Приложение D (обязательное). Принципы обеспечения безопасности для биометрического сравнения на идентификационной карте. Национальный стандарт РФ ГОСТ Р 58230-2018 (ИСО/МЭК 24787:2010) "Информационные технологии. Идентификационные карты. Биометрическое сравнение на идентификационной карте" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 25.09.2018 N 651-ст)

Приложение D
(обязательное)

Принципы обеспечения безопасности для биометрического сравнения на идентификационной карте

D.1 Введение

Настоящее приложение определяет минимальные требования к обеспечению безопасности для приложений на ICC, использующих биометрическое сравнение на идентификационной карте. Далее рассмотрены различные схемы реализации, и, хотя некоторые принципы могут быть общими для всех схем, существуют принципы, специфичные для конкретной схемы реализации.

Во введении представлен обзор различных схем, а также таблица для сопоставления этих схем с принципами обеспечения безопасности, которые подробно описаны в следующих пунктах. Данные схемы могут быть определены в соответствии со следующей классификацией:

a) использующие данные конфигурации сравнения в качестве глобального элемента. Это относится к следующим ситуациям:

1) идентификационная карта с единственным приложением, использующим биометрическое сравнение на идентификационной карте,

2) идентификационная карта с несколькими приложениями, использующими биометрическое сравнение на идентификационной карте с единой конфигурацией сравнения (т.е. один и тот же порог, один и тот же счетчик повторов и т.д.). В этом случае если одно приложение препятствует выполнению биометрического сравнения на идентификационной карте, то это отразится на всех приложениях, использующих тот же механизм биометрической верификации. С другой стороны, если приложение получило положительный результат биометрической верификации, то счетчик повторов будет сброшен для всех приложений (техническая поправка Cor 1:2013);

b) использующие данные конфигурации сравнения в качестве локального элемента. Это относится к следующим ситуациям:

1) каждое приложение имеет собственную структуру биометрического контрольного шаблона, в том числе данные биометрического контрольного шаблона, данные конфигурации, такие как пороги и максимальное значение счетчика повторов, счетчик повторов и т.д.,

2) все приложения только обмениваются общими данными биометрического контрольного шаблона, но каждое приложение имеет собственные данные конфигурации (данные конфигурации сравнения), которые включают в себя различные пороги, счетчик повторов и т.д. (техническая поправка Cor 1:2013).

В таблице D.1 вышеуказанные схемы сопоставлены с принципами обеспечения безопасности, определенными в настоящем приложении.

Таблица D.1 - Сопоставление схем биометрического сравнения на идентификационной карте и принципов обеспечения безопасности

	SP1: глобальные данные конфигурации сравнения	SP2: локальные данные конфигурации сравнения
а.1	X	-
а.2	X	-
b.1	(техническая поправка Cor 1:2013)	X (техническая поправка Cor 1:2013)
b.2	-	X

Далее определены общие принципы обеспечения безопасности, принципы SP1 и принципы SP2.

D.2 Общие принципы обеспечения безопасности CSP для биометрического сравнения на идентификационной карте

Следующие минимальные правила обеспечения безопасности применяют во всех случаях:

- ни одному приложению не допускается передавать биометрический контрольный шаблон с ICC (см. 7.2.2);

- для реализации механизма счетчика повторов должны применять принципы обеспечения безопасности, указанные в 7.1.5;

- все приложения должны использовать механизмы обеспечения безопасности для создания биометрических контрольных шаблонов (биометрическая регистрация), обновления биометрических контрольных шаблонов (повторная биометрическая регистрация) или сравнения с биометрическим контрольным шаблоном (биометрическая верификация), в частности:

- безопасный обмен сообщениями устанавливается априори для любой из вышеуказанных операций (см. ГОСТ Р ИСО/МЭК 7816-4);

- все данные, передающиеся во время процесса биометрического сравнения на идентификационной карте, должны подтверждать свою целостность;

- все биометрические данные должны быть зашифрованы для передачи на ICC для обеспечения конфиденциальности (см. нормативный документ*);

- ОС идентификационной карты может иметь механизм разблокировки процесса биометрического сравнения на идентификационной карте. В таком случае в процессе разблокировки должен быть обнулен биометрический контрольный шаблон в ICC и направлен запрос для новой попытки биометрической регистрации.

------------------------------

* См. [2].

D.3 Принципы обеспечения безопасности SP1 для глобальных данных конфигурации сравнения

В приложениях, использующих биометрический контрольный шаблон в качестве глобального механизма биометрической верификации, нет необходимости устанавливать двойную косвенность для определения конфигурации сравнения. Кроме того, применяют следующие правила:

- для идентификационных карт с несколькими приложениями, использующими биометрическое сравнение на идентификационной карте с одним и тем же биометрическим контрольным шаблоном, если любое приложение, использующее биометрический контрольный шаблон, имеет высокий уровень безопасности, для всех приложений должен использоваться уникальный порог и единый счетчик повторов, связанный с биометрическим контрольным шаблоном [см. 7.2.8 а)];

- все данные конфигурации связаны с биометрическим контрольным шаблоном. В частности:

- порог биометрической верификации;

- максимальное количество попыток биометрической верификации;

- счетчик повторов;

- все параметры алгоритма сравнения;

- ни одно из приложений, использующих механизм биометрического сравнения на идентификационной карте с описанным биометрическим контрольным шаблоном, не может автономно изменить данные конфигурации;

- когда счетчик повторов достигнет нуля, механизм биометрического сравнения на идентификационной карте блокируется, и, следовательно, все приложения, использующие описанный биометрический контрольный шаблон для биометрической верификации, не смогут выполнять эти операции, защищенные механизмом биометрического сравнения на идентификационной карте;

- положительный результат верификации биометрического контрольного шаблона сбрасывает связанный счетчик повторов до его начального значения независимо от того, какое из приложений осуществило успешную попытку биометрической верификации.

D.4 Принципы обеспечения безопасности SP2 для локальных данных конфигурации сравнения

В приложениях, требующих независимого контроля процесса биометрического сравнения на идентификационной карте, но обменивающихся данными биометрического контрольного шаблона, применяют следующие правила:

- все приложения, использующие механизм двойной косвенности, имеют собственные данные конфигурации сравнения, как минимум:

- порог;

- счетчик повторов;

- не допускается конфигурировать приложения, обменивающиеся одними и теми же биометрическими данными, которые будут иметь разные пороги, но единый счетчик повторов;

- использование биометрического контрольного шаблона одним приложением не должно влиять на безопасность и целостность остальных приложений, а именно:

- каждый раз, когда приложение получает положительный результат верификации биометрического контрольного шаблона, только счетчик повторов для данного приложения сбрасывается до начального значения;

- каждый раз, когда приложение получает отрицательный результат верификации биометрического контрольного шаблона, только счетчик повторов для данного приложения будет уменьшаться на единицу;

- если счетчик повторов одного из приложений достигнет нуля, только данное приложение отклоняет последующее выполнение команды "VERIFY" ("Выполнить верификацию") для биометрического сравнения на идентификационной карте;

- любое приложение может изменить свои данные конфигурации сравнения при необходимости, без изменения данных конфигурации сравнения других приложений, использующих тот же биометрический контрольный шаблон.