Профессиональные справочные системы для специалистов
медицинской и фармацевтической промышленности

ГОСТ Р 54412-2019
(ISO/IEC TR 24741:2018)



НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

БИОМЕТРИЯ

Общие положения и примеры применения

Information technology. Biometrics. General provisions and examples of application



ОКС 35.040

Дата введения 2020-06-01



Предисловие

     

1 ПОДГОТОВЛЕН Акционерным обществом "Всероссийский научно-исследовательский институт сертификации" (АО "ВНИИС") и Некоммерческим партнерством "Русское общество содействия развитию биометрических технологий, систем и коммуникаций" (Некоммерческое партнерство "Русское биометрическое общество") на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4, при консультативной поддержке Федерального государственного бюджетного образовательного учреждения высшего образования "Московский государственный технический университет имени Н.Э.Баумана (национальный исследовательский университет)" (МГТУ им.Н.Э.Баумана)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 098 "Биометрия и биомониторинг"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 ноября 2019 г. N 1184-ст

4 Настоящий стандарт является модифицированным по отношению к международному документу ISO/IEC TR 24741:2018* "Информационные технологии. Биометрия. Обзор и применение" (ISO/IEC TR 24741:2018 "Information technology - Biometrics - Overview and application", MOD) путем изменения отдельных фраз (слов, значений показателей, ссылок), которые выделены в тексте курсивом**. Внесение указанных технических отклонений направлено на учет потребностей национальной экономики Российской Федерации.

________________
     * Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей.
     ** В оригинале обозначения и номера стандартов и нормативных документов в разделе 4 "Введение и основные понятия" и отмеченный в разделе предисловие знаком "**" выделены курсивом; остальные по тексту документа приводятся обычным шрифтом. - Примечания изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

Сведения о соответствии ссылочных национальных и межгосударственных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном документе, приведены в дополнительном приложении ДА.

Сопоставление структуры настоящего стандарта со структурой примененного в нем международного документа приведено в дополнительном приложении ДБ

5 ВЗАМЕН ГОСТ Р 54412-2011/ISO/IEC/TR 24741:2007

6 Некоторые элементы настоящего стандарта могут быть объектами патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за установление подлинности каких-либо или всех таких патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации"**. Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


Биометрическое распознавание представляет собой автоматическое распознавание индивидов, основанное на их биологических и поведенческих характеристиках. Данная сфера является составной частью более широкой области науки об идентификации человека. К технологиям распознавания человека относят распознавание по отпечаткам пальцев, изображению лица, геометрии кисти руки, голосу, радужной оболочке глаза (РОГ), сосудистому руслу, ДНК и т.д.

Некоторые технологии (например, распознавание по РОГ) в большей степени основаны на биологических характеристиках, а некоторые (например, распознавание по динамике подписи) - на поведенческих характеристиках, но в то же время во всех техниках распознавания присутствуют как биологические, так и поведенческие элементы. Не существует полноценных поведенческих или биологических биометрических систем.

Биометрическое распознавание часто называют биометрией, несмотря на то что этот более современный термин ранее употреблялся в контексте статистического анализа общих биологических данных. Термин "биометрия", так же как и термин "генетика", часто воспринимается как моноструктура. Впервые термин "биометрия" появился около 1980 г. в словаре физической и информационной безопасности, заменив термин "автоматическая идентификация личности", который существовал в 70-х гг. XX в. Биометрические системы распознают личности посредством распознавания тел. Для осознания характерных для данных технологий функциональных возможностей и ограничений существенное значение имеет отличие между личностью и телом. В общем случае биометрия представляет собой распознавание поведения человека и биологических структур при помощи компьютерных технологий и больше связана с вычислительной техникой и анализом статистических эталонов, чем с науками о поведении и биологией.

В настоящее время биометрия применяется для распознавания личности во многих сферах деятельности, таких как контроль физического доступа и доступа к компьютеру, в правоохранительных органах, при голосовании, пересечении границы, в кредитно-финансовой сфере, в системе социального обеспечения и при выдаче водительских прав.

     1 Область применения


В настоящем стандарте описаны история биометрии, функции биометрии, различные современные биометрические технологии (например, распознавание по отпечаткам пальцев и изображению лица), а также типовая архитектура биометрических систем и системных процессов, которые позволяют автоматизировать распознавание с использованием этих технологий.

В настоящем стандарте также содержится информация о применении биометрии в различных сферах, например при пограничном контроле, в правоохранительных органах и при выдаче водительских прав, а также о социальных и юридических аспектах, которые, как правило, учитываются в биометрических системах, и о стандартах, лежащих в основе их использования.

     2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ ISO/IEC 2382-37 Информационные технологии. Словарь. Часть 37. Биометрия

ГОСТ Р 58293 (ИСО/МЭК 19785-1:2015) Информационные технологии. Единая структура форматов обмена биометрическими данными. Часть 1. Спецификация элементов данных

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую ссылку этого стандарта с учетом всех внесенных в данную версию изменений. Если изменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения


В настоящем стандарте отсутствуют термины и определения.

     4 Введение и основные понятия

     4.1 Что такое биометрические технологии?


В соответствии с ГОСТ ISO/IEC 2382-37 биометрия - это автоматическое распознавание индивидов, основанное на их биологических и поведенческих характеристиках.

Примечание - Всеобъемлющий термин "биометрия" означает применение к биологии современных методов статистики. В настоящем стандарте под биометрией понимаются автоматизированные технологии, предназначенные для анализа человеческих характеристик в целях распознавания; общее применение статистики к биологическим системам является отдельной дисциплиной.

Под термином "биометрическая характеристика" понимают биологическую и поведенческую характеристику индивида, которая может быть использована в качестве отличительных повторяющихся биометрических признаков для биометрического распознавания. Таким образом, биометрические технологии связаны с физическими частями человеческого тела или поведенческими чертами людей, а также с распознаванием индивидов, основанным на одной или на обеих этих частях или чертах. Более полное объяснение различных биометрических технологий приведено в разделе 6.

Примечание - В ГОСТ ISO/IEC 2382-37 рекомендовано переводить термин "biometric" как "биометрический", а не "биометрика" для обозначения биометрической характеристики или биометрической модальности.

Совершенная биометрическая характеристика для всех применений обладает следующими свойствами:

- отличительность: разная для всех субъектов;

- повторяемость: одинаковая для каждого субъекта в течение длительного периода времени (несколько лет);

- доступность: легко предъявить устройству сбора биометрических данных/биометрическому сканеру;

- универсальность: наблюдаемая у всех людей;

- приемлемость: субъект готов использовать эту биометрическую характеристику в данном приложении.

Ни одна биометрическая характеристика не обладает всеми вышеперечисленными свойствами, и на практике приходится идти на компромисс по каждому пункту:

- существуют большие сходства между разными индивидами;

- биометрические характеристики меняются с течением времени;

- некоторые физические ограничения препятствуют биометрическому предъявлению;

- не все люди имеют все биометрические характеристики;

- приемлемость зависит от сознания субъекта.

Следовательно, задача широкого внедрения биометрических технологий заключается в разработке надежных систем для взаимодействия с людьми с учетом особенностей их поведения.

     4.2 Что делают биометрические системы?


Начиная с 1970 г. установлено, что для некоторых приложений существует три принципа автоматического распознавания личности [1]:

а) что вы знаете или помните (например, ФИО, данные паспорта, дата рождения и т.д.);

б) чем вы владеете (например, электронно-цифровая подпись, идентификационная карта, токен и т.д.);

с) личная биометрическая характеристика.

Первоначальным контекстом этой концепции было безопасное управление доступом к компьютерным данным. Исходные предположения заключались в том, что лица, уполномоченные осуществлять доступ к защищенным данным, будут кооперативно предъявлять положительные заявления (например, "я уполномочен осуществить доступ к данным в системе") и могут рассчитывать на защиту своих персональных идентификационных номеров (ПИН-кодов) и паролей. В таких приложениях биометрические технологии действительно конкурируют с ПИН-кодами, паролями и токенами, но получают меньшее признание. Например, для большинства веб-систем управления доступом требуется идентификатор пользователя и соответствующий пароль, а не биометрия. В подобных приложениях пароли были более распространены, чем биометрия, потому что они легко заменяются, могут варьироваться в зависимости от приложений, не требуют специального оборудования для сбора данных, могут быть созданы с различными уровнями безопасности и точно повторяются под сознательным контролем.

Однако во многих приложениях ПИН-коды, пароли и токены не могут логически соответствовать требованиям безопасности. Например, ПИН-коды, пароли и токены не могут быть логически применены в приложениях, где зарегистрированные индивиды имеют мало мотивации для защиты своих счетов от использования другими лицами, например в парках развлечений. Аналогичным образом в тех приложениях, в которых предъявляются отрицательные заявления (например, "я не зарегистрирован в системе как Иван"), ПИН-коды, пароли и токены не могут логически соответствовать требованиям демонстрации истинности заявления.

В биометрических системах распознавание людей происходит путем наблюдения за физическими и поведенческими характеристиками их тел. Биометрические характеристики не так просто передать, забыть или украсть в отличие от ПИН-кодов, паролей и токенов, поэтому их можно использовать в тех приложениях, для которых эти методы аутентификации неуместны. Биометрия может быть объединена с ПИН-кодами и токенами в рамках многофакторных систем для дополнительной безопасности.

Хотя биометрические технологии не могут непосредственно идентифицировать людей, они могут связывать тела с записями атрибутов, которые называют "идентичности". Следовательно, биометрическое распознавание может стать частью системы управления идентификацией.

Биометрическое распознавание использовано в двух основных классах приложений:

- в одном применено биометрическое сравнение для проверки биометрического "удостоверения личности";

- в другом осуществлен поиск в базе данных биометрических характеристик заранее известных индивидов, для того чтобы найти и возвратить идентификатор, относящийся к одному индивиду.

Первый класс приложений называют "биометрическая верификация", а второй - "биометрическая идентификация". Биометрические системы могут быть также использованы для "кластеризации" характеристик, обозначая совместно те, которые поступают из одного и того же телесного источника, даже если телесный источник не может быть приписан какому-либо заранее известному индивиду. Такие системы находят все большее применение в правоохранительных органах.

Системы биометрической верификации подтверждают заявления (тестовые гипотезы), относящиеся к источнику записи биометрических данных в базе данных. Заявление может быть сделано лицом, представляющим биометрическую выборку (например, "я являюсь источником записи биометрических данных в базе данных"), или заявление об источнике может быть сделано другим субъектом в системе ("она является источником записи биометрических данных в базе данных"). Заявления могут быть положительными ("я являюсь источником биометрической записи в базе данных"; "эти два биометрических образца взяты от одного и того же телесного источника") или отрицательными ("я не являюсь источником записи биометрических данных в базе данных"). Заявления могут быть определенными ("я являюсь источником записи биометрических данных в базе данных") или неопределенными ("я не являюсь источником записи биометрических данных в базе данных"). Заявление может представлять собой любую комбинацию определенных или неопределенных, положительных или отрицательных заявлений, заявлений от первого или от третьего лица.

Согласно ГОСТ ISO/IEC 2382-37 запись биометрических данных индивида в базе данных называется биометрическим контрольным шаблоном, а биометрический образец, используемый для сравнения с сохраненным биометрическим контрольным шаблоном, - биометрической пробой. Можно искать совпадение между биометрической пробой индивида и определенным биометрическим контрольным шаблоном, хранящимся в базе данных, или совокупность биометрических контрольных шаблонов в базе данных, совпадающих с представленной биометрической пробой, и возвращать идентификатор любого совпавшего биометрического контрольного шаблона. В обоих случаях необходимо установить порог, указывающий, насколько близким должно быть сравнение, прежде чем можно будет заключить, что биометрическая проба и биометрический контрольный шаблон зарегистрированы от одного и того же телесного источника (совпадение). При этом могут быть допущены следующие ошибки: либо ложное несовпадение, в том случае когда совпадение не объявляется, а биометрическая проба и биометрический контрольный шаблон действительно зарегистрированы от одного телесного источника, или ложное совпадение, когда совпадение объявляется, а биометрическая проба и биометрический контрольный шаблон зарегистрированы от различных телесных источников. О доле таких ошибок судят по общему количеству сравнений, вероятности ложного совпадения (ВЛС) и вероятности ложного несовпадения (ВЛНС) для данной технологии и совокупности в данной среде приложения.

Системы, требующие положительного заявления для конкретного зарегистрированного биометрического контрольного шаблона, рассматривают биометрический контрольный шаблон как атрибут записи о регистрации. Эти системы подтверждают, что биометрический контрольный шаблон в заявленной записи о регистрации совпадает с образцом биометрической пробы, представленным субъектом. Некоторые системы, например социального обеспечения и выдачи водительских прав, подтверждают отрицательные заявления об отсутствии записи биометрических данных в базе данных, рассматривая биометрический контрольный шаблон в качестве идентификатора записи или указателя. Эти системы осуществляют поиск в базе данных биометрических указателей, для того чтобы найти один, соответствующий представленной биометрической пробе (в этом случае речь идет о биометрической идентификации). Однако факт нахождения идентификатора (или указателя) в списке идентификаторов также подтверждает неопределенное заявление о регистрации в базе данных, а отсутствие указателя - отрицательное заявление о регистрации. Следовательно, различие между биометрическими системами идентификации и верификации не всегда четкое, и эти термины не являются взаимоисключающими.