Единые биометрические стандарты

Количество стандартов по биометрии распределяется следующим образом:

• более 80 действующих международных стандартов, более 20 проектов находится в разработке;
• более 40 действующих национальных стандартов (более 70% стандартов, разработанных в 2018 г., являются модифицированными с учетом российских потребностей), более 20 проектов находятся в разработке;
• три действующих межгосударственных стандарта (терминология, структура форматов обмена биометрическими данными и др.), один проект находится в разработке

Форматы обмена биометрическими данными

Для всех биометрических модальностей, присутствующих на рынке, имеются свои форматы обмена, которые устанавливают единые "правила игры". Они предназначены для использования открытых биометрических систем и позволяют исключить зависимость от одного производителя оборудования и создавать вендоронезависимые системы. 

С 2018 г. Русское биометрическое общество (РБО) входит в список ведущих организаций ЕСФОБД (CBEFF), зарегистрированных IBIA в установленном порядке в соответствии с требованиями международного стандарта ИСО/МЭК 19785-2. Ведущие организации в области биометрии — организации, которые открыто разрабатывают стандарты в области биометрических технологий. Это способствует масштабной и корректной реализации требований стандартов на форматы обмена биометрическими данными, в частности завершается разработка национального стандарта на голос — ГОСТ Р ИСО/МЭК 19794-13 "Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 13. Данные голоса", а в ближайшей перспективе планируется разработка национального стандарта на походку. Постановлением Правительства РФ от 11 апреля 2019 г. № 425 "О внесении изменений в приложение к постановлению Правительства Российской Федерации от 17 июля 2015 г. N 719" (http://government.ru/docs/all/121455/) были утверждены требования по подтверждению производства биометрической продукции на территории Российской Федерации. Среди основополагающих требований — поддержка открытых форматов обмена биометрическими данными.

Испытания

Требования к проведению испытаний биометрических технологий установлены в серии национальных стандартов ГОСТ Р ИСО/МЭК 19795 "Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии".

В 2018 г. был завершен пересмотр национального стандарта ГОСТ Р ИСО/МЭК 19795-2, который определяет требования к проведению технологических и сценарных испытаний. В обновленную редакцию добавлены требования для проведения испытаний мультимодальных биометрических систем и пример инструментария для проведения технологических испытаний и подготовки протоколов испытаний. ГОСТ Р 58292–2018 (ИСО/МЭК 19795-2:2007) "Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 2. Методы проведения технологического и сценарного испытаний" вводится в действие с 1 августа 2019 г.

Термины и определения

С 1 июля 2017 г. на территории РФ действует стандарт на термины и определения в области биометрии ГОСТ ISO/IEC 2382-37–2016 "Информационные технологии. Словарь. Часть 37.
Биометрия". В настоящее время разрабатываться его пересмотр, и в обновленный вариант войдут термины, касающиеся определения живого человека и атаки на биометрическое предъявление.

Liveness

Технология определения живого человека и определения атаки на биометрическое предъявление активно развивается, а значит и совершенствуется нормативно-техническая база в данном направлении. В настоящее время завершается разработка трех основополагающих стандартов:

• ГОСТ Р (ИСО/МЭК 30107-1) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура";
• ГОСТ Р (ИСО/МЭК 30107-2) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 2. Форматы данных";
• ГОСТ Р (ИСО/МЭК 30107-3) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний"

Пиктограммы, значки и символы в области биометрии

В 2018 г. экспертами Некоммерческого партнерства "Русское биометрическое общество" и кафедры БМТ 1 МГТУ им. Н.Э. Баумана было проведено исследование по восприятию и пониманию пользователями биометрических технологий информационных символов (обозначающих биометрическую модальность — лицо и отпечаток пальца), значков и пиктограмм, а также визуальных инструкций, которые будут использоваться в различных биометрических терминалах (лицо и отпечаток пальца) при биометрической регистрации/верификации/идентификации пользователей. В исследованиях мог принять участие любой желающий. Результаты исследований вошли в окончательные редакции разрабатываемых проектов национальных стандартов:

• ГОСТ Р (ИСО/МЭК 24779-4) "Информационные технологии. Биометрия. Межюрисдикционные и социальные аспекты применения биометрических технологий. Пиктограммы, значки и символы для использования в биометрических
  система. Часть 4. Приложения, осуществляющие работу с отпечатками пальцев";
• ГОСТ Р (ИСО/МЭК 24779-5) "Информационные технологии. Биометрия. Межюрисдикционные и социальные аспекты применения биометрических технологий. Пиктограммы, значки и символы для использования в биометрических системах. Часть 5. Приложения, осуществляющие работу с изображениями лица".

Биометрическая система на идентификационной карте

На рынке все больше укрепляется тренд размещения маленького сканера и биометрического контрольного шаблона на самой идентификационной карте. В таком случае для идентификации больше не нужно обращаться к защищенной базе данных биометрических контрольных шаблонов. Требования к этим картам и их физическим характеристикам установлены в серии национальных стандартов – ГОСТ Р (ИСО/МЭК 17839) "Информационные технологии. Биометрическая система на идентификационной карте".

Применение биометрии в системах видеонаблюдения

В планах стандартизации предусмотрена проработка сценариев на применение биометрии в системах видеонаблюдения. Дальнейшее совершенствование будет начато с разработки ГОСТ Р "Информационные технологии. Биометрия. Применение биометрии в системах видеонаблюдения. Часть 1. Типовая архитектура системы и спецификация".

Почему необходимо следовать стандартам?

Российский и зарубежный негативный опыт наглядно показывает, что происходит, когда соблюдению определенных стандартов не уделяется должное внимание или когда они вовсе игнорируются. Приведем только несколько примеров.

E-gate в Шереметьево
В 2012 г. в аэропорту Шереметьево (терминал Е) не были запущены российские автоматические системы паспортного контроля (E-gate) из-за большого числа ошибок распознавания, связанных с несоблюдением требований к условиям регистрации биометрических контрольных шаблонов. Если у зарубежных коллег E-gate уже вовсю применяются, то у нас, к сожалению, из-за некоторых ошибок, которые были допущены изначально, система так и не запустилась.

Ложные совпадения в Великобритании
В 2017 г. Великобритания активно использовала систему видеонаблюдения и на стадионах, и в общественных местах, и при проведении различного рода мероприятий. С мая 2017 г. по март 2018 г. система выдала для полиции Южного Уэльса 2685 совпадений людей с базой данных подозреваемых, однако 2451 из них оказалось ложными.
На карнавале Ноттинг-Хилл в 2017 г. показания системы оказались ошибочными в 98% случаев, когда срабатывал сигнал о том, что якобы замечен подозреваемый из полицейской базы данных.
Более 2 тыс. болельщиков, присутствовавших на финале Лиги чемпионов УЕФА–2017 в Кардиффе, были ошибочно идентифицированы как преступники вследствие низкого качества изображений в базе данных и отсутствия предварительных сценарных испытаний.

Отсутствие качественных испытаний
Более 80% биометрических систем в РФ не проходили корректные испытания, а методики тестирований, которые предлагают сами вендоры (разработчики алгоритмов), обладают рядом недостатков:

1. Протоколы испытаний не соответствуют требованиям национальных и международных стандартов.
2. Возможности СПО завышены и не учтены в протоколе испытаний. (Выдержка из методики испытаний одного российского вендора: "Нужно внутри провести обсуждение, что из этого мы можем продемонстрировать реально".)
3. Путаница в основных видах испытаний (технологическое, сценарное, оперативное).
4. Использование баз данных с биометрическими образцами из открытых источников.
5. Формирование испытуемой группы из представителей заказчика и разработчика.
6. Некорректное определение размера испытуемой группы и увеличение числа испытаний путем увеличения числа транзакций для одного субъекта.
7. Отсутствие попыток "активного" и "пассивного" самозванца при проведении испытаний.
8. Испытание различных биометрических алгоритмов и систем в неодинаковых условиях.
9. Отсутствие испытаний алгоритмов определения живого человека (Liveness Detection) и проведения атак на биометрическое предъявление.

Область регистрации сканеров
Часто биометрическое оборудование для сбора и идентификации по отпечаткам пальцев и ладоней имеет меньшую область регистрации, чем размер пальца/ладони руки у среднестатистического человека.

Проприетарные форматы в открытых системах
Применение проприетарных форматов ведет к тому, что к системе невозможно подключить оборудование и алгоритмы других вендоров.

Биометрия в смартфонах
Liveness-технологии в устройствах iPhone и Samsung взламываются относительно легко, что было сделано уже не раз.  Ни на одном из смартфонов нет примечания, что он был сертифицирован в соответствии с международными стандартами (серия ИСО/МЭК 19795 и серия ИСО/МЭК 30107), которые устанавливают требования к проведению испытаний. Выводы делайте сами.

Ключевые нововведения
Постановлением Правительства РФ от 11 апреля 2019 г. № 425 "О внесении изменений в приложение к постановлению Правительства Российской Федерации от 17 июля 2015 г. N 719"
(http://government.ru/docs/all/121455/) были утверждены требования по подтверждению производства биометрической продукции на территории Российской Федерации, которые были подготовлены Некоммерческим партнерством "Русское биометрическое общество" и техническим комитетом по стандартизации 098 "Биометрия и биомониторинг".

Требования установлены к следующим наименованиям товара:

• сканеры биометрические;
• терминалы биометрические, включая терминалы контроля документов и верификации личности;
• турникеты биометрические;
• кабины шлюзовые биометрические;
• кабины проходные биометрические;
• комплексы автоматического пересечения государственной границы биометрические;
• системы контроля и управления доступом биометрические;
• комплексы (системы, комплекты) регистрации биометрических данных.

Перечень требований:

1. С 1 января 2019 г. наличие у юридического лица – налогового резидента стран – членов Евразийского экономического союза прав на конструкторскую, технологическую и программную документацию в объеме, достаточном для производства, модернизации, развития и поддержки соответствующей продукции, на срок не менее пяти лет.
2. Наличие у юридического лица – налогового резидента стран – членов Евразийского экономического союза подразделения научно-исследовательских и опытно-конструкторских работ.
3. Осуществление на территории Российской Федерации с 1 января 2019 г. следующих операций:
   - входной контроль комплектующих (сборочных единиц);
   - сборка;
   - проверка функциональности основных узлов;
   - юстировка и калибровка;
   - проведение контрольных испытаний;
   - загрузка и конфигурирование программного
   обеспечения;
   - упаковка.
4. С 1 января 2019 г. соблюдение процентной доли стоимости использованных при производстве иностранных товаров – не более 60% цены товара.
5. С 1 января 2020 г. соблюдение процентной доли стоимости использованных при производстве иностранных товаров – не более 50% цены товара.
6. С 1 января 2020 г. для подтверждения соответствия стандартам будет необходима поддержка открытых форматов обмена биометрическими данными.

Опубликовано в журнале "Системы безопасности" №3/2019