Журнал "Системы Безопасности" № 6‘2023

декабрь 2023 – январь 2024 www.secuteck.ru БИОМЕТРИЧЕСКИЕ СИСТЕМЫ  С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 58 № Описание Категория ПД Идентификация установление личности 1к1 – кто это? Аутентификация удостоверение личности 1кN – ты ли это? Легализация в РФ (для организаций) ← больше Privacy-риски для субъектов ПД меньше → 1 Небиометрическая обработка 10 : l фото 11 и иные сведения о посетителе фиксируются на его пропуске; l пропуск предъявляется посетителем уполномоченному лицу; l уполномоченное лицо сравнивает фото на пропуске с лицом предъявителя пропуска; l уполномоченное лицо принимает решение о пропуске посетителя Общая 12 (биометрическая – по мнению ВС РФ 13 ) l Небиоме- трическая l Неавтомати- зированная (вне СКУД 14 ) l Небиометри- ческая l Неавтомати- зированная (вне СКУД) Возможна вне ЕБС: l ч. 1 ст. 6 или ст. 11 152-ФЗ о ПД 15 2 Биометрическая обработка: l фото и иные сведения о посетителе загружаются в СКУД; l ID-карта прикладывается посетителем к считывателю в СКУД; l СКУД демонстрирует уполномоченному лицу (оператору) фото и иные сведения о владельце ID-карты; l уполномоченное лицо сравнивает фото в СКУД с лицом предъявителя пропуска; l уполномоченное лицо принимает решение о пропуске посетителя Биометрическая 16 l Небиометри- ческая l Автоматизи- рованная (с исполь- зованием СКУД) l Биометри- ческая l Неавтомати- зированная (вне СКУД) Возможна вне ЕБС: l ст. 11 152-ФЗ о ПД 3 Биометрическая аутентификация: l созданный на основе фото по определенному алгоритму биометрический вектор (контрольный шаблон) и иные сведения о посетителе загружаются в СКУД; l ID-карта прикладывается посетителем к считывателю в СКУД; l СКУД с помощью сенсора получает биометрический образец (делает фото посетителя); l СКУД сравнивает полученный биометрический образец с контрольным шаблоном для предъявленной ID-карты; l СКУД, без подтверждения уполномоченного лица, принимает решение о пропуске посетителя Биометрическая l Небиометри- ческая l Автоматизи- рованная (с исполь- зованием СКУД) l Биометри- ческая l Автомати- зированная (с исполь- зованием СКУД) Условно возможна вне ЕБС – в СКУД нельзя хранить фото, а вместо собственных векторов нужно использовать векторы ЕБС 17 : l ч. 1 ст. 15, ч. 1 и 3 ст. 16 572-ФЗ 4 Биометрическая идентификация + аутентификация: l созданный на основе фото биометрический контрольный шаблон и иные сведения о посетителе загружаются в СКУД; l СКУД с помощью сенсора получает биометрический образец (делает фото посетителя); l СКУД в своей БД производит поиск шаблона, совпадающего с контрольным образцом; l СКУД (с подтверждением уполномоченным лицом или без него) принимает решение о пропуске посетителя Биометрическая l Биометрическая l Автоматизированная (с использованием СКУД) См. выше 10 Названия сценариев условны. 11 В письме Роскомнадзора от 29.08.2022 г. № 08-78032 указано, что дополнительным критерием возможности отнесения фотографического изображения лица к биометрическим ПД является указание на такую возможность в том или ином правовом акте. Вместе с этим Роскомнадзор сослался на ГОСТ Р ИСО/МЭК 19794-5–2013 как на источник толкования 152-ФЗ. В октябре 2022 г. в одном из писем Роскомнадзора озвученная позиция была частично дезавуирована: "…в некоторых случаях к биометрическим персональным данным относится фотография, содержащаяся в системе контроля и управления доступом при проходе на территорию оператора, что подтверждается Определением Верховного Суда РФ от 05.03.2018 г. № 307-КГ18-101 по делу № А42-342/2017". 12 Данная позиция ориентирована на суть биометрических технологий (см. международный стандарт ГОСТ ISO/IEC 2382-37–2016, где биометрия – это автоматическое распознавание индивидов, основанное на их биологических и поведенческих характеристиках), подтверждается актуальной на 2021 г. правоприменительной практикой Роскомнадзора и отменой Роскомнадзором (см. письмо от 19.11.2021 г. № 09-78548) своих разъяснений от 2013 г., в которых заявлено, что фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, относятся к биометрическим ПД. 13 Данная позиция ориентирована на букву закона согласно ст. 11 152-ФЗ о ПД, подтверждается Определением Верховного Суда РФ от 05.03.2018 г. № 307-КГ18-101 по делу № А42- 342/2017, согласно которому фотография на пропуске признана биометрическими ПД. 14 Система контроля и управления доступом. 15 В зависимости от выбранной позиции в отношении квалификации категории ПД: для общей – ч. 1 ст. 6, для биометрической – ст. 11. 16 Хотя данная позиция не соответствует сути биометрических технологий, но отраслевой регулятор и надзорный орган публично заявили противоположную позицию (см. письма Минцифры России от 17.07.2020 г. №ОП-П24-070-19433, Минкомсвязи России от 28.08.2020 г. №ЛБ-С-074-24059, Роскомнадзора от 10.02.2020 г. № 08АП-6782). 17 Аутентификация вне ЕБС запрещена для следующих организаций: оборонно-промышленных, атомно-энергопромышленных, ядерно-оружейных, химических, топливно- энергетических, транспортно-инфраструктурных, категорированных по ЧС, режимных, владеющих объектами КИИ (с использованием сторонних КБС). Таблица. Сценарии обработки фотографического изображения посетителей организации