ПНСТ 543-2021
(ISO/IEC TR 29196:2018)

ПРЕДВАРИТЕЛЬНЫЙ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

БИОМЕТРИЯ

Руководство по биометрической регистрации

Information technology. Biometrics. Guidance for biometric enrolment

ОКС 35.240.15

Срок действия с 2021-09-01
до 2024-09-01

Предисловие

1 ПОДГОТОВЛЕН Акционерным обществом "Всероссийский научно-исследовательский институт сертификации" (АО "ВНИИС") и Некоммерческим партнерством "Русское общество содействия развитию биометрических технологий, систем и коммуникаций" (Некоммерческое партнерство "Русское биометрическое общество") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4, при консультативной поддержке Федерального государственного бюджетного образовательного учреждения высшего образования "Московский государственный технический университет имени Н.Э.Баумана (национальный исследовательский университет)" (МГТУ им.Н.Э.Баумана)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 098 "Биометрия и биомониторинг"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 июля 2021 г. N 36-пнст

4 Настоящий стандарт является модифицированным по отношению к международному документу ISO/IEC TR 29196:2018* "Информационные технологии. Руководство по биометрической регистрации" (ISO/IEC TR 29196:2018 "Information technology - Guidance for biometric enrolment", MOD) путем изменения отдельных фраз (слов, значений показателей, ссылок), включения структурных элементов, которые выделены в тексте курсивом**. Внесение указанных технических отклонений направлено на учет потребностей национальной экономики Российской Федерации.

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей.

** В оригинале обозначения и номера стандартов и нормативных документов в разделе "Предисловие" и приложении ДА приводятся обычным шрифтом, отмеченные в этих разделах знаком "**" и остальные по тексту документа выделены курсивом. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

Сведения о соответствии ссылочных национальных и межгосударственных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном документе, приведены в дополнительном приложении ДА.

Сопоставление структуры настоящего стандарта со структурой указанного международного документа приведено в дополнительном приложении ДБ

5 Некоторые элементы настоящего стандарта могут быть объектами патентных прав. Федеральное агентство по техническому регулированию и метрологии не несет ответственности за установление подлинности каких-либо или всех подобных патентных прав

Правила применения настоящего стандарта и проведения его мониторинга установлены в ГОСТ Р 1.16-2011** (разделы 5 и 6).

Федеральное агентство по техническому регулированию и метрологии собирает сведения о практическом применении настоящего стандарта. Данные сведения, а также замечания и предложения по содержанию стандарта можно направить не позднее чем за 4 мес до истечения срока его действия разработчику настоящего стандарта по адресу: 107045 Москва, Сретенский тупик, д.3, стр.1, e-mail:standards@rusbiometrics.com и/или в Федеральное агентство по техническому регулированию и метрологии: 123112 Москва, Пресненская набережная, д.10, стр.2.

В случае отмены настоящего стандарта соответствующая информация будет опубликована в ежемесячном информационном указателе "Национальные стандарты" и также будет размещена на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Одной из наиболее важных составляющих системы биометрического распознавания является стабильно работающая служба биометрической регистрации, предназначенная для сбора биометрических данных, используемых для последующего распознавания индивидов. В процессе последующей биометрической верификации или биометрической идентификации биометрическая проба сравнивается с биометрическими данными, собранными при биометрической регистрации. Если в процессе биометрической регистрации не удается поддерживать высокое качество получаемых биометрических данных, операторы, вероятно, будут получать ошибки при работе системы биометрического распознавания, так как она зависит от качества биометрических данных, получаемых в процессе биометрической регистрации. Низкое качество биометрических образцов, полученных в процессе биометрической регистрации, приведет к ложному недопуску индивидов в процессе биометрической верификации.

Анализируя требования всех участников процесса к биометрической регистрации, можно сформировать набор принципов, которыми можно руководствоваться при разработке политики биометрической регистрации и внедрении службы биометрической регистрации. При выполнении биометрической регистрации сторонней организацией гораздо важнее иметь возможность оценивать качественные показатели, а не количественные, поскольку технические и коммерческие цели обеих организаций (полагающейся стороны и органа, ответственного за регистрацию, в соответствии с настоящим стандартом), могут, в целом, не совпадать.

Хотя рекомендации и руководящие указания, содержащиеся в настоящем стандарте, адресованы в первую очередь организациям, ответственным непосредственно за процесс биометрической регистрации и за управление службой биометрической регистрации (они могут быть и объединены), они также будут полезны для проектировщиков и разработчиков систем биометрической регистрации.

     1 Область применения

В настоящем стандарте представлена информация об успешном, безопасном и удобном для использования внедрении процессов биометрической регистрации, а также факторы риска, которые организации, использующие биометрические технологии, должны учитывать при закупках, проектировании, внедрении и эксплуатации этих систем. Большая часть представленной информации является общей для многих приложений, например, общедоступных коммерческих и государственных приложений и закрытых систем для использования внутри компании. Однако от приложения и его назначения часто зависит требуемое качество данных, получаемых в процессе биометрической регистрации, и они должны учитываться при разработке биометрической системы и процесса биометрической регистрации.

В настоящем стандарте описаны различия в работе службы биометрической регистрации, связанные с конкретными приложениями, например, когда самостоятельная биометрическая регистрация субъекта является более целесообразной, чем при помощи вспомогательного персонала. Руководящие указания, представленные в настоящем стандарте, направлены на биометрическую регистрацию в обязательном присутствии обслуживающего персонала в стационарных точках биометрической регистрации. Таким образом, в настоящем стандарте обобщена информация о наиболее эффективном внедрении биометрической регистрации в различных бизнес-процессах, включая анализ процесса, функциональности (системы) и технологии, а также правовых и политических аспектов и конфиденциальности.

В настоящем стандарте представлены руководящие указания по сбору и хранению биометрических данных, полученных в процессе биометрической регистрации, и их влиянию на зависящие от них процессы биометрической верификации и биометрической идентификации.

За рамки области применения настоящего стандарта выходят:

- использование биометрической регистрации в судебно-медицинских и правоохранительных приложениях;

- обеспечение защиты подлинности, целостности и конфиденциальности хранимых и передаваемых биометрических персональных данных.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ ISO/IEC 2382-37 Информационные технологии. Словарь. Часть 37. Биометрия

ГОСТ ISO/IEC 19794-1 Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура

ГОСТ Р 58624.1 Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура

ГОСТ Р 58624.2 Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 2. Форматы данных

ГОСТ Р 58624.3 Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний.

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ ISO/IEC 2382-37 и ГОСТ ISO/IEC 19794-1, а также следующие термины с соответствующими определениями:

3.1 субъект биометрических данных (biometric subject): Индивид, претендующий на внесение своих биометрических данных в базу данных биометрических регистраций.

3.2 проектировщики и разработчики (designers and developers): Организация или отдельные лица, ответственные за проектирование, разработку (и, по возможности, внедрение) системы биометрической регистрации.

3.3 дежурный сотрудник (duty officer): Индивид, действующий от имени органа, ответственного за биометрическую регистрацию, или оператора, находящийся поблизости от одной или нескольких точек биометрической регистрации, либо в режиме онлайн или по телефону предоставляющий консультации и рекомендации сотруднику биометрической регистрации в случае возникновения трудностей и прошедший соответствующую подготовку.

3.4 орган, ответственный за биометрическую регистрацию (enrolment authority): Организация (или другой объект), несущая юридическую и договорную ответственность за проведение процесса биометрической регистрации.

3.5 сотрудник биометрической регистрации (enrolment officer): Представитель оператора, ответственный за безопасную и эффективную работу службы регистрации в одной или нескольких точках биометрической регистрации.

3.6 провайдер идентификации (Identity Provider): Организация, хранящая биометрические данные, полученные напрямую или косвенно в процессе биометрической регистрации, и управляющая ими.

3.7 оператор (operator): Организация (или другой объект), ответственная за работу службы биометрической регистрации от имени органа, ответственного за биометрическую регистрацию.

3.8 менеджер по управлению эффективностью (performance manager): Лицо, ответственное за управление службой биометрической регистрации для обеспечения ее соответствия установленным критериям эффективности.

Примечание - Работа менеджера, как правило, включает в себя мониторинг показателей работы службы биометрической регистрации (качественных и количественных), применение корректирующих мер, когда это необходимо, и предоставление отчетности о достижении показателей работы службы биометрической регистрации в орган, ответственный за биометрическую регистрацию.

3.9 личный помощник (personal assistant): Индивид, помогающий субъекту биометрических данных в процессе биометрической регистрации по одной или нескольким причинам.

Примечание - Причинами присутствия личного помощника в процессе биометрической регистрации могут быть: необходимость перевода инструкций сотрудника биометрической регистрации на родной язык субъекта; оказание поддержки субъекту с ограниченными возможностями с целью успешного завершения процесса биометрической регистрации; выполнение требований законодательства, например, присутствие родителя в процессе биометрической регистрации ребенка.

3.10 полагающаяся сторона (relying party): Организация, управляющая приложением, использующим биометрию, для работы которого необходимы биометрические контрольные шаблоны, получаемые в процессе биометрической регистрации.

3.11 вспомогательный персонал (specialist support staff): Прошедший обучение обслуживающий персонал, присутствующий в процессе биометрической регистрации от имени органа, ответственного за биометрическую регистрацию, или оператора для оказания помощи в процессе биометрической регистрации субъектам с ограниченными возможностями или для выполнения служебных требований или требований законодательства в отношении пола, религиозных аспектов или возраста субъекта.

3.12 поставщик (vendor): Организация, предоставляющая аппаратное и (или) программное обеспечение биометрических систем.

     4 Сокращения

В настоящем стандарте применены следующие сокращения:

КПЭ (KPI) - ключевой показатель эффективности (Key Performance Indicator). Числовое значение, определяющее один или несколько показателей эффективности работы процесса;

КИОП NIST (NFIQ) - качество изображения отпечатка пальца по NIST (NIST fingerprint image quality);

SLA - соглашение о гарантированном уровне обслуживания (Service Level Agreement). Соглашение между поставщиком услуг и клиентом, определяющее целевой уровень обслуживания, взаимную ответственность поставщика услуг и клиента, а также другие требования к предоставлению услуги.

     5 Заинтересованные стороны и подходы к биометрической регистрации

     5.1 Заинтересованные стороны процесса биометрической регистрации

Успешное функционирование службы биометрической регистрации зависит от сотрудничества большого количества заинтересованных сторон, перечень которых представлен в таблице 1 (см. также рисунок 1, на котором показано, что сотрудники биометрической регистрации работают от имени оператора, который связан с органом, ответственным за биометрическую регистрацию, а личный помощник оказывает помощь субъекту регистрации). Следует отметить, что системы могут быть организованы намного проще, чем показано на рисунке 1, например, орган, ответственный за биометрическую регистрацию, может также быть оператором службы биометрической регистрации, а также полагающейся стороной в системе контроля доступа организации.

     Рисунок 1 - Заинтересованные стороны процесса биометрической регистрации

Таблица 1 - Функциональные обязанности заинтересованных сторон