Контроль в сфере идентификации и аутентификации будет передан Минцифры – проект постановления
Проект постановления правительства об утверждении положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации опубликован для общественного обсуждения в среду; согласно документу, контроль будет осуществлять Минцифры России.
Как следует из проекта постановления, предметом госконтроля в сфере идентификации и аутентификации является соблюдение аккредитованными организациями (юридическими лицами), в том числе кредитными организациями, некредитными финансовыми организациями, субъектами национальной платёжной системы, осуществляющими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц обязательных требований статьи 14.1 федерального закона от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и принимаемых в соответствии с ней иных нормативных правовых актов.
Плановые контрольные (надзорные) мероприятия проводятся на основании плана проведения плановых контрольных мероприятий на очередной календарный год, согласованного с органами прокуратуры.
Для фиксации доказательств нарушений обязательных требований могут использоваться фотосъёмка, аудио- и видеозапись, иные способы фиксации доказательств при проведении выездной проверки или инспекционного визита.
При осуществлении государственного контроля (надзора) применяется риск-ориентированный подход.
Категории рисков несоблюдения правил биометрической идентификации
| Категория риска | Критерии отнесения объектов контроля к категориям риска |
| Высокий риск | Контролируемое лицо осуществляет идентификацию либо идентификацию и аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывает услуги по идентификации либо идентификации и аутентификации с использованием биометрических ПД физических лиц. Контролируемое лицо является иностранным юридическим лицом. Наличие ранее выявленных нарушений в отношении контролируемого лица при проведении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации. |
| Средний риск | Контролируемое лицо осуществляет только аутентификацию с использованием биометрических ПД физических лиц, и (или) оказывает услуги по аутентификации с использованием биометрических персональных данных физических лиц. Наличие признанного по результатам рассмотрения обоснованным обращения (жалобы, заявления), поступившего в Минцифры, от физических и юридических лиц, в том числе индивидуальных предпринимателей, государственных и муниципальных органов и их должностных лиц, средств массовой информации о фактах нарушения контролируемым лицом обязательных требований и (или) исполнения решений, принимаемых по результатам контрольных (надзорных) мероприятий, в течение календарного года, предшествующего дате принятия решения об отнесении объекта контроля к определенной категории риска. |
| Низкий риск | Контролируемое лицо осуществляет только аутентификацию с использованием биометрических ПД физических лиц, и (или) оказывает услуги по аутентификации с использованием биометрических ПД физических лиц. |
Постановление в случае его подписания должно вступить в силу с 1 января 2022 года.
Оба термина предполагают различие на логическом уровне. Технические процедуры идентификации и аутентификации разнообразны и могут совпадать.
Применительно к пользователям IT-систем (включая онлайн-сервисы) идентификация означает распознавание пользователя в системе. В случае ввода пары «логин-пароль» машина идентифицирует пользователя, обнаруживая его в своём списке пользователей, и предоставляет ему положенные права на доступ к данным и сервисам, не «заморачиваясь» проблемой «а действительно ли это законный владелец пары логин-пароль».
Аналогия – наличные деньги. Продавец проверяет подлинность купюры и принимает её к оплате. Вопрос о том, законно ли покупатель владеет купюрой, ему ли она принадлежит, не возникает. Это – идентификация. Покупатель вошёл в магазин и на правах владельца денег получил сервис в соответствии со своими правами.
Аутентификация же означает удостоверение личности пользователя. Банк, прежде чем выдать наличные клиенту, проводит его аутентификацию, чтобы понять, не с мошенником ли он имеет дело. Просит предъявить паспорт, проверяет его подлинность, сверяет лицо клиента с фото в паспорте.
В частном (примитивном, но распространённом случае) случае аутентификация пользователя осуществляется по факту правильного ввода пары «логин-пароль». При т.н. двухфакторной авторизации аутентификация пользователя проводится дистанционно с помощью одноразового кода, присылаемого по SMS – процедура становится надёжнее.
Удалённая аутентификация пользователя по биометрическим параметрам (изображение лица, радужная оболочка глаза, топология сосудов кисти руки, отпечаток пальца и пр.) считается наиболее надёжной. Эта процедура позволяет одновременно с аутентификацией человека идентифицировать его в качестве законного пользователя той или иной IT-системы.