Биометрическим способам защиты информации относятся

Биометрические системы защиты

С наступлением эпохи информационных технологий у человечества появилась целая масса новых, неведомых ему ранее проблем. Теперь, когда у каждого в кармане есть свой собственный телефон, кажется безрассудным и даже глупым не установить на него хотя бы пароль.

В наше время каждый заботится о том, как же все-таки максимально эффективно защитить свои данные. Стремясь обезопасить личную информацию, человечество долгие годы разрабатывало все новые и новые системы защиты. Одной из наиболее эффективных подобных систем оказалась биометрическая защита.

История

Биометрия и в наше время относится к числу передовых и сложных технологий, что уж говорить о периоде времени до 2001 года, когда подобные технологии обеспечения безопасности применялись лишь в целях обеспечения защиты военной тайны и наиболее важной коммерческой информации.

Однако, после страшной трагедии 11 сентября 2001 года, когда во время теракта во Всемирном Торговом Центре погибло около трех тысяч человек, многое изменилось. Биометрическая защита информации с тех пор постоянно получала все большее распространение и была внедрена в разнообразные места повышенного скопления людей, в том числе в крупные торговые центры, здания аэропортов и вокзалов.

Резкое увеличение спроса на подобные технологии привело к росту предложения на рынке, к увеличению количества конкурирующих производителей, и, как следствие, к снижению цены на средства защиты информации и к приобретению этой технологией массовости.

Резкое увеличение спроса на подобные технологии привело к росту предложения на рынке, к увеличению количества конкурирующих производителей, и, как следствие, к снижению цены на средства защиты информации и к приобретению этой технологией массовости.

Виды систем

В современном мире биометрическая защита информации является одним из наиболее действенных методов ее сохранения. Благодаря процессу аутентификации человека, то есть сравнения его характеристик с характеристиками, заранее внесенными в систему, удается с максимальной точностью определить, имеет данный человек доступ к запрашиваемой информации или же все-таки нет.

В целом, все средства информационной защиты, основанные на биометрии, можно разделить по средству идентификации на два вида: статические и динамические.

Статические

К статическим относятся методы аутентификации по неповторимым чертам физиологии конкретного человека, которые сохраняются в организме в течение всей его жизни. Наиболее популярными примерами являются:

• Дактилоскопия – способ, когда для распознавания личности используются отпечатки уникального рисунка линий на подушке пальца руки. Этот метод до удивления удобен в использовании, потому крайне часто используется в различных бытовых биометрических системах, таких как мобильные телефоны с функцией распознавания отпечатков пальцев и биометрические дверные замки.
• Сканирование радужной оболочки глаза – один из наиболее точных способов аутентификации. Рисунок “радужки” формируется задолго до рождения человека и имеет крайне сложный и очень четкий рисунок. На качество распознавания оболочки глаза не влияют очки и контактные линзы, что делает такой способ еще и одним из самых удобных.
  В 2015 году этот метод также был внедрен в мобильные технологии, что несомненно дало большой толчок его популяризации и массовому распространению.
• Распознавание по геометрии руки– ширина и длина пальцев, изгиб их фаланг, расстояние между их суставами – все это, и еще многое другое, позволяет вполне надежно и достоверно выяснить, принадлежит исследуемая рука владельцу данных, или же кто-то пытается получить несанкционированный доступ. Хотя по отдельности эти показатели у разных людей могут сходиться, в совокупности шансы на подобное ничтожно малы.
  Достоинства данного метода заключаются в относительной простоте требуемого оборудования, что способствует его сравнительной дешевизне и доступности.
  Однако, у него имеется также и один существенный недостаток: любые травмы и повреждения руки, в том числе порезы, шишки и ушибы, а именно на этой части тела их появление очень даже вероятно, способны сильно снизить эффективность работы распознающего оборудования.
• Считывание геометрии лица– способ, в последние годы получивший все большее и большее распространение. Он основывается на выделении основных контуров человеческого лица (глаза, нос, губы брови и т.д.) и выстраивании на их основе объемного изображения. Данный метод получил широкое внедрение в многокамерных системах идентификации человека по чертам лица и используется в работе полиции и спецслужб по всему миру.

Динамические

К динамическим методам биометрической идентификации относятся те, которые основаны на анализе подсознательных поведенческих процессов, выражаемых в постоянно повторяющихся действиях, привычках и т.д. Среди них можно выделить:

• Распознавание голоса– довольно простой, но не самый надежный метод. Несмотря на то, что для повышения точности аутентификации комбинируют показатели интонации речи, звуковой высоты и модуляции голоса, для получения доступа преступник может, например, использовать запись с диктофона, что значительно снижает степень защищенности.
  Другой недостаток заключается в том, что голос имеет свойство изменяться в течение жизни человека, а также в связи с состоянием его здоровья. Таким образом, вариативность идентификации резко снижается.

• Графологическое распознавание основано на считывании уникального графического почерка человека, появляющегося за счет рефлекторно совершаемых кистью руки движений при письме. Для считывания данных используют специальные приборы-стилусы, фиксирующие информацию о силе давления на поверхность.

Как обмануть систему?

Прежде всего, ни одна, даже самая надежная биометрическая система защиты не способна дать стопроцентную гарантию того, что ее никто не сумеет обойти. Например, биометрический сканер лица на подавляющем большинстве смартфонов можно обойти, изготовив гипсовую копию головы, как в 2018 году и поступил журналист издания Forbes, разблокировав 4 из 5 инспектируемых им смартфонов при помощи гипсовой копии себя.

И все же, не получится обмануть биометрию в смартфоне, сделав макет по одной фотографии, ведь для изготовления качественного бюста необходимо несколько фото, сделанных с разных ракурсов и при хорошем уровне освещения.

Как оказалось, дактилоскопическая биометрия тоже имеет все шансы быть обманутой. Японский криптограф Цутому Мацумото в своем руководстве от 2002 года подробно описал, как вполне не сложно в домашней обстановке можно обработать отпечаток пальца жертвы и изготовить из желатина выпуклую маску.

Сложнее всего для злоумышленника − сделать качественную копию настоящего отпечатка пальца, ведь самые четкие образцы отпечатков приходится искать на стеклянных поверхностях или дверных ручках. Однако, сейчас становится все легче и легче воспроизвести рисунок линий на подушечке непосредственно с фотографии.

Однако, часто получение доступа к смартфону обыкновенного пользователя отнюдь не стоит средств, которые придется на него затратить, так что злоумышленнику это будет попросту невыгодно. Отсюда следует, что гипсовый бюст обойдется ему примерно в $400, а значит взлом телефона должен будет принести ему больше этой суммы.

Применение

Биометрические технологии обеспечения безопасности все чаще и чаще становятся повседневными атрибутами жизни обычного человека. Как уже было сказано ранее, в последние годы они получили крайне широкое распространение в сфере производства мобильной техники: в смартфоны встраивают сканеры отпечатков пальцев, сканеры геометрии лица, распознаватели голоса. Все это делает жизнь обыкновенного пользователя намного удобнее, спокойнее и безопаснее.
Точно такими же устройствами теперь очень часто оборудуют персональные компьютеры, умные дома и многую другую компьютеризованную технику.

В настоящем самым распространенным из этих методов является дактилоскопический, будучи наиболее надежным, доступным и подходящим для личного пользования вариантом.

Биометрические системы также довольно популярны среди предприятий, где вход на территорию или доступ к информации открыт для большого, но ограниченного круга лиц. На пропускных пунктах таких предприятий обычно установлено специализированное оборудование, позволяющее идентифицировать “своего” человека через радужную оболочку глаза, геометрию руки, лица или через рисунок папиллярных линий на подушечках пальцев рук, а иногда и все вместе.

Внедрение биометрии открывает море разных возможностей еще и в банковском деле, сильно облегчая жизнь не только банку, но и его клиентам. С помощью внедрения биометрических технологий руководства банков хотят снизить количество краж данных, случаев мошенничества и намного упростить процедуру работы клиента с банкоматом.
Так, биометрическая система была впервые внедрена в Сбербанке России в 2017 году в банкомате в Москве на Кутузовском проспекте.

Система аутентификации в банкоматах Сбербанк

В июне 2017 года Сбербанком был запущен пилотный проект банкомата, способного аутентифицировать клиента по его лицу, без надобности для него иметь при себе банковскую карточку. Чтобы внести в базу биометрическую модель своего лица, клиенту необходимо обратиться в отделение банка.

В банке утверждают, что сканирование лица будет самым надежным способом биометрической идентификации, поскольку папиллярный узор отпечатков пальцев может легко повредиться, что повышает количество ошибок оборудования во время работы с ним людей с сухой кожей и пенсионеров.

Подобные системы распознавания распространяются также и за рубежом. Например, в Макао, районе Китая, где легализованы азартные игры, наличие системы распознавания лиц в банкоматах стало обязательным.

Эксперты считают, что физические носители, в том числе и банковские карты, стремительно устаревают, и что на смену им в ближайшем будущем должна прийти биометрическая система, что позволит в разы повысить степень безопасности и удобства банковских учреждений.

Источник

Биометрическим способам защиты информации относятся

Обзор документа

Проект Указания Банка России “Об определении перечня угроз безопасности биометрических персональных данных, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации” (по состоянию на 12.02.2018)

1. На основании части 14 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3448; 2010, № 31, ст. 4196; 2011, № 15, ст. 2038, № 30, ст. 4600; 2012, № 31, ст. 4328; 2013, № 14, ст. 1658, № 23, ст. 2870, № 27, ст. 3479, № 52, ст. 6961, 6963; 2014, № 19, ст. 2302, № 30, ст. 4223, 4243, № 48, ст. 6645; 2015, № 1, ст. 84, № 27, ст. 3979, № 29, ст. 4389, 4390; 2016, № 26, ст. 3877, № 28, ст. 4558, № 52, ст. 7491; 2017, № 18, ст. 2664, № 24, ст. 3478, № 25, ст. 3596, № 27, ст. 3953, № 31, ст. 4790, 4825, 4827, № 48, ст. 7051; 2018, № 1, ст. 66) (далее — Федеральный закон № 149-ФЗ) настоящее Указание определяет перечень угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона № 149-ФЗ, (далее — иные организации) в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее — единая биометрическая система).

2. Под актуальными угрозами безопасности при обработке, включая сбор и хранение, биометрических персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к биометрическим персональным данным при их обработке, включая сбор и хранение, в единой биометрической системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение биометрических персональных данных, а также иные неправомерные действия 1 .

1 Пункт 6 постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

3. Угрозами безопасности биометрических персональных данных, актуальными при обработке, включая сбор и хранение, в государственных органах, банках и иных организациях в единой информационной системе персональных данных, являются в том числе:

угроза несанкционированного доступа к биометрическим персональным данным, лицами, обладающими полномочиями в информационной системе персональных данных банка и иной организации при регистрации клиента — физического лица;

угроза несанкционированного доступа к биометрическим персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных банка и иной организации, с использованием уязвимостей в программном обеспечении информационной системы персональных данных, уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных, уязвимостей в организации защиты биометрических персональных данных, а также с использованием недекларированных возможностей прикладного программного обеспечения информационной системы персональных данных при регистрации клиента — физического лица;

угроза несанкционированного доступа к биометрическим персональным данным при их передаче между информационной системой персональных данных банка и иной организации, Единой системой межведомственного электронного взаимодействия и Федеральной государственной информационная системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» и (или) единой биометрической системой с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных, а также уязвимостей в обеспечении защиты вычислительных сетей;

угроза несанкционированного доступа к биометрическим персональным данным лицами, обладающими полномочиями в единой биометрической системе, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации единой биометрической системы;

угроза несанкционированного доступа к биометрическим персональным данным лицами, не обладающими полномочиями в единой биометрической системе с использованием уязвимостей в программном обеспечении единой биометрической системы, уязвимостей в обеспечении защиты вычислительных сетей единой биометрической системы, а также с использованием недекларированных возможностей прикладного программного обеспечения единой биометрической системы;

угроза несанкционированного доступа к биометрическим персональным данным при их передаче между компонентами единой биометрической системы с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных, а также уязвимостей в обеспечении защиты вычислительных сетей единой биометрической системы;

угроза атаки типа «отказ в обслуживании» на единую биометрическую систему;

угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных государственного органа, банка и иной организации, единой биометрической системе;

угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных государственного органа, банка и иной организации, единой биометрической системе;

угроза несанкционированного доступа к клиентскому устройству клиента — физического лица с использованием уязвимостей в прикладном программном обеспечении клиентского устройства клиента — физического лица.

угроза воздействия вредоносного кода, внешнего по отношению к клиентскому устройству клиента — физического лица;

угроза использования методов социального инжиниринга к клиенту — физическому лицу;

4. Определение типа угроз безопасности биометрических персональных данных, актуальных при обработке, включая сбор и хранение, для единой биометрической системы, производится оператором единой биометрической системы в соответствии с пунктом 7 постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2012, № 45, ст. 6257).

5. Настоящее Указание подлежит официальному опубликованию и вступает в силу с 30 июня 2018 года.

Председатель Центрального банка Российской Федерации

Директор Федеральной службы безопасности Российской Федерации

А.В. Бортников

Директор Федеральной службы по техническому и экспортному контролю

В.В. Селин

Пояснительная записка
к проекту Указания Банка России «Об определении перечня угроз безопасности биометрических персональных данных, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации»

Проект Указания Банка России разработан для обеспечения защиты прав граждан при обработке их биометрических персональных данных в целях проведении идентификации. Кроме того, документ призван обеспечить необходимый уровень защиты самих биометрических персональных данных при их сборе, обработке и хранении.

Вступление в силу данного Указания также позволит сформировать основы для установления требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации.

Действие документа распространяется на государственные органы, кредитные и другие организации, указанные в части 1 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ.

Ожидается, что проект указание вступит в силу 30 июня 2018 года. Замечания и предложения по его содержанию принимаются с 12 по 25 февраля 2018 года по адресу kraevaos@cbr.ru.

Обзор документа

Госорганам, банкам и иным организациям предоставлено право собирать биометрические персональные данные (БПД) граждан и устанавливать по ним личность.

Разработан перечень угроз безопасности БПД, актуальных при обработке БПД, их проверке и передаче информации о степени их соответствия предоставленным БПД гражданина в госорганах, банках и иных организациях в Единой биометрической системе.

Под угрозами понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в т. ч. случайного, доступа к БПД при их обработке, включая сбор и хранение, в Единой системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение БПД, а также иные неправомерные действия.

Источник