ДСТУ ISO/IEC 24745:2015 Информационные технологии. Методы защиты. Защита биометрической информации (ISO/IEC 24745:2011, IDT)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології

МЕТОДИ ЗАХИСТУ

Захист біометричної інформації
(ІSО/ІЕС 24745:2011, IDТ)

ДСТУ ІSО/ІЕС 24745:2015

Київ
   
(ДП «УкрНДНЦ»)
2018

ПЕРЕДМОВА

1 ВНЕСЕНО: Міжнародний науково-навчальний центр інформаційних технологій та систем НАН та МОН України: Технічний комітет стандартизації «Інформаційні технології» (ТК 20)

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: Ю. Брайко; І. Галелюка, канд. техн. наук; В. Груша; В. Романов, д-р техн. наук (науковий керівник)

2 НАДАНО ЧИННОСТІ: наказ    
(ДП «УкрНДНЦ») від 18 грудня 2015 р. № 193 з 2017-01-01

3 Національний стандарт відповідає міжнародному стандарту ISO/IEC 24745:2011 Information technology — Security techniques — Biometric information protection (Інформаційні технології. Методи захисту. Захист біометричної інформації)

Ступінь відповідності — ідентичний (IDТ)

Переклад з англійської (еn)

4 УВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

Вступ до ISO/IЕС 24745

1 Сфера застосування

2 Терміни та визначення понять

3 Познаки та скорочення

4 Біометричні системи

4.1 Вступ до біометричних систем

4.2 Функціювання біометричної системи

4.3 Біометричні та ідентифікаційні еталони

4.4 Біометричні системи та системи керування ідентифікаційними даними

4.5 Персональні дані та універсальні унікальні ідентифікатори

4.6 Соціальні аспекти

5 Аспекти безпеки біометричних систем

5.1 Вимоги щодо безпеки біометричних систем для захисту біометричної інформації

5.2 Загрози безпеці та заходи протидії в біометричних системах

5.3 Захист записів даних, що містять біометричну інформацію

6 Управління конфіденційністю біометричної інформації

6.1 Загрози конфіденційності біометричної інформації

6.2 Вимоги та рекомендації щодо конфіденційності біометричної інформації

6.3 Регулятивні та нормативні вимоги

6.4 Керування захистом біометричної інформації протягом терміну експлуатації

6.5 Відповідальність власника біометричної системи

7 Прикладні моделі та захист біометричних систем

7.1 Прикладні моделі біометричних систем

7.2 Захист у кожній біометричній прикладній моделі

Додаток А Безпечне зв’язування та використання розділених БДІЕ та БДБЕ

Додаток В Криптографічні алгоритми для захисту біометричних систем

Додаток С Інфраструктура для відновлюваних біометричних еталонів

Додаток D Приклади технологій для відновлюваних біометричних еталонів

Додаток Е Нанесення біометричних водяних знаків

Бібліографія

НАЦІОНАЛЬНИМ ВСТУП

Цей національний стандарт ISO/IEC 24745:2011 (електронна версія) Інформаційні технології. Методи захисту. Захист біометричної інформації — є перекладом, ідентичним ISO/IEC 24745:2011 Information technology — Security techniques — Biometric information protection згідно з ДСТУ 1.7-2001 Національна стандартизація. Правила і методи прийняття та застосування міжнародних і регіональних стандартів (ISO/IEC Guide 21:1999, NEQ).

Технічний комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технології».

Стандарт містить вимоги, які відповідають чинному законодавству України.

До стандарту внесено такі редакційні зміни:

— слова «міжнародний стандарт» замінено на «цей стандарт»;

— з «Передмови» та «Вступу» до ISO/IEC 24745:2011 у цей «Національний вступ» долучено те, що безпосередньо стосується цього стандарту;

— до розділу «Бібліографічні дані» долучено «Національне пояснення», виділене рамкою;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Зміст», «Національний вступ» та «Бібліографічні дані» — оформлено згідно з вимогами комплексу стандартів «Національна стандартизація».

Додатки А, В, С, D, Е, F — довідкові.

У цьому стандарті є посилання на такі нормативні документи:

— ISO/IEC 9796-1:2005, впроваджений в Україні як національний стандарт ДСТУ ISO/IEC 19796-1:2010;

— ITU-T Х.1086, ISO 19092:2008, ISO/IEC 19785-4:2010, ISO/IEC 9796 (частини 2 і 3), ISO/IEC 9796 (усі частини), ISO/IEC 10116:2006, ISO/IEC 14888 (усі частини), ISO/IEC 18033-2:2006, ISO/IEC 18033-3:2005, ISO/IEC 18033-4:2005, ISO/IEC 19772:2009, ISO/IEC 27000:2014, ISO/IEC JTC1/SC 37 SD 11, ISO/IEC TR 24714-1:2008, ISO/IEC 24761:2009, ISO/IEC 7816-4:2005, ITU-TX.1088, ISO/IEC 24787:2010, ISO/IEC 19792:2009, ISO/IEC 24760-1:2011, ISO/IEC 29100:2011, ISO/IEC JTC 1/SC 37 SD 2, які в Україні не впроваджено.

ВСТУП до ISO/IEC 24745

ISO/IEC 24745 розроблений підкомітетом SC 27 «Методи захисту в інформаційних технологіях» Технічного комітету ISO/IEC JTC 1 «Інформаційні технології».

Сьогодні через мережу Internet, яка стала невід’ємною частиною повсякденного життя, надаються різноманітні послуги, такі як онлайнові банківські послуги, телемедицина тощо. Для забезпечення захисту таких послуг розробляються механізми автентифікації між суб’єктами і послугою. Такі механізми розроблені і на цей час включають схеми на базі токенів, персональні ідентифікаційні номери (ПІН — personal identification number, PIN) і номери автентифікації транзакції (HAT — transaction authentication number, TAN), схеми цифрових підписів на основі криптографічних систем з відкритими ключами і схеми автентифікації з використанням біометричних технологій.

Біометрія — автоматизоване розпізнавання осіб на основі поведінкових і фізіологічних характеристик, що містить технології розпізнавання з використанням зображення відбитка пальця, зразків голосу, зображення райдужної оболонки ока, зображення обличчя тощо. Вартість біометричних технологій знижується, тоді як надійність використання їх як механізмів автентифікації зростає, що робить їх більш доступними.

Біометрична автентифікація надає потенційні відмінності між конфіденційністю та гарантією автентифікації.

З однієї сторони, біометричні характеристики в ідеалі є незмінною властивістю, що асоціюється з конкретною особою. Таке зв’язування посвідчення особи і самої особи надає переконливу гарантію автентифікації. З іншого боку, таке міцне зв’язування також лежить в основі проблем конфіденційності, наприклад у вигляді незаконного оброблення біометричних даних, і ставить нові виклики захисту біометричних систем для запобігання компрометації біометричних еталонів. Звичайне рішення у разі компрометації автентифікації посвідчення особи — змінити пароль або отримати новий токен — зазвичай не є застосовними до біометрії, оскільки біометричні характеристики, які є фізіологічними властивостями або поведінковими особливостями людини, дуже важко, а іноді взагалі неможливо змінити. Найбільше, що можна зробити, — зареєструвати інший палець або око, але вибір, як правило, обмежений. Саме тому відповідні заходи протидії для забезпечення захисту біометричної системи та конфіденційності даних суб’єктів є важливими.

Біометричні системи зазвичай зв’язують біометричний еталон з іншими персональними даними (ПД) осіб, що автентифікуються. У цьому разі зв'язування має гарантувати захист запису даних з біометричною інформацією. Збільшення зв’язування біометричних еталонів з іншими ПД і колективне використання біометричної інформації в межах законної юрисдикції робить надзвичайно важким завданням для організацій гарантувати захист біометричної інформації й досягнути узгодження з різноманітними нормами конфіденційності.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
Захист біометричної інформації

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ ЗАЩИТЫ
Защита биометрической информации

INFORMATION TECHNOLOGY
SECURITY TECHNIQUES
 Biometrie information protection

Чинний від 2017-01-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт визначає правила щодо захисту біометричної інформації відповідно до різноманітних вимог щодо конфіденційності, цілісності та відновлення / відкликання під час зберігання та передавання біометричної інформації. Крім того, цей стандарт встановлює вимоги та правила щодо безпеки та конфіденційності під час керування та оброблення біометричної інформації.

Цей стандарт визначає:

— аналіз загроз та контрзаходів, притаманних біометрії та прикладним моделям біометричних систем;

— вимоги щодо безпеки до безпечного зв’язування біометричного та ідентифікаційного еталонів;

— прикладні моделі біометричної системи з різними сценаріями зберігання і порівняння біометричних еталонів;

— правила захисту конфіденційності особи під час оброблення біометричної інформації.

Цей стандарт не містить загальних вказівок щодо фізичної безпеки, захисту від витоку інформації та керування ключем для криптографічних методів.

Національна примітка.

Положення цього стандарту можуть застосовувати всі суб’єкти підприємницької діяльності, що діють в Україні, незалежно від форм власності та організаційно-правових форм господарювання, які виконують роботи в означеній сфері.

2 ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ

У цьому стандарті використано такі терміни та визначення позначених ними понять.

2.1 автентифікація (authentication)

Процес встановлення узгодженого рівня достовірності, що конкретний об’єкт або заявлені ідентифікаційні дані є справжніми.