Как стать автором
Поиск
Написать публикацию
Обновить
113.28
Рейтинг
Cloud4Y
#1 Корпоративный облачный провайдер

Как создать образцы для Единой биометрической системы и почему это может быть опасно

Время на прочтение8 мин
Количество просмотров7K
Блог компании Cloud4YИнформационная безопасность*Хранение данных*Звук
Туториал

Марк не хочет, чтобы на него в России была оформлена ипотека

С 30 июня госорганы, банки и иные организации получат право собирать биометрические данные граждан и устанавливать по ним личность. В то же время закон № 482-ФЗ устанавливает критерии, которым должны соответствовать банки, открывающие и ведущие счета клиентов без их личного присутствия.


Единая биометрическая система идентификации личности будет запущена в России 1 июля.


Для проекта на государственном уровне были выбраны два типа биометрии: голос и лицо, причем не по отдельности, а вместе, так как бимодальность позволяет определить «живого человека», а не имитацию его биометрии в цифровом канале. В будущем возможно подключение других биометрий, в частности, радужной оболочки глаз и рисунков вен.


За доступ к данным каждого гражданина в единой идентификационной базе банки должны будут платить по 200 рублей. При этом половину этой суммы будет получать банк, который первоначально участвовал в снятии первичной биометрии, а еще 100 руб. получат иные участники системы (оператор самой системы, портал госуслуг и вендоры технологических решений). Учитывая, что активными клиентами банков являются миллионы человек, сумма получается огромная.


На начальном этапе введения системы клиентам будут доступны только простые операции вроде перевода внутри своих счетов, в дальнейшем с ее помощью можно будет оформлять кредиты и ипотеки.


В дальнейшем систему планируют распространить на госуслуги, образование, здравоохранение и другие сферы.


Банкам будут доступны две роли участия: потребитель и поставщик биометрических данных.


Потребителю будет достаточно заключить договор с оператором ЕБС (Ростелеком) на использование биометрической платформы и обеспечить интеграцию своих фронтальных решений по технологии oAuth.


Поставщику биометрических данных нужно дополнительно реализовать автоматизированное рабочее место для проведения первичной идентификации. Кроме интеграции с ЕСИА и ЕБС, данное рабочее место должно удовлетворять требованиям к техническим характеристикам оборудования, условиям освещенности и шума в помещении, а также соответствовать требованиям к создаваемым биометрическим контрольным шаблонам.


Минкомсвязи, в свою очередь, выпустил проект приказа «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».


Данный Порядок устанавливает процедуру обработки, включая сбор и хранение, параметров биометрических персональных данных, размещения и обновления биометрических персональных данных в единой биометрической системе в целях идентификации гражданина Российской Федерации, а также определяет требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в указанных целях.


Так, в соответствии с Порядком, обработка параметров биометрических персональных данных осуществляется после проведения идентификации гражданина при его личном присутствии в соответствии с требованиями, утвержденными в соответствии с пунктом 2 части 2 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также получения согласно Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» согласия на обработку персональных данных и биометрических персональных данных, в форме, утвержденной Правительством Российской Федерации в соответствии с пунктом 5 статьи 14.1 Федерального закона № 149-ФЗ.


В случае отзыва субъектом персональных данных в соответствии с Федеральным законом № 152-ФЗ согласия на обработку персональных данных, использование его биометрических персональных данных в целях проведения идентификации не осуществляется.



Сохранность данных


Персональные данные будут храниться в защищенном контуре, а сама система будет проходить аттестацию и сертификацию в соответствии с требованиями ФСБ, рассказал директор офиса «Цифровая идентичность» «Ростелекома» Иван Беров.

Сама цифровая платформа размещена в облачной защищенной инфраструктуре «Ростелекома», к которой банки получат доступ через специальные каналы связи Системы межведомственного электронного взаимодействия (СМЭВ).

Беров также добавил, что данные пользователей будут передаваться по защищенным каналам связи, использующим отечественные криптоалгоритмы. Для решения этой задачи «Ростелеком» разрабатывает специальное мобильное приложение со встроенными средствами криптографической защиты информации.

В чем тут опасность?


Теоретически такую биометрическую базу всё же могут похитить, и для клиентов банков это гораздо страшнее кражи паролей или кодов доступа. Отпечатки пальцев, запись голоса и изображение лица основаны на индивидуальности и уникальности, данной нам при рождении. Если преступники завладеют такими данными граждан, те, мягко говоря, попадут в беду. Ведь если украденный пароль или пин-код можно сменить, то свое лицо или голос — невозможно. В итоге преступник, обладая биометрическими данными в придачу к биографическим данным, по сути может совершать от имени человека любые операции.

Уважаемые читатели, напишите, пожалуйста, ваши предположения, что человеку делать в случае утечки его биометрических данных в комментариях.

Биометрические образцы


В процессе обработки параметров биометрических персональных данных создаются биометрические образцы данных изображения лица субъекта (далее – БО изображения лица) и биометрические образцы данных голоса (далее – БО записи голоса).


Предъявляемые требования к БО


Качество изображения лица должно соответствовать следующим критериям:


  • наличие одного лица на изображении;
  • отсутствие предметов, закрывающих лицо;
  • ракурс лица (наклон, поворот, отклонение головы);
  • размеры лица в пикселях;
  • яркость/затенённость/ размытость изображения;
  • формат и размер файла изображения.

Качество записей голоса должно соответствовать следующим критериям:


  • наличие речи в звукозаписи;
  • допустимое отношение сигнал/шум;
  • частота дискретизации и способа кодирования.

БО изображения лица


БО изображения лица должны соответствовать следующим требованиям:


  • цвета пикселей изображений фронтального типа должны быть представлены в 24-битовом цветовом пространстве RGB, в котором на каждый пиксель приходится по 8 битов на каждый компонент цвета: красный, зеленый и синий;
  • поворот головы должен быть не более 5 градусов от фронтального положения;
  • наклон головы должен быть не более 5 градусов от фронтального положения;
  • отклонение головы должно быть не более 8 градусов от фронтального положения;
  • расстояние между центрами глаз должно составлять не менее 120 пикселей;
  • при расстоянии между центрами глаз 120 пикселей значение горизонтального размера изображения лица должно составлять не менее 480 пикселей;
  • при расстоянии между центрами глаз 120 пикселей значение вертикального размера изображения лица должно составлять не менее 640 пикселей;
  • не допускается перекрытие волосами или посторонними предметами изображение лица по всей ширине от бровей до нижней губы;
  • на изображении должно присутствовать только одно лицо, наличие других лиц, фрагментов других лиц и портретов не допускается;
  • выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально для соответствующего субъекта (включая поведенческие факторы или медицинские заболевания);
  • лицо должно быть равномерно освещено, чтобы на изображении лица отсутствовали тени и блики;
  • не допускается использование ретуши и редактирования изображения;
  • допускается кадрирование изображения;
  • в случае фотографирования человека в очках не допускается наличие солнцезащитных очков и ярких световых артефактов или отражения вспышки от очков;
  • изображение лица должно быть сохранено в файле .jpeg или .png.

БО записи голоса


БО записи голоса должны соответствовать следующим требованиям:


  • отношение сигнал-шум для звука не менее 15 дБ;
  • глубина квантования не менее 16 бит;
  • частота дискретизации не менее 16 кГц;
  • контейнер/формат: RIFF (WAV);
  • код сжатия (Compression Code): PCM/uncompressed (0x0001)
  • количество каналов в записи голоса: 1 (моно режим) канал;
  • не допускается использовать шумоподавление;
  • на записи должен присутствовать голос одного человека;
  • запрещено получение БО путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования (ТфОП);
  • для текстозависимого алгоритма распознавания по голосу:
  • длительность записи голоса зависит от размера используемого словаря;
  • содержание речи субъекта: парольная фраза;
  • эмоционально-психологическое состояние и состояние здоровья субъекта: нормальное не возбужденное состояние без явных проявлений каких-либо заболеваний (простудные, респираторные и т.п.);
  • перечень языков, на которых субъект может производить речевое сообщение: русский.

Собранные уполномоченными сотрудниками органов и организаций биометрические образцы в автоматизированном режиме проверяются с использованием программного обеспечения единой биометрической системы, установленного в информационных системах таких органов и организаций, на соответствие требованиям и критериям, установленным пунктами 11-14 настоящего Порядка (далее – контроль качества).


В случае прохождения контроля качества установлено соответствие биометрических образцов критериям и требованиям, указанным выше, такие образцы, а также сведения, установленные актами Правительства Российской Федерации, иная информация, в том числе, о дате, времени и месте сбора биометрических персональных данных, а также о количестве попыток прохождения контроля качества, передаются органами и организациями в единую биометрическую систему с использованием СМЭВ.


В единой биометрической системе на основании предоставленных биометрических образцов формируются биометрические контрольные шаблоны, которые используются в процессе проведения идентификации гражданина Российской Федерации.


Если в процессе прохождения контроля качества установлено не соответствие биометрических образцов критериям и требованиям, в единую биометрическую систему в соответствии с Регламентом передается информация, в том числе, о дате, времени и месте сбора биометрических персональных данных.


Хранение биометрических персональных данных, в том числе, размещенных в единой биометрической системы, в целях идентификации осуществляется в соответствии со статьей 19 Федерального закона № 152-ФЗ в порядке, установленном Регламентом, в течении 3 лет с момента из размещения в указанной системе.


Требования к техническим средствам


Помимо требований к биометрическим образцам, Порядком определены требования к техническим средствам, предназначенным для обработки биометрических персональных данных.


Технические средства для регистрации БО изображения лица:


а) для регистрации изображения лица необходимо использовать фото или видеокамеру (далее — камеру) со следующими характеристиками:


  • разрешение получаемого изображения: не менее 1280х720 пикселей;
  • при расположении субъекта на расстоянии 0,3-0,5 м от камеры, эквивалентное фокусное расстояние должно составлять от 31 до 100 мм; при расположении субъекта на расстоянии 0,51-1,0 м от камеры, эквивалентное фокусное расстояние должно составлять от 28 мм до 100 мм от камеры;
  • фото-видеосъемка должна проводится при использовании режима автоматической корректировки баланса белого цвета.

б) для обеспечения естественной цветопередачи кожи рекомендуется, чтобы цветовая температура осветителей составляла от 4800 до 6500 К. Требуемая цветовая температура обеспечивается люминесцентными или светодиодными источниками освещения. Используемые источники освещения должны создавать в области лица освещенность:


  • для видео/фотокамер без автоматической коррекции освещенности не менее 300 лк;
  • для видео/фотокамер с автоматической коррекцией освещенности не менее 100 лк.

Технические средства для регистрации БО голоса:


а) Для регистрации записи голоса необходимо использовать микрофон со следующими характеристиками:


  • тип: конденсаторный (предпочтительно электретный), без автоматической регулировки усиления;
  • соотношение сигнал/шум: не менее 58 дБ;
  • диапазон частот: от 40 до 10000 Гц;
  • чувствительность: не менее минус 30 дБ;
  • форма диаграммы направленности: всенаправленная, кардиоида, суперкардиоида или гиперкардиоида.

Кроме того, Порядком устанавливается, что технические средства, предназначенные для обработки биометрических персональных данных в целях проведения идентификации, должны обеспечить защиту от подбора не подлинных биометрических образцов в объеме не менее 104 попыток на каждый образец.



Другие статьи нашего блога:

White Paper о ФЗ №152 — книга, на которую можно ссылаться в вопросах обработки персональных данных
Нас опять посчитают: Национальная биометрическая платформа и «сквозной идентификатор»
Биометрические персональные данные россиян
Основные аспекты правомерности обработки персональных данных в трудовых отношениях
Теги:
Хабы:
+1
Комментарии13
Cloud4Y
#1 Корпоративный облачный провайдер
СайтFacebookTwitterВКонтактеTelegram
185
Карма
77.7
Рейтинг
Cloud4Y @Cloud4Y

Корпоративный облачный провайдер

Отправить сообщение
СайтВКонтактеTelegram

Публикации

Информация

Сайт
www.cloud4y.ru
Дата регистрации
Дата основания
2009
Численность
51–100 человек
Местоположение
Россия

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr