18 подписчиков
Идентификация абитуриентов/студентов с использованием камеры устройства видеосвязи.
Мнение Минцифры.
Минцифры сообщило, что
"предъявление документа, удостоверяющего личность физического лица, с использованием камеры устройства видеосвязи, а также использование СМС-кода не могут в полной мере обеспечить безопасность и достоверность идентификации и (или) аутентификации обучающихся"
Полная мера безопасности и достоверности не обеспечивается, по-мнению Минцифры, следующими факторами:
⛔️ невозможность проверки достоверности предъявляемого документа, удостоверяющего личность физического лица;
⛔️ вероятность подмены фотографии или персональных данных в документе, удостоверяющем личность физического лица;
⛔️ возможность утечки ПДн ввиду отсутствия требований к защите информации в используемых информационных системах;
⛔️ отсутствие защиты от трансграничной передачи ПДн;
⛔️ возможность подмены изображения;
⛔️ возможность передачи сотового телефона и перехвата трафика подвижной радиотелефонной связи.
Данные факторы были выявлены Министерством при проведении анализа альтернативных способов идентификации и (или) аутентификации обучающегося, в том числе путем предъявления документа, удостоверяющего личность физического лица с использованием камеры устройства видеосвязи, а также использования одноразового кода подтверждения, направленного в виде короткого текстового сообщения на абонентский номер подвижной радиотелефонной связи.
Минцифры при этом указывает, что ВУЗы вправе "осуществлять идентификацию и аутентификацию обучающихся с использованием единой системы идентификации и аутентификации (далее - ЕСИА) и единой биометрической системы (далее - ГИС ЕБС) и получать из ЕСИА сведения о фамилии, имени, отчестве (при наличии) и идентификаторе учетной записи ЕСИА".
Для этого должны обеспечить взаимодействие своих информационных систем с ГИС ЕБС с учетом необходимости соблюдения требований по информационной безопасности при обработке биометрических персональных данных, утвержденных приказом Минцифры России от 5 мая 2023 г. N 445.
Цена такого взаимодействия для бюджета ВУЗа - вопрос отдельный.
Возможно, Министерство полагает, что при использовании ГИС ЕБС ничего подменить, утечь, перехватить невозможно.
На площадке каких ВУЗов (и каких ИС) Министерство проводило анализ, в письме, к сожалению не указывается. Хотя техническая информация результатов анализа была бы очень полезна айтишникам и программистам ВУЗов, чем просто констатация отсутствия "полной меры" безопасности и достоверности.
Отметим, что самостоятельную идентификацию/аутентификацию с использованием ИС организаций на основании биометрии ВУЗы проводить не вправе (Постановление Правительства РФ от 25.05.2023 N 815).
Также есть небольшой нюанс: в российские ВУЗы иногда поступают иностранцы и лица без гражданства, никогда в Россию не въезжавшие, не имеющие подтверждённой учётки, в ГИС ЕБС и ЕСИА не содержащихся...
Таких иностранцев можно, конечно, направить в путешествие по ГИСам России во избежание всякой трансграницы и прочего... Но может, лучше (и дешевле) воспользоваться камерой устройства видеосвязи...?
2 минуты
2 августа 2024