ISO регламентировала защиту биометрических данных

Николай Головко 12 Августа 2011 - 06:49

...

Опубликован новый международный стандарт, который регламентирует обеспечение безопасности и конфиденциальности при обработке и хранении биометрической информации. Средства и системы аутентификации пользователей по уникальным биологическим признакам набирают популярность, а, следовательно, применяемые ими данные нуждаются в надлежащей защите.

Идентификатор стандарта: ISO/IEC 24745:2011, Информационные технологии - Методы обеспечения безопасности - Защита биометрической информации. Под биометрикой, соответственно, понимается совокупность методов идентификации личности по ее неотъемлемым физиологическим и / или поведенческим характеристикам; распознавание может проводиться по лицу, радужной оболочке или сетчатке глаза, ладони, отпечатку пальца, уху, голосу. По мере того, как надежность других способов аутентификации (логин-парольного, например) со временем снижается, администраторы безопасности все чаще посматривают именно в сторону биометрики - причем перспективы ее применения существуют не только в СКУД крупных компаний, но и в Интернет-службах вроде онлайн-банкинга. Соответственно, назрела и потребность в защите биометрических сведений.

"Биометрическая идентификация образует прямую и неизменную связь между результатами измерений и конкретной личностью", - напоминают создатели документа. - "С одной стороны, это обеспечивает высокую степень надежности механизмов пользовательской аутентификации, но с другой - создает ряд рисков; к числу последних могут быть отнесены, скажем, незаконные обработка и использование данных. Стандарт предназначен для эффективного противодействия подобным рискам".

Действительно: предположим, злоумышленнику удалось скомпрометировать аутентификационные сведения. Как быть? В отличие от традиционных решений, биометрика не позволяет установить новый пароль или выдать новую ключ-метку: идентификатор устанавливается раз и навсегда. Добавив к этому рост объемов персональных данных, которые увязаны с биометрической информацией, и активный обмен сведениями в глобальном масштабе, приходится заключить, что задача обеспечения безопасности и конфиденциальности подобных активов должна обладать высоким приоритетом, а против злоумышленников должны предприниматься надежные и эффективные контрмеры.

Стандарт, в частности, описывает следующие процедуры:

- анализ угроз и средств противодействия им, актуальных для различных биометрических систем;
- требования к защищенности данных, позволяющих установить соответствие между биометрическими измерениями и конкретной личностью;
- моделирование биометрических систем с учетом различных сценариев хранения и сравнения результатов измерений;
- обеспечение конфиденциальности в процессе обработки биометрической информации.

ISO

Письмо автору

Следующая главная новость »

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!

Екатерина Быстрова 20 Февраля 2026 - 16:25

Малый и средний бизнес Корпорации Услуги по информационной безопасности Услуги по аутсорсингу информационной безопасности Услуги коммерческих Security Operations Center (SOC) Лаборатория Касперского

Компании готовы тратить в среднем $2 млн на создание собственного SOC

Компании, которые только собираются строить собственный центр мониторинга кибербезопасности (SOC), в среднем готовы заложить на проект около 2 млн долларов. Такие данные приводит исследовательский центр «Лаборатории Касперского» по итогам глобального опроса организаций со штатом более 500 человек, где SOC пока нет, но его планируют создать в ближайшие два года.

Интересно, что больше половины респондентов (55%) рассчитывают уложиться в бюджет до 1 млн долларов.

При этом почти четверть (24%), наоборот, готовы потратить свыше 2,5 млн долларов. Всё сильно зависит от масштаба бизнеса. Малые компании в среднем ориентируются на сумму до 1,2 млн долларов, средние — примерно на 1,7 млн, а крупные корпорации — уже на 5 млн долларов. И это логично: чем больше инфраструктура и выше требования к защите, тем дороже проект.

Есть и региональные особенности. Например, в Китае и Вьетнаме компании готовы инвестировать в SOC больше, чем в среднем по миру. Это может быть связано с курсом на цифровой суверенитет и развитием собственных решений в сфере кибербезопасности.

По срокам большинство настроено довольно амбициозно. Две трети компаний (66%) рассчитывают развернуть SOC за 6–12 месяцев, ещё 26% закладывают от года до двух. Крупные организации, несмотря на более сложную инфраструктуру, чаще планируют уложиться в более сжатые сроки. На практике это обычно выглядит так: сначала SOC запускают для защиты критически важных систем, а затем постепенно расширяют его охват.

Главный барьер — деньги. Треть компаний (33%) называют основной проблемой высокие капитальные затраты. Почти столько же (28%) признаются, что им сложно оценить эффективность будущего SOC: метрик слишком много — от финансовых и операционных до стратегических, включая соответствие отраслевым стандартам.

Кроме того, бизнес сталкивается со сложностью самих решений: 27% говорят о трудностях управления комплексными системами кибербезопасности, 26% — об интеграции множества технологий. И, конечно, кадровый вопрос никуда не делся: четверть компаний отмечают нехватку квалифицированных специалистов, как внутри организации, так и на рынке в целом.

Как поясняет руководитель Kaspersky SOC Consulting Роман Назаров, бюджет на SOC может заметно отличаться в зависимости от масштаба инфраструктуры и выбранных решений. Первичные инвестиции покрывают лицензии и оборудование, но на этом расходы не заканчиваются — серьёзную долю в общей стоимости владения составляют операционные затраты, прежде всего зарплаты специалистов. По его словам, без чёткого стратегического плана с прописанными этапами и целями построить устойчивую систему кибербезопасности не получится.

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!