Tiêu chuẩn quốc gia TCVN 14190-2:2024 (ISO/IEC 19989-2:2020) về An toàn thông tin - Tiêu chí và phương pháp đánh giá an toàn hệ thống sinh trắc học - Phần 2: Hiệu suất nhận dạng sinh trắc học
TIÊU CHUẨN QUỐC GIA
TCVN 14190-2:2024
ISO/IEC 19989-2:2020
AN TOÀN THÔNG TIN - TIÊU CHÍ VÀ PHƯƠNG PHÁP LUẬN ĐÁNH GIÁ AN TOÀN HỆ THỐNG SINH TRẮC HỌC - PHẦN 2 : HIỆU SUẤT NHẬN DẠNG SINH TRẮC HỌC
Information security - Criteria and methodology for assessing the security of biometric systems - Part 2: Biometric recognition performance
Mục lục
Lời nói đầu
Giới thiệu
1 Phạm vi áp dụng
2 Tài liệu viện dẫn
3 Thuật ngữ và định nghĩa
4 Ký hiệu và thuật ngữ viết tắt
5 Các hoạt động bổ sung cho TCVN 11386 (ISO/IEC 18045) về các thử nghiệm ATE
5.1 Yêu cầu chung
5.2 Lập kế hoạch đánh giá
5.3 Thu thập dữ liệu
5.4 Phân tích
5.5 Xem xét các thử nghiệm của nhà phát triển
5.6 Yêu cầu cụ thể về các thành phần đảm bảo trên ATE_IND
5.7 Đánh giá các thử nghiệm của nhà phát triển bằng cách lặp lại một tập con thử nghiệm
5.8 Tiến hành thử nghiệm độc lập
6 Các hoạt động bổ sung cho TCVN 11386 (ISO/IEC 18045) về đánh giá tính dễ bị tổn thương (AVA)
6.1 Các khía cạnh chung
6.2 TOE để thử nghiệm
6.3 Các lỗ hổng tiềm năng
6.4 Đánh giá khả năng tấn công
PHỤ LỤC A (tham khảo) Ví dụ về tính toán tiềm năng tấn công cho các hoạt động AVA
PHỤ LỤC B (tham khảo) Ví dụ cho các hoạt động ATE
PHỤ LỤC C (tham khảo) Ví dụ về tài liệu thử nghiệm hiệu suất của nhà phát triển và chiến lược đánh giá của nó
Thư mục tài liệu tham khảo
Lời nói đầu
TCVN 14190-2:2024 hoàn toàn tương đương với ISO/IEC 19989-2:2020.
TCVN 14190-2:2024 do Ban Cơ yếu Chính phủ biên soạn, Bộ Quốc phòng đề nghị, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia thẩm định, Bộ Khoa học và Công nghệ công bố.
Bộ tiêu chuẩn TCVN 14190 (ISO/IEC 19989) An toàn thông tin - Tiêu chí và phương pháp luận đánh giá an toàn hệ thống sinh trắc học bao gồm 3 phần:
- TCVN 14190-1 (ISO/IEC 19989-1) An toàn thông tin - Tiêu chí và phương pháp luận đánh giá an toàn hệ thống sinh trắc học - Phần 1: Khung.
- TCVN 14190-2 (ISO/IEC 19989-2) An toàn thông tin - Tiêu chí và phương pháp luận đánh giá an toàn hệ thống sinh trắc học - Phần 2: Hiệu suất nhận dạng sinh trắc học.
- TCVN 14190-3 (ISO/IEC 19989-3) An toàn thông tin - Tiêu chí và phương pháp luận đánh giá an toàn hệ thống sinh trắc học - Phần 3: Phát hiện tấn công trình diện.
Giới thiệu
Các hệ thống sinh trắc học có thể bị tấn công bởi các cuộc tấn công trình diện trong đó những kẻ tấn công cố gắng phá hoại chính sách an toàn hệ thống bằng cách trình diện các đặc trưng sinh trắc học tự nhiên của chúng hoặc các tạo tác sở hữu các đặc điểm đã được sao chép hoặc giả mạo. Các cuộc tấn công trình diện có thể xảy ra trong quá trình đăng ký hoặc các thủ tục định danh/xác minh. Các kỹ thuật được thiết kế để phát hiện những bản trình diện các tạo tác thường khác với các kỹ thuật để chống lại các cuộc tấn công khi sử dụng các đặc điểm tự nhiên. Phòng thủ chống lại các cuộc tấn công trình diện với các đặc điểm tự nhiên thường dựa vào khả năng của hệ thống sinh trắc học để phân biệt giữa những người đăng ký thực và những kẻ tấn công, dựa trên sự khác biệt giữa các đặc trưng sinh trắc học tự nhiên giữa hai thực thể. Khả năng này được thể hiện bởi hiệu suất nhận dạng sinh trắc học của hệ thống. Hiệu suất nhận dạng sinh trắc học và phát hiện tấn công trình diện có ảnh hưởng đến tính an toàn của hệ thống sinh trắc học
| Số hiệu | TCVN14190-2:2024 |
|---|---|
| Loại văn bản | Tiêu chuẩn Việt Nam |
| Lĩnh vực | Lĩnh vực khác |
| Ngày ban hành | 01/01/2024 |
| Ngày hiệu lực | 11/07/2026 |
| Nơi ban hành | *** |
| Người ký | *** |
| Tình trạng | Chưa xác định |
Tóm tắt mang tính tham khảo.
Tiêu chuẩn quốc gia TCVN 14190-2:2024 (hoàn toàn tương đương với ISO/IEC 19989-2:2020) về An toàn thông tin - Tiêu chí và phương pháp đánh giá an toàn hệ thống sinh trắc học - Phần 2: Hiệu suất nhận dạng sinh trắc học quy định các tiêu chí, phương pháp luận và quy trình đánh giá bảo mật đối với hiệu suất nhận dạng của các hệ thống sinh trắc học. Phạm vi và đối tượng áp dụng Tiêu chuẩn này áp dụng đối với các tổ chức, doanh nghiệp, phòng thử nghiệm và các chuyên gia đánh giá an toàn thông tin trong việc kiểm định, đánh giá và chứng nhận tính an toàn của các hệ thống nhận dạng sinh trắc học (gọi tắt là TOE - Target of Evaluation - Đối tượng đánh giá). Văn bản này đóng vai trò là cơ sở kỹ thuật để xác định khả năng chống chịu của hệ thống trước các nguy cơ tấn công giả mạo hoặc khai thác lỗ hổng sinh trắc học. Mục tiêu cốt lõi của nhiệm vụ đánh giá hệ thống Tìm kiếm, phát hiện và chỉ ra các lỗ hổng bảo mật tiềm ẩn trong cấu trúc và hoạt động của Đối tượng đánh giá (TOE). Chứng minh một cách khách quan rằng TOE có đủ khả năng chống lại các phương thức tấn công nhất định, dựa trên một mức độ tiềm năng tấn công đã được xác định và thiết lập từ trước. Mục tiêu và nguyên tắc thử nghiệm đánh giá Xác định xem TOE có dễ bị tổn thương hoặc bị phá vỡ bởi một cuộc tấn công cụ thể nhắm vào tiềm năng tấn công mục tiêu hay không. Các kịch bản tấn công này có thể được xây dựng dựa trên danh sách các mối đe dọa an ninh thông tin đã được chuẩn hóa và lưu ý trong các tài liệu kỹ thuật liên quan. Đánh giá khả năng phản hồi của hệ thống sinh trắc học trước các hành vi gian lận, giả mạo thực tế nhằm vượt qua cơ chế xác thực. Quy trình chuẩn bị thử nghiệm và đánh giá tiềm năng tấn công sơ bộ Để đảm bảo tính chính xác và hiệu quả của quá trình thử nghiệm, kiểm thử viên cần thực hiện các bước chuẩn bị kỹ lưỡng sau: Đánh giá tiềm năng tấn công sơ bộ: Tiến hành phân tích và đánh giá dựa trên các đặc điểm kỹ thuật chi tiết của cuộc tấn công, bao gồm việc xác định rõ bản chất cuộc tấn công là gì, cách thức tiến hành thử nghiệm thực tế trên hệ thống và phương pháp giải thích, phân tích kết quả thu được sau thử nghiệm. Xếp hạng và ưu tiên thử nghiệm: Sử dụng kết quả xếp hạng tấn công sơ bộ để thiết lập danh sách ưu tiên thử nghiệm. Quy tắc áp dụng là các cuộc tấn công có xếp hạng càng thấp thì mức độ ưu tiên thử nghiệm càng cao, giúp tối ưu hóa nguồn lực và tập trung vào các mối đe dọa nguy hiểm nhất. Thử nghiệm các đường tấn công mở rộng: Kiểm thử viên được phép thử nghiệm các đường tấn công mà kết quả đánh giá sơ bộ cho thấy nằm trên hoặc vượt quá tiềm năng tấn công mục tiêu ban đầu, nhằm phát hiện tối đa các rủi ro bảo mật ngoài dự kiến. Hiệu lực thi hành Tiêu chuẩn quốc gia TCVN 14190-2:2024 (ISO/IEC 19989-2:2020) được áp dụng kể từ ngày ban hành theo các quy định pháp luật hiện hành về tiêu chuẩn và quy chuẩn kỹ thuật của Việt Nam. Các tổ chức vận hành hệ thống thông tin có sử dụng công nghệ sinh trắc học cần đối chiếu với các tiêu chí trong tiêu chuẩn này để nâng cao năng lực bảo mật hệ thống.
- Tiêu chuẩn quốc gia TCVN 13723-3:2023 (ISO/IEC 19896-3:2018) về Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với kiểm thử viên và đánh giá viên bảo mật thông tin - Phần 3: Yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với đánh giá viên theo TCVN 8709 (ISO/IEC 15408)
- Tiêu chuẩn quốc gia TCVN 13723-1:2023 (ISO/IEC 19896-1:2018) về Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với kiểm thử viên và đánh giá viên bảo mật thông tin - Phần 1: giới thiệu, khái niệm và yêu cầu chung
- Tiêu chuẩn quốc gia TCVN 12197:2024 (ISO/IEC 19772:2020) về An toàn thông tin - Mã hóa có xác thực
- Tiêu chuẩn quốc gia TCVN 3570:1981 về An toàn sinh học - Những yêu cầu chung
- Tiêu chuẩn quốc gia TCVN 8709-1:2011 (ISO/IEC 15408-1:2009) về Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát
- Tiêu chuẩn Việt Nam TCVN 8709-2:2011 (ISO/IEC 15408-2 : 2008) về Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn
- Tiêu chuẩn Việt Nam TCVN 8709-3:2011 (ISO/IEC 15408-3:2008) về Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn
- Tiêu chuẩn quốc gia TCVN 11385:2016 (ISO/IEC 19792:2009) về Công nghệ thông tin - Các kỹ thuật an toàn - Đánh giá an toàn sinh trắc học
- Tiêu chuẩn quốc gia TCVN 11386:2016 (ISO/IEC 18045:2008) về Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp đánh giá an toàn công nghệ thông tin
- Tiêu chuẩn quốc gia TCVN 14190-3:2024 (ISO/IEC 19989-3:2020) về An toàn thông tin - Tiêu chí và phương pháp đánh giá an toàn hệ thống sinh trắc học - Phần 3: Phát hiện tấn công trình diện