Присоединяйтесь!
Зарегистрированных пользователей портала: 506 307. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ЗАЩИТА ИНФОРМАЦИИ. ТЕХНИКА ЗАЩИТЫ ИНФОРМАЦИИ. ТРЕБОВАНИЯ К СРЕДСТВАМ ВЫСОКОНАДЕЖНОЙ БИОМЕТРИЧЕСКОЙ АУТЕНТИФИКАЦИИ. ГОСТ Р 52633-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 372-ст)

Дата документа27.12.2006
Статус документаДействует
МеткиПриказ · Гост

    

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ЗАЩИТА ИНФОРМАЦИИ

 

ТЕХНИКА ЗАЩИТЫ ИНФОРМАЦИИ

 

ТРЕБОВАНИЯ К СРЕДСТВАМ ВЫСОКОНАДЕЖНОЙ БИОМЕТРИЧЕСКОЙ АУТЕНТИФИКАЦИИ

 

Information protection.
Information protection technology.
Requirements for themeans of high-reliability biometric authentication

 

ГОСТ Р 52633-2006

 

Дата введения - 2007 - 04-01

 

Предисловие

 
    Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения".
 

Сведения о стандарте

 
    1. РАЗРАБОТАН Государственным научно-исследовательским испытательным институтом проблем технической защиты информации Федеральной службы по техническому и экспортному контролю (ГНИИИ ПТЗИ ФСТЭК России), Техническим комитетом по стандартизации ТК 362 "Защита информации".
    2. ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии.
    3. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г.N 372-ст.
    4. ВВЕДЕН ВПЕРВЫЕ
 
    Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.
 

Введение

 
    Стандарт устанавливает требования к процедурам обработки биометрической информации и преобразователям нечетких (неоднозначных) биометрических образов пользователя в его длинный пароль или ключ, используемый далее в одной из процедур высоконадежной криптографической аутентификации.
    Стандарт распространяется только на средства высоконадежной биометрической аутентификации, производители которых заявляют значения вероятностей ошибочного пропуска "Чужого" менее 10^(–12) (десять в минус 12 степени). Требования к средствам биометрической аутентификации с большей вероятностью ошибочного пропуска "Чужого" регламентируются системой международных стандартов, разработанных ISO/IEC JTC1 SC37 и гармонизированных ТК 355 ПК 7 "Биометрическая идентификация".
 

1. Область применения

 
    Настоящий стандарт распространяется на средства высоконадежной биометрической аутентификации личности, построенные с использованием:
    - стандартных механизмов высоконадежной парольной аутентификации с длинными, плохо запоминаемыми людьми паролями из случайных букв (цифр);
    - криптографических механизмов аутентификации, использующих ключ длиной более 40 бит;
    - множества из нескольких относительно слабых биометрических механизмов, обеспечивающих высоконадежную аутентификацию только при их совместном использовании.
 

2. Нормативные ссылки

 
    В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
    ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи
    ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1.Введение и общая модель
    ГОСТ Р ИСО/МЭК 15408-2-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности
    ГОСТ Р ИСО/МЭК 15408-3-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
    ГОСТ Р 50779.10-2000 (ИСО 3534-1-93) Статистические методы.Вероятность и основы статистики. Термины и определения
    ГОСТ Р 50779.21-2004 Статистические методы.Правила определения и методы расчета статистических характеристик по выборочным данным. Часть 1. Нормальное распределение
    ГОСТ 34.311-95 / ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования
    Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемая информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по ежемесячно издаваемым информационным указателем, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться замененным (измененным) стандартом.Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
 

3. Термины и определения

 
    В настоящем стандарте применены следующие термины с соответствующими определениями:
    3.1. автоматическое обучение: Обучение, осуществляемое автоматически без вмешательства человека и осмысления им промежуточных результатов обучения.
    3.2. атака перехвата: Атака, направленная на перехват конфиденциальной биометрической информации в виде физического биометрического образа, электронного биометрического образа, вектора биометрических параметров, получаемого из них пароля или криптографического ключа.
    3.3. атака случайного подбора: Атака, состоящая в подстановке случайных биометрических образов на вход преобразователя "биометрия-код", либо случайный подбор личного ключа (пароля), образующегося на выходах преобразователя.
    3.4. биометрическая аутентификация: Аутентификация пользователя, осуществляемая путем предъявления им своего биометрического образа.
    3.5. биометрические данные: Данные с выходов первичных измерительных преобразователей физических величин, совокупность которых образует биометрический образ конкретного человека.
    3.6. биометрическая идентификация: Преобразование совокупности примеров биометрических образов человека, позволяющее описать их стационарную и случайную составляющие, например, в виде математического ожидания и дисперсий контролируемых параметров или, например, в виде параметров обученной сети искусственных нейронов.
    3.7. биометрический образ: Образ человека, полученный с выходов первичных измерительных преобразователей физических величин, подвергающийся далее масштабированию и иной первичной обработке с целью извлечения из него контролируемых биометрических параметров человека.
    Примечание - Биометрический образ - это континуум множества биометрических примеров, однако с конечной погрешностью континуум примеров может быть представлен всего несколькими различающимися примерами.
    3.8. биометрический образ "Свой": Биометрический образ легального пользователя.
    3.9. биометрический образ "Чужой": Биометрический образ злоумышленника, пытающегося преодолеть биометрическую защиту.
    3.10. биометрический механизм: Механизм преобразования физического биометрического образа в вектор биометрических параметров или код ключа (пароля).
    Примечание - Биометрический механизм является функционально неполной частью системы защиты или средства защиты информации.
    3.11. биометрические параметры: Параметры, полученные после предварительной обработки биометрических данных.
    Примечание - Параметрами могут быть, например, коэффициенты Фурье кривых колебаний пера при воспроизведении человеком рукописного пароля.
    3.12. вероятность ошибки первого рода: Вероятность ошибочного отказа "Своему" пользователю в биометрической аутентификации.
    3.13. вероятность ошибки второго рода: Вероятность ошибочной аутентификации "Чужого" как "Своего" (ошибочная аутентификация).
    3.14. высоконадежная биометрическая аутентификация: Биометрическая аутентификация с приемлемой вероятностью ошибок первого рода и гарантированно малой вероятностью ошибок второго рода, сопоставимой по своему значению с вероятностью случайного подбора кода неизвестного криптографического ключа при малом числе попыток подбора.