ПНСТ 379-2019 (ISO/IEC TR 30125:2016) Информационные технологии (ИТ). Биометрия. Применение биометрии в мобильных устройствах

Введение

Широкое использование и возможности мобильных технологий сформировали потребность людей вести свою личную и деловую жизнь в движении, хотя раньше она была ограничена домашней и офисной средой. Для удовлетворения данной потребности мобильная связь, приложения, установленные на мобильные устройства, и транзакции должны быть защищены для обеспечения конфиденциальности пользователя и целостности транзакций. Это необходимо для создания доверенной среды мобильных платформ, в которой могут участвовать как отдельные лица, так и предприятия, некоммерческие организации и правительства. Аутентификация пользователя, удостоверяющая его личность, является важной частью создания этой среды и создает определенные проблемы в том случае, когда пользователь осуществляет аутентификацию удаленно и его местоположение неизвестно, так как при этом высока вероятность имитации и мошенничества.

Аутентификацию пользователя часто проводят с использованием имени пользователя и пароля. При таком подходе применяют только одну категорию учетных данных - пароль и данную аутентификацию называют однофакторной аутентификацией (ОфА)*. Примером ОфА также является использование биометрии вместо пароля. В концепции мобильных приложений с высоким уровнем безопасности может потребоваться несколько категорий учетных данных. Применение более одной категории учетных данных называется многофакторной аутентификацией (МфА)**. МфА выполняют с использованием одного или нескольких факторов:

________________

* Single Factor Authentification (SFA).

** Multi Factor Authentification (MFA).

a) то, что знают (например, пароль);

b) то, чем владеют (например, удостоверение личности);

c) то, что является физиологической характеристикой (например, лицо, отпечатки пальцев, радужная оболочка глаза).

Аутентификация, удостоверяющая личность человека, может быть улучшена с помощью биометрического распознавания. Другие формы идентификации, такие как токены или пароли, не связаны с индивидом так же неотъемлемо, как биометрия, и имеют большую вероятность замещения или кражи. Аутентификация пароля и токена удостоверяет пароль или токен, а не владельца, и проверка подлинности ограничена уровнем доверия в отношении того, что пароль или токен предоставляется законным пользователем и не был получен злоумышленником.

Диапазон мобильных устройств и каналов связи, связанных с мобильными транзакциями, является большим и изменчивым. Широко распространенными мобильными устройствами являются смартфоны, планшеты, ноутбуки и другие интеллектуальные устройства на основе встроенных систем, а примерами каналов связи являются Интернет и глобальная система для мобильной связи (ГСМС)***. Владельцами мобильных устройств часто являются пользователи, но не во всех случаях; мобильные устройства могут принадлежать компании и предоставляться сотрудникам для использования.

________________

*** Global System for Mobile Communications (GSM).

Ряд производителей мобильных устройств производит устройства, содержащие устройства сбора различных данных. Теоретически такие устройства сбора могут быть использованы для сбора биометрических данных [например, камера для лица, сенсорный экран для пальца или ладони, микрофон для голоса, система глобального позиционирования (СГП) и акселерометры для походки]. Приложения, созданные для мобильных платформ, могут применять такие устройства для сбора биометрических данных в целях аутентификации.

Настоящий стандарт определяет использование биометрии в тех сценариях, в которых человек использует мобильное устройство для подключения к конкретной службе независимо от типа мобильного устройства и канала связи.

При использовании биометрии в указанных сценариях необходимо учитывать три ключевых фактора:

- условия окружающей среды сбора биометрических данных, при которых разработчикам приложений необходимы способы учета неконтролируемых условий окружающей среды сбора биометрических данных. Неконтролируемость условий окружающей среды сбора биометрических данных будет означать невозможность соответствия рекомендациям действующих биометрических стандартов для сбора биометрических данных (например, положение, фон и т.д.), а также повлечет за собой модификацию алгоритмов распознавания и/или порогов для учета снижения качества сбора биометрических данных, если приложение позволяет понизить уровень безопасности;

- конфиденциальность биометрических данных и последствия нарушения безопасности - размещение биометрических данных на коммерческих мобильных устройствах с уязвимостями безопасности и хранение биометрических данных в сторонних облачных реализациях. В настоящем стандарте указанные вопросы безопасности и конфиденциальности относятся к требованиям других стандартов, при их наличии, при этом продолжается работа в установлении критериев и рекомендаций для защиты информации, включая личную информацию. Определение требований безопасности для мобильных устройств не входит в область применения настоящего стандарта;

- биометрическое распознавание, что подразумевает относительную согласованность подхода к биометрическому распознаванию среди разработчиков приложений для соответствия рекомендациям и унифицированному интерфейсу для пользователей [1]. Существующие биометрические стандарты и соответствующие стандарты безопасности для биометрии недостаточно исчерпывающе решают вопросы сбора биометрических данных на коммерческих вычислительных мобильных устройствах с облачным распределением биометрических данных, поэтому необходима работа для установления критериев и рекомендаций.