Проект постановления: Контроль в сфере идентификации и аутентификации будет передан Минцифры
Проект постановления правительства об утверждении положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации опубликован для общественного обсуждения в среду.
Согласно документу, контроль будет осуществлять Минцифры России. Постановление в случае его подписания должно вступить в силу с 1 января 2022 года.
Как следует из проекта постановления, предметом госконтроля в сфере идентификации и аутентификации является соблюдение аккредитованными организациями (юридическими лицами), в том числе кредитными организациями, некредитными финансовыми организациями, субъектами национальной платежной системы, осуществляющими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц обязательных требований статьи 14.1 федерального закона от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и принимаемых в соответствии с ней иных нормативных правовых актов.
Плановые контрольные (надзорные) мероприятия проводятся на основании плана проведения плановых контрольных мероприятий на очередной календарный год, согласованного с органами прокуратуры.
Для фиксации доказательств нарушений обязательных требований могут использоваться фотосъемка, аудио- и видеозапись, иные способы фиксации доказательств при проведении выездной проверки или инспекционного визита.
При осуществлении государственного контроля (надзора) применяется риск-ориентированный подход.
Категории рисков несоблюдения правил биометрической идентификации
Высокий риск
- Контролируемое лицо осуществляет идентификацию либо идентификацию и аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывает услуги по идентификации либо идентификации и аутентификации с использованием биометрических ПД физических лиц.
- Контролируемое лицо является иностранным юридическим лицом.
- Наличие ранее выявленных нарушений в отношении контролируемого лица при проведении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации.
Средний риск
Контролируемое лицо осуществляет только аутентификацию с использованием биометрических ПД физических лиц, и (или) оказывает услуги по аутентификации с использованием биометрических персональных данных физических лиц. Наличие признанного по результатам рассмотрения обоснованным обращения (жалобы, заявления), поступившего в Минцифры, от физических и юридических лиц, в том числе индивидуальных предпринимателей, государственных и муниципальных органов и их должностных лиц, средств массовой информации о фактах нарушения контролируемым лицом обязательных требований и (или) исполнения решений, принимаемых по результатам контрольных (надзорных) мероприятий, в течение календарного года, предшествующего дате принятия решения об отнесении объекта контроля к определенной категории риска.
Низкий риск
Контролируемое лицо осуществляет только аутентификацию с использованием биометрических ПД физических лиц, и (или) оказывает услуги по аутентификации с использованием биометрических ПД физических лиц.
Чем «идентификация» отличается от «аутентификации»
Оба термина предполагают различие на логическом уровне. Технические процедуры идентификации и аутентификации разнообразны и могут совпадать.
Применительно к пользователям IT-систем (включая онлайн-сервисы) идентификация означает распознавание пользователя в системе. В случае ввода пары «логин-пароль» машина идентифицирует пользователя, обнаруживая его в своем списке пользователей, и предоставляет ему положенные права на доступ к данным и сервисам, не «заморачиваясь» проблемой «а действительно ли это законный владелец пары логин-пароль».
Аналогия – наличные деньги. Продавец проверяет подлинность купюры и принимает ее к оплате. Вопрос о том, законно ли покупатель владеет купюрой, ему ли она принадлежит, не возникает. Это – идентификация. Покупатель вошел в магазин и на правах владельца денег получил сервис в соответствии со своими правами.
Аутентификация же означает удостоверение личности пользователя. Банк, прежде чем выдать наличные клиенту, проводит его аутентификацию, чтобы понять, не с мошенником ли он имеет дело. Просит предъявить паспорт, проверяет его подлинность, сверяет лицо клиента с фото в паспорте.
В частном (примитивном, но распространенном случае) случае аутентификация пользователя осуществляется по факту правильного ввода пары «логин-пароль». При т.н. двухфакторной авторизации аутентификация пользователя проводится дистанционно с помощью одноразового кода, присылаемого по SMS – процедура становится надежнее.
Удаленная аутентификация пользователя по биометрическим параметрам (изображение лица, радужная оболочка глаза, топология сосудов кисти руки, отпечаток пальца и пр.) считается наиболее надежной. Эта процедура позволяет одновременно с аутентификацией человека идентифицировать его в качестве законного пользователя той или иной IT-системы.
Источник: Экспертный центр Электронного государства