10.1.11 Неадекватная оценка уровня защищенности, обеспечиваемого биометрическим средством высоконадежной аутентификации.
10.1.12 Потеря доступности в случае утраты и существенного искажения биометрического образа легального пользователя из-за травмы, болезни, приема лекарств, опьянения, стресса.
10.2 Для каждой типовой угрозы информационной безопасности средств высоконадежной биометрической аутентификации может быть противопоставлена типовая политика безопасности, снижающая эффективность атак, реализующих соответствующую угрозу.
10.2.1 Компрометация физического биометрического образа человека может быть снижена за счет проведения биометрической аутентификации только в контролируемой зоне и в зоне проведения специализированных организационно-технических мероприятий.
Примеры
1 Вероятность реализации угрозы компрометации рукописного пароля может быть снижена за счет гашения экрана карманного компьютера при воспроизведении рукописного пароля.
2 За счет использования ларингофона с сохранением в тайне места его контакта с телом при аутентификации по голосу может быть снижена вероятность реализации угрозы компрометации голосового пароля.
3 Вероятность реализации угрозы компрометации тайного биометрического физического образа человека может быть снижена за счет периодической смены тайного биометрического образа (биометрического пароля) пользователя по аналогии со сменой обычных паролей.
10.2.2 Компрометация электронного биометрического образа может быть снижена путем контроля целостности используемого ПО и действий (аудита) вычислительных процессов, идущих параллельно процедурам биометрической аутентификации. Возможен частичный или полный перенос всех биометрических и криптографических операций в специализированную вычислительную среду (чип-брелок с флеш-памятью и собственным процессором). Компрометация тайного биометрического образа человека может быть снижена за счет периодической смены тайного биометрического образа (биометрического пароля) пользователя по аналогии со сменой обычных паролей.
10.2.3 Перехват криптографического ключа (длинного пароля) может быть снижен или исключен путем использования специализированной вычислительной среды, контроля целостности программ, контроля характеристики действий параллельных вычислительных процессов. При дистанционной био-метрико-криптографической аутентификации, осуществляемой по открытым каналам связи, необходимо использовать специальные криптопротоколы, осуществляющие аутентификацию с участием секрета (ключа, пароля), но без их прямого предъявления.
10.2.4 Случайный подбор тайного биометрического образа на физическом уровне может быть уменьшен за счет ограничения числа предоставляемых пользователю попыток аутентификации и за счет увеличения информативности биометрического образа (увеличения числа слов рукописного пароля и числа букв в слове, введения обратных росчерков, тренировок по стабильному написанию рукописного пароля).
10.2.5 Случайный подбор электронного биометрического образа может быть уменьшен путем увеличения сложности преобразователя "биометрия-код", например увеличением числа входов и выходов искусственной нейронной сети преобразователя, увеличением числа слоев нейронов и числа связей у каждого нейрона преобразователя. Это эквивалентно росту сложности алгоритма защиты и появлению соответствующих гарантий стойкости защиты. Кроме того, сам нейросетевой преобразователь может быть сделан недоступным для злоумышленников, например может быть введен запрет на вынос средств биометрико-нейросетевой аутентификации с защищенной территории.
10.2.6 Случайный подбор криптографического ключа или длинного пароля может быть уменьшен до заданного значения за счет увеличения длины ключа (пароля) с соблюдением правил их генерации.
10.2.7 Извлечение конфиденциальной информации из таблиц описания нейронной сети преобразователя "биометрия-код" может быть уменьшен за счет:
- ограничения доступа к таблицам;
- увеличения размерности таблиц;
- генерирования уникальной конфигурации связей нейросети преобразователя для каждого пользователя.
10.2.8 Саботаж и нелояльность пользователя при обучении биометрического средства (искусственной нейронной сети) могут быть снижены, если средство имеет ПО автоматизированного самотестирования и предсказания ожидаемой стойкости защиты. Тогда попытки нелояльных пользователей скомпрометировать средство будут выявлены на этапе ее обучения и тестирования. Средство не должно позволять себя скомпрометировать при обучении, сообщая администратору безопасности о неспособности пользователя или его нежелании иметь биометрическую защиту заданного политикой безопасности уровня.
10.2.9 Угроза сговора (намеренная передача своей биометрии злоумышленникам) может быть снижена при аутентификации по длинному составному ключу (паролю), каждая часть которого связана своей искусственной нейронной сетью с разными пользователями. Группа пользователей и администратор безопасности могут создать общий ключ только совместными усилиями, контролируя друг друга.
10.2.10 Некорректное поведение администратора безопасности уменьшается при отсутствии централизованного хранения тайных биометрических образов конкретных пользователей и использовании при аутентификации протоколов, построенных на асимметричной аутентификации (например, с использованием ЭЦП, когда открытый ключ пользователя известен администратору, личный ключ пользователя администратору неизвестен).
10.2.11 Неадекватная оценка уровня защищенности, обеспечиваемого биометрическим средством защиты, уменьшается путем статистического тестирования средства, его сертификации, профилирования по ГОСТ Р ИСО/МЭК 15408-3. Кроме того, необходимо контролировать уровень ошибок подсистемы тестирования и прогнозирования.
10.2.12 Потеря доступности из-за утраты и существенного искажения биометрического образа легального пользователя может быть ослаблена или снижена за счет дублирования биометрической аутентификации классическими процедурами аутентификации через обладание ключом или знанием длинного пароля. При этом ключ или пароль хранятся в сейфе, а доступ через них является нештатным. Нештатный доступ осуществляется при травмах пользователя, нахождении его в стрессовом состоянии, опьянении, под воздействием психотропных препаратов. Рекомендуется введение в штатные средства аутентификации выходных проверок на соответствие полученного ключа действительному ключу, исключающих компрометацию ключа (например, через контроль значения эталонной хэш-функции полученного ключа). Допускается введение в штатные средства биометрической аутентификации средств индикации близости полученного ключа к действительному ключу, не содержащих информации о самом ключе. Допускается введение в штатные средства аутентификации автоматических средств перебора кодов, близких к ключу (паролю), способных проверять ограниченную часть ключевого поля за приемлемые для пользователя интервалы времени (например, часть реального ключевого поля за один час рабочего времени).
10.3 Меры для обеспечения безопасного использования средств высоконадежной биометрической аутентификации
10.3.1 Программное и аппаратное обеспечение средств биометрической аутентификации должно быть физически защищено или находиться на контролируемой территории или должна регулярно осуществляться проверка целостности их ПО. Целостность программного и аппаратного обеспечения может быть обеспечена дублированием стандартных аппаратных средств ввода информации и дублированием программных средств биометрико-нейросетевой обработки. Дубликаты следует использовать при обнаружении нарушений целостности программных средств или обнаружении неисправности стандартных аппаратных средств ввода биометрической информации и ее обработки.
10.3.1.1 Использование механизмов высоконадежной биометрико-нейросетевой аутентификации без физической защиты вне контролируемой зоны возможно только при условии обеспечения гарантий целостности программных и аппаратных фрагментов средств защиты и условии сохранения в тайне предъявляемого биометрического образа.
10.3.1.2 Использование механизмов высоконадежной биометрико-нейросетевой аутентификации в рамках контролируемой зоны предпочтительно, так как повышает уровень безопасности из-за снижения вероятности компрометации биометрического образа пользователя и снижения вероятности подмены подлинного ПО на модифицированное.
10.3.2 Предполагается, что в отношении персонала справедливо следующее: для управления должен быть назначен компетентный администратор, пользователи лояльно относятся к биометрической защите и добросовестно выполняют инструкции. У пользователей и администратора безопасности нет личной неприязни. Пользователи находятся в нормальном психологическом и физическом состоянии.
11 Правила приемки (поставки)
11.1 Производитель СВБА должен документировать процедуры поставки средств высоконадежной биометрической защиты от НСД или ее части, а также вести строгий учет поставок, рекламаций, атак, обнаруженных пользователями.
11.2 Документация поставки должна содержать описание всех процедур, необходимых для поддержания безопасности при легальном распространении ПО средств высоконадежной биометрической защиты от НСД.
11.2.1 Производитель должен предоставить руководство администратора.
Руководство администратора должно содержать:
- описание функций администрирования и интерфейсов ВБА, доступных администратору безопасности;
- описание безопасного способа управления СВБА;
- предупреждения относительно функций и привилегий, которые следует контролировать в безопасной среде обработки информации;
- описание всех параметров безопасности, контролируемых администратором, указывая, при необходимости, их безопасные значения;
- описание каждого типа относящихся к безопасности событий, связанных с выполнением обязательных функций администрирования, включая изменение характеристик безопасности и сущностей, контролируемых биометрико-криптографическими механизмами аутентификации.
11.2.1.1 Руководство администратора должно быть согласовано со всей технической документацией, поставляемой производителем.
11.2.2 Производитель должен предоставить руководство пользователя.
Руководство пользователя должно содержать:
- описание функций и интерфейсов, доступных пользователям СВБА, не связанным с администрированием;
- описание применения всех потенциально доступных пользователям функций СВБА (обучения, переобучения, тестирования, предсказания ожидаемого качества, смены ключа или длинного пароля, проверки целостности ПО, контроля близости выработанного ключа к действительному его значению);
- все предупреждения относительно доступных для пользователя функций и привилегий, которые следует контролировать в безопасной среде (нарушение целостности, низкое качество обучения, низкий уровень стойкости биометрической защиты).
11.2.2.1 В руководстве пользователя должны быть четко определены все обязанности пользователя, необходимые для безопасной эксплуатации СВБА, включая обязанности, связанные с предположениями относительно действий пользователя, содержащимися в изложении среды безопасности СВБА.
11.2.2.2 Руководство пользователя должно быть согласовано со всей иной документацией, поставляемой разработчиком.
11.2.2.3 Руководство пользователя может быть снабжено описанием типовых ошибок пользователей СВБА и последствий этих ошибок.
11.3 Процедуры установки, генерации, запуска, процедуры обучения
11.3.1 Производитель должен документировать процедуры, необходимые для безопасной установки, генерации и запуска ПО средства высоконадежной биометрической аутентификации.
Документация в обязательном порядке должна содержать:
- описание последовательности действий, необходимых для безопасной установки, генерации, запуска, обучения ПО средства высоконадежной биометрической аутентификации;