30.09.2025 07:21
saprykinav 1 1200 Источник

Начнем с определений трех государственных информационных систем, понимание работы которых нам понадобиться по ходу этой статьи:

СМЭВ (Система Межведомственного Электронного Взаимодействия):

Система, как следуется из ее названия, нужна для связи определенных организаций друг с другом, служит неким "Хабом".

Работает по "Видам сведений", это по сути пакет передаваемый из одной системы в другую. Организации, желающие зарегистрировать Биометрический Образец (БО) - делают это через СМЭВ, отправляя соответствующий "Вид сведений".

СМЭВ построена на базе Криптосети: Континент, VipNet, S-Terra. Организация желающая подключиться к Криптосети СМЭВ, приобретает соответствующее оборудование и получает шлюз к Криптосети СМЭВ.

Важно, что подключение к Криптосети, еще не означает получение доступа к "Видам сведений".

ЕСИА (Единая Система Идентификации и Аутентификации):

По сути это большое хранилище Персональных Данных (ПДн), кроме Биометрических. Все что находиться в вашем профиле "Госуслуг" фактически есть в ЕСИА.

ЕБС (Единая Биометрическая Система):

Хранилище Биометрических Образцов (БО). БО в данном случае, это фото лица и запись голоса. По закону на данный момент, ЕБС - единственное место, где БО этих двух форм могут храниться. Важно - не любые фото и не любые записи голоса должны храниться в ЕБС, а только те, которые предназначены для проведения автоматизированной Идентификации или Аутентификации.

Предположим, что охранник сидит на посту и сверяет фото с пропуска с вашим лицом - действительно ли это ваш пропуск, это неавтоматизированная обработка Биометрических Данных. А теперь представим такую же ситуацию, но вместо охранника ваше лицо с фото на пропуске теперь будет сверять нейросеть, это будет считаться автоматизированной обработкой биометрических данных и такая процедура без использования ЕБС запрещена законом.

Фактически в ЕБС хранятся - Фото, Голос и OID (Идентификатор человека в ЕСИА)

ЕБС и ее сервисы

1 - Регистрация Биометрических Образцов

Регистрация - это создание соответствующей записи в ЕБС, для человека имеющего запись в ЕСИА. Зарегистрированные БО так же различаются по уровню доверия, в зависимости от способа регистрации.
Регистрация возможна тремя способами:

  • Самостоятельно с помощью приложения "Госуслуги Биометрия". По уровню доверия это самый низший уровень биометрии.

  • Так же через приложение, но с использованием Загранпаспорта чипом. Уровень такой биометрии считается стандартным.

  • Регистрация через отделение банка (Любого), такая биометрия считается усиленной.

Для взаимодействия сети банка с ЕБС для регистрации БО используется ТИБ (Типовое решение Информационной Безопасности). Собранные БО собираются в пакеты "Видов сведений" СМЭВ, подписываются с помощью ТИБ и далее отправляются в СМЭВ.

Процесс регистрации БО через ТИБ
Процесс регистрации БО через ТИБ

АРМ Биометрия - Веб сервер, используемый для регистрации БО операторами. При регистрации оператор вводит паспортные данные пользователя, АРМ Биометрия через СМЭВ отправляет запрос в ЕСИА на поиск учетной записи этого пользователя, либо если учетной записи нет, то с помощью АРМ Биометрия производится регистрация. Все запросы оператора в АРМ Биометрия, подписываются с помощью ТИБ и только после этого переходят в СМЭВ. Далее оператор собирает БО - Фото и запись голоса, АРМ Биометрия формирует пакет СМЭВ, отправляет в ТИБ, далее ТИБ отправляет уже подписанный запрос в СМЭВ.

Все взаимодействия с ЕБС, ЕСИА и СМЭВ строится по асинхронной схеме:

Этап 1
Этап 1

В рамках первой TCP сессии ИС отправляет запрос в ЕСИА - "Find", ЕСИА получив этот запрос отправляет "200 ОК", без каких либо полезных данных в ответе. После этого, данные некоторое время обрабатываются внутри системы ЕСИА.

Этап 2
Этап 2

Обработав информацию, ЕСИА в рамках новой TCP сессии отправляет ответ "Result", на который ИС обязательно должна ответить "200 ОК". Не смотря на то что запрос и результат представлены в разных TCP сессиях - они обязательно должны быть обработаны на одном и том же Сервере.

Услугу регистрации БО обязаны предоставлять все банки, во всех своих клиентских отделениях.

2 - Удаленная биометрическая Идентификация

Это процесс распознавания человека по его Биометрическим данным, с целью его Идентификации и предоставления ему определенных услуг. В первую очередь используется для дистанционного открытия счетов, выпуска ЭЦП и для оформления eSIM.

Предполагается, что человек пришедший "с улицы", о котом организация ранее ничего не знала, который так же не является клиентом этого банка, ранее с ним никак не взаимодействовал, заходит на сайт или в приложение банка где проходит удаленную биометрическую идентификацию. По результатам идентификации банк получает ПДн этого человека и имеет биометрическое подтверждение того что эти ПДн принадлежат именно ему.

ДБО (Дистанционное Банковское Обслуживание) - Это класс программных продуктов, которыми пользуются банки, для предоставления услуг своим клиентам.

Этап 1
Этап 1

1 - Человек заходит на сайт банка и нажимает "Хочу стать клиентом"

2 - ДБО формирует запрос, который содержит в себе:

  • SID - Идентификатор сессии, сгенерированный ДБО.

  • DBO_uri - Адрес, на который ДБО будет ждать результатов идентификации.

  • DBO_public_uri - Внешний адрес, на который по результату процедуры необходимо вернуть пользователя.

3 - ТИБ сохраняет в базе полученный запрос и отправляет ответ, содержащий URL TLS-Шлюза.

4 - ДБО редиректит человека пришедшего на сайт по полученному URL.

Этап 2
Этап 2

5, 6 - ТИБ отправляет запрос в ЕСИА о том, что собирается прислать пользователя от определенной системы. ЕСИА ожидает пользователя

7 - ТИБ отдает пользователю новый редирект URL

8 - Пользователь по URL отправляется в ЕСИА

Все это взаимодействие невидимо для пользователя. После того как пользователь попадает в ЕСИА, у него открывается соответствующее окно "Госуслуг" с предложением ввести свой логин\пароль.

Этап 3
Этап 3

9 - После успешного лигина в ЕСИА, пользователя редиректят обратно на TLS-шлюз ТИБ

10, 11 - От ЕСИА в ТИБ приходит ответ о том что пользователь приходил, и был успешно распознан

12, 13 - ТИБ уведомляет ЕБС о том что сейчас перенаправит туда пользователя

14, 15 - Пользователь редиректится на страницу ЕБС, в которой предоставляет свои биометрические данные

16, 17 - ЕБС сигнализирует о том что все ОК

18 - ЕСИА отправляет в ТИБ ПДн пользователя

19 - ЕБС отправляет в ТИБ процент соответствия, на сколько предъявленный БО соответствует зарегистрированному в ЕБС

20 - ТИБ генерирует JWT токен успешной идентификации

21 - ТИБ отправляет на ДБО uri сгенерированный JWT, процент соответствия и ПДн
22 - ДБО отправляет подтверждение получения

23 - После полученного подтверждения, ТИБ редиректит пользователя на ДБО pulic uri и сопровождает его таким же JWT

ДБО по JWT токену определяет что на шаге 23 пришел человек с ранее полученными ПДн и что эти ПДн подтверждены на определенный процент.

В соответствии с законом этот процент должен быть не менее 99,99%.

3 - Коммерческие Биометрические Системы (Вектора)

Вектор в векторной базе данных (vector database) — это числовое представление объекта или элемента. Вместо привычных структурированных записей, как в реляционных базах (SQL), векторные БД хранят объекты в виде векторов. (Спасибо Яндекс Алиса)

Простыми словами - Фото человека хранится не в привычном формате, а в специальном векторном представлении как число, из которого невозможно обратно восстановить исходную фотографию. Сам процесс биометрической верификации представляет собой сравнение векторов - эталонного образца с новым Биометрическим образцом.

Существует множество технологий с помощью которых можно получать эти вектора, часть из них уже зарегистрирована в ЕБС. Если какая-либо компания хочет в своей коммерческой биометрической системе использовать собственную технологию, она должна сначала эту технологию зарегистрировать в ЕБС.

Коммерческая Биометрическая Система (КБС) - Такой статус позволяет частным компаниям хранить локально у себя на территории вектора, загруженные из ЕБС. ЕБС берет плату за каждый обработанный запрос к их Базе Данных векторов. В ситуации, когда у тебя на территории тысячи сотрудников, ходящих через проходную несколько раз в день, гораздо выгоднее единоразово загрузить их вектора, а не платить за каждый проход каждого из сотрудников. Так как организация хранит у себя только вектора, из которых невозможно восстановить исходные Биометрические Данные, то они могут проводить верификацию, но в тоже время не хранят у себя биометрию.

IDP

Любая организация желающая начать взаимодействие с ЕБС по этому сервису, а так же по сервисам 4 и 5 должна зарегистрировать в ЕБС параметр IDP (Идентификатор Организации).
Изобразим базу ЕБС:

В базе хранятся фотографии людей, связанные с табличкой. Сама табличка состоит из IDP и User_id. Как выяснили ранее - IDP это идентификатор конкретной организации, а user_id это номер пользователя, уникальный в рамках организации.

Предположим, что компания "Ромашка" захотела для своей КБС получить вектора изображенных выше пользователей. В первую очередь, компания должно провести регистрацию этих людей в своем IDP (Специальным запросом Reg Without Bio).

Регистрация в ЕБС без биометрии
Регистрация в ЕБС без биометрии

1, 2 - Запрос регистрации, содержащий: OID (Идентификатор человека в ЕСИА), IDP организации, User_id (Идентификатор человека во внутренней базе организации).

3, 4 - Ответ 200 Ок

5, 6 - После успешной регистрации, ЕБС отправляет запрос Registration (Уведомление о регистрации пользователя).

7, 8 - ЕБС отправляет запрос Matching

Результат регистрации
Результат регистрации

Ответы ЕБС 5 - 8 уведомляют организацию о том, что в базе ЕБС успешно добавились новые IDP и User_id к фотографиям пользователей.

Важно! ЕБС будет отправлять ответы об успешной регистрации до тех пор, пока ИС КА не отправит ответ 200 ОК на каждый ответ, что потенциально может перегрузить систему в сценариях, когда сервер отправил пачку запросов и вырубился.

4 - Биометрическая Идентификация

В случае идентификации, мы задаем ЕБС вопрос - "Кому принадлежит этот Биометрический Образец?"

Этап 1
Этап 1

1 - Камера зафиксировала лицо человека

2 - Сенсор сигнализирует об этой информации в серверную часть

3 - Сервер отправляет запрос в ТИБ, запрос содержит SID, IDP

4 - ТИБ отправляет запрос в ЕБС

5 - ЕБС в ответ передает URL

6 - ТИБ передает URL в биометрический терминал

7 - Биометрический терминал должен иметь возможность выйти в интернет, чтобы обратиться к полученному URL по ГОСТ TLS и приложить фотографию (Да-да, вам придется выпустить камеру в интернет, это требование к системе).

Этап 2
Этап 2

1 - ЕБС отправляет токен в ответ на полученное фото.

2 - Камера через своей сервер передает полученный токен в ТИБ.

3 - ТИБ идет в ЕБС за расширенным результатом идентификации, используя полученный токен.

4 - ЕБС сравнивает полученный от камеры Биометрический образец со всеми Биометрическими образцами, зарегистрированными по IDP компании. ЕБС отправляет extended result (Данный Биометрический Образец с такой-то вероятностью принадлежит такому-то User_id).

5 - ТИБ передает User_id и процент соответствия на сервер СКУД.

6 - Сервер СКУД делает запрос в Систему Компании, проверяет что это за User_id, разрешен ли ему доступ через этот СКУД в это время.

7 - Система компании отвечает на запрос СКУД.

Комментарии (1)


  1. vis_inet
    30.09.2025 16:32
    #28902128

    Скажите, что делать человеку в случае утечки его биометрических данных?