Об утверждении Программы создания Национальной платформы цифровой биометрической идентификации на 2022-2024 годы
Краткое содержание: Об утверждении Программы создания Национальной платформы цифровой биометрической идентификации на 2022-2024 годыСтатус: Архив
Версия проекта: Версия 2 ( Версия 1 )
Тип НПА: Постановление Дата создания: 05/03/2022 21:04:28 Публичное обсуждение до: 30/03/2022 Дата запуска онлайн-обсуждения: 04/04/2022 09:00:00 Дата окончания онлайн-обсуждения: 04/04/2022 18:30:00
Об утверждении Программы создания
Национальной платформы цифровой биометрической
идентификации на 2022-2024 годы
Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:
2. Министерству внутренних дел Республики Казахстан, Министерству цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, Комитету национальной безопасности Республики Казахстан (по согласованию), Национальному Банку Республики Казахстан (по согласованию) принять меры по реализации Программы.
3. Министерству внутренних дел Республики Казахстан, Комитету национальной безопасности Республики Казахстан (по согласованию), Национальному Банку Республики Казахстан (по согласованию) представлять информацию два раза в год не позднее 1 июля и 1 января следующего за отчетным полугодием о ходе реализации Программы в Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
4. Контроль за исполнением настоящего постановления возложить на Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
5. Настоящее постановление вводится в действие со дня его подписания.
Премьер-Министр
Республики Казахстан А. Смаилов
Программа создания
Национальной
платформы цифровой
биометрической
идентификации на
2022–2024 годы
СОДЕРЖАНИЕ
1. ПАСПОРТ ПРОГРАММЫ.......................................................................... 4
2. ВВЕДЕНИЕ.................................................................................................... 6
3. ОБЗОР МЕЖДУНАРОДНОГО ОПЫТА................................................... 9
3.1 Принципы разработки национальных систем цифровой идентификации 9
3.2 Классификация моделей реализации национальных систем цифровой идентификации. 10
3.3 Опыт зарубежных стран. 11
3.4 Мировые тренды, используемые для национальных систем цифровой идентификации. 14
4. АНАЛИЗ ТЕКУЩЕЙ СИТУАЦИИ ПО СИСТЕМАМ ЦИФРОВОЙ БИОМЕТРИЧЕСКОЙ ИДЕНТИФИКАЦИИ В КАЗАХСТАНЕ.............. 19
4.1 Обзор существующих инициатив. 19
4.2 Жизненный цикл биометрической идентификации в Казахстане. 21
4.3 Технологическая карта существующих решений. 21
4.4 Области применения биометрических данных. 23
4.5 SWOT-анализ. 23
4.6 Выводы.. 28
5. СОЗДАНИЕ НАЦИОНАЛЬНОЙ ПЛАТФОРМЫ ЦИФРОВОЙ БИОМЕТРИЧЕСКОЙ ИДЕНТИФИКАЦИИ ............................................ 31
5.1 Цели и задачи Платформы.. 31
5.2 Гипотезы по решению выявленных проблем.. 32
5.3 Ожидаемые эффекты от реализации Программы.. 33
6. КОНЦЕПТУАЛЬНАЯ ЦЕЛЕВАЯ АРХИТЕКТУРА ПЛАТФОРМЫ. 36
6.1 Описание компонентов целевой архитектуры.. 37
6.2 Обеспечение безопасности данных. 40
6.3 Планирование реализации целевой архитектуры.. 43
6.4 Задачи для достижения целевой архитектуры.. 44
6.5 Ожидаемые результаты.. 44
6.6 Выводы и формирование перечня предложений по реализации целевой архитектуры.. 44
7. ОПЕРАЦИОННО-ПРАВОВАЯ МОДЕЛЬ РЕГУЛИРОВАНИЯ.......... 47
7.1 Обзор международного опыта правового регулирования. 46
7.2 Анализ текущего законодательства Республики Казахстан. 48
7.3 Анализ проблем, вызовов в законодательстве РК в отношении биометрической идентификации. 49
7.4 Рекомендации и предложения по выработке операционно-правовой модели 50
8. ЦИФРОВАЯ БИОМЕТРИЧЕСКАЯ ИДЕНТИФИКАЦИЯ ДЛЯ ФИНАНСОВОГО РЫНКА............................................................................................................. 68
8.1 Текущая архитектура ЦОИД.. 68
8.2 Предложения по развитию ЦОИД.. 70
9. ПЛАН МЕРОПРИЯТИЙ............................................................................ 79
ГЛОССАРИЙ................................................................................................... 86
ПРИЛОЖЕНИЕ 1........................................................................................... 91
ПРИЛОЖЕНИЕ 2........................................................................................... 98
ПРИЛОЖЕНИЕ 3......................................................................................... 125
Наименование Программы
1. ПАСПОРТ ПРОГРАММЫ
Программа создания Национальной платформы цифровой биометрической идентификации на 2022-2024 годы
Государственный орган, ответственный за разработку Программы
Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан
Государственные органы и организации, ответственные за реализацию Программы
Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, Национальный Банк Республики Казахстан, Министерство внутренних дел Республики Казахстан, Комитет Национальной Безопасности Республики Казахстан
Цель Программы
1. Расширение проникновения цифровых сервисов в масштабе государства и повышение доступности государственных, финансовых и иных видов услуг в полностью цифровом формате
2. Обеспечение оперативного и безопасного обмена и доступа к персональным данным для всех участников процесса цифровой идентификации
3. Повышение безопасности и обеспечение контроля над персональными данными для граждан Республики Казахстан
4. Стимулирование цифрового развития отраслей экономики
Задачи Программы
1. Создание национальной инфраструктуры цифровой идентификации в рамках единого архитектурного подхода
2. Утверждение операционной модели функционирования национальной инфраструктуры цифровой идентификации и распределение ролей между участниками системы
3. Создание эффективной правовой модели функционирования цифровой идентификации в Казахстане
Сроки реализации
2022-2024 годы
Целевые индикаторы
− Формирование единой архитектуры цифровой идентификации в Республике Казахстан
− Возможность интерактивного управления согласиями на доступ к персональным данным третьим лицам
− Доля оказания финансовых услуг в цифровом формате – 80% к 2022 году
− Доля оказания государственных услуг в цифровом формате - 90% к 2022 году
− Доступность государственных и коммерческих услуг в цифровом формате – 365 дней в году, 24 часа в сутки
2. ВВЕДЕНИЕ
Цифровая идентификация предлагает людям социальные, гражданские и политические преимущества, от более широкого участия, формализации и прозрачности до лучшего контроля онлайн-данных. Международными экспертами (Всемирный банк, BCG и др.) уделяется особое внимание на необходимость развития цифровых инструментов идентификации как основы цифровой трансформации.
Область применения систем цифровой идентификации в международной практике постоянно расширяется, и в настоящее время включает (но не ограничивается)[1]:
В целом, сценариев успешного взаимодействия физических лиц и учреждений посредством правильно внедрённой экосистемы цифровой идентификации множество. Согласно исследованию McKinsey[2] отдельные страны могут получить экономическую ценность, эквивалентную 3–13% от ВВП к 2030 году от реализации программ цифровой идентификации. В странах с развивающейся экономикой одна только базовая цифровая идентификация (которая обеспечивает верификацию и аутентификацию) может раскрыть 50‑70% всего экономического потенциала при коэффициенте внедрения около 70%. Зрелой экономике, где многие процессы уже являются цифровыми, требуется продвинутая цифровая идентификация (с расширенным хранением и обменом данными).
Таким образом, тщательно разработанные и масштабируемые системы цифровой идентификации могут создать значительную экономическую ценность, особенно в странах с развивающейся экономикой, с преимуществами как для отдельных лиц, так и для организаций[3].
Пандемия COVID-19 только подтвердила ключевую роль цифровой идентификации в режиме самоизоляции и важность наличия готовой инфраструктуры, позволяющей удаленно подтверждать личность граждан и удаленно получать доступ к услугам в цифровом виде.
Ряд стран, использующие системы удаленной идентификации получили преимущество во время пандемии как в экономическом, так и социальном плане. Так, например, в Эстонии, где 99% государственных услуг доступны онлайн, граждане получали электронные медицинские рецепты, платили налоги, идентифицировали личность при входе в онлайн-банкинг и другие интернет-сервисы, открывали бизнес, не выходя из дома. В Португалии[4] благодаря Цифровому мобильному ключу (Chave Movel Digital), обеспечивающей безопасную аутентификацию на различных общедоступных и частных веб-сайтах, требуя только мобильного телефона, 4-значного PIN-кода и OTP или биометрического распознавания, во время вспышек COVID-19 банки и операторы связи смогли идентифицировать и регистрировать новых клиентов, а также аутентифицировать существующих. В запущенной в 2016 году системе идентификации Италии, во время вспышки COVID-19 резко возросло число запросов на процедуры аутентификации.
Для Казахстана пандемия положительно повлияла и ускорила проектирование и разработку инструментов цифровой идентификации.
Так, в республике с целью удовлетворения растущего спроса на онлайн-услуги и транзакции в государственном и частном секторах в кратчайшие сроки были презентованы новые цифровые решения по удаленной идентификации личности - «Центр обмена идентификационными данными» Национального Банка РК, а также Digital ID Министерства цифрового развития, инноваций и аэрокосмической промышленности РК.
Сервис биометрической идентификации «Digital ID» на фоне пандемии идентифицировал граждан удаленно при выпуске электронной цифровой подписи, обеспечил прием онлайн-заявлений и выдачу физических пропусков в аудитории во время проведения Единого национального тестирования. Для участников финансового рынка ЦОИД предоставил возможность дистанционно идентифицировать пользователей и предоставлять услуги кредитования, открытия счетов и депозитов, а также выпуска платежных карточек.
Вместе с тем, текущая экосистема цифровой и биометрической идентификации в Республике Казахстан требует дальнейшего совершенствования технологических и методологических подходов для обеспечения роста доступности цифровых услуг для населения и бизнеса, повышения эффективности процессов цифровой идентификации и безопасности персональных данных населения.
Предлагаемая Национальная платформа цифровой биометрической идентификации станет основой для дальнейшего безопасного, эффективного, удобного для граждан и бизнеса внедрения цифровых технологий в Казахстане, обеспечит возможность управления собственными персональными данными, конкурентное развитие цифровых услуг, будет способствовать достижению целей экономического и социального развития и поддержанию цифрового лидерства Казахстана в регионе.
Настоящая Программа описывает принципы функционирования, порядок и временные этапы создания единой Национальной платформы цифровой биометрической идентификации граждан, распределение компетенций и ответственности, а также порядок взаимодействия государственных органов Республики Казахстан в целях создания и обеспечения эффективной работы данной платформы.
1.
Используемые в разных странах системы цифровой идентификации могут значительно различаться по охвату населения, функционалу и задачам, дизайну, организационной структуре и ролям участвующих сторон и т.д. Вместе с тем, исследующие данную тематику эксперты международных организаций выделяют ряд общих принципов и лучших практик, позволяющих осуществить успешное практическое внедрение цифровых идентификационных систем.
3. ОБЗОР МЕЖДУНАРОДНОГО ОПЫТА
3.1 Принципы разработки национальных систем цифровой идентификации
Всемирный Банк суммировал десять основных принципов, одобренных широким экспертным сообществом, международными организациями и ассоциациями для построения эффективной системы цифровой идентификации.
Данные десять нижеперечисленных принципов объединены вокруг трех ключевых компонентов: инклюзивность, дизайн и управление.
Таблица 1. Принципы создания систем цифровой идентификации
Инклюзивность: равное участие и доступ
Обеспечение равного доступа к системе для всех индивидов
Устранение барьеров к доступу и использованию системы, и устранение неравных условий в доступности информации и технологий
Дизайн: надежный, безопасный, адаптируемый и устойчивый
Установление надежной – уникальной, безопасной и точной – идентичности
Создание интероперабельной и адаптируемой к нуждам различных пользователей платформы
Использование открытых стандартов и обеспечение вендорной и технологической нейтральности
Встроенные в дизайн системы защита личных данных и пользовательский контроль
Планирование финансовой и операционной устойчивости системы без снижения ее доступности
Управление: создание доверия через защиту данных и прав пользователей.
Гарантирование защиты данных, безопасности и прав пользователей в рамках всеобъемлющей нормативной и регуляторной базы
Установление четких институциональных мандатов и ответственности
Обеспечение соблюдения нормативного регулирования и принципа доверия через эффективный надзор
Принципы являются релевантными для текущей ситуации в Казахстане и будут использованы для целей создания Национальной платформы цифровой биометрической идентификации.
3.2 Классификация моделей реализации национальных систем цифровой идентификации
Помимо набора основных принципов создания эффективной системы цифровой идентификации, все разнообразие существующих страновых систем эксперты международных организаций (Всемирного Банка, Международного союза электросвязи, Всемирного экономического форума) классифицируют по трем основным моделям организации цифровой идентификации на национальном уровне.
При централизованной модели существует одна организация, которая является единственным провайдером юридически признаваемой цифровой идентификации. В некоторых случаях это может быть та же организация, которая обеспечивает работу фундаментальной системы документирования населения, на которой основана цифровая идентификация. В других случаях это может быть организация, которая использует в качестве источников подтверждения идентичности множество других систем государственного документирования.
В рамках федерализованной модели несколько организаций-провайдеров обеспечивают юридически признаваемую цифровую идентификацию, обеспечивая координацию или аккредитацию через централизованную платформу или отдельную организацию, выступающую посредником. В некоторых случаях эти провайдеры являются государственными и/или частными организациями, которые используют фундаментальную систему документирования населения в качестве единственного источника подтверждения идентичности. В других случаях провайдеры используют множество государственных источников данных и систем документирования через организацию-посредника.
Открытая рыночная модель допускает множество регулируемых организаций в качестве провайдеров юридически признаваемой цифровой идентификации, использующих различные государственные источники данных и/или системы документирования. В отличие от федерализованной модели, эти провайдеры оперируют на основе прямых двусторонних договоренностей с отдельными государственными организациями, а не через централизованную платформу или посредника.
Кроме того, развитие технологий распределенного реестра предоставляет возможность для создания децентрализованной модели цифровой идентификации, в которых доступ к персональным данным и биометрическим атрибутам, хранимых в различных базах данных, предоставляется пользователем самостоятельно.
Оптимальной для реализации в условиях Казахстана с учетом существующей инфраструктуры и инициатив, уровня зрелости доступных технологий и интересов национальной безопасности представляется федерализованная модель с несколькими провайдерами, объединённых в единую экосистему биометрической идентификации, использующую в качестве источников данных государственные информационные ресурсы, пополняемые уполномоченными государственными органами.
Такая модель, в рамках которой несколько провайдеров юридически признаваемой цифровой биометрической идентификации взаимодействуют на основе четкой регламентации их ролей через общую платформу и единый источник достоверных данных, обеспечит эффективную координацию имеющихся инициатив в области цифровой биометрической идентификации различных государственных органов с использованием существующей инфраструктуры и без существенных дополнительных финансовых и временных издержек.
3.3 Опыт зарубежных стран
В качестве важного и релевантного для Казахстана тренда из международной практики следует отметить стратегический курс разных государств на интеграцию цифрового профиля граждан с финансовой инфраструктурой и национальными платежными системами.
Объединение цифрового и платежного профиля индивида обеспечивает долгосрочные выгоды в результате развития цифровой финансовой и платежной инфраструктуры, повышения разнообразия и доступности финансовых услуг, возможности использования биометрии для совершения платежей, продвижения на пути к созданию безналичной экономики.
Так, в функционал государственного цифрового сервиса Aadhaar, которым охвачено почти 95% населения Индии, входит цифровая идентификация и цифровые документы, возможность совершения электронных платежей, сбор и хранение биометрических данных в финансовых институтах. Система охватывает более 1 млрд. человек, тем самым является крупнейшей системой биометрической идентификации.
В настоящее время аутентификация в системе осуществляется с использованием уникального идентификатора и биометрических данных (обычно отпечатков пальцев) с помощью устройства POS (торговой точки). Банки и операторы платежных сетей внедрили аутентификацию Aadhaar в микро-банкоматы, чтобы предоставлять банковские услуги без отделений в любой точке страны в режиме реального времени, масштабируемым и совместимым образом. Согласно Отчету, Secure Identity Alliance & the one point team на 2020 год из 95% взрослого населения индекс удовлетворенности программой составил 92%.
Другим примером одним из наиболее интегрированных в цифровую среду обществ в мире является Эстония. 99% государственных услуг в Эстонии доступны онлайн (включая I-голосование 44% пользователей на последних выборах). Люди могут получить доступ к цифровым услугам благодаря трем совместимым решениям для цифровой идентификации:
Активно используемая в Сингапуре система National Digital Identity включает в себя единую биометрическую систему, цифровую идентификацию и цифровое хранение документов, а также сбор биометрических данных в финансовых институтах. Проект объединяет различные цифровые инструменты для обеспечения большего удобства и безопасности транзакций для граждан и бизнеса.
В ЕС инициирован проект единого цифрового кошелька для 27 стран, который обеспечит мультимодальную цифровую идентификацию, цифровое хранение документов и платежный сервис для оплаты различных услуг. С помощью кошелька граждане смогут подтвердить свою личность, если это необходимо для доступа к услугам в Интернете, для обмена цифровыми документами или просто для подтверждения определенного личного атрибута, такого как возраст, без раскрытия своей личности или других личных данных. Граждане всегда будут иметь полный контроль над данными, которыми они делятся. Помимо доступа к публичным сервисам, предусмотрен доступ и к частным онлайн-сервисам в ЕС, в частности к тем, которые требуют строгой аутентификации пользователя. Примерами этого могут быть доступ к банковскому счету или подача заявки на ссуду, подача налоговых деклараций, поступление в университет в стране или за рубежом и многое другое.
Реализуемый проект имеет множество преимуществ для граждан, в том числе:
В Швеции реализован проект BankID – система электронной идентификации клиентов, которая позволяет банкам, компаниям и государственным учреждениям идентифицировать клиента, а также заключать удаленно (подписывать) договора через Интернет. Система была создана для обслуживания клиентов банков через системы дистанционного банковского обслуживания, и в дальнейшем ею стали пользоваться государственные органы и компании. Таким образом, в настоящее время BankID это электронный идентификационный документ наряду с паспортом и водительскими правами, который используется не только как инструмент идентификации, но и как электронная цифровая подпись.
Verified.Me – это платформа аутентификации в Канаде для удобного подключения людей к важнейшим онлайн-услугам с использованием банковских учетных данных, которые они уже имеют. Verified.Me настроена по принципу «Triple Blind», гарантируя, что ни одна из сторон не получает конфиденциальную информацию пользователя. Учетные данные (содержащие атрибуты) шифруются от начала до конца с помощью сгенерированных вручную криптографических ключей, которые передаются независимо от передачи учетных данных. Блокчейн также является ключевым фактором в обеспечении доверия, конфиденциальности и безопасности.
В Российской Федерации в 2018 году создана Единая биометрическая система, с использованием которой осуществляется проведение биометрической идентификации физических лиц, а также запущен механизм удаленной идентификации. Сейчас к системе подключены банки и страховые компании. Однако в 2020 году в Законодательство РФ внесены изменения и ведутся работы по расширению спектра оказания услуг посредством биометрической идентификации. Дополнительно ведутся работы по подготовке наполнения базы биометрических данных через приложение «Биометрия» для мобильного телефона, смартфона или планшетного компьютера с 1 октября 2021 года. Для граждан, которые будут пользоваться данным приложением будет доступен широкий спектр услуг: дистанционный банковский сервис, онлайн-сдача сессии в высших учебных заведениях, оплата проезда, проход на спортивные объекты, удаленное заключение договоров и др.
Рис. 1. Обзор национальных инициатив по инфраструктурам цифровой идентификации[5]
3.4 Мировые тренды, используемые для национальных систем цифровой идентификации
Биометрическая идентификация — это процесс предоставления пользователем системы своего уникального биометрического атрибута и процесс сравнения его со всей базой имеющихся данных. Биометрические системы контроля доступа удобны для пользователей тем, что носители информации находятся всегда при них, не могут быть утеряны либо физически украдены.
Для идентификации могут быть использованы различные атрибуты, которые можно разделить на 2 группы – статические и динамические. Статические биометрические атрибуты основываются на физиологических признаках человека, присутствующих на протяжении всей жизни. К ним относят:
В свою очередь, динамические атрибуты берут за основу поведенческие характеристики людей, а именно подсознательные движения в процессе повторения какого-либо обыденного действия: почерк, голос, походка.
Различные атрибуты имеют различную степень надежности, безопасности, уровни коэффициентов ложного пропуска и ложного отказа, а также различные технические показатели.
В настоящее время десятки стран внедряют цифровую идентификацию на национальном уровне. На основании международного опыта можно выделить перечень технологических решений, которые в перспективе позволят выйти на новый уровень по использованию биометрической идентификации:
Несмотря на то, что отдельные сочетания используемых биометрических атрибутов могут обеспечить высокий уровень надежности и безопасности, с точки зрения практической имплементации также необходимо учитывать скорость обработки и сравнения атрибутов, стоимость и практичность устройств считывания, и другие. В следующей таблице отражен ряд национальных инициатив цифровой идентификации, использующих различные биометрические параметры. Следует также отметить значительный рост количества коммерческих инициатив в сфере биометрической идентификации, в том числе с использованием распределенных реестров для создания так называемых «юзерцентричных» (управляемых пользователем) систем цифровой идентификации.
Таблица 2. Обзор национальных биометрических систем в мире [6]
Страна
Год запуска
Цель/сферы использования
Атрибуты
Обязательность
Южная Африка
2018
банковские услуги; социальные услуги
образцы отпечатков пальцев, распознавание лиц, радужки глаза
Обязательна
Индия
2009
государственные субсидии; банковские услуги; оплата налогов; запись детей в школу и т.д.
шаблоны отпечатков пальцев, шаблоны радужки, фотография
Обязательна
Таиланд
2019
банковские услуги; повышение цифровой безопасности; упрощение онлайн-транзакций; расширение доступа к банковским счетам и кредитам; предоставление банкам возможности упрощенной процедуры e-KYC («знай своего клиента»)
распознавание лиц
Не обязательна
Сингапур
2020
государственные услуги (регистрация подоходных налогов, оплата штрафов); банковские услуги (открытие счетов, управление транзакциями)
распознавание лиц, голосовых характеристик, радужки глаза и отпечатков пальцев
Пока добровольна, но планируется обязательность
Кроме считывания, хранения и сравнения с биометрическими атрибутами для систем идентификации чрезвычайно важен процесс дедупликации, обеспечивающий уникальность каждого пользователя в системе и однозначность принадлежности конкретного биометрического атрибута к конкретному пользователю.
Все записи о гражданине, хранимые в государственных базах данных и иных источниках, представляют собой так называемый цифровой профиль гражданина. Системы цифровой идентификации могут обеспечить управление доступа гражданином к своему цифровому профилю, включая управление согласиями на предоставление информации третьим лицам.
Благодаря KYC происходит постоянный мониторинг, который обеспечивает актуальность данных верификации и позволяет системе тщательно анализировать операции, вызывающие подозрения. Процедура позволяет отслеживать крупные транзакции в страны, причастные к терроризму, по данным правительства США. Лидерами отрасли являются такие крупные компании как Thomson Reuters, Tradle, KYC-chain, IdentityMind, Accurate, Jumio, Sum&Substance, Checkr, Trunomi.
Так, Банк Таиланда разрешил шести коммерческим банкам использовать технологию распознавания лиц с помощью электронного Know Your Customer для проверки личности новых клиентов в рамках регулятивной песочницы при открытии депозитных счетов онлайн. Банкам разрешено проверять личность клиентов, пользующихся финансовыми услугами других банков, с помощью платформы National Digital ID (NDID), что устранило необходимость заполнения дублирующей информации.
По данным исследований эффекты от внедрения e-KYC:
Концепция Open Banking, движимая развитием правовых норм, технологий и конкуренции, призывает банки использовать интерфейсы API, чтобы предоставлять часть информации о клиентах сторонним агентам за пределами банковской сферы. Инновационная концепция дает банкам возможность расширять свои экосистемы и сферу деятельности.
В совокупности с эффективной системой сбора и обновления биометрических атрибутов граждан, инфраструктуры цифровой идентификации и цифрового профиля станут основой для эффективного перехода к открытой цифровой экономике.
KSI Blockchain - технология, выбранная для эстонских систем, также используемая НАТО и Министерством обороны США. Данные не покидают систему, только хэш отправляется в службу блокчейна. Поскольку никакие данные не хранятся на KSI Blockchain, он может масштабироваться для обеспечения неизменности для петабайтов данных каждую секунду.
Выделенные эффекты от внедрения KSI Blockchain:
4.1
4. АНАЛИЗ ТЕКУЩЕЙ СИТУАЦИИ ПО СИСТЕМАМ ЦИФРОВОЙ БИОМЕТРИЧЕСКОЙ ИДЕНТИФИКАЦИИ В КАЗАХСТАНЕ
Базовым элементом систем цифровой идентификации является сбор, хранение и обработка персональных биометрических данных – набора физических и поведенческих характеристик (атрибутов, модальностей), уникальных для каждого индивида, таких как лицо, радужка глаза, голос, отпечатки пальцев, походка и др.
Рис. 2. Составляющие цифровых идентификационных систем[7]
В Казахстане в настоящее время существует несколько систем сбора, хранения и обработки биометрических данных, работа которых обеспечивается рядом государственных органов в рамках собственных компетенций и выполнения ведомственных задач:
Обеспечивает функционирование системы документирования населения, осуществляя сбор установочных данных и фотоизображений в рамках процесса документирования в ЦОНах. Также проводятся работы в части организации процесса дактилоскопической регистрации через автоматизированную информационную систему «Биометрическая идентификация личности». Сбор данных будет осуществляться в рамках Закона Республики Казахстан от 30 декабря 2016 года № 40-VІ ЗРК «О дактилоскопической и геномной регистрации».
В рамках единой информационной системы «Беркут» будет осуществляться сбор биометрических данных нерезидентов при пересечении государственной границы, а также сбор дактилоскопических данных в процессе пограничного контроля. Сбор данных будет осуществляться в рамках Закона Республики Казахстан от 30 декабря 2016 года № 40-VІ ЗРК «О дактилоскопической и геномной регистрации».
Проект Digital ID позволяет получать услугу по выпуску электронной цифровой подписи с помощью удаленной идентификации личности. Регистрация в сервисе происходит полностью в онлайн формате. Для регистрации используется двухфакторная идентификация посредством OTP и биометрической идентификации (liveness + photo matching). Статистика показывает около 5 миллионов зарегистрированных пользователей в системе. На сегодняшний день в рамках развития проекта МЦРИАП реализует внедрение национальной системы цифрового профиля гражданина Digital ID, который предоставит гражданам безопасный доступ к государственным услугам, в том числе, осуществляя сбор данных посредством добровольного предоставления данных гражданами в ЦОНах.
Реализован сервис удаленной биометрической идентификации для получения финансовых услуг через собственный Центр обмена идентификационными данными (ЦОИД). На основании полученного согласия клиента на сбор, обработку, хранение и представление, в том числе при необходимости третьим лицам, его персональных данных, подтвержденного посредством идентификационного средства, банки проводят с клиентом сеанс видеоконференции либо использует технологию выявления движения клиента. Содержательная часть сеанса видеоконференции (перечень контрольных вопросов при их наличии), а также перечень и объемы услуг, оказываемых банками при удаленной идентификации клиентов, устанавливаются банками самостоятельно.
Помимо вышеуказанных решений по биометрической идентификации ряд ведущих частных финансовых организаций поддерживают собственные базы биометрических данных клиентов, на основе которых предоставляют сервисы идентификации и аутентификации для доступа к собственным услугам.
4.2 Жизненный цикл биометрической идентификации в Казахстане
В любой системе идентификации процесс установления личности человека и последующего использования этой информации включает в себя несколько этапов, называемых «жизненным циклом идентификации».
Жизненный цикл включает в себя следующие этапы:
4.3 Технологическая карта существующих решений
Представленная технологическая карта описывает взаимодействие каждой системы начиная от клиента заканчивая базами данных государственных органов.
Рис. 3. Технологическая карта текущей ситуации
4.4 Области применения биометрических данных
Таким образом, в настоящее время, сбор и обработка биометрической информации осуществляется в следующих случаях:
4.5 SWOT-анализ
Проведенный SWOT-анализ в рамках имеющихся инициатив показал следующее:
Сильные стороны:
Слабые стороны:
Возможности:
Сильные стороны:
Слабые стороны:
Возможности:
Сильные стороны:
Слабые стороны:
Возможности:
Угрозы:
Сильные стороны:
Слабые стороны:
Возможности:
Угрозы:
На основании анализа каждого объекта технологических решений сформирован общий анализ текущей ситуации по процессу биометрической идентификации:
Сильные стороны
Законодательство:
Организационная структура:
Охват применения:
Безопасность:
Слабые стороны
Законодательство:
Организационная структура:
Безопасность:
Возможности
Законодательство:
Организационная структура:
Угрозы
Законодательство:
Организационная структура:
Безопасность:
4.6 Выводы
По результатам обследования инициативы и существующие решения по биометрической идентификации полностью соответствуют только трем принципам Всемирного банка из десяти, а именно:
Помимо этого, проведенное обследование позволило определить ряд проблемных вопросов, решение которых послужит основой для разработки Национальной платформы.
Проблемы классифицированы на три группы.
Первая группа базируется на безопасности персональных данных населения:
Вторая группа включает вопросы стимулирования цифровой экономики и содержит:
Третья группа, не менее важная, проблемы интероперабельности, актуальность решения проблем которых постоянно возрастает с расширением области применения технологий:
С учетом развития систем идентификации в стране выявленные проблемы требуют незамедлительного и комплексного подхода по их решению. Решение вышеуказанных проблем является сложным и длительным процессом. Однако это позволит выйти на качественно новый уровень развития и эффективности, путем создания единого государственного механизма для идентификации граждан, с закреплением правовых норм на законодательном уровне для обеспечения защиты прав человека и гражданина.
5.1
5. СОЗДАНИЕ НАЦИОНАЛЬНОЙ ПЛАТФОРМЫ ЦИФРОВОЙ БИОМЕТРИЧЕСКОЙ ИДЕНТИФИКАЦИИ
Настоящая Программа направлена на систематизацию координации между инициативами различных государственных участников для обеспечения эффективной системы цифровой идентификации национального уровня – Национальной платформы цифровой биометрической идентификации.
Основной задачей Национальной платформы является объединение совокупности существующих инициатив государственных органов в сфере цифровой идентификации в единую систему, которая будет управляться на основе однозначного распределения ролей и регламентов взаимодействия участвующих сторон.
Рис. 4. Целевая архитектура взаимодействия государственных участников в рамках Национальной платформы цифровой биометрической идентификации
Создание Национальной платформы имеет в качестве целей достижение нижеперечисленных преимуществ для индивидов, бизнесов, государства и общества в целом:
5.2 Гипотезы по решению выявленных проблем
Создание Национальной платформы представляет собой комплексный подход по решению выявленных проблем в ходе анализа текущего состояния систем, осуществляющих сбор, обработку и хранение биометрических данных.
Выявленные проблемы
Гипотезы
Обеспечение безопасности и конфиденциальности данных
Разработка операционно-правовой модели для регулирования отношений в рамках законодательства
Выработка требований к стандартизации в рамках жизненного цикла процессов и используемых технологий по биометрической идентификации
Интероперабельность
Создание единого механизма взаимодействия (Контрольная биометрическая система) государственных и иных организаций для проведения верификации физических лиц по персональным (в том числе биометрическим) данным.
Регламентирование порядка взаимодействия участников в рамках процесса с биометрическими данными с Контрольной биометрической системой
Реализация возможности удаленной верификации физических лиц, в том числе с использованием мобильных устройств
Стимулирование цифровой экономики
Расширение возможностей использования мультимодальной идентификации путем взаимодействия с Контрольной биометрической системой
Повышение цифровой грамотности путем обучения граждан использованию новых внедряемых технологий
5.3 Ожидаемые эффекты от реализации Программы
Создание Национальной платформы и общей прозрачной, надежной и эффективной системы цифровой идентификации в Казахстане обеспечит многочисленные положительные эффекты для граждан, бизнесов и государства.
В частности, граждане и частный сектор в результате улучшенной идентификации получат выгоду от уменьшения рисков цифрового мошенничества и краж, снижения временных затрат и операционных расходов на администрирование, комплаенс, проведение транзакций и т. д. К ожидаемым положительным эффектам также следует отнести повышение доступности цифровых услуг для граждан и рост клиентской базы для бизнеса. Отдельно необходимо упомянуть ожидаемое общее повышение доверия граждан и бизнеса к цифровым услугам, создание более благоприятного бизнес-климата. Кроме этого, для граждан и бизнеса можно выделить следующие ожидаемые эффекты:
Государственный сектор также получит значительные выгоды в виде уменьшения ошибок и мошенничества в процессах распределения социальных пособий и помощи (устранение «мертвых душ», дублирования, неправомерных получателей государственных средств), снижения административных и транзакционных издержек за счет упрощения, автоматизации и устранения дублирования государственных услуг и функций.
К положительным эффектам для государства также относятся повышение собираемости налогов и расширение налогооблагаемой базы, дополнительные доходы за оказание платных государственных услуг и др. Согласно совместному исследованию McKinsey[8] и Всемирного банка, а также оценке эффективности аналогичных программ в развивающихся экономиках, предположительный экономический эффект от внедрения программы может составить до 3% от ВВП.
Созданная в рамках Платформы инфраструктура также позволит избежать выполнения дублируемых функций между существующими инициативами с соответствующим снижением совокупных издержек государственных органов на реализацию цифровой идентификации.
Внедрение Национальной платформы цифровой биометрической идентификации будет способствовать развитию финансового рынка и финансовой инклюзивности, повышению конкуренции и качества финансовых услуг благодаря переходу от текущего состояния закрытых экосистем и барьеров для возникновения и роста новых финансовых игроков и финтех-инноваций к общей цифровой финансовой инфраструктуре, обеспечивающей контроль пользователей над собственными персональными данными и равные возможности для роста и инноваций для цифровых бизнесов.
Программа создания Национальной платформы цифровой биометрической идентификации на 2022-2024 годы является системным документом, отражающим комплексное развитие цифровой идентификации в Казахстане. Предлагаемые инициативы затрагивают изменения в деятельности всех заинтересованных сторон процессов цифровой идентификации – граждан, частного сектора и государственных органов.
В этой связи успешная и эффективная реализация заданных направлений может быть достигнута только при комплексном и целостном подходе, в тесном взаимодействии и высокой вовлеченности всех сторон.
Процесс реализации стратегических направлений Программы также должен быть адаптивен к возможным изменениям макроэкономической ситуации. В этой связи исполнение мероприятий будет осуществляться и корректироваться с учетом рисков и ограничений, связанных с общим экономическим положением и другими макрофакторами.
6. КОНЦЕПТУАЛЬНАЯ ЦЕЛЕВАЯ АРХИТЕКТУРА ПЛАТФОРМЫ
1. определить приоритетные направления развития биометрической идентификации на законодательном уровне;
2. исключить дублирование функций объектов и создать возможность для совместного использования биометрических модальностей;
3. оптимизировать расходы на развитие цифровой идентификации;
4. обеспечить оптимальный выбор и эффективное внедрение Национальной платформы с обеспечением безопасности и доступности услуг.
Архитектурный масштаб охватывает следующие государственные органы:
Помимо ответственных за реализацию Национальной платформы государственных органов, знаменательную роль отведена Правительству Республики Казахстан, которое определяет ответственный государственный орган за владение и развитие контрольной биометрической системы на период ее эксплуатации.
Оказание услуг по биометрической идентификации гражданам и бизнесу посредством Платформы предлагается осуществлять исключительно посредством технологических платформ государственных органов:
Доступ к эталонным биометрическим данным через операционные базы данных в рамках оказания услуг населению и бизнесу, системами НБРК и МЦРИАП РК будет осуществляться только на основе согласий на обработку персональных данных, фиксируемых в Системе управления согласиями на сбор и обработку персональных данных.
Рис. 5 Целевая архитектура взаимодействия государственных участников в рамках Национальной платформы цифровой биометрической идентификации
Перечень компонентов, использующийся для построения целевой архитектуры:
№
Компонент
Состояние
1.Системы сбора (регистрации) биометрических данных
Действующий
Контрольная биометрическая система
Новый
Операционная база данных
Новый
Платформа биометрической верификации (биометчер)
Новый
Система управления согласиями на сбор и обработку персональных данных
Новый
Система миграции данных
Новый
6.1 Описание компонентов целевой архитектуры
В рамках разработки целевой архитектуры предусмотрены следующие компоненты:
Сбор первичных биометрических данных граждан Казахстана и нерезидентов с 2023 года будет осуществляться в соответствии с законом Республики Казахстан от 30 декабря 2016 года № 40-VІ ЗРК «О дактилоскопической и геномной регистрации», в рамках существующих процессов сбора данных государственными органами, а именно:
Потребуется модернизация существующих информационных систем МВД РК и КНБ РК, задействованных в процедурах сбора биометрических данных, и интеграция с Контрольной биометрической системой в части передачи информации.
Процедуры дедупликации персон будут осуществляться на уровне внутренней логики информационных систем МВД РК и КНБ РК в рамках процессов оказания государственных услуг.
Центры обслуживания населения для граждан Республики Казахстан будут обеспечены устройствами для сбора биометрических данных.
Контрольная биометрическая система будет выполнять роль единого хаба биометрической информации из государственных и ведомственных баз данных, данных финансового рынка и других источников и т.д. Отправка данных в Контрольную биометрическую систему будет осуществляться посредством сервиса миграции.
Контрольная биометрическая система будет разработана ресурсами Национального Банка РК с ее последующей передачей Правительству Республики Казахстан. Правительство определяет ответственный государственный орган за владение и развитие КБС и передает во владение.
Контрольная биометрическая система содержит все биометрические данные и обеспечивает уникальность всех заявителей. Она состоит из набора баз данных (по одной на модальность) с соответствующими биометрическими кодерами и блоками сопоставления. Кодеры преобразуют необработанные биометрические данные в шаблонные данные (двоичные данные, используемые алгоритмами матчеров для сравнения данных). Кодеры используются для любой операции сопоставления: во время миграции и во время всех запросов на регистрацию.
Блоки сопоставления (матчеры) предназначены для выполнения поисков с дедупликацией (1:N), гарантируя отсутствие любой новой записи в системе.
Существует столько же типов кодеров и сопоставителей, сколько типов модальности, так как для каждой модальности существует отдельный алгоритм. Следовательно, будут кодеры лиц, которые превращают изображения лиц в шаблоны лиц, и матчеры сопоставления лиц, выполняющие сопоставления лиц; будут кодеры отпечатков пальцев, которые превращают сканированные отпечатки пальцев в шаблоны отпечатков пальцев, и матчеры сопоставления отпечатков пальцев, которые выполняют сопоставления отпечатков пальцев и т. д.
Контрольная биометрическая система управляет мультимодальностью: каждая модальность управляется одной цепочкой обработки (кодирование, сопоставление, сохранение), а верхний уровень управляет реагированием и объединяет результаты каждой модальности.
Настройки конфигурации предлагается выявить на этапе проектирования, чтобы определить политику мультимодального соответствия:
Контроль над управлением конфиденциальностью, целостностью и доступностью информации осуществляется собственником Контрольной биометрической системы при помощи встроенных средств. Не допускается вмешательство в работу Контрольной биометрической системы иными компонентами платформы.
В целях обеспечения информационной безопасности и рационального распределения нагрузки должного уровня отказоустойчивости, а также обеспечения возможности оперативного масштабирования в зависимости от поступающей нагрузки предполагается создание Операционных баз данных.
Эталонные данные по определенным модальностям передаются в операционные базы данных государственных органов согласно операционных потребностей. Информационные системы по работе с биометрическими данными пользуются данными из операционных баз данных согласно своим потребностям.
Доступ к операционным базам данных получают технологические платформы сравнения биометрических параметров (лицо, дактилоскопия (контрольные отпечатки), голос, радужка) согласно ведомственной принадлежности.
При создании Операционных баз данных Провайдеров предполагается реализация модели взаимодействия с внешними информационными системами, при которой образцы биометрических данных не будут покидать защищенного периметра, вместо этого будут передаваться математические шаблоны, по которым невозможно восстановить (подделать) биометрические образцы.
В целях обеспечения принципов вендорной нейтральности, на стороне Провайдеров предполагается создание мультивендорной платформы биометрической верификации.
Применение мультивендорной платформы биометрической верификации предполагает возможность подключения любого количества вендоров (производители программного обеспечения), после проведения соответствующих проверок.
Мультивендорная платформа биометрической верификации обеспечит:
Мультивендорная платформа биометрической верификации будет обеспечивать сравнение биометрических образцов (1:1), полученных от физического лица в момент обращения за услугой с эталонными образцами, хранящимися в Операционной базе данных.
Система управления согласиями на сбор и обработку персональных данных обеспечит управление процессами предоставления и отзыва согласия на сбор и обработку персональных данных физических лиц.
В составе Системы управления согласиями на сбор и обработку персональных данных будут предусмотрены самостоятельные (независимые) механизмы просмотра (в виде мобильного приложения и веб-портала) физическими лицами ранее выданных разрешений на сбор и обработку персональных данных, а также их отзыва.
Кроме того, буду реализованы механизмы уведомления физических лиц о фактах сбора и обработки персональных (биометрических) данных. Данный механизм позволит отслеживать кто имеет доступ к персональным данным, и кто именно обрабатывает их в настоящее время.
Собранные и обработанные данные поступают в контрольную биометрическую систему.
Источником данных по отпечаткам пальцев рук граждан Республики Казахстан, иностранцев и лиц без гражданства, постоянно проживающих на территории Республики Казахстан, трудовых мигрантов, лиц, подлежащих выдворению с территории Республики Казахстан будет выступать АДИС МВД АИС БИЛ.
Источником данных по установочным данным и фотоизображениям граждан Республики Казахстан, иностранцев и лиц без гражданства, постоянно проживающих на территории Республики Казахстан будет выступать ИС РП ДРН.
Источником данных по фотоизображениям трудовых мигрантов и лиц, подлежащих выдворению с территории Республики Казахстан будет выступать АДИС МВД АИС БИЛ.
Источником данных по установочным данным трудовых мигрантов и лиц, подлежащих выдворению с территории Республики Казахстан будет выступать ИС МП МВД РК.
6.2 Обеспечение безопасности данных
Вопросы конфиденциальности, касающиеся биометрической идентификации, становятся все более актуальными в связи с их распространением в различных областях. Неправильное использование биометрических данных может иметь серьезные последствия, такие как кража личных данных или профилирование клиентов.
Система информационной безопасности инфраструктуры Национальной платформы должна представлять собой комплекс взаимосвязанных организационных и технических мер по обеспечению необходимого уровня защищенности всей инфраструктуры Национальной платформы и ее отдельных подсистем/компонентов.
Централизованная система управления согласиями
В рамках обеспечения безопасности данных Национальной платформы, необходимо принять активный и целостный подход для решения постоянно растущих проблем кибербезопасности. К примеру, такие страны, как Сингапур и Индия активно применяют централизованную систему управления цифровыми согласиями в рамках своих национальных биометрических идентификационных систем для обеспечения безопасности предоставления доступа к личной информации граждан.
В целях обеспечения безопасности биометрических данных, хранящихся в Контрольной биометрической системе, доступ в рамках оказания услуг населению будет осуществляться только на основе согласий физических лиц на сбор и обработку персональных данных, фиксируемых в Системе управления согласиями на сбор и обработку персональных данных.
Система управления согласиями позволит гражданам активно влиять на процессы сбора и обработки персональных (биометрических данных), управлять доступом к своим персональным данных путем предоставления разрешения\отказа в предоставлении\просмотра и отзыва выданных разрешений конкретным организациям.
Реализация реестра согласий, в первую очередь, стимулирует развитие в стране механизма контроля и управления собственными персональными данными гражданами Республики Казахстан, что в потенциале позволит минимизировать риски утечек конфиденциальной личной информации.
Доступ граждан к системе управления согласиями будет осуществлено посредством интерфейса, где гражданин сможет управлять собственными данными, а именно:
Таким образом, гражданин будет контролировать доступ к своим персональным данным собственноручно, посредством своих цифровых инструментов.
Механизмы защиты и стандарты для достижения кибербезопасности
Биометрические данные являются персональными данными, целостность и сохранность, которых должна обеспечиваться на высоком уровне. Необходимо предусмотреть ряд физических, технических, программных, криптографических и административных мер, направленных на обеспечение информационной безопасности.
Помимо этого, стоит учесть, что биометрические данные, которые будут храниться в информационных ресурсах уполномоченных государственных органов, не будут покидать защищенный контур. Для обеспечения данного подхода, будет построена распределенная система доступа, которая обеспечит хранение персональной и биометрической информации в физически разных банках данных, доступ к одному, из которых, не позволит установить личность физического лица. Кроме того, все компоненты Платформы будут развернуты в защищенном контуре государственных органов.
Данный подход поспособствует минимизации мошеннических и иных кибер рисков.
В целях обеспечения защиты передачи биометрических данных будут четко определены требования к ПО, периферийному оборудованию в части соответствия их к признанным международным стандартам, таким как ANSI/INCITS 378-2004, NIST-500-290.
Для обеспечения конфиденциальности хранимых данных будут использованы различные формы криптографических алгоритмов шифрования. Алгоритмы шифрования применяются к биометрическим данным для получения зашифрованных данных и разработаны таким образом, что зашифрованные данные не предоставляют информации о биометрических данных.
Кроме технических мер, будут приняты и организационные меры, включающие разработку соответствующих политик и регламентов.
Однако, отмечаем, что Система управления информационной безопасности является общим компонентом и не должен рассматриваться как разработка системы в рамках НПЦБИ. Всеми ответственными государственными органами по согласованию с КНБ должны быть предусмотрены меры по обеспечению информационной безопасности создаваемых компонентов согласно рекомендаций ГТС КНБ РК.
На уровне приложений необходимо выделить 8 основных функций безопасности:
В целях технического регулирования необходимо предусмотреть гармонизацию международных стандартов:
6.3 Планирование реализации целевой архитектуры
Масштабирование АИС БИЛ на базе МВД РК в рамках исполнения задач по сбору, обработке, а также хранению и обмену биометрическими данными. На первоначальном этапе предполагается, что АИС БИЛ позволит обрабатывать отпечатки пальцев. В перспективе рассматривается возможность сбора и обработки радужной оболочки глаза.
В настоящее время, АИС БИЛ и РП ДРН покрывают внутриведомственные потребности МВД РК и не рассчитаны на дополнительную нагрузку, которая образуется по результатам реализации Платформы.
Для обеспечения возможности верификации физических лиц без нарушения функционирования ведомственных баз данных требуется модернизация АИС БИЛ и РП ДРН (в том числе обеспечение инфраструктурой).
Также, для обеспечения хранения и обработки персональных и биометрических данных планируется создание Контрольной биометрической системы и операционных баз данных Провайдеров (МЦРИАП РК и НБ РК).
Кроме того, предусматривается модернизация отраслевой системы идентификации – ЦОИД НБ РК в части расширения функционала биометрической верификации, реализации сервиса KYC, использования облачной ЭЦП при оказании электронно-банковских услуг. Детальное описание по модернизации ЦОИД представлено в разделе 8.
Мероприятия по расширению функциональных возможностей проекта DigitalID (МЦРИАП) предусматриваются соответствующим Договором государственно-частного партнерства и не предполагаются к реализации в рамках реализации Национальной платформы.
Вместе с тем, в целях создания универсального механизма верификации на государственном уровне, предполагается предоставление защищенного доступа DigidalID к отдельным инфраструктурным элементам Национальной платформы.
Детальный перечень мероприятий по переходу к целевой архитектуре с указанием сроков представлен в Плане мероприятий к настоящей Программе.
6.4 Задачи для достижения целевой архитектуры
На основе поставленной цели определены следующие ключевые задачи по достижению целевого состояния архитектуры данных:
− разработка организационно-распорядительных документов, направленных на регулирование процедур биометрической верификации и распределения ответственности;
− определение и применение методов биометрической верификации в рамках законодательства и стандартов;
− оценка и определение бюджета на реализацию целевой архитектуры;
− составление и утверждение план-графика по переходу от текущего до целевого состояния.
6.5 Ожидаемые результаты
Ожидаемыми результатами целевого состояния архитектуры являются:
1. Определение и закрепление владельцев компонентов Платформы.
2. Повышение точности результатов верификации за счет использования мультимодальной биометрической верификации.
3. Исключение передачи биометрической информации в различные ИС.
4. Соблюдение требований к безопасности, конфиденциальности и целостности данных.
5. Обеспечение высокого уровня эффективности и результативности управления биометрическими данными, включая сбор, обработку, использование, архивацию и удаление данных.
6.6 Выводы и формирование перечня предложений по реализации целевой архитектуры
В целях выработки рекомендаций и оценки соответствия существующих решений компонентам целевой архитектуры проведен анализ текущих компонентов архитектуры и рекомендаций международного опыта.
Инфраструктура Платформы должна быть спроектирована и введена в действие с учётом возможности дальнейшего расширения сферы ее использования. При проектировании инфраструктуры необходимо обеспечить устойчивость по отношению к программно-аппаратным ошибкам, отказам технических и программных средств, с возможностью восстановления его работоспособности и целостности информационного содержимого при возникновении ошибок и отказов, а также восстановление программного обеспечения серверов в случае сбоя работы оборудования.
В рамках целевой архитектуры также должно быть предусмотрено масштабирование системы как с точки зрения технологических характеристик и производительности, так и с точки зрения применяемых технологий идентификации с многоуровневой моделью доступа с разными уровнями аутентификации / верификации данных в зависимости от сценариев использования и уровней риска.
Дополнительно для обеспечения реализации целевой архитектуры предполагается:
7. ОПЕРАЦИОННО-ПРАВОВАЯ МОДЕЛЬ РЕГУЛИРОВАНИЯ
7.1 Обзор международного опыта правового регулирования
Правительства стран, в которых системы биометрической идентификации развиваются стремительным ростом активно вводят новые поправки в законодательство и стандарты для регулирования отношений в области конфиденциальности и безопасности данных.
В некоторых странах правовые рамки и практика уже могут включать инклюзивные и надежные системы идентификации. Однако во многих других случаях ключевые законы и нормативные акты не существуют, не применяются, не соответствуют международному праву или предшествуют использованию систем цифровой идентификации и доверительных услуг, таких как электронные подписи.
В 2020 году в России подписан федеральный Закон, направленный на комплексное урегулирование вопросов, связанных с функционированием систем, обеспечивающих идентификацию с использованием биометрических персональных данных. Закон вступил в силу с 1 января 2021 года. Теперь уже на законодательном уровне расширение сфер применения биометрии дает возможность запустить новые массовые сервисы на основе биометрии, а также предоставляет банкам и другим финансовым организациям с базовой лицензией право собирать биометрические данные в ЕБС.
Китай в середине марта 2020 года ввел новые стандарты для приложений, которые собирают биометрические данные, в том числе для систем распознавания лиц. Причиной послужили скандалы в 2019 году по поводу утечки данных из приложения Zao для создания deep-fake. В результате Китай обновил рекомендации по сбору биометрических данных и требованиям к согласию. В обновленных стандартах компаниям также рекомендуется хранить биометрическую информацию отдельно от информации, позволяющей установить личность, и предлагается несколько разъяснений по обработке данных, включая доступ третьих сторон.
Компании стран ЕС в области защиты персональных данных должны соответствовать требованиям регламента General Data Protection Regulation, регулирующий отношения между теми, кто предоставляет свои личные данные (граждане ЕС) и теми, кто эти данные собирает, обрабатывает и использует в своей работе (интернет-сервисы, веб-ресурсы, коммерческие и некоммерческие компании, организации). За нарушение требований GDPR компаниям могут наложить большие штрафы.
Разработка схемы идентификации на основе существующих международных стандартов, таких как ISO, ICAO, OSIA, NIST или рамочных стандартов, таких как eIDAS, имеет ключевое значение для правительств, чтобы обеспечить совместимость, предоставить общий язык и понимание между политиками и техническими специалистами, а также обеспечить сопоставимость внутри стран на национальном и местном уровнях и с другими странами на региональном/ международном уровне. Таким образом, цифровая идентификационная система Нигерии строится на открытых стандартах, таких как спецификации IS0/ICAO для размещения данных, спецификации FIPS Level 2 и NIST для PKI и шифрования, OSIA и GDPR для соответствия API. Взаимосвязанная система Nigeria MobileID будет основана на очень надежной системе серверного уровня, включающей в себя систему идентификации, невозврата, биометрической аутентификации с помощью распознавания лиц, блокчейн-метки времени и аудита, и, конечно, дружественные OSIA интерфейсы REST API.
Стандарт ISO/IEC 18013-3 относительно мобильных водительских прав определяет протоколы связи для обеспечения аутентификации и проверки подлинности приложения для мобильных водительских прав в Аризоне и Австралии. Международное признание и совместимость особенно важны, учитывая характер водительских прав, используемых во всем мире. Приложения MDL и ID verifier часто не предоставляются одним и тем же поставщиком, особенно на международном уровне взаимодействия. Тем не менее, плавное взаимодействие между этими двумя устройствами должно обеспечивать отсутствие каких-либо сложностей. Многие органы управления общественным транспортом были вовлечены в разработку стандарта ISO на очень ранней стадии, например, департамент TMR австралийского Квинсленда и органы AMVA США. Они смогли обозначить свои проблемные моменты, чтобы наилучшим образом решить их, а также получить представление о новейших функциях и протоколах, чтобы иметь четкое видение следующих шагов.
Использование стандартов, а также четкое регулирование отношений на уровне законодательства обеспечивает внедрение универсально понимаемых протоколов, необходимых для работы, совместимости и интероперабельности, которые, в свою очередь, необходимы для разработки и внедрения продукции.[9]
7.2 Анализ текущего законодательства Республики Казахстан
В Казахстане на сегодняшний день имеется ряд нормативно-правовых актов, в которых определены термины и порядок использования биометрической и цифровой идентификации. Перечень действующих нормативно-правовых актов приведен в Приложении 1.
Область применения биометрической идентификации в той или иной степени, урегулированная законодательством РК:
Общественные отношения в сфере персональных данных регулируются законом Республики Казахстан от 21 мая 2013 года N 94-V «О персональных данных и их защите». Согласно ЗРК к персональным данным относятся сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.[10]
Биометрические данные являются персональными данными, которые характеризуют физиологические и биологические особенности субъекта, на основе которых можно установить его личность.[11]
В соответствии с Постановлением Межпарламентской Ассамблеи государств – участников СНГ от 13 апреля 2018 года № 47-13 «О Глоссарии терминов и понятий, используемых государствами – участниками СНГ в пограничной сфере» биометрическими данными являются сведения, характеризующие физиологические особенности человека, на основе которых можно установить его личность: цифровая фотография, отпечатки пальцев, изображение радужной оболочки глаз и иные биометрические данные; могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных и в соответствии с национальным законодательством. Аналогичное определение используется в Соглашении о сотрудничестве в создании государственных информационных систем паспортно-визовых документов нового поколения и дальнейшем их развитии и использовании в государствах-участниках СНГ.[12]
Также дактилоскопической информацией являются биометрические данные об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека или неопознанного трупа, позволяющие установить его личность, и ПД в соответствии с требованиями ЗРК «О дактилоскопической и геномной регистрации».[13]
Подробное описание этапов операционной деятельности биометрических систем согласно действующему законодательству РК, описан в приложении 2 к Программе, которые включают в себя следующие модели:
7.3 Анализ проблем, вызовов в законодательстве РК в отношении биометрической идентификации
Внедрение Национальной платформы станет необходимым толчком для усовершенствования законодательной базы в части расширения возможности использования механизма удаленной идентификации.
По результатам проведенного обследования текущего законодательства Казахстана выявлено, что значение терминов не раскрывается в полной мере, отсутствует единый понятийный аппарат и единые унифицированные определения терминов в биометрической идентификации, при том, что биометрия уже массово применяется гражданами в повседневной жизни и активно масштабируется: миллионы людей используют отпечатки пальцев или лицо для разблокировки своих мобильных устройств, пропуска в здания, открытия счетов и получения других финансовых услуг (список не исчерпывающий).
Для обеспечения, безопасности, целостности и непрерывности функционирования Национальной платформы выявленные вызовы/пробелы в законодательстве распределены по соответствующим блокам вопросов:
7.4 Рекомендации и предложения по выработке операционно-правовой модели
Основные принципы регулирования законодательства в сфере цифровой идентификации базируются в первую очередь на защите прав и свобод человека и гражданина.
При этом для полноценной работы Национальной платформы и обеспечения защиты конфиденциальной информации персональных данных должны быть разработаны правовые нормы, которые будут содержать в себе основы регулирования функционирования Платформы, необходимые изменения и дополнения в действующие НПА и взаимодействие между существующими и будущими механизмами, не противоречащие Конституции РК. НПА должны содержать положения/регламент, определяющие процедуры, способы и механизмы использования и обращения с биометрическими данными всех модальностей, разграничение ответственности и зоны регулирования ответственных органов, взаимодействие между текущими системами и возможность доработки или интеграции Национальной платформы в будущем. Так как система затрагивает персональные данные граждан Казахстана и нерезидентов, то вопрос защиты персональных данных и возложение ответственности за нарушение сохранности персональных данных также должен быть рассмотрен в НПА. В мировой практике существует ряд действующих НПА и стандартов, которые могут быть использованы при разработке Технического задания Платформы и НПА. Например: GDRP, Стандарты ISO серии 27000 и другие (подробнее в пункте «Стандартизация требований»).
Кроме того, учитывая стремление к достижению принципов управления Всемирного Банка предлагается рассмотреть следующие предложения и рекомендации:
Основные понятия и определения в сфере биометрии, биометрической идентификации отражены в межгосударственных стандартах ГОСТ ISO/IEC 24713-1-2013,[14] ГОСТ ISO/IEC 2382-37-2016,[15] которые представлены в Приложении 3 «Перечень терминов и определений» к настоящей Программе.
Ниже рассматриваются отдельные определения, которые регулируются казахстанским законодательством, с рекомендациями к применению таких определений в той или иной редакции.
Определения понятия «биометрические данные»:
Биометрические данные — сведения, характеризующие физиологические особенности человека, на основе которых можно установить его личность: цифровая фотография, отпечатки пальцев, изображение радужной оболочки глаз и иные биометрические персональные данные; могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных и в соответствии с национальным законодательством.
Биометрические данные – персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность (статья 1).
Рекомендация
В качестве рекомендации предлагается применение понятия «биометрические данные», которое дано в Постановлении Межпарламентской Ассамблеи государств – участников СНГ от 13 апреля 2018 года № 47-13 «О Глоссарии терминов и понятий, используемых государствами – участниками СНГ в пограничной сфере» (Санкт-Петербург) в связи с его полнотой и действием данного документа на территории стран СНГ, участником которого является РК. В дополнение, дополнить пункт возможностью обработки данных при наличии также согласия в электронной форме субъекта персональных данных.
Определения понятия «биометрическая идентификация»:
Биометрическая идентификация – процедура установления личности клиента с целью однозначного подтверждения его прав на получение электронных банковских услуг на основе его физиологических и биологических особенностей (подпункт 2) п. 2 Правил оказания электронных банковских услуг и подпункт 3) пункта 3 Правил функционирования системы ЦОИД).
Биометрическая идентификация – процесс поиска по базе данных биометрических регистраций, направленный на поиск и возврат идентификатора(ов) биометрического контрольного шаблона, связанного с одним индивидом (пункт 37.08.02 ГОСТ ISO/IEC 2382-37-2016).
Рекомендация
Рекомендуется использование определения, указанному в ГОСТ ISO/IEC 2382-37-2016 в связи с его универсальностью и возможности применения при получении различного рода услуг, не только банковских.
Наименование органа
Права / обязанности
Правительство РК
Без изменений.
Определяет владельца Контрольной биометрической системы и ответственного за ее дальнейшее развитие
Ответственный государственный орган на этапе создания платформы
МЦРИАП РК
Без изменений
Интегратор и разработчик контрольной биометрической системы
НБ РК
К существующим правам и обязанностям в рамках процесса сбора и обработки БД предлагается включить следующее:
Отраслевые операторы базы биометрических данных
МВД РК
К существующим правам и обязанностям органов внутренних дел в рамках процесса сбора и обработки БД предлагается включить следующее:
Отраслевые провайдеры
МЦРИАП РК
К существующей компетенции предлагается включить следующее:
НБ РК
(и их дочерние организации)
К существующей компетенции предлагается включить следующее:
№
Процесс
Рекомендации
Сбор и обработка ПД и БД
При оказании государственных услуг, в случае необходимости использования МЦРИАП в рамках оказания государственных услуг иных модальностей (радужка глаз, отпечатки пальцев и т.д.), кроме фотоизображения физического лица, требуется внесение дополнений в Перечень ПД, необходимого и достаточного для выполнения осуществляемых задач, утвержденных Приказом и.о. Министра ЦРИАП РК от 29 июля 2020 года № 278/НҚ.
При оказании банковских/финансовых услуг, в отдельных законах, подзаконных актах необходимо регламентировать определенный перечень ПД, в том числе БД, подлежащих обработке банками и иными организациями, оказывающими финансовые услуги, порядок сбора и обработки (хранения, распространения и т.д.) таких данных.
Предполагается, что согласие на сбор и обработку ПД и БД от субъектов данных могут быть получены посредством подписи субъекта (при очном обращении), электронного подтверждения с помощью ЭЦП, видеоконференции или иных способов (при дистанционном обращении).
Дополнительно ввиду планируемого внедрения со стороны НБРК облачной электронной цифровой подписи УЦ КЦМР при оказании банковских услуг необходимо внесение изменений в соответствующие нормативные акты, а также обеспечение соблюдения Правил создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре, утвержденным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 27 октября 2020 года № 405/НҚ.
Хранение ПД и БД
Согласно рассматриваемой целевой архитектуре Платформы, предполагается, что ПД и БД будут храниться как в Контрольной биометрической системе, так и в отдельных операционных базах данных участников Платформы, находящихся в защищенном контуре. Сроки хранения ПД и БД должны быть едины для хранения во всех операционных базах, при этом рекомендуется предусмотреть более длительный срок хранения данных в Контрольной биометрической системе, а также процессы архивирования данных при необходимости.
При этом в рамках функционирования Национальной платформы необходимо предусмотреть сбор согласий от субъектов на сбор, обработку и хранение ПД и БД в Контрольной биометрической системе. Дополнительно предполагается формирование и утверждение единого шаблона заявления согласия на сбор и хранение ПД и БД субъекта в Контрольной биометрической системе.
Биометрическая идентификация (1:N)
Предполагается, что механизм и правовое регулирование идентификации ПД и БД не будет подлежать каким-либо изменениям и может быть применено действующее регулирование в рамках оказания финансовых услуг и деятельности правоохранительных органов.
Биометрическая аутентификация
Предполагается, что способы, которые применяются в настоящее время в целях аутентификации будут также дополнены возможностью использования дополнительных способов в виде использования БД.
Доступ к ПД и БД
В соответствии с законодательством РК, дактилоскопическая информация относится к ПД ограниченного доступа. Таким образом, условия сбора и обработки дактилоскопической информации должны исключать возможность ее утраты, искажения и несанкционированного доступа к ней, а равно неправомерного и (или) непреднамеренного доступа и (или) воздействия на электронные информационные ресурсы с дактилоскопической или геномной информацией.
Полагается, что доступ к персональным данным, хранящимся в государственных информационных ресурсах для финансового сектора будет осуществляться АО «Государственного кредитного бюро» (далее – ГКБ). В связи с этим, полагается, что интеграция и иное взаимодействие с государственными информационными системами в качестве шлюза для передачи финансовому рынку сервисов по государственным услугам и информации из государственных информационных систем, будет являться функцией ГКБ.
Сообщение о действиях с ПД и БД
Необходимо рассмотреть возможность функционирования сервиса по управлению персональными данными. Полагается, что уведомления об обработке, распространении и использовании ПД и БД, которые будут храниться в Контрольной биометрической системе и базах данных участников Платформы, будут направлены и видны субъекту ПД и БД в сервисе. В связи с этим необходимо законодательное закрепление порядка, периодичности направления уведомления (информации) о действиях в отношении ПД и БД субъектов проактивно самими операторами баз данных и (или) при обращении субъекта за получением такой информации.
Использование ПД и БД
Законодательством РК установлено, что дактилоскопическая информация граждан РК, иностранцев и лиц без гражданства, полученная при дактилоскопической регистрации, будет использоваться для следующих целей:[16]
− подтверждения и (или) установления личности граждан РК, иностранцев и лиц без гражданства;
− учета и контроля иностранцев и лиц без гражданства на территории РК;
− обеспечения безопасности личности, общества и государства;
− учета и контроля лиц, пересекающих Государственную границу РК, посредством процедуры подтверждения личности по дактилоскопической информации.
Полагается, что поскольку после первичного сбора ПД и БД, данные будут переданы в операционные базы данных участников Платформы, цели их дальнейшего использования могут отличаться от первоначальных. В связи с этим, полагается, что при получении согласия субъекта ПД и БД на сбор и обработку данных должны быть отражены дальнейшие действия, которые будут совершены с ПД и БД со ссылками на законодательство РК, в целях исключения рисков оспаривания субъекта ПД и БД использования его данных.
Полагается, что доступ к ПД, хранящимся в государственных базах данных для финансового сектора будет осуществляться АО «Государственного кредитного бюро» (далее – ГКБ). В связи с этим, полагается, что интеграция и иное взаимодействие с государственными информационными системами в качестве шлюза для передачи финансовому рынку сервисов по государственным услугам и информации из государственных информационных систем, будет являться функцией ГКБ.
Распространение информации с ПД и БД
Поскольку полагается, что после сбора ПД и БД у субъектов, данные будут переданы в Контрольную биометрическую систему для дальнейшего распространения полученных данных по операционным базам участников Платформы необходимо наличие согласия субъекта ПД и БД на такую передачу данных, которая может быть запрошена/получена при первичном обращении субъекта и сборе его ПД и БД. При этом, полагается внесение изменений в ЗРК о геномной и дактилоскопической информации по возможности передачи данных государственным органам в рамках проекта Национальной платформы.
Также, для правомерной передачи БД от правоохранительных органов в адрес Национального банка в рамках возможности сличения по отпечаткам пальцев, радужке глаз необходимо внесение изменений в Правила проведения дактилоскопической и геномной регистрации, в которых должна быть предусмотрена возможность для НБ получать БД на основании запроса.
Полагается, что доступ к ПД, хранящимся в государственных базах данных для финансового сектора будет осуществляться АО «Государственного кредитного бюро» (далее – ГКБ). В связи с этим, полагается, что интеграция и иное взаимодействие с государственными информационными системами в качестве шлюза для передачи финансовому рынку сервисов по государственным услугам и информации из государственных информационных систем, будет являться функцией ГКБ.
Изменение и дополнение ПД и БД
Учитывая использование в качестве источников данных государственных информационных ресурсов, пополняемых уполномоченными государственными органами, изменение и дополнение персональных и биометрических данных должно осуществляться исключительно в рамках оказания государственных услуг населению в порядке, закрепленном действующим законодательством.
Блокирование ПД и БД
В случае внедрения системы Цифрового профиля гражданина или иного сервиса по предоставлению доступа к данным, полагается, что помимо указанного выше, у субъекта ПД и БД также должна быть предусмотрена возможность направления обращения/запроса о блокировании данных. Основаниями такого обращения могут служить наличие информации о нарушении условий сбора, обработки ПД и БД и срок блокирования данных должен быть ограничен до полного подтверждения операторами баз данных и (или) уполномоченных государственных органов об устранении нарушений или отсутствии нарушений по результатам проведенных проверочных мероприятий.
Обезличивание ПД и БД
Полагается, что механизм и правовое регулирование обезличивания ПД и БД не будет подлежать каким-либо изменениям и может быть применено действующее регулирование.
Уничтожение ПД и БД
В связи с возможным внедрением системы самостоятельной актуализации, Цифрового профиля гражданина или иного сервиса по предоставлению доступа к данным, полагается, что необходимо предусмотреть возможность субъекта ПД и БД на направление запроса на уничтожение своих ПД и БД. В данном случае требуется законодательное закрепление порядка обращения субъекта ПД и БД, с перечнем оснований для такого обращения и порядка обработки запроса оператором Платформы. Уничтожение ПД и БД должно подлежать согласованию уполномоченными государственными органами.
При этом механизм по уничтожению ПД и БД в правоохранительной деятельности не будет подлежать изменениям и может быть применено действующее регулирование.
Поскольку полное уничтожение ПД и БД может повлечь риски утраты важной информации о субъекте ПД и БД, которые имеет важное значение для дальнейшей его идентификации, полагается, что в данном случае могут быть рассмотрены возможности уничтожения старых данных по истечение определенного законодательством РК периода времени и их замены новыми актуальными данными.
Защита ПД и БД
Полагается, что будет законодательно закреплены требования защиты биометрических данных, обеспечения безопасности, целостности, порядка его осуществления посредством определения детального перечня механизмов и обязательных к соблюдению положений.
Права на БД
Необходимо четкое закрепление прав на БД. Вопрос, регламентирующий права на БД законодательными актами РК четко не урегулирован, однако полагается, что в связи с тем, что перечень благ и прав, относящихся к личным неимущественным благам и правам по ПД не является исчерпывающим и предусматривает и «другие нематериальные блага и права», то такими другими правами и благами могут являться также и БД.
Таким образом, права на ПД и БД исходя из вышеизложенного в форме личных неимущественных прав принадлежат субъектам ПД и БД.
Полагается, что права на ПД и БД могут принадлежать также и иным лицам на основании согласия на сбор, обработку, полученного от субъекта ПД и БД.
Права на цифровой след
Законодательством РК не определено понятие «цифровой след» и право на него. Тем самым с целью обеспечения доступности БД рекомендуется:
При этом организация, получившая согласие от субъекта ПД на их обработку, должна обеспечить субъекту возможность дистанционного управления данным согласием, в частности изменять сроки, отзывать согласие, а также по требованию субъекта – сообщить ему, как именно обрабатывались и кому передавались ПД субъекта.
На основании изученного опыта, полагается, что право на цифровой след в разных его проявлениях может принадлежать как лицу, которое оставляет такой след и является непосредственным источником цифрового следа, так и лицу, которое имеет доступ к такой информации в связи с имеющимся у него согласием от субъекта ПД или общедоступности ПД.
По результатам анализа обнаружено отсутствие в Казахстанском законодательстве следование единым стандартам в области обеспечения биометрической идентификации.
№
Объект стандартизации
Международные стандарты
Регулирование в РК
Комментарии, рекомендации
1.
Аппаратные средства
1.1.
Оценка безопасности
ISO/IEC 15408-1:2009 Информационные технологии.
Методы и средства обеспечения безопасности.
Критерии оценки безопасности информационных технологий
СТ РК ISO/IEC 15408-1-2017
Казахстанский стандарт идентичен ISO/IEC 15408-1:2009
2.
Программное обеспечение
2.1.
Оценка безопасности
ISO/IEC 15408-1:2009 Информационные технологии.
Методы и средства обеспечения безопасности.
Критерии оценки безопасности информационных технологий
СТ РК ISO/IEC 15408-1-2017
Казахстанский стандарт идентичен ISO/IEC 15408-1:2009
2.2.
Критерии оценки информационной безопасности
ISO/IEC 15408-3:2008
Информационная технология. Техники безопасности. Критерии оценки информационной безопасности. Часть 3. Компоненты обеспечения безопасности, IDT
СТ РК ISO/IEC 15408-3-2017
Казахстанский стандарт идентичен ISO/IEC 15408-3:2008
2.3.
Сервисы ТТР, необходимые для поддержки работоспособности средств электронной цифровой подписи
ISO/IEC 15945:2002 Информационные технологии. Техники безопасности. Спецификация услуг TTP для поддержки применения цифровых подписей, IDT
СТ РК ИСО/МЭК 15945-2009
Казахстанский стандарт идентичен ISO/IEC 15945:2002
3.
Процессы
3.1.
Общее описание процессов в рамках унифицирован ной биометрической системы
ISO/IEC 24713-1:2008 Информационные технологии.
Биометрические профили для взаимодействия и обмена данными.
Часть 1. Общая архитектура биометрической системы и биометрические профили
ГОСТ ISO/IEC 24713-1-2013
Информационные технологии.
Биометрические профили для взаимодействия и обмена данными.
Часть 1. Общая архитектура биометрической системы и биометрические профили
Казахстанский стандарт идентичен ISO/IEC 24713-1:2008
3.2.
Базовая эталонная модель взаимосвязи открытых систем
Стандарт Российской Федерации ГОСТ Р ИСО 7498-2-99 и международной стандарт ИСО 7498-2-89 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации"
СТ РК ГОСТ Р ИСО 7498-2-2006 «Информационная технология. Взаимосвязь открытых систем базовая эталонная модель. Часть 2. Архитектура защиты информации»
Казахстанский стандарт идентичен ИСО 7498-2-89
3.3.
Действия для проведения оценки безопасности
ISO/IEC 18045:2008 Технологии информационные
Методы защиты
Методология оценки защиты информационных технологий
СТ РК ИСО/МЭК 18045-2009
Казахстанский стандарт идентичен ISO/IEC 18045:2008
3.4.
Общие технические требования к средствам криптографической защиты информации для подтверждения соответствия
ISO/IEC 18033-2:2006 Информационная безопасность-криптографические алгоритмы
СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования» (с поправками)
Казахстанский стандарт идентичен ISO/IEC 18033-2:2006
3.5.
Оценка эффективности информационной безопасности и эффективности системы менеджмента информационной безопасности
ISO/IEC 27004:2016 Информационные технологии. Методы обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, измерение, анализ и оценка
СТ РК ISO/IEC 27004-2018 Информационные технологии Методы обеспечения безопасности Менеджмент информационной безопасности Мониторинг, измерение, анализ и оценка
Казахстанский стандарт идентичен ISO/IEC 27004:2016
3.6.
Организационные стандарты по информационной безопасности и управлению информационной безопасностью
ISO/IEC 27002:2013 Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления защитой информации
СТ РК ISO/IEC 27002-2015 Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления защитой информации
Казахстанский стандарт идентичен ISO/IEC 27002:2013
3.7.
Требования к системе менеджмента информационной безопасности в организациях
ISO/IEC 27001:2013 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
СТ РК ISO/IEC 27001-2015 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасностью. Требования
Казахстанский стандарт идентичен ISO/IEC 27001:2013
3.8.
Оценка безопасности биометрических систем
ISO/IEC 19792:2009 Information technology - Security techniques - Security evaluation of biometrics
Аналогичный стандарт не был принят в Казахстане
Рекомендуется рассмотреть возможность принять казахстанские стандарты на основе указанных международных стандартов
ISO/IEC 19989-1:2020 Information security - Criteria and methodology for security evaluation of biometric systems - Part 1: Framework
Аналогичный стандарт не был принят в Казахстане
ISO/IEC 19989-2:2020 Information security — Criteria and methodology for security evaluation of biometric systems — Part 2: Biometric recognition performance
Аналогичный стандарт не был принят в Казахстане
ISO/IEC 19989-3:2020 Information security — Criteria and methodology for security evaluation of biometric systems — Part 3: Presentation attack detection
Аналогичный стандарт не был принят в Казахстане
3.9.
Хранение и обмен изображениями отпечатков пальцев
ISO-19794-4
СТ РК ISO IEC 19794-4-2017 Информационные технологии. Форматы обмена биометрическими данными. Часть 4
Казахстанский стандарт СТ РК ISO IEC 19794-4-2017 соответствует ISO-19794-4
3.10.
Хранение и обмен изображениями отпечатков пальцев
ANSI/INCITS 378-2004
Аналогичный стандарт не был принят в Казахстане
Рекомендуется рассмотреть возможность гармонизировать национальные стандарты с ANSI/INCITS 378-2004
3.11.
Хранение и обмен изображениями отпечатков пальцев
NIST-500-290
Аналогичный стандарт не был принят в Казахстане
Рекомендуется рассмотреть возможность гармонизировать национальные стандарты с NIST-500-290
3.12.
Хранение и обмен изображениями отпечатков пальцев
ISO-19794- 1-3 Information technology - Biometric data interchange formats - Part 1: Framework", IDT
Согласно Приказу[17] «Об утверждении Планов государственной стандартизации на 2018-2020 годы» на основании ISO-19794- 1-4 должны разработать национальные стандарты
Работа по принятию казахстанских стандартов, соответствующих указанным международным стандартам ISO начата, дополнительных законодательных инициатив не требуется
3.13.
Обмен биометрией лица
ISO/IEC 19794-5
Согласно Приказу[18] «Об утверждении Планов государственной стандартизации на 2018-2020 годы» на основании данного Стандарта должны разработать национальные стандарты
3.14.
Обмен биометрией радужной оболочки глаза
ISO/IEC 19794-6
Согласно Приказу[19] «Об утверждении Планов государственной стандартизации на 2018-2020 годы» на основании данного Стандарта должны разработать национальные стандарты
3.15.
Обмен биометрией голоса
ISO/IEC 19794-13:2018
Согласно Приказу «Об утверждении Планов государственной стандартизации на 2018-2020 годы» на основании данного Стандарта должны разработать национальные стандарты
3.16.
Средства управления защитой информации
ISO/IEC 27002:2013/Cor.1:2014 «Information technology - Security techniques - Code of practice for information security controls»
СТ РК ISO/IEC 27002-2015 «Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления защитой информации»
СТ РК ISO/IEC 27002-2015 соответствует ISO/IEC 27002:2013/Cor.1:2014
3.17.
Защита персональных данных
Регламент № 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных). GDPR» (г. Брюссель, 27 апреля 2016 года)
Данный регламент не распространяет свое действие на территорию Казахстана
Рекомендуется рассмотреть возможность гармонизации казахстанского законодательства о персональных данных с GDPR
4.
Терминология
4.1.
Описания понятий в предметной области биометрии
ISO/IEC 2382-37:2017 Информационные технологии. Словарь. Часть 37. Биометрия
ГОСТ ISO/IEC 2382-37–2016 Информационные технологии. Словарь. Часть 37. Биометрия старая версия
ГОСТ ISO/IEC 2382-37–2016 соответствует ISO/IEC 2382-37:2017
В таблице выше представлен анализ наличия/отсутствия принятых в Казахстане стандартов в отношении требований к программному обеспечению, аппаратным средствам, процессам и терминологии, используемых в сфере биометрической идентификации. Из данного анализа следует, что большинство действующих международных стандартов приняты и применяется в Казахстане. Тем не менее, имеется стандарты, не применяемые в Казахстане, а именно:
Также ряд международных стандартов ISO находится в процессе принятия в Казахстане.
Учитывая сказанное, полагаем, что для применения стандартов в Казахстане единообразно с международной практикой, рекомендуется рассмотреть возможность принятия/адаптации в Казахстане требований вышеуказанных международных стандартов.
В зависимости от этапов внедрения Национальной платформы предлагается разделить исполнение предложенных инициатив на краткосрочные и долгосрочные:
Краткосрочные
− Объединение регулирования вопросов сбора, обработки (хранения, распространения и т.д.) ПД и БД в рамках единого нормативного правового акта РК.
− Определение процедур, осуществляемых при идентификации, верификации и аутентификации ПД и БД.
− Внесение изменений и дополнений в перечень компетенций органов внутренних дел, национальной безопасности, НБ РК, МЦРИАП РК.
− Определение порядка осуществления сбора и обработки ПД и БД банками и иными финансовыми организациями.
Долгосрочные
1. Контроль и надзор за работой и функционированием Платформы, за соблюдением требований законодательства РК.
2. Анализ функционирования Платформы, выявление зон, которые требуют совершенствования и доработки.
8. ЦИФРОВАЯ БИОМЕТРИЧЕСКАЯ ИДЕНТИФИКАЦИЯ ДЛЯ ФИНАНСОВОГО РЫНКА
В рамках Концепции по развитию финансовых технологий и инноваций на 2020-2025 годы, разработанной Национальным Банком Республики Казахстан, удаленная идентификация и биометрия является одним из ключевых направлений развития финансового рынка. Механизм позволяет физическим лицам получать финансовые услуги дистанционно, без физического присутствия в офисах финансовых институтов, за счет возможности подтверждения личности с помощью уникальных персональных данных, в том числе биометрических (изображение лица, радужную оболочку глаза, голос и пр.).
Развитие финансового рынка преследует следующие цели:
На саммите G20 в Сеуле лидеры стран, признали финансовую доступность одним из основных столпов глобальной повестки дня. В рамках исполнения данной повестки были выработаны восемь верхнеуровневых принципов. В целях повышения уровня зрелости финансового сектора Республики Казахстан, данные принципы были взяты за основу.
Таблица 3. Принципы создания систем цифровой идентификации
№
Принципы
Описание
Продвижение цифрового подхода к финансовой доступности
Продвигать цифровые финансовые услуги в качестве приоритета для стимулирования развития инклюзивных финансовых систем, в том числе посредством скоординированных, контролируемых и оцениваемых национальных стратегий и планов действий.
Соблюдение баланса инноваций и рисков для достижения доступности цифровых финансовых услуг
Уравновешивание продвижения инноваций для обеспечения доступности цифровых финансовых услуг с выявлением, оценкой, мониторингом и управлением новыми рисками.
Обеспечение благоприятной и соразмерной нормативно-правовой базы для доступа к цифровым финансовым услугам
Обеспечение благоприятной и соразмерной нормативно-правовой базы для доступа к цифровым финансовым услугам с учетом соответствующих стандартов и рекомендаций международных органов по стандартизации.
Расширение экосистемы инфраструктуры цифровых финансовых услуг
Расширение экосистемы инфраструктуры цифровых финансовых услуг, включая инфраструктуру финансовых, информационных и коммуникационных технологии для безопасного, надежного и недорогого предоставления цифровых услуг во всех соответствующих географических регионах, особенно в сельских районах с недостаточным уровнем обслуживания.
Внедрение ответственной цифровой финансовой практики для защиты клиентов
Разработка комплексного подхода к защите прав клиентов и данных, в котором особое внимание уделяется вопросам, имеющим отношение к цифровым финансовым услугам.
Повышение цифровой и финансовой грамотности и осведомленности
Поддерживать и оценивать программы, повышающие цифровую и финансовую грамотность, с учетом уникальных характеристик, преимуществ и рисков цифровых финансовых услуг и каналов.
Упростить идентификацию клиентов для цифровых финансовых услуг
Облегчить доступ к цифровым финансовым услугам путем разработки или поддержки развития систем идентификации клиентов, продуктов и услуг, которые доступны, доступны по цене и верифицируются, а также учитывают многочисленные потребности и уровни риска для основанного на оценке риска подхода к надлежащей проверке клиентов.
Отслеживание прогресса в привлечении цифровых финансовых ресурсов
Отслеживание прогресса в расширении доступа к цифровым финансовым услугам с помощью комплексной и надежной системы измерения и оценки данных.
Эта система должна использовать новые источники цифровых данных и позволять заинтересованным сторонам анализировать и контролировать предложение и спрос на цифровые финансовые услуги, а также оценивать влияние ключевых программ и реформ.
8.1 Текущая архитектура ЦОИД
Сервис ЦОИД на базе КЦМР запущен в рамках пилотного проекта для банков второго уровня. ЦОИД – операционный центр, обеспечивающий взаимодействие с банками по обмену данными клиентов из доступных источников для проведения процедур их идентификации.
Основной задачей является обеспечение удаленной идентификации физических лиц в режиме онлайн без их физического присутствия. На текущий момент финансовая организация передает в ЦОИД индивидуальный либо бизнес-идентификационный номер клиента и видеоизображение клиента, полученное из сеанса видеоконференции либо с помощью технологии выявления движения, интервьюируемого в процессе дистанционной идентификации. В это время ЦОИД посредством программного обеспечения определяет степень соответствия по биометрическим показателям фотоизображения, полученного из сеанса видеоконференции либо при использовании технологии выявления движения клиента, с фотоизображением клиента из доступных источников и возвращает финансовым организациям процент сличения, на основе данного ответа финансовая организация принимает решение о верификации.
Текущая архитектура состоит из следующих компонентов:
ЦОИД ядро включает в себя:
Рис. 6. Текущая архитектура ЦОИД
В рамках анализа сформированы основные наблюдения в системе ЦОИД:
8.2 Предложения по развитию ЦОИД
С целью дальнейшего развития сервиса ЦОИД и устранения выявленных несоответствий проведены работы по разработке требований по развитию и использованию текущей инфраструктуры, реализованной на базе сервиса КЦМР ЦОИД.
Развитие посредством централизованной в масштабах страны Национальной платформы биометрической идентификации позволит обеспечить доступность широкого спектра финансовых услуг в цифровом виде для потребителей, сократить издержки за счет внедрения полностью цифровых и безбумажных процессов для всех участников финансового рынка и обеспечить для игроков развитие новых возможностей привлечения клиентов.
С целью реализации задач настоящей Программой, определены этапы развития по модернизации ЦОИД, которая охватит гораздо больший перечень услуг с использованием нескольких уровней идентификации, в том числе с использованием нескольких методов биометрических данных.
Взаимодействие ЦОИД с Контрольной биометрической системой будет построено посредством операционной базы данных Национального Банка Республики Казахстан.
Этап 1. Модернизация ЦОИД на версию 2.0
Рис. 7. Предлагаемая архитектура ЦОИД на 2022 год
Модернизация ЦОИД должна учитывать стабилизацию текущей версии и развитие, с обеспечением мер безопасности посредством разработки компонента обработки данных – «Система аутентификации», а также реализации интеграционного взаимодействия с системами государственных органов для расширения спектра данных.
Передача отпечатков пальцев (двух пальцев) предусматривает одновременное автоматическое сканирование двух пальцев, работу с влажными и сухими пальцами и в различных условиях освещения.
При аутентификации фотография документа, удостоверяющего личность, и сделанное в режиме реального времени селфи, отсканированные отпечатки пальцев преобразуются в биометрические шаблоны и происходит сравнение 1 к 1.
Завершением процедуры работы является электронное заключение договора с генерацией доказательных данных и XML-файл с электронной подписью.
Также в данном компоненте необходимо предусмотреть сервис управления согласиями. Данный компонент хранит персональные данные, такие как мобильный номер телефона, электронную почту, кодовое слово. Это позволит утвердить личность запрашиваемых данных на сличение.
При реализации компонента сохраняется использование мультивендорного подхода.
Помимо вышеперечисленного ключевым связующим элементом национальной инфраструктуры финансового рынка являются открытые интерфейсы (Open API), позволяющие обеспечить получение и передачу информации между информационными системами различных организаций c использованием стандартных протоколов обмена данными. Создание и развитие цифровой финансовой инфраструктуры обеспечит эффективное предоставление услуг на финансовом рынке, в том числе для малых и средних организаций, что будет способствовать повышению доступности финансовых услуг на всей территории Республики Казахстан и развитию конкуренции в финансовом секторе.
Централизованная схема API подразумевает наличие приложения для аутентификации, разработанное и поддерживаемое CV (Central Validator, Центральный Валидатор – КЦМР). Это приложение является фундаментальной частью схемы, поскольку оно позволяет пользователям безопасно вводить свои финансовые реквизиты. Кроме того, приложение обеспечивает возможность доступа к реквизитам только финансовому учреждению пользователя. Однако, отдельное приложение для безопасной аутентификации - не единственный вариант реализации решения. Данное решение возможно реализовать посредством интеграции функционала в приложение сторонней организации.
Реализация Open API архитектуры включает множество элементов. Несмотря на то, что безопасность для обмена учетными данными имеет решающее значение, взаимодействие с пользователем (user experience) в процессе аутентификации (независимо от того, выполняется ли оно CV или сторонней организацией) имеет не меньшее значение для успешной экосистемы Open Banking.
Потенциальные преимущества открытого банковского обслуживания существенны: улучшение качества обслуживания клиентов, новые потоки доходов и устойчивая модель обслуживания для традиционно недостаточно обслуживаемых рынков/регионов.
9. ПЛАН МЕРОПРИЯТИЙ
Предполагаемая стоимость реализации Национальной платформы составляет 43 649 792 962 тенге, финансирование которой распределено между республиканским бюджетом и бюджетом Национального Банка РК следующим образом:
С целью исполнения Плана мероприятий предлагается создание Управляющего комитета в составе государственных органов: НБРК, МЦРИАП РК, МВД РК, КНБ РК. Управляющий Комитет обеспечит координацию работ, а также своевременную корректировку плана мероприятий по мере необходимости.
№
Наименование мероприятий
Ответственный за исполнение
Срок исполнения
Предполагаемые расходы, тыс. тенге
Источник финансирования
Ожидаемый результат
п/п
1
2
3
4
5
6
7
1
Предпроектные мероприятия
1.1
Создание и утверждение Управляющего Комитета
НБ, МЦРИАП, МВД, КНБ
1 квартал 2022 года
финансирование не требуется
финансирование не требуется
состав комиссии и рабочей группы
1.2
Детальная проработка архитектуры Национальной платформы
НБ, МЦРИАП, МВД, КНБ
2 квартал 2022 года
финансирование не требуется
финансирование не требуется
утвержденная архитектура
1.3
Детализация дорожной карты на 2022–2024 гг.
НБ, МЦРИАП, МВД, КНБ
1-2 квартал 2022 года
финансирование не требуется
финансирование не требуется
утвержденная дорожная карта
1.4
Проработка вопросов выделения финансирования мероприятий ГО
МВД, МЦРИАП, НБ
2-3 квартал 2022 года
финансирование не требуется
финансирование не требуется
утвержденный бюджет
2
Мероприятия по реализации НПЦБИ
2.1
Разработка методологии и регламентов проведения биометрической идентификации
МЦРИАП, МВД, КНБ, НБ
2-3 квартал 2022 года
финансирование не требуется
финансирование не требуется
регламентов проведения биометрической идентификации
2.2
Подготовка проектов изменений в НПА, утверждение стандартов
МЦРИАП, МВД, КНБ, НБ
2-3 квартал 2022 года
финансирование не требуется
финансирование не требуется
проекты изменений в НПА и проекты стандартов
2.3
Закуп ЛПО и серверного оборудования, развертывание КБС для пилота (персональные данные и фото)
НБ
3-4 квартал 2022 года
2 900 000,00
НБ
закупленное ЛПО и серверное оборудование
2.4
Реализация механизмов цифровой биометрической идентификации для финансового рынка (модернизация ЦОИД)
НБ
3-4 квартал 2022 года
1 631 103,00
НБ
модернизированный центр обмена идентификационными данными
2.5
Обеспечение освещения в средствах массовой информации о развитии ЦОИД
НБ
4 квартал 2022 года
финансирование не требуется
финансирование не требуется
публикации в СМИ
2.6
Внесение изменений в НПА и утверждение стандартов
МЦРИАП, МВД, КНБ, НБ
4 квартал 2022 года - 4 квартал 2023 года
финансирование не требуется
финансирование не требуется
утвержденные НПА и утвержденные стандарты
2.7
Создание базы данных МВД РК по сбору радужки глаза, приобретение периферийного оборудования (в том числе для ЦОН МЦРИАП)
МВД, НБ, МЦРИАП
4 квартал 2022 года
6 800 285,00
НБ
закупленное ЛПО и оборудование
2.8
Модернизация систем МВД
МВД
4 квартал 2022 года - 2 квартал 2024 года
21 888 405,00
республиканский бюджет (по результатам разработки и защиты инвестиционного проекта)
модернизированная инфраструктура
2.8.1
I этап модернизации систем МВД
МВД
4 квартал 2022 года
5 813 463,00
Республиканский бюджет
модернизированные системы МВД РК, дооборудование серверных помещений МВД РК, приобретенное серверное оборудование
2.8.2
II этап модернизации систем МВД
МВД
4 квартал 2023 года
6 129 576,00
Республиканский бюджет
2.8.3
III этап модернизации систем МВД
МВД
4 квартал 2024 года
9 945 366,00
Республиканский бюджет
2.9
Проведение пилота контрольной биометрической системы
МЦРИАП, НБ
1-2 квартал 2023 года
финансирование не требуется
финансирование не требуется
закупленное серверное оборудование и ЛПО
2.10
Проведение испытаний ЦОИД на соответствие требованиям информационной безопасности
НБ
3 квартал 2024 года
в рамках финансирования пунктов 2.3 и 2.4
НБ
акт испытаний на соответствие требованиям ИБ
2.11
Развитие контрольной биометрической системы и интеграционного взаимодействия с компонентами в рамках Национальной платформы
МЦРИАП, НБ, КНБ, МВД
1 квартал 2024 года
10 430 000,00
республиканский бюджет
разработанная контрольная биометрическая система
2.12
Проведение испытаний КБС на соответствие требованиям информационной безопасности
МЦРИАП, НБ
3 квартал 2024 года
финансирование не требуется
финансирование не требуется
акт испытаний на соответствие требованиям ИБ
2.13
Внедрение НПЦБИ в эксплуатацию
МЦРИАП, МВД, КНБ, НБ
4 квартал 2024 года
финансирование не требуется
финансирование не требуется
введенная в эксплуатацию Национальная платформа
ГЛОССАРИЙ
Система МЦРИАП РК, осуществляющая сбор и обработку биометрических данных
Liveness-проверка
Проверка «живости». Есть два типа проверки «живости» во время биометрической идентификации по лицу: пассивный и активный.
Большинство технологий FAS полагаются на пассивное наблюдение с помощью программы, которая отслеживает движение глаз, моргание, движение губ и т.д. При этом пользователю дополнительно ничего делать не нужно.
Во время сеанса активной liveness-проверки для подтверждения личности человека могут попросить показать на камеру удостоверяющий документ, или выполнить жест или движение: повернуть голову, улыбнуться, правильно расположить лицо в кадре.
Авторизация
Процесс предоставления определенному лицу прав на выполнение определенных действий, в том числе доступа к сервисам/услугам
Аутентификация
Процесс установления подлинности лица, получающего доступ к автоматизированной системе, путем сопоставления сообщенного им идентификатора и предъявленного подтверждающего фактора
Валидация
Проверка действительности документов, удостоверяющих личность
Верификация
Проверка и подтверждение права пользователя на получение услуги
Выпуск
Создание и распространение виртуальных или физических удостоверений личности, паспортов
Биометрическая идентификация
Процесс поиска по базе данных биометрических регистраций, направленный на поиск и возврат идентификатора(ов) биометрического контрольного шаблона, связанного с одним индивидом
Биометрическая система
Система, предназначенная для биометрического распознавания индивидов, основанного на их поведенческих и биологических характеристиках.
Биометрический признак
Цифровое представление информации (числа или метки), извлеченное из биометрических образцов и используемое для сравнения
Биометрическая модальность
Аналоговое или цифровое представление биометрических характеристик, предшествующее извлечению биометрических признаков
Биометрический контрольный шаблон
Один или более хранимых биометрических образцов, биометрических шаблонов или биометрических моделей, относящихся к субъекту биометрических данных и используемых в качестве объекта сравнения
Биометрическая характеристика
Биологические и поведенческие характеристики индивида, которые могут быть зарегистрированы и использованы в качестве отличительных, повторяющихся биометрических признаков для автоматического распознавания индивидов
Биометрическое распознавание
Автоматическое распознавание индивидов, основанное на их поведенческих и биологических характеристиках. Биометрическое распознавание включает в себя биометрическую верификацию и биометрическую идентификацию
Мультимодальная биометрическая идентификация
Использование более одного метода в процессе биометрической идентификации
Национальная платформа
Национальная платформа цифровой биометрической идентификации, консолидирующая существующие решения и инициативы в единую инфраструктуру
Обслуживание
Поиск и обновление учетных данных
Отзыв (аннулирование)
Удаление и аннулирование удостоверений личностей, учетных записей, личных данных и биометрической информации
Оценка рисков
Оценка профиля заявителя в соответствии со списком разыскиваемых или модели оценки риска
Резолюция
Предоставление заявителем биографической информации, документов, удостоверяющие личность (например, свидетельство о рождении), а также фотографий соответствующему органу
Сравнение «один к одному» (one-to-one comparison, 1:1)
Процесс, при котором биометрическую пробу(ы) одного субъекта биометрических данных сравнивают с биометрическим контрольным шаблоном(ами) одного субъекта биометрических данных для получения результата сравнения
Поиск «один ко многим» (one-to-many search, 1:N)
Процесс, при котором осуществляется поиск биометрической пробы (биометрических проб) одного субъекта биометрических данных по биометрическому контрольному шаблону, более чем одного субъекта биометрических данных с целью возврата списка кандидатов или решения о сравнении
Управление идентификацией
Непрерывный процесс поиска, обновления и удаления атрибутов идентификации или полей данных и политик, регулирующих доступ пользователей к информации и услугам
Цифровой профиль
Инфраструктура предоставления доступа к актуальным персональным данным гражданина с фиксацией согласия для самого гражданина и третьих лиц на базе многофакторной биометрической идентификации
Список сокращений:
ANSI
American National Standard Institue - Американский национальный институт стандартов
API
Application Programming Interface - программный интерфейс приложения, интерфейс прикладного программирования
Deep-fake
Методика синтеза изображения, основанная на искусственном интеллекте
eiDAS
electronic Identification, Authentication and trust Services - постановление ЕС об электронной идентификации и доверительных услугах для электронных транзакций на едином европейском рынке.
eKYC
electronically Know Your Customer - подтверждение личности клиента банка перед проведением финансовой операции в компьютерных системах
FAR
False Acceptance Rate - вероятность несанкционированного допуска (ошибка первого рода)
FBI
Federal Bureau of Investigation - Федеральное Бюро Расследований США
FRR
False Rejection Rate - вероятность ложного задержания (ошибка второго рода),
ICAO, ИКАО
International Civil Aviation Organization - Международная организация гражданской авиации
IEC
International Electrotechnical Commission - Международная электротехническая комиссия
INCITS
InterNational Committee for Information Technology Standards - Международный комитет по стандартам информационных технологий
ISO
International Standard Organization - Международная организация по стандартизации
JPEG
Joint Photographic Experts Group - формат графических изображений
KYC
Know Your Customer - подтверждение личности клиента банка перед проведением финансовой операции
MS
Microsoft, компания
NIST
Национальный институт стандартов и технологий Министерства Торговли США
OSIA
Open Standards set of API (SIA Secure Identity Alliance) - набор открытых стандартов для поставщиков биометрических решений
ОТР
One time password – одноразовый пароль
OUATH2
открытый протокол (схема) авторизации
PIN
Personal Identification Number - ПИН код, персональный код идентификации
RACI
Матрица распределения ответственности
SDK
Software Development Kit - набор средств разработки программного обеспечения
SMS
Short Message Service - служба передачи коротких сообщений в мобильной сети
UIN
Unique Identification Number - уникальный идентификационный номер
WSQ
Wavelet Scalar Quantization - метод сжатия изображения отпечатка пальца
АИС БИЛ
Автоматизированная информационная система «Биометрическая идентификация личности»
АБР
Азиатский банк развития
БД
Биометрические данные
БМГ
База мобильных граждан
БМР
Банк Мирового Развития
ВВП
Валовый внутренний продукт
ГБД
Государственная база данных
ГБД РН
Государственная база данных Реестр населения
ГБД ФЛ
Государственная база данных Физических лиц
ГБД ЮЛ
Государственная база данных Юридических лиц
ЕБРР
Европейский Банк Развития и Реконструкции
ЕС
Европейский союз
ЕИС
Единая информационная система
ЕТС ГО
Единая транспортная среда государственных органов
ЗРК
Закон Республики Казахстан
ИБ
Информационная безопасность
ИИН
Индивидуальный идентификационный номер
ИС МП
Информационная система «Миграционная полиция»
ИТ
Информационные технологии
КНБ РК
Комитет Национальной Безопасности Республики Казахстан
МВД РК
Министерство Внутренних Дел Республики Казахстан
МРП
Месячный расчетный показатель
МЦРИАП РК
Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан
МЮ
Министерство юстиции Республики Казахстан
НБ РК
Национальный Банк Республики Казахстан
НУЦ
Национальный удостоверяющий центр
ПАК
Программно-аппаратный комплекс
ПД
Персональные данные
ПК
Персональный компьютер
ПО
Программное обеспечение
ПОД ФТ
Противодействие отмыванию доходов и финансированию терроризма
РБ
Республиканский бюджет
РП ДРН
Регистрационный пункт «Документирование и регистрация населения
СНГ
Содружество независимых государств
ЦОИД
Центр обмена идентификационными данными
ЦОН
Центр обслуживания населения
ШЭП
Шлюз электронного правительства
ЭЦП
Электронная цифровая подпись
ПЕРЕЧЕНЬ ДЕЙСТВУ
ПРИЛОЖЕНИЕ 1
Регламент осуществления транзакционных сервисов «электронного правительства» Республики Казахстан, утвержденный Приказом
Перечень персональных данных государственных служащих, необходимого и достаточного для выполнения осуществляемых Агентством
ПРИЛОЖЕНИЕ 2
Ниже рассмотрены этапы операционной деятельности биометрических систем согласно действующему законодательству РК.
Сбор и обработка ПД и БД
Согласно законодательству РК, сбор и обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом Правилами сбора и обработки ПД[20], за исключением случаев, предусмотренных статьей 9 ЗРК о ПД, при которых сбор и обработка ПД может осуществляться без согласия субъекта или его законного представителя в рамках:
Сбор и обработка собственником и (или) оператором ПД допускается в объеме, определенном перечнем ПД, необходимого и достаточного для выполнения осуществляемых задач.[21]
При оказании государственных услуг субъект вправе дать согласие на сбор ПД через кабинет пользователя на веб-портале «электронного правительства», сервис обеспечения безопасности ПД, а также посредством зарегистрированного на веб-портале «электронного правительства» абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства».
Следует отметить, что при запросе у субъекта ПД, необходимо соответствие их наименований, целей их сбора и обработки наименованиям, целям сбора и обработки, указанным в перечне ПД.
Согласно Перечню ПД, необходимого и достаточного для выполнения осуществляемых задач, утвержденных Приказом и.о. Министра ЦРИАП РК от 29 июля 2020 года № 278/НҚ, в числе прочих ПД, МЦРИАП осуществляет сбор портретного изображения (оцифрованной фотографии).[22]
При оказании банковских/финансовых услуг поставщик платежных услуг осуществляет сбор и обработку ПД с согласия субъекта ПД,[23] за исключением случаев,[24] предусмотренных ЗРК о ПД.
Согласно ЗРК о банках,[25] сбор и обработка ПД клиентов банка без согласия субъектов ПД или их законных представителей осуществляется:
При осуществлении деятельности органов внутренних дел, национальной безопасности сбор и обработка БД осуществляется в соответствии с Правилами сбора и обработки БД. Действующим законодательством РК урегулированы отношения, связанные с дактилоскопической и геномной регистрацией граждан РК, иностранцев и лиц без гражданства.
Согласно законодательству РК[30], осуществлением дактилоскопической регистрации, а также сбора, обработки и уничтожения БД в пределах своей компетенции занимаются следующие органы:
Органы внутренних дел в пределах своей компетенции имеют право осуществлять сбор и обработку ПД.[31] Органы внутренних дел для постановки на криминалистические учеты подозреваемых, обвиняемых, лиц, отбывающих наказание в учреждениях уголовно-исполнительной системы, содержащихся в специальных учреждениях органов внутренних дел, поставленных на профилактический учет вправе:[32]
Сбор дактилоскопической информации включает получение БД об особенностях строения папиллярных узоров 10 пальцев обеих рук и (или) ладоней обеих рук человека путем дактилоскопирования и внесения в соответствующую информационную систему ПД, установленных Правилами проведения дактилоскопической и геномной регистрации. При этом, ПД лица, прошедшего дактилоскопическую регистрацию, связаны персональным идентификатором с его БД об особенностях строения папиллярных узоров 10 пальцев и (или) ладоней обеих рук в АИС «БИЛ».[33]
Процесс дактилоскопирования осуществляется следующим образом:
Сбор дактилоскопической информации лиц проводится в местах:[36]
Полученные при дактилоскопировании отпечатки 10 пальцев рук или 10 пальцев и ладоней обеих рук вводятся в базу данных АИС «БИЛ», 2 отпечатка указательных пальцев обеих рук заносятся в микросхему документа, удостоверяющего личность. В случае отсутствия (ампутации, врожденной патологии) указательных пальцев (одного или двух), в микросхему заносятся наилучшего качества 2 отпечатка средних либо безымянных пальцев, или 2 больших пальца рук. В случае отсутствия (ампутации, врожденной патологии) 1 руки, в микросхему заносятся наилучшего качества отпечатки двух пальцев имеющейся руки.[37]
Согласно ЗРК о дактилоскопической и геномной регистрации, с 1 января 2023 года дактилоскопическую регистрацию будут проводить в отношении:[38]
1. граждан РК, обратившихся для получения паспорта или удостоверения личности гражданина РК впервые, а также в случаях его восстановления, замены – органами внутренних дел, в случае оформления паспорта гражданина РК в загранучреждениях РК - уполномоченным государственным органом в области внешнеполитической деятельности;
2. граждан РК, иностранцев и лиц без гражданства, в отношении которых принято решение о выдаче удостоверения личности моряка РК, - уполномоченным государственным органом в области транспорта;
3. иностранцев и лиц без гражданства, постоянно проживающих в РК; иностранцев и лиц без гражданства, обратившихся для получения вида на жительство иностранца в РК, удостоверения лица без гражданства, удостоверения беженца впервые или для его восстановления, замены; иммигрантов, прибывших в РК в качестве домашних работников с целью выполнения работ (оказания услуг) у работодателей - физических лиц в домашнем хозяйстве - органами внутренних дел;
1. иностранцев и лиц без гражданства, подлежащих выдворению за пределы РК либо подпадающих под действие международных договоров о реадмиссии, ратифицированных РК - органами внутренних дел, органами национальной безопасности в соответствии с их компетенциями;
2. иностранцев и лиц без гражданства при получении виз РК - уполномоченным государственным органом в области внешнеполитической деятельности, органами внутренних дел в соответствии с их компетенциями.
В целях исключения возможности утраты, искажения и несанкционированного доступа к дактилоскопической информации сотрудники уполномоченных ГО, осуществляющие сбор дактилоскопической информации не допускают к автоматизированным рабочим местам электронного информационного ресурса АИС «БИЛ» должностных и иных лиц, не имеющих по роду служебной деятельности прямого допуска к дактилоскопической информации.[39]
Хранение ПД и БД
Хранение ПД, содержащихся в электронных информационных ресурсах, осуществляется собственником и (или) оператором, а также третьим лицом в электронной базе, находящейся в серверном помещении на территории РК, с принятием необходимых мер по защите ПД в соответствии с порядком, [40] определяемым Правительством Республики Казахстан.
При оказании государственных услуг хранение и передача БД осуществляется с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности в соответствии с СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования».[41]
Согласно пункту 4.1. указанного СТ РК 1073-2007, средства криптографической защиты информации предназначены для:
В соответствии с казахстанским законодательством, хранение ПД осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории РК.[42]
Срок хранения ПД определяется датой достижения целей их сбора и обработки, если иное не предусмотрено ЗРК.[43]
При оказании банковских/финансовых услуг поставщик платежных услуг обеспечивает соблюдение следующих условий:[44]
1. проведение надлежащей проверки и идентификации клиента в соответствии с ЗРК о ПОДФТ[45] доходов, полученных преступным путем, и финансированию терроризма;
2. наличие в платежном документе о платеже и (или) переводе денег и передачу участнику платежа и (или) перевода денег реквизитов по отправителю денег и бенефициару, предусмотренных ЗРК о ПОДФТ, за исключением случаев оказания платежной организацией услуг, предусмотренных подпунктами 3) и 7) статьи 12.1 ЗРК о платежах;
3. сохранение в течение 5 лет после оказания платежной услуги либо закрытия банковского счета клиента сведений, позволяющих идентифицировать отправителя денег и (или) бенефициара;
4. сохранность идентификационных средств клиента от доступа третьим лицам.
При осуществлении деятельности органов внутренних дел, национальной безопасности накопление и хранение дактилоскопической информации, полученной при проведении дактилоскопической регистрации, осуществляются органами внутренних дел путем формирования электронного информационного ресурса в соответствии с законодательством РК.[46]
Накопление и хранение дактилоскопической информации, полученной в результате проведения дактилоскопической регистрации, осуществляются автоматизированным способом в АИС «БИЛ» МВД в соответствии с Правилами формирования, ведения баз данных дактилоскопической и геномной информации, утверждаемыми уполномоченным органом. Приказом МВД РК от 9 декабря 2017 года № 169 ДСП были утверждены Правила формирования, ведения баз данных дактилоскопической и геномной информации», который имеет гриф «Для служебного пользования» и в базе данных не приводится.
Органы внутренних дел, органы национальной безопасности, уполномоченный государственный орган в области транспорта хранят дактилоскопическую информацию в базах данных АИС «БИЛ» о следующих лицах в течение указанных сроков:[47]
Хранение дактилоскопической информации, поступившей в АИС «БИЛ» по запросам компетентных ГО, если срок ее хранения прямо не оговорен в запросе, осуществляется до установления личности неустановленного (разыскиваемого) лица или неопознанного трупа, после чего она удаляется из базы данных.[48]
В целях исключения возможности утраты, искажения и несанкционированного доступа к дактилоскопической информации оперативно-криминалистическое подразделение МВД, осуществляющее накопление и хранение дактилоскопической информации, не допускает:[49]
Биометрическая идентификация (1:N)
При оказании банковских/финансовых услуг доступ к информационным системам банка, организации осуществляется путем идентификации и аутентификации пользователей информационных систем. Идентификация и аутентификация пользователей информационных систем банка, организации производится одним из следующих способов:[50]
Согласно пункту 14 Правил оказания электронных банковских услуг,[51] электронные платежные услуги предоставляются юридическим лицам с использованием следующих способов идентификации:
Электронные платежные услуги предоставляются физическим лицам с использованием одного из следующих способов идентификации:[52]
В соответствии с Правилами функционирования системы ЦОИД[53] банк с целью проведения идентификации клиента с использованием средств биометрической идентификации выбирает в ЦОИД необходимый биометрический процесс компании-производителя биометрических процессов (вендора) и направляет в ЦОИД запрос в соответствии с форматами, утвержденными КЦМР. Форматы запросов размещаются на официальном интернет-портале КЦМР. ЦОИД по ИИН клиента направляет запрос в доступные источники на получение его фотоизображения.
Для идентификации клиента с использованием средств биометрической идентификации при установлении деловых отношений с клиентом дистанционным способом, а также при предоставлении клиенту электронных банковских услуг допускается использование услуг ЦОИД. Также в указанном случае, на основании полученного согласия клиента на сбор, обработку, хранение и представление, в том числе при необходимости третьим лицам, его персональных данных, подтвержденного посредством идентификационного средства, банк проводит с клиентом с использованием имеющихся у клиента устройств и (или) иных устройств банка сеанс видеоконференции либо использует технологию выявления движения клиента. Содержательная часть сеанса видеоконференции (перечень контрольных вопросов при их наличии), а также перечень и объемы услуг, оказываемых банками при удаленной идентификации клиентов, устанавливаются банками самостоятельно.[54]
Банк передает в ЦОИД индивидуальный либо бизнес-идентификационный номер клиента и видеоизображение клиента, полученное из сеанса видеоконференции либо с помощью технологии выявления движения, интервьюируемого в процессе дистанционной идентификации.
ЦОИД посредством программного обеспечения определяет степень соответствия по биометрическим показателям фотоизображения, полученного из сеанса видеоконференции либо при использовании технологии выявления движения клиента, с фотоизображением клиента из доступных источников. Видеозаписи обращений клиентов хранятся в банке.
Эмитент электронных денег обязан осуществить идентификацию физического лица в случае приобретения им электронных денег на сумму, превышающую 50 000-кратный размер МРП, установленного на соответствующий финансовый год законом о республиканском бюджете. [55]
Эмитент электронных денег на основании договора вправе уполномочить юридическое лицо, являющееся субъектом финансового мониторинга в соответствии с ЗРК о ПОДФТ, осуществлять идентификацию владельца электронных денег - физического лица от имени и по поручению эмитента электронных денег.[56]
Идентификация владельца электронных денег производится эмитентом электронных денег и (или) оператором системы электронных денег при личном присутствии владельца электронных денег и предъявлении им документа, удостоверяющего личность, либо посредством удаленной идентификации на основании сведений из доступных источников, полученных от операционного центра межбанковской системы переводов денег, или путем упрощенной идентификации.[57]
Упрощенная идентификация владельца электронных денег производится эмитентом электронных денег и (или) оператором системы электронных денег дистанционным способом с использованием средств информационно-коммуникационных технологий с фиксированием сведений об индивидуальном идентификационном номере владельца электронных денег и получением электронной копии документа, удостоверяющего личность.[58]
Эмитент электронных денег и (или) оператор системы электронных денег при фиксировании сведений об индивидуальном идентификационном номере владельца электронных денег - физического лица осуществляет его сверку на основании сведений из доступных источников.[59]
Процесс поиска по базе данных биометрических регистраций, направленный на поиск и возврат идентификатора(ов) биометрического контрольного шаблона, связанного с одним индивидом.[60]
Процедура установления личности клиента с целью однозначного подтверждения его прав на получение электронных банковских услуг на основе его физиологических и биологических особенностей.[61]
За выпуск электронных денег на сумму, не соответствующую сумме принятых на себя обязательств, а также за выпуск электронных денег на сумму, превышающую 50 000 МРП, без идентификации владельца электронных денег, а также за допущение использования электронных денег в системе электронных денег при совершении операций на сумму, которая превышает установленные ограничения по максимальной сумме одной операции, сумме хранения электронных денег на электронном кошельке и общей сумме использованных электронных денег посредством электронного кошелька, эмитент электронных денег несет ответственность по основаниям, в порядке и размерах, которые предусмотрены статьей 222 КоАП.[62]
В рамках внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма для платежных организаций, при проверке достоверности представленных сведений, помимо прочих операций, также проводится визуальное сличение фотографии, размещенной на документе, удостоверяющем личность, с клиентом (представителем клиента).[63]
При осуществлении деятельности органов внутренних дел, национальной безопасности идентификация по дактилоскопической информации лица, ранее прошедшего дактилоскопическую регистрацию, осуществляется в процессе документирования, а также по запросам компетентных государственных органов МВД РК.[64]
Биометрическая верификация (1:1)
Согласно ГОСТ ISO/IEC 2382-37-2016, под верификацией понимается процесс подтверждения биометрического заявления при сравнении.[65]
Согласно подпункту 16) пункта 2 Правил проведения дактилоскопической и геномной регистрации,[66] верификация - подтверждение личности путем проверки на совпадение папиллярных узоров пальцев и (или) ладоней рук физического лица с его дактилоскопической информацией, размещенной в документе, удостоверяющем личность, либо базе данных АИС «БИЛ».
Идентификация по дактилоскопической информации лица, ранее прошедшего дактилоскопическую регистрацию, осуществляется в процессе документирования, а также по запросам компетентных ГО МВД.[67]
Верификация осуществляется при наличии дактилоскопического сканера, соответствующего оборудования и доступа для считывания дактилоскопической информации с биометрических документов либо дактилоскопической информации конкретного лица из базы данных АИС «БИЛ».[68]
МВД предоставляет дактилоскопическую информацию из АИС «БИЛ» по запросам компетентных ГО для верификации.[69]
Биометрическая аутентификация
Согласно статье 1(38-1) ЗРК об информатизации,[70] биометрическая аутентификация - комплекс мер, идентифицирующих личность на основании физиологических и биологических неизменных признаков.
Под «аутентификацией» в соответствии с подпунктом 11) пункта 2 Правил классификации государственных услуг в электронной форме для определения способа аутентификации услугополучателя[71] подразумевается подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе. Согласно ГОСТ ISO/IEC 2382-37-2016, аутентификация – это действие, доказывающее или показывающее бесспорное происхождение или достоверность.[72]
При оказании государственных услуг для аутентификации сбор и обработка ПД производится у физических лиц, достигших восемнадцатилетнего возраста, на добровольной основе.[73]
Согласно статье 11-1.4 ЗРК о государственных услугах,[74] сбор, обработку и хранение БД физических лиц для их биометрической аутентификации при оказании государственных услуг и ведение базы БД физических лиц для их биометрической аутентификации при оказании государственных услуг осуществляется НАО «Государственная корпорация «Правительство для Граждан».
При оказании банковских/финансовых услуг доступ к информационным системам банка, организации осуществляется путем идентификации и аутентификации пользователей информационных систем. Идентификация и аутентификация пользователей информационных систем банка, организации производится одним из следующих способов:[75]
Подтверждение подлинности и правильности составления электронного документа в соответствии с требованиями процедуры безопасности (пп. 1) п.2 Правил оказания банками, филиалами банков-нерезидентов Республики Казахстан и организациями, осуществляющими отдельные виды банковских операций, электронных банковских услуг)
Доступ к ПД и БД
Третьи лица могут получать ПД, содержащиеся в информационных системах ГО, через веб-портал «электронного правительства» при условии согласия субъекта, предоставленного через кабинет пользователя на веб-портале «электронного правительства», а также посредством зарегистрированного на веб-портале «электронного правительства» абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства» или сервиса обеспечения безопасности ПД.[76]
Сообщение о действиях с ПД и БД
Согласно статье 36.4 ЗРК об информатизации, собственники или владельцы информационных систем ГО обязаны уведомлять субъектов ПД через кабинет пользователя на веб-портале «электронного правительства» в автоматическом режиме обо всех случаях использования, изменения и дополнения ПД в рамках информационного взаимодействия при условии регистрации субъектов ПД на веб-портале «электронного правительства».
При этом ЗРК о ПД определяется, что при наличии условия об уведомлении субъекта о передаче его ПД третьему лицу собственник и (или) оператор в течение 10 рабочих дней уведомляют об этом субъекта или его законного представителя, если иное не предусмотрено ЗРК.[77]
Требования об уведомлении субъекта о передаче его ПД третьему лицу не распространяются на случаи:[78]
При обнаружении несанкционированного доступа к информации, составляющей банковскую тайну, ее несанкционированного изменения, осуществления несанкционированного платежа и (или) перевода денег и иных несанкционированных действий, банк уведомляет об этом клиента, в отношении которого были допущены такие действия, не позднее следующего рабочего дня после их обнаружения.[79]
Использование ПД и БД
Использование ПД осуществляется собственником, оператором и третьим лицом для ранее заявленных целей их сбора, определяемых перечнем ПД.[80]
Использование дактилоскопической информации граждан РК, иностранцев и лиц без гражданства для учета и контроля лиц, пересекающих Государственную границу РК, посредством процедуры подтверждения личности по дактилоскопической информации осуществляется в порядке, устанавливаемом органами национальной безопасности РК.[81]
Контроль за использованием дактилоскопической информации возлагается на руководителей ГО, которым выдана дактилоскопическая информация.[82]
Распространение информации с ПД и БД
В случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.[83]
Согласно казахстанскому законодательству, поставщик платежных услуг, обслуживающий банковский счет клиента, должен передать информацию о наличии, номере банковского счета и операциях по банковскому счету клиента третьим лицам по приказу и с согласия клиента, подтвержденного посредством идентификационных средств.[84]
В соответствии с Правилами проведения дактилоскопической и геномной регистрации передача дактилоскопической информации лица, прошедшего дактилоскопическую регистрацию (в том числе трансграничная) судам, правоохранительным, специальным государственным органам, органам исполнительного производства, дознания, следствия производится оперативно-криминалистическим подразделением МВД, осуществляющим ее накопление и обработку, на основании ЗРК, международных договоров, ратифицированных РК.[85]
Направление (пересылка) материальных носителей дактилоскопической информации лица, прошедшего дактилоскопическую регистрацию, осуществляется с соблюдением требований, предусмотренных для пересылки сведений конфиденциального характера.[86]
Изменение и дополнение ПД и БД
Субъект ПД имеет право требовать от собственника и (или) оператора изменения и дополнения своих ПД при наличии оснований, подтвержденных соответствующими документами.[87]
Собственник и (или) оператор в течение одного рабочего дня изменяет и (или) дополняет ПД на основании соответствующих документов, подтверждающих их достоверность.[88]
БД физического лица, ранее прошедшего сбор, после внесения изменения и (или) дополнения заменяется новыми данными, в случае предусмотренных пунктом 9 Правил сбора и обработки БД, при этом предыдущие данные архивируются в базе БД.[89]
Изменение и (или) дополнение дактилоскопической информации осуществляются сотрудником в день обращения лица, прошедшего дактилоскопическую регистрацию, его законного представителя или опекуна либо установления факта наличия неверных (ошибочных) сведений.[90]
Блокирование ПД и БД
Согласно подпункту 2) пункта 2 Правил осуществления мер по защите ПД, под блокированием ПД подразумеваются действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения ПД.
При оказании государственных услуг субъект или его законный представитель обращаются в уполномоченный орган с целью проверки собственника и (или) оператора, а также третьего лица на предмет соблюдения требований по сбору и обработке ПД. В случае выявления фактов нарушения условий сбора, обработки ПД, а также подтверждения факта их сбора, обработки с нарушением ЗРК, уполномоченный орган требует от собственника и (или) оператора, а также третьего лица уточнения, блокирования или уничтожения недостоверных, или полученных незаконным путем ПД, а также приведения в соответствие с законодательством процедур сбора и обработки ПД.[91]
В случае наличия информации о нарушении условий сбора, обработки ПД, субъект требует от собственника и (или) оператора, а также третьего лица блокирования своих ПД.[92]
Собственник и (или) оператор в течение одного рабочего дня блокируют ПД, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки.[93]
При осуществлении деятельности органов внутренних дел, национальной безопасности в соответствии с казахстанским законодательством, при обращении лица, прошедшего дактилоскопическую регистрацию, или его законного представителя, опекуна либо уполномоченного ГО о нарушении условий сбора, обработки дактилоскопической информации, а также выявлении подобного факта, оперативно-криминалистическим подразделением МВД в день получения обращения или выявления такого факта блокируется дактилоскопическая информация. Блокирование дактилоскопической информации осуществляется на период проведения проверочных мероприятий и устранения нарушений. При обращении к заблокированным данным (например, с целью извлечения информации) выводится сообщение: «данные заблокированы».[94]
Обезличивание ПД и БД
В соответствии с подпунктом 5) пункта 2 Правил осуществления мер по защите ПД обезличиванием ПД являлся действия, в результате совершения которых определение принадлежности ПД субъекту ПД невозможно.
Обезличивание осуществляется собственником и (или) оператором либо третьим лицом до их распространения, любым не противоречащим ЗРК способом обезличивания, позволяющим решать поставленные задачи обработки ПД. Обезличивание данных производится оператором при невозможности осуществления процедуры обезличивания данных самостоятельно поставщиком данных. Для обезличивания данных оператор предпринимает необходимые меры в соответствии с регламентом взаимодействия.[95]
Согласно пункту 23 Правил сбора и обработки ПД, ПД и обезличенные данные хранятся отдельно при использовании собственником и (или) оператором, а также третьим лицом процедуры обезличивания.
Так, обезличивание дактилоскопической информации осуществляется с целью:[96]
1) снижения уровня возможного ущерба в случаях передачи дактилоскопической информации и повышения уровня ее защищенности;
2) в иных случаях, установленных законами РК.
Стоит отметить, что согласно законодательству РК, служебная информация, содержащая параметры методов обезличивания, а также процедур обезличивания и снятия обезличивания, является конфиденциальной.
При хранении обезличенных данных обеспечивается раздельное хранение полученных обезличенных данных и касающейся их служебной информации о выбранном методе обезличивания и примененных параметрах процедуры обезличивания.
В свою очередь, при передаче вместе с обезличенными данными служебной информации о выбранном методе обезличивания и примененных параметрах процедуры обезличивания должна быть обеспечена конфиденциальность канала (способа) передачи указанных сведений.
Уничтожение ПД и БД
Под уничтожением ПД подразумеваются действия, в результате совершения которых невозможно восстановить ПД.[97]
Заявление о желании уничтожения своих БД из базы подаются в любой городской (районный) отдел по обслуживанию населения филиалов Госкорпорации по областям и городам Нур-Султан, Алматы, Шымкент.
Дактилоскопическая информация уничтожается по истечении сроков ее хранения. При обращении физического лица, прошедшего сбор БД или у законного представителя, опекуна физического лица недееспособность которого установлена судом с заявлением о желании уничтожения из базы своих БД в день получения обращения уничтожаются.
Уничтожение ПД осуществляется путем удаления информации либо уничтожения материальных носителей ПД.[98]
Полученная в результате дактилоскопирования красковым методом бумажная дактилоскопическая карта уничтожается после ввода в РП ДРН сотрудниками миграционной службы по акту, согласно Правилам проведения дактилоскопической и геномной регистрации, за исключением случая освобождения лица от дактилоскопической регистрации.[99]
Дактилоскопическая информация по истечении срока хранения уничтожается МВД по акту согласно приложению 2 к Правилам проведения дактилоскопической и геномной регистрации, который утверждается руководителем подразделения.
В акте уничтожения дактилоскопической информации указываются следующие данные:[100]
1. дата, основания уничтожения дактилоскопической информации;
2. фамилия, имя, отчество (при его наличии), пол, дата и место рождения, индивидуальный идентификационный номер (при наличии), номер документа, удостоверяющего личность зарегистрированного лица;
3. способ уничтожения;
4. фамилии, имена, отчества (при наличии), должности и подписи сотрудников, осуществивших уничтожение дактилоскопической информации.
Защита ПД и БД
Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите ПД, обеспечивающие:[101]
Защита ПД осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:[102]
В свою очередь, для обеспечения защиты ПД необходимо:[103]
В соответствии с казахстанским законодательством, обязанности собственника и (или) оператора, а также третьего лица по защите ПД возникают с момента сбора ПД и действуют до момента их уничтожения либо обезличивания.[104]
При оказании государственных услуг сотрудники НАО «Государственная корпорация «Правительство для Граждан» имеющие доступ к ПД граждан, а также участвующие в процессе оказания государственных услуг, подлежат проверке в порядке, определенном в Правилах проведения проверки работников Государственной корпорации «Правительство для граждан»[105] по согласованию с КНБ РК.[106]
При оказании банковских/финансовых услуг согласно пункту 23 Правил оказания электронных банковских услуг, предоставление банком электронных банковских услуг производится в соответствии с процедурами безопасности, установленными внутренними документами банка и договором. Процедуры безопасности обеспечивают:
При осуществлении деятельности органов внутренних дел, национальной безопасности защита дактилоскопической информации гарантируется государством, которая осуществляется в соответствии с ЗРК об информатизации, о ПД, государственных секретах.[107] Сбор и обработка дактилоскопической информации осуществляются только в случаях обеспечения ее защиты.
Права и обязанности, роли, области ответственности участников Платформы
ЗРК о ПД дает следующие определения к субъектам общественных отношений в сфере ПД:
В соответствии с ЗРК о ПД уполномоченным органом в сфере защиты ПД, осуществляющим руководство в сфере защиты ПД является МЦРИАП.[112]
Уполномоченными ГО, осуществляющими в пределах своей компетенции дактилоскопическую и (или) геномную регистрацию граждан РК, иностранцев и лиц без гражданства являются:[113]
Согласно подпункту 17) пункта 4 ЗРК об информатизации,[114] оператор информационно-коммуникационной инфраструктуры «электронного правительства» (далее - оператор) юридическое лицо, определяемое Правительством РК, на которое возложено обеспечение функционирования закрепленной за ним информационно-коммуникационной инфраструктуры «электронного правительства».
Оператором информационно-коммуникационной инфраструктуры «электронного правительства» было утверждено АО «Национальные информационные технологии».[115]
Поскольку БД являются частью ПД субъекта, положения ЗРК о ПД, определяющие права, обязанность субъекта, собственника, оператора базы ПД также распространяются и на вопросы регулирования прав и обязанностей участников биометрической идентификации.
Наименование органов
Функции
Права / обязанности
Орган ID
Правительство РК
Правительство РК осуществляет функции исполнительной власти, возглавляет систему исполнительных органов РК и руководит их деятельностью.[116]
Согласно ЗРК о ПД к компетенции Правительства РК, помимо прочего, входит:[117]
1. Разработка основных направлений государственной политики в сфере ПД и их защиты;
2. Осуществление руководства деятельностью центральных исполнительных органов, входящих в структуру Правительства РК, местных исполнительных органов, в сфере персональных данных и их защиты;
3. Утверждение порядка определения собственником и (или) оператором перечня ПД, необходимого и достаточного для выполнения осуществляемых ими задач;
4. Утверждение порядка осуществления собственником и (или) оператором, а также третьим лицом мер по защите ПД;
5. Выполнение иных функций, возложенных на него Конституцией РК, законами РК и актами Президента РК.
Регистраторы данных, Контролеры данных, Провайдеры идентификации
МВД
Органы внутренних дел в пределах своей компетенции осуществляют сбор и обработку ПД и БД (фотоизображение, дактилоскопическая информация) через РП ДРН и АИС «БИЛ» в рамках процесса документирования физических лиц через НАО «Государственная корпорация «Правительство для граждан». Также органы внутренних осуществляют сбор и обработку БД (дактилоскопическая информация) через АИС «БИЛ» в рамках процесса криминального учета
МВД подотчетен Правительству РК
Органы внутренних дел имеют право на:
1.Получение согласия субъектов ПД на сбор и обработку ПД и БД;
2.Сбор и обработку ПД и БД (дактилоскопическая информация, фотоизображение) через РП ДРН и АИС «БИЛ» в рамках процесса документирования граждан;
3.Сбор и обработку БД (дактилоскопическая информация) через АИС «БИЛ» в рамках процесса криминального учета;
4.При оказании государственных услуг в случаях выявления явных ошибок и неточностей электронных информационных ресурсов, содержащих ПД, в целях их устранения могут осуществлять их изменение и дополнение после получения запроса субъекта ПД или его законного представителя.
Органы внутренних дел обязаны:
1.Принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты ПД и БД;
2.Принимать меры по сбору, накоплению, хранению, передаче, блокированию, обезличиванию, изменению, дополнению, использованию, уничтожению ПД и БД.
3.Осуществлять обезличивание, а также снятие обезличивания ПД и БД
4.Блокировать ПД и БД в случае наличия информации о нарушении условий ее сбора, обработки, а также снимать блокирование после проведения проверочных мероприятий и устранения нарушений
5.Предотвращать несанкционированный доступа к ПД;
6.Своевременно обнаруживать факты несанкционированного доступа к ПД, если такой несанкционированный доступ не удалось предотвратить;
7.Минимизировать неблагоприятные последствия несанкционированного доступа к ПД;
8.Уведомлять субъекты ПД через кабинет пользователя на веб-портале «электронного правительства» в автоматическом режиме обо всех случаях использования, изменения и дополнения ПД в рамках информационного взаимодействия при условии регистрации субъектов ПД на веб-портале «электронного правительства».
КНБ
Органы национальной безопасности в пределах своей компетенции осуществляют сбор и обработку ПД и БД граждан РК, иностранцев и лиц без гражданства при их пересечении государственной границы РК, а также сбор БД (дактилоскопические данные) в рамках процесса пограничного контроля через систему ЕИС «Беркут»
КНБ подотчетен Президенту РК
Органы национальной безопасности имеют право на:
1.Получение согласия субъектов ПД на сбор и обработку ПД и БД;
2.Сбор и обработку ПД и БД (дактилоскопическая информация, фотоизображение) через ЕИС «Беркут» в рамках процесса пограничного контроля;
Органы национальной безопасности обязаны:
1.Принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты ПД и БД;
2.Принимать меры по сбору, накоплению, хранению, передаче, блокированию, обезличиванию, изменению, дополнению, использованию, уничтожению ПД и БД.
3.Осуществлять обезличивание, а также снятие обезличивания ПД и БД
4.Блокировать ПД и БД в случае наличия информации о нарушении условий ее сбора, обработки, а также снимать блокирование после проведения проверочных мероприятий и устранения нарушений
5.Предотвращать несанкционированный доступа к ПД;
6.Своевременно обнаруживать факты несанкционированного доступа к ПД, если такой несанкционированный доступ не удалось предотвратить;
7.Минимизировать неблагоприятные последствия несанкционированного доступа к ПД;
Провайдеры аутентификации
МЦРИАП
МЦРИАП является центральным органом, осуществляющим руководство в сфере защиты ПД
МЦРИАП использует систему Digital ID для аутентификации личности физического лица.
МЦРИАП подотчетен Правительству РК
МЦРИАП в пределах своей компетенции:
1. Участвует в реализации государственной политики в сфере ПД и их защиты;
2. Разрабатывает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите ПД;
3. Разрабатывает правила определения собственником и (или) оператором перечня ПД, необходимого и достаточного для выполнения осуществляемых ими задач;
4. Рассматривает обращения субъекта ПД или его законного представителя о соответствии содержания ПД и способов их обработки целям их обработки и принимает соответствующее решение;
5. Принимает меры по привлечению лиц, допустивших нарушения законодательства РК о ПД и их защите, к ответственности, установленной законами РК;
6. Требует от собственника и (или) оператора, а также третьего лица уточнения, блокирования или уничтожения недостоверных, или полученных незаконным путем ПД;
7. Осуществляет меры, направленные на совершенствование защиты прав субъектов ПД;
8. Утверждает правила сбора, обработки персональных данных;
9. Утверждает правила осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения ПД ограниченного доступа, содержащихся в электронных информационных ресурсах, по согласованию с КНБ РК.
МВД и КНБ осуществляют сбор и обработку ПД. Собранная и обработанная ПД передается в ГБД ФЛ, являющееся эталонной для всех государственных органов. Из ГБД ФЛ все сведения физических лиц (в части фамилии, имени и отчества) поступают в государственные органы по запросу. ГБД ФЛ интегрирована с 59 информационной системой ведомств и государственных органов Республики Казахстан, включая системы ЦОИД, Digital ID, ЕИС «Беркут», НАО «Государственная корпорация «Правительство для Граждан» и другие.
Возможность и потенциальные модели взаимного признания между различными провайдерами услуг
Взаимное признание внутри РК
Государственная база данных «Физические лица» (ГБД ФЛ) – единая система регистрации и хранения информации о физических лицах Республики Казахстан, достаточной для идентификации и определения гражданского состояния. ГБД ФЛ является эталонной для всех государственных органов. Из ГБД ФЛ все сведения физических лиц (в части фамилии, имени и отчества) поступают в государственные органы. ГБД ФЛ интегрирована с 59 информационной системой ведомств и государственных органов Республики Казахстан, включая системы ЦОИД, Digital ID, ЕИС «Беркут», НАО «Государственная корпорация «Правительство для Граждан» и другие. Законодательно РК не определено взаимное признание систем в стране. В
основном каждая система использует базу данных ГБД ФЛ для идентификации и получения доступа к информации граждан.
Взаимное признание между странами-участниками ЕАЭС, СНГ
Стандарты проездных документов под эгидой ICAO
В 2002 году 118 стран мира подписали под эгидой ICAO Новоорлеанское Соглашение о стандартах Машиносчитываемых проездных документов. Спецификации, указанные в «Doc 9303. Машиносчитываемые проездные документы.» не следует рассматривать как стандарт для национальных документов, удостоверяющих личность. Однако государству, идентификационные документы которого признаются другими государствами в качестве действительных проездных документов, следует разрабатывать свои удостоверяющие личность документы таким образом, чтобы они соответствовали спецификациям в частях 3 и 4, 5 или 6 документа Doc 9303.
Термин «Биометрическая идентификация» используется как общий термин для описания оптимизированных средств распознавания человека путем измерения отличительных биологических иди поведенческих черт.
Документ рассматривает три вида систем биометрической идентификации, включающих физиологические системы:
Согласно Постановлению Правительства Республики Казахстан от 4 июля 2013 года № 684 Об утверждении образцов паспорта гражданина Республики Казахстан, удостоверения личности гражданина Республики Казахстан, вида на жительство иностранца в Республике Казахстан, удостоверения лица без гражданства, удостоверения беженца и требований к их защите обложка паспорта гражданина Республики Казахстан изготавливается из износостойкого материала и подложки, между которыми располагается микросхема (чип с бесконтактным интерфейсом) с антенной, используемая в качестве электронного носителя информации о владельце паспорта гражданина Республики Казахстан. Также, в микросхеме, имеющей емкость памяти не менее 64 Кб, в защищенном виде хранятся графическая и текстовая информация о владельце паспорта гражданина Республики Казахстан, отпечатки пальцев рук владельца документа.
Соглашение о сотрудничестве в создании государственных информационных систем паспортно-визовых документов нового поколения и дальнейшем их развитии, и использовании в государствах-участниках СНГ
Постановлением Правительства РК от 30 марта 2009 года № 430 с оговоркой о порядке выполнения обязательств по трансграничной передаче
ПД было утверждено Соглашение о сотрудничестве в создании государственных информационных систем паспортно-визовых документов нового поколения и дальнейшем их развитии, и использовании в государствах-участниках СНГ. Целью данного Соглашения является гармонизация процессов создания государственных информационных систем паспортно-визовых документов нового поколения, обеспечивающих защиту прав и свобод человека и гражданина при обработке его ПД.
Для введения в заинтересованных государствах-участниках СНГ паспортно-визовых документов нового поколения Стороны принимают национальные законодательные и иные нормативные правовые акты, определяющие:[118]
Права на ПД и БД в соответствии с действующим законодательством РК
Права на ПД и БД
ЗРК о ПД определяет понятие субъекта ПД как физическое лицо, к которому относятся ПД. Также данным ЗРК определены права и обязанности субъекта ПД.
В соответствии со статьей 115.3 ГК РК[119] к личным неимущественным благам и правам относятся: жизнь, здоровье, достоинство личности, честь, доброе имя, деловая репутация, неприкосновенность частной жизни, личная и семейная тайна, право на имя, право на авторство, право на неприкосновенность произведения и другие нематериальные блага и права. Понятие имени включает фамилию, имя, а также по желанию отчество.
В свою очередь, вопрос, регламентирующий права на БД законодательными актами РК четко не урегулирован, однако полагается, что в связи с тем, что перечень благ и прав, относящихся к личным неимущественным благам и правам не является исчерпывающим и предусматривает и «другие нематериальные блага и права», то такими другими правами и благами могут являться также и БД.
Таким образом, права на ПД и БД исходя из вышеизложенного в форме личных неимущественных прав принадлежат субъектам ПД и БД.
Полагается, что права на ПД и БД могут принадлежать также и иным лицам на основании согласия на сбор, обработку, полученного от субъекта ПД и БД.
ПРИЛОЖЕНИЕ 3
ПЕРЕЧЕНЬ ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ
Термины
Согласно ГОСТ ISO/IEC 24713-1-2013 и ГОСТ ISO/IEC 2382-37-2016 основные термины можно разделить по следующим категориям:
Общие термины
Базовый стандарт (base standard)
Биометрическая характеристика (biometric characteristic)
Биометрический (biometric)
Биометрическое распознавание (biometric recognition)
Стандарт (standard)
Термины, связанные с биометрической системой
Биометрическая система (biometric system)
Вид (mode)
Компоненты биометрической системы (biometric system components)
Мультибиометрическая система (multiple biometric)
Мультимодальный (multi-modal)
Подсистема сбора биометрических данных (biometric capture subsystem)
Система биометрической верификации (biometric verification system)
Система биометрической идентификации (biometric identification system)
Термины, связанные с биометрическими данными в биометрических системах
База данных (database)
База данных биометрических контрольных шаблонов (biometric reference database)
База данных биометрических приложений (biometric application database)
Биометрическая база данных (biometric database)
Биометрическая модель (biometric model)
Биометрическая проба (biometric probe)/биометрический запрос (синоним) (biometric query)
Биометрические данные (biometric data)
Биометрический кандидат (biometric candidate)
Биометрический контрольный шаблон (biometric reference)
Биометрический образец (biometric sample)
Биометрический признак (biometric feature)
Биометрический профиль (biometric profile)
Биометрический шаблон/контрольный набор биометрических признаков (biometric template/reference biometric feature set)
Биометрическое представление (biometric representation)
Биометрическое свойство (biometric property)
Запись (record)
Запись биометрических данных (biometric data record)
Запись данных биометрического контрольного шаблона (biometric reference data record)
Запись данных биометрической регистрации
Зарегистрированный биометрический образец (captured biometric sample; исключен "raw biometric sample")
Захват данных (capture)
Идентификатор биометрического контрольного шаблона (biometric reference identifier)
Не идентифицированные биометрические данные (unidentified biometric data)
Непарный (non-mated)
Несовпадение (non-match)
Обезличенная запись биометрических данных (anonymized biometric data record)
Оценка биометрического кандидата (biometric candidate score)
Парный (mated)
Поддельная запись данных биометрической регистрации (fraudulent biometric enrolment data record)
Порог (threshold)
Пороговое значение (threshold)
Промежуточный биометрический образец (intermediate biometric sample)
Результат сравнения (comparison score; исключен "matching score")
Решение (decision)
Решение биометрического приложения (biometric application decision)
Решение биометрической верификации (biometric verification decision)
Решение биометрической идентификации (biometric identification decision)
Решение о сравнении (comparison decision)
Совпадение (match)
Степень различия/степень отдаленности (dissimilarity score/distance score)
Степень схожести (similarity score)
Токен/носитель данных (token)
Термины, связанные с устройствами сбора биометрических данных
Устройство сбора биометрических данных/биометрический сканер (biometric capture device)
Термины, связанные с функционированием биометрической системы
Адаптация биометрического контрольного шаблона (biometric reference adaptation)
Биометрическая регистрация (biometric enrolment; исключен "registration")
Биометрические признаки (biometric features)
Биометрические функции (biometric functions)
Биометрический поиск (biometric search)
Зарегистрировать (enrol)
Извлечение биометрических признаков (biometric feature extraction)
Повторная биометрическая регистрация (re-enrolment)
Поиск «один ко многим» (one-to-many search)
Процесс получения биометрических данных (biometric acquisition process)
Процесс сбора биометрических данных (biometric capture process)
Сравнение (comparison; исключены "match" и "matching")
Сравнение «один к одному» (one-to-one comparison)
Cравнение «один ко многим» (one-to-many comparison; исключен «one-to-few»)
Фильтровать (threshold/filter)
Термины, связанные со взаимодействием с биометрической системой
Безразличное предъявление (indifferent presentation)
Биометрическая система (biometric system)
Биометрический ложный допуск (biometric false acceptance)
Биометрический ложный недопуск (biometric false rejection)
Биометрическое заявление (biometric claim)
Биометрическое предъявление (biometric presentation)
Данные биометрического обмена; ДБО (biometric interchange data; BID)
Допустимая попытка сбора биометрических данных (acceptable biometric capture attempt)
Задача сбора биометрических данных (capture task)
Кооперативное предъявление (cooperative presentation)
Ложный допуск (false acceptance)
Ложный недопуск (false rejection)
Недопустимая попытка сбора биометрических данных (unacceptable capture attempt)
Некооперативное предъявление (uncooperative presentation)
Несовместимая попытка сбора биометрических данных (non-conformant, capture attempt)
Осознанное предъявление (cognizant presentation)
Отрицательное биометрическое заявление (negative biometriс claim)
Положительное биометрическое заявление (positive biometriс claim)
Полученные биометрические данные (acquire)
Попытка биометрической верификации (verification attempt)
Попытка сбора биометрических данных (capture attempt)
Сбор биометрических данных (biometric capture)
Совместимая попытка сбора биометрических данных (conformant capture attempt)
Транзакция сбора биометрических данных (capture transaction)
Термины, связанные с участниками биометрической регистрации
Безразличный субъект сбора биометрических данных (indifferent biometric capture subject)
Биометрическая регистрация (enrolment)
Биометрический заявитель (biometriс applicant)
Биометрический участник (biometric enrollee)
Владелец биометрической системы (biometric system owner)
Заявитель (claimant)
Конечный пользователь (end-user)
Кооперативный субъект сбора биометрических данных (cooperative biometric capture subject)
Лицо, обслуживающее биометрическую систему (biometriс attendant)
Личность (identity)
Некооперативный субъект сбора биометрических данных (uncooperative biometric capture subject)
Оператор биометрической системы (biometric system operator)
Пользователь (user)
Пользователь биометрической системы (user of a biometric system; исключен "end user")
Пользователь-нарушитель (subversive user)
Пользователь-не нарушитель (non-subversive user)
Проверка достоверности (validation)
Самозванец (impostor)
Субъект (subject)
Субъект биометрических данных (biometric data subject)
Субъект сбора биометрических данных (biometric capture subject)
Субъект-нарушитель сбора биометрических данных (subversive biometric capture subject)
Субъект-ненарушитель сбора биометрических данных (non-subversive biometric capture subject)
Укрыватель личности (identity concealer)
Эксперт по биометрическим характеристикам (biometric characteristics examiner)
Эксплуатационный персонал биометрической системы (biometric operational personnel)
Термины, связанные с биометрическими приложениями
Аутентификация (authentication)
Биометрическая верификация (biometric verification)
Биометрическая идентификация (biometric identification)
Верификация (verification)
Идентификатор (identifier)
Идентификация (identification)
Идентифицировать (identify)
Извлечение (extraction)
Подтверждать (verify)
Приложение (application)
Проверка наличия дубликатов, полученных при биометрической регистрации (duplicate biometric enrolment check)
Программный интерфейс приложений; ПИП (application programming interface; API)
Термины, связанные с эксплуатацией биометрической системы
Вероятность ложного несовпадения; ВЛНС (false non-match rate, FNMR)
Вероятность ложного совпадения; ВЛС (false match rate, FMR)
Вероятность отказа биометрической регистрации; ВОБР (failure-to-enrol rate, FTE)
Вероятность отказа получения биометрических данных; ВОПБД (failure-to-acquire rate, FTA)
Индекс совпадения (score)
Ложное несовпадение (false non-match)
Ложное совпадение (false match)
Отказ биометрической регистрации (failure to enrol)
Отказ получения биометрических данных (failure to acquire)
Отказ сбора биометрических данных (failure to capture)
Попытка биометрического непарного сравнения (biometric non-mated comparison trial)
Попытка биометрического парного сравнения (biometric mated comparison trial)
Попытка сравнения (comparison trial)
Определения
Согласно ГОСТ ISO/IEC 24713-1-2013 и ГОСТ ISO/IEC 2382-37-2016 основные вышеуказанные термины имеют следующие определения:
Адаптация биометрического контрольного шаблона (biometric reference adaptation): Автоматическое инкрементное обновление биометрического контрольного шаблона.
Аутентификация (authentication): Действие, доказывающее или показывающее бесспорное происхождение или достоверность.
База данных (database): Структурированный набор данных, хранящийся в компьютере.
База данных биометрических контрольных шаблонов (biometric reference database): База данных записей данных биометрических контрольных шаблонов.
База данных биометрических приложений (biometric application database): База данных с биометрическими данными и связанными метаданными, разработанная для биометрического приложения и поддерживающая его работу.
База данных биометрических регистраций (biometric enrolment database): База данных записей данных биометрических регистраций.
Базовый стандарт (base standard): Основополагающий стандарт с элементами, содержащими опции/допустимые варианты.
Безразличное предъявление (indifferent presentation): Предъявление, при котором субъект сбора биометрических данных не уведомлен о том, что совершается процесс сбора биометрических данных.
Безразличный субъект сбора биометрических данных (indifferent biometric capture subject): Субъект сбора биометрических данных, который равнодушен к достижению положительного результата процесса получения биометрических данных.
Биометрический (biometric): Относящийся к предметной области биометрии.
Биометрический (biometric): Имеющий отношение к биометрии.[120]
Биометрия (biometrics): Автоматизированное распознавание личности человека, основанное на его поведенческих или биологических характеристиках.
Биометрическая база данных (biometric database): База данных записей биометрических данных.
Биометрическая верификация (biometric verification): Процесс подтверждения биометрического заявления при сравнении.
Биометрические данные (biometric data): Информация, извлеченная из биометрического образца и используемая для построения шаблона, с которым сравнивается ранее полученный шаблон.
Биометрические данные (biometric data):[121] Биометрический образец или совокупность биометрических образцов на любой стадии обработки, например биометрический контрольный шаблон, биометрическая проба, биометрический признак или биометрическое свойство.
Биометрическое заявление (biometric claim): Заявление, что субъект сбора биометрических данных является или не является собственно источником установленного или неустановленного биометрического контрольного шаблона.
Биометрический заявитель (biometriс applicant): Индивид, претендующий на внесение своих биометрических данных в базу данных биометрических регистраций.
Биометрическая идентификация (biometric identification): Процесс поиска по базе данных биометрических регистраций, направленный на поиск и возврат идентификатора(ов) биометрического контрольного шаблона, связанного с одним индивидом.
Биометрический кандидат (biometric candidate): Идентификатор биометрического контрольного шаблона в базе данных биометрических контрольных шаблонов, который должен быть определен как достаточно схожий с биометрической пробой для обоснования дальнейшего анализа.
Биометрический контрольный шаблон (biometric reference): Один или более хранимых биометрических образцов, биометрических шаблонов или биометрических моделей, относящихся к субъекту биометрических данных и используемых в качестве объекта сравнения.
Биометрический ложный допуск (biometric false acceptance): Ошибка принятия биометрического заявления, которое следовало отклонить в соответствии с официальным утверждением о происхождении биометрической пробы и биометрического контрольного шаблона.
Биометрический ложный недопуск (biometric false rejection): Ошибка отклонения биометрического заявления, которое следовало принять в соответствии с официальным утверждением о происхождении биометрической пробы и биометрического контрольного шаблона.
Биометрическая модель (biometric model): Хранимая функция, созданная из биометрических данных.
Биометрический образец (biometric sample): Необработанные данные, представляющие собой биометрическую характеристику конечного пользователя, как они были захвачены биометрической системой.
Биометрический образец (biometric sample):[122] Аналоговое или цифровое представление биометрических характеристик, предшествующее извлечению биометрических признаков.
Биометрический поиск (biometric search): Проверка базы данных биометрических контрольных шаблонов по биометрической пробе на возврат либо списка биометрических кандидатов, либо решения о сравнении, что биометрическая проба совпадает или не совпадает с одним или более биометрическими контрольными шаблонами.
Биометрическое представление (biometric representation): Биометрический образец или набор биометрических признаков.
Биометрическое предъявление (biometric presentation): Взаимодействие субъекта сбора биометрических данных и подсистемы сбора биометрических данных с целью получения сигнала от биометрической характеристики.
Биометрический признак (biometric feature):[123] Цифровое представление информации (числа или метки), извлеченное из биометрических образцов и используемое для сравнения.
Биометрические признаки (biometric features): Отличительные и повторяющиеся характеристики биометрического образца, которые могут храниться в составе шаблона в базе данных или использоваться при сравнении с каким-либо определенным шаблоном.
Биометрическая проба (biometric probe)/биометрический запрос (синоним) (biometric query): Биометрический образец или набор биометрических признаков, введенный в алгоритм для использования в качестве субъекта сравнения с биометрическим контрольным шаблоном (биометрическими контрольными шаблонами).
Биометрический профиль (biometric profile): Соответствующие наборы или комбинации базовых стандартов, используемые для выполнения определенных биометрических функций.
Биометрическая регистрация (enrolment): Процесс сбора биометрических образцов от конечного пользователя и последующей подготовки и хранения биометрических контрольных шаблонов, а также, при необходимости, других данных, связанных с личностью конечного пользователя.
Биометрическая регистрация (biometric enrolment; исключен "registration"):[124] Действия по созданию и сохранению записи данных биометрической регистрации в соответствии с правилами биометрической регистрации.
Биометрическое свойство (biometric property): Описательные атрибуты субъекта биометрических данных, рассчитанные или извлеченные из биометрического образца автоматическими средствами.
Биометрическая система (biometric system):[125] Автоматизированная (как правило) система, которая предоставляет возможность:
1) получить биометрический образец непосредственно от конечного пользователя или образец, предоставленный в соответствии с какой-либо экспертно-криминалистической технологией;
2) извлекать биометрические данные из полученного образца или же выводить биометрические признаки из биометрических данных в виде, пригодном для сопоставления с одним или несколькими контрольными шаблонами;
3) сравнивать биометрические признаки с теми, что содержатся в одном или нескольких контрольных шаблонах;
4) определять степень сходства в соответствии с индексом или другим (метрическим или иным) показателем или, как вариант, ранжировать шаблоны в соответствии с уровнем сходства, определяемым индексом или другим метрическим показателем;
5) возвращать результат приложению с указанием, была ли идентификация и/или верификация выполнена успешно;
6) хранить биометрические данные и связанную с ними системную информацию и управлять этими данными.
Биометрическая система (biometric system)[126]: Система, предназначенная для биометрического распознавания индивидов, основанного на их поведенческих и биологических характеристиках.
Биометрический участник (biometric enrollee): Субъект биометрических данных, чьи биометрические данные хранятся в базе данных биометрических регистраций.
Биометрические функции (biometric functions): Процедуры или действия по биометрической регистрации (3.19), верификации (3.35) и/или идентификации (3.25) внутри биометрической системы.
Биометрическая характеристика (biometric characteristic; исключен "biometric"): Биологические и поведенческие характеристики индивида, которые могут быть зарегистрированы и использованы в качестве отличительных, повторяющихся биометрических признаков для автоматического распознавания индивидов.
Биометрический шаблон (biometric template): Биометрические данные, полученные из биометрического образца или набора биометрических образцов, пригодные для хранения в качестве контрольных для последующего сравнения.
Биометрический шаблон/контрольный набор биометрических признаков (biometric template/reference biometric feature set):[127] Набор хранимых биометрических признаков, сравниваемых непосредственно с биометрическими признаками биометрической пробы.
Верификация (verification): Функция биометрической системы, выполняющая сравнение запросного образца с указанным шаблоном, хранящимся в системе, в режиме «один к одному» и возвращающая результат в виде индекса совпадения или решения о совпадении.
Вероятность ложного несовпадения; ВЛНС (false non-match rate, FNMR): Доля завершенных попыток биометрического парного сравнения, приведших к ложному несовпадению.
Вероятность ложного совпадения; ВЛС (false match rate, FMR): Доля завершенных попыток биометрического непарного сравнения, приведших к ложному совпадению.
Вероятность отказа биометрической регистрации; ВОБР (failure-to-enrol rate, FTE): Доля установленного набора транзакций биометрической регистрации, которые приводят к неудаче при биометрической регистрации.
Вероятность отказа получения биометрических данных; ВОПБД (failure-to-acquire rate, FTA): Доля установленного набора процессов получения биометрических данных, которые были неудачными.
Вид (mode): Комбинация типа биометрической характеристики, типа датчика и метода обработки.
Владелец биометрической системы (biometric system owner): Физическое или юридическое лицо, несущее полную ответственность за приобретение, внедрение и эксплуатацию биометрической системы.
Данные биометрического обмена; ДБО (biometric interchange data; BID): Биометрические данные, отформатированные согласно одному или нескольким стандартам обмена, как это определяется стандартами комплекса ISO/IEC 19794.
Допустимая попытка сбора биометрических данных (acceptable biometric capture attempt): Попытка сбора биометрических данных, выполняющая требования процесса сбора биометрических данных.
Задача сбора биометрических данных (capture task): Предписанный набор схем поведения субъекта сбора биометрических данных при попытке сбора биометрических данных.
Запись (record): Шаблон и другая информация о конечном пользователе, например, права доступа.
Запись биометрических данных (biometric data record): Запись данных, содержащая биометрические данные.
Запись данных биометрического контрольного шаблона (biometric reference data record): Индексируемая запись данных, содержащая биометрический(е) контрольный(е) шаблон(ы).
Запись данных биометрической регистрации (biometric enrolment data record): Запись данных, связанная с субъектом биометрических данных, содержащая не биометрические данные и связанная с идентификатором (идентификаторами) биометрического контрольного шаблона.
Зарегистрировать (enrol): Создать и сохранить запись данных биометрической регистрации в соответствии с правилами биометрической регистрации.
Зарегистрированный биометрический образец (captured biometric sample; исключен "raw biometric sample"): Биометрический образец, полученный в результате процесса сбора биометрических данных.
Захват данных (capture): Процесс получения биометрического образца от конечного пользователя.
Заявитель (claimant): Индивид, делающий заявление, которое может быть проверено биометрическими методами.
Компоненты биометрической системы (biometric system components): Части или элементы системы, которые выполняют определенные задачи, необходимые системе для ее нормального функционирования.
Конечный пользователь (end-user): Человек, который взаимодействует с биометрической системой для своей регистрации или идентификации.
Кооперативное предъявление (cooperative presentation): Предъявление, выполненное кооперативным субъектом сбора биометрических данных.
Кооперативный субъект сбора биометрических данных (cooperative biometric capture subject): Субъект сбора биометрических данных, мотивированный на достижение успешного завершения процесса получения биометрических данных.
Лицо, обслуживающее биометрическую систему (biometriс attendant): Представитель оператора биометрической системы, который непосредственно взаимодействует с субъектом сбора биометрических данных.
Личность (identity): Понятие личности человека в общем смысле.
Ложный допуск (false acceptance): Событие, заключающееся в том, что биометрическая система неверно идентифицирует личность человека или ошибочно подтверждает личность человека, выдающего себя за другого.
Ложный недопуск (false rejection): Отказ биометрической системы в идентификации конечного пользователя или в верификации зарегистрированной личности конечного пользователя.
Ложное несовпадение (false non-match): Несовпадение как решение о сравнении биометрической пробы и биометрического контрольного шаблона одного субъекта сбора биометрических данных и его биометрических характеристик.
Ложное совпадение (false match): Совпадение как решение о сравнении биометрической пробы и биометрического контрольного шаблона разных субъектов сбора биометрических данных.
Мультибиометрическая система (multiple biometric): Определение биометрической системы, объединяющей в себе более одной биометрической технологии.
Мультимодальный (multi-modal): Имеющий отношение к множеству как минимум двух из трех составляющих вида в единой биометрической системе.
Недопустимая попытка сбора биометрических данных (unacceptable capture attempt): Попытка сбора биометрических данных, которая не удовлетворяет требованиям к процессу сбора биометрических данных.
Не идентифицированные биометрические данные (unidentified biometric data): Биометрические данные, при которых субъект биометрических данных в данный момент времени неизвестен.
Некооперативное предъявление (uncooperative presentation): Предъявление, выполненное некооперативным субъектом сбора биометрических данных.
Некооперативный субъект сбора биометрических данных (uncooperative biometric capture subject): Субъект сбора биометрических данных мотивированный на не достижение успешного получения биометрических данных.
Непарный (non-mated): Имеющий отношение к паре, состоящей из биометрической пробы и биометрического контрольного шаблона, полученных не от одной и той же биометрической характеристики одного и того же субъекта биометрических данных.
Несовместимая попытка сбора биометрических данных (non-conformant, capture attempt): Действия, которые не соответствуют задаче сбора биометрических данных.
Несовпадение (non-match): Решение о сравнении, утверждающее, что биометрическая проба (биометрические пробы) и биометрический контрольный шаблон получены не от одного и того же источника.
Обезличенная запись биометрических данных (anonymized biometric data record): Запись биометрических данных, которая намеренно была отделена от метаданных индивида.
Оператор биометрической системы (biometric system operator): Физическое или юридическое лицо, исполняющее правила и процедуры по управлению биометрической системы.
Осознанное предъявление (cognizant presentation): Предъявление, сознательно выполненное субъектом сбора биометрических данных.
Отказ биометрической регистрации (failure to enrol): Отказ в создании и сохранении записи данных биометрической регистрации для приемлемого субъекта сбора биометрических данных, в соответствии с правилами биометрической регистрации.
Отказ получения биометрических данных (failure to acquire): Отказ в принятии, для последующего сравнения, результата процесса сбора биометрических данных.
Отказ сбора биометрических данных (failure to capture): Отказ при процессе сбора биометрических данных, нацеленном на создание зарегистрированного биометрического образца.
Отрицательное биометрическое заявление (negative biometriс claim): Заявление о том, что субъект сбора биометрических данных не является источником определенного или неопределенного биометрического контрольного шаблона (биометрических контрольных шаблонов) в базе данных биометрических контрольных шаблонов.
Оценка биометрического кандидата (biometric candidate score): Результат сравнения биометрического кандидата.
Парный (mated): Имеющий отношение к паре, состоящей из биометрической пробы и биометрического контрольного шаблона, полученных от одной и той же биометрической характеристики одного и того же субъекта биометрических данных.
Повторная биометрическая регистрация (re-enrolment): Процесс создания нового биометрического контрольного шаблона для субъекта биометрических данных, который был ранее зарегистрирован в базе данных биометрических регистраций.
Поддельная запись данных биометрической регистрации (fraudulent biometric enrolment data record): Запись данных биометрической регистрации, созданная или измененная умышленно в процессе незаконной или преступной деятельности.
Подсистема сбора биометрических данных (biometric capture subsystem): Устройство(а) сбора биометрических данных и подпроцессы, необходимые для выполнения процесса сбора биометрических данных.
Подтверждать (verify): Подтверждение биометрического заявления через сравнение.
Поиск "один ко многим" (one-to-many search): Процесс, при котором осуществляется поиск биометрической пробы (биометрических проб) одного субъекта биометрических данных по биометрическому контрольному шаблону, более чем одного субъекта биометрических данных с целью возврата списка кандидатов или решения о сравнении.
Положительное биометрическое заявление (positive biometriс claim): Утверждение, что субъект сбора биометрических данных является источником определенного или неопределенного биометрического контрольного шаблона в базе данных биометрических контрольных шаблонов.
Полученные биометрические данные (acquire): Успешно завершенный процесс получения биометрических данных.
Пользователь (user): Человек, ответственный за управление и/или внедрение и/или администрирование биометрической системы, в отличие от конечного пользователя, чьи биометрические данные непосредственно захватываются ею.
Пользователь биометрической системы (user of a biometric system; исключен "end user"): Любое физическое или юридическое лицо, взаимодействующее в каком-либо виде с биометрической системой.
Пользователь-нарушитель (subversive user): Пользователь биометрической системы, который пытается разрушить надлежащую и намеченную системную политику.
Пользователь-не нарушитель (non-subversive user): Пользователь биометрической системы, который не пытается разрушить надлежащую и намеченную системную политику.
Попытка биометрической верификации (verification attempt): Биометрическое заявление и попытка (попытки) сбора биометрических данных, которые в совокупности составляют входные данные для сравнения (сравнений).
Попытка биометрического парного сравнения (biometric mated comparison trial): Сравнение биометрической пробы и биометрического контрольного шаблона одного и того же субъекта биометрических данных и биометрической характеристики в рамках эксплуатационного.
Попытка биометрического непарного сравнения (biometric non-mated comparison trial): Сравнение биометрической пробы и биометрического контрольного шаблона разных субъектов биометрических данных в рамках эксплуатационного испытания.
Попытка сбора биометрических данных (capture attempt): Действие, направленное на создание зарегистрированного биометрического образца.
Попытка сравнения (comparison trial): Одиночное сравнение биометрической пробы с биометрическим контрольным шаблоном при эксплуатационных испытаниях.
Порог (threshold): Численное значение (или множество значений), при котором существует граничное решение.
Пороговое значение (threshold): Граничная величина индекса совпадения, используемая программой сравнения для автоматического принятия решения допустить или отклонить контрольный шаблон, сравниваемый с запросным шаблоном.
Приложение (application): Установленное на оборудовании программное обеспечение, используемое для выполнения широкого перечня требований.
Проверка достоверности (validation): Процесс, демонстрирующий, что рассматриваемая система удовлетворяет требованиям, предъявляемым к данной системе, во всех отношениях.
Проверка наличия дубликатов, полученных при биометрической регистрации (duplicate biometric enrolment check): Проверка при биометрической идентификации, которая выполняется как часть процесса биометрической регистрации для подтверждения существующего статуса биометрической регистрации для субъекта биометрических данных.
Программный интерфейс приложений; ПИП (application programming interface; API): Программный интерфейс, который может использоваться для связи и сопряжения между приложением и биометрической системой.
Промежуточный биометрический образец (intermediate biometric sample): Биометрический образец, полученный в результате промежуточной обработки.
Промежуточная обработка биометрического образца (intermediate biometric sample processing): Любая обработка биометрического образца, которая не выводит биометрические признаки.
Процесс получения биометрических данных (biometric acquisition process): Процесс сбора биометрических данных и дополнительная обработка попытки создания подходящего биометрического образца (образцов) в соответствии с определенными правилами.
Процесс сбора биометрических данных (biometric capture process): Сбор или попытка сбора сигнала(ов) с одной или нескольких биометрических характеристик, или представление(я) одной или нескольких биометрических характеристик, и конвертирование сигнала (сигналов) в набор зарегистрированных биометрических образцов.
Решение (decision): Результат сравнения индекса совладения и порогового значения.
Решение биометрической верификации (biometric verification decision): Решение о сравнении, определяющее достоверность биометрического утверждения в транзакции биометрической верификации.
Решение биометрической идентификации (biometric identification decision): Решение о сравнении применительно к тому, относится ли биометрический контрольный шаблон (шаблоны) к определенному субъекту биометрических данных из базы данных биометрических контрольных шаблонов.
Решение биометрического приложения (biometric application decision): Решение выполнить действие на уровне приложения, основанное на результатах биометрического процесса.
Решение о сравнении (comparison decision): Определение, имеет ли биометрическая проба и биометрический контрольный шаблон единственный биометрический источник, основанный на сравнительной оценке(ах), правилах принятия решений, включая порог и, возможно, другие входные данные.
Результат сравнения (comparison score; исключен "matching score"): Численное значение (множество значений), являющееся результатом процесса сравнения.
Самозванец (impostor): Субъект-нарушитель сбора биометрических данных, который пытается совпасть с биометрическим контрольным шаблоном кого-то другого.
Сбор биометрических данных (biometric capture): Получение и запись в воспроизводимой форме сигнала(ов) биометрической характеристики (биометрических характеристик) непосредственно от индивида(ов), или от представления(й) биометрической характеристики (биометрических характеристик).
Система биометрической идентификации (biometric identification system): Система, назначением которой является выполнение биометрической идентификации.
Совпадение (match): Решение о сравнении, утверждающее, что биометрическая проба (биометрические пробы) и биометрический контрольный шаблон получены от одного источника.
Совместимая попытка сбора биометрических данных (conformant capture attempt): Действия, которые соответствуют задаче сбора биометрических данных.
Список биометрических кандидатов (biometric candidate list): Набор, включающий в себя любое количество (0, 1, 2,.) биометрических кандидатов, который может быть промежуточным или окончательным.
Сравнение (comparison): Процесс определения сходства между запросным и контрольным шаблонами.
Сравнение (comparison; исключены "match" и "matching"):[128] Оценка, вычисление или измерение степени схожести и различия между биометрическим(и) образцом(ами) и биометрическим(и) контрольным(и) шаблоном(ами).
Сравнение «один к одному» (one-to-one comparison): Процесс, при котором биометрическую пробу(ы) одного субъекта биометрических данных сравнивают с биометрическим контрольным шаблоном(ами) одного субъекта биометрических данных для получения результата сравнения.
Сравнение «один ко многим» (one-to-many comparison; исключен «one-to-few»): Процесс, при котором биометрическую пробу(ы) одного субъекта биометрических данных сравнивают с биометрическим контрольным шаблоном, более чем одного субъекта биометрических данных для получения набора результатов сравнения.
Стандарт (standard): Учрежденный на основе консенсуса и одобренный официальным органом документ, который предоставляет для общего и регулярного пользования правила, рекомендации или параметры действий, или их результаты, нацеленные на достижение оптимальной степени порядка в данном контексте.
Степень различия/степень отдаленности (dissimilarity score/distance score): Результат сравнения, который уменьшается с подобием.
Степень схожести (similarity score): Результат сравнения, который увеличивается с подобием.
Субъект (subject): Конечный пользователь, чьи биометрические данные предназначаются для регистрации или сравнения.
Субъект биометрических данных (biometric data subject): Индивид, чьи персонализированные биометрические данные находятся в биометрической системе.
Субъект-нарушитель сбора биометрических данных (subversive biometric capture subject): Субъект сбора биометрических данных, который пытается разрушить надлежащую и намеченную системную политику подсистемы сбора биометрических данных.
Субъект-не нарушитель сбора биометрических данных (non-subversive biometric capture subject): Субъект сбора биометрических данных, который не пытается разрушить надлежащую и намеченную системную политику подсистемы сбора биометрических данных.
Субъект сбора биометрических данных (biometric capture subject): Индивид, который является субъектом процесса сбора биометрических данных.
Токен/носитель данных (token): Физическое устройство, содержащее определенную информацию о конечном пользователе или предъявителе/держателе.
Транзакция биометрической верификации (verification transaction): Одна или более попыток биометрической верификации, результатом которых является заключение о биометрическом заявлении.
Транзакция сбора биометрических данных (capture transaction): Одна или более попыток сбора биометрических данных с целью получения всех биометрических данных от субъекта биометрических данных, необходимых для создания биометрического контрольного шаблона или биометрической пробы.
Укрыватель личности (identity concealer): Субъект-нарушитель сбора биометрических данных, который пытается избежать совпадения со своим собственным биометрическим контрольным шаблоном.
Устройство сбора биометрических данных/биометрический сканер (biometric capture device): Устройство, которое снимает сигнал с биометрической характеристики и конвертирует его в зарегистрированный биометрический образец.
Фильтровать (