Приложение N 3
к приказу Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 10 сентября 2021 г. N 930
Требования
к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации
1. Требования к информационным технологиям и техническим средствам, предназначенным для обработки изображения лица в целях проведения идентификации:
а) для регистрации изображения лица необходимо использовать фото- или видеокамеру (далее - камера), эквивалентное фокусное расстояние которой должно составлять от 26,7 до 100 мм при расположении субъекта на расстоянии 0,3 - 1,0 м от камеры;
б) в целях обеспечения выполнения требований пункта 11 порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, определяемым федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации физических лиц на основе биометрических персональных данных, утвержденного настоящим приказом (далее - Порядок обработки), используются камеры со следующими характеристиками:
разрешение получаемого изображения: не менее 1280 х 720 пикселей;
наличие режима автоматической корректировки баланса белого цвета;
в) используемые источники освещения должны создавать в области лица освещенность:
для фото-, видеокамер без автоматической коррекции освещенности - не менее 300 лк;
для фото-, видеокамер с автоматической коррекцией освещенности - не менее 100 лк.
2. Требования к информационным технологиям и техническим средствам, предназначенным для обработки данных голоса в целях проведения идентификации:
а) для регистрации записи голоса необходимо использовать микрофон со следующими характеристиками:
тип: конденсаторный, без автоматической регулировки усиления;
отсутствие шумоподавления;
диапазон частот: не уже чем от 100 до 10000 Гц;
б) в целях обеспечения выполнения требований пункта 12 Порядка обработки используются микрофоны со следующими характеристиками:
соотношение сигнал/шум: не менее 58 дБ;
чувствительность: не менее 30 дБ или не менее 60 дБ при отсутствии нелинейных искажений амплитудно-частотных характеристик микрофона в диапазоне от 100 до 5000 Гц, превышающих отклонение более чем на 7 дБ;
форма диаграммы направленности: суперкардиоида или гиперкардиоида.
3. Вероятность ложного совпадения предоставленных государственным органом, органом местного самоуправления, кредитной организацией, некредитной финансовой организацией, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2021, N 24, ст. 4210) виды деятельности, субъектом национальной платежной системы (далее - организации финансового рынка), иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица указанным биометрическим персональным данным физического лица, содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных при сравнении один к одному, достаточная для проведения идентификации физического лица, должна составлять не более 0,0001.
Вероятность ложного совпадения предоставленных государственным органом, органом местного самоуправления, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных голоса указанным биометрическим персональным данным физического лица, содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных при сравнении один к одному, достаточная для проведения идентификации физического лица, должна составлять не более 0,1.
Вероятность ложноположительной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных изображения лица указанным биометрическим персональным данным физического лица, содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных при сравнении один ко многим, достаточная для проведения идентификации физического лица, должна составлять не более 0,0001.
Вероятность ложноположительной биометрической идентификации предоставленных государственным органом, органом местного самоуправления, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных голоса указанным биометрическим персональным данным физического лица, содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных при сравнении один ко многим, достаточная для проведения идентификации физического лица, должна составлять не более 0,1.
Вероятность ошибки классификации предоставленных государственным органом, органом местного самоуправления, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных при атаке на информационные системы, обеспечивающие идентификацию и (или) аутентификацию с использованием биометрических персональных данных, достаточная для проведения идентификации физического лица, должна составлять не более 0,01.
Проверка предоставляемых государственным органом, органом местного самоуправления, организацией финансового рынка, иной организацией, индивидуальным предпринимателем, нотариусом биометрических персональных данных на наличие атаки на биометрическое предъявление осуществляется в автоматизированном режиме с использованием соответствующего программного обеспечения, обеспечивающего мультиалгоритмическое обнаружение атак на биометрическое предъявление с использованием не менее двух однотипных алгоритмов обнаружения атаки на биометрическое предъявление.
Количество однотипных алгоритмов обнаружения атаки на биометрическое предъявление, используемых в информационной системе, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных, в рамках каждой попытки идентификации должно быть не менее двух.
4. Организации финансового рынка при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденном# приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 г. 882-ст (Москва, ФГУП "Стандартинформ", 2017).