7 Требования к средствам высоконадежной биометрической аутентификации, принимающим решение путем анализа нескольких разнородных биометрических образов
7.1 Одним из эффективных путей усиления уровня защищенности биометрических средств аутентификации и ограничения доступа является использование совокупности разных биометрических механизмов. При этом разные биометрические механизмы имеют разный уровень стойкости к атакам подбора, и соответственно используемые механизмы их объединения должны исключать возможность обхода мультибиометрической защиты через наиболее слабый механизм. Возможны два способа решения задачи и их комбинации.
7.2 Безопасное объединение двух и более биометрических механизмов может быть осуществлено по выходам нескольких преобразователей биометрии в ключ. Рекомендуется осуществлять объединение путем формирования общего (составного) ключа, каждый из фрагментов которого формируется своим преобразователем "биометрия-код". Взаимная балансировка различных биометрических механизмов осуществляется выбором длины ключевого фрагмента для каждого механизма пропорционально его стойкости к атакам подбора. Рекомендации по выбору сбалансированных длин ключей приведены в таблицах А.1 - А.3 (приложение А).
7.3 Безопасное объединение двух и более биометрических механизмов допустимо осуществлять по входам одного общего преобразователя биометрии в код. По этому способу вектора биометрических параметров разных биометрических механизмов объединяются в один длинный вектор, который и подается на входы единственного преобразователя "биометрия-код".
7.4 Допускается использование комбинаций объединения биометрических механизмов по входам и выходам преобразователей.
7.5 При формировании биометрического ключа с длиной, существенно превышающей необходимую длину криптографического ключа аутентификации (например, при объединении разнородных биометрических механизмов), рекомендуется осуществлять сокращение длины биометрического ключа до требуемого размера через вычисление хэш-функции по ГОСТ 34.311 и использование части хэшированной информации.
7.6 Недопустимо снабжать средства высоконадежной биометрической аутентификации однозначными показателями (индикаторами) правильности формирования фрагментов ключа. Допустимо однозначно отображать только появление всего составного верного ключа. Допустимо использование только неоднозначных косвенных индикаторов контроля фрагментов составного ключа.
8 Основные показатели и характеристики для средств высоконадежной биометрической аутентификации
8.1 СВБА должны сообщать пользователю следующие параметры, отражающие их способность осуществлять положительную аутентификацию:
- вероятность ошибочного отказа "Своему" для среднестатистического пользователя;
- прогноз вероятности ошибочного отказа "Своему" на конкретном биометрическом образе пользователя.
8.2 СВБА должно сообщать пользователю следующие параметры, отражающие способность противостоять попыткам его обхода:
- вероятность ошибочного пропуска "Чужого" при предъявлении им случайного биометрического образа для среднестатистического пользователя при отсутствии компрометации биометрического образа;
- прогноз значения вероятности пропуска "Чужого" при предъявлении им случайного биометрического образа для конкретного нескомпрометированного биометрического образа пользователя;
- вероятность пропуска "Чужого" для скомпрометированного биометрического образа среднестатистического пользователя;
- вероятность удачи подбора ключа (пароля) с первой попытки (величина, обратная размерам ключевого поля);
- вероятность удачи подбора биометрического образа среднестатистического пользователя с первой попытки при атаке подбора нормальным белым шумом (величина, обратная размерам поля возможных некоррелированных состояний биометрических образов);
- прогноз значения вероятности удачи подбора биометрического образа конкретного пользователя с первой попытки при атаке подбора нормальным "белым шумом" (прогноз величины, обратной размерам поля возможных некоррелированных состояний конкретного биометрического образа);
- вероятность удачи подбора биометрического образа среднестатистического пользователя с первой попытки при атаке коррелированным нормальным шумом, воспроизводящим корреляционные связи реальных биометрических образов (величина, обратная размерам поля возможных коррелированных состояний биометрических образов);
- прогноз значения вероятности удачи подбора биометрического образа конкретного пользователя с первой попытки при атаке подбора коррелированным нормальным шумом, воспроизводящим корреляционные связи реальных биометрических образов (прогноз величины, обратной размерам поля возможных коррелированных состояний конкретного биометрического образа).
8.3 Производителям средств высоконадежной биометрической аутентификации предписывается сообщать пользователям о материальных затратах и затратах времени на преодоление их биометрической защиты отнесанкционированногодоступа (НСД) через подбор биометрических параметров, подбор ключа (пароля), изготовление муляжей биометрических образов на физическом уровне.
9 Требования к индикации режимов работы (конфигурации) и индикации критических переключателей режимов для средств высоконадежной биометрической аутентификации
9.1 Предоставленное пользователю СВБА должно иметь средства управления своей конфигурацией.
9.1.1 Программный или аппаратно-программный продукт высоконадежной биометрической аутентификации должен быть авторизован (инсталлироваться только с диска производителя, отвечающего за его действия и содержание), а также быть обеспечен средствами контроля авторизации. Авторизация действующего программного продукта должна быть двухсторонней (со стороны производителя и со стороны потребителя). После обучения биометрической защиты пользователь должен иметь средства контроля за отсутствием каких-либо модификаций системы. Авторизация со стороны производителя должна осуществляться в виде уникального номера и ЭЦП производителя поставляемого программного продукта. Авторизация со стороны потребителя должна осуществляться в виде уникального имени пользователя средства биометрической защиты и даты его обучения, а также в виде ЭЦП потребителя (пользователя). Биометрическая защита должна автоматически проверять последнюю авторизацию (цепь событий авторизации контролируется в ручном режиме).
9.1.2 СВБА должно иметь конкретную конфигурацию или быть оснащено средствами управления настройками конфигурации. Единственная конфигурация средства высоконадежной биометрической аутентификации или все возможные ее комбинации должны быть описаны в технической документации. После изменения конфигурации, как и после переобучения, средства должны отслеживать все изменения в настройках. В СВБА должен присутствовать механизм контроля целостности заданной пользователем конфигурации средства высоконадежной биометрической аутентификации.
9.1.3 СВБА должно работать в строго заданной конфигурации аппаратно-программных средств обработки информации и конкретных параметрах вычислительной среды. Изменения конфигурации средств обработки информации и характеристик вычислительной среды должны отслеживаться средствами контроля конфигурации и параметров внешней вычислительной среды.
9.1.4 Система управления конфигурацией должна быть обеспечена документацией разработчика со списком возможных комбинаций управления конфигурацией. Изменения настроек конфигурации системы должны осуществляться строго в соответствии с документацией производителя, содержащей перечень планов последовательного изменения конфигурации.
9.1.5 Система управления конфигурацией должна предусматривать такие меры (в том числе и организационно-технические), при которых могут быть осуществлены только санкционированные изменения настроек конфигурации.
9.2 СВБА должны однозначно отражать режимы своей работы и оповещать пользователей об уровне опасности этих режимов и последствиях их переключения.
9.2.1 Режимы повышенной опасности, такие как:
- режим переобучения системы на новый биометрический образ;
- режим переобучения системы для смены ключа (длинного пароля);
- режим уничтожения старого ключа (пароля) и ввода нового ключа (пароля);
- режим генерирования новых длинных паролей и замены старых длинных паролей;
- режимы уничтожения конфиденциальной биометрической информации должны однозначно отображаться так, чтобы пользователь не мог их спутать с другими, менее опасными режимами работы.
9.2.2 Критические переключатели режимов должны быть выполнены с дублированием, требованием подтверждения переключения, исключающим случайную инициализацию опасных режимов.
10 Перечень угроз и способов обеспечения информационной безопасности при применении средств высоконадежной биометрической аутентификации
10.1 Угрозы информационной безопасности для средств высоконадежной биометрической аутентификации
10.1.1 Компрометация тайного биометрического образа человека на физическом уровне.
Например, малогабаритные средства подслушивания могут перехватить голосовой пароль пользователя или миниатюрные средства наблюдения могут перехватить тайный рукописный пароль пользователя.
10.1.2 Перехват тайного электронного образа человека в виде его биометрических данных или в виде вектора его биометрических параметров.
Подмена или модификация ПО обработки биометрической информации позволяет злоумышленнику получить (скомпрометировать) тайный электронный биометрический образ человека. Человек не может почувствовать подмену, если он не обеспечен специальными механизмами контроля целостности ПО и функций вычислительных процессов, идущих параллельно с биометрической аутентификацией.
10.1.3 Перехват криптографического ключа или длинного пароля.
10.1.4 Случайный подбор тайного биометрического образа на физическом уровне.
10.1.5 Случайный подбор электронного тайного биометрического образа.
10.1.6 Случайный подбор криптографического ключа или длинного пароля.
10.1.7 Извлечение конфиденциальной информации из структуры и параметров преобразователя "биометрия-код".
10.1.8 Саботаж и нелояльность пользователя при обучении биометрической системы.
10.1.9 Сговор.
10.1.10 Некорректное поведение администратора безопасности системы.