ПНСТ 379-2019
(ISO/IEC TR 30125:2016)

ПРЕДВАРИТЕЛЬНЫЙ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

БИОМЕТРИЯ

Применение биометрии в мобильных устройствах

Information technology. Biometrics. Biometrics used with mobile devices

ОКС 35.040

Срок действия с 2020-06-01
до 2023-06-01

Предисловие

1 ПОДГОТОВЛЕН Акционерным обществом "Всероссийский научно-исследовательский институт сертификации" (АО "ВНИИС") и Некоммерческим партнерством "Русское общество содействия развитию биометрических технологий, систем и коммуникаций" (Некоммерческое партнерство "Русское биометрическое общество") на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4, при консультативной поддержке Федерального государственного бюджетного образовательного учреждения высшего образования "Московский государственный технический университет имени Н.Э.Баумана (национальный исследовательский университет)" (МГТУ им.Н.Э.Баумана)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 098 "Биометрия и биомониторинг"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2019 г. N 56-пнст**

4 Настоящий стандарт является модифицированным по отношению к международному документу ISO/IEC TR 30125:2016* "Информационные технологии. Применение биометрии в мобильных устройствах" (ISO/IEC TR 30125:2016 "Information technology - Biometrics used with mobile devices", MOD) путем изменения отдельных фраз (слов, значений показателей, ссылок), которые выделены в тексте курсивом**. Внесение указанных технических отклонений направлено на учет потребностей национальной экономики Российской Федерации.

________________
     * Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей.
     ** В оригинале обозначения и номера стандартов и нормативных документов по тексту документа отмеченные знаком "**", приводятся обычным шрифтом остальные по тексту документа выделены курсивом. - Примечания изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

Сведения о соответствии ссылочного межгосударственного стандарта международному стандарту, использованному в качестве ссылочного в примененном международном документе, приведены в дополнительном приложении ДА.

Сопоставление структуры настоящего стандарта со структурой примененного в нем международного документа приведено в дополнительном приложении ДБ

5 Некоторые элементы настоящего стандарта могут быть объектами патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за установление подлинности каких-либо или всех таких патентных прав

Правила применения настоящего стандарта и проведения его мониторинга установлены в ГОСТ Р 1.16-2011 (разделы 5 и 6).

Федеральное агентство по техническому регулированию и метрологии собирает сведения о практическом применении настоящего стандарта. Данные сведения, а также замечания и предложения по содержанию стандарта можно направить не позднее чем за 4 мес до истечения срока его действия разработчику настоящего стандарта по адресу: 107045, Москва, Сретенский тупик, д.3, стр.1, e-mail: standards@rusbiometrics.com и/или в Федеральное агентство по техническому регулированию и метрологии по адресу: 109074 Москва, Китайгородский проезд, д.7, стр.1.

В случае отмены настоящего стандарта соответствующая информация будет опубликована в ежемесячном информационном указателе "Национальные стандарты" и также будет размещена на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Широкое использование и возможности мобильных технологий сформировали потребность людей вести свою личную и деловую жизнь в движении, хотя раньше она была ограничена домашней и офисной средой. Для удовлетворения данной потребности мобильная связь, приложения, установленные на мобильные устройства, и транзакции должны быть защищены для обеспечения конфиденциальности пользователя и целостности транзакций. Это необходимо для создания доверенной среды мобильных платформ, в которой могут участвовать как отдельные лица, так и предприятия, некоммерческие организации и правительства. Аутентификация пользователя, удостоверяющая его личность, является важной частью создания этой среды и создает определенные проблемы в том случае, когда пользователь осуществляет аутентификацию удаленно и его местоположение неизвестно, так как при этом высока вероятность имитации и мошенничества.

Аутентификацию пользователя часто проводят с использованием имени пользователя и пароля. При таком подходе применяют только одну категорию учетных данных - пароль и данную аутентификацию называют однофакторной аутентификацией (ОфА)*. Примером ОфА также является использование биометрии вместо пароля. В концепции мобильных приложений с высоким уровнем безопасности может потребоваться несколько категорий учетных данных. Применение более одной категории учетных данных называется многофакторной аутентификацией (МфА)**. МфА выполняют с использованием одного или нескольких факторов:

________________

* Single Factor Authentification (SFA).

** Multi Factor Authentification (MFA).

a) то, что знают (например, пароль);

b) то, чем владеют (например, удостоверение личности);

c) то, что является физиологической характеристикой (например, лицо, отпечатки пальцев, радужная оболочка глаза).

Аутентификация, удостоверяющая личность человека, может быть улучшена с помощью биометрического распознавания. Другие формы идентификации, такие как токены или пароли, не связаны с индивидом так же неотъемлемо, как биометрия, и имеют большую вероятность замещения или кражи. Аутентификация пароля и токена удостоверяет пароль или токен, а не владельца, и проверка подлинности ограничена уровнем доверия в отношении того, что пароль или токен предоставляется законным пользователем и не был получен злоумышленником.

Диапазон мобильных устройств и каналов связи, связанных с мобильными транзакциями, является большим и изменчивым. Широко распространенными мобильными устройствами являются смартфоны, планшеты, ноутбуки и другие интеллектуальные устройства на основе встроенных систем, а примерами каналов связи являются Интернет и глобальная система для мобильной связи (ГСМС)***. Владельцами мобильных устройств часто являются пользователи, но не во всех случаях; мобильные устройства могут принадлежать компании и предоставляться сотрудникам для использования.

________________

*** Global System for Mobile Communications (GSM).

Ряд производителей мобильных устройств производит устройства, содержащие устройства сбора различных данных. Теоретически такие устройства сбора могут быть использованы для сбора биометрических данных [например, камера для лица, сенсорный экран для пальца или ладони, микрофон для голоса, система глобального позиционирования (СГП) и акселерометры для походки]. Приложения, созданные для мобильных платформ, могут применять такие устройства для сбора биометрических данных в целях аутентификации.

Настоящий стандарт определяет использование биометрии в тех сценариях, в которых человек использует мобильное устройство для подключения к конкретной службе независимо от типа мобильного устройства и канала связи.

При использовании биометрии в указанных сценариях необходимо учитывать три ключевых фактора:

- условия окружающей среды сбора биометрических данных, при которых разработчикам приложений необходимы способы учета неконтролируемых условий окружающей среды сбора биометрических данных. Неконтролируемость условий окружающей среды сбора биометрических данных будет означать невозможность соответствия рекомендациям действующих биометрических стандартов для сбора биометрических данных (например, положение, фон и т.д.), а также повлечет за собой модификацию алгоритмов распознавания и/или порогов для учета снижения качества сбора биометрических данных, если приложение позволяет понизить уровень безопасности;

- конфиденциальность биометрических данных и последствия нарушения безопасности - размещение биометрических данных на коммерческих мобильных устройствах с уязвимостями безопасности и хранение биометрических данных в сторонних облачных реализациях. В настоящем стандарте указанные вопросы безопасности и конфиденциальности относятся к требованиям других стандартов, при их наличии, при этом продолжается работа в установлении критериев и рекомендаций для защиты информации, включая личную информацию. Определение требований безопасности для мобильных устройств не входит в область применения настоящего стандарта;

- биометрическое распознавание, что подразумевает относительную согласованность подхода к биометрическому распознаванию среди разработчиков приложений для соответствия рекомендациям и унифицированному интерфейсу для пользователей [1]. Существующие биометрические стандарты и соответствующие стандарты безопасности для биометрии недостаточно исчерпывающе решают вопросы сбора биометрических данных на коммерческих вычислительных мобильных устройствах с облачным распределением биометрических данных, поэтому необходима работа для установления критериев и рекомендаций.

     1 Область применения

Настоящий стандарт определяет руководство по разработке последовательного и безопасного метода биометрической (отдельной или с наличием небиометрического компонента) персонализации и аутентификации в мобильной среде для систем, представленных на свободном рынке.

Руководство предназначено:

- для биометрической верификации ("один к одному") или положительной биометрической идентификации ("один ко многим");

- сбора биометрических образцов в той мобильной среде, в которой условия являются неконтролируемыми и не удовлетворяют требованиям международных и национальных стандартов к форматам обмена биометрическими данными и качеству биометрических образцов;

- оптимального использования мультифакторных методов биометрической и небиометрической (ПИН-коды, пароли, персональные данные) персонализации и аутентификации.

Настоящий стандарт определяет структуру методов и подходов к удаленной и неконтролируемой биометрической регистрации, безопасному хранению и передаче биометрических и дополнительных персональных данных как в онлайн-режиме, так и в автономном режиме.

Настоящий стандарт определяет функциональные элементы и компоненты мобильной биометрической системы в целом и характеристики компонентов. Настоящий стандарт содержит руководство по общей мобильной архитектуре со ссылкой на соответствующие стандарты.

В настоящем стандарте определены: a) пользователь мобильного устройства и b) работа на различных платформах, в частности мобильных устройствах, включая планшет, ноутбук и другие персональные вычислительные устройства. Контекст связан с тем, контролируется ли физически среда пользователя организацией, к которой пользователь запрашивает доступ.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ ISO/IEC 2382-37** Информационные технологии. Словарь. Часть 37. Биометрия

ГОСТ Р 54411 Информационные технологии. Биометрия. Мультимодальные и другие мультибиометрические технологии

ГОСТ Р 58230 Информационные технологии. Идентификационные карты. Биометрическое сравнение на идентификационной карте

ГОСТ Р 58292 (ИСО/МЭК 19795-2:2007) Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 2. Методы проведения технологического и сценарного испытаний

ГОСТ Р 58295 (ИСО/МЭК 19794-6:2011) Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза

ГОСТ Р 58298 (ИСО/МЭК 19794-4:2011) Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца

ГОСТ Р 58624 Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление

ГОСТ Р 58668.8 Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 8. Данные изображения сосудистого русла

ГОСТ Р 58668.11 Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 11. Данные голоса

ГОСТ Р ИСО/МЭК ТО 19795-3 Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биометрических модальностях

ГОСТ Р ИСО/МЭК 19794-2 Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца - контрольные точки

ГОСТ Р ИСО/МЭК 19794-5 Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица

ГОСТ Р ИСО/МЭК 19794-7 Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 7. Данные динамики подписи

ГОСТ Р ИСО/МЭК 19794-11 Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 11. Обрабатываемые данные динамики подписи

ГОСТ Р ИСО/МЭК 29794-1 Информационные технологии. Биометрия. Качество биометрического образца. Часть 1. Структура

ГОСТ Р ИСО/МЭК 29794-6 Информационные технологии. Биометрия. Качество биометрического образца. Часть 6. Данные изображения радужной оболочки глаз

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую ссылку этого стандарта с учетом всех внесенных в данную версию изменений. Если изменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ ISO/IEC 2382-37, а также следующие термины с соответствующими определениями:

3.1 мобильное устройство (mobile device): Небольшое, компактное, портативное, легкое вычислительное устройство, как правило имеющее экран дисплея с входом для устройства ввода аналоговой (графической или речевой) информации и/или миниатюрной клавиатурой.

Примечание - Примерами мобильных устройств являются ноутбуки, планшетные персональные компьютеры, портативные средства информационно-коммуникационных технологий, смартфоны, USB-устройства.

3.2 персонализация (personalization): Возможность настройки устройства реагировать определенным образом для конкретного индивида.

     4 Сокращения

В настоящем стандарте применены следующие сокращения:

БИ - биометрический интерфейс (Biometric interface, BI);