Приказ Минцифры России от 17.04.2023 N 378
МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 17 апреля 2023 г. N 378
ОБ УТВЕРЖДЕНИИ МЕТОДИК
ПРОВЕРКИ СООТВЕТСТВИЯ ПРЕДОСТАВЛЕННЫХ БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКОГО ЛИЦА СООТВЕТСТВУЮЩИМ
ВЕКТОРАМ ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ И ОПРЕДЕЛЕНИИ
СТЕПЕНИ ВЗАИМНОГО СООТВЕТСТВИЯ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ
ДАННЫХ И ВЕКТОРОВ ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ, ДОСТАТОЧНОЙ
ДЛЯ ПРОВЕДЕНИЯ ИДЕНТИФИКАЦИИ И (ИЛИ) АУТЕНТИФИКАЦИИ
В соответствии с пунктом 3 части 2 статьи 6 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" и подпунктами 5.2.64 и 5.2.65 пункта 5 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. N 418, приказываю:
1. Утвердить согласованные с Центральным банком Российской Федерации прилагаемые:
Методику проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, при которой предоставленные биометрические персональные данные одного физического лица сравнивают с векторами единой биометрической системы одного физического лица, согласно приложению N 1 к настоящему приказу;
Методику проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, при которой осуществляется поиск предоставленных биометрических персональных данных одного физического лица по векторам единой биометрической системы более чем одного физического лица, согласно приложению N 2 к настоящему приказу.
2. Установить, что в отношении биометрических персональных данных, используемых в соответствии со статьей 9 и частями 1 и 2 статьи 14 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" для идентификации и (или) аутентификации, степень взаимного соответствия предоставленных биометрических персональных данных векторам единой биометрической системы, достаточная для проведения идентификации и (или) аутентификации физического лица, составляет не менее 0,9999.
3. Признать утратившим силу приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 06.08.2021 N 816 "Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных, а также об определении степени взаимного соответствия указанных биометрических персональных данных, достаточной для проведения идентификации, предусмотренной Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (зарегистрирован Минюстом России 8 сентября 2021 г., регистрационный N 64922).
Министр
М.И.ШАДАЕВ
Приложение N 1
к приказу Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 17.04.2023 N 378
МЕТОДИКА
ПРОВЕРКИ СООТВЕТСТВИЯ ПРЕДОСТАВЛЕННЫХ БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКОГО ЛИЦА СООТВЕТСТВУЮЩИМ
ВЕКТОРАМ ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ, ПРИ КОТОРОЙ
ПРЕДОСТАВЛЕННЫЕ БИОМЕТРИЧЕСКИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОДНОГО
ФИЗИЧЕСКОГО ЛИЦА СРАВНИВАЮТ С ВЕКТОРАМИ ЕДИНОЙ
БИОМЕТРИЧЕСКОЙ СИСТЕМЫ ОДНОГО ФИЗИЧЕСКОГО ЛИЦА
1. Методика проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, при которой предоставленные биометрические персональные данные одного физического лица сравнивают с векторами единой биометрической системы одного физического лица (далее - Методика), применяется в отношении биометрических персональных данных, используемых в соответствии со статьями 5, 9, 10, 14 и 16 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ), при проверке соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, а также при расчете степени взаимного соответствия биометрических персональных данных, используемых в соответствии со статьей 9 и частями 1 и 2 статьи 14 Федерального закона N 572-ФЗ, и векторов единой биометрической системы, достаточной для проведения идентификации и (или) аутентификации.
2. При применении Методики должны соблюдаться требования, установленные пунктами 8.2.3 и 8.2.4 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 19795-1-2007 "Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 25 декабря 2007 г. N 403-ст "Об утверждении национального стандарта" (М., Стандартинформ, 2009), пунктом 12.2.2 национального стандарта Российской Федерации ГОСТ Р 58624.3-2019 "Информационные технологии (ИТ). Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2019 г. N 1197-ст "Об утверждении национального стандарта" (М., Стандартинформ, 2019).
3. Данные о степени взаимного соответствия биометрических персональных данных и векторов единой биометрической системы в отношении биометрических персональных данных, используемых в соответствии со статьей 9 и частями 1 и 2 статьи 14 Федерального закона N 572-ФЗ, представляются оператором единой биометрической системы в случае, если значение степени взаимного соответствия биометрических персональных данных и векторов единой биометрической системы не ниже установленного настоящим приказом.
4. В целях принятия решения о соответствии предоставленных биометрических персональных данных физического лица векторам единой биометрической системы определяется степень взаимного соответствия указанных данных (P), рассчитываемая как:
,
где: - произведение для всех i от 1 до n;
- произведение для всех j от 1 до m или 1, если не осуществляется обнаружение атак на биометрическое предъявление;
- вероятность ложного совпадения предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом (далее - орган, Центральный банк Российской Федерации, организация, индивидуальный предприниматель, нотариус) биометрических персональных данных с векторами единой биометрической системы другого физического лица для i-й из n-модальностей;
- вероятность ошибки классификации предоставленных органом, Центральным банком Российской Федерации, организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных при атаке на информационную систему, обеспечивающую идентификацию и (или) аутентификацию на основе биометрических персональных данных, как подлинных биометрических персональных данных для j-й из m-модальностей для каждого независимого унимодального алгоритма и (или) для каждого мультимодального алгоритма, используемых для обнаружения атаки на биометрическое предъявление в данной информационной системе;
n - количество независимых модальностей, используемых в информационной системе, обеспечивающей идентификацию и (или) аутентификацию на основе биометрических персональных данных;
m - количество независимых модальностей или независимых унимодальных и (или) мультимодальных алгоритмов, используемых в информационной системе, обеспечивающей идентификацию и (или) аутентификацию на основе биометрических персональных данных, для обнаружения атаки на биометрическое предъявление.
5. Вероятность ложного совпадения предоставленных органом, Центральным банком Российской Федерации, организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных и векторов единой биометрической системы определяется на основе результатов сравнения этих данных с векторами единой биометрической системы одного физического лица и результатов технической оценки соответствия информационных технологий, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, требованиям, установленным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 Федерального закона N 572-ФЗ, проводимой оператором единой биометрической системы.
Вероятность ошибки классификации предоставленных органом, Центральным банком Российской Федерации, организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных при атаке на информационную систему, обеспечивающую идентификацию и (или) аутентификацию на основе биометрических персональных данных, определяется на основе результатов обнаружения атаки на биометрическое предъявление и результатов технической оценки соответствия информационных технологий, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, требованиям, установленным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 Федерального закона N 572-ФЗ, проводимой оператором единой биометрической системы.
Приложение N 2
к приказу Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 17.04.2023 N 378
МЕТОДИКА
ПРОВЕРКИ СООТВЕТСТВИЯ ПРЕДОСТАВЛЕННЫХ БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКОГО ЛИЦА СООТВЕТСТВУЮЩИМ
ВЕКТОРАМ ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ, ПРИ КОТОРОЙ
ОСУЩЕСТВЛЯЕТСЯ ПОИСК ПРЕДОСТАВЛЕННЫХ БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ ОДНОГО ФИЗИЧЕСКОГО ЛИЦА ПО ВЕКТОРАМ
ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ БОЛЕЕ ЧЕМ ОДНОГО
ФИЗИЧЕСКОГО ЛИЦА
1. Методика проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы, при которой осуществляется поиск предоставленных биометрических персональных данных одного физического лица по векторам единой биометрической системы более чем одного физического лица (далее - Методика), применяется в отношении биометрических персональных данных, используемых в соответствии со статьями 5, 9, 10, 14 и 16 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ), при проверке соответствия предоставленных биометрических персональных данных физического лица векторам единой биометрической системы, а также при расчете степени взаимного соответствия биометрических персональных данных, используемых в соответствии со статьей 9 и частями 1 и 2 статьи 14 Федерального закона N 572-ФЗ, и векторов единой биометрической системы, достаточной для проведения идентификации и (или) аутентификации.
2. При применении Методики должны соблюдаться требования, установленные пунктом 8.4.3 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 19795-1-2007 "Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура.", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 25 декабря 2007 г. N 403-ст "Об утверждении национального стандарта" (М., Стандартинформ, 2009), пунктом 12.2.2 национального стандарта Российской Федерации ГОСТ Р 58624.3-2019 "Информационные технологии (ИТ). Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2019 г. N 1197-ст "Об утверждении национального стандарта" (М., Стандартинформ, 2019).
3. Данные о степени взаимного соответствия биометрических персональных данных и векторов единой биометрической системы в отношении биометрических персональных данных, используемых в соответствии со статьей 9 и частями 1 и 2 статьи 14 Федерального закона N 572-ФЗ, представляются оператором единой биометрической системы в случае, если значение степени взаимного соответствия биометрических персональных данных не ниже установленного настоящим приказом.
4. В целях принятия решения о соответствии предоставленных биометрических персональных данных физического лица векторам единой биометрической системы определяется степень взаимного соответствия указанных данных (P), рассчитываемая как:
,
где: - произведение для всех i от 1 до n;
- произведение для всех j от 1 до m или 1, если не осуществляется обнаружение атак на биометрическое предъявление;
- вероятность ложноположительной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом (далее - орган, Центральный банк Российской Федерации, организация, индивидуальный предприниматель, нотариус) биометрических персональных данных физических лиц, в отношении которых отсутствуют соответствующие векторы единой биометрической системы, каждой из n-модальностей, используемых в информационной системе, обеспечивающей идентификацию и (или) аутентификацию на основе биометрических персональных данных, как совпадающих с векторами единой биометрической системы;
- вероятность ошибки классификации предоставленных органом, Центральным банком Российской Федерации, организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных при атаке на информационную систему, обеспечивающую идентификацию и (или) аутентификацию на основе биометрических персональных данных, как подлинных биометрических персональных данных для j-й из m-модальностей для каждого независимого унимодального алгоритма и (или) для каждого мультимодального алгоритма, используемых для обнаружения атаки на биометрическое предъявление в информационной системе;
n - количество независимых модальностей, используемых в информационной системе, обеспечивающей идентификацию и (или) аутентификацию на основе биометрических персональных данных;
m - количество независимых модальностей или независимых унимодальных и (или) мультимодальных алгоритмов, используемых в информационной системе, обеспечивающей идентификацию и (или) аутентификацию на основе биометрических персональных данных, для обнаружения атаки на биометрическое предъявление.
5. Вероятность ложноположительной биометрической идентификации предоставленных органом, Центральным банком Российской Федерации, организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных определяется на основе результатов сравнения этих данных с векторами единой биометрической системы более чем одного физического лица и результатов технической оценки соответствия информационных технологий, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, требованиям, установленным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 Федерального закона N 572-ФЗ, проводимой оператором единой биометрической системы.
Вероятность ошибки классификации предоставленных органом, Центральным банком Российской Федерации, организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных при атаке на информационную систему, обеспечивающую идентификацию и (или) аутентификацию на основе биометрических персональных данных, определяется на основе результатов обнаружения атаки на биометрическое предъявление и результатов технической оценки соответствия информационных технологий, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации, требованиям, установленным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 Федерального закона N 572-ФЗ, проводимой оператором единой биометрической системы.