систему получения и хранения ПД, включая «цифровой след» и «цифровую тень», определив их как товар, собственником которого является сам пользователь, и использование этого товара без согласия владельца пресекать согласно закону. При этом следует обязать операторов ПД использовать «цифровой след», равно как и «цифровую тень», исключительно при условии получения конкретного, информированного и сознательного согласия субъекта ПД, а также усилить ответственность за неправомерное использование ПД, составляющих «цифровой след» и «цифровую тень»;
  • обеспечить окончательный переход от идентификации и аутентификации клиентов с использованием различных «бумажных документов» к идентификации с использованием электронных средств.

При этом организация, получившая согласие от субъекта ПД на их обработку, должна обеспечить субъекту возможность дистанционного управления данным согласием, в частности изменять сроки, отзывать согласие, а также по требованию субъекта – сообщить ему, как именно обрабатывались и кому передавались ПД субъекта.

На основании изученного опыта, полагается, что право на цифровой след в разных его проявлениях может принадлежать как лицу, которое оставляет такой след и является непосредственным источником цифрового следа, так и лицу, которое имеет доступ к такой информации в связи с имеющимся у него согласием от субъекта ПД или общедоступности ПД.

 

 

  1. Требования к стандартизации

По результатам анализа обнаружено отсутствие в Казахстанском законодательстве следование единым стандартам в области обеспечения биометрической идентификации.

 

Объект стандартизации

Международные стандарты

Регулирование в РК

Комментарии, рекомендации

1.

Аппаратные средства

 

1.1.

Оценка безопасности

ISO/IEC 15408-1:2009 Информационные технологии.

Методы и средства обеспечения безопасности.

Критерии оценки безопасности информационных технологий

СТ РК ISO/IEC 15408-1-2017

Казахстанский стандарт идентичен ISO/IEC 15408-1:2009

2.

Программное обеспечение

2.1.

Оценка безопасности

ISO/IEC 15408-1:2009 Информационные технологии.

Методы и средства обеспечения безопасности.

Критерии оценки безопасности информационных технологий

СТ РК ISO/IEC 15408-1-2017

Казахстанский стандарт идентичен ISO/IEC 15408-1:2009

2.2.

Критерии оценки информационной безопасности

ISO/IEC 15408-3:2008

Информационная технология. Техники безопасности. Критерии оценки информационной безопасности. Часть 3. Компоненты обеспечения безопасности, IDT

СТ РК ISO/IEC 15408-3-2017

Казахстанский стандарт идентичен ISO/IEC 15408-3:2008

 

2.3.

Сервисы ТТР, необходимые для поддержки работоспособности средств электронной цифровой подписи

ISO/IEC 15945:2002 Информационные технологии. Техники безопасности. Спецификация услуг TTP для поддержки применения цифровых подписей, IDT

СТ РК ИСО/МЭК 15945-2009

Казахстанский стандарт идентичен ISO/IEC 15945:2002

3.

Процессы

3.1.

Общее описание процессов в рамках унифицирован ной биометрической системы

ISO/IEC 24713-1:2008 Информационные технологии.

Биометрические профили для взаимодействия и обмена данными.

Часть 1. Общая архитектура биометрической системы и биометрические профили

 

ГОСТ ISO/IEC 24713-1-2013

Информационные технологии.

Биометрические профили для взаимодействия и обмена данными.

Часть 1. Общая архитектура биометрической системы и биометрические профили

Казахстанский стандарт идентичен ISO/IEC 24713-1:2008

3.2.

Базовая эталонная модель взаимосвязи открытых систем

Стандарт Российской Федерации ГОСТ Р ИСО 7498-2-99 и международной стандарт ИСО 7498-2-89 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации"

СТ РК ГОСТ Р ИСО 7498-2-2006 «Информационная технология. Взаимосвязь открытых систем базовая эталонная модель. Часть 2. Архитектура защиты информации»

Казахстанский стандарт идентичен ИСО 7498-2-89

3.3.

Действия для проведения оценки безопасности

ISO/IEC 18045:2008 Технологии информационные

Методы защиты

Методология оценки защиты информационных технологий

СТ РК ИСО/МЭК 18045-2009

Казахстанский стандарт идентичен ISO/IEC 18045:2008

3.4.

Общие технические требования к средствам криптографической защиты информации для подтверждения соответствия

ISO/IEC 18033-2:2006 Информационная безопасность-криптографические алгоритмы

СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования» (с поправками)

Казахстанский стандарт идентичен ISO/IEC 18033-2:2006

3.5.

Оценка эффективности информационной безопасности и эффективности системы менеджмента информационной безопасности

ISO/IEC 27004:2016 Информационные технологии. Методы обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, измерение, анализ и оценка

СТ РК ISO/IEC 27004-2018 Информационные технологии Методы обеспечения безопасности Менеджмент информационной безопасности Мониторинг, измерение, анализ и оценка

Казахстанский стандарт идентичен ISO/IEC 27004:2016

3.6.

Организационные стандарты по информационной безопасности и управлению информационной безопасностью

ISO/IEC 27002:2013 Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления защитой информации

СТ РК ISO/IEC 27002-2015 Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления защитой информации

Казахстанский стандарт идентичен ISO/IEC 27002:2013

3.7.

Требования к системе менеджмента информационной безопасности в организациях

ISO/IEC 27001:2013 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

СТ РК ISO/IEC 27001-2015 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасностью. Требования

Казахстанский стандарт идентичен ISO/IEC 27001:2013

3.8.

Оценка безопасности биометрических систем

ISO/IEC 19792:2009 Information technology - Security techniques - Security evaluation of biometrics

Аналогичный стандарт не был принят в Казахстане

Рекомендуется рассмотреть возможность принять казахстанские стандарты на основе указанных международных стандартов

ISO/IEC 19989-1:2020 Information security - Criteria and methodology for security evaluation of biometric systems - Part 1: Framework

Аналогичный стандарт не был принят в Казахстане

ISO/IEC 19989-2:2020 Information security — Criteria and methodology for security evaluation of biometric systems — Part 2: Biometric recognition performance

Аналогичный стандарт не был принят в Казахстане

ISO/IEC 19989-3:2020 Information security — Criteria and methodology for security evaluation of biometric systems — Part 3: Presentation attack detection

Аналогичный стандарт не был принят в Казахстане

3.9.

Хранение и обмен изображениями отпечатков пальцев

ISO-19794-4

СТ РК ISO IEC 19794-4-2017 Информационные технологии. Форматы обмена биометрическими данными. Часть 4

Казахстанский стандарт СТ РК ISO IEC 19794-4-2017 соответствует ISO-19794-4

3.10.

Хранение и обмен изображениями отпечатков пальцев

ANSI/INCITS 378-2004

Аналогичный стандарт не был принят в Казахстане

Рекомендуется рассмотреть возможность гармонизировать национальные стандарты с ANSI/INCITS 378-2004

3.11.

Хранение и обмен изображениями отпечатков пальцев

NIST-500-290

Аналогичный стандарт не был принят в Казахстане

Рекомендуется рассмотреть возможность гармонизировать национальные стандарты с NIST-500-290

3.12.

Хранение и обмен изображениями отпечатков пальцев

ISO-19794- 1-3 Information technology - Biometric data interchange formats - Part 1: Framework", IDT

Согласно Приказу[17] «Об утверждении Планов государственной стандартизации на 2018-2020 годы» на основании ISO-19794- 1-4 должны разработать национальные стандарты

 

Работа по принятию казахстанских стандартов, соответствующих указанным международным стандартам ISO начата, дополнительных законодательных инициатив не требуется

  1. Основные стандарты, регулирующие хранение и обмен изображениями отпечатков пальцев: FBI WSQ, ISO-19794 1-4, ANSI/INCITS 378 и NIST-500
  2. Основной стандарт для обмена биометрией лица: ISO/IEC 19794-5, NIST-500
  3. Основной стандарт для обмена биометрией радужной оболочки глаза: ISO/IEC 19794-6
  4. Основной стандарт для обмена биометрией голоса: ISO/IEC 19794-13:2018

 

3.13.

Обмен биометрией лица

ISO/IEC 19794-5

Согласно Приказу[18] «Об утверждении Планов государственной стандартизации на 2018-2020 годы» на основании данного Стандарта должны разработать национальные стандарты

 

3.14.

Обмен биометрией радужной оболочки глаза

ISO/IEC 19794-6​

 

Согласно Приказу[19] «Об утверждении Планов государственной стандартизации на 2018-2020 годы» на основании данного Стандарта должны разработать национальные стандарты

3.15.

Обмен биометрией голоса

ISO/IEC 19794-13:2018

 

Согласно Приказу «Об утверждении Планов государственной стандартизации на 2018-2020 годы» на основании данного Стандарта должны разработать национальные стандарты

3.16.

Средства управления защитой информации

ISO/IEC 27002:2013/Cor.1:2014 «Information technology - Security techniques - Code of practice for information security controls»

СТ РК ISO/IEC 27002-2015 «Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления защитой информации»

 

СТ РК ISO/IEC 27002-2015 соответствует ISO/IEC 27002:2013/Cor.1:2014

3.17.

Защита персональных данных

Регламент № 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных). GDPR» (г. Брюссель, 27 апреля 2016 года)

Данный регламент не распространяет свое действие на территорию Казахстана

Рекомендуется рассмотреть возможность гармонизации казахстанского законодательства о персональных данных с GDPR

 

 

4.

Терминология

4.1.

Описания понятий в предметной области биометрии

ISO/IEC 2382-37:2017 Информационные технологии. Словарь. Часть 37. Биометрия

ГОСТ ISO/IEC 2382-37–2016 Информационные технологии. Словарь. Часть 37. Биометрия старая версия

ГОСТ ISO/IEC 2382-37–2016 соответствует ISO/IEC 2382-37:2017

 

В таблице выше представлен анализ наличия/отсутствия принятых в Казахстане стандартов в отношении требований к программному обеспечению, аппаратным средствам, процессам и терминологии, используемых в сфере биометрической идентификации. Из данного анализа следует, что большинство действующих международных стандартов приняты и применяется в Казахстане. Тем не менее, имеется стандарты, не применяемые в Казахстане, а именно:

  • ANSI/INCITS 378-2004;
  • NIST-500-290;
  • ISO/IEC 19792:2009 Information technology — Security techniques — Security evaluation of biometrics
  • ISO/IEC 19989-1:2020 Information security — Criteria and methodology for security evaluation of biometric systems — Part 1: Framework
  • ISO/IEC 19989-2:2020 Information security — Criteria and methodology for security evaluation of biometric systems — Part 2: Biometric recognition performance
  • ISO/IEC 19989-3:2020 Information security — Criteria and methodology for security evaluation of biometric systems — Part 3: Presentation attack detection;
  • Общий Регламент о защите персональных данных (GDPR).

Также ряд международных стандартов ISO находится в процессе принятия в Казахстане.

Учитывая сказанное, полагаем, что для применения стандартов в Казахстане единообразно с международной практикой, рекомендуется рассмотреть возможность принятия/адаптации в Казахстане требований вышеуказанных международных стандартов.

В зависимости от этапов внедрения Национальной платформы предлагается разделить исполнение предложенных инициатив на краткосрочные и долгосрочные:          
 

Краткосрочные
 

  1. Принятие унифицированного глоссария терминов и определений в сфере ПД, БД, биометрической идентификации.
  2. Внесение изменений и дополнений в нормативные правовые акты РК, регулирующие вопросы биометрической идентификации, к примеру, в такие как: ЗРК о ПД, ЗРК об информатизации, ЗРК о дактилоскопической и геномной регистрации, ЗРК о государственных услугах, ЗРК о НБ РК, ЗРК о банках и т.д. путем принятия ЗРК «о внесении изменений и дополнений в законодательные акты РК по вопросам защиты ПД и БД», который в том числе может рассматривать следующие вопросы:

−    Объединение регулирования вопросов сбора, обработки (хранения, распространения и т.д.) ПД и БД в рамках единого нормативного правового акта РК.

−    Определение процедур, осуществляемых при идентификации, верификации и аутентификации ПД и БД.

−    Внесение изменений и дополнений в перечень компетенций органов внутренних дел, национальной безопасности, НБ РК, МЦРИАП РК.

−    Определение порядка осуществления сбора и обработки ПД и БД банками и иными финансовыми организациями.

  1. Принятие национальных стандартов по вопросам биометрической идентификации.
  2. Утверждение и принятие отдельных правил функционирования операционных баз данных государственных органов (участников Платформы) с определением порядка доступа к ним, взаимодействия с иными операционными базами данных и с Контрольной биометрической системой.
  3. Утверждение типовой формы согласия на сбор и обработку ПД и БД.
  4. Пересмотр перечней ПД, необходимого и достаточного для выполнения осуществляемых задач, утвержденных уполномоченными министерствами РК и дополнение перечни необходимым списком ПД и БД, требуемым при оказании услуг.

 

Долгосрочные
 

1.      Контроль и надзор за работой и функционированием Платформы, за соблюдением требований законодательства РК.

2.      Анализ функционирования Платформы, выявление зон, которые требуют совершенствования и доработки.

 

 

 

8.   ЦИФРОВАЯ БИОМЕТРИЧЕСКАЯ ИДЕНТИФИКАЦИЯ ДЛЯ ФИНАНСОВОГО РЫНКА

Основными факторами успешной цифровой идентификации в финансовом секторе являются охват финансовыми услугами. Дальнейший рост дохода финансовых институтов будет усиливаться путем предложения финансовыми организациями новых цифровых услуг и продуктов, в том числе с помощью удаленной аутентификации.

 

В рамках Концепции по развитию финансовых технологий и инноваций на 2020-2025 годы, разработанной Национальным Банком Республики Казахстан, удаленная идентификация и биометрия является одним из ключевых направлений развития финансового рынка. Механизм позволяет физическим лицам получать финансовые услуги дистанционно, без физического присутствия в офисах финансовых институтов, за счет возможности подтверждения личности с помощью уникальных персональных данных, в том числе биометрических (изображение лица, радужную оболочку глаза, голос и пр.).

Развитие финансового рынка преследует следующие цели:

  • обеспечение системного видения, направлений цифрового развития финансовой отрасли Казахстана с учетом передовой мировой практики и принципов международных стандартов;
  • повышение доступности, качества и набора цифровых финансовых услуг;
  • снижение рисков и издержек в предоставление цифровых услуг в финансовой сфере;
  • содействие развитию конкуренции на финансовом рынке;
  • повышение уровня цифровой и финансовой грамотности населения в целях обеспечения безопасности.

На саммите G20 в Сеуле лидеры стран, признали финансовую доступность одним из основных столпов глобальной повестки дня. В рамках исполнения данной повестки были выработаны восемь верхнеуровневых принципов. В целях повышения уровня зрелости финансового сектора Республики Казахстан, данные принципы были взяты за основу.

 

Таблица 3. Принципы создания систем цифровой идентификации
 

Принципы

Описание

  1.  

Продвижение цифрового подхода к финансовой доступности

Продвигать цифровые финансовые услуги в качестве приоритета для стимулирования развития инклюзивных финансовых систем, в том числе посредством скоординированных, контролируемых и оцениваемых национальных стратегий и планов действий.

  1.  

Соблюдение баланса инноваций и рисков для достижения доступности цифровых финансовых услуг

Уравновешивание продвижения инноваций для обеспечения доступности цифровых финансовых услуг с выявлением, оценкой, мониторингом и управлением новыми рисками.

  1.  

Обеспечение благоприятной и соразмерной нормативно-правовой базы для доступа к цифровым финансовым услугам

Обеспечение благоприятной и соразмерной нормативно-правовой базы для доступа к цифровым финансовым услугам с учетом соответствующих стандартов и рекомендаций международных органов по стандартизации.

  1.  

Расширение экосистемы инфраструктуры цифровых финансовых услуг

Расширение экосистемы инфраструктуры цифровых финансовых услуг, включая инфраструктуру финансовых, информационных и коммуникационных технологии для безопасного, надежного и недорогого предоставления цифровых услуг во всех соответствующих географических регионах, особенно в сельских районах с недостаточным уровнем обслуживания.

  1.  

Внедрение ответственной цифровой финансовой практики для защиты клиентов

Разработка комплексного подхода к защите прав клиентов и данных, в котором особое внимание уделяется вопросам, имеющим отношение к цифровым финансовым услугам.

  1.  

Повышение цифровой и финансовой грамотности и осведомленности

Поддерживать и оценивать программы, повышающие цифровую и финансовую грамотность, с учетом уникальных характеристик, преимуществ и рисков цифровых финансовых услуг и каналов.

  1.  

Упростить идентификацию клиентов для цифровых финансовых услуг

Облегчить доступ к цифровым финансовым услугам путем разработки или поддержки развития систем идентификации клиентов, продуктов и услуг, которые доступны, доступны по цене и верифицируются, а также учитывают многочисленные потребности и уровни риска для основанного на оценке риска подхода к надлежащей проверке клиентов.

  1.  

Отслеживание прогресса в привлечении цифровых финансовых ресурсов

Отслеживание прогресса в расширении доступа к цифровым финансовым услугам с помощью комплексной и надежной системы измерения и оценки данных.

 Эта система должна использовать новые источники цифровых данных и позволять заинтересованным сторонам анализировать и контролировать предложение и спрос на цифровые финансовые услуги, а также оценивать влияние ключевых программ и реформ.

 

8.1             Текущая архитектура ЦОИД

 

Сервис ЦОИД на базе КЦМР запущен в рамках пилотного проекта для банков второго уровня. ЦОИД – операционный центр, обеспечивающий взаимодействие с банками по обмену данными клиентов из доступных источников для проведения процедур их идентификации.

Основной задачей является обеспечение удаленной идентификации физических лиц в режиме онлайн без их физического присутствия. На текущий момент финансовая организация передает в ЦОИД индивидуальный либо бизнес-идентификационный номер клиента и видеоизображение клиента, полученное из сеанса видеоконференции либо с помощью технологии выявления движения, интервьюируемого в процессе дистанционной идентификации. В это время ЦОИД посредством программного обеспечения определяет степень соответствия по биометрическим показателям фотоизображения, полученного из сеанса видеоконференции либо при использовании технологии выявления движения клиента, с фотоизображением клиента из доступных источников и возвращает финансовым организациям процент сличения, на основе данного ответа финансовая организация принимает решение о верификации.

Текущая архитектура состоит из следующих компонентов:

  1. ЦОИД ядро - программное обеспечение, направленное на установление взаимосвязей между программными компонентами ЦОИД и участников финансовых организаций.

ЦОИД ядро включает в себя:

  • интерфейс взаимодействия с ГБД ФЛ для направления запросов и получения ответов из ГБД ФЛ. Взаимодействие проходит в 2 этапа: первый запрос ЦОИД запрашивает фотографию Клиента из базы данных; второй запрос направлен на получение персональных данных Клиента из ГБД ФЛ.
  • модуль обработки запросов, в котором присваиваются сквозные идентификаторы запросов участников, проводится регистрация клиента, создание досье, управление процессом идентификации.
  1. Модуль матчинга – предназначен для получения степени соответствия полученного фотоизображения из видеоинтервью с эталонными фотоизображениями, полученными из ГБД ФЛ.
  2. Модуль обработки персональных данных из ГБД ФЛ получает идентификационные данные Клиента, в том числе: ФИО, данные документа, удостоверяющего личность, индивидуальный идентификационный номер, а также юридический адрес. При необходимости удаляет ненужные данные (семейное положение и т.д.)
  3. Модуль обнаружения лиц – это модуль ЦОИД, установленный на стороне финансовой организации - Участника, с целью обработки видеопотока из видеоинтервью между клиентом и менеджером Участника и определения наилучшего фотоизображения для использования при идентификации Клиента. Модуль обнаружения лиц осуществляет контроль видеопотока, полученного из сеанса видеоконференции на отсутствие цифровой трансформации данных, после обработки видеопотока получает из него отдельное фотоизображение Клиента лучшего ракурса. Полученное фотоизображение направляется Участнику.

 

 

 

 

Рис. 6. Текущая архитектура ЦОИД

 

 

 

В рамках анализа сформированы основные наблюдения в системе ЦОИД:

  • Использование предыдущей (не последней) версии БД Оracle;
  • Подготовка и отправка ответа по запросу только в виде процента сличения и персональных данных пользователя, что ограничивает процесс принятия решений;
  • Использование только одной биометрической модальности;
  • Отсутствие компонента по сбору, хранению и управлению цифровыми согласиями пользователей на использование их персональных и биометрических данных;
  • Отсутствие возможности определения «живости» лица.

 

8.2            Предложения по развитию ЦОИД

 

С целью дальнейшего развития сервиса ЦОИД и устранения выявленных несоответствий проведены работы по разработке требований по развитию и использованию текущей инфраструктуры, реализованной на базе сервиса КЦМР ЦОИД.

Развитие посредством централизованной в масштабах страны Национальной платформы биометрической идентификации позволит обеспечить доступность широкого спектра финансовых услуг в цифровом виде для потребителей, сократить издержки за счет внедрения полностью цифровых и безбумажных процессов для всех участников финансового рынка и обеспечить для игроков развитие новых возможностей привлечения клиентов.

С целью реализации задач настоящей Программой, определены этапы развития по модернизации ЦОИД, которая охватит гораздо больший перечень услуг с использованием нескольких уровней идентификации, в том числе с использованием нескольких методов биометрических данных.

Взаимодействие ЦОИД с Контрольной биометрической системой будет построено посредством операционной базы данных Национального Банка Республики Казахстан.

 

Этап 1. Модернизация ЦОИД на версию 2.0 
 

Рис. 7. Предлагаемая архитектура ЦОИД на 2022 год

 

 

 

Модернизация ЦОИД должна учитывать стабилизацию текущей версии и развитие, с обеспечением мер безопасности посредством разработки компонента обработки данных – «Система аутентификации», а также реализации интеграционного взаимодействия с системами государственных органов для расширения спектра данных.

  1. Разработка компонента «Система аутентификации». Процессы системы аутентификации включают в себя:
  • определение политики проверки подлинности, определяющие уровень безопасности;
  •  автоматическое сканирование снимков, сделанных приложением для мобильного телефона;
  • возможность предоставления сервиса по определению «живого» лица, обнаружению артефактов (при подделке изображений), а также возможности использования 3d-модельного анализа, определяя, что лицо находится в 3 измерениях, прося пользователя переместить голову или смартфон и просит пользователя выполнить от 1 до 3 элементарных случайных движений.

Передача отпечатков пальцев (двух пальцев) предусматривает одновременное автоматическое сканирование двух пальцев, работу с влажными и сухими пальцами и в различных условиях освещения.

При аутентификации фотография документа, удостоверяющего личность, и сделанное в режиме реального времени селфи, отсканированные отпечатки пальцев преобразуются в биометрические шаблоны и происходит сравнение 1 к 1.

Завершением процедуры работы является электронное заключение договора с генерацией доказательных данных и XML-файл с электронной подписью.

Также в данном компоненте необходимо предусмотреть сервис управления согласиями. Данный компонент хранит персональные данные, такие как мобильный номер телефона, электронную почту, кодовое слово. Это позволит утвердить личность запрашиваемых данных на сличение.

При реализации компонента сохраняется использование мультивендорного подхода.

  1. Интеграционное взаимодействие с системами государственных органов:
  • Сервис предоставления доступа к персональным данным. Для расширения сервисов, предоставляемых ЦОИД предлагается добавить сервис KYC с общей картиной о клиенте, за которой на текущей момент финансовая организация вынуждена обращаться в разные источники. Объединив разные источники под одним зонтом в платформе ЦОИД, посредством интеграции с сервисом предоставления доступа к персональным данным, финансовые организации смогут получить подписанную клиентом анкету KYC, сформированную из верифицированных персональных данных ГБД. В свою очередь электронная анкета позволит финансовым организациям ускорить процесс принятия решений по предоставлению сервисов клиенту.
  • Облачное подписание данных на базе УЦ КЦМР, предполагающее электронное подтверждение достоверности обрабатываемой информации.
  • Реализация аутентификации по нескольким модальностям является приоритетным направлением в развитии. В настоящее время для ЦОИД используется - изображение лица, в целях усовершенствования платформы рассматривается использование отпечатков пальцев и в перспективе радужной оболочки глаза. В целях получения дактилоскопической информации и фотоизображений от первоисточника, до внедрения эталонной базы биометрических данных, необходимо проведение интеграции с АИС БИЛ посредством РП ДРН МВД РК, а также обеспечение финансовых организаций соответствующим оборудованием для обработки модальностей.

Помимо вышеперечисленного ключевым связующим элементом национальной инфраструктуры финансового рынка являются открытые интерфейсы (Open API), позволяющие обеспечить получение и передачу информации между информационными системами различных организаций c использованием стандартных протоколов обмена данными. Создание и развитие цифровой финансовой инфраструктуры обеспечит эффективное предоставление услуг на финансовом рынке, в том числе для малых и средних организаций, что будет способствовать повышению доступности финансовых услуг на всей территории Республики Казахстан и развитию конкуренции в финансовом секторе.

Централизованная схема API подразумевает наличие приложения для аутентификации, разработанное и поддерживаемое CV (Central Validator, Центральный Валидатор – КЦМР). Это приложение является фундаментальной частью схемы, поскольку оно позволяет пользователям безопасно вводить свои финансовые реквизиты. Кроме того, приложение обеспечивает возможность доступа к реквизитам только финансовому учреждению пользователя. Однако, отдельное приложение для безопасной аутентификации - не единственный вариант реализации решения. Данное решение возможно реализовать посредством интеграции функционала в приложение сторонней организации.

Реализация Open API архитектуры включает множество элементов. Несмотря на то, что безопасность для обмена учетными данными имеет решающее значение, взаимодействие с пользователем (user experience) в процессе аутентификации (независимо от того, выполняется ли оно CV или сторонней организацией) имеет не меньшее значение для успешной экосистемы Open Banking.

Потенциальные преимущества открытого банковского обслуживания существенны: улучшение качества обслуживания клиентов, новые потоки доходов и устойчивая модель обслуживания для традиционно недостаточно обслуживаемых рынков/регионов.

 

 

9.   ПЛАН МЕРОПРИЯТИЙ

В Плане мероприятий приведены индикативные сроки, необходимые для внедрения Национальной платформы. Конкретные сроки и предполагаемые расходы реализации требуют уточнения в рамках детальной проработки.

 

Предполагаемая стоимость реализации Национальной платформы составляет 43 649 792 962 тенге, финансирование которой распределено между республиканским бюджетом и бюджетом Национального Банка РК следующим образом:

  • Республиканский бюджет финансирует вычислительную инфраструктуру МВД РК, развитие контрольной биометрической системы и приобретение специализированного оборудования для персонализации документов, удостоверяющих личность на общую сумму в 32 318 405 307 тенге;
  • Национальный Банк РК финансирует развитие ЦОИД, пилот контрольной биометрической системы и модернизацию АИС «БИЛ» в части расширения биометрических модальностей (радужная оболочка глаза) на общую сумму в 11 331 387 655 тенге.

С целью исполнения Плана мероприятий предлагается создание Управляющего комитета в составе государственных органов: НБРК, МЦРИАП РК, МВД РК, КНБ РК. Управляющий Комитет обеспечит координацию работ, а также своевременную корректировку плана мероприятий по мере необходимости.

Наименование мероприятий

Ответственный за исполнение

Срок исполнения

Предполагаемые расходы, тыс. тенге

Источник финансирования

Ожидаемый результат

п/п

 

1

2

3

4

5

6

7

1

Предпроектные мероприятия

1.1

Создание и утверждение Управляющего Комитета

НБ, МЦРИАП, МВД, КНБ

1 квартал 2022 года

финансирование не требуется

финансирование не требуется

состав комиссии и рабочей группы

1.2

Детальная проработка архитектуры Национальной платформы

НБ, МЦРИАП, МВД, КНБ

2 квартал 2022 года

финансирование не требуется

финансирование не требуется

утвержденная архитектура

1.3

Детализация дорожной карты на 2022–2024 гг.

НБ, МЦРИАП, МВД, КНБ

1-2 квартал 2022 года

финансирование не требуется

финансирование не требуется

утвержденная дорожная карта

1.4

Проработка вопросов выделения финансирования мероприятий ГО

МВД, МЦРИАП, НБ

2-3 квартал 2022 года

финансирование не требуется

финансирование не требуется

утвержденный бюджет

2

Мероприятия по реализации НПЦБИ

2.1

Разработка методологии и регламентов проведения биометрической идентификации

МЦРИАП, МВД, КНБ, НБ

2-3 квартал 2022 года

финансирование не требуется

финансирование не требуется

регламентов проведения биометрической идентификации

2.2

Подготовка проектов изменений в НПА, утверждение стандартов

МЦРИАП, МВД, КНБ, НБ

2-3 квартал 2022 года

финансирование не требуется

финансирование не требуется

проекты изменений в НПА и проекты стандартов

2.3

Закуп ЛПО и серверного оборудования, развертывание КБС для пилота (персональные данные и фото)

НБ

3-4 квартал 2022 года

2 900 000,00

НБ

закупленное ЛПО и серверное оборудование

2.4

Реализация механизмов цифровой биометрической идентификации для финансового рынка (модернизация ЦОИД)

НБ

3-4 квартал 2022 года

1 631 103,00

НБ

модернизированный центр обмена идентификационными данными

2.5

Обеспечение освещения в средствах массовой информации о развитии ЦОИД

НБ

4 квартал 2022 года

финансирование не требуется

финансирование не требуется

публикации в СМИ

2.6

Внесение изменений в НПА и утверждение стандартов

МЦРИАП, МВД, КНБ, НБ

4 квартал 2022 года - 4 квартал 2023 года

финансирование не требуется

финансирование не требуется

утвержденные НПА и утвержденные стандарты

2.7

Создание базы данных МВД РК по сбору радужки глаза, приобретение периферийного оборудования (в том числе для ЦОН МЦРИАП)

МВД, НБ, МЦРИАП

4 квартал 2022 года

6 800 285,00

НБ

закупленное ЛПО и оборудование

2.8

Модернизация систем МВД

МВД

4 квартал 2022 года - 2 квартал 2024 года

21 888 405,00

республиканский бюджет (по результатам разработки и защиты инвестиционного проекта)

модернизированная инфраструктура

2.8.1

I этап модернизации систем МВД

МВД

4 квартал 2022 года

5 813 463,00

Республиканский бюджет

модернизированные системы МВД РК, дооборудование серверных помещений МВД РК, приобретенное серверное оборудование 

 

2.8.2

II этап модернизации систем МВД

МВД

4 квартал 2023 года

6 129 576,00

Республиканский бюджет

2.8.3

III этап модернизации систем МВД

МВД

4 квартал 2024 года

9 945 366,00

Республиканский бюджет

2.9

Проведение пилота контрольной биометрической системы

МЦРИАП, НБ

1-2 квартал 2023 года

финансирование не требуется

финансирование не требуется

закупленное серверное оборудование и ЛПО

2.10

Проведение испытаний ЦОИД на соответствие требованиям информационной безопасности

НБ

3 квартал 2024 года

в рамках финансирования пунктов 2.3 и 2.4

НБ

акт испытаний на соответствие требованиям ИБ

2.11

Развитие контрольной биометрической системы и интеграционного взаимодействия с компонентами в рамках Национальной платформы

МЦРИАП, НБ, КНБ, МВД

1 квартал 2024 года

10 430 000,00

республиканский бюджет

разработанная контрольная биометрическая система

2.12

Проведение испытаний КБС на соответствие требованиям информационной безопасности

МЦРИАП, НБ

3 квартал 2024 года

финансирование не требуется

финансирование не требуется

акт испытаний на соответствие требованиям ИБ

2.13

Внедрение НПЦБИ в эксплуатацию

МЦРИАП, МВД, КНБ, НБ

4 квартал 2024 года

финансирование не требуется

финансирование не требуется

введенная в эксплуатацию Национальная платформа

               

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ГЛОССАРИЙ

Digital ID

 

Система МЦРИАП РК, осуществляющая сбор и обработку биометрических данных

Liveness-проверка

Проверка «живости». Есть два типа проверки «живости» во время биометрической идентификации по лицу: пассивный и активный.

Большинство технологий FAS полагаются на пассивное наблюдение с помощью программы, которая отслеживает движение глаз, моргание, движение губ и т.д. При этом пользователю дополнительно ничего делать не нужно.

Во время сеанса активной liveness-проверки для подтверждения личности человека могут попросить показать на камеру удостоверяющий документ, или выполнить жест или движение: повернуть голову, улыбнуться, правильно расположить лицо в кадре.

Авторизация

Процесс предоставления определенному лицу прав на выполнение определенных действий, в том числе доступа к сервисам/услугам

Аутентификация

Процесс установления подлинности лица, получающего доступ к автоматизированной системе, путем сопоставления сообщенного им идентификатора и предъявленного подтверждающего фактора

Валидация

Проверка действительности документов, удостоверяющих личность

Верификация

Проверка и подтверждение права пользователя на получение услуги

Выпуск

Создание и распространение виртуальных или физических удостоверений личности, паспортов

Биометрическая идентификация

Процесс поиска по базе данных биометрических регистраций, направленный на поиск и возврат идентификатора(ов) биометрического контрольного шаблона, связанного с одним индивидом

Биометрическая система

Система, предназначенная для биометрического распознавания индивидов, основанного на их поведенческих и биологических характеристиках.

Биометрический признак

Цифровое представление информации (числа или метки), извлеченное из биометрических образцов и используемое для сравнения

Биометрическая модальность

Аналоговое или цифровое представление биометрических характеристик, предшествующее извлечению биометрических признаков

Биометрический контрольный шаблон

Один или более хранимых биометрических образцов, биометрических шаблонов или биометрических моделей, относящихся к субъекту биометрических данных и используемых в качестве объекта сравнения

Биометрическая характеристика

Биологические и поведенческие характеристики индивида, которые могут быть зарегистрированы и использованы в качестве отличительных, повторяющихся биометрических признаков для автоматического распознавания индивидов

Биометрическое распознавание

Автоматическое распознавание индивидов, основанное на их поведенческих и биологических характеристиках. Биометрическое распознавание включает в себя биометрическую верификацию и биометрическую идентификацию

Мультимодальная биометрическая идентификация

Использование более одного метода в процессе биометрической идентификации

Национальная платформа

Национальная платформа цифровой биометрической идентификации, консолидирующая существующие решения и инициативы в единую инфраструктуру

Обслуживание

Поиск и обновление учетных данных

Отзыв (аннулирование)

Удаление и аннулирование удостоверений личностей, учетных записей, личных данных и биометрической информации

Оценка рисков

Оценка профиля заявителя в соответствии со списком разыскиваемых или модели оценки риска

Резолюция

Предоставление заявителем биографической информации, документов, удостоверяющие личность (например, свидетельство о рождении), а также фотографий соответствующему органу

 

Сравнение «один к одному» (one-to-one comparison, 1:1)

Процесс, при котором биометрическую пробу(ы) одного субъекта биометрических данных сравнивают с биометрическим контрольным шаблоном(ами) одного субъекта биометрических данных для получения результата сравнения

Поиск «один ко многим» (one-to-many search, 1:N)

Процесс, при котором осуществляется поиск биометрической пробы (биометрических проб) одного субъекта биометрических данных по биометрическому контрольному шаблону, более чем одного субъекта биометрических данных с целью возврата списка кандидатов или решения о сравнении

Управление идентификацией

Непрерывный процесс поиска, обновления и удаления атрибутов идентификации или полей данных и политик, регулирующих доступ пользователей к информации и услугам

Цифровой профиль

Инфраструктура предоставления доступа к актуальным персональным данным гражданина с фиксацией согласия для самого гражданина и третьих лиц на базе многофакторной биометрической идентификации

 

Список сокращений:

 

ANSI

American National Standard Institue - Американский национальный институт стандартов

API

Application Programming Interface - программный интерфейс приложения, интерфейс прикладного программирования

Deep-fake

Методика синтеза изображения, основанная на искусственном интеллекте

eiDAS

electronic Identification, Authentication and trust Services - постановление ЕС об электронной идентификации и доверительных услугах для электронных транзакций на едином европейском рынке.

eKYC

electronically Know Your Customer - подтверждение личности клиента банка перед проведением финансовой операции в компьютерных системах

FAR

False Acceptance Rate - вероятность несанкционированного допуска (ошибка первого рода)

FBI

Federal Bureau of Investigation - Федеральное Бюро Расследований США

FRR

False Rejection Rate - вероятность ложного задержания (ошибка второго рода),

ICAO, ИКАО

International Civil Aviation Organization - Международная организация гражданской авиации

IEC

International Electrotechnical Commission - Международная электротехническая комиссия

INCITS

 InterNational Committee for Information Technology Standards - Международный комитет по стандартам информационных технологий

ISO

International Standard Organization - Международная организация по стандартизации

JPEG

Joint Photographic Experts Group - формат графических изображений

KYC

Know Your Customer - подтверждение личности клиента банка перед проведением финансовой операции

MS

Microsoft, компания

NIST

Национальный институт стандартов и технологий Министерства Торговли США

OSIA

 Open Standards set of API (SIA Secure Identity Alliance) - набор открытых стандартов для поставщиков биометрических решений

ОТР

One time password – одноразовый пароль

OUATH2

открытый протокол (схема) авторизации

PIN

Personal Identification Number - ПИН код, персональный код идентификации

RACI

Матрица распределения ответственности

SDK

Software Development Kit - набор средств разработки программного обеспечения

SMS

Short Message Service - служба передачи коротких сообщений в мобильной сети

UIN

Unique Identification Number - уникальный идентификационный номер

WSQ

Wavelet Scalar Quantization - метод сжатия изображения отпечатка пальца

АИС БИЛ

Автоматизированная информационная система «Биометрическая идентификация личности»

АБР

Азиатский банк развития

БД

Биометрические данные

БМГ

База мобильных граждан

БМР

Банк Мирового Развития

ВВП

Валовый внутренний продукт

ГБД

Государственная база данных

ГБД РН

Государственная база данных Реестр населения

ГБД ФЛ

Государственная база данных Физических лиц

ГБД ЮЛ

Государственная база данных Юридических лиц

ЕБРР

Европейский Банк Развития и Реконструкции

ЕС

Европейский союз

ЕИС

Единая информационная система

ЕТС ГО

Единая транспортная среда государственных органов

ЗРК

Закон Республики Казахстан

ИБ

Информационная безопасность

ИИН

Индивидуальный идентификационный номер

ИС МП

Информационная система «Миграционная полиция»

ИТ

Информационные технологии

КНБ РК

Комитет Национальной Безопасности Республики Казахстан

МВД РК

Министерство Внутренних Дел Республики Казахстан

МРП

Месячный расчетный показатель

МЦРИАП РК

Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан

МЮ

Министерство юстиции Республики Казахстан

НБ РК

Национальный Банк Республики Казахстан

НУЦ

Национальный удостоверяющий центр

ПАК

Программно-аппаратный комплекс

ПД

Персональные данные

ПК

Персональный компьютер

ПО

Программное обеспечение

ПОД ФТ

Противодействие отмыванию доходов и финансированию терроризма

РБ

Республиканский бюджет

РП ДРН

Регистрационный пункт «Документирование и регистрация населения

СНГ

Содружество независимых государств

ЦОИД

Центр обмена идентификационными данными

ЦОН

Центр обслуживания населения

ШЭП

Шлюз электронного правительства

ЭЦП

Электронная цифровая подпись

 

 

 

ПЕРЕЧЕНЬ ДЕЙСТВУ

ПРИЛОЖЕНИЕ 1

ЮЩИХ НОРМАТИВНО-ПРАВОВЫХ АКТОВ

 

 

  1. Конституция Республики Казахстан (принята на республиканском референдуме 30 августа 1995 года)
  2. Кодекс Республики Казахстан об административных правонарушениях от 5 июля 2014 года № 235-V
  3. Уголовный кодекс Республики Казахстан от 3 июля 2014 года № 226-V
  4. Закон Республики Казахстан от 26 июля 2016 года № 11-VІ «О платежах и платежных системах»
  5. Закон Республики Казахстан от 12 января 2007 года № 223-III «О национальных реестрах идентификационных номеров»
  6. Закон Республики Казахстан от 30 марта 1995 года № 2155 «О Национальном Банке Республики Казахстан»
  7. Закон Республики Казахстан от 31 августа 1995 года № 2444 «О банках и банковской деятельности в Республике Казахстан»
  8. Закон Республики Казахстан от 15 марта 1999 года № 349-I «О государственных секретах»
  9. Закон Республики Казахстан от 28 августа 2009 года № 191-IV «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»
  10. Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите»
  11. Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации»;
  12. Закон Республики Казахстан от 15 апреля 2013 года № 88-V «О государственных услугах»
  13. Закон Республики Казахстан от 7 января 2003 года N 370 «Об электронном документе и электронной цифровой подписи»
  14. Закон РК от 30 декабря 2016 года № 40-VІ «О дактилоскопической и геномной регистрации»
  15. Закон Республики Казахстан от 5 июля 2004 года № 567-II «О связи»
  16. Перечень персональных данных физических лиц, включаемых в состав государственных электронных информационных ресурсов, утвержденных Постановлением Правительства Республики Казахстан от 26 февраля 2016 года № 117
  17. Постановление Правительства Республики Казахстан от 29 января 2016 года № 40 «Об определении оператора информационно-коммуникационной инфраструктуры «электронного правительства»
  18. Правила по сбору, обработке, хранению, передаче электронных информационных ресурсов для осуществления аналитики данных в целях реализации функций государственными органами, утвержденные Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 394/НҚ
  19. Правила оказания банками и организациями, осуществляющими отдельные виды банковских операций, электронных банковских услуг, утвержденными постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 212
  20. Требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ в платежные системы, утвержденные Постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 200
  21. Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденные постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832
  22. Правила и критериев отнесения объектов информационно-коммуникационной инфраструктуры к критически важным объектам информационно-коммуникационной инфраструктуры, утвержденные Постановлением Правительства Республики Казахстан от 8 сентября 2016 года № 529
  23. Правила создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре утвержденных Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 27 октября 2020 года № 405/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 30 октября 2020 года № 21549 и согласованных МТИ РК и КНБ РК
  24. Правила проведения дактилоскопической и геномной регистрации, утвержденные Постановление Правительства Республики Казахстан от 31 января 2018 года № 36
  25. Правила сбора, обработки и хранения биометрических данных физических лиц для их биометрической аутентификации при оказании государственных услуг, утвержденные Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 27 октября 2020 года № 406/НҚ
  26. Правила функционирования системы межбанковского клиринга, утвержденные Постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 211
  27. Правила функционирования Национальной системы видеомониторинга, утвержденные Приказом Председателя Комитета национальной безопасности Республики Казахстан от 27 октября 2020 года № 69-қе

Регламент осуществления транзакционных сервисов «электронного правительства» Республики Казахстан, утвержденный Приказом

 

  1. Председателя Агентства Республики Казахстан по информатизации и связи от 13 мая 2009 года № 231
  2. Правила интеграции объектов информатизации «электронного правительства», утвержденные Приказом и.о. Министра информации и коммуникаций Республики Казахстан от 29 марта 2018 года № 123
  3. Правила предоставления номинальными держателями электронных услуг, утвержденные Постановлением Правления Национального Банка Республики Казахстан от 28 января 2016 года № 27
  4. Требования к интегральной микросхеме, используемой при изготовлении документов, удостоверяющих личность, утвержденные Постановлением Правительства Республики Казахстан от 18 сентября 2007 года № 815
  5. Правила осуществления брокерской и (или) дилерской деятельности на рынке ценных бумаг, порядка проведения брокером и (или) дилером банковских операций, утвержденные Постановлением Правления Национального Банка Республики Казахстан от 3 февраля 2014 года № 9
  6. Правила представления сведений о платежных услугах, утвержденные Постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 213
  7. Правила проведения мониторинга выполнения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденные Приказом и.о. Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 февраля 2018 года № 33/НҚ
  8. Политики, Правила, Методики, Инструкции, Регламенты и Руководства по информационной безопасности Министерства образования и науки Республики Казахстан, утвержденные Приказом и.о. Министра образования и науки Республики Казахстан от 5 ноября 2018 года № 613
  9. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых задач, утвержденный Приказом Министра труда и социальной защиты населения Республики Казахстан от 28 августа 2013 года № 403-Ө-М
  10. Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах, утвержденные Постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48
  11. Правила открытия (закрытия), функционирования (эксплуатации), категорирования, классификации, обустройства, а также требований по техническому оснащению, модернизации и организации работы пунктов пропуска, сервисной инфраструктуры, утвержденные Постановлением Правительства Республики Казахстан от 17 сентября 2013 года № 977
  12. Правила информационного взаимодействия Генеральной прокуратуры Республики Казахстан и Министерства внутренних дел Республики Казахстан посредством информационных систем, утвержденные Совместным приказом Генерального Прокурора Республики Казахстан от 1 сентября 2011 года № 79 и Министра внутренних дел Республики Казахстан от 28 сентября 2011 года № 514
  13. Правила регистрации и прекращения взаимодействия удостоверяющих центров, доверенных третьих сторон иностранных государств с доверенной третьей стороной Республики Казахстан, утвержденные Приказом Министра по инвестициям и развитию Республики Казахстан от 28 декабря 2015 года № 1261
  14. Перечень персональных данных физических лиц, включаемых в состав государственных электронных информационных ресурсов, утвержденный Постановлением Правительства Республики Казахстан от 26 февраля 2016 года № 117
  15. Правила проведения мониторинга обеспечения информационной безопасности объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры, утвержденные Приказом Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 52/НҚ
  16. Приказ и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 16 августа 2019 года № 199/НҚ Об утверждении Правил проведения мониторинга событий информационной безопасности объектов информатизации государственных органов
  17. Правила обмена информацией, необходимой для обеспечения информационной безопасности, между оперативными центрами обеспечения информационной безопасности и Национальным координационным центром информационной безопасности, утвержденные Приказом Министра оборонной и аэрокосмической промышленности Республики Казахстан от 19 марта 2018 года № 48/НҚ
  18. Методики и правила проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности, утвержденные Приказом Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ
  19. Требования к Правилам внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма для платежных организаций, утвержденные Совместным приказом Министра финансов Республики Казахстан от 4 октября 2016 года № 532 и постановление Правления Национального Банка Республики Казахстан от 28 октября 2016 года № 262
  20. Требования к надлежащей проверке клиентов в случае дистанционного установления деловых отношений субъектами финансового мониторинга, утвержденные Постановлением Правления Национального Банка Республики Казахстан от 29 июня 2018 года № 140
  21. Правила подключения электронных информационных ресурсов, содержащих персональные медицинские данные, к сетям телекоммуникаций, связывающим их с другими базами данных в области здравоохранения, утвержденные Приказом Вице-министра здравоохранения Республики Казахстан – Главного государственного санитарного врача Республики Казахстан от 26 февраля 2021 года № 111
  22. Правила сбора, обработки персональных данных, утвержденные Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ
  23. Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных, утвержденные Постановлением Правительства Республики Казахстан от 3 сентября 2013 года № 909
  24. Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, утвержденные Постановлением Правительства Республики Казахстан от 12 ноября 2013 года № 1214
  25. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых Министерством информации и коммуникаций Республики Казахстан задач, утвержденный Приказом Министра информации и коммуникаций Республики Казахстан от 22 мая 2017 года № 193
  26. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых задач, утвержденный Приказом и.о. Председателя Национального космического агентства Республики Казахстан от 30 сентября 2013 года № 89/НҚ
  27. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых задач, утвержденный Приказом Министра внутренних дел Республики Казахстан от 12 августа 2013 года № 493
  28. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых задач, утвержденный Приказом и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 июля 2020 года № 278/НҚ

Перечень персональных данных государственных служащих, необходимого и достаточного для выполнения осуществляемых Агентством

 

  1. Республики Казахстан по делам государственной службы и противодействию коррупции и его территориальными органами задач, утвержденный Приказом Председателя Агентства Республики Казахстан по делам государственной службы и противодействию коррупции от 21 октября 2016 года № 16
  2. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых задач, утвержденный Приказом Председателя Счетного комитета по контролю за исполнением республиканского бюджета от 12 ноября 2013 года № 207-н/қ
  3. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых Министерством сельского хозяйства Республики Казахстан задач, утвержденный Приказом Министра сельского хозяйства Республики Казахстан от 11 июня 2019 года № 234
  4. Перечень персональных данных физических лиц, включаемых в состав государственных электронных информационных ресурсов, утвержденный Постановлением Правительства Республики Казахстан от 26 февраля 2016 года № 117
  5. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых задач, утвержденный Приказом Министра по инвестициям и развитию Республики Казахстан от 22 января 2018 года № 42
  6. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых задач, утвержденный Приказом Министра юстиции Республики Казахстан от 28 августа 2013 года № 286
  7. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых задач, утвержденный Приказом Министра иностранных дел Республики Казахстан от 29 августа 2013 года № 08-1-1-1/375
  8. Перечень персональных данных, необходимых и достаточных для выполнения осуществляемых задач органами прокуратуры, утвержденный Приказом Генерального Прокурора Республики Казахстан от 23 сентября 2013 года № 101
  9. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых задач, утвержденный Приказом Министра по делам религий и гражданского общества Республики Казахстан от 6 июня 2017 года № 88
  10. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых задач, утвержденный Приказом Министра труда и социальной защиты населения Республики Казахстан от 28 августа 2013 года № 403-Ө-М
  11. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых задач, утвержденный Приказом Министра культуры и информации Республики Казахстан от 29 августа 2013 года № 211
  12. Перечень персональных данных, необходимого и достаточного для выполнения осуществляемых задач, утвержденный Приказ Министра образования и науки Республики Казахстан от 28 августа 2013 года № 359
  13. Правила классификации государственных услуг в электронной форме для определения способа аутентификации услугополучателя, утвержденные Приказом Министра по инвестициям и развитию Республики Казахстан от 19 января 2016 года № 10
  14. Требования к деятельности организации по формированию и ведению базы данных, утвержденные Постановлением Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 25 июня 2007 года № 177
  15. Правила проведения проверки работников Государственной корпорации «Правительство для граждан», имеющих доступ к персональным данным граждан, а также участвующих в процессе оказания государственных услуг, утвержденные Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 5 июня 2020 года № 231/НҚ
  16. Программа развития национальной платежной системы в Республике Казахстан до 2025 года, утвержденная Постановлением Правления Национального Банка Республики Казахстан от 30 ноября 2020 года № 133
  17. Правила доступа и передачи информации для обеспечения взаимодействия информационной системы «Интегрированный банк данных» Министерства внутренних дел Республики Казахстан и интеграционной части Государственной базы данных «Физические лица» Министерства юстиции Республики Казахстан посредством шлюза «электронного правительства» Министерства по инвестициям и развитию Республики Казахстан, утвержденные Совместным приказом Министра внутренних дел Республики Казахстан от 4 августа 2015 года № 666, Министра по инвестициям и развитию Республики Казахстан от 8 сентября 2015 года № 901 и Министра юстиции Республики Казахстан от 15 сентября 2015 года № 500
 

 

 

ПРИЛОЖЕНИЕ 2

ОПЕРАЦИОННО-ПРАВОВАЯ МОДЕЛЬ

 

 

Ниже рассмотрены этапы операционной деятельности биометрических систем согласно действующему законодательству РК.

 

Сбор и обработка ПД и БД

 

Согласно законодательству РК, сбор и обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом Правилами сбора и обработки ПД[20], за исключением случаев, предусмотренных статьей 9 ЗРК о ПД, при которых сбор и обработка ПД может осуществляться без согласия субъекта или его законного представителя в рамках:

  1. осуществления деятельности правоохранительных органов и судов, исполнительного производства;
  2. осуществления государственной статистической деятельности;
  3. использования ГО ПД для статистических целей с обязательным условием их обезличивания;
  4. реализации международных договоров, ратифицированных РК;
  5. защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;
  6. осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства РК по обеспечению прав и свобод человека и гражданина;
  7. опубликования ПД в соответствии с законами РК, в том числе ПД кандидатов на выборные государственные должности;
  8. неисполнения субъектом своих обязанностей по представлению ПД в соответствии с законами РК;
  9. получения ГО, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством РК;
  10. получения органами государственных доходов для осуществления налогового администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами РК;
  11. передачи на хранение резервной копии электронных информационных ресурсов, содержащих ПД ограниченного доступа, на единую национальную резервную платформу хранения электронных информационных ресурсов в случаях, предусмотренных законами РК;
  12. использования ПД субъектов предпринимательства, относящихся непосредственно к их предпринимательской деятельности, для формирования реестра бизнес-партнеров при условии соблюдения требований законодательства РК;
  13. в иных случаях, установленных законами РК.

Сбор и обработка собственником и (или) оператором ПД допускается в объеме, определенном перечнем ПД, необходимого и достаточного для выполнения осуществляемых задач.[21]

При оказании государственных услуг субъект вправе дать согласие на сбор ПД через кабинет пользователя на веб-портале «электронного правительства», сервис обеспечения безопасности ПД, а также посредством зарегистрированного на веб-портале «электронного правительства» абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства».

Следует отметить, что при запросе у субъекта ПД, необходимо соответствие их наименований, целей их сбора и обработки наименованиям, целям сбора и обработки, указанным в перечне ПД.

Согласно Перечню ПД, необходимого и достаточного для выполнения осуществляемых задач, утвержденных Приказом и.о. Министра ЦРИАП РК от 29 июля 2020 года № 278/НҚ, в числе прочих ПД, МЦРИАП осуществляет сбор портретного изображения (оцифрованной фотографии).[22]

При оказании банковских/финансовых услуг поставщик платежных услуг осуществляет сбор и обработку ПД с согласия субъекта ПД,[23] за исключением случаев,[24] предусмотренных ЗРК о ПД.

Согласно ЗРК о банках,[25] сбор и обработка ПД клиентов банка без согласия субъектов ПД или их законных представителей осуществляется:

  • банком, к которому осуществляется присоединение в отношении ПД клиентов банка, права (требования) и обязательства, по которым передаются в рамках процедуры реорганизации;[26]
  • банком-приобретателем в отношении ПД клиентов банка, права (требования) и обязательства, по которым передаются при проведении операции по одновременной передаче активов и обязательств банка в части либо в полном размере другому (другим) банку (банкам);[27]
  • юридическим лицом, ранее являвшемся дочерним банком после прекращения действия лицензии на проведение банковских и иных операций и деятельности на рынке ценных бумаг, в отношении ПД клиентов родительского банка, права (требования) и обязательства по которым переданы при проведении операции по одновременной передаче активов и обязательств между родительским банком и дочерним банком;[28]
  • банком-приобретателем в отношении ПД клиентов неплатежеспособного банка, права (требования) и обязательства, по которым передаются при проведении операции по одновременной передаче активов и обязательств неплатежеспособного банка другому банку (другим банкам).[29]

При осуществлении деятельности органов внутренних дел, национальной безопасности сбор и обработка БД осуществляется в соответствии с Правилами сбора и обработки БД. Действующим законодательством РК урегулированы отношения, связанные с дактилоскопической и геномной регистрацией граждан РК, иностранцев и лиц без гражданства.

Согласно законодательству РК[30], осуществлением дактилоскопической регистрации, а также сбора, обработки и уничтожения БД в пределах своей компетенции занимаются следующие органы:

  • органы внутренних дел;
  • уполномоченный ГО в области внешнеполитической деятельности;
  • органы национальной безопасности;
  • уполномоченный ГО в области транспорта.

Органы внутренних дел в пределах своей компетенции имеют право осуществлять сбор и обработку ПД.[31] Органы внутренних дел для постановки на криминалистические учеты подозреваемых, обвиняемых, лиц, отбывающих наказание в учреждениях уголовно-исполнительной системы, содержащихся в специальных учреждениях органов внутренних дел, поставленных на профилактический учет вправе:[32]

  • фотографировать;
  • дактилоскопировать;
  • производить звукозапись;
  • производить кино- и видеосъемку;
  • отбирать биологические и другие образцы.

Сбор дактилоскопической информации включает получение БД об особенностях строения папиллярных узоров 10 пальцев обеих рук и (или) ладоней обеих рук человека путем дактилоскопирования и внесения в соответствующую информационную систему ПД, установленных Правилами проведения дактилоскопической и геномной регистрации. При этом, ПД лица, прошедшего дактилоскопическую регистрацию, связаны персональным идентификатором с его БД об особенностях строения папиллярных узоров 10 пальцев и (или) ладоней обеих рук в АИС «БИЛ».[33]

Процесс дактилоскопирования осуществляется следующим образом:

  • бескрасковым методом путем сканирования десяти пальцев рук или десяти пальцев и ладоней обеих рук на специальном дактилоскопическом сканере;[34]
  • красковым методом на бумажный бланк дактилоскопической карты при оформлении документа на бумажном бланке формуляра, а также в случаях, когда сканирование пальцев рук не представляется возможным ввиду деформации суставов.[35]

Сбор дактилоскопической информации лиц проводится в местах:[36]

  • регистрационных пунктах «Документирование и регистрация населения»;
  • регистрационных пунктах «Документирование и регистрация иностранцев» подразделений миграционной службы;
  • подразделениях миграционной службы органов внутренних дел;
  • органах национальной безопасности;
  • загранучреждениях РК.

Полученные при дактилоскопировании отпечатки 10 пальцев рук или 10 пальцев и ладоней обеих рук вводятся в базу данных АИС «БИЛ», 2 отпечатка указательных пальцев обеих рук заносятся в микросхему документа, удостоверяющего личность. В случае отсутствия (ампутации, врожденной патологии) указательных пальцев (одного или двух), в микросхему заносятся наилучшего качества 2 отпечатка средних либо безымянных пальцев, или 2 больших пальца рук. В случае отсутствия (ампутации, врожденной патологии) 1 руки, в микросхему заносятся наилучшего качества отпечатки двух пальцев имеющейся руки.[37]

Согласно ЗРК о дактилоскопической и геномной регистрации, с 1 января 2023 года дактилоскопическую регистрацию будут проводить в отношении:[38]

1.       граждан РК, обратившихся для получения паспорта или удостоверения личности гражданина РК впервые, а также в случаях его восстановления, замены – органами внутренних дел, в случае оформления паспорта гражданина РК в загранучреждениях РК - уполномоченным государственным органом в области внешнеполитической деятельности;

2.       граждан РК, иностранцев и лиц без гражданства, в отношении которых принято решение о выдаче удостоверения личности моряка РК, - уполномоченным государственным органом в области транспорта;

3.       иностранцев и лиц без гражданства, постоянно проживающих в РК; иностранцев и лиц без гражданства, обратившихся для получения вида на жительство иностранца в РК, удостоверения лица без гражданства, удостоверения беженца впервые или для его восстановления, замены; иммигрантов, прибывших в РК в качестве домашних работников с целью выполнения работ (оказания услуг) у работодателей - физических лиц в домашнем хозяйстве - органами внутренних дел;

1.       иностранцев и лиц без гражданства, подлежащих выдворению за пределы РК либо подпадающих под действие международных договоров о реадмиссии, ратифицированных РК - органами внутренних дел, органами национальной безопасности в соответствии с их компетенциями;

2.       иностранцев и лиц без гражданства при получении виз РК - уполномоченным государственным органом в области внешнеполитической деятельности, органами внутренних дел в соответствии с их компетенциями.

В целях исключения возможности утраты, искажения и несанкционированного доступа к дактилоскопической информации сотрудники уполномоченных ГО, осуществляющие сбор дактилоскопической информации не допускают к автоматизированным рабочим местам электронного информационного ресурса АИС «БИЛ» должностных и иных лиц, не имеющих по роду служебной деятельности прямого допуска к дактилоскопической информации.[39]

 

Хранение ПД и БД

 

Хранение ПД, содержащихся в электронных информационных ресурсах, осуществляется собственником и (или) оператором, а также третьим лицом в электронной базе, находящейся в серверном помещении на территории РК, с принятием необходимых мер по защите ПД в соответствии с порядком, [40] определяемым Правительством Республики Казахстан.

При оказании государственных услуг хранение и передача БД осуществляется с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности в соответствии с СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования».[41]

Согласно пункту 4.1. указанного СТ РК 1073-2007, средства криптографической защиты информации предназначены для:

  • сохранения конфиденциальности данных при помощи шифра;
  • аутентификации, в том числе контроля целостности данных, при помощи имитовставки и (или) ЭЦП;
  • генерации, формирования, распределения и (или) управления ключами.

В соответствии с казахстанским законодательством, хранение ПД осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории РК.[42]

Срок хранения ПД определяется датой достижения целей их сбора и обработки, если иное не предусмотрено ЗРК.[43]

При оказании банковских/финансовых услуг поставщик платежных услуг обеспечивает соблюдение следующих условий:[44]

1.       проведение надлежащей проверки и идентификации клиента в соответствии с ЗРК о ПОДФТ[45] доходов, полученных преступным путем, и финансированию терроризма;

2.       наличие в платежном документе о платеже и (или) переводе денег и передачу участнику платежа и (или) перевода денег реквизитов по отправителю денег и бенефициару, предусмотренных ЗРК о ПОДФТ, за исключением случаев оказания платежной организацией услуг, предусмотренных подпунктами 3) и 7) статьи 12.1 ЗРК о платежах;

3.       сохранение в течение 5 лет после оказания платежной услуги либо закрытия банковского счета клиента сведений, позволяющих идентифицировать отправителя денег и (или) бенефициара;

4.       сохранность идентификационных средств клиента от доступа третьим лицам.

При осуществлении деятельности органов внутренних дел, национальной безопасности накопление и хранение дактилоскопической информации, полученной при проведении дактилоскопической регистрации, осуществляются органами внутренних дел путем формирования электронного информационного ресурса в соответствии с законодательством РК.[46]

Накопление и хранение дактилоскопической информации, полученной в результате проведения дактилоскопической регистрации, осуществляются автоматизированным способом в АИС «БИЛ» МВД в соответствии с Правилами формирования, ведения баз данных дактилоскопической и геномной информации, утверждаемыми уполномоченным органом. Приказом МВД РК от 9 декабря 2017 года № 169 ДСП были утверждены Правила формирования, ведения баз данных дактилоскопической и геномной информации», который имеет гриф «Для служебного пользования» и в базе данных не приводится.

Органы внутренних дел, органы национальной безопасности, уполномоченный государственный орган в области транспорта хранят дактилоскопическую информацию в базах данных АИС «БИЛ» о следующих лицах в течение указанных сроков:[47]

  • гражданина РК - до установления факта их смерти;
  • в случаях признания гражданина безвестно отсутствующим или объявления судом гражданина умершим, утраты или выхода из гражданства РК до даты, когда им исполнилось бы 100 лет;
  • иностранцев и лиц без гражданства - 10 лет со дня регистрации. По истечении сроков, указанных выше дактилоскопическая информация хранится в архивах на материальных носителях в течение 40 лет.

Хранение дактилоскопической информации, поступившей в АИС «БИЛ» по запросам компетентных ГО, если срок ее хранения прямо не оговорен в запросе, осуществляется до установления личности неустановленного (разыскиваемого) лица или неопознанного трупа, после чего она удаляется из базы данных.[48]

В целях исключения возможности утраты, искажения и несанкционированного доступа к дактилоскопической информации оперативно-криминалистическое подразделение МВД, осуществляющее накопление и хранение дактилоскопической информации, не допускает:[49]

  1. хранение дактилоскопической информации вне специально приспособленных для этих целей помещений;
  2. оставление незапертыми помещения (рабочие кабинеты), где может быть осуществлен доступ к дактилоскопической информации, электронному информационному ресурсу АИС «БИЛ», информационным системам (электронным носителям информации), а также оставление их не опечатанными в нерабочее время;
  3. допуск в помещения (рабочие кабинеты), в которых находится (хранится) дактилоскопическая информация, посторонних лиц без основания, установленного ЗРК, официально оформленного разового пропуска и сопровождения сотрудников, непосредственно работающих с этой информацией;
  4. внос (вынос) без оформления в установленном порядке материального пропуска в помещение (рабочие кабинеты), в которых находятся (хранятся) дактилоскопическая информация, визуальных средств наблюдения, видео-, кино-, фотоаппаратуры, ноутбуков, флэш-карт, вычислительной техники, средств мобильной связи (смартфонов, планшетов, смарт-часов и другое), оснащенных интернет-модулями, фото- и видеокамерами, радиотехнической и другой аппаратурой;
  5. передачу дактилоскопической информации во временное пользование должностным и иным лицам, не имеющим по роду служебной деятельности прямого допуска к этой информации;
  6. внесение без оснований изменения и (или) дополнения в дактилоскопическую информацию зарегистрированных лиц и ее использование, блокирование, обезличивание, снятие блокирования, снятие обезличивания;
  7. уничтожение дактилоскопической информации без основания и оформления соответствующих документов;
  8. выдачу по открытым каналам связи (телефон, модем, факс, интернет и другие) справок о гражданах, прошедших дактилоскопическую регистрацию, а также производство проверок и выдачи информации о них в письменной или устной форме по неофициальным обращениям должностных и иных лиц;
  9. передачу учетных документов во временное пользование лицам, не являющимся сотрудниками, в чьи должностные обязанности входит работа с дактилоскопической информацией;
  10. осуществление автоматизированного ведения учетов без обеспечения средствами контроля и защиты от несанкционированного доступа к автоматизированным информационным системам.

 

Биометрическая идентификация (1:N)

 

При оказании банковских/финансовых услуг доступ к информационным системам банка, организации осуществляется путем идентификации и аутентификации пользователей информационных систем. Идентификация и аутентификация пользователей информационных систем банка, организации производится одним из следующих способов:[50]

  • посредством ввода пары «учетная запись (идентификатор) - пароль» или с применением способов двухфакторной аутентификации;
  • с использованием способов биометрической и (или) криптографической и (или) аппаратной аутентификации.

Согласно пункту 14 Правил оказания электронных банковских услуг,[51] электронные платежные услуги предоставляются юридическим лицам с использованием следующих способов идентификации:

  • ЭЦП;
  • динамической идентификации;
  • биометрической идентификации их уполномоченных лиц.

Электронные платежные услуги предоставляются физическим лицам с использованием одного из следующих способов идентификации:[52]

  • ЭЦП;
  • динамической идентификации;
  • биометрической идентификации;
  • уникального идентификатора пользователя и пароля.

В соответствии с Правилами функционирования системы ЦОИД[53] банк с целью проведения идентификации клиента с использованием средств биометрической идентификации выбирает в ЦОИД необходимый биометрический процесс компании-производителя биометрических процессов (вендора) и направляет в ЦОИД запрос в соответствии с форматами, утвержденными КЦМР. Форматы запросов размещаются на официальном интернет-портале КЦМР. ЦОИД по ИИН клиента направляет запрос в доступные источники на получение его фотоизображения.

Для идентификации клиента с использованием средств биометрической идентификации при установлении деловых отношений с клиентом дистанционным способом, а также при предоставлении клиенту электронных банковских услуг допускается использование услуг ЦОИД. Также в указанном случае, на основании полученного согласия клиента на сбор, обработку, хранение и представление, в том числе при необходимости третьим лицам, его персональных данных, подтвержденного посредством идентификационного средства, банк проводит с клиентом с использованием имеющихся у клиента устройств и (или) иных устройств банка сеанс видеоконференции либо использует технологию выявления движения клиента. Содержательная часть сеанса видеоконференции (перечень контрольных вопросов при их наличии), а также перечень и объемы услуг, оказываемых банками при удаленной идентификации клиентов, устанавливаются банками самостоятельно.[54]

Банк передает в ЦОИД индивидуальный либо бизнес-идентификационный номер клиента и видеоизображение клиента, полученное из сеанса видеоконференции либо с помощью технологии выявления движения, интервьюируемого в процессе дистанционной идентификации.

ЦОИД посредством программного обеспечения определяет степень соответствия по биометрическим показателям фотоизображения, полученного из сеанса видеоконференции либо при использовании технологии выявления движения клиента, с фотоизображением клиента из доступных источников. Видеозаписи обращений клиентов хранятся в банке.

Эмитент электронных денег обязан осуществить идентификацию физического лица в случае приобретения им электронных денег на сумму, превышающую 50 000-кратный размер МРП, установленного на соответствующий финансовый год законом о республиканском бюджете. [55]

Эмитент электронных денег на основании договора вправе уполномочить юридическое лицо, являющееся субъектом финансового мониторинга в соответствии с ЗРК о ПОДФТ, осуществлять идентификацию владельца электронных денег - физического лица от имени и по поручению эмитента электронных денег.[56]

Идентификация владельца электронных денег производится эмитентом электронных денег и (или) оператором системы электронных денег при личном присутствии владельца электронных денег и предъявлении им документа, удостоверяющего личность, либо посредством удаленной идентификации на основании сведений из доступных источников, полученных от операционного центра межбанковской системы переводов денег, или путем упрощенной идентификации.[57]

Упрощенная идентификация владельца электронных денег производится эмитентом электронных денег и (или) оператором системы электронных денег дистанционным способом с использованием средств информационно-коммуникационных технологий с фиксированием сведений об индивидуальном идентификационном номере владельца электронных денег и получением электронной копии документа, удостоверяющего личность.[58]

Эмитент электронных денег и (или) оператор системы электронных денег при фиксировании сведений об индивидуальном идентификационном номере владельца электронных денег - физического лица осуществляет его сверку на основании сведений из доступных источников.[59]

Процесс поиска по базе данных биометрических регистраций, направленный на поиск и возврат идентификатора(ов) биометрического контрольного шаблона, связанного с одним индивидом.[60]

Процедура установления личности клиента с целью однозначного подтверждения его прав на получение электронных банковских услуг на основе его физиологических и биологических особенностей.[61]

За выпуск электронных денег на сумму, не соответствующую сумме принятых на себя обязательств, а также за выпуск электронных денег на сумму, превышающую 50 000 МРП, без идентификации владельца электронных денег, а также за допущение использования электронных денег в системе электронных денег при совершении операций на сумму, которая превышает установленные ограничения по максимальной сумме одной операции, сумме хранения электронных денег на электронном кошельке и общей сумме использованных электронных денег посредством электронного кошелька, эмитент электронных денег несет ответственность по основаниям, в порядке и размерах, которые предусмотрены статьей 222 КоАП.[62]

В рамках внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма для платежных организаций, при проверке достоверности представленных сведений, помимо прочих операций, также проводится визуальное сличение фотографии, размещенной на документе, удостоверяющем личность, с клиентом (представителем клиента).[63]

При осуществлении деятельности органов внутренних дел, национальной безопасности идентификация по дактилоскопической информации лица, ранее прошедшего дактилоскопическую регистрацию, осуществляется в процессе документирования, а также по запросам компетентных государственных органов МВД РК.[64]

 

Биометрическая верификация (1:1)

 

Согласно ГОСТ ISO/IEC 2382-37-2016, под верификацией понимается процесс подтверждения биометрического заявления при сравнении.[65]

Согласно подпункту 16) пункта 2 Правил проведения дактилоскопической и геномной регистрации,[66] верификация - подтверждение личности путем проверки на совпадение папиллярных узоров пальцев и (или) ладоней рук физического лица с его дактилоскопической информацией, размещенной в документе, удостоверяющем личность, либо базе данных АИС «БИЛ».

Идентификация по дактилоскопической информации лица, ранее прошедшего дактилоскопическую регистрацию, осуществляется в процессе документирования, а также по запросам компетентных ГО МВД.[67]

Верификация осуществляется при наличии дактилоскопического сканера, соответствующего оборудования и доступа для считывания дактилоскопической информации с биометрических документов либо дактилоскопической информации конкретного лица из базы данных АИС «БИЛ».[68]

МВД предоставляет дактилоскопическую информацию из АИС «БИЛ» по запросам компетентных ГО для верификации.[69]

 

Биометрическая аутентификация

 

Согласно статье 1(38-1) ЗРК об информатизации,[70] биометрическая аутентификация - комплекс мер, идентифицирующих личность на основании физиологических и биологических неизменных признаков.

Под «аутентификацией» в соответствии с подпунктом 11) пункта 2 Правил классификации государственных услуг в электронной форме для определения способа аутентификации услугополучателя[71] подразумевается подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе. Согласно ГОСТ ISO/IEC 2382-37-2016, аутентификация – это действие, доказывающее или показывающее бесспорное происхождение или достоверность.[72]

При оказании государственных услуг для аутентификации сбор и обработка ПД производится у физических лиц, достигших восемнадцатилетнего возраста, на добровольной основе.[73]

Согласно статье 11-1.4 ЗРК о государственных услугах,[74] сбор, обработку и хранение БД физических лиц для их биометрической аутентификации при оказании государственных услуг и ведение базы БД физических лиц для их биометрической аутентификации при оказании государственных услуг осуществляется НАО «Государственная корпорация «Правительство для Граждан».

При оказании банковских/финансовых услуг доступ к информационным системам банка, организации осуществляется путем идентификации и аутентификации пользователей информационных систем. Идентификация и аутентификация пользователей информационных систем банка, организации производится одним из следующих способов:[75]

  • посредством ввода пары «учетная запись (идентификатор) - пароль» или с применением способов двухфакторной аутентификации;
  • с использованием способов биометрической и (или) криптографической и (или) аппаратной аутентификации.

Подтверждение подлинности и правильности составления электронного документа в соответствии с требованиями процедуры безопасности (пп. 1) п.2 Правил оказания банками, филиалами банков-нерезидентов Республики Казахстан и организациями, осуществляющими отдельные виды банковских операций, электронных банковских услуг)

 

Доступ к ПД и БД

 

Третьи лица могут получать ПД, содержащиеся в информационных системах ГО, через веб-портал «электронного правительства» при условии согласия субъекта, предоставленного через кабинет пользователя на веб-портале «электронного правительства», а также посредством зарегистрированного на веб-портале «электронного правительства» абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства» или сервиса обеспечения безопасности ПД.[76]

 

Сообщение о действиях с ПД и БД

 

Согласно статье 36.4 ЗРК об информатизации, собственники или владельцы информационных систем ГО обязаны уведомлять субъектов ПД через кабинет пользователя на веб-портале «электронного правительства» в автоматическом режиме обо всех случаях использования, изменения и дополнения ПД в рамках информационного взаимодействия при условии регистрации субъектов ПД на веб-портале «электронного правительства».

При этом ЗРК о ПД определяется, что при наличии условия об уведомлении субъекта о передаче его ПД третьему лицу собственник и (или) оператор в течение 10 рабочих дней уведомляют об этом субъекта или его законного представителя, если иное не предусмотрено ЗРК.[77]

Требования об уведомлении субъекта о передаче его ПД третьему лицу не распространяются на случаи:[78]

При обнаружении несанкционированного доступа к информации, составляющей банковскую тайну, ее несанкционированного изменения, осуществления несанкционированного платежа и (или) перевода денег и иных несанкционированных действий, банк уведомляет об этом клиента, в отношении которого были допущены такие действия, не позднее следующего рабочего дня после их обнаружения.[79]

 

Использование ПД и БД

 

Использование ПД осуществляется собственником, оператором и третьим лицом для ранее заявленных целей их сбора, определяемых перечнем ПД.[80]

Использование дактилоскопической информации граждан РК, иностранцев и лиц без гражданства для учета и контроля лиц, пересекающих Государственную границу РК, посредством процедуры подтверждения личности по дактилоскопической информации осуществляется в порядке, устанавливаемом органами национальной безопасности РК.[81]

Контроль за использованием дактилоскопической информации возлагается на руководителей ГО, которым выдана дактилоскопическая информация.[82]

 

Распространение информации с ПД и БД

 

В случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.[83]

Согласно казахстанскому законодательству, поставщик платежных услуг, обслуживающий банковский счет клиента, должен передать информацию о наличии, номере банковского счета и операциях по банковскому счету клиента третьим лицам по приказу и с согласия клиента, подтвержденного посредством идентификационных средств.[84]

В соответствии с Правилами проведения дактилоскопической и геномной регистрации передача дактилоскопической информации лица, прошедшего дактилоскопическую регистрацию (в том числе трансграничная) судам, правоохранительным, специальным государственным органам, органам исполнительного производства, дознания, следствия производится оперативно-криминалистическим подразделением МВД, осуществляющим ее накопление и обработку, на основании ЗРК, международных договоров, ратифицированных РК.[85]

Направление (пересылка) материальных носителей дактилоскопической информации лица, прошедшего дактилоскопическую регистрацию, осуществляется с соблюдением требований, предусмотренных для пересылки сведений конфиденциального характера.[86]

 

Изменение и дополнение ПД и БД

 

Субъект ПД имеет право требовать от собственника и (или) оператора изменения и дополнения своих ПД при наличии оснований, подтвержденных соответствующими документами.[87]

Собственник и (или) оператор в течение одного рабочего дня изменяет и (или) дополняет ПД на основании соответствующих документов, подтверждающих их достоверность.[88]

БД физического лица, ранее прошедшего сбор, после внесения изменения и (или) дополнения заменяется новыми данными, в случае предусмотренных пунктом 9 Правил сбора и обработки БД, при этом предыдущие данные архивируются в базе БД.[89]

Изменение и (или) дополнение дактилоскопической информации осуществляются сотрудником в день обращения лица, прошедшего дактилоскопическую регистрацию, его законного представителя или опекуна либо установления факта наличия неверных (ошибочных) сведений.[90]

 

Блокирование ПД и БД

 

Согласно подпункту 2) пункта 2 Правил осуществления мер по защите ПД, под блокированием ПД подразумеваются действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения ПД.

При оказании государственных услуг субъект или его законный представитель обращаются в уполномоченный орган с целью проверки собственника и (или) оператора, а также третьего лица на предмет соблюдения требований по сбору и обработке ПД. В случае выявления фактов нарушения условий сбора, обработки ПД, а также подтверждения факта их сбора, обработки с нарушением ЗРК, уполномоченный орган требует от собственника и (или) оператора, а также третьего лица уточнения, блокирования или уничтожения недостоверных, или полученных незаконным путем ПД, а также приведения в соответствие с законодательством процедур сбора и обработки ПД.[91]

В случае наличия информации о нарушении условий сбора, обработки ПД, субъект требует от собственника и (или) оператора, а также третьего лица блокирования своих ПД.[92]

Собственник и (или) оператор в течение одного рабочего дня блокируют ПД, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки.[93]

При осуществлении деятельности органов внутренних дел, национальной безопасности в соответствии с казахстанским законодательством, при обращении лица, прошедшего дактилоскопическую регистрацию, или его законного представителя, опекуна либо уполномоченного ГО о нарушении условий сбора, обработки дактилоскопической информации, а также выявлении подобного факта, оперативно-криминалистическим подразделением МВД в день получения обращения или выявления такого факта блокируется дактилоскопическая информация. Блокирование дактилоскопической информации осуществляется на период проведения проверочных мероприятий и устранения нарушений. При обращении к заблокированным данным (например, с целью извлечения информации) выводится сообщение: «данные заблокированы».[94]

 

Обезличивание ПД и БД

 

В соответствии с подпунктом 5) пункта 2 Правил осуществления мер по защите ПД обезличиванием ПД являлся действия, в результате совершения которых определение принадлежности ПД субъекту ПД невозможно.

Обезличивание осуществляется собственником и (или) оператором либо третьим лицом до их распространения, любым не противоречащим ЗРК способом обезличивания, позволяющим решать поставленные задачи обработки ПД. Обезличивание данных производится оператором при невозможности осуществления процедуры обезличивания данных самостоятельно поставщиком данных. Для обезличивания данных оператор предпринимает необходимые меры в соответствии с регламентом взаимодействия.[95]

Согласно пункту 23 Правил сбора и обработки ПД, ПД и обезличенные данные хранятся отдельно при использовании собственником и (или) оператором, а также третьим лицом процедуры обезличивания.

Так, обезличивание дактилоскопической информации осуществляется с целью:[96]

1) снижения уровня возможного ущерба в случаях передачи дактилоскопической информации и повышения уровня ее защищенности;

2) в иных случаях, установленных законами РК.

Стоит отметить, что согласно законодательству РК, служебная информация, содержащая параметры методов обезличивания, а также процедур обезличивания и снятия обезличивания, является конфиденциальной.

При хранении обезличенных данных обеспечивается раздельное хранение полученных обезличенных данных и касающейся их служебной информации о выбранном методе обезличивания и примененных параметрах процедуры обезличивания.

В свою очередь, при передаче вместе с обезличенными данными служебной информации о выбранном методе обезличивания и примененных параметрах процедуры обезличивания должна быть обеспечена конфиденциальность канала (способа) передачи указанных сведений.

 

Уничтожение ПД и БД

 

Под уничтожением ПД подразумеваются действия, в результате совершения которых невозможно восстановить ПД.[97]

Заявление о желании уничтожения своих БД из базы подаются в любой городской (районный) отдел по обслуживанию населения филиалов Госкорпорации по областям и городам Нур-Султан, Алматы, Шымкент.

Дактилоскопическая информация уничтожается по истечении сроков ее хранения. При обращении физического лица, прошедшего сбор БД или у законного представителя, опекуна физического лица недееспособность которого установлена судом с заявлением о желании уничтожения из базы своих БД в день получения обращения уничтожаются.

 

Уничтожение ПД осуществляется путем удаления информации либо уничтожения материальных носителей ПД.[98]

Полученная в результате дактилоскопирования красковым методом бумажная дактилоскопическая карта уничтожается после ввода в РП ДРН сотрудниками миграционной службы по акту, согласно Правилам проведения дактилоскопической и геномной регистрации, за исключением случая освобождения лица от дактилоскопической регистрации.[99]

Дактилоскопическая информация по истечении срока хранения уничтожается МВД по акту согласно приложению 2 к Правилам проведения дактилоскопической и геномной регистрации, который утверждается руководителем подразделения.

В акте уничтожения дактилоскопической информации указываются следующие данные:[100]

1.       дата, основания уничтожения дактилоскопической информации;

2.       фамилия, имя, отчество (при его наличии), пол, дата и место рождения, индивидуальный идентификационный номер (при наличии), номер документа, удостоверяющего личность зарегистрированного лица;

3.       способ уничтожения;

4.       фамилии, имена, отчества (при наличии), должности и подписи сотрудников, осуществивших уничтожение дактилоскопической информации.

 

Защита ПД и БД

 

Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите ПД, обеспечивающие:[101]

  1. предотвращение несанкционированного доступа к ПД;
  2. своевременное обнаружение фактов несанкционированного доступа к ПД, если такой несанкционированный доступ не удалось предотвратить;
  3. минимизацию неблагоприятных последствий несанкционированного доступа к ПД.

Защита ПД осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:[102]

  • реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
  • обеспечения их целостности и сохранности;
  • соблюдения их конфиденциальности;
  • реализации права на доступ к ним;
  • предотвращения незаконного их сбора и обработки.

В свою очередь, для обеспечения защиты ПД необходимо:[103]

  • выделение бизнес-процессов, содержащих ПД;
  • разделение ПД на общедоступные и ограниченного доступа;
  • определение перечня лиц, осуществляющих сбор и обработку ПД либо имеющих к ним доступ;
  • назначение лица, ответственного за организацию обработки ПД в случае, если собственник и (или) оператор являются юридическими лицами;
  • установление порядка доступа к ПД.

В соответствии с казахстанским законодательством, обязанности собственника и (или) оператора, а также третьего лица по защите ПД возникают с момента сбора ПД и действуют до момента их уничтожения либо обезличивания.[104]

При оказании государственных услуг сотрудники НАО «Государственная корпорация «Правительство для Граждан» имеющие доступ к ПД граждан, а также участвующие в процессе оказания государственных услуг, подлежат проверке в порядке, определенном в Правилах проведения проверки работников Государственной корпорации «Правительство для граждан»[105] по согласованию с КНБ РК.[106]

При оказании банковских/финансовых услуг согласно пункту 23 Правил оказания электронных банковских услуг, предоставление банком электронных банковских услуг производится в соответствии с процедурами безопасности, установленными внутренними документами банка и договором. Процедуры безопасности обеспечивают:

  1. достоверную идентификацию клиента и его право на получение соответствующих электронных банковских услуг;
  2. выявление наличия искажений и (или) изменений в содержании электронных документов, на основании которых клиенту предоставляются электронные банковские услуги;
  3. защиту от несанкционированного доступа к информации, составляющей банковскую тайну, и целостность данной информации.

При осуществлении деятельности органов внутренних дел, национальной безопасности защита дактилоскопической информации гарантируется государством, которая осуществляется в соответствии с ЗРК об информатизации, о ПД, государственных секретах.[107] Сбор и обработка дактилоскопической информации осуществляются только в случаях обеспечения ее защиты.

 

Права и обязанности, роли, области ответственности участников Платформы

 

ЗРК о ПД дает следующие определения к субъектам общественных отношений в сфере ПД:

  • Собственник базы, содержащей ПД – ГО, физическое и (или) юридическое лицо, реализующие в соответствии с ЗРК право владения, пользования и распоряжения базой, содержащей ПД;[108]
  • Оператор базы, содержащей ПД – ГО, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту ПД;[109]
  • Субъект ПД – физическое лицо, к которому относятся ПД;[110]
  • Третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите ПД.[111]

В соответствии с ЗРК о ПД уполномоченным органом в сфере защиты ПД, осуществляющим руководство в сфере защиты ПД является МЦРИАП.[112]

Уполномоченными ГО, осуществляющими в пределах своей компетенции дактилоскопическую и (или) геномную регистрацию граждан РК, иностранцев и лиц без гражданства являются:[113]

  • органы внутренних дел (МВД РК);
  • уполномоченный ГО в области внешнеполитической деятельности (Комитет миграционной службы);
  • органы национальной безопасности (КНБ РК);
  • уполномоченный ГО в области транспорта (КТ МИИР РК).

Согласно подпункту 17) пункта 4 ЗРК об информатизации,[114] оператор информационно-коммуникационной инфраструктуры «электронного правительства» (далее - оператор) юридическое лицо, определяемое Правительством РК, на которое возложено обеспечение функционирования закрепленной за ним информационно-коммуникационной инфраструктуры «электронного правительства».

Оператором информационно-коммуникационной инфраструктуры «электронного правительства» было утверждено АО «Национальные информационные технологии».[115]

Поскольку БД являются частью ПД субъекта, положения ЗРК о ПД, определяющие права, обязанность субъекта, собственника, оператора базы ПД также распространяются и на вопросы регулирования прав и обязанностей участников биометрической идентификации.

 

Наименование органов

Функции

Права / обязанности

 

Орган ID

Правительство РК

Правительство РК осуществляет функции исполнительной власти, возглавляет систему исполнительных органов РК и руководит их деятельностью.[116]

 

Согласно ЗРК о ПД к компетенции Правительства РК, помимо прочего, входит:[117]

1. Разработка основных направлений государственной политики в сфере ПД и их защиты;

2. Осуществление руководства деятельностью центральных исполнительных органов, входящих в структуру Правительства РК, местных исполнительных органов, в сфере персональных данных и их защиты;

3. Утверждение порядка определения собственником и (или) оператором перечня ПД, необходимого и достаточного для выполнения осуществляемых ими задач;

4. Утверждение порядка осуществления собственником и (или) оператором, а также третьим лицом мер по защите ПД;

5. Выполнение иных функций, возложенных на него Конституцией РК, законами РК и актами Президента РК.

 

Регистраторы данных, Контролеры данных, Провайдеры идентификации

МВД

Органы внутренних дел в пределах своей компетенции осуществляют сбор и обработку ПД и БД (фотоизображение, дактилоскопическая информация) через РП ДРН и АИС «БИЛ» в рамках процесса документирования физических лиц через НАО «Государственная корпорация «Правительство для граждан». Также органы внутренних осуществляют сбор и обработку БД (дактилоскопическая информация) через АИС «БИЛ» в рамках процесса криминального учета

 

МВД подотчетен Правительству РК

 

Органы внутренних дел имеют право на:

1.Получение согласия субъектов ПД на сбор и обработку ПД и БД;

2.Сбор и обработку ПД и БД (дактилоскопическая информация, фотоизображение) через РП ДРН и АИС «БИЛ» в рамках процесса документирования граждан;

3.Сбор и обработку БД (дактилоскопическая информация) через АИС «БИЛ» в рамках процесса криминального учета;

4.При оказании государственных услуг в случаях выявления явных ошибок и неточностей электронных информационных ресурсов, содержащих ПД, в целях их устранения могут осуществлять их изменение и дополнение после получения запроса субъекта ПД или его законного представителя.

Органы внутренних дел обязаны:

1.Принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты ПД и БД;

2.Принимать меры по сбору, накоплению, хранению, передаче, блокированию, обезличиванию, изменению, дополнению, использованию, уничтожению ПД и БД.

3.Осуществлять обезличивание, а также снятие обезличивания ПД и БД

4.Блокировать ПД и БД в случае наличия информации о нарушении условий ее сбора, обработки, а также снимать блокирование после проведения проверочных мероприятий и устранения нарушений

5.Предотвращать несанкционированный доступа к ПД;

6.Своевременно обнаруживать факты несанкционированного доступа к ПД, если такой несанкционированный доступ не удалось предотвратить;

7.Минимизировать неблагоприятные последствия несанкционированного доступа к ПД;

8.Уведомлять субъекты ПД через кабинет пользователя на веб-портале «электронного правительства» в автоматическом режиме обо всех случаях использования, изменения и дополнения ПД в рамках информационного взаимодействия при условии регистрации субъектов ПД на веб-портале «электронного правительства».

 

КНБ

 

Органы национальной безопасности в пределах своей компетенции осуществляют сбор и обработку ПД и БД граждан РК, иностранцев и лиц без гражданства при их пересечении государственной границы РК, а также сбор БД (дактилоскопические данные) в рамках процесса пограничного контроля через систему ЕИС «Беркут»

 

КНБ подотчетен Президенту РК

 

Органы национальной безопасности имеют право на:

1.Получение согласия субъектов ПД на сбор и обработку ПД и БД;

2.Сбор и обработку ПД и БД (дактилоскопическая информация, фотоизображение) через ЕИС «Беркут» в рамках процесса пограничного контроля;

 

Органы национальной безопасности обязаны:

1.Принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты ПД и БД;

2.Принимать меры по сбору, накоплению, хранению, передаче, блокированию, обезличиванию, изменению, дополнению, использованию, уничтожению ПД и БД.

3.Осуществлять обезличивание, а также снятие обезличивания ПД и БД

4.Блокировать ПД и БД в случае наличия информации о нарушении условий ее сбора, обработки, а также снимать блокирование после проведения проверочных мероприятий и устранения нарушений

5.Предотвращать несанкционированный доступа к ПД;

6.Своевременно обнаруживать факты несанкционированного доступа к ПД, если такой несанкционированный доступ не удалось предотвратить;

7.Минимизировать неблагоприятные последствия несанкционированного доступа к ПД;

Провайдеры аутентификации

МЦРИАП

МЦРИАП является центральным органом, осуществляющим руководство в сфере защиты ПД

 

МЦРИАП использует систему Digital ID для аутентификации личности физического лица.

 

МЦРИАП подотчетен Правительству РК

 

МЦРИАП в пределах своей компетенции:

1.        Участвует в реализации государственной политики в сфере ПД и их защиты;

2.        Разрабатывает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите ПД;

3.        Разрабатывает правила определения собственником и (или) оператором перечня ПД, необходимого и достаточного для выполнения осуществляемых ими задач;

4.        Рассматривает обращения субъекта ПД или его законного представителя о соответствии содержания ПД и способов их обработки целям их обработки и принимает соответствующее решение;

5.        Принимает меры по привлечению лиц, допустивших нарушения законодательства РК о ПД и их защите, к ответственности, установленной законами РК;

6.        Требует от собственника и (или) оператора, а также третьего лица уточнения, блокирования или уничтожения недостоверных, или полученных незаконным путем ПД;

7.        Осуществляет меры, направленные на совершенствование защиты прав субъектов ПД;

8.        Утверждает правила сбора, обработки персональных данных;

9. Утверждает правила осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения ПД ограниченного доступа, содержащихся в электронных информационных ресурсах, по согласованию с КНБ РК.

 

МВД и КНБ осуществляют сбор и обработку ПД. Собранная и обработанная ПД передается в ГБД ФЛ, являющееся эталонной для всех государственных органов. Из ГБД ФЛ все сведения физических лиц (в части фамилии, имени и отчества) поступают в государственные органы по запросу. ГБД ФЛ интегрирована с 59 информационной системой ведомств и государственных органов Республики Казахстан, включая системы ЦОИД, Digital ID, ЕИС «Беркут», НАО «Государственная корпорация «Правительство для Граждан» и другие.

 

Возможность и потенциальные модели взаимного признания между различными провайдерами услуг

 

Взаимное признание внутри РК

 

Государственная база данных «Физические лица» (ГБД ФЛ) – единая система регистрации и хранения информации о физических лицах Республики Казахстан, достаточной для идентификации и определения гражданского состояния. ГБД ФЛ является эталонной для всех государственных органов. Из ГБД ФЛ все сведения физических лиц (в части фамилии, имени и отчества) поступают в государственные органы. ГБД ФЛ интегрирована с 59 информационной системой ведомств и государственных органов Республики Казахстан, включая системы ЦОИД, Digital ID, ЕИС «Беркут», НАО «Государственная корпорация «Правительство для Граждан» и другие. Законодательно РК не определено взаимное признание систем в стране. В

основном каждая система использует базу данных ГБД ФЛ для идентификации и получения доступа к информации граждан.

 

Взаимное признание между странами-участниками ЕАЭС, СНГ

 

Стандарты проездных документов под эгидой ICAO

 

В 2002 году 118 стран мира подписали под эгидой ICAO Новоорлеанское Соглашение о стандартах Машиносчитываемых проездных документов. Спецификации, указанные в «Doc 9303. Машиносчитываемые проездные документы.» не следует рассматривать как стандарт для национальных документов, удостоверяющих личность. Однако государству, идентификационные документы которого признаются другими государствами в качестве действительных проездных документов, следует разрабатывать свои удостоверяющие личность документы таким образом, чтобы они соответствовали спецификациям в частях 3 и 4, 5 или 6 документа Doc 9303.

Термин «Биометрическая идентификация» используется как общий термин для описания оптимизированных средств распознавания человека путем измерения отличительных биологических иди поведенческих черт.

Документ рассматривает три вида систем биометрической идентификации, включающих физиологические системы:

  • распознавание черт лица(обязательные);
  • распознавание отпечатка пальца (факультативное);
  • распознавание радужной оболочки глаза (факультативное).

Согласно Постановлению Правительства Республики Казахстан от 4 июля 2013 года № 684 Об утверждении образцов паспорта гражданина Республики Казахстан, удостоверения личности гражданина Республики Казахстан, вида на жительство иностранца в Республике Казахстан, удостоверения лица без гражданства, удостоверения беженца и требований к их защите обложка паспорта гражданина Республики Казахстан изготавливается из износостойкого материала и подложки, между которыми располагается микросхема (чип с бесконтактным интерфейсом) с антенной, используемая в качестве электронного носителя информации о владельце паспорта гражданина Республики Казахстан. Также, в микросхеме, имеющей емкость памяти не менее 64 Кб, в защищенном виде хранятся графическая и текстовая информация о владельце паспорта гражданина Республики Казахстан, отпечатки пальцев рук владельца документа.

 

Соглашение о сотрудничестве в создании государственных информационных систем паспортно-визовых документов нового поколения и дальнейшем их развитии, и использовании в государствах-участниках СНГ

 

Постановлением Правительства РК от 30 марта 2009 года № 430 с оговоркой о порядке выполнения обязательств по трансграничной передаче

ПД было утверждено Соглашение о сотрудничестве в создании государственных информационных систем паспортно-визовых документов нового поколения и дальнейшем их развитии, и использовании в государствах-участниках СНГ. Целью данного Соглашения является гармонизация процессов создания государственных информационных систем паспортно-визовых документов нового поколения, обеспечивающих защиту прав и свобод человека и гражданина при обработке его ПД.

Для введения в заинтересованных государствах-участниках СНГ паспортно-визовых документов нового поколения Стороны принимают национальные законодательные и иные нормативные правовые акты, определяющие:[118]

  • возможность использования биометрических данных в документах, удостоверяющих личность;
  • меры по защите прав и свобод человека и гражданина при фиксации биометрических данных и последующей автоматизированной обработке информации о гражданах, а также принципы контроля системы хранения персональных, в том числе биометрических данных о гражданах;
  • полномочия, ответственность и взаимодействие национальных органов исполнительной власти государств-участников настоящего Соглашения, участвующих в изготовлении, оформлении и контроле паспортно-визовых документов нового поколения;
  • порядок доступа к информации, содержащейся в государственной информационной системе;
  • состав и содержание информации о гражданах, вносимой в паспортно-визовые документы нового поколения, порядок ее документирования, обработки, хранения, использования и защиты;
  • вопросы эксплуатации государственных информационных систем;
  • порядок разработки стандартов в области использования биометрических данных, гармонизированных с международными стандартами, необходимых для введения в заинтересованных государствах-участниках СНГ паспортно-визовых документов нового поколения.

 

Права на ПД и БД в соответствии с действующим законодательством РК

 

Права на ПД и БД

 

ЗРК о ПД определяет понятие субъекта ПД как физическое лицо, к которому относятся ПД. Также данным ЗРК определены права и обязанности субъекта ПД.

В соответствии со статьей 115.3 ГК РК[119] к личным неимущественным благам и правам относятся: жизнь, здоровье, достоинство личности, честь, доброе имя, деловая репутация, неприкосновенность частной жизни, личная и семейная тайна, право на имя, право на авторство, право на неприкосновенность произведения и другие нематериальные блага и права. Понятие имени включает фамилию, имя, а также по желанию отчество.

В свою очередь, вопрос, регламентирующий права на БД законодательными актами РК четко не урегулирован, однако полагается, что в связи с тем, что перечень благ и прав, относящихся к личным неимущественным благам и правам не является исчерпывающим и предусматривает и «другие нематериальные блага и права», то такими другими правами и благами могут являться также и БД.

Таким образом, права на ПД и БД исходя из вышеизложенного в форме личных неимущественных прав принадлежат субъектам ПД и БД.

Полагается, что права на ПД и БД могут принадлежать также и иным лицам на основании согласия на сбор, обработку, полученного от субъекта ПД и БД.

 

 

ПРИЛОЖЕНИЕ 3

ПЕРЕЧЕНЬ ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ

 

 

Термины

Согласно ГОСТ ISO/IEC 24713-1-2013 и ГОСТ ISO/IEC 2382-37-2016 основные термины можно разделить по следующим категориям:

 

Общие термины

 

Базовый стандарт (base standard)

Биометрическая характеристика (biometric characteristic)

Биометрический (biometric)

Биометрическое распознавание (biometric recognition)

Стандарт (standard)

 

Термины, связанные с биометрической системой

 

Биометрическая система (biometric system)

Вид (mode)

Компоненты биометрической системы (biometric system components)

Мультибиометрическая система (multiple biometric)

Мультимодальный (multi-modal)

Подсистема сбора биометрических данных (biometric capture subsystem)

Система биометрической верификации (biometric verification system)

Система биометрической идентификации (biometric identification system)

 

Термины, связанные с биометрическими данными в биометрических системах

 

База данных (database)

База данных биометрических контрольных шаблонов (biometric reference database)

База данных биометрических приложений (biometric application database)

Биометрическая база данных (biometric database)

Биометрическая модель (biometric model)

Биометрическая проба (biometric probe)/биометрический запрос (синоним) (biometric query)

Биометрические данные (biometric data)

Биометрический кандидат (biometric candidate)

Биометрический контрольный шаблон (biometric reference)

Биометрический образец (biometric sample)

Биометрический признак (biometric feature)

Биометрический профиль (biometric profile)

Биометрический шаблон/контрольный набор биометрических признаков (biometric template/reference biometric feature set)

Биометрическое представление (biometric representation)

Биометрическое свойство (biometric property)

Запись (record)

Запись биометрических данных (biometric data record)

Запись данных биометрического контрольного шаблона (biometric reference data record)

Запись данных биометрической регистрации

Зарегистрированный биометрический образец (captured biometric sample; исключен "raw biometric sample")

Захват данных (capture)

Идентификатор биометрического контрольного шаблона (biometric reference identifier)

Не идентифицированные биометрические данные (unidentified biometric data)

Непарный (non-mated)

Несовпадение (non-match)

Обезличенная запись биометрических данных (anonymized biometric data record)

Оценка биометрического кандидата (biometric candidate score)

Парный (mated)

Поддельная запись данных биометрической регистрации (fraudulent biometric enrolment data record)

Порог (threshold)

Пороговое значение (threshold)

Промежуточный биометрический образец (intermediate biometric sample)

Результат сравнения (comparison score; исключен "matching score")

Решение (decision)

Решение биометрического приложения (biometric application decision)

Решение биометрической верификации (biometric verification decision)

Решение биометрической идентификации (biometric identification decision)

Решение о сравнении (comparison decision)

Совпадение (match)

Степень различия/степень отдаленности (dissimilarity score/distance score)

Степень схожести (similarity score)

Токен/носитель данных (token)

 

Термины, связанные с устройствами сбора биометрических данных

 

Устройство сбора биометрических данных/биометрический сканер (biometric capture device)

 

Термины, связанные с функционированием биометрической системы

 

Адаптация биометрического контрольного шаблона (biometric reference adaptation)

Биометрическая регистрация (biometric enrolment; исключен "registration")

Биометрические признаки (biometric features)

Биометрические функции (biometric functions)

Биометрический поиск (biometric search)

Зарегистрировать (enrol)

Извлечение биометрических признаков (biometric feature extraction)

Повторная биометрическая регистрация (re-enrolment)

Поиск «один ко многим» (one-to-many search)

Процесс получения биометрических данных (biometric acquisition process)

Процесс сбора биометрических данных (biometric capture process)

Сравнение (comparison; исключены "match" и "matching")

Сравнение «один к одному» (one-to-one comparison)

Cравнение «один ко многим» (one-to-many comparison; исключен «one-to-few»)

Фильтровать (threshold/filter)

 

Термины, связанные со взаимодействием с биометрической системой

 

Безразличное предъявление (indifferent presentation)

Биометрическая система (biometric system)

Биометрический ложный допуск (biometric false acceptance)

Биометрический ложный недопуск (biometric false rejection)

Биометрическое заявление (biometric claim)

Биометрическое предъявление (biometric presentation)

Данные биометрического обмена; ДБО (biometric interchange data; BID)

Допустимая попытка сбора биометрических данных (acceptable biometric capture attempt)

Задача сбора биометрических данных (capture task)

Кооперативное предъявление (cooperative presentation)

Ложный допуск (false acceptance)

Ложный недопуск (false rejection)

Недопустимая попытка сбора биометрических данных (unacceptable capture attempt)

Некооперативное предъявление (uncooperative presentation)

Несовместимая попытка сбора биометрических данных (non-conformant, capture attempt)

Осознанное предъявление (cognizant presentation)

Отрицательное биометрическое заявление (negative biometriс claim)

Положительное биометрическое заявление (positive biometriс claim)

Полученные биометрические данные (acquire)

Попытка биометрической верификации (verification attempt)

Попытка сбора биометрических данных (capture attempt)

Сбор биометрических данных (biometric capture)

Совместимая попытка сбора биометрических данных (conformant capture attempt)

Транзакция сбора биометрических данных (capture transaction)

 

Термины, связанные с участниками биометрической регистрации

 

Безразличный субъект сбора биометрических данных (indifferent biometric capture subject)

Биометрическая регистрация (enrolment)

Биометрический заявитель (biometriс applicant)

Биометрический участник (biometric enrollee)

Владелец биометрической системы (biometric system owner)

Заявитель (claimant)

Конечный пользователь (end-user)

Кооперативный субъект сбора биометрических данных (cooperative biometric capture subject)

Лицо, обслуживающее биометрическую систему (biometriс attendant)

Личность (identity)

Некооперативный субъект сбора биометрических данных (uncooperative biometric capture subject)

Оператор биометрической системы (biometric system operator)

Пользователь (user)

Пользователь биометрической системы (user of a biometric system; исключен "end user")

Пользователь-нарушитель (subversive user)

Пользователь-не нарушитель (non-subversive user)

Проверка достоверности (validation)

Самозванец (impostor)

Субъект (subject)

Субъект биометрических данных (biometric data subject)

Субъект сбора биометрических данных (biometric capture subject)

Субъект-нарушитель сбора биометрических данных (subversive biometric capture subject)

Субъект-ненарушитель сбора биометрических данных (non-subversive biometric capture subject)

Укрыватель личности (identity concealer)

Эксперт по биометрическим характеристикам (biometric characteristics examiner)

Эксплуатационный персонал биометрической системы (biometric operational personnel)

 

Термины, связанные с биометрическими приложениями

 

Аутентификация (authentication)

Биометрическая верификация (biometric verification)

Биометрическая идентификация (biometric identification)

Верификация (verification)

Идентификатор (identifier)

Идентификация (identification)

Идентифицировать (identify)

Извлечение (extraction)

Подтверждать (verify)

Приложение (application)

Проверка наличия дубликатов, полученных при биометрической регистрации (duplicate biometric enrolment check)

Программный интерфейс приложений; ПИП (application programming interface; API)

 

Термины, связанные с эксплуатацией биометрической системы

 

Вероятность ложного несовпадения; ВЛНС (false non-match rate, FNMR)

Вероятность ложного совпадения; ВЛС (false match rate, FMR)

Вероятность отказа биометрической регистрации; ВОБР (failure-to-enrol rate, FTE)

Вероятность отказа получения биометрических данных; ВОПБД (failure-to-acquire rate, FTA)

Индекс совпадения (score)

Ложное несовпадение (false non-match)

Ложное совпадение (false match)

Отказ биометрической регистрации (failure to enrol)

Отказ получения биометрических данных (failure to acquire)

Отказ сбора биометрических данных (failure to capture)

Попытка биометрического непарного сравнения (biometric non-mated comparison trial)

Попытка биометрического парного сравнения (biometric mated comparison trial)

Попытка сравнения (comparison trial)

Определения

 

Согласно ГОСТ ISO/IEC 24713-1-2013 и ГОСТ ISO/IEC 2382-37-2016 основные вышеуказанные термины имеют следующие определения:

 

Адаптация биометрического контрольного шаблона (biometric reference adaptation): Автоматическое инкрементное обновление биометрического контрольного шаблона.

 

Аутентификация (authentication): Действие, доказывающее или показывающее бесспорное происхождение или достоверность.

 

База данных (database): Структурированный набор данных, хранящийся в компьютере.

 

База данных биометрических контрольных шаблонов (biometric reference database): База данных записей данных биометрических контрольных шаблонов.

 

База данных биометрических приложений (biometric application database): База данных с биометрическими данными и связанными метаданными, разработанная для биометрического приложения и поддерживающая его работу.

 

База данных биометрических регистраций (biometric enrolment database): База данных записей данных биометрических регистраций.

 

Базовый стандарт (base standard): Основополагающий стандарт с элементами, содержащими опции/допустимые варианты.

 

Безразличное предъявление (indifferent presentation): Предъявление, при котором субъект сбора биометрических данных не уведомлен о том, что совершается процесс сбора биометрических данных.

 

Безразличный субъект сбора биометрических данных (indifferent biometric capture subject): Субъект сбора биометрических данных, который равнодушен к достижению положительного результата процесса получения биометрических данных.

 

Биометрический (biometric): Относящийся к предметной области биометрии.

 

Биометрический (biometric): Имеющий отношение к биометрии.[120]

 

Биометрия (biometrics): Автоматизированное распознавание личности человека, основанное на его поведенческих или биологических характеристиках.

 

Биометрическая база данных (biometric database): База данных записей биометрических данных.

 

Биометрическая верификация (biometric verification): Процесс подтверждения биометрического заявления при сравнении.

 

Биометрические данные (biometric data): Информация, извлеченная из биометрического образца и используемая для построения шаблона, с которым сравнивается ранее полученный шаблон.

 

Биометрические данные (biometric data):[121] Биометрический образец или совокупность биометрических образцов на любой стадии обработки, например биометрический контрольный шаблон, биометрическая проба, биометрический признак или биометрическое свойство.

 

Биометрическое заявление (biometric claim): Заявление, что субъект сбора биометрических данных является или не является собственно источником установленного или неустановленного биометрического контрольного шаблона.

 

Биометрический заявитель (biometriс applicant): Индивид, претендующий на внесение своих биометрических данных в базу данных биометрических регистраций.

 

Биометрическая идентификация (biometric identification): Процесс поиска по базе данных биометрических регистраций, направленный на поиск и возврат идентификатора(ов) биометрического контрольного шаблона, связанного с одним индивидом.

 

Биометрический кандидат (biometric candidate): Идентификатор биометрического контрольного шаблона в базе данных биометрических контрольных шаблонов, который должен быть определен как достаточно схожий с биометрической пробой для обоснования дальнейшего анализа.

 

Биометрический контрольный шаблон (biometric reference): Один или более хранимых биометрических образцов, биометрических шаблонов или биометрических моделей, относящихся к субъекту биометрических данных и используемых в качестве объекта сравнения.

 

Биометрический ложный допуск (biometric false acceptance): Ошибка принятия биометрического заявления, которое следовало отклонить в соответствии с официальным утверждением о происхождении биометрической пробы и биометрического контрольного шаблона.

 

Биометрический ложный недопуск (biometric false rejection): Ошибка отклонения биометрического заявления, которое следовало принять в соответствии с официальным утверждением о происхождении биометрической пробы и биометрического контрольного шаблона.

 

Биометрическая модель (biometric model): Хранимая функция, созданная из биометрических данных.
 

Биометрический образец (biometric sample): Необработанные данные, представляющие собой биометрическую характеристику конечного пользователя, как они были захвачены биометрической системой.

 

Биометрический образец (biometric sample):[122] Аналоговое или цифровое представление биометрических характеристик, предшествующее извлечению биометрических признаков.

 

Биометрический поиск (biometric search): Проверка базы данных биометрических контрольных шаблонов по биометрической пробе на возврат либо списка биометрических кандидатов, либо решения о сравнении, что биометрическая проба совпадает или не совпадает с одним или более биометрическими контрольными шаблонами.

 

Биометрическое представление (biometric representation): Биометрический образец или набор биометрических признаков.

 

Биометрическое предъявление (biometric presentation): Взаимодействие субъекта сбора биометрических данных и подсистемы сбора биометрических данных с целью получения сигнала от биометрической характеристики.

 

Биометрический признак (biometric feature):[123] Цифровое представление информации (числа или метки), извлеченное из биометрических образцов и используемое для сравнения.

 

Биометрические признаки (biometric features): Отличительные и повторяющиеся характеристики биометрического образца, которые могут храниться в составе шаблона в базе данных или использоваться при сравнении с каким-либо определенным шаблоном.

 

Биометрическая проба (biometric probe)/биометрический запрос (синоним) (biometric query): Биометрический образец или набор биометрических признаков, введенный в алгоритм для использования в качестве субъекта сравнения с биометрическим контрольным шаблоном (биометрическими контрольными шаблонами).

 

Биометрический профиль (biometric profile): Соответствующие наборы или комбинации базовых стандартов, используемые для выполнения определенных биометрических функций.

 

Биометрическая регистрация (enrolment): Процесс сбора биометрических образцов от конечного пользователя и последующей подготовки и хранения биометрических контрольных шаблонов, а также, при необходимости, других данных, связанных с личностью конечного пользователя.

 

Биометрическая регистрация (biometric enrolment; исключен "registration"):[124] Действия по созданию и сохранению записи данных биометрической регистрации в соответствии с правилами биометрической регистрации.

 

Биометрическое свойство (biometric property): Описательные атрибуты субъекта биометрических данных, рассчитанные или извлеченные из биометрического образца автоматическими средствами.

 

Биометрическая система (biometric system):[125] Автоматизированная (как правило) система, которая предоставляет возможность:

1) получить биометрический образец непосредственно от конечного пользователя или образец, предоставленный в соответствии с какой-либо экспертно-криминалистической технологией;

2) извлекать биометрические данные из полученного образца или же выводить биометрические признаки из биометрических данных в виде, пригодном для сопоставления с одним или несколькими контрольными шаблонами;

3) сравнивать биометрические признаки с теми, что содержатся в одном или нескольких контрольных шаблонах;

4) определять степень сходства в соответствии с индексом или другим (метрическим или иным) показателем или, как вариант, ранжировать шаблоны в соответствии с уровнем сходства, определяемым индексом или другим метрическим показателем;

5) возвращать результат приложению с указанием, была ли идентификация и/или верификация выполнена успешно;

6) хранить биометрические данные и связанную с ними системную информацию и управлять этими данными.

 

Биометрическая система (biometric system)[126]: Система, предназначенная для биометрического распознавания индивидов, основанного на их поведенческих и биологических характеристиках.

 

Биометрический участник (biometric enrollee): Субъект биометрических данных, чьи биометрические данные хранятся в базе данных биометрических регистраций.

 

Биометрические функции (biometric functions): Процедуры или действия по биометрической регистрации (3.19), верификации (3.35) и/или идентификации (3.25) внутри биометрической системы.

 

Биометрическая характеристика (biometric characteristic; исключен "biometric"): Биологические и поведенческие характеристики индивида, которые могут быть зарегистрированы и использованы в качестве отличительных, повторяющихся биометрических признаков для автоматического распознавания индивидов.

 

Биометрический шаблон (biometric template): Биометрические данные, полученные из биометрического образца или набора биометрических образцов, пригодные для хранения в качестве контрольных для последующего сравнения.

 

Биометрический шаблон/контрольный набор биометрических признаков (biometric template/reference biometric feature set):[127] Набор хранимых биометрических признаков, сравниваемых непосредственно с биометрическими признаками биометрической пробы.

 

Верификация (verification): Функция биометрической системы, выполняющая сравнение запросного образца с указанным шаблоном, хранящимся в системе, в режиме «один к одному» и возвращающая результат в виде индекса совпадения или решения о совпадении.

 

Вероятность ложного несовпадения; ВЛНС (false non-match rate, FNMR): Доля завершенных попыток биометрического парного сравнения, приведших к ложному несовпадению.

 

Вероятность ложного совпадения; ВЛС (false match rate, FMR): Доля завершенных попыток биометрического непарного сравнения, приведших к ложному совпадению.

 

Вероятность отказа биометрической регистрации; ВОБР (failure-to-enrol rate, FTE): Доля установленного набора транзакций биометрической регистрации, которые приводят к неудаче при биометрической регистрации.

 

Вероятность отказа получения биометрических данных; ВОПБД (failure-to-acquire rate, FTA): Доля установленного набора процессов получения биометрических данных, которые были неудачными.

 

Вид (mode): Комбинация типа биометрической характеристики, типа датчика и метода обработки.

 

Владелец биометрической системы (biometric system owner): Физическое или юридическое лицо, несущее полную ответственность за приобретение, внедрение и эксплуатацию биометрической системы.

 

Данные биометрического обмена; ДБО (biometric interchange data; BID): Биометрические данные, отформатированные согласно одному или нескольким стандартам обмена, как это определяется стандартами комплекса ISO/IEC 19794.

 

Допустимая попытка сбора биометрических данных (acceptable biometric capture attempt): Попытка сбора биометрических данных, выполняющая требования процесса сбора биометрических данных.

 

Задача сбора биометрических данных (capture task): Предписанный набор схем поведения субъекта сбора биометрических данных при попытке сбора биометрических данных.

 

Запись (record): Шаблон и другая информация о конечном пользователе, например, права доступа.

 

Запись биометрических данных (biometric data record): Запись данных, содержащая биометрические данные.

 

Запись данных биометрического контрольного шаблона (biometric reference data record): Индексируемая запись данных, содержащая биометрический(е) контрольный(е) шаблон(ы).

 

Запись данных биометрической регистрации (biometric enrolment data record): Запись данных, связанная с субъектом биометрических данных, содержащая не биометрические данные и связанная с идентификатором (идентификаторами) биометрического контрольного шаблона.

 

Зарегистрировать (enrol): Создать и сохранить запись данных биометрической регистрации в соответствии с правилами биометрической регистрации.

 

Зарегистрированный биометрический образец (captured biometric sample; исключен "raw biometric sample"): Биометрический образец, полученный в результате процесса сбора биометрических данных.

 

Захват данных (capture): Процесс получения биометрического образца от конечного пользователя.

 

Заявитель (claimant): Индивид, делающий заявление, которое может быть проверено биометрическими методами.

Компоненты биометрической системы (biometric system components): Части или элементы системы, которые выполняют определенные задачи, необходимые системе для ее нормального функционирования.

 

Конечный пользователь (end-user): Человек, который взаимодействует с биометрической системой для своей регистрации или идентификации.

 

Кооперативное предъявление (cooperative presentation): Предъявление, выполненное кооперативным субъектом сбора биометрических данных.

 

Кооперативный субъект сбора биометрических данных (cooperative biometric capture subject): Субъект сбора биометрических данных, мотивированный на достижение успешного завершения процесса получения биометрических данных.

 

Лицо, обслуживающее биометрическую систему (biometriс attendant): Представитель оператора биометрической системы, который непосредственно взаимодействует с субъектом сбора биометрических данных.

 

Личность (identity): Понятие личности человека в общем смысле.

 

Ложный допуск (false acceptance): Событие, заключающееся в том, что биометрическая система неверно идентифицирует личность человека или ошибочно подтверждает личность человека, выдающего себя за другого.

 

Ложный недопуск (false rejection): Отказ биометрической системы в идентификации конечного пользователя или в верификации зарегистрированной личности конечного пользователя.

 

Ложное несовпадение (false non-match): Несовпадение как решение о сравнении биометрической пробы и биометрического контрольного шаблона одного субъекта сбора биометрических данных и его биометрических характеристик.

 

Ложное совпадение (false match): Совпадение как решение о сравнении биометрической пробы и биометрического контрольного шаблона разных субъектов сбора биометрических данных.

 

Мультибиометрическая система (multiple biometric): Определение биометрической системы, объединяющей в себе более одной биометрической технологии.

 

Мультимодальный (multi-modal): Имеющий отношение к множеству как минимум двух из трех составляющих вида в единой биометрической системе.

 

Недопустимая попытка сбора биометрических данных (unacceptable capture attempt): Попытка сбора биометрических данных, которая не удовлетворяет требованиям к процессу сбора биометрических данных.

 

Не идентифицированные биометрические данные (unidentified biometric data): Биометрические данные, при которых субъект биометрических данных в данный момент времени неизвестен.

 

Некооперативное предъявление (uncooperative presentation): Предъявление, выполненное некооперативным субъектом сбора биометрических данных.

 

Некооперативный субъект сбора биометрических данных (uncooperative biometric capture subject): Субъект сбора биометрических данных мотивированный на не достижение успешного получения биометрических данных.

 

Непарный (non-mated): Имеющий отношение к паре, состоящей из биометрической пробы и биометрического контрольного шаблона, полученных не от одной и той же биометрической характеристики одного и того же субъекта биометрических данных.

 

Несовместимая попытка сбора биометрических данных (non-conformant, capture attempt): Действия, которые не соответствуют задаче сбора биометрических данных.

 

Несовпадение (non-match): Решение о сравнении, утверждающее, что биометрическая проба (биометрические пробы) и биометрический контрольный шаблон получены не от одного и того же источника.

 

Обезличенная запись биометрических данных (anonymized biometric data record): Запись биометрических данных, которая намеренно была отделена от метаданных индивида.

 

Оператор биометрической системы (biometric system operator): Физическое или юридическое лицо, исполняющее правила и процедуры по управлению биометрической системы.

 

Осознанное предъявление (cognizant presentation): Предъявление, сознательно выполненное субъектом сбора биометрических данных.

 

Отказ биометрической регистрации (failure to enrol): Отказ в создании и сохранении записи данных биометрической регистрации для приемлемого субъекта сбора биометрических данных, в соответствии с правилами биометрической регистрации.

 

Отказ получения биометрических данных (failure to acquire): Отказ в принятии, для последующего сравнения, результата процесса сбора биометрических данных.

 

Отказ сбора биометрических данных (failure to capture): Отказ при процессе сбора биометрических данных, нацеленном на создание зарегистрированного биометрического образца.

 

Отрицательное биометрическое заявление (negative biometriс claim): Заявление о том, что субъект сбора биометрических данных не является источником определенного или неопределенного биометрического контрольного шаблона (биометрических контрольных шаблонов) в базе данных биометрических контрольных шаблонов.

 

Оценка биометрического кандидата (biometric candidate score): Результат сравнения биометрического кандидата.

 

Парный (mated): Имеющий отношение к паре, состоящей из биометрической пробы и биометрического контрольного шаблона, полученных от одной и той же биометрической характеристики одного и того же субъекта биометрических данных.

 

Повторная биометрическая регистрация (re-enrolment): Процесс создания нового биометрического контрольного шаблона для субъекта биометрических данных, который был ранее зарегистрирован в базе данных биометрических регистраций.

 

Поддельная запись данных биометрической регистрации (fraudulent biometric enrolment data record): Запись данных биометрической регистрации, созданная или измененная умышленно в процессе незаконной или преступной деятельности.

 

Подсистема сбора биометрических данных (biometric capture subsystem): Устройство(а) сбора биометрических данных и подпроцессы, необходимые для выполнения процесса сбора биометрических данных.

 

Подтверждать (verify): Подтверждение биометрического заявления через сравнение.

 

Поиск "один ко многим" (one-to-many search): Процесс, при котором осуществляется поиск биометрической пробы (биометрических проб) одного субъекта биометрических данных по биометрическому контрольному шаблону, более чем одного субъекта биометрических данных с целью возврата списка кандидатов или решения о сравнении.

 

Положительное биометрическое заявление (positive biometriс claim): Утверждение, что субъект сбора биометрических данных является источником определенного или неопределенного биометрического контрольного шаблона в базе данных биометрических контрольных шаблонов.

 

Полученные биометрические данные (acquire): Успешно завершенный процесс получения биометрических данных.

 

Пользователь (user): Человек, ответственный за управление и/или внедрение и/или администрирование биометрической системы, в отличие от конечного пользователя, чьи биометрические данные непосредственно захватываются ею.

 

Пользователь биометрической системы (user of a biometric system; исключен "end user"): Любое физическое или юридическое лицо, взаимодействующее в каком-либо виде с биометрической системой.

 

Пользователь-нарушитель (subversive user): Пользователь биометрической системы, который пытается разрушить надлежащую и намеченную системную политику.

 

Пользователь-не нарушитель (non-subversive user): Пользователь биометрической системы, который не пытается разрушить надлежащую и намеченную системную политику.

 

Попытка биометрической верификации (verification attempt): Биометрическое заявление и попытка (попытки) сбора биометрических данных, которые в совокупности составляют входные данные для сравнения (сравнений).

 

Попытка биометрического парного сравнения (biometric mated comparison trial): Сравнение биометрической пробы и биометрического контрольного шаблона одного и того же субъекта биометрических данных и биометрической характеристики в рамках эксплуатационного.

 

Попытка биометрического непарного сравнения (biometric non-mated comparison trial): Сравнение биометрической пробы и биометрического контрольного шаблона разных субъектов биометрических данных в рамках эксплуатационного испытания.

 

Попытка сбора биометрических данных (capture attempt): Действие, направленное на создание зарегистрированного биометрического образца.

 

Попытка сравнения (comparison trial): Одиночное сравнение биометрической пробы с биометрическим контрольным шаблоном при эксплуатационных испытаниях.

 

Порог (threshold): Численное значение (или множество значений), при котором существует граничное решение.

 

Пороговое значение (threshold): Граничная величина индекса совпадения, используемая программой сравнения для автоматического принятия решения допустить или отклонить контрольный шаблон, сравниваемый с запросным шаблоном.

 

Приложение (application): Установленное на оборудовании программное обеспечение, используемое для выполнения широкого перечня требований.

 

Проверка достоверности (validation): Процесс, демонстрирующий, что рассматриваемая система удовлетворяет требованиям, предъявляемым к данной системе, во всех отношениях.

 

Проверка наличия дубликатов, полученных при биометрической регистрации (duplicate biometric enrolment check): Проверка при биометрической идентификации, которая выполняется как часть процесса биометрической регистрации для подтверждения существующего статуса биометрической регистрации для субъекта биометрических данных.

 

Программный интерфейс приложений; ПИП (application programming interface; API): Программный интерфейс, который может использоваться для связи и сопряжения между приложением и биометрической системой.

 

Промежуточный биометрический образец (intermediate biometric sample): Биометрический образец, полученный в результате промежуточной обработки.

 

Промежуточная обработка биометрического образца (intermediate biometric sample processing): Любая обработка биометрического образца, которая не выводит биометрические признаки.

 

Процесс получения биометрических данных (biometric acquisition process): Процесс сбора биометрических данных и дополнительная обработка попытки создания подходящего биометрического образца (образцов) в соответствии с определенными правилами.

 

Процесс сбора биометрических данных (biometric capture process): Сбор или попытка сбора сигнала(ов) с одной или нескольких биометрических характеристик, или представление(я) одной или нескольких биометрических характеристик, и конвертирование сигнала (сигналов) в набор зарегистрированных биометрических образцов.

 

Решение (decision): Результат сравнения индекса совладения и порогового значения.

 

Решение биометрической верификации (biometric verification decision): Решение о сравнении, определяющее достоверность биометрического утверждения в транзакции биометрической верификации.

 

Решение биометрической идентификации (biometric identification decision): Решение о сравнении применительно к тому, относится ли биометрический контрольный шаблон (шаблоны) к определенному субъекту биометрических данных из базы данных биометрических контрольных шаблонов.

 

Решение биометрического приложения (biometric application decision): Решение выполнить действие на уровне приложения, основанное на результатах биометрического процесса.

 

Решение о сравнении (comparison decision): Определение, имеет ли биометрическая проба и биометрический контрольный шаблон единственный биометрический источник, основанный на сравнительной оценке(ах), правилах принятия решений, включая порог и, возможно, другие входные данные.

 

Результат сравнения (comparison score; исключен "matching score"): Численное значение (множество значений), являющееся результатом процесса сравнения.

 

Самозванец (impostor): Субъект-нарушитель сбора биометрических данных, который пытается совпасть с биометрическим контрольным шаблоном кого-то другого.

 

Сбор биометрических данных (biometric capture): Получение и запись в воспроизводимой форме сигнала(ов) биометрической характеристики (биометрических характеристик) непосредственно от индивида(ов), или от представления(й) биометрической характеристики (биометрических характеристик).

 

Система биометрической идентификации (biometric identification system): Система, назначением которой является выполнение биометрической идентификации.

 

Совпадение (match): Решение о сравнении, утверждающее, что биометрическая проба (биометрические пробы) и биометрический контрольный шаблон получены от одного источника.

 

Совместимая попытка сбора биометрических данных (conformant capture attempt): Действия, которые соответствуют задаче сбора биометрических данных.

 

Список биометрических кандидатов (biometric candidate list): Набор, включающий в себя любое количество (0, 1, 2,.) биометрических кандидатов, который может быть промежуточным или окончательным.

 

Сравнение (comparison): Процесс определения сходства между запросным и контрольным шаблонами.

 

Сравнение (comparison; исключены "match" и "matching"):[128] Оценка, вычисление или измерение степени схожести и различия между биометрическим(и) образцом(ами) и биометрическим(и) контрольным(и) шаблоном(ами).

 

Сравнение «один к одному» (one-to-one comparison): Процесс, при котором биометрическую пробу(ы) одного субъекта биометрических данных сравнивают с биометрическим контрольным шаблоном(ами) одного субъекта биометрических данных для получения результата сравнения.

 

Сравнение «один ко многим» (one-to-many comparison; исключен «one-to-few»): Процесс, при котором биометрическую пробу(ы) одного субъекта биометрических данных сравнивают с биометрическим контрольным шаблоном, более чем одного субъекта биометрических данных для получения набора результатов сравнения.

 

Стандарт (standard): Учрежденный на основе консенсуса и одобренный официальным органом документ, который предоставляет для общего и регулярного пользования правила, рекомендации или параметры действий, или их результаты, нацеленные на достижение оптимальной степени порядка в данном контексте.

 

Степень различия/степень отдаленности (dissimilarity score/distance score): Результат сравнения, который уменьшается с подобием.

 

Степень схожести (similarity score): Результат сравнения, который увеличивается с подобием.

 

Субъект (subject): Конечный пользователь, чьи биометрические данные предназначаются для регистрации или сравнения.

 

Субъект биометрических данных (biometric data subject): Индивид, чьи персонализированные биометрические данные находятся в биометрической системе.

 

Субъект-нарушитель сбора биометрических данных (subversive biometric capture subject): Субъект сбора биометрических данных, который пытается разрушить надлежащую и намеченную системную политику подсистемы сбора биометрических данных.

 

Субъект-не нарушитель сбора биометрических данных (non-subversive biometric capture subject): Субъект сбора биометрических данных, который не пытается разрушить надлежащую и намеченную системную политику подсистемы сбора биометрических данных.

 

Субъект сбора биометрических данных (biometric capture subject): Индивид, который является субъектом процесса сбора биометрических данных.

 

Токен/носитель данных (token): Физическое устройство, содержащее определенную информацию о конечном пользователе или предъявителе/держателе.

 

Транзакция биометрической верификации (verification transaction): Одна или более попыток биометрической верификации, результатом которых является заключение о биометрическом заявлении.

 

Транзакция сбора биометрических данных (capture transaction): Одна или более попыток сбора биометрических данных с целью получения всех биометрических данных от субъекта биометрических данных, необходимых для создания биометрического контрольного шаблона или биометрической пробы.

 

Укрыватель личности (identity concealer): Субъект-нарушитель сбора биометрических данных, который пытается избежать совпадения со своим собственным биометрическим контрольным шаблоном.

 

Устройство сбора биометрических данных/биометрический сканер (biometric capture device): Устройство, которое снимает сигнал с биометрической характеристики и конвертирует его в зарегистрированный биометрический образец.

 

Фильтровать (threshold/filter): Исключение идентификатора(ов) биометрического контрольного шаблона, связанных с биометрическим контрольным шаблоном (биометрическими контрольными шаблонами) и/или идентификаторами для биометрической пробы (биометрических проб), которым не удалось достичь уровня какого-либо типа оценки.

 

Эксперт по биометрическим характеристикам (biometric characteristics examiner): Индивид, обладающий правом оценивать биометрические характеристики для принятия решения о биометрическом заявлении.

 

Эксплуатационный персонал биометрической системы (biometric operational personnel): Индивиды, за исключением субъектов сбора биометрических данных, которые принимают активное участие в эксплуатации биометрической системы.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[1] Источник: доклад ID4D Practitioner’s Guide, v1.0, Всемирный Банк, 2019

[2] McKinsey report: Digital identification: A key to inclusive growth