В РЖД решили внедрить единую корпоративную автоматизированную систему биометрической идентификации и аутентификации (БСИА) для сотрудников. По состоянию на начало декабря 2021 года идёт приём заявок на участие в конкурсе по созданию этой системы с начальной ценой в 129,2 млн рублей.
В рамках проекта требуется реализовать программный интерфейс, позволяющий проходить пользователям аутентификацию во всех автоматизированных рабочих местах (АРМ), включённых в корпоративный домен, в информационных системах РЖД, в портальных и микросервисных приложениях с использованием технологии SSO (Single Sign-On, технология единого входа), указано в техническом задании.
Проект предполагает создание биометрических профилей сотрудников РЖД на основе черт лица или голоса, следует из техзадания. В составе БСИА должно быть предусмотрено специализированное рабочее место для получения образцов биометрических характеристик и формирование эталонной базы профилей работников.
В РЖД порядка 240 тыс. сотрудников имеют компьютеризированные рабочие места.
В системе требуется реализовать механизмы наделения конкретных учётных записей пользователей определёнными ролями, регламентирующими доступность отображения информации и доступных функций.
Для подсистемы биометрической идентификации и аутентификации БСИА должна быть реализована пассивная liveness-валидация, защита от подмены изображения с камер, контроль целостности и подтверждение подлинности сообщений, содержащих собранные биометрические данные.
На выполнение идентификации/аутентификации по каждому обращению системе отводится не более 5 секунд при интенсивности до 1,5 тысяч в минуту. При этом каждая попытка биометрической аутентификации или верификации должна сохраняется на сервере БСИА в журнале операций с фиксацией даты, времени, рабочего места пользователя и биометрических образцов. А в случае нескольких неуспешных попыток аутентификации предполагается блокировка устройства на заданное время.
БСИА должна отвечать требованиям обработки информации, составляющей коммерческую тайну РЖД, а также персональные данные пользователей. Функционировать система будет только в сети передачи данных РЖД.
Одно из требований к системе – она должна функционировать на базе импортонезависимого ПО и/или свободно распространяемых программ с открытым исходным кодом, которые не требуют приобретения дополнительных лицензий и финансовых расходов со стороны РЖД.
Необходимость создания БСИА в РЖД поясняют следующим образом. Эффективное распознавание и проверка подлинности личности работников для допуска к АРМ и корпоративным информационным системам для исполнения служебных обязанностей, требующих предоставления определённых прав, имеет большое значение для транспортной безопасности и ИБ [ информационной безопасности ] РЖД. Сейчас идентификация работников при регистрации на корпоративных ПК и в автоматизированных системах РЖД производится по логину, а аутентификация – по паролю, присвоенному учётной записи. Но этот способ подвержен влиянию человеческого фактора: например, пароль может быть утерян или его может подсмотреть постороннее лицо в процессе ввода.
Из трёх типов данных, которые могут быть использованы для идентификации и аутентификации – присущих работнику (биометрические данные), известных работнику (пин-код, пароль) и имеющихся у работника (токен) – неотъемлемым, при этом надёжным можно считать только присущий работнику биометрический тип данных, - обосновывается в техзадании необходимость создания корпоративной биометрической системы. |
От РЖД не удалось оперативно получить ответы на вопросы, связанные с планируемой системой, в том числе, сколько всего в ней будет пользователей, и что компания предложит сотрудникам, которые не захотят сдавать биометрию. В апреле 2020 года, когда в РЖД сообщали о переводе сотрудников на удалённую работу, фигурировала информация, что в компании порядка 240 тыс. сотрудников имеют компьютеризированные рабочие места.
Срок окончания работ по проекту разработки и внедрения БСИА обозначен ноябрем 2023 года, а подвести итоги конкурса РЖД планирует 18 января 2022 года.
Источник: TAdviser