Контроль в сфере идентификации и аутентификации будет передан Минцифры – проект постановления

488

Проект постановления правительства об утверждении положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации опубликован для общественного обсуждения в среду; согласно документу, контроль будет осуществлять Минцифры России.

Как следует из проекта постановления, предметом госконтроля в сфере идентификации и аутентификации является соблюдение аккредитованными организациями (юридическими лицами), в том числе кредитными организациями, некредитными финансовыми организациями, субъектами национальной платёжной системы, осуществляющими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц обязательных требований статьи 14.1 федерального закона от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и принимаемых в соответствии с ней иных нормативных правовых актов.

См. также: Закон разрешил банкам использовать биометрию для удалённой идентификации клиентов, а МФЦ – для оказания госуслуг >>> 

Плановые контрольные (надзорные) мероприятия проводятся на основании плана проведения плановых контрольных мероприятий на очередной календарный год, согласованного с органами прокуратуры.

Для фиксации доказательств нарушений обязательных требований могут использоваться фотосъёмка, аудио- и видеозапись, иные способы фиксации доказательств при проведении выездной проверки или инспекционного визита.

При осуществлении государственного контроля (надзора) применяется риск-ориентированный подход.

Категории рисков несоблюдения правил биометрической идентификации

Категория риска

Критерии отнесения объектов контроля к категориям риска

Высокий риск Контролируемое лицо осуществляет идентификацию либо идентификацию и аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывает услуги по идентификации либо идентификации и аутентификации с использованием биометрических ПД физических лиц.

Контролируемое лицо является иностранным юридическим лицом.

Наличие ранее выявленных нарушений в отношении контролируемого лица при проведении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации.

Средний риск Контролируемое лицо осуществляет только аутентификацию с использованием биометрических ПД физических лиц, и (или) оказывает услуги по аутентификации с использованием биометрических персональных данных физических лиц.

Наличие признанного по результатам рассмотрения обоснованным обращения (жалобы, заявления), поступившего в Минцифры, от физических и юридических лиц, в том числе индивидуальных предпринимателей, государственных и муниципальных органов и их должностных лиц, средств массовой информации о фактах нарушения контролируемым лицом обязательных требований и (или) исполнения решений, принимаемых по результатам контрольных (надзорных) мероприятий, в течение календарного года, предшествующего дате принятия решения об отнесении объекта контроля к определенной категории риска.

Низкий риск Контролируемое лицо осуществляет только аутентификацию с использованием биометрических ПД физических лиц, и (или) оказывает услуги по аутентификации с использованием биометрических ПД физических лиц.

Постановление в случае его подписания должно вступить в силу с 1 января 2022 года.

Чем «идентификация» отличается от «аутентификации»

Оба термина предполагают различие на логическом уровне. Технические процедуры идентификации и аутентификации разнообразны и могут совпадать.

Применительно к пользователям IT-систем (включая онлайн-сервисы) идентификация означает распознавание пользователя в системе. В случае ввода пары «логин-пароль» машина идентифицирует пользователя, обнаруживая его в своём списке пользователей, и предоставляет ему положенные права на доступ к данным и сервисам, не «заморачиваясь» проблемой «а действительно ли это законный владелец пары логин-пароль».

Аналогия – наличные деньги. Продавец проверяет подлинность купюры и принимает её к оплате. Вопрос о том, законно ли покупатель владеет купюрой, ему ли она принадлежит, не возникает. Это – идентификация. Покупатель вошёл в магазин и на правах владельца денег получил сервис в соответствии со своими правами.

Аутентификация же означает удостоверение личности пользователя. Банк, прежде чем выдать наличные клиенту, проводит его аутентификацию, чтобы понять, не с мошенником ли он имеет дело. Просит предъявить паспорт, проверяет его подлинность, сверяет лицо клиента с фото в паспорте.

В частном (примитивном, но распространённом случае) случае аутентификация пользователя осуществляется по факту правильного ввода пары «логин-пароль». При т.н. двухфакторной авторизации аутентификация пользователя проводится дистанционно с помощью одноразового кода, присылаемого по SMS – процедура становится надёжнее.

Удалённая аутентификация пользователя по биометрическим параметрам (изображение лица, радужная оболочка глаза, топология сосудов кисти руки, отпечаток пальца и пр.) считается наиболее надёжной. Эта процедура позволяет одновременно с аутентификацией человека идентифицировать его в качестве законного пользователя той или иной IT-системы.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: