ГОСТ Р 54412-2019 (ISO/IEC TR 24741:2018). Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Общие положения и примеры применения

11 Биометрия и информационная безопасность

 

11.1 Общие положения

На данный момент очевидно, что биометрия может играть важную роль в информационной безопасности, потому что тесно связана с субъектом, так как биометрические характеристики сложнее забыть, раскрыть или потерять, чем токены, ПИН-код или пароль. Применение биометрии может служить дополнительным свидетельством того, что авторизационные данные предъявлены именно тем субъектом, которому они были выданы. Однако биометрические технологии не становятся панацеей, избавляющей от необходимости использования ПИН-кодов, паролей и токенов при решении проблем безопасности.

При разработке системы биометрической верификации положительных биометрических заявлений необходимо решить, будет ли биометрический контрольный шаблон находиться у самого субъекта на токене (в этом случае в такой обработанной форме, как биометрический шаблон, или в той же форме, которая была получена первоначально, например в форме изображения) либо биометрический контрольный шаблон будет сохранен централизованно в базе данных, соединенной с пунктом обслуживания коммуникационной системы (см. 10.5). В первом случае происходит лучшее обеспечение конфиденциальности данных [56], а в случае централизованного сохранения возникают следующие вопросы:

a) будет ли полученный биометрический образец передан центральной системе, или центральная система передаст биометрический контрольный шаблон на пункт обслуживания для обработки. В любом случае потребуется надежная форма кодирования для защиты информации в процессе передачи;

b) если биометрический образец из пункта обслуживания передан в центральный пункт, то будет ли он иметь необработанный вид или уже преобразованный в биометрические признаки. В том случае, если преобразование в биометрические признаки происходит перед передачей, на каждом пункте обслуживания потребуются вычислительные возможности и информация об алгоритме извлечения признаков, но пропускная способность передачи при этом снизится;

c) каким образом будет происходить дешифровка зашифрованных данных в том случае, когда это необходимо для сравнения;

d) каким образом субъект может проверить легитимность пункта обслуживания и быть уверенным в том, что после передачи биометрические данные не сохраняются.

Несмотря на то что вышеуказанные вопросы не являются непреодолимыми, они подтверждают тот факт, что биометрия не решает всех проблем безопасности.