Tổng quan

Giới thiệu

Các hệ thống sinh trắc học có thể dễ bị tấn công bởi các cuộc tấn công trình bày trong đó những kẻ tấn công cố gắng phá hoại chính sách bảo mật hệ thống bằng cách trình bày các đặc điểm sinh trắc học tự nhiên của chúng hoặc các đồ tạo tác có các đặc điểm sao chép hoặc giả mạo. Các cuộc tấn công trình bày có thể xảy ra trong quá trình đăng ký hoặc các sự kiện nhận dạng / xác minh. Các kỹ thuật được thiết kế để phát hiện các đồ tạo tác trình chiếu thường khác với các kỹ thuật để phát hiện các cuộc tấn công trong đó các đặc điểm tự nhiên được sử dụng. Phòng thủ chống lại các cuộc tấn công trình bày với các đặc điểm tự nhiên thường dựa vào khả năng của hệ thống sinh trắc học để phân biệt giữa những người đăng ký chính hãng và những kẻ tấn công dựa trên sự khác biệt giữa các đặc điểm sinh trắc học tự nhiên của họ. Khả năng này được đặc trưng bởi hiệu suất nhận dạng sinh trắc học của hệ thống. Hiệu suất nhận dạng sinh trắc học và phát hiện tấn công trình bày có ảnh hưởng đến tính bảo mật của hệ thống sinh trắc học. Do đó, việc đánh giá các khía cạnh này của hiệu suất từ ​​quan điểm bảo mật sẽ trở thành những cân nhắc quan trọng đối với việc mua sắm các sản phẩm và hệ thống sinh trắc học.

Các sản phẩm và hệ thống sinh trắc học chia sẻ nhiều đặc tính của các sản phẩm và hệ thống CNTT khác có thể đáp ứng được việc đánh giá bảo mật bằng cách sử dụng loạt tiêu chuẩn ISO / IEC 15408 và ISO / IEC 18045 theo cách thông thường. Tuy nhiên, các hệ thống sinh trắc học thể hiện một số chức năng cần các tiêu chí và phương pháp đánh giá chuyên biệt mà bộ tiêu chuẩn ISO / IEC 15408 và ISO / IEC 18045 không đề cập đến. Chủ yếu, các hệ thống này liên quan đến việc đánh giá nhận dạng sinh trắc học và phát hiện tấn công trình bày. Đây là những chức năng được đề cập trong tài liệu này.

ISO / IEC 19792 mô tả các khía cạnh cụ thể về sinh trắc học này và chỉ định các nguyên tắc cần được xem xét trong quá trình đánh giá an ninh của hệ thống sinh trắc học. Tuy nhiên, nó không chỉ rõ các tiêu chí và phương pháp luận cụ thể cần thiết để đánh giá an ninh dựa trên bộ tiêu chuẩn ISO / IEC 15408.

Bộ tiêu chuẩn ISO / IEC 19989 cung cấp cầu nối giữa các nguyên tắc đánh giá cho các sản phẩm và hệ thống sinh trắc học được xác định trong ISO / IEC 19792 và các yêu cầu về tiêu chí và phương pháp luận để đánh giá an ninh dựa trên bộ tiêu chuẩn ISO / IEC 15408. Bộ tiêu chuẩn ISO / IEC 19989 bổ sung cho bộ tiêu chuẩn ISO / IEC 15408 và ISO / IEC 18045 bằng cách cung cấp các yêu cầu chức năng bảo mật mở rộng cùng với các hoạt động đảm bảo liên quan đến các yêu cầu này. Các phần mở rộng đối với các yêu cầu và hoạt động đảm bảo được tìm thấy trong bộ tiêu chuẩn ISO / IEC 15408 và ISO / IEC 18045 liên quan đến việc đánh giá nhận dạng sinh trắc học và phát hiện tấn công trình bày đặc biệt đối với các hệ thống sinh trắc học.

Tài liệu này cung cấp hướng dẫn và các yêu cầu cho nhà phát triển và người đánh giá đối với các hoạt động bổ sung về phát hiện tấn công trình bày được quy định trong ISO / IEC 19989-1. Nó được xây dựng dựa trên những cân nhắc chung được mô tả trong ISO / IEC 19792 và phương pháp luận thử nghiệm phát hiện tấn công trình bày được mô tả trong ISO / IEC 30107-3 bằng cách cung cấp thêm hướng dẫn cho người đánh giá.

Trong tài liệu này, thuật ngữ 'người dùng' được sử dụng có nghĩa là thuật ngữ 'đối tượng chụp' được sử dụng trong sinh trắc học.

Phạm vi

Đối với đánh giá bảo mật của hệ thống xác minh sinh trắc học và hệ thống nhận dạng sinh trắc học, tài liệu này dành riêng cho đánh giá bảo mật phát hiện tấn công trình chiếu áp dụng loạt tiêu chuẩn ISO / IEC 15408. Nó cung cấp các khuyến nghị và yêu cầu cho nhà phát triển và người đánh giá đối với các hoạt động bổ sung về phát hiện tấn công trình bày được quy định trong ISO / IEC 19989-1.

Tài liệu này chỉ có thể áp dụng cho các TOE cho loại đặc tính sinh trắc học đơn lẻ nhưng để lựa chọn một đặc tính từ nhiều đặc tính.

Tài liệu viện dẫn

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

ISO / IEC 15408-3: 2008, Công nghệ thông tin - Kỹ thuật bảo mật - Tiêu chí đánh giá về bảo mật CNTT - Phần 3: Các thành phần đảm bảo an ninh

ISO / IEC 18045: 2008, Công nghệ thông tin - Kỹ thuật bảo mật - Phương pháp luận để đánh giá bảo mật CNTT

ISO / IEC 19989-1: 2020, Công nghệ thông tin - Kỹ thuật bảo mật - Tiêu chí và phương pháp luận để đánh giá bảo mật của hệ thống sinh trắc học - Phần 1: khuôn khổ

ISO / IEC 30107-3: 2017, Công nghệ thông tin - Phát hiện tấn công trình bày sinh trắc học - Phần 3: Kiểm tra và báo cáo

Preview tiêu chuẩn

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.