ГОСТ Р 58624.1-2019
(ИСО/МЭК 30107-1:2016)
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
БИОМЕТРИЯ
Обнаружение атаки на биометрическое предъявление
Часть 1
Структура
Information technology. Biometrics. Biometric presentation attack detection. Part 1. Framework
ОКС 35.240.15*
________________
* Измененная редакция, Изм. N 1.
Дата введения 2020-06-01
1 ПОДГОТОВЛЕН Акционерным обществом "Всероссийский научно-исследовательский институт сертификации" (АО "ВНИИС") и Некоммерческим партнерством "Русское общество содействия развитию биометрических технологий, систем и коммуникаций" (Некоммерческое партнерство "Русское биометрическое общество") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4, при консультативной поддержке Федерального государственного бюджетного образовательного учреждения высшего образования "Московский государственный технический университет имени Н.Э.Баумана (национальный исследовательский университет)" (МГТУ им.Н.Э.Баумана)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 098 "Биометрия и биомониторинг"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 31 октября 2019 г. N 850-ст
4 Настоящий стандарт является модифицированным по отношению к международному стандарту ИСО/МЭК 30107-1:2016* "Информационные технологии. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура" (ISO/IEC 30107-1:2016 "Information technology - Biometric presentation attack detection - Part 1: Framework", MOD) путем изменения отдельных фраз (слов, значений показателей, ссылок), которые выделены в тексте курсивом**. Внесение указанных технических отклонений направлено на учет потребностей национальной экономики Российской Федерации.
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей.
** В оригинале обозначения и номера стандартов и нормативных документов в разделе "Предисловие" и приложении ДА приводятся обычным шрифтом; отмеченные в разделе "Предисловие" знаком "**" и остальные по тексту документа выделены курсивом. - Примечания изготовителя базы данных.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
Сведения о соответствии ссылочных межгосударственных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном стандарте, приведены в дополнительном приложении ДА.
Сопоставление структуры настоящего стандарта со структурой примененного в нем международного стандарта приведено в дополнительном приложении ДБ
5 ВВЕДЕН ВПЕРВЫЕ
6 Некоторые элементы настоящего стандарта могут быть объектами патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за установление подлинности каких-либо или всех таких патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации"**. Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
ВНЕСЕНО Изменение N 1, утвержденное и введенное в действие приказом Федерального агентства по техническому регулированию и метрологии от 14.11.2022 N 1280-ст c 01.01.2023
Изменение N 1 внесено изготовителем базы данных по тексту ИУС N 2, 2023
Биометрические технологии часто используются в системах безопасности для распознавания индивидов на основе их биологических и поведенческих характеристик. С помощью биометрических систем безопасности могут совершаться попытки распознавания субъектов сбора биометрических данных, субъектов - нарушителей сбора биометрических данных или субъектов, биометрические данные которых отсутствуют в системе.
С самого начала применения биометрических технологий отмечалась возможность взлома распознавания со стороны субъектов - нарушителей сбора биометрических данных, а также необходимость принятия мер для обнаружения и пресечения попыток взлома распознавания или атак на биометрическое предъявление. Область применения серии национальных стандартов "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление" ограничена методами автоматического обнаружения атак на биометрическое предъявление, осуществляемыми субъектами сбора биометрических данных в процессе биометрического предъявления и сбора соответствующих биометрических характеристик. Данные автоматические методы называются методами обнаружения атаки на биометрическое предъявление (ОАБП).
Вероятность взлома биометрических систем в процессе сбора данных индивидами, имитирующими субъектов сбора биометрических данных, ограничила возможность использования биометрии в приложениях, которые не контролируются оператором биометрической системы, например такие, как удаленный сбор биометрических данных с использованием ненадежных сетей. В автономных приложениях, например таких, как удаленная аутентификация с использованием открытых сетей, для снижения риска атак могут применяться методы автоматического обнаружения атак на биометрическое предъявление. Применение стандартов, рекомендации и методы независимой оценки могут повысить безопасность биометрических систем, включая биометрические системы распознавания, обеспечивающие безопасность онлайн-транзакций, вне зависимости от того, контролируется ли процесс сбора биометрических данных оператором или нет.
Как и методы биометрического распознавания, методы ОАБП подвержены ложноположительным и ложноотрицательным результатам. В случае ложноположительного результата система ошибочно классифицирует надлежащее биометрическое предъявление как атаку, тем самым снижая эффективность системы, а в случае ложноотрицательного результата система ошибочно классифицирует атаку на биометрическое предъявление как надлежащее биометрическое предъявление, в результате чего происходит нарушение безопасности. Поэтому решение об использовании биометрической системой конкретного метода ОАБП будет зависеть от ее применения и компромисса между уровнями безопасности и эффективности.
Настоящий стандарт устанавливает термины и структуру ОАБП с целью обнаружения, классификации и детального описания атак на биометрическое предъявление для последующего принятия решения о сравнении и определения эксплуатационных характеристик системы. Однако метод ОАБП, определенный в настоящем стандарте, не представляется в качестве общепринятого.
В ГОСТ Р 58624.2 (ИСО/МЭК 30107-2:2017) установлены требования к формату обмена данными и результатами работы методов ОАБП. В ГОСТ Р 58624.3 (ИСО/МЭК 30107-3:2017) определены принципы и методы оценки эффективности работы методов ОАБП.
Настоящий стандарт устанавливает термины и определения, используемые для описания, а также структуру методов обнаружения атак на биометрическое предъявление (ОАБП) с целью обнаружения, классификации и детального описания атак на биометрическое предъявление для последующего принятия решения о сравнении и определения эксплуатационных характеристик системы.
В область применения настоящего стандарта не входят:
- стандартизация конкретных методов ОАБП;
- подробная информация о мерах предотвращения атак (то есть методах защиты от спуфинга), алгоритмах или биометрических сканерах;
- комплексная оценка безопасности или уязвимости на системном уровне.
Атаки, рассмотренные в серии национальных стандартов "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление", направлены на биометрический сканер во время биометрического предъявления и сбора биометрических данных.
Настоящий стандарт не распространяется на другие типы атак.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ ISO/IEC 2382-37 Информационные технологии. Словарь. Часть 37. Биометрия
ГОСТ ISO/IEC 19794-1 Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую ссылку этого стандарта с учетом всех внесенных в данную версию изменений. Если изменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
В настоящем стандарте применены термины по ГОСТ ISO/IEC 2382-37 и ГОСТ ISO/IEC 19794-1, а также следующие термины с соответствующими определениями:
3.1 артефакт (artefact): Искусственный объект или представление с копией биометрических характеристик или синтезированными биометрическими данными.
3.2
витальность (liveness): Свойство или состояние живого индивида, подтверждаемое анатомическими характеристиками, непроизвольными реакциями, физиологическими функциями, произвольными реакциями или поведенческими характеристиками индивида. [1], [2]. |
Примеры
1 Поглощение света кожей и кровью является анатомическими характеристиками частей тела.
2 Реакция радужной оболочки глаза на свет и пульсирование кровотока являются непроизвольными реакциями (называемыми также физиологическими функциями).
3 Сжимание пальцев рук при идентификации по геометрии контура кисти руки и биометрическое предъявление в ответ на прямую команду являются произвольными реакциями (называемыми также поведенческими характеристиками субъекта).
3.3
обнаружение витальности (liveness detection): Измерение и анализ анатомических характеристик, непроизвольных или произвольных реакций индивида с целью определения того, что биометрический образец получен от живого индивида. [1], [2] Примечание - Обнаружение витальности входит в число методов ОАБП. |
3.4 надлежащее биометрическое предъявление (normal presentation): Взаимодействие субъекта сбора биометрических данных и подсистемы сбора биометрических данных в соответствии с политикой биометрической системы.