‹ Danh sách văn bản
TCVN14190-3:2024 Tiêu chuẩn Việt Nam Lĩnh vực khác

Tiêu chuẩn quốc gia TCVN 14190-3:2024 (ISO/IEC 19989-3:2020) về An toàn thông tin - Tiêu chí và phương pháp đánh giá an toàn hệ thống sinh trắc học - Phần 3: Phát hiện tấn công trình diện

Chưa rõ hiệu lực

TIÊU CHUẨN QUỐC GIA

TCVN 14190-3:2024
ISO/IEC 19989-3:2020

AN TOÀN THÔNG TIN - TIÊU CHÍ VÀ PHƯƠNG PHÁP LUẬN ĐÁNH GIÁ AN TOÀN HỆ THỐNG SINH TRẮC HỌC - PHẦN 3: PHÁT HIỆN TẤN CÔNG TRÌNH DIỆN

Information security - Criteria and methodology for security evaluation of biometric systems - Part 3: Presentation attack detection

 

Lời nói đầu

TCVN 14190-3:2024 hoàn toàn tương đương với ISO/IEC 19989-3:2020.

TCVN 14190-3:2024 do Ban Cơ yếu Chính phủ biên soạn, Bộ Quốc phòng đề nghị, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia thẩm định, Bộ Khoa học và Công nghệ công bố.

Bộ tiêu chuẩn TCVN 14190 (ISO/IEC 19989) An toàn thông tin

- Tiêu chí và phương pháp luận đánh giá an toàn hệ thống sinh trắc học bao gồm 3 phần:

- TCVN 14190-1 (ISO/IEC 19989-1) An toàn thông tin-Tiêu chí và phương pháp luận đánh giá an toàn hệ thống sinh trắc học - Phần 1: Khung.

- TCVN 14190-2 (ISO/IEC 19989-2) An toàn thông tin - Tiêu chí và phương pháp luận đánh giá an toàn hệ thống sinh trắc học - Phần 2: Hiệu suất nhận dạng sinh trắc học.

- TCVN 14190-3 (ISO/IEC 19989-3) An toàn thông tin - Tiêu chí và phương pháp luận đánh giá an toàn hệ thống sinh trắc học - Phần 3: Phát hiện tấn công trình diện.

 

Giới thiệu

Các hệ thống sinh trắc học có thể bị tấn công bởi các cuộc tấn công trình diện trong đó những kẻ tấn công cố gắng phá hoại chính sách an toàn hệ thống bằng cách trình diện các đặc trưng sinh trắc học tự nhiên của chúng hoặc các vật nhân tạo sở hữu các đặc điểm đã được sao chép hoặc giả mạo. Các cuộc tấn công trình diện có thể xảy ra trong quá trình đăng ký hoặc các thủ tục định danh/xác minh. Các kỹ thuật được thiết kế để phát hiện những bản trình diện các vật nhân tạo thường khác với các kỹ thuật để chống lại các cuộc tấn công khi sử dụng các đặc điểm tự nhiên. Phòng thủ chống lại các cuộc tấn công trình diện với các đặc điểm tự nhiên thường dựa vào khả năng của hệ thống sinh trắc học để phân biệt giữa những người đăng ký thực và những kẻ tấn công, dựa trên sự khác biệt giữa các đặc trưng sinh trắc học tự nhiên giữa hai thực thể. Khả năng này được thể hiện bởi hiệu suất nhận dạng sinh trắc học của hệ thống. Hiệu suất nhận dạng sinh trắc học và phát hiện tấn công trình diện có ảnh hưởng đến tính an toàn của hệ thống sinh trắc học. Do đó, việc đánh giá các khía cạnh này của hiệu suất từ quan điểm về an toàn s là những cân nhắc quan trọng đối với việc mua sắm các sản phẩm và hệ thống sinh trắc học.

Các sản phẩm và hệ thống sinh trắc học chia sẻ nhiều đặc tính của các sản phẩm và hệ thống Công nghệ thông tin khác có thể đáp ứng được việc đánh giá an toàn bằng cách sử dụng loạt tiêu chuẩn TCVN 8709 và TCVN 11386 theo phương thức tiêu chuẩn. Tuy nhiên, các hệ thống sinh trắc học bao gồm một số chức năng cần các tiêu chí và phương pháp luận đánh giá chuyên biệt mà bộ tiêu chuẩn TCVN 8709 và TCVN 11386 không đề cập đến. Những điều này chủ yếu liên quan đến việc đánh giá nhận dạng sinh trắc học và phát hiện tấn công trình diện. Đây là những chức năng được đề cập trong bộ tiêu chuẩn TCVN 14190.

TCVN 11385 mô tả các khía cạnh cụ thể về sinh trắc học và chỉ rõ các nguyên tắc cần được xem xét trong quá trình đánh giá an toàn của hệ thống sinh trắc học. Tuy nhiên, TCVN 11385 không chỉ rõ các tiêu chí và phương pháp luận cụ thể cần thiết để đánh giá an toàn dựa trên bộ tiêu chuẩn TCVN 8709.

Bộ tiêu chuẩn TCVN 14190 cung cấp cầu nối giữa các nguyên tắc đánh giá cho các sản phẩm và hệ thống sinh trắc học được xác định trong TCVN 11385 và các yêu cầu về tiêu chí và phương pháp luận để đánh giá an toàn dựa trên bộ tiêu chuẩn TCVN 8709. Bộ tiêu chuẩn TCVN 14190 bổ sung cho bộ tiêu chuẩn TCVN 8709 và TCVN 11386 bằng cách cung cấp các thành phần chức năng an toàn mở rộng cùng với các hoạt động bổ sung liên quan đến các yêu cầu này. Các phần mở rộng đối với các yêu cầu và hoạt động bổ sung được tìm thấy trong bộ tiêu chuẩn TCVN 8709 và TCVN 11386 liên quan đến việc đánh giá nhận dạng sinh trắc học và phát hiện tấn công trình diện cụ thể đối với các hệ thống sinh trắc học.

Tiêu chuẩn này cung cấp

Số hiệuTCVN14190-3:2024
Loại văn bảnTiêu chuẩn Việt Nam
Lĩnh vựcLĩnh vực khác
Ngày ban hành01/01/2024
Ngày hiệu lực11/07/2026
Nơi ban hành***
Người ký***
Tình trạngChưa xác định

Tóm tắt mang tính tham khảo.

Tiêu chuẩn quốc gia TCVN 14190-3:2024 (hoàn toàn tương đương với ISO/IEC 19989-3:2020) về An toàn thông tin - Tiêu chí và phương pháp đánh giá an toàn hệ thống sinh trắc học - Phần 3: Phát hiện tấn công trình diện đưa ra các quy định, tiêu chí và phương pháp kỹ thuật nhằm đánh giá năng lực bảo mật của hệ thống sinh trắc học trước các nguy cơ tấn công trình diện. Phạm vi và đối tượng áp dụng Tiêu chuẩn này áp dụng đối với các nhà phát triển công nghệ, các phòng thử nghiệm, kiểm thử viên và các tổ chức đánh giá an toàn thông tin độc lập. Đối tượng điều chỉnh trực tiếp là các hệ thống nhận diện sinh trắc học có tích hợp cơ chế phát hiện tấn công trình diện (Presentation Attack Detection - PAD) nhằm bảo vệ tính toàn vẹn và độ tin cậy của dữ liệu sinh trắc học. Mục tiêu thử nghiệm chức năng trong Lớp ATE (Thử nghiệm) Mục tiêu cốt lõi của mọi hoạt động thử nghiệm chức năng được thực hiện trong Lớp ATE là xác định và chứng minh một cách khách quan liệu cơ chế PAD của hệ thống có khả năng phát hiện các công cụ tấn công trình diện (Presentation Attack Instrument - PAI) với độ tin cậy đầy đủ theo yêu cầu thiết kế hay không. Trong các phân lớp thử nghiệm cụ thể bao gồm ATE_FUN.1 và ATE_FUN.2, nhà phát triển có nghĩa vụ tiến hành các thử nghiệm chức năng bằng cách sử dụng tối thiểu các PAI tiêu chuẩn. Trong trường hợp các loại PAI tiêu chuẩn không được cung cấp hoặc không sẵn có, nhà phát triển phải sử dụng các PAI phi tiêu chuẩn để thay thế. Nhà phát triển được phép và khuyến khích chuẩn bị các PAI phi tiêu chuẩn để thực hiện các hoạt động thử nghiệm chức năng bổ sung. Việc chuẩn bị này nhằm cung cấp thông tin chi tiết, toàn diện về bản chất, đặc điểm kỹ thuật của các PAI mà kiểm thử viên cần tập trung vào, từ đó giúp tối ưu hóa và giảm bớt khối lượng công việc trong các hoạt động đánh giá của kiểm thử viên. Yêu cầu chứng minh độ tin cậy và xác định tỷ lệ lỗi của hệ thống PAD Mục tiêu tối cao của hoạt động thử nghiệm đối với hệ thống PAD là chứng minh bằng số liệu thực tế rằng cơ chế PAD có khả năng ngăn chặn và phát hiện các cuộc tấn công trình diện với độ tin cậy cao nhất. Để đạt được mục tiêu này, nhà phát triển bắt buộc phải xác định được tỷ lệ phân loại lỗi tấn công trình diện (Attack Presentation Classification Error Rate - APCER) cho từng loại PAI cụ thể. Chỉ số APCER phản ánh tốc độ hoặc tần suất mà tại đó đối tượng đánh giá (Target of Evaluation - TOE) bỏ sót hoặc không phát hiện được công cụ tấn công trình diện (PAI) thuộc một loại nhất định, đây là chỉ số kỹ thuật quan trọng để định lượng mức độ an toàn của hệ thống sinh trắc học. Hiệu lực thi hành Tiêu chuẩn quốc gia TCVN 14190-3:2024 được ban hành và áp dụng theo các quy định hiện hành của pháp luật Việt Nam về tiêu chuẩn và quy chuẩn kỹ thuật trong lĩnh vực an toàn thông tin mạng.

  • Tiêu chuẩn quốc gia TCVN 13723-1:2023 (ISO/IEC 19896-1:2018) về Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với kiểm thử viên và đánh giá viên bảo mật thông tin - Phần 1: giới thiệu, khái niệm và yêu cầu chung
  • Tiêu chuẩn quốc gia TCVN 12197:2024 (ISO/IEC 19772:2020) về An toàn thông tin - Mã hóa có xác thực
  • Tiêu chuẩn quốc gia TCVN 14179:2024 về Hệ thống thu phí điện tử - Yêu cầu và biện pháp an toàn thông tin - Công nghệ nhận dạng tần số vô tuyến
  • Tiêu chuẩn quốc gia TCVN 3570:1981 về An toàn sinh học - Những yêu cầu chung
  • Tiêu chuẩn quốc gia TCVN 8709-1:2011 (ISO/IEC 15408-1:2009) về Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát
  • Tiêu chuẩn Việt Nam TCVN 8709-2:2011 (ISO/IEC 15408-2 : 2008) về Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn
  • Tiêu chuẩn Việt Nam TCVN 8709-3:2011 (ISO/IEC 15408-3:2008) về Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn
  • Tiêu chuẩn quốc gia TCVN 11385:2016 (ISO/IEC 19792:2009) về Công nghệ thông tin - Các kỹ thuật an toàn - Đánh giá an toàn sinh trắc học
  • Tiêu chuẩn quốc gia TCVN 11386:2016 (ISO/IEC 18045:2008) về Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp đánh giá an toàn công nghệ thông tin