РЖД соберёт биометрию своих сотрудников для их допуска к ПК и ИТ-системам. Пароли – это не слишком надёжно
Заказчики: Российские железные дороги (РЖД) Продукт: Проекты систем контроля доступа, основанные на идентификации человека (биометрия) Дата проекта: 2022/01 — 2023/11
Бюджет проекта: 129 247 752 руб.
|
Технология: ИБ - Биометрическая идентификация
Технология: СКУД - Системы контроля и управления доступом
|
В РЖД решили внедрить единую корпоративную автоматизированную систему биометрической идентификации и аутентификации (БСИА) для сотрудников. По состоянию на начало декабря 2021 года идёт приём заявок на участие в конкурсе по созданию этой системы с начальной ценой в 129,2 млн рублей[1].
В рамках проекта требуется реализовать программный интерфейс, позволяющий проходить пользователям аутентификацию во всех автоматизированных рабочих местах (АРМ), включённых в корпоративный домен, в информационных системах РЖД, в портальных и микросервисных приложениях с использованием технологии SSO (Single Sign-On, технология единого входа), указано в техническом задании.
Проект предполагает создание биометрических профилей сотрудников РЖД на основе черт лица или голоса, следует из техзадания. В составе БСИА должно быть предусмотрено специализированное рабочее место для получения образцов биометрических характеристик и формирование эталонной базы профилей работников.
В системе требуется реализовать механизмы наделения конкретных учётных записей пользователей определёнными ролями, регламентирующими доступность отображения информации и доступных функций.
Для подсистемы биометрической идентификации и аутентификации БСИА должна быть реализована пассивная liveness-валидация, защита от подмены изображения с камер, контроль целостности и подтверждение подлинности сообщений, содержащих собранные биометрические данные.Известный писатель-фантаст Сергей Лукьяненко выступит на TAdviser SummIT 28 ноября. Регистрация
На выполнение идентификации/аутентификации по каждому обращению системе отводится не более 5 секунд при интенсивности до 1,5 тысяч в минуту. При этом каждая попытка биометрической аутентификации или верификации должна сохраняется на сервере БСИА в журнале операций с фиксацией даты, времени, рабочего места пользователя и биометрических образцов. А в случае нескольких неуспешных попыток аутентификации предполагается блокировка устройства на заданное время.
БСИА должна отвечать требованиям обработки информации, составляющей коммерческую тайну РЖД, а также персональные данные пользователей. Функционировать система будет только в сети передачи данных РЖД.
Одно из требований к системе – она должна функционировать на базе импортонезависимого ПО и/или свободно распространяемых программ с открытым исходным кодом, которые не требуют приобретения дополнительных лицензий и финансовых расходов со стороны РЖД.
Необходимость создания БСИА в РЖД поясняют следующим образом. Эффективное распознавание и проверка подлинности личности работников для допуска к АРМ и корпоративным информационным системам для исполнения служебных обязанностей, требующих предоставления определённых прав, имеет большое значение для транспортной безопасности и ИБ РЖД. Сейчас идентификация работников при регистрации на корпоративных ПК и в автоматизированных системах РЖД производится по логину, а аутентификация – по паролю, присвоенному учётной записи. Но этот способ подвержен влиянию человеческого фактора: например, пароль может быть утерян или его может подсмотреть постороннее лицо в процессе ввода, говорится в техзадании.
Из трёх типов данных, которые могут быть использованы для идентификации и аутентификации – присущих работнику (биометрические данные), известных работнику (пин-код, пароль) и имеющихся у работника (токен) – неотъемлемым, при этом надёжным можно считать только присущий работнику биометрический тип данных, - обосновывается в техзадании необходимость создания корпоративной биометрической системы. |
Вместе с тем, как рассказали TAdviser в РЖД, в рамках проекта предусматривается, что сотрудники компании, чьи обязанности предполагают использование автоматических рабочих мест и корпоративных информационных систем, в дополнение к существующему способу путем использования пароля будут иметь возможность использовать биометрический способ доступа. Внедрение такой технологии будет производиться постепенно.
Доступ сотрудников, отказавшихся сдавать биометрические данные, будет производиться существующим в настоящее время порядком. Использование биометрических данных в целях, выходящих за рамки функционала системы биометрической идентификации и аутентификации, не предполагается. Защита биометрических данных будет обеспечена в соответствии с законодательством Российской Федерации, - добавили в РЖД. |
В апреле 2020 года, когда в РЖД сообщали о переводе сотрудников на удалённую работу, фигурировала информация, что в компании порядка 240 тыс. сотрудников имеют компьютеризированные рабочие места[2].
Срок окончания работ по проекту разработки и внедрения БСИА обозначен ноябрем 2023 года, а подвести итоги конкурса РЖД планирует 18 января 2022 года.
Примечания
- ↑ Открытый конкурс в электронной форме № 1157/ОКЭ-ТИ/21 на право заключения договора выполнения работ по теме: «Разработка и внедрение Единой корпоративной автоматизированной системы биометрической идентификации и аутентификации в ОАО «РЖД» (БСИА)»
- ↑ Как РЖД за месяц перевел 110 тыс. сотрудников на удаленную работу