Горячая линия качества
Обратная связь
Обратная связь
Горячая линия
+7-495-788-0-788
Businesscloud
Услуги
Наш опыт
Пресс-центр
Карьера
Связаться с нами
О компании
Контакты
О компании
Услуги
Наш опыт
Пресс-центр
Карьера
Контакты
Импортозамещение
Региональные подразделения
info@servionica.ru

+7 (495) 788-0-788
+7 (800) 200-1095
звонок из регионов бесплатный
Связаться с нами
Пресс-центр

Техническая архитектура систем сбора, обработки и передачи биометрических ПДн

Сегодня многие государственные и частные компании используют биометрию для идентификации людей. Есть множество различных методов получения биометрических образцов (далее БО), методов их преобразования в вектор признаков (далее вектор), методов сравнения вектора с сохранённым ранее шаблоном и методов хранения шаблонов.
Любое частное лицо или компания могут выбрать для себя понравившиеся методы и использовать их для доступа, скажем, в свой дом или офис, получения привилегий в информационных системах или подтверждения каких‑либо действий. Можно купить и поставить на вход в свой дом, офис, гараж, умную камеру, сканер отпечатка пальца и сканер узора сосудов ладони, добавить голосовой анализатор и анализатор почерка. Всё это совершенно легально, но только для себя лично.
Как только вам потребуется добавить в систему ещё и своих домочадцев, коллег и друзей, в дело вступят законы страны, где вы предполагаете использовать биометрические данные её населения. Согласно ряду источников, есть три модели регулирования использования биометрических данных для идентификации человека:
  • Американская модель: вы должны гарантировать соблюдения гражданских прав человека, чью биометрию хотите использовать. Всё остальное — дело пользовательского соглашения между вами и гражданином.
  • Азиатская модель: государство жёстко регулирует методы сбора, передачи, обработки и хранения биометрической информации, всё ради соблюдения национальной безопасности.
  • Европейская модель: законодательство требует обеспечить приватность биометрических данных ради неприкосновенности частной жизни, не особо регулируя технические меры по их сохранности, но налагая ответственность за их компрометацию.
В РФ используют азиатскую модель регулирования. Поэтому, как только вам захотелось добавить в базу своей биометрической системы кого‑то, кроме себя, в дело вступают федеральные законы и вся цепочка тянущихся за ними ГОСТов, распоряжений и рекомендаций. Начинается всё с известного всем 152-ФЗ от 27.07.2006, продолжается 572-ФЗ от 29.12.2022 и далее по нисходящей (полный перечень нормативной документации ищите в конце статьи).
Попробуем построить гипотетическую систему сбора, обработки и передачи биометрических персональных данных населения (далее БПДн) в соответствии с этими нормативными актами РФ. В этой статье уделим внимание именно технической архитектуре такой системы.

Где начинается биометрия?

Если вам захотелось сфотографировать друзей и выложить эту фотографию на общедоступные ресурсы или напечатать в газете, то это ещё не биометрия. Такое распространение фото‑ и видео‑материалов регламентируется другими законами. Биометрия начинается с ЦЕЛИ. Как только у вас появляется ЦЕЛЬ — установить личность и сопоставить её с её персональными данными, — тут же начинается биометрия (статья 11 в 152-ФЗ).
Объясним на примерах:
  • Василий фотографирует Василису и загружает фото в соцсеть — это не обработка БПДн;
  • Наталья фотографирует Александра с целью вычисления вектора лицевой биометрии, найти похожий вектор в базе данных, получить некий ID, чтобы по нему в другой базе узнать телефон Александра, его адрес и знак зодиака — это обработка БПДн.
То же самое относится и к следующим видам биометрической информации:
  • рисунок сетчатки глаза;
  • рисунок радужной оболочки глаза;
  • отпечаток пальца;
  • голос;
  • некоторые другие биологические или физиологические данные (подробности можно почитать в ГОСТ Р 54412–2019).
А если Александр не хочет, чтобы его фото использовали для идентификации? В РФ это дело добровольное, не надо подписывать согласие. И если кто‑то делает это без согласия, то нарушает закон.
А если Александр раньше хотел использовать своё фото для идентификации, а потом перехотел? В РФ можно отозвать согласие, и оператор БПДн обязан его зафиксировать и удалить вектор из своей базы.
А есть ли случаи, когда можно использовать данные без согласия? Есть, они описаны в 152-ФЗ и 572-ФЗ и применяются к преступникам и делам государственной важности.
У биометрических персональных данных есть срок годности (но не у всех и не всегда).

Откуда появляется база векторов и как её использовать?

База векторов создаётся и наполняется на основании 325-ФЗ, 479-ФЗ и 572-ФЗ. На технической платформе «Ростелеком» создали Единую Биометрическую Систему (далее ЕБС; о её устройстве рассказали создатели), в которую передали разрозненные биометрические данные, ранее собранные различными операторами. То есть, на заре развития использования биометрической информации для идентификации любой мог содержать свою базу векторов и привязывать к ним ПДн, но сейчас это запрещено и официальной базой является только ЕБС.
Закон предусматривает, что некоторые аккредитованные организации имеют право собирать у населения биометрические персональные данные для пополнения ЕБС, а также создавать собственные коммерческие биометрические системы (КБС) и предоставлять доступ к идентификации по БПДн для других организаций.
Вот у нас есть единая база, но что с ней можно делать? Подробности об услугах ЕБС есть на сайте, там же в открытом доступе лежит документация по интеграции с ЕБС. А нас интересует архитектура системы, которая будет интегрироваться с ЕБС или с какой‑нибудь Коммерческой Биометрической Системой (КБС), которая являются частью инфраструктуры ЕБС. КБС — это делегирование возможностей по идентификации по БПДн от ЕБС к аккредитованным для этого организациям (в основном, банкам), создавшим у себя систему, отвечающую требованиям всех ФЗ и нормативных актов.
КБС предоставляет потребителям те же услуги по идентификации, получая от ЕБС копию базы векторов (но не сами БПДн! Ваши фотографии в КБС из ЕБС не передаются). Организация со своей КБС содержит копию базы векторов, регулярно её пополняет из ЕБС, а для подтверждения соответствия системы требованиям проводит аттестацию на соблюдение положений приказа ФСТЭК № 17 от 11.02.2013 (который скоро заменят на приказ № 117). Организация может использовать КБС для своих нужд по идентификации и предлагать аналогичные услуги своим партнёрам, дочерним организациям и другим потребителям, вплоть до ИП.
Чтобы собирать БПДн для ЕБС, надо быть аккредитованной организацией, построить закрытую систему, состав и средства защиты которой согласовать с ФСБ, интегрировать её с ЕБС и проходить аудит ЦБ раз в 2 года. Такие системы есть уже готовые, покупай коробку и ставь (в отдельную стойку с СКЗИ и МСЭ по периметру), поэтому вариант построения собственного модуля сбора и передачи БПДн в ЕБС и согласования его с ФСБ рассматривать не будем, но он есть.
Чтобы иметь свою КБС, надо быть аккредитованной организацией и предъявить аттестат своей системы, аттестат получается у аккредитованных в ФСБ организациях.
Чтобы получать услуги по идентификации от ЕБС или КБС необходимо организовать правильную интеграцию с этими системами.
Важно: отсюда и далее мы будем оперировать только той биометрической информацией, которая хранится и используется в ЕБС и КБС — это лицевая и голосовая биометрия. Другие виды биометрической информации выносим за скобки, так как они сейчас в ЕБС не хранятся (возможно, потом будут).
Далее пойдём от простого к сложному: рассмотрим сначала процесс идентификации, потом архитектуру интеграции, потом архитектуру КБС и архитектуру узла связи с ЕБС...

Читать далее https://habr.com/ru/companies/T1Holding/articles/1031494/
2026-05-07 13:40 Публикации