Проект

РЖД соберёт биометрию своих сотрудников для их допуска к ПК и ИТ-системам. Пароли – это не слишком надёжно

Заказчики: Российские железные дороги (РЖД)

Москва; Транспорт

Продукт: Проекты систем контроля доступа, основанные на идентификации человека (биометрия)

Дата проекта: 2022/01 — 2023/11
Бюджет проекта: 129 247 752 руб.
Технология: ИБ - Биометрическая идентификация
подрядчики - 208
проекты - 692
системы - 383
вендоры - 242
Технология: СКУД - Системы контроля и управления доступом
подрядчики - 143
проекты - 308
системы - 261
вендоры - 183

В РЖД решили внедрить единую корпоративную автоматизированную систему биометрической идентификации и аутентификации (БСИА) для сотрудников. По состоянию на начало декабря 2021 года идёт приём заявок на участие в конкурсе по созданию этой системы с начальной ценой в 129,2 млн рублей[1].

В рамках проекта требуется реализовать программный интерфейс, позволяющий проходить пользователям аутентификацию во всех автоматизированных рабочих местах (АРМ), включённых в корпоративный домен, в информационных системах РЖД, в портальных и микросервисных приложениях с использованием технологии SSO (Single Sign-On, технология единого входа), указано в техническом задании.

Проект предполагает создание биометрических профилей сотрудников РЖД на основе черт лица или голоса, следует из техзадания. В составе БСИА должно быть предусмотрено специализированное рабочее место для получения образцов биометрических характеристик и формирование эталонной базы профилей работников.

В РЖД порядка 240 тыс. сотрудников имеют компьютеризированные рабочие места (фото - фотобанк РЖД)

В системе требуется реализовать механизмы наделения конкретных учётных записей пользователей определёнными ролями, регламентирующими доступность отображения информации и доступных функций.

Для подсистемы биометрической идентификации и аутентификации БСИА должна быть реализована пассивная liveness-валидация, защита от подмены изображения с камер, контроль целостности и подтверждение подлинности сообщений, содержащих собранные биометрические данные.

На выполнение идентификации/аутентификации по каждому обращению системе отводится не более 5 секунд при интенсивности до 1,5 тысяч в минуту. При этом каждая попытка биометрической аутентификации или верификации должна сохраняется на сервере БСИА в журнале операций с фиксацией даты, времени, рабочего места пользователя и биометрических образцов. А в случае нескольких неуспешных попыток аутентификации предполагается блокировка устройства на заданное время.

БСИА должна отвечать требованиям обработки информации, составляющей коммерческую тайну РЖД, а также персональные данные пользователей. Функционировать система будет только в сети передачи данных РЖД.

Одно из требований к системе – она должна функционировать на базе импортонезависимого ПО и/или свободно распространяемых программ с открытым исходным кодом, которые не требуют приобретения дополнительных лицензий и финансовых расходов со стороны РЖД.

Необходимость создания БСИА в РЖД поясняют следующим образом. Эффективное распознавание и проверка подлинности личности работников для допуска к АРМ и корпоративным информационным системам для исполнения служебных обязанностей, требующих предоставления определённых прав, имеет большое значение для транспортной безопасности и ИБ РЖД. Сейчас идентификация работников при регистрации на корпоративных ПК и в автоматизированных системах РЖД производится по логину, а аутентификация – по паролю, присвоенному учётной записи. Но этот способ подвержен влиянию человеческого фактора: например, пароль может быть утерян или его может подсмотреть постороннее лицо в процессе ввода, говорится в техзадании.

«
Из трёх типов данных, которые могут быть использованы для идентификации и аутентификации – присущих работнику (биометрические данные), известных работнику (пин-код, пароль) и имеющихся у работника (токен) – неотъемлемым, при этом надёжным можно считать только присущий работнику биометрический тип данных, - обосновывается в техзадании необходимость создания корпоративной биометрической системы.
»

Вместе с тем, как рассказали TAdviser в РЖД, в рамках проекта предусматривается, что сотрудники компании, чьи обязанности предполагают использование автоматических рабочих мест и корпоративных информационных систем, в дополнение к существующему способу путем использования пароля будут иметь возможность использовать биометрический способ доступа. Внедрение такой технологии будет производиться постепенно.

«
Доступ сотрудников, отказавшихся сдавать биометрические данные, будет производиться существующим в настоящее время порядком. Использование биометрических данных в целях, выходящих за рамки функционала системы биометрической идентификации и аутентификации, не предполагается. Защита биометрических данных будет обеспечена в соответствии с законодательством Российской Федерации, - добавили в РЖД.
»

В апреле 2020 года, когда в РЖД сообщали о переводе сотрудников на удалённую работу, фигурировала информация, что в компании порядка 240 тыс. сотрудников имеют компьютеризированные рабочие места[2].

Срок окончания работ по проекту разработки и внедрения БСИА обозначен ноябрем 2023 года, а подвести итоги конкурса РЖД планирует 18 января 2022 года.

Примечания