среда, 14 декабря 2011 г.

еще пару слов про биофото и фз-152

что-то вроде вступления:
этот пост изначально был написан как комментарий к посту в другом блоге
http://emeliyannikov.blogspot.com/2011/12/blog-post_12.html
но подумал что пусть у меня тоже в кои-то веки будет запись в моем бложике.
хотелось бы отметить, что для лучшего восприятия написанного далее рекомендуется перед прочтением ознакомиться с упомянутым постом М.Ю. Емельянникова (который бесспорно является одним из самых авторитетных и уважаемых экспертов в отечественной отрасли ИБ).

итак, обсуждается тема, считать ли обычное фото биометрическими персональными данными согласно новому фз-152 от июля 2011.

мои аргументы просты:
у нас есть два вида загранпаспортов: обычный и биометрический. они оба содержат изображения владельца и с них можно снимать ксерокопии и делать сканы, но в чем разница между ними?
разница в том, что один содержит биометрические персональные данные, а другой нет.
Постановление правительства РФ №125 от 4 марта 2010 говорит:
Перечень персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина РФ, по которым граждане осуществляют выезд из РФ и въезд в РФ:

1. Номер документа
2. Фамилия и имя владельца документа
3. Гражданство владельца документа
4. Дата рождения владельца документа
5. Пол владельца документа
6. Цветное цифровое фотографическое изображение лица владельца документа (биометрические персональные данные владельца документа)

ей-богу, прямо так и говорит, пруф тут:
http://www.rg.ru/printable/2010/03/10/passport-dok.html

отметим, что это самое "цифровое фотографическое изображение", которое делает загран биометрическим, сделано по тому самому ГОСТу Р ИСО/МЭК 19794-5-2006, который фигурирует во всех подобных дискуссиях

окей, допустим, поправки в фз-152 вышли позднее данного ПП и могли якобы в законодательстве все переделать и ввести новые нормы по этой теме.
тогда, если теперь считать биометрическими персональными данными обычное фото в паспорте, то по такой логике, обычный загран автоматически становится биометрическим, как содержащий фото.
но он ведь таким не становится, ага.

это первое, что я хотел сказать.
теперь второе.

когда речь идет об обработке только ФИО, все мы знаем, что могут быть полные тезки, следовательно можно не беспокоиться за возможность идентификации или установления личности только по ФИО.
но помимо тезок на свете ведь есть также близнецы, двойники, латексные маски и просто грим в конце концов - почему в таких условиях утверждается, что можно идентифицировать кого-либо по фото?
конечно же нельзя.
даже в компромате говорят "Человек, Похожий На Генерального Прокурора".

таким образом резюмируя,
1. копия паспорта и т.д. конечно же не есть биометрические персональные данные.
2. СКУД работает автоматически, там фото для идентификации и не используется, я прекрасно прохожу по токену с рфид-меткой без фото.
3. пропуск используется только для сличения предъявителя с предъявленной им карточкой, то есть по сути для аутентификации. в этом случае двойник, близнец и подобные пройдут, охрана даже не заподозрит ничего и не сможет никак идентифицировать их по фото и сказать: "мол дескать, куда же вы спиридон михалыч пытаетесь пройти под видом василия никифырыча? не пущу!"
4. в личных делах и справочниках сотрудников фото используется тоже не для идентификации, а просто как информация, "позволяющая получить дополнительные сведения" о субъекте.

ну вот вкратце и все, что я хотел сказать.
особо ничего нового не сказал, и возможно каждый останется при своем мнении, но возможно кому-нибудь будет полезно в работе на пути соответствия нашему любимому закону.
спасибо что дочитали до конца.

p.s.
ах, да. вот еще кстати любопытная новость про фейл с биометрическими загранпаспортами:
http://turist.rbc.ru/article/08/12/2011/254909.print