Единые биометрические стандарты
Данила Николаев, 11/07/19
Количество стандартов по биометрии распределяется следующим образом:
- более 80 действующих международных стандартов, более 20 проектов находится в разработке;
- более 40 действующих национальных стандартов (более 70% стандартов, разработанных в 2018 г., являются модифицированными с учетом российских потребностей), более 20 проектов находятся в разработке;
- три действующих межгосударственных стандарта (терминология, структура форматов обмена биометрическими данными и др.), один проект находится в разработке
Форматы обмена биометрическими данными
Для всех биометрических модальностей, присутствующих на рынке, имеются свои форматы обмена, которые устанавливают единые "правила игры". Они предназначены для использования открытых биометрических систем и позволяют исключить зависимость от одного производителя оборудования и создавать вендоронезависимые системы.
С 2018 г. Русское биометрическое общество (РБО) входит в список ведущих организаций ЕСФОБД (CBEFF), зарегистрированных IBIA в установленном порядке в соответствии с требованиями международного стандарта ИСО/МЭК 19785-2. Ведущие организации в области биометрии — организации, которые открыто разрабатывают стандарты в области биометрических технологий. Это способствует масштабной и корректной реализации требований стандартов на форматы обмена биометрическими данными, в частности завершается разработка национального стандарта на голос — ГОСТ Р ИСО/МЭК 19794-13 "Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 13. Данные голоса", а в ближайшей перспективе планируется разработка национального стандарта на походку. Постановлением Правительства РФ от 11 апреля 2019 г. № 425 "О внесении изменений в приложение к постановлению Правительства Российской Федерации от 17 июля 2015 г. N 719" (http://government.ru/docs/all/121455/) были утверждены требования по подтверждению производства биометрической продукции на территории Российской Федерации. Среди основополагающих требований — поддержка открытых форматов обмена биометрическими данными.
Испытания
Требования к проведению испытаний биометрических технологий установлены в серии национальных стандартов ГОСТ Р ИСО/МЭК 19795 "Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии".
В 2018 г. был завершен пересмотр национального стандарта ГОСТ Р ИСО/МЭК 19795-2, который определяет требования к проведению технологических и сценарных испытаний. В обновленную редакцию добавлены требования для проведения испытаний мультимодальных биометрических систем и пример инструментария для проведения технологических испытаний и подготовки протоколов испытаний. ГОСТ Р 58292–2018 (ИСО/МЭК 19795-2:2007) "Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 2. Методы проведения технологического и сценарного испытаний" вводится в действие с 1 августа 2019 г.
Термины и определения
С 1 июля 2017 г. на территории РФ действует стандарт на термины и определения в области биометрии ГОСТ ISO/IEC 2382-37–2016 "Информационные технологии. Словарь. Часть 37.
Биометрия". В настоящее время разрабатываться его пересмотр, и в обновленный вариант войдут термины, касающиеся определения живого человека и атаки на биометрическое предъявление.
Liveness
Технология определения живого человека и определения атаки на биометрическое предъявление активно развивается, а значит и совершенствуется нормативно-техническая база в данном направлении. В настоящее время завершается разработка трех основополагающих стандартов:
- ГОСТ Р (ИСО/МЭК 30107-1) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура";
- ГОСТ Р (ИСО/МЭК 30107-2) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 2. Форматы данных";
- ГОСТ Р (ИСО/МЭК 30107-3) "Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний"
Пиктограммы, значки и символы в области биометрии
В 2018 г. экспертами Некоммерческого партнерства "Русское биометрическое общество" и кафедры БМТ 1 МГТУ им. Н.Э. Баумана было проведено исследование по восприятию и пониманию пользователями биометрических технологий информационных символов (обозначающих биометрическую модальность — лицо и отпечаток пальца), значков и пиктограмм, а также визуальных инструкций, которые будут использоваться в различных биометрических терминалах (лицо и отпечаток пальца) при биометрической регистрации/верификации/идентификации пользователей. В исследованиях мог принять участие любой желающий. Результаты исследований вошли в окончательные редакции разрабатываемых проектов национальных стандартов:
- ГОСТ Р (ИСО/МЭК 24779-4) "Информационные технологии. Биометрия. Межюрисдикционные и социальные аспекты применения биометрических технологий. Пиктограммы, значки и символы для использования в биометрических
система. Часть 4. Приложения, осуществляющие работу с отпечатками пальцев"; - ГОСТ Р (ИСО/МЭК 24779-5) "Информационные технологии. Биометрия. Межюрисдикционные и социальные аспекты применения биометрических технологий. Пиктограммы, значки и символы для использования в биометрических системах. Часть 5. Приложения, осуществляющие работу с изображениями лица".
Биометрическая система на идентификационной карте
На рынке все больше укрепляется тренд размещения маленького сканера и биометрического контрольного шаблона на самой идентификационной карте. В таком случае для идентификации больше не нужно обращаться к защищенной базе данных биометрических контрольных шаблонов. Требования к этим картам и их физическим характеристикам установлены в серии национальных стандартов – ГОСТ Р (ИСО/МЭК 17839) "Информационные технологии. Биометрическая система на идентификационной карте".
Применение биометрии в системах видеонаблюдения
В планах стандартизации предусмотрена проработка сценариев на применение биометрии в системах видеонаблюдения. Дальнейшее совершенствование будет начато с разработки ГОСТ Р "Информационные технологии. Биометрия. Применение биометрии в системах видеонаблюдения. Часть 1. Типовая архитектура системы и спецификация".
Почему необходимо следовать стандартам?
Российский и зарубежный негативный опыт наглядно показывает, что происходит, когда соблюдению определенных стандартов не уделяется должное внимание или когда они вовсе игнорируются. Приведем только несколько примеров.
E-gate в Шереметьево
В 2012 г. в аэропорту Шереметьево (терминал Е) не были запущены российские автоматические системы паспортного контроля (E-gate) из-за большого числа ошибок распознавания, связанных с несоблюдением требований к условиям регистрации биометрических контрольных шаблонов. Если у зарубежных коллег E-gate уже вовсю применяются, то у нас, к сожалению, из-за некоторых ошибок, которые были допущены изначально, система так и не запустилась.
Ложные совпадения в Великобритании
В 2017 г. Великобритания активно использовала систему видеонаблюдения и на стадионах, и в общественных местах, и при проведении различного рода мероприятий. С мая 2017 г. по март 2018 г. система выдала для полиции Южного Уэльса 2685 совпадений людей с базой данных подозреваемых, однако 2451 из них оказалось ложными.
На карнавале Ноттинг-Хилл в 2017 г. показания системы оказались ошибочными в 98% случаев, когда срабатывал сигнал о том, что якобы замечен подозреваемый из полицейской базы данных.
Более 2 тыс. болельщиков, присутствовавших на финале Лиги чемпионов УЕФА–2017 в Кардиффе, были ошибочно идентифицированы как преступники вследствие низкого качества изображений в базе данных и отсутствия предварительных сценарных испытаний.
Отсутствие качественных испытаний
Более 80% биометрических систем в РФ не проходили корректные испытания, а методики тестирований, которые предлагают сами вендоры (разработчики алгоритмов), обладают рядом недостатков:
- Протоколы испытаний не соответствуют требованиям национальных и международных стандартов.
- Возможности СПО завышены и не учтены в протоколе испытаний. (Выдержка из методики испытаний одного российского вендора: "Нужно внутри провести обсуждение, что из этого мы можем продемонстрировать реально".)
- Путаница в основных видах испытаний (технологическое, сценарное, оперативное).
- Использование баз данных с биометрическими образцами из открытых источников.
- Формирование испытуемой группы из представителей заказчика и разработчика.
- Некорректное определение размера испытуемой группы и увеличение числа испытаний путем увеличения числа транзакций для одного субъекта.
- Отсутствие попыток "активного" и "пассивного" самозванца при проведении испытаний.
- Испытание различных биометрических алгоритмов и систем в неодинаковых условиях.
- Отсутствие испытаний алгоритмов определения живого человека (Liveness Detection) и проведения атак на биометрическое предъявление.
Область регистрации сканеров
Часто биометрическое оборудование для сбора и идентификации по отпечаткам пальцев и ладоней имеет меньшую область регистрации, чем размер пальца/ладони руки у среднестатистического человека.
Проприетарные форматы в открытых системах
Применение проприетарных форматов ведет к тому, что к системе невозможно подключить оборудование и алгоритмы других вендоров.
Биометрия в смартфонах
Liveness-технологии в устройствах iPhone и Samsung взламываются относительно легко, что было сделано уже не раз. Ни на одном из смартфонов нет примечания, что он был сертифицирован в соответствии с международными стандартами (серия ИСО/МЭК 19795 и серия ИСО/МЭК 30107), которые устанавливают требования к проведению испытаний. Выводы делайте сами.
Ключевые нововведения
Постановлением Правительства РФ от 11 апреля 2019 г. № 425 "О внесении изменений в приложение к постановлению Правительства Российской Федерации от 17 июля 2015 г. N 719"
(http://government.ru/docs/all/121455/) были утверждены требования по подтверждению производства биометрической продукции на территории Российской Федерации, которые были подготовлены Некоммерческим партнерством "Русское биометрическое общество" и техническим комитетом по стандартизации 098 "Биометрия и биомониторинг".
Требования установлены к следующим наименованиям товара:
- сканеры биометрические;
- терминалы биометрические, включая терминалы контроля документов и верификации личности;
- турникеты биометрические;
- кабины шлюзовые биометрические;
- кабины проходные биометрические;
- комплексы автоматического пересечения государственной границы биометрические;
- системы контроля и управления доступом биометрические;
- комплексы (системы, комплекты) регистрации биометрических данных.
Перечень требований:
- С 1 января 2019 г. наличие у юридического лица – налогового резидента стран – членов Евразийского экономического союза прав на конструкторскую, технологическую и программную документацию в объеме, достаточном для производства, модернизации, развития и поддержки соответствующей продукции, на срок не менее пяти лет.
- Наличие у юридического лица – налогового резидента стран – членов Евразийского экономического союза подразделения научно-исследовательских и опытно-конструкторских работ.
- Осуществление на территории Российской Федерации с 1 января 2019 г. следующих операций:
- входной контроль комплектующих (сборочных единиц);
- сборка;
- проверка функциональности основных узлов;
- юстировка и калибровка;
- проведение контрольных испытаний;
- загрузка и конфигурирование программного
обеспечения;
- упаковка. - С 1 января 2019 г. соблюдение процентной доли стоимости использованных при производстве иностранных товаров – не более 60% цены товара.
- С 1 января 2020 г. соблюдение процентной доли стоимости использованных при производстве иностранных товаров – не более 50% цены товара.
- С 1 января 2020 г. для подтверждения соответствия стандартам будет необходима поддержка открытых форматов обмена биометрическими данными.
Опубликовано в журнале "Системы безопасности" №3/2019
Иллюстрации автора
Изображение сгенерировано нейросетью Kandinsky