Приложение N 5

к приказу Министерства

цифрового развития, связи

и массовых коммуникаций

Российской Федерации

от 12.05.2023 N 453

ТРЕБОВАНИЯ

К ИНФОРМАЦИОННЫМ ТЕХНОЛОГИЯМ И ТЕХНИЧЕСКИМ СРЕДСТВАМ,

ПРЕДНАЗНАЧЕННЫМ ДЛЯ ОБРАБОТКИ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ

ДАННЫХ, ВЕКТОРОВ ЕДИНОЙ БИОМЕТРИЧЕСКОЙ СИСТЕМЫ В ЦЕЛЯХ

ПРОВЕДЕНИЯ ИДЕНТИФИКАЦИИ И (ИЛИ) АУТЕНТИФИКАЦИИ, А ТАКЖЕ

ПОРЯДОК ПОДТВЕРЖДЕНИЯ СООТВЕТСТВИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

И ТЕХНИЧЕСКИХ СРЕДСТВ УКАЗАННЫМ ТРЕБОВАНИЯМ

1. Информационные технологии и технические средства, предназначенные для обработки изображения лица человека, полученного с помощью фотовидеоустройств (далее - изображение лица), при размещении биометрических персональных данных в единой биометрической системе <1> в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ в целях проведения идентификации и (или) аутентификации, должны соответствовать следующим требованиям:

--------------------------------

<1> Пункт 4 статьи 2 Федерального закона от 29 декабря 2022 г. N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ).

а) для регистрации изображения лица необходимо использовать фото- или видеокамеру (далее - камера), эквивалентное фокусное расстояние которой должно составлять от 26,7 до 100 мм при расположении физического лица на расстоянии 0,3 - 1,0 м от камеры;

б) в целях обеспечения выполнения требований пункта 11 Порядка обработки, включая сбор, хранение, биометрических персональных данных, в том числе требований к параметрам биометрических персональных данных, содержащегося в приложении N 1 к настоящему приказу (далее - Порядок обработки), используются камеры со следующими характеристиками:

разрешение получаемого изображения: не менее 1280 x 720 пикселей;

наличие режима автоматической корректировки баланса белого цвета;

в) используемые источники освещения должны создавать в области лица освещенность:

для камер без автоматической коррекции освещенности - не менее 300 лк;

для камер с автоматической коррекцией освещенности - не менее 100 лк;

г) не допускается использование ретуши и (или) редактирования изображения;

д) допускается кадрирование изображения;

е) фотографирование человека должно производиться с помощью средств автоматизации, позволяющих обеспечить расположение изображения головы в кадре в соответствии с требованиями пункта 11 Порядка обработки.

2. Информационные технологии и технические средства, предназначенные для обработки записи голоса человека, полученной с помощью звукозаписывающих устройств (далее - запись голоса), при размещении биометрических персональных данных в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ в целях проведения идентификации и (или) аутентификации, должны соответствовать следующим требованиям:

а) для регистрации записи голоса необходимо использовать микрофон со следующими характеристиками:

тип: конденсаторный, без автоматической регулировки усиления;

отсутствие шумоподавления;

диапазон частот: не уже чем от 100 до 10000 Гц;

б) в целях обеспечения выполнения требований пункта 13 Порядка обработки используются микрофоны со следующими характеристиками:

соотношение сигнал/шум: не менее 58 дБ;

чувствительность: не менее -30 дБ или не менее -60 дБ при отсутствии нелинейных искажений амплитудно-частотных характеристик микрофона в диапазоне от 100 до 5000 Гц, превышающих отклонение более чем на 7 дБ;

форма диаграммы направленности: суперкардиоида или гиперкардиоида.

3. Вероятность ложного совпадения предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, банком, иной кредитной организацией, некредитной финансовой организацией, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектом национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица одного физического лица и векторов единой биометрической системы другого физического лица должна составлять не более 0,0001.

Вероятность ложного несовпадения предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица одного физического лица и векторов единой биометрической системы этого же физического лица должна составлять не более 0,01.

Вероятность ложного совпадения предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных записи голоса одного физического лица и векторов единой биометрической системы другого физического лица должна составлять не более 0,1.

Вероятность ложного несовпадения предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных записи голоса данных одного физического лица и векторов единой биометрической системы этого же физического лица должна составлять не более 0,1.

Вероятность ложноположительной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица физических лиц, в отношении которых отсутствуют соответствующие векторы единой биометрической системы, при поиске предоставленных биометрических персональных данных одного физического лица по 1 миллиону векторов единой биометрической системы должна составлять не более 0,0001.

Вероятность ложноотрицательной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица физических лиц, в отношении которых созданы соответствующие векторы единой биометрической системы, при поиске предоставленных биометрических персональных данных одного физического лица по 1 миллиону векторов единой биометрической системы должна составлять не более 0,01.

Вероятность ложноположительной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных записи голоса физических лиц, в отношении которых отсутствуют соответствующие векторы единой биометрической системы, при поиске предоставленных биометрических персональных данных одного физического лица по 1 миллиону векторов единой биометрической системы должна составлять не более 0,1.

Вероятность ложноотрицательной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных записи голоса физических лиц, в отношении которых созданы соответствующие векторы единой биометрической системы, при поиске предоставленных биометрических персональных данных одного физического лица по 1 миллиону векторов единой биометрической системы должна составлять не более 0,1.

Вероятность ошибки классификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных при атаке на единую биометрическую систему, информационную систему аккредитованного государственного органа, Центрального банка Российской Федерации в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц (далее - аккредитованные органы и организации), региональный сегмент единой биометрической системы как подлинных биометрических персональных данных должна составлять не более 0,01.

Вероятность ошибки классификации предоставленных государственным органом, органом местного самоуправления, Центральным банком Российской Федерации, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом подлинных биометрических персональных данных должна составлять не более 0,1.

Техническая оценка, проводимая оператором единой биометрической системы в соответствии с пунктом 4 настоящих Требований, для определения указанных в настоящем пункте вероятностей осуществляется в соответствии с программой и методикой испытаний, соответствующей:

разделам 6 - 10, приложениям B, C, D, E, F Национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 19795-1-2007 "Национальный стандарт Российской Федерации. Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 25 декабря 2008 г. N 403-ст <2>;

--------------------------------

<2> С изменением, внесенным приказом Федерального агентства по техническому регулированию и метрологии от 25 ноября 2021 г. N 1609-ст "Об утверждении изменения национального стандарта Российской Федерации".

разделам 6 - 8, приложениям B, D, E, F Национального стандарта Российской Федерации ГОСТ Р 58292-2018 (ИСО/МЭК 19795-2:2007) "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 2. Методы проведения технологического и сценарного испытаний", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2018 г. N 1049-ст <3>;

--------------------------------

<3> С изменением, внесенным приказом Федерального агентства по техническому регулированию и метрологии от 25 ноября 2021 г. N 1606-ст "Об утверждении изменения национального стандарта Российской Федерации".

разделам 3, 5 Национального стандарта Российской Федерации ГОСТ Р 58624.1-2019 (ИСО/МЭК 30107-1:2016) "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 31 октября 2019 г. N 850-ст <4>;

--------------------------------

<4> С изменением, внесенным приказом Федерального агентства по техническому регулированию и метрологии от 14 ноября 2022 г. N 1280-ст "Об утверждении изменения национального стандарта Российской Федерации".

разделам 6 - 12, приложению А Национального стандарта Российской Федерации ГОСТ Р 58624.3-2019 (ИСО/МЭК 30107-3:2017) "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2019 г. N 1197-ст <5>.

--------------------------------

<5> С изменением, внесенным приказом Федерального агентства по техническому регулированию и метрологии от 14 ноября 2022 г. N 1281-ст "Об утверждении изменения национального стандарта Российской Федерации".

4. Информационные технологии, предназначенные для обработки векторов единой биометрической системы, должны пройти техническую оценку на соответствие требованиям, установленным пунктами 3 и 5 настоящих Требований, проводимую оператором единой биометрической системы согласно положению о единой биометрической системе, в том числе о ее региональных сегментах, утверждаемым в соответствии с частью 3 статьи 3 Федерального закона N 572-ФЗ, путем проведения эксплуатационных испытаний.

Сведения об информационных технологиях, предназначенных для обработки векторов единой биометрической системы, успешно прошедших эксплуатационные испытания, с указанием возможных случаев использования таких информационных технологий размещаются на официальном сайте оператора единой биометрической системы. В случае использования аккредитованными органами и организациями, оператором регионального сегмента единой биометрической системы информационных технологий, предназначенных для обработки векторов единой биометрической системы, сведения о которых размещены на официальном сайте оператора единой биометрической системы, проведение повторных эксплуатационных испытаний таких информационных технологий не требуется, за исключением их применения в случаях, отличных от случаев, указанных на официальном сайте оператора единой биометрической системы, либо если с даты проведения эксплуатационных испытаний таких информационных технологий требования к эксплуатационным испытаниям были изменены.

Используемые в аккредитованных органах и организациях, региональном сегменте единой биометрической системы информационные технологии, предназначенные для обработки векторов единой биометрической системы, должны соответствовать информационным технологиям, которые прошли указанную в абзаце первом настоящего пункта техническую оценку и применятся в единой биометрической системе, а также обеспечивать совместимость векторов единой биометрической системы с информационными технологиями, применяемыми в единой биометрической системе.

5. Информационные технологии, предназначенные для обработки векторов единой биометрической системы, должны соответствовать следующим требованиям:

соответствие наименования, модели и типа информационных технологий наименованию, модели и типу информационных технологий, применяемым в единой биометрической системе;

тестирование API (программный интерфейс приложения) должно закончиться без ошибок согласно спецификации единой биометрической системы;

вероятность отказа биометрической регистрации на выборке не менее 30 тысяч биометрических персональных данных, содержащихся в единой биометрической системе, - не более 0,001.

6. В целях обеспечения подтверждения соответствия информационных технологий и технических средств требованиям, предусмотренным настоящими Требованиями, банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, размещающие биометрические персональные данные в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ, аккредитованные органы и организации, оператор регионального сегмента единой биометрической системы направляют в федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных (далее - уполномоченный орган) следующие сведения и документы:

документы, подтверждающие право на использование информационных технологий, предназначенных для обработки векторов единой биометрической системы, и технических средств, предназначенных для обработки изображения лица и записи голоса;

наименование, модель и тип технических средств, предназначенных для обработки изображения лица и записи голоса, а также эксплуатационные документы на указанные технические средства;

наименование, версию, модальность и планируемые случаи использования информационных технологий, предназначенных для обработки векторов единой биометрической системы;

протокол эксплуатационных испытаний информационных технологий, предназначенных для обработки векторов единой биометрической системы, проводимых в соответствии с пунктом 4 настоящих Требований.

Сведения и документы, предусмотренные настоящим пунктом, могут быть направлены на бумажном носителе или в виде электронного документа, подписанного усиленной квалифицированной электронной подписью банка, многофункционального центра предоставления государственных и муниципальных услуг, иной организации, размещающей биометрические персональные данные в единой биометрической системе, аккредитованного органа и организации, оператора регионального сегмента единой биометрической системы.

7. Подтверждение соответствия Требованиям к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения аутентификации (далее - подтверждение соответствия), осуществляется уполномоченным органом не позднее 60 календарных дней со дня получения документов и сведений, указанных в пункте 6 настоящих Требований.

8. Уполномоченный орган подтверждает соответствие информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, по форме, определенной в соответствии с пунктом 2 части 2 статьи 6 Федерального закона N 572-ФЗ.

Подтверждение соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, направляется уполномоченным органом в банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, размещающие биометрические персональные данные в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ, аккредитованные органы и организации, оператору регионального сегмента единой биометрической системы не позднее 3 дней со дня его подписания уполномоченным органом.

9. Основанием для принятия уполномоченным органом решения о несоответствии информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения аутентификации, настоящим Требованиям является несоответствие информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения аутентификации, хотя бы одному из требований, предусмотренных пунктами 1 - 3, 5 настоящих Требований.

Не позднее 3 дней с даты принятия решения о несоответствии информационных технологий и технических средств, указанного в абзаце первом настоящего пункта, уполномоченный орган направляет в банки, многофункциональные центры предоставления государственных и муниципальных услуг и иные организации, размещающие биометрические персональные данные в единой биометрической системе в соответствии с частью 1 статьи 4 Федерального закона N 572-ФЗ, аккредитованные органы и организации, оператору регионального сегмента единой биометрической системы уведомление о несоответствии информационных технологий и технических средств требованиям, предусмотренным настоящими Требованиями.