img18 марта 2021 в 10:35

Минцифры предложило правила подтверждения биометрических данных

На портале нормативно-правовых актов опубликован новый проект приказа Минцифры, утверждающий две методики, по которым может осуществляться проверка биометрических данных.

На портале нормативно-правовых актов опубликован новый проект приказа Минцифры, утверждающий две методики, по которым может осуществляться проверка биометрических данных.

Согласно документу подлинность предоставленных биометрических персональных данных физического лица может быть подтверждена двумя разными алгоритмами: путем сравнения «один к одному» (когда биометрические данные человека сверяют с его же данными, сохраненными в системе) или при поиске «один ко многим» (когда биометрию человека сверяют со множеством данных, имеющихся в базе), пишут «Ведомости». При этом степень взаимного соответствия предоставленных данных человека его биометрическим персональным данным, достаточная для проведения идентификации, должна составлять не менее 0,9999, указано в документе.

В Минцифры пояснили, что приказ устанавливает требования только в отношении биометрических персональных данных, используемых для идентификации или аутентификации по Единой биометрической системе (ЕБС), или в государственных информационных системах.

ЕБС была запущена в 2018 году, ее оператором является «Ростелеком», а в самой системе используются решения нескольких разработчиков, например VisionLabs и NTechLab. Сейчас в системе зарегистрировано 164 000 человек. Российские банки параллельно развивают собственные биометрические базы, и они, как правило, пользуются у клиентов большей популярностью и доверием, чем ЕБС. К примеру, «Сбер» собрал данные нескольких миллионов клиентов, ВТБ — более 130 000. Такие коммерческие биометрические системы также под действие приказа не попадают, уточнили в Минцифры.

Ранее в законе «Об информации, информационных технологиях и о защите информации» степень совпадения, достаточная для идентификации или аутентификации человека, не прописывалась и новые требования неоднозначны, так как непонятно, из чего складывается показатель 0,9999, отмечают эксперты.

Принцип работы каждого из биометрических алгоритмов имеет два параметра: как много ложных распознаваний будет на некое количество срабатываний и как много людей будут распознаны правильно, объясняет источник издания, близкий к одному из крупных банков. «Эти параметры по отдельности не имеют смысла. Если показатель 0,9999 означает точность, то доля ложноположительных срабатываний — когда система «узнает» человека по ошибке — оказывается равна 0,0001, или 1 ошибка на 10 000 сравнений», — поясняет он.

Уровень точности современных систем распознавания лиц для ложноотрицательного срабатывания (когда система «не узнает» человека) достигает 0,003, а для ложноположительного срабатывания (когда «узнает» его по ошибке) — 0,000001, объясняет представитель одной из компаний-разработчиков систем распознавания лиц. «То есть вероятность того, что система “не узнает” человека, выше установленных Минцифры параметров, а вероятность того, что она “узнает” кого-то по ошибке, — ниже. Однако из проекта приказа остается непонятным, о каком из параметров идет речь и каким критериям должен соответствовать второй из них», — комментирует источник.

«Для банков критичнее факт ложноположительного срабатывания системы. Подмена биометрии — это вектор хакерских атак на системы безопасности банков», — говорит директор Института исследований интернета Карен Казарян.

Все зависит от области применения, отмечает гендиректор АНО «Инфокультура» Иван Бегтин. Если искать конкретного человека в толпе, то ложноположительный результат можно отсеять вручную. «Поэтому для государственных систем и систем безопасности намного важнее, чтобы система эффективно находила и могла распознать человека, а не нашла кого-то “по ошибке”», — поясняет он.

Ранее сообщалось, что правительство примет меры для стимуляции сбора биометрических данных россиян.

Подписка на рассылку

Подпишитесь на рассылку, чтобы одним из первых быть в курсе новых событий

Я даю согласие на обработку персональных данных