Консорциум компаний IT-отрасли, к которому примкнули Adobe, Microsoft, Intel, Twitter, Sony, Nikon, BBC и Arm, намеревается в ближайшие годы внедрить стандарт подтверждения подлинности фотографий и видеоматериалов, который предотвратит распространение ложной информации в глобальной сети. Некоторые подробности тут

Об идентификации, аутентификации и авторизации

Вчера на конференции в ходе 8 сессии по вопросам идентификации, аутентификации и применении ЭП между представителем одного из банков и одного из вендоров произошел небольшой спор по терминологии - что считать идентификацией и аутентификацией.

Представитель банка говорил об идентификации заявителя в контексте пункта 1 статьи 18 63-ФЗ, а представитель вендора в контексте сущности данных терминов.

Наш канал считает, что термин "идентификация" в 63-ФЗ используется некорректно, т.к. по факту осуществляется аутентификация заявителей.

Небольшая матчасть. В 149-ФЗ термины введены Федеральным законом от 29.12.2020 № 479-ФЗ:
21) идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица (далее - идентификатор);
22) аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором (идентификаторами) посредством использования аутентифицирующего (аутентифицирующих) признака (признаков) в рамках процедуры аутентификации, в результате чего лицо считается установленным.

А в 63-ФЗ термин идентификации введен на год раньше - Федеральным законом от 27.12.2019 № 476-ФЗ.
Далее обратимся к ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения":
Идентификация: Действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.

Таким образом, идентификацией можно считать предположение о том, кем является заявитель, а аутентификация позволяет понять является ли истинной данное предположение.

Примеры из жизни, когда вы прикладываете свою банковскую карту к терминалу, вы как бы утверждаете, что являетесь тем человеком, чьё имя указано на карте (проходите идентификацию). Аутентификация же будет пройдена после ввода запрошенного системой pin-кода, этим вы доказываете, что являетесь действительно тем человеком, чьё имя указано на карте.

Когда в жизни мы показываем паспорт для проверки личности (например, когда едем в поезде) мы как-бы говорим, что паспорт подлинный и данные в нём верны. Контролер просто не может аутентифицировать документ не имея доступа к системам, позволяющим проверить его подлинность (УЦ такой доступ имеют, посредством сервиса МВД в СМЭВ). Для прохождения аутентификации (проверки истинности заявления об идентичности) всегда требуется предоставить фактор аутентификации - pin-код (что вы знаете), биометрию (кем вы являетесь), ключ электронной подписи (что у вас есть). Ещё аутентификацию называют многофакторной, если используется два и более факторов (например, биометрия и пароль от ЕСИА).

Аутентификация не определяет, что разрешено делать прошедшему её пользователю, за это отвечает - авторизация (санкционирование доступа): Предоставление субъекту доступа прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом.

Министерство цифрового развития Киргизии предлагает сделать регистрацию мобильных телефонов и планшетов обязательной и платной — по 700 сомов (около 700 рублей) за каждое устройство. Все попавшие на территорию республики мобильные устройства связи должны быть зарегистрированы в государственной системе идентификации в течение 30 календарных дней с момента первой активности.

Госдума одобрила во втором чтении два законопроекта о защите сведений о россиянах. Во-первых, запрещается необоснованный сбор персональных данных. А во-вторых, вводится запрет для российских банков направлять недружественным странам сведения о клиентах и совершаемых ими операциях.

IT-стартап Seon привлек $94 млн на разработку инструментов против обхода антироссийский санкций в финансовом секторе. В частности, программное обеспечение, созданное стартапом, анализирует адрес электронной почты, номер телефона и другие данные клиента, чтобы создать «цифровой след» и затем проверить эту информацию на подлинность.

💡Публикую свою презентацию "Способы легализации обработки персональных данных в контексте трудовых и связанных с ними отношений":
🔹Согласие работника как безальтернативный (базовый) способ легализации обработки ПД в трудовых отношениях
🔹Согласие на обработку ПД и его модель
🔹Аргументы «за» и «против» существующей модели легализации обработки ПД работников на базе СОПД
🔹Легализация обработки ПД работников без СОПД: 152-ФЗ и ТК РФ
🔹Легализация обработки ПД работников без СОПД: разъяснения отраслевого регулятора и надзорного органа
🔹Судебная практика об обработке ПД работников без СОПД и при наличии СОПД с избыточными положениями
🔹Европейский опыт: СОПД работника не может рассматриваться как свободно данное из-за явного дисбаланса между сторонами
🔹Аргументы «за» и «против» перспективной модели легализации обработки ПД работников на базе связки из трудового договора и ЛНА работодателя
🔹Гибридная модель легализации обработки ПД в контексте трудовых и связанных с ними отношений

Подростки с 14 лет могут получить право давать согласие на обработку своих персональных данных в случае, если это необходимо для их работы. Такой законопроект планируют рассмотреть на пленарных заседаниях Госдумы в весеннюю сессию.

Сейчас в СФ РФ идёт Круглый стол «Совершенствование законодательного регулирования обработки биометрических персональных данных. Зампредседателя комитета СФ по экономической политике Константин Долгов разносит директора департамента развития технологий цифровой идентификации Минцифры Дубынина. Вопрос— отсутствие приоритета для отечественного оборудования для биометрии. Дубынин говорит, что типа Банки , которые собирают биометрию , коммерческие, и он над ними не властен.
А ЦБ (Выборнов) говорит, что замена оборудования биометрии на отечественное может быть, но главный приоритет — доступность и непрерывностью банковских и финансовых услуг

Все началось с выступления Данилы Николаева - директора НК «Биометрическое общество». Он назвал много прорех в регулировании.
🔺 Регулируется не вся биометрия, а только отпечатки пальцев, лицо, текстозависимый голос, геном.
🔺новая система аккредитации операторов (постановление 1799) несовершенна - 50 млн при наступлении риска может не хватить.
🔺для аккредитации не требуется подтверждается соответствие технических характеристик и надежности
🔺 50 млн - слишком большая сумма для ФОИВ
🔺большие проблемы с приложением для сдачи биометрии самостоятельно и вообще пользования ЕБС. По закону сам пользователь смартфона несёт ответственность за сохранность логина-пароля. А он не может ее обеспечить - взлом стоит 1-5 тысяч рублей.
🔺 главное — у отечественных систем нет приоритета при закупках для ЕБС и других биометрических систем (де-факто)

Ещё из предложений Круглого стола:
* мобильный абонентский терминал не является доверенным устройством. Сбор биометрии со смартфонов надо запретить (Белова Светлана, IDX);
* мы создаём цифровых двойников. Главное, чтобы не появились цифровые изгои, лишенные прав, потому что не хотят пользоваться биометрией (и вообще цифровыми сервисами). Ямалов Ирек (СФ РФ)
* надо рассмотреть изменяемость биометрии (в случае компрометациям). Смирнов Михаил (Infowatch)

Госдума приняла в третьем чтении закон, направленный на защиту прав потребителей, который пресекает необоснованный сбор персональных данных, а также запрещает включать в договора условия, навязывающие дополнительные товары или услуги.
Теперь, если потребитель отказался предоставить свои персональные данные, продавцы, исполнители и владельцы агрегаторов не имеют права отказать ему в заключении и исполнении договора. Исключением являются случаи, предусмотренные законодательством или исполнением этого договора. В случае отказа потребитель вправе потребовать объяснить причину и правовые основания.
Закон должен вступить в силу с 1 сентября 2022 года.

Hyundai планирует внедрить в системы автомобильной безопасности сканер сетчатки глаза.
Система сканирования сетчатки будет использоваться для подтверждения личности водителя. Электроника сможет автономно регулировать условия, в которых происходит идентификация. К примеру, она сможет распознавать солнцезащитные очки на лице, в этом случае система потребует их снять, а также автоматически корректировать освещение во время сканирование или регулировать положение рулевого колеса, если оно препятствует обзору.
После успешной идентификации система разблокирует доступ к запуску мотора и автоматически применит индивидуальные настройки.

Опубликован доработанный по итогам общественного обсуждения законопроект о регистрации корпоративных SIM-карт. Документ, в частности, устанавливает максимальное количество SIM-карт, зарегистрированных на одного корпоративного клиента. Отмечается, что их должно быть не больше ста на одного сотрудника. Текст проекта тут

Можно ли в текущих условиях продолжать работу с иностранными контрагентами? Какие нюансы необходимо соблюсти? Обо всем этом поговорим с экспертами в прямом эфире.

📌 26 апреля (вторник) в 12:00 приглашаем вас на вебинар «Что делать, если контрагент попал под санкции?».

В прямом эфире обсудим:
✅ как избежать рисков санкционного сотрудничества;
✅ что делать, если российский партнер попал под санкции;
✅ как исполнить обязательства перед иностранным контрагентом;
✅ какие меры предпринимать перед заключением нового договора с партнером.

Кто проводит вебинар:
СберКорус — цифровая платформа для компаний и физических лиц. С 2004 года трансформирует бизнес-процессы в цифру.

➡️ Регистрация на вебинар: https://clck.ru/frWvF

Вы заняты и не можете участвовать в вебинаре онлайн? Оставьте контакты по ссылке. Сразу после вебинара мы пришлём вам ссылку на запись.

В России планируют вместо нескольких реестров иностранных агентов создать единый. Законопроект «О контроле за деятельностью лиц, находящихся под иностранным влиянием» обсуждают в Госдуме

⚡️ «Минцифры прорабатывает возможность создания облачного решения для вузов, которое обеспечит типовые сервисы. Это будет продолжение сервиса приема, ведения реестра студентов, электронной зачетки и т.д.», — замглавы Минцифры Олег Качанов.

#ОткрытыйРазговор

@mintsifry

Какой уровень аутентификации достаточен для применения в кредитно-финансовой сфере? Репортаж с круглого стола «Вопросы идентификации, аутентификации и применения электронной подписи сторонами банковского взаимодействия»

В Москве в мае планируется запустить тест-драйв системы Face Pay (оплаты проезда «лицом») на наземном городском пассажирском транспорте. В первую фокус-группу войдут 100 человек. Набор запланирован на конец апреля – о нём сообщат дополнительно.

Мировой суд Замоскворецкого района Москвы назначил штраф в размере 60 тыс. рублей сервису "Яндекс.Еда" за утечку данных пользователей в открытый доступ в интернете. Сумма смеховторная, поэтому некоторые пользователи все-таки хотят большего, и подали свои иски на компенсацию морального вреда. НО его перспективы ничтожны

Как установить ваши паспортные данные по простому платежному чеку банка? При платежах за госуслуги — элементарно.