Все новости от 27 ноября 2003 г. Использование биометрии в сфере финансовых услуг -- стандарт X9.84
Из стандартов, определяющих требования по использованию биометрии в различных промышленных отраслях, пока принят только один "ANSI X9.84-2000. Biometrics Management and Security for the Financial Services Industry" Американского национального института стандартов, разработанный рабочей группой X9.F4 аккредитованного ANSI комитета стандартов X9. Недавно вышла его обновленная версия X9.84-2003.
X9.84 определяет минимальные требования безопасности при построении биометрических систем для сферы финансовых услуг, а также механизмы и правила криптографической защиты процессов получения, обработки и хранения биометрических данных. В частности, в стандарте изложены требования по следующим темам:
- управление биометрическими данными и их защита во время жизненного цикла;
- использование биометрической технологии для идентификации и аутентификации сотрудников и клиентов банков;
- применение биометрической технологии в системах контроля и управления доступом;
- инкапсуляция биометрических данных;
- технология защищенной передачи биометрических данных.
Выделим основные требования по безопасности для биометрических систем в X9.84.
Биометрическая система должна предотвращать возможность обработки биометрических данных, поступивших в систему с неавторизованного считывающего биометрического устройства.
Биометрическая система должна быть построена так, чтобы биометрические данные могли поступить в нее только через авторизованные интерфейсы с использованием принятых процедур.
В биометрическую систему должны быть встроены механизмы защиты для выявления и предотвращения использования искусственных биометрических характеристик (например, муляжей).
Там, где это необходимо, в биометрическую систему должны встраиваться механизмы защиты для предотвращения утечки или утери биометрических данных.
Биометрическая система должна ограничивать доступ к шаблонам, т. е. предотвращать возможность:
-- реконструкции базы шаблонов с помощью перехваченных биометрических данных;
-- обработки запросов на верификацию в обход базы шаблонов.
Идеология, из которой исходили создатели X9.84, опиралась на то, что биометрические характеристики человека не абсолютно конфиденциальны и не являются скрытыми данными (голос можно записать на пленку, лицо и радужку глаз сфотографировать, отпечаток пальца снять с предмета и т. д.).
При определенных условиях биометрические характеристики можно подделать. Поэтому весь жизненный цикл внутри биометрической системы по X9.84 должен быть защищен, сканирующие средства авторизованы в системе, все данные зашифрованы, а сама система должна уметь отличать реальные биометрические характеристики человека от их подделок.
|