Khi Internet trở thành một phần phổ biến hơn trong cuộc sống hàng ngày, các dịch vụ khác nhau đang được cung cấp qua Internet, chẳng hạn như ngân hàng Internet, chăm sóc sức khỏe từ xa, v.v. Để cung cấp các dịch vụ này một cách an toàn, nhu cầu về cơ chế xác thực giữa các đối tượng và dịch vụ được cung cấp thậm chí còn trở nên quan trọng hơn. Một số cơ chế xác thực đã được phát triển bao gồm các lược đồ dựa trên mã thông báo, nhận dạng cá nhân và số giao dịch (PIN / TAN), các lược đồ chữ ký số dựa trên hệ thống mật mã khóa công khai và các lược đồ xác thực sử dụng kỹ thuật sinh trắc học.
Sinh trắc học - công nghệ nhận dạng tự động các cá nhân dựa trên đặc điểm hành vi và sinh lý của họ - đã xuất hiện nhiều và bao gồm các công nghệ nhận dạng dựa trên hình ảnh dấu vân tay, mẫu giọng nói, hình ảnh mống mắt, hình ảnh khuôn mặt và những thứ tương tự. Chi phí của các kỹ thuật sinh trắc học ngày càng giảm trong khi độ tin cậy của chúng ngày càng tăng, và cả hai hiện nay đều có thể chấp nhận được và khả thi để sử dụng làm cơ chế xác thực.
Xác thực sinh trắc học tạo ra sự khác biệt tiềm ẩn giữa bảo đảm quyền riêng tư và xác thực. Một mặt, lý tưởng các đặc điểm sinh trắc học là một thuộc tính không thay đổi gắn liền và khác biệt đối với một cá nhân. Sự ràng buộc này của thông tin xác thực với người đó cung cấp sự đảm bảo chắc chắn cho việc xác thực. Mặt khác, ràng buộc chặt chẽ này cũng tạo cơ sở cho những lo ngại về quyền riêng tư xung quanh việc sử dụng sinh trắc học, chẳng hạn như xử lý bất hợp pháp dữ liệu sinh trắc học và đặt ra những thách thức đối với tính bảo mật của hệ thống sinh trắc học nhằm ngăn chặn sự xâm phạm của các tham chiếu sinh trắc học. Giải pháp thông thường đối với sự xâm phạm của thông tin xác thực - để thay đổi mật khẩu hoặc cấp mã thông báo mới - thường không khả dụng cho xác thực sinh trắc học vì các đặc điểm sinh trắc học, là đặc tính sinh lý nội tại hoặc đặc điểm hành vi của các cá nhân, rất khó hoặc không thể thay đổi. Nhiều nhất một ngón tay hoặc mắt khác có thể được đăng ký, nhưng sự lựa chọn thường bị hạn chế. Do đó, các biện pháp đối phó thích hợp để bảo vệ an toàn cho hệ thống sinh trắc học và quyền riêng tư của các chủ thể dữ liệu là điều cần thiết.
Hệ thống sinh trắc học thường ràng buộc một tham chiếu sinh trắc học với thông tin nhận dạng cá nhân khác (PII) để xác thực các cá nhân. Trong trường hợp này, ràng buộc là cần thiết để đảm bảo tính bảo mật của bản ghi dữ liệu có chứa thông tin sinh trắc học. Sự liên kết ngày càng tăng của các tham chiếu sinh trắc học với PII khác và việc chia sẻ thông tin sinh trắc học giữa các khu vực pháp lý khiến các tổ chức trở nên vô cùng khó khăn trong việc đảm bảo việc bảo vệ thông tin sinh trắc học và tuân thủ các quy định về quyền riêng tư khác nhau.
Tiêu chuẩn ISO / IEC 24745:2011 đưa ra hướng dẫn về việc bảo vệ thông tin sinh trắc học theo các yêu cầu khác nhau về tính bảo mật, tính toàn vẹn và khả năng làm mới / thu hồi trong quá trình lưu trữ và chuyển giao. Ngoài ra, tiêu chuẩn này cung cấp các yêu cầu và hướng dẫn để quản lý và xử lý thông tin sinh trắc học an toàn và tuân thủ quyền riêng tư.
Tiêu chuẩn này quy định những điều sau:
- phân tích các mối đe dọa và các biện pháp đối phó vốn có trong các mô hình ứng dụng hệ thống sinh trắc và sinh trắc học;
- các yêu cầu bảo mật để ràng buộc an toàn giữa tham chiếu sinh trắc học và tham chiếu nhận dạng;
- các mô hình ứng dụng hệ thống sinh trắc học với các tình huống khác nhau để lưu trữ và so sánh các tham chiếu sinh trắc học; và
- hướng dẫn về việc bảo vệ quyền riêng tư của một cá nhân trong quá trình xử lý thông tin sinh trắc học.
Tiêu chuẩn này không bao gồm các vấn đề quản lý chung liên quan đến an ninh vật lý, an ninh môi trường và quản lý khóa đối với các kỹ thuật mật mã.
Download tài liệu ISO / IEC 24745:2011 miễn phí tại đây!
Để xem được bản full ISO / IEC 24745:2011, quý khách có thể đăng ký mua bản full tiêu chuẩn thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và chính xác nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây hoặc qua hotline 0976.389.199. ISOCERT rất hân hạnh được đồng hành cùng doanh nghiệp trong sự nghiệp nâng cao chất lượng sản phẩm hàng hóa vì lợi ích quốc gia.
