Утверждена

приказом Министерства цифрового развития,

связи и массовых коммуникаций

Российской Федерации

от 06.08.2021 N 816

МЕТОДИКА
ПРОВЕРКИ СООТВЕТСТВИЯ ПРЕДОСТАВЛЕННЫХ БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКОГО ЛИЦА ЕГО БИОМЕТРИЧЕСКИМ
ПЕРСОНАЛЬНЫМ ДАННЫМ, СОДЕРЖАЩИМСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ,
ОБЕСПЕЧИВАЮЩИХ ИДЕНТИФИКАЦИЮ И (ИЛИ) АУТЕНТИФИКАЦИЮ
С ИСПОЛЬЗОВАНИЕМ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ПРИ КОТОРОЙ ОСУЩЕСТВЛЯЕТСЯ ПОИСК ПРЕДОСТАВЛЕННЫХ
БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОДНОГО ФИЗИЧЕСКОГО
ЛИЦА ПО БИОМЕТРИЧЕСКИМ ПЕРСОНАЛЬНЫМ ДАННЫМ, СОДЕРЖАЩИМСЯ
В УКАЗАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ, БОЛЕЕ ЧЕМ ОДНОГО
ФИЗИЧЕСКОГО ЛИЦА

1. Методика проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных, при которой осуществляется поиск предоставленных биометрических персональных данных одного физического лица по биометрическим персональным данным, содержащимся в указанных информационных системах, более чем одного физического лица (далее - Методика), применяется в отношении биометрических персональных данных, используемых в соответствии с частями 18, 18.2, 18.14, 18.17, 18.18 и 18.20 статьи 14.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Федеральный закон N 149-ФЗ), при проверке соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных, а также расчете степени взаимного соответствия указанных биометрических персональных данных.

2. Методика применяется с учетом пункта 8.4.3 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 19795-1-2007 "Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура.", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 25 декабря 2007 г. N 403-ст "Об утверждении национального стандарта" (М., Стандартинформ, 2009), пункта 12.2.2 национального стандарта Российской Федерации ГОСТ Р 58624.3-2019 "Информационные технологии (ИТ). Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 20 ноября 2019 г. N 1197-ст "Об утверждении национального стандарта" (М., Стандартинформ, 2019).

3. Данные о степени взаимного соответствия биометрических персональных данных в отношении биометрических персональных данных, используемых в соответствии с частями 18 и 18.14 статьей 14.1 Федерального закона N 149-ФЗ, представляются оператором единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, только в случае, если значение степени взаимного соответствия биометрических персональных данных не ниже установленного настоящим приказом.

4. В целях принятия решения о соответствии предоставленных биометрических персональных данных физического лица биометрическим персональным данным физических лиц, содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных, определяется степень взаимного соответствия указанных данных (P), рассчитываемая как:

где - произведение для всех i от 1 до n;

- произведение для всех j от 1 до m;

- доля предоставленных государственным органом, банком и иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных физических лиц, биометрические персональные данные которых не содержатся в информационной системе, каждой из n-модальностей, используемых в информационной системе, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных, которые ошибочно признаны совпадающими с указанными биометрическими персональными данными, содержащимися в информационной системе, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных;

- доля предоставленных государственным органом, банком и иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных каждой из m-модальностей или для каждого независимого унимодального и (или) мультимодального алгоритмов, используемых для обнаружения атаки на биометрическое предъявление в информационной системе, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных, при атаке на данную информационную систему, которые ошибочно признаны подлинными биометрическими персональными данными;

n - количество независимых модальностей, используемых в информационной системе, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных;

m - количество независимых модальностей или независимых унимодальных и (или) мультимодальных алгоритмов, используемых в информационной системе, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных, для обнаружения атаки на биометрическое предъявление.

5. Вероятность ложноположительной биометрической идентификации () предоставленных государственным органом, банком и иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных, определяется как минимальное значение вероятности ложноположительной биометрической идентификации, при которой соответствующая ей вероятность ложноотрицательной биометрической идентификации () не превышает порогового значения вероятности ложноотрицательной биометрической идентификации.

Вероятность ошибки классификации () предоставленных государственным органом, банком и иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных при атаке на информационную систему, обеспечивающую идентификацию и (или) аутентификацию с использованием биометрических персональных данных, определяется как минимальное значение вероятности ошибки классификации биометрических персональных данных при атаке, при котором соответствующая ей вероятность ошибки классификации подлинных биометрических персональных данных () не превышает порогового значения вероятности ошибки классификации подлинных биометрических персональных данных.

6. Вероятность ложноотрицательной биометрической идентификации предоставленных государственным органом, банком и иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных определяется как доля предоставленных государственным органом, банком и иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных физического лица, биометрические персональные данные которого содержатся в информационной системе, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных, которые ошибочно признаны несовпадающими с указанными биометрическими персональными данными идентифицируемого или аутентифицируемого физического лица, содержащимися в информационной системе, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных.

Вероятность ошибки классификации предоставленных государственным органом, банком и иной организацией, индивидуальным предпринимателем, нотариусом подлинных биометрических персональных данных определяется как доля предоставленных государственным органом, банком и иной организацией, индивидуальным предпринимателем, нотариусом подлинных биометрических персональных данных, которые ошибочно признаны атаками на информационные системы, обеспечивающие идентификацию и (или) аутентификацию с использованием биометрических персональных данных.