ОЦЕНКА РИСКОВ АКТУАЛЬНЫХ УГРОЗ ПРИ ЧИПИРОВАНИИ ЧЕЛОВЕКА
А.С. Бондаренко, магистрант П.К. Ярыгин, магистрант М.А. Турилов, магистрант
Национальный исследовательский ядерный университет «МИФИ» (НИЯУ МИФИ) (Россия, г. Москва)
DOI: 10.24411/2500-1000-2019-11337
Аннотация. В данной статье приводится описывание текущей ситуации в сфере чи-пирования человека и рассматривается тенденция развития мирового законодательства по использованию электронных носителей информации в качестве документов, удостоверяющих личность. Также проводится обзор существующих методов обеспечения безопасности персональных данных при чипировании человека и проводится оценка рисков актуальных угроз безопасности данных при реализации этих актуальных угроз при чипи-ровании человека.
Ключевые слова: чипирование, актуальные угрозы, оценка рисков, микрочип, защита информации.
Современные технологии коммуникации, управления, сбора и хранения информации о всех сферах жизни общества прочно вошли в нашу жизнь. Способы сбора и обмена информацией, разнообразны и сложны. Польза от такой информатизации неоценима для общества и цивилизации.
Обладая целым рядом притягательных для пользователя свойств, чипы, вживляемые под кожу человеку, вытесняют традиционные технологии и находят всё новые и новые области применения. Трудно перечислить все известные на сегодняшний день пользовательские сценарии: это и банковские приложения, и здравоохранение, и транспортные услуги, и системы безопасности, и многое другое.
В последние годы наблюдается тенденция развития мирового и российского законодательства по использованию электронных носителей информации в качестве документов, удостоверяющих личность, а также повсеместным распространением компьютерных информационных, банковских, платёжных и других видов систем, а также отдельных прикладных программ, допускающих использование биочипа в качестве средства идентификации пользователя.
Сегодня все развитые страны мира переходят к информационному обществу,
формирование которого признается неизбежным этапом развития человечества. По современным воззрениям информационное общество - это такое общество, в котором производство и потребление информации является важнейшим видом деятельности, а информация признается наиболее значимым ресурсом, новые информационные и телекоммуникационные технологии и техника становятся базовыми технологиями и техникой, а информационная среда наряду с социальной и экологической - новой средой обитания человека. Интерес к проблемам информационного общества существует уже в течение последних двадцати лет.
Шаги развития информационного общества
На Всемирной встрече на высшем уровне по вопросам глобального информационного общества в Женеве в 2003 году были приняты два документа, подписанных в том числе и Россией [1]:
- «Декларация принципов: построение информационного общества - глобальная задача в новом тысячелетии»;
- «План действий по построению глобального информационного общества».
На этой встрече было решено, что государства берут на себя обязанность по созданию электронного правительства, которое выстраивается по единым междуна-
родным стандартам на единой информационной и программной платформе.
Первым стратегическим документом, определившим направления развития информационного общества в России, стала Стратегия развития информационного общества в Российской Федерации, утвержденная Президентом Российской Федерации [2]. Она положила начало интенсивному использованию органами государственной власти Российской Федерации, бизнесом и гражданами информационных и коммуникационных технологий. Электронные средства массовой информации, информационные системы, социальные сети, доступ к которым осуществляется с использованием сети «Интернет», стали частью повседневной жизни россиян. Согласно Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы, утвержденной Указом Президента Российской Федерации от 9 мая 2017 года №203 [2], пользователями российского сегмента сети «Интернет» в 2016 году стали более 80 млн. человек.
Нынешний уровень развития информационных технологий и их применение в органах государственной власти дает возможность введения более защищенных удостоверений личности и поддержки технологической инфраструктуры, чтобы гарантировать идентификацию личности с помощью не только физических, но и электронных способов подтверждения личности, а также создать единую реестр-систему идентификации граждан РФ.
Стоит отметить, что электронные носители информации уже используются для идентификации личности в документах, удостоверяющих личность, по которым граждане Российской Федерации осуществляют выезд за пределы государства и въезд на его территорию, а также в визах, видах на жительство, проездных документах беженца.
В рамках реализации Концепции создания государственной системы изготовления, оформления и контроля паспортно-визовых документов нового поколения, которые содержат электронный носитель информации, одобренной Распоряжением Правительства Российской Федерации
№277-р от 15 марта 2005 года [5], Указом Президента РФ от 19 октября 2005 года №1222 «Об основных документах, удостоверяющих личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащих электронные носители информации» [6] был введен в действие паспорт гражданина Российской Федерации, дипломатический паспорт и служебный паспорт, являющиеся основными документами, удостоверяющими личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащие электронные носители информации (паспорта нового поколения).
18 ноября 2005 года было принято Постановление Правительства РФ №687 [7], которое сообщает, что в качестве электронного носителя информации о владельце паспорта будет использоваться микросхема с бесконтактным интерфейсом памятью 64 кб.
Перечисленные обстоятельства говорят о будущем повсеместном использовании электронных документов, удостоверяющих личность, в телах людей. Самым популярным средством такого рода является микрочип на радиочастотной идентификации. Однако существует существенная проблема при использовании аппаратных средств такого рода - угроза безопасности персональных данных, хранящихся на чипе. К этому вопросу стоит отнестись ответственно. Далее представлен анализ актуальных угроз данным и проведена оценка рисков при возможной реализации этих угроз.
Данные, которые могут находиться на чипе порой могут содержать информацию, намного более важную, чем та, которую можно узнать у человека лично. К этому вопросу стоит отнестись ответственно, поэтому необходимо всячески обеспечивать защиту этих персональных данных. Далее проведен анализ актуальных угроз безопасности сведениям, хранящимся на чипах, и оценка рисков при использовании технологии чипирования.
Существующие методы обеспечения безопасности данных
Важнейшим аспектом разработки и эксплуатации автоматизированной системы, использующей микрочипы, является обеспечение безопасности информации, хранящейся и обрабатываемой на чипе как в период его взаимодействия с терминальным оборудованием, так и в то время, когда чип находится в пассивном состоянии. В указанной проблеме можно выделить два аспекта:
- проблема защиты информации, технологический цикл обработки которой включает этап нахождения на чипе;
- проблема собственной безопасности микрочипа, которая, в свою очередь, включает защиту от взлома и подделки чипа различными методами.
Решение проблемы состоит, прежде всего, в комплексном подходе к этому вопросу. В связи с этим представляется целесообразным всю совокупность используемых методов обеспечения безопасности разделить на следующие группы:
1) Защита от физических методов атаки и подделки:
а) первым и самым очевидным методом физической защиты чипа является его вживление под кожу в руку человека, это очень затрудняет кражу, а также физическое уничтожение микрочипа;
б) интегральная микросхема биочипа строится по принципу «защищённого модуля», т.е. любое физическое вмешательство, «вскрытие» модуля приводит к немедленному обнулению, стиранию всей хранимой в памяти информации либо чип аппаратно блокируется;
в) на поверхность защищённого модуля наносится специальное защитное покрытие (металлизированное или оптически непрозрачное) с целью предотвращения возможности «прочтения» содержимого чипа оптическим микроскопом высокого разрешения. Остаётся возможность чтения данных электронным микроскопом, но этот способ очень дорог и, вероятнее всего, окажется нецелесообразным по экономическим соображениям.
2) Аппаратно-программные методы защиты микрочипа:
а) Функции безопасности ОС - в связи с многофункциональностью чипа и его ра-
боты в среде нескольких автоматизированных систем операционная система чипа должна обладать рядом особенностей, связанных с разделением оперативной памяти между различными приложениями:
- ОС должна обеспечивать защиту системной памяти от всех приложений и области приложений в EEPROM друг от друга;
- ОС должна обеспечивать защиту областей RAM от взаимного проникновения приложений.
Кроме того, ОС должна контролировать обмен данными с внешними устройствами:
б) Защищённая файловая система -иерархическая файловая система наиболее естественным образом соответствует режиму работы многофункционального чипа. Каждая прикладная система использует для хранения своих кодов и данных отдельный каталог ФС, в котором, в свою очередь, могут быть выделены подкаталоги для хранения данных отдельных приложений. Также данный тип операционной системы обладает рядом других преимуществ:
- при создании каждого файла на этапе записи прикладного ПО на чип, в зависимости от назначения файла, предопределяются права доступа к нему. Они записываются в PROM и уже не могут быть изменены в процессе эксплуатации. Определены три варианта прав доступа: чтение файла, обновление файла (обновление записей), администрирование (создание/удаление, чтение/запись);
- для файлов могут дополнительно определяться условия доступа, которые могут меняться в процессе эксплуатации чипа и контролируются OS, к примеру, PRO (Protected) - выполнение команды, запрашивающей доступ к защищаемым данным, должно выполняться в защищён-ном режиме (в частности, обязательно используются криптографические механизмы для проверки целостности - MAC (Message Authentication Code).
3) Криптографические методы защиты:
а) Функция шифрования - чип может содержать аппаратно реализованные алго-
ритмы симметричного шифрования (чаще всего DES) с отдельной областью памяти для хранения ключей (такой модуль часто называют «карманным шифратором», «шифровальной машинкой» и т.д.), что позволяет организовать защищённый обмен данными. Реализуются стандарты, принятые в Российской Федерации в соответствии с ГОСТ 34.10-2012 [8] и ГОСТ 34.11-2012 [9].
б) Аутентификация - данный механизм включает в себя аутентификацию чипа для ридера, с которым он работает и аутентификацию ридера для чипа (последнее является необязательным, зависит от конкретной системы).
в) Проверка целостности сообщений -применяется механизм подсчёта контрольных сумм (CRC) сообщений, передаваемых между чипом и ридером.
Оценка рисков при реализации актуальных угроз безопасности
Помимо рассмотренных, необходимо отметить организационно-технические и нормативные методы, но их подробное рассмотрение выходит за рамки данной работы, поскольку они скорее имеют отношение к автоматизированной системе в целом, чем к конкретному её элементу, каковым являются чипы.
В качестве нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к микрочипу. То есть предполагается, что он не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в чипе, является недостаточным для возможной мотивации нарушителя к осуществлению действий, направленных на
утечку информации по техническим каналам утечки. Такими нарушителями могут быть:
- разведывательные службы государств;
- криминальные структуры;
- физические лица (хакеры).
Помимо рассмотренного нарушителя,
необходимо отметить также нарушителя, имеющего непосредственный доступ персональным данным после считывания их ридером в рамках обработки этих данных, но его рассмотрение выходит за рамки данной работы, поскольку скорее имеет отношение к автоматизированной системе в целом, чем к конкретному её элементу, каковым являются чипы.
Основываясь на «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной ФСТЭК России 15 февраля 2008 года [10], был составлен перечень актуальных угроз при использовании технологии чипирова-ния, классифицируя их по способам реализации угроз безопасности персональных данных.
Также для каждой выявленной угрозы определим вероятность реализации данной угрозы, здесь и далее используя методику, описанную Сидоровым А.О. в работе «Модель и метод структурированной оценки риска при анализе информационной безопасности» [11]. Под вероятностью реализации угрозы понимается показатель, определяемый экспертным путем, который характеризует, насколько вероятным является реализация конкретной угрозы безопасности персональных данных в складывающихся условиях обстановки. Распределение числовых значений показателя уровня вероятности описано в таблице 1.
Таблица 1. Шкала значений уровня вероятности реализации угрозы
Уровень вероятности Описание уровня
1 Очень низкий Используемые средства защиты и методы их использования гарантируют защиту по отношению к выбранному типу угроз в пределах уязвимости.
2 Низкий У источника угрозы недостаточно возможности/мотиваций или имеющиеся средства контроля могут полностью предотвратить или значительно помешать использованию уязвимости.
3 Средний Источник угрозы имеет достаточную мотивацию и возможности, но имеющиеся средства контроля могут препятствовать успешному использованию уязвимости.
4 Высокий Источник угрозы имеет достаточные возможности и высокие мотивации, а методы контроля для предотвращения проявления уязвимости не могут гарантировать защиту.
5 Очень высокий Уровень мотивации, технические и организационные возможности источника угроз превышают имеющиеся параметры защиты.
Аналогично проведем анализ воздействия, т.е. определим уровень неблагоприятного воздействия (ущерба), как результата успешного использования уязвимостей системы источником угроз, также основываясь на вышеупомянутой методике.
Перечень актуальных угроз безопасности персональных данных при использовании технологии чипирования:
3) Угрозы уничтожения, хищения информации путем физического доступа к чипу:
а) Кража чипа - угроза, осуществляющаяся путем несанкционированного физического доступа злоумышленника к чипу. Принимая во внимание, что чип вживляется под кожу его владельцу, то уровень вероятности реализации данной угрозы очень низкий, уровень ущерба при реализации очень высокий.
б) Физическое уничтожение чипа -угроза, осуществляющаяся путем несанкционированного физического доступа злоумышленника к чипу. Принимая во внимание, что чип вживляется под кожу его владельцу, то уровень вероятности реализации данной очень низкий, уровень ущерба при реализации очень высокий.
в) Угрозы сканирования, направленные на изучение структуры и принципов функционирования биочипа по готовому изделию («reverse engineering» - «обратная инженерия»). Принимая во внимание, что данная угроза может быть реализована лишь в специально оборудованных лабораториях, так как требуют специальных установок, стоимость которых очень высока, то уровень вероятности реализации данной угрозы низкий, уровень ущерба при реализации средний.
4) Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий):
а) Копирование персональных данных, содержащихся на чипе - угроза, осуществляющаяся путем имитации злоумышленником процедуры считывания
данных при помощи ридера. Принимая во внимание, что дальность работы чипа составляет не более 20 см, что затрудняет процедуру несанкционированного воздействия на чип, а также применение криптографических методов защиты данных, то уровень вероятности реализации данной угрозы средний, уровень ущерба при реализации высокий.
б) Модификация информации, содержащейся на чипе - угроза, осуществляющаяся путем несанкционированного доступа нарушителя к перезаписываемым областям памяти чипа. Принимая во внимание, что дальность работы чипа составляет не более 20 см, что затрудняет процедуру несанкционированного воздействия на чип, а также применение криптографических методов защиты данных, то уровень вероятности реализации данной угрозы средний, уровень ущерба при реализации высокий.
в) Уничтожение информации, хранящейся на чипе - угроза, осуществляющаяся путем использования злоумышленником RFID-стирателя (электронное устройство, которое может перманентно отключить пассивный RFID-чип). Впервые представлен на выставке Chaos Communication Congress в 2005 году. Устройство создает мощное магнитное поле и, согласно закону электромагнитной индукции, в проводниках внутри чипа возбуждается электрический ток, который при высоких значениях может вывести из строя микросхему. Принимая во внимание, что дальность работы чипа составляет не более 20 см, что затрудняет процедуру несанкционированного воздействия на чип, а также высокую стоимость необходимого оборудования, то уровень вероятности реализации данной угрозы низкий, уровень ущерба при реализации очень высокий.
г) Вывод из строя канала связи со считывателем - угроза, осуществляющаяся путем заглушения злоумышленником радиочастотного канал, передающего электроэнергию на чип. Принимая во внимание, что дальность работы чипа составляет не более 20 см, что затрудняет процедуру несанкционированного воздействия на
чип, а также высокую стоимость необходимого оборудования, то уровень вероятности реализации данной угрозы низкий, уровень ущерба при реализации средний.
5) Угрозы непреднамеренных нарушений безопасности персональных данных, хранящихся на чипе, из-за угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов) характера:
а) Непреднамеренный выход чипа из строя - угроза, осуществляющаяся вследствие несовершенства аппаратно-программных средств, из-за которых может происходить нарушение целостности и доступности защищаемой информации. Принимая во внимание, что чип использует бесконтактную технологию передачи данных, и, как следствие, не имеет механических частей, которые быстро изнашиваются, то уровень вероятности реализации данной угрозы очень низкий, уровень ущерба при реализации очень высокий.
С целью определения наиболее актуального направления разрабатываемого
решения по повышению уровня защищенности персональных данных при чипиро-вании человека оценим реальные риски, связанные с использованием данной технологии при помощи методов нечеткой логики.
Способ получения оценок риска для каждой - /-ой уязвимости, который можно использовать при расчете механизма оценки риска, заключается в следующем: вероятности угрозы и ущерба от угрозы перемножаются, а далее получившиеся значения ранжируются в определенном порядке. Получившиеся результаты умножения переменных уровня вероятности реализации - /-ой угрозы Р(/) и уровня ущерба от реализации -ой угрозы 5(/) и распределения получившихся оценок представлены в таблице 2, где результат перемножения Р(/) и Б(1) обозначается числами, а буквенные индексы соответствуют результатам распределения.
Ущерб от реализации угрозы 5(/) Уровень вероятности реализации угрозы Р(/)
1(ОН) 2(Н) 3(С) 4(В) 5(ОВ)
1(ОН) 1(Н) 2(Н) 3(Н) 4(С) 5(С)
2(Н) 2(Н) 4(Н) 6(С) 8(В) 10(В)
3(С) 3(Н) 6(С) 9(В) 12(В) 15(К)
4(В) 4(С) 8(В) 12(В) 16(К) 20(К)
5(ОВ) 5(С) 10(В) 15(К) 20(К) 25(О)
Таблица 2. Шкала ранжированных оценок риска
В шкале оценки риска предусмотрены следующие уровни:
- Н - низкий (приемлемый);
- С - средний;
- В - высокий;
- К - критический;
- О - очень высокий (недопустимый).
При ранжировании риска (таблица 2) использовано следующее правило:
- Н - соответствует значениям риска от 1 до 3;
- С - соответствует значениям риска от 4 до 6;
- В - соответствует значениям риска от 8 до 12;
- К - соответствует значениям риска от 15 до 20;
- О - соответствует значению риска 25.
В таблице 3 приведены описания уровней рисков, с помощью которых происходит оценка степени риска в том случае, если проявится определенная уязвимость. Также в таблице 3 описаны действия, которые нужно предпринять при определенном уровне риска.
Таблица 3. Шкала рисков
Уровень риска Описание риска и необходимые действия
Низкий (приемлемый) Нужно установить, имеется ли возможность принять риск (либо же необходимо проводить корректирующие действия).
Средний Нужно разработать план корректирующих мер и предпринять его в течение приемлемого промежутка времени.
Высокий Нужно скорее принять план корректирующих действий и провести соответствующие действия, но система еще может продолжать работу.
Критический Критический уровень риска - нужно принять меры по его уменьшению.
Очень высокий (недопустимый) Система принимает недопустимый уровень риска - нужно прекратить использование технологии и принять кардинальные меры по уменьшению уровня риска.
Этот способ получения оценок риска можно представить следующим образом:
1) Входные данные:
Р(/) - уровень вероятности реализации -ой угрозы;
5(/) - уровень ущерба от реализации -ой угрозы.
2) Выходные данные:
й(/) - величина риска реализации -ой угрозы.
3) Правило вывода:
Таблица 4.Оценка рисков при использовании технологии чипирования
Тип угроз безопасности персональных данных P(i) 5(i) R(i)
Угрозы уничтожения, хищения информации путем физического доступа к чипу
1 Кража чипа 1(ОН) 5(ОВ) 5(С)
2 Физическое уничтожение чипа 1(ОН) 5(ОВ) 5(С)
3 Угрозы сканирования, направленные на изучение структуры и принципов функционирования биочипа по готовому изделию 2(Н) 3(С) 6(С)
Угрозы хищения, несанкционированной модификации или блокирования информации за счет НСД с приме-
нением программно-аппаратных и программных средств (в том числе программно-математических воздействий)
1 Копирование информации, содержащейся на чипе 3(С) 4(В) 12(В)
2 Модификация информации, содержащейся на чипе 3(С) 4(В) 12(В)
3 Уничтожение информации, хранящейся на чипе 2(Н) 5(ОВ) 10(В)
4 Вывод из строя канала связи со считывателем 2(Н) 3(С) 6(С)
Угрозы непреднамеренных нарушений безопасности персональных данных, хранящихся на чипе, из-за угроз
неантропогенного характера (сбоев аппаратуры из-за ненадежности элементов)
1 Непреднамеренный выход чипа из строя 1(ОН) 5(ОВ) 5(С)
г Д(0 = H,n[P(i)] *ß[S(i)] < з
д(0 = С,3 < ц[Р(0] * ß[S(Q] < 6 • fi(t) = В, 8 < ß[P(i)] * ß[S(i)] < 12 Д(i) = К, 15 < ß[P(i)] * ß[S(i)] < 20 , R(i) = 0,ß\P(i)1 * д[5(01 = 25
На основании оценок, представленных выше, составим таблицу данных для каждой угрозы, рассчитывая выходные данные в соответствии с обозначенным ранее правилом вывода (таблица 4):
Таким образом, на основании полученных оценок можно сделать вывод о том, что наиболее опасными являются угрозы копирования, модификации и уничтожения персональных данных, хранящихся на чипе (высокий уровень риска), за счет несанкционированного доступа с применением программно-аппаратных и программных средств.
Выводы
Таким образом, важнейшим аспектом разработки и эксплуатации автоматизированной системы, использующей микрочипы, является обеспечение безопасности информации, хранящейся и обрабатывае-
мой на чипе как в период его взаимодействия с терминальным оборудованием, так и в то время, когда чип находится в пассивном состоянии. В указанной проблеме можно выделить два аспекта:
- проблема защиты информации, технологический цикл обработки которой включает этап нахождения на чипе;
- проблема собственной безопасности микрочипа, которая включает в себя защиту от взлома и подделки чипа различными методами.
Решение проблемы состоит в комплексном подходе к этому вопросу. На сегодняшний день применяется множество
средств защиты данных микрочипа: защи- правлением по повышению уровня защита от физических методов атаки и поддел- щенности персональных данных является ки, аппаратно-программные методы защи- снижение уровня рисков реализации угроз ты микрочипа, криптографические методы копирования, модификации и уничтоже-защиты. ния персональных данных, хранящихся на
Однако, оценка рисков реализации ак- чипе (высокий уровень риска), за счет не-туальных угроз показала, что уровень за- санкционированного доступа с примене-щищенности данных, хранящихся на чипе, нием программно-аппаратных и про-все еще недостаточен и требует присталь- граммных средств. ного внимания. Наиболее актуальным на-
Библиографический список
1. Всемирный саммит по информационному обществу [Электронный ресурс]. - URL: http://www.ifap.ru/library/book193.pdf (дата обращения 03.05.2019).
2. Консультант Плюс. - Указ Президента Российской Федерации от 09.05.2017 г. №203 «О Стратегии развития информационного общества в Российской Федерации на 20172030 годы» [Электронный ресурс]. - URL: http://www.consultant.ru/document/cons_doc_LAW_216363/e91cc5f89aaced60e19c6c6554fc03 432f4ee971/ (дата обращения: 15.05.2019).
3. Консультант Плюс. - Указ Президента Российской Федерации от 07.05.2012 г. №601 «Об основных направлениях совершенствования системы государственного управления» [Электронный ресурс]. - URL: http://www.consultant.ru/document/cons_doc_LAW_129336/ (дата обращения: 15.05.2019).
4. Тулушев В.В. Системы идентификации при предоставлении государственных и муниципальных услуг в РФ: реалии и перспективы / В.В. Тулушев // Вестник университета. -2015. - № 6. - С. 173-177.
5. Гарант.ру. - Распоряжение Правительства Российской Федерации от 15.03.2005 г. №277-р «О Концепции создания государственной системы изготовления, оформления и контроля паспортно-визовых документов нового поколения» [Электронный ресурс]. -URL: http://base.garant.ru/187968/ (дата обращения: 18.05.2019).
6. Консультант Плюс. - Указ Президента Российской Федерации от 19.10.2005 №1222 «Об основных документах, удостоверяющих личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащих электронные носители информации» [Электронный ресурс]. - URL: http://www.consultant.ru/document/cons_doc_LAW_56125/ (дата обращения: 18.05.2019).
7. Консультант Плюс. - Постановление Правительства Российской Федерации от 18.11.2005 №687 «Об утверждении образцов и описания бланков паспорта гражданина Российской Федерации, дипломатического паспорта гражданина Российской Федерации и служебного паспорта гражданина Российской Федерации, удостоверяющих личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащих электронные носители информации». [Электронный ресурс]. - URL: http://www.consultant.ru/document/cons_doc_LAW_56619/ (дата обращения: 20.05.2019).
8. ГОСТ 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. - Введ. 2012-07-08. - М.: Стандартинформ, 2013 - 33 с. - [Электронный ресурс]. - URL: http://docs.cntd.ru/document/gost-r-34-10-2012 (дата обращения: 09.05.2019 г.);
9. ГОСТ 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования [Электронный ресурс]. - Введ. 2012-07-08. - М.: Стандартинформ. - 2013 - 28 с. - [Электронный ресурс]. - URL: http://docs.cntd.ru/document/1200095035 (дата обращения: 09.05.2019).
10. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 15.02.2008 г. [Электронный ресурс]. - URL: https://fstec.ru/component/attachments/download/289 (дата обращения: 20.05.2019).
11. Сидоров, А.О. Модель и метод структурированной оценки риска при анализе информационной безопасности / А.О. Сидоров // Санкт-Петербургский государственный университет информационных технологий, механики и оптики. - Санкт-Петербург. -2008. - С. 15-22.
RISK ASSESSMENT OF ACTUAL THREATS DURING HUMAN CHIPPING
A.S. Bondarenko, graduate student P.K. Yarygin, graduate student M.A. Turilov, graduate student
National research nuclear university "MEPhI" (NRNU MEPI) (Russia, Moscow)
Abstract. This article describes the current situation in the field of human chipping and considers the trend of the development of global legislation on the use of electronic media as identity documents. It also reviews existing methods of ensuring the security of personal data when chipping a person and assesses the risks of actual data security threats when implementing these current threats when chipping a person.
Keywords: chipping, current threats, risk assessment, microchip, information security.