Безопасность с приставкой «био»

В конце января в Москве состоялась очередная всероссийская конференция «Информационная безопасность России в условиях глобального информационного сообщества», или, иначе говоря, «Инфофорум-7»

Как обычно, организаторами мероприятия стали Комитет Госдумы РФ по безопасности, аппарат Совбеза РФ, правительство Москвы и Ассоциация российских банков. Темы заседаний и докладов тоже оказались традиционными. Выступления были посвящены проблемам правового регулирования отрасли и обеспечения безопасности в кредитно-финансовой сфере, большое внимание уделялось вопросам стандартизации, аудита и, конечно же, кадрового «голода». В который раз рассказывалось о трудностях внедрения электронного документооборота, несовершенстве стандартов и законов, подчеркивалась необходимость корректировки действий по основным федеральным целевым программам.

Складывается впечатление, что участники «Инфофорума» пребывают в состоянии легкой растерянности: пути выхода из кризиса ищутся уже не первый год, а действенных мер по ключевым проблемам пока не принимается. Некоторые представители государственных и коммерческих структур были откровенно возмущены пропагандистским характером большинства докладов и затянувшимся топтанием на месте.

Стандартные особенности

В теоретической части мероприятия на общем фоне заметно выделялось выступление Андрея Курило, заместителя начальника Главного управления безопасности и защиты информации Банка России. Он представил Комментарий к стандарту по ИБ для организаций банковской сферы и рассказал об этапах создания этого документа. По его словам, при формировании основополагающих норм разработчики (в число которых вошли представители ведущих кредитно-финансовых учреждений) исходили из следующих требований: простота систем, их открытость и соответствие зарубежным нормам. Кроме того, предполагалось, что банковский стандарт безопасности должен стать документом прямого действия, содержать механизмы собственной актуализации и соответствовать ФЗ «О техническом регулировании».

По мнению Курило, при разработке документа все перечисленные ключевые моменты были учтены. Теперь основное внимание финансовых организаций должно сосредоточиться на его грамотном воплощении в жизнь. Документ задает требования к приемлемому для предприятий финансового сектора уровню обеспечения ИБ. Нормы и правила документа не являются обязательными, но их желательно выполнять для повышения общего уровня безопасности отрасли. Предприятия, решившие воспользоваться данным стандартом, должны постоянно контролировать внедренные ими системы и регулярно проводить аудит ИБ.

Электронная паспортизация

Заметный интерес вызвала работа секции «Новый российский паспорт: биометрические технологии идентификации личности». Тема создания гражданских паспортов нового поколения была затронута еще на июньском «Инфофоруме-6» (см. Сети, 2004, № 9, статья «Государство сохранит свои секреты»). Отмечалось, что ФГУП НТЦ «Атлас» уже создает прототип биометрического паспорта. Правда, дальнейшая судьба этих электронных документов представлялась весьма туманной из-за финансовых трудностей и пробелов в законодательной базе.

Однако уже через два месяца, благодаря вмешательству высшего руководства страны, ситуация кардинально изменилась. Решением Президента РФ от 9 августа 2004 года обеспечение граждан России документами с использованием биометрических параметров до 2006 года было переведено в ранг приоритетных задач.

Благодаря этому ФСБ активно взялось за реализацию комплекса мер, нацеленных на создание информационно-учетных систем государственного контроля и системы электронных паспортов. Была создана межведомственная рабочая группа, в которую вошли руководители министерств и ведомств страны. Специальный совет, первое заседание которого состоялось в декабре прошлого года, обсудил перечень первоочередных мер, обеспечивающих внедрение новых паспортно-визовых документов. В первую очередь граждане России будут обеспечены заграничными паспортами с биометрической информацией, ибо власти всерьез обеспокоены активностью международных террористов и ростом числа незаконных документов, удостоверяющих личность.

Трудности на пути реализации проекта по-прежнему существуют. Если финансовую проблему за счет поддержки государства и коммерческих структур, разрешить, вроде бы, удалось, то правовой аспект по-прежнему актуален. Александр Панкратов, заместитель руководителя Федерального агентства по информационным технологиям, поспешил заверить участников «Инфофорума-7», что перечень необходимых нормативно-правовых актов уже подготовлен и в ближайшее время будет передан на утверждение. По его словам, российские производители готовят к выпуску бесконтактный микропроцессорный чип, обеспечивающий криптографическую защиту данных и достоверность записанной в документе информации. Решение удовлетворяет как требованиям отечественных стандартов ИБ к паспортно-визовым документам нового поколения, так и рекомендациям международных организаций.

Сначала идентификация граждан будет проводиться только по отпечаткам пальцев. В дальнейшем, с целью повышения достоверности документов, возможно введение многофакторной биометрии (по лицу, голосу, радужной оболочке глаз и т. д.). Трудностей, связанных с формированием системы удостоверяющих центров, возникнуть не должно. Планируется, что персональная информация с электронной цифровой подписью удостоверяющего органа будет содержаться в чипе документа. Идентификация личности станет проводиться в мобильных пунктах контроля путем сверки цифрового изображения лица, отпечатков пальцев и персональных данных субъекта с хранящимися в микросхеме данными.

Проверим друг друга

Начальник лаборатории биометрических и нейросетевых технологий Пензенского научно-исследовательского электротехнического института Александр Иванов рассказал, что в этой лаборатории разработаны алгоритмы идентификации граждан с использованием биометрии. Он не только рассказал о преимуществах документов нового поколения, но и представил слушателям образец такого паспорта.

ЕСЛИ подпись действительно принадлежит владельцу паспорта, на «выходе» нейросети появляется код, однозначно соответствующий информации в паспорте

По мнению Иванова, в нашей стране возникла потребность во «взаимной проверке» граждан (это относится, прежде всего, к участникам электронного документооборота, представителям коммерческих структур и т. д.). Одной из первоочередных задач государства, как говорит он, является обеспечение системы идентификации простыми и доступными средствами.

Например, для сравнения геометрических параметров лица человека с его эталонным изображением в паспорте должны использоваться подручные средства — фотокамера смартфона или карманного компьютера. Подпись владельца также можно идентифицировать с помощью чувствительного экрана карманного компьютера. Динамика автографа проверяется «самообучающейся» нейронной сетью. Если подпись действительно принадлежит владельцу паспорта, на «выходе» нейросети появляется код, однозначно соответствующий информации в паспорте. Исследования НИР «Нейросеть», проведенные в 2003—2004 годах по заказу Гостехкомиссии России, показали, что рукописный пароль из пяти букв достаточно прост для запоминания и при этом обеспечивает высокую стойкость биометрического идентификатора к атакам подбора. Последнее свойство можно использовать и для высоконадежной взаимной аутентификации граждан в среде Internet.

По мнению ряда экспертов, внедрять в нашей стране лишь электронные загранпаспорта нецелесообразно. В ближайшем будущем государство начнет создавать новую масштабную систему документирования личности, а это потребует серьезных технических преобразований и финансовых вложений. Гораздо эффективнее и экономичнее — обеспечить единую платформу внедрения электронных документов разного типа, а потом запускать проекты «в порядке поступления».

Как известно, власти руководствуются особой логикой, фактор времени и денег в которой редко имеет определяющее значение. Так или иначе, ждать осталось недолго: уже через полтора года мы сможем судить, состоится ли данный проект или будет отложен на полку вместе с множеством других, столкнувшихся с «непреодолимыми трудностями».