0976.389.199
ISO / IEC 19989-2: 2020 - An toàn thông tin - Tiêu chí và phương pháp đánh giá tính bảo mật của hệ thống sinh trắc học - Phần 2: Hiệu suất nhận dạng sinh trắc học

ISO / IEC 19989-2: 2020 - An toàn thông tin - Tiêu chí và phương pháp đánh giá tính bảo mật của hệ thống sinh trắc học - Phần 2: Hiệu suất nhận dạng sinh trắc học

Để đánh giá bảo mật của hệ thống xác minh sinh trắc học và hệ thống nhận dạng sinh trắc học, tài liệu này dành riêng cho việc đánh giá bảo mật hiệu suất nhận dạng sinh trắc học áp dụng bộ tiêu chuẩn ISO / IEC 15408.

Giới thiệu

Hệ thống sinh trắc học có thể chịu các cuộc tấn công thuyết trình trong đó những kẻ tấn công cố gắng phá hoại chính sách bảo mật hệ thống bằng cách trình bày các đặc điểm sinh trắc học tự nhiên của chúng hoặc các đồ tạo tác có các đặc điểm được sao chép hoặc giả mạo. Các cuộc tấn công trình bày có thể xảy ra trong quá trình đăng ký hoặc các sự kiện nhận dạng / xác minh. Các kỹ thuật được thiết kế để phát hiện các đồ tạo tác trình bày thường khác với các kỹ thuật để chống lại các cuộc tấn công khi sử dụng các đặc điểm tự nhiên. Phòng thủ chống lại các cuộc tấn công trình bày với các đặc điểm tự nhiên thường dựa vào khả năng của hệ thống sinh trắc học để phân biệt giữa những người đăng ký chính hãng và những kẻ tấn công dựa trên sự khác biệt giữa các đặc điểm sinh trắc học tự nhiên của họ. Khả năng này được đặc trưng bởi hiệu suất nhận dạng sinh trắc học của hệ thống - hệ thống nhận dạng sinh trắc học thực hiện các chức năng cần thiết của nó tốt hay xấu như thế nào. Hiệu suất nhận dạng sinh trắc học và phát hiện tấn công trình bày có ảnh hưởng đến tính bảo mật của hệ thống sinh trắc học. Do đó, việc đánh giá các khía cạnh này của hiệu suất từ ​​quan điểm bảo mật sẽ trở thành những cân nhắc quan trọng đối với việc mua sắm các sản phẩm và hệ thống sinh trắc học.

Các sản phẩm và hệ thống sinh trắc học chia sẻ nhiều thuộc tính của các sản phẩm và hệ thống CNTT khác có thể đáp ứng được việc đánh giá bảo mật bằng cách sử dụng loạt tiêu chuẩn ISO / IEC 15408 và ISO / IEC 18045 theo cách tiêu chuẩn. Tuy nhiên, các hệ thống sinh trắc học thể hiện một số chức năng cần các tiêu chí và phương pháp đánh giá chuyên biệt mà bộ tiêu chuẩn ISO / IEC 15408 và ISO / IEC 18045 không đề cập đến. Chủ yếu, các hệ thống này liên quan đến việc đánh giá nhận dạng sinh trắc học và phát hiện tấn công trình bày. Đây là các chức năng được đề cập trong ISO / IEC 19989 (tất cả các phần).

ISO / IEC 19792 mô tả các khía cạnh cụ thể về sinh trắc học này và chỉ định các nguyên tắc cần được xem xét trong quá trình đánh giá an ninh của hệ thống sinh trắc học. Tuy nhiên, nó không chỉ rõ các tiêu chí và phương pháp luận cụ thể cần thiết để đánh giá an ninh dựa trên bộ tiêu chuẩn ISO / IEC 15408.

Bộ tiêu chuẩn ISO / IEC 19989 cung cấp cầu nối giữa các nguyên tắc đánh giá cho các sản phẩm và hệ thống sinh trắc học được xác định trong ISO / IEC 19792 và các yêu cầu về tiêu chí và phương pháp luận để đánh giá an ninh dựa trên bộ tiêu chuẩn ISO / IEC 15408. Bộ tiêu chuẩn ISO / IEC 19989 bổ sung cho bộ tiêu chuẩn ISO / IEC 15408 và ISO / IEC 18045 bằng cách cung cấp các yêu cầu chức năng bảo mật mở rộng cùng với các hoạt động đảm bảo liên quan đến các yêu cầu này. Các phần mở rộng đối với các yêu cầu và hoạt động đảm bảo được tìm thấy trong bộ tiêu chuẩn ISO / IEC 15408 và ISO / IEC 18045 liên quan đến việc đánh giá nhận dạng sinh trắc học và phát hiện tấn công trình bày đặc biệt đối với các hệ thống sinh trắc học.

ISO / IEC 19989-1 bao gồm việc giới thiệu khuôn khổ chung để đánh giá an ninh của hệ thống sinh trắc học, bao gồm các thành phần chức năng bảo mật mở rộng và phương pháp luận bổ sung, là các hoạt động đánh giá bổ sung cho người đánh giá. Các khuyến nghị chi tiết được phát triển cho các khía cạnh hiệu suất nhận dạng sinh trắc học trong tài liệu này và cho các khía cạnh phát hiện tấn công trình bày trong ISO / IEC 19989-3.

Tài liệu này mô tả các bổ sung cho phương pháp đánh giá để đánh giá hiệu suất nhận dạng sinh trắc học để đánh giá tính bảo mật của các sản phẩm sinh trắc học. Nó bổ sung cho loạt ISO / IEC 15408, ISO / IEC 18045 và ISO / IEC 19989-1. Nó được xây dựng dựa trên các cân nhắc chung được mô tả trong ISO / IEC 19792 và phương pháp thử nghiệm hiệu suất sinh trắc học được mô tả trong ISO / IEC 19795-1 bằng cách cung cấp hướng dẫn bổ sung cho người đánh giá.

Trong tài liệu này, thuật ngữ “chủ thể dữ liệu” được sử dụng trong khi “người dùng” được sử dụng trong ISO / IEC 19989-1, để phù hợp với từ vựng sinh trắc học, vì các chuyên gia sinh trắc học phải là người đọc chính của tài liệu này.

Phạm vi

Để đánh giá bảo mật của hệ thống xác minh sinh trắc học và hệ thống nhận dạng sinh trắc học, tài liệu này dành riêng cho việc đánh giá bảo mật hiệu suất nhận dạng sinh trắc học áp dụng bộ tiêu chuẩn ISO / IEC 15408.

Nó cung cấp các yêu cầu và khuyến nghị cho nhà phát triển và người đánh giá về các hoạt động bổ sung về hiệu suất nhận dạng sinh trắc học được quy định trong ISO / IEC 19989-1.

Việc đánh giá các kỹ thuật phát hiện tấn công trình bày nằm ngoài phạm vi của tài liệu này ngoại trừ việc trình bày từ các nỗ lực mạo danh theo chính sách về mục đích sử dụng theo tài liệu hướng dẫn TOE.

Tài liệu viện dẫn

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

ISO / IEC 2382: 2015, Công nghệ thông tin - Từ vựng

ISO / IEC 2382-37: 2017, Công nghệ thông tin - Từ vựng - Phần 37: Sinh trắc học

ISO / IEC 15408-1: 2009, Công nghệ thông tin - Kỹ thuật bảo mật - Tiêu chí đánh giá về bảo mật CNTT - Phần 1: Giới thiệu và mô hình chung

ISO / IEC 15408-3: 2008, Công nghệ thông tin - Kỹ thuật bảo mật - Tiêu chí đánh giá về bảo mật CNTT - Phần 3: Các thành phần đảm bảo an ninh

ISO / IEC 18045: 2008, Công nghệ thông tin - Kỹ thuật bảo mật - Phương pháp luận để đánh giá bảo mật CNTT

ISO / IEC 19792: 2009, Công nghệ thông tin - Kỹ thuật bảo mật - Đánh giá bảo mật của sinh trắc học

ISO / IEC 19795-1: 2006, Công nghệ thông tin — Kiểm tra và báo cáo hiệu suất đo lường — Phần 1: Nguyên tắc và khuôn khổ

ISO / IEC 19795-2: 2007, Công nghệ thông tin - Báo cáo và thử nghiệm hiệu suất sinh trắc học - Phần 2: Phương pháp thử nghiệm để đánh giá công nghệ và kịch bản

ISO / IEC 19989-1: 2020, An toàn thông tin - Tiêu chí và phương pháp luận để đánh giá bảo mật của hệ thống sinh trắc học - Phần 1: Khung

ISO / IEC 30107-3: 2017, Công nghệ thông tin - Phát hiện tấn công trình bày sinh trắc học - Phần 3: Kiểm tra và báo cáo

Preview tiêu chuẩn

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.

Bài viết liên quan