1. Trang Chủ
  2. Tiêu chuẩn - Qui chuẩn
  3. TCVN 11385:2016

TCVN 11385:2016

Tiêu chuẩn này xác định các vấn đề cần giải quyết trong đánh giá an toàn hệ thống sinh trắc học. Tiêu chuẩn bao gồm những khía cạnh cụ thể về sinh trắc học và các nguyên tắc được xem xét trong đánh giá an toàn hệ thống sinh trắc học. Tiêu chuẩn không giải quyết những khía cạnh phi sinh trắc học, khía cạnh mà có thể là một phần của đánh giá an toàn tổng thể một hệ thống sử dụng công nghệ sinh trắc học (ví dụ như các yêu cầu về cơ sở dữ liệu hay kênh thông tin liên lạc). TIÊU CHUẨN QUỐC GIA TCVN 1

Thể loại Tài liệu miễn phí Tiêu chuẩn - Qui chuẩn

Số trang 33

Ngày tạo 5/19/2020 9:32:00 PM +00:00

Loại tệp DOC

Kích thước 0.22 M

Tên tệp

Tải TCVN 11385:2016 (.pdf)

Xem mẫu

  1. TIÊU CHUẨN QUỐC GIA TCVN 11385:2016 ISO/IEC 19792:2009 CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - ĐÁNH GIÁ AN TOÀN SINH TRẮC HỌC Information technology - Evaluation methodology for environmental influence in biometric system performance Lời nói đầu TCVN 11385:2016 hoàn toàn tương đương ISO/IEC 19792:2009. TCVN 11385:2016 do Học viện Công nghệ Bưu chính Viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố. CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - ĐÁNH GIÁ AN TOÀN SINH TRẮC HỌC Information technology - Security techniques - Security evaluation of biometrics 1. Phạm vi áp dụng Tiêu chuẩn này xác định các vấn đề cần giải quyết trong đánh giá an toàn hệ thống sinh trắc học. Tiêu chuẩn bao gồm những khía cạnh cụ thể về sinh trắc học và các nguyên tắc được xem xét trong đánh giá an toàn hệ thống sinh trắc học. Tiêu chuẩn không giải quyết những khía cạnh phi sinh trắc học, khía cạnh mà có thể là một phần của đánh giá an toàn tổng thể một hệ thống sử dụng công nghệ sinh trắc học (ví dụ như các yêu cầu về cơ sở dữ liệu hay kênh thông tin liên lạc). Tiêu chuẩn này không nhằm mục đích xác định bất kỳ phương pháp cụ thể nào cho việc đánh giá an toàn hệ thống sinh trắc học mà thay vào đó tập trung vào những yêu cầu mang tính nguyên tắc. Như vậy, các yêu cầu trong tiêu chuẩn này là độc lập với bất kỳ sơ đồ đánh giá hoặc chứng nhận nào và sẽ cần được hợp nhất và sửa lại cho thích hợp trước khi được sử dụng trong ngữ cảnh của một sơ đồ cụ thể. Tiêu chuẩn này xác định các nội dung quan trọng khác nhau cần được xem xét trong đánh giá an toàn hệ thống sinh trắc học. Các nội dung này được trình bày trong các điều dưới đây của tiêu chuẩn: - Điều 4 và 5 của tiêu chuẩn đưa ra cái nhìn tổng quan cho tất cả các thuật ngữ, định nghĩa và tờ viết tắt được sử dụng, - Điều 6 giới thiệu khái niệm tổng thể cho việc đánh giá an toàn hệ thống sinh trắc học, - Điều 7 mô tả những khía cạnh thống kê của các tỷ lệ lỗi liên quan đến an toàn, - Điều 8 giải quyết việc đánh giá lỗ hổng của hệ thống sinh trắc học, - Điều 9 mô tả việc đánh giá những khía cạnh riêng tư, Tiêu chuẩn này có liên quan đến cả hai nhóm đánh giá viên và nhà phát triển. - Tiêu chuẩn xác định các yêu cầu cho đánh giá viên và cung cấp hướng dẫn thực hiện việc đánh giá an toàn hệ thống sinh trắc học. - Tiêu chuẩn phục vụ thông báo cho nhà phát triển các yêu cầu về đánh giá an toàn sinh trắc học nhằm giúp họ chuẩn bị cho việc đánh giá an toàn. Tiêu chuẩn này độc lập với bất kỳ sơ đồ đánh giá cụ thể nào nhưng có thể đáp ứng như là một khung phát triển các phương pháp kiểm thử và đánh giá cụ thể nhằm tích hợp các yêu cầu về đánh giá sinh trắc học với các sơ đồ đánh giá và chứng nhận hiện có. Tiêu chuẩn này tham chiếu và sử dụng các tiêu chuẩn sinh trắc học khác, đáng chú ý là những tiêu chuẩn kiểm thử và báo cáo hiệu suất sinh trắc học của tiểu ban kỹ thuật quốc tế ISO/JTC1 SC 37. Các tiêu chuẩn này đã được điều chỉnh ở mức cần thiết đối với những yêu cầu cụ thể của đánh giá an toàn sinh trắc học. 2. Sự tuân thủ
  2. Để đáp ứng được tiêu chuẩn này, việc đánh giá an toàn hệ thống sinh trắc học phải được lập kế hoạch, thực hiện và báo cáo theo những yêu cầu mang tính quy định nêu trong tiêu chuẩn này. Tiêu chuẩn này mô tả những khía cạnh cụ thể về việc đánh giá an toàn hệ thống sinh trắc học về mặt: - các tỷ lệ lỗi thống kê (xem điều 7), - các lỗ hổng sinh trắc học cụ thể (xem điều 8), - tính riêng tư (xem điều 9). Một số sơ đồ đánh giá chấp nhận tiêu chuẩn này không giải quyết được tất cả các khía cạnh đã nêu trên sẽ có thể tiếp tục đòi hỏi sự tuân thủ với các phần của tiêu chuẩn này. Trong trường hợp này, việc đánh giá an toàn hệ thống sinh trắc học phải được lập kế hoạch, thực hiện và báo cáo phù hợp với một tập hợp nhỏ các yêu cầu mang tính quy định của tiêu chuẩn này. Trong trường hợp này, các yêu cầu được giải quyết phải được xác định rõ ràng. Lưu ý rằng sự tuân thủ tiêu chuẩn này được giới hạn trong việc chấp nhận phương pháp đánh giá sinh trắc học đã được mô tả và gắn kết với các yêu cầu mang tính quy định cụ thể. Sự tuân thủ không bao gồm các vấn đề có liên quan đến sơ đồ như hành động cần được thực hiện trong trường hợp một hệ thống được đánh giá không đáp ứng các tiêu chí hoặc mục tiêu đánh giá có liên quan đến an toàn. Sơ đồ tổng thể có trách nhiệm quy định cụ thể hành động này, trong đó có thể bao gồm, ví dụ: - hoàn toàn không đánh giá được, - việc xác lập lại tiêu chí hoặc mục tiêu đánh giá để trùng khớp với kết quả đạt được, hoặc - việc phát triển hệ thống được đánh giá để đáp ứng các tiêu chí hoặc mục tiêu đánh giá đã xác định. 3. Tài liệu viện dẫn Các tài liệu viện dẫn sau rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có). ISO/IEC 19795-1:2006, Biometric performance testing and reporting - Part 1: Principles and framework (ISO/IEC 19795-1:2006 - Kiểm thử và báo cáo hiệu suất sinh trắc học - Phần 1: Các nguyên tắc và khung) 4. Thuật ngữ và định nghĩa Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa sau 4.1. Tổng quan 4.1.1. Mức đảm bảo (assurance level) Lượng đảm bảo thu được theo thang đo cụ thể được sử dụng bởi các phương pháp đảm bảo CHÚ THÍCH: Định nghĩa từ [1]. 4.1.2. Đối tượng tấn công (attacker) Người tìm cách khai thác các lỗ hổng tiềm ẩn của hệ thống sinh trắc học 4.1.3. Đặc trưng sinh trắc học (biometric characteristic) Đặc trưng sinh học và hành vi của một cá thể có thể được phát hiện và từ đó các đặc điểm sinh trắc học có tính lặp lại, phân biệt có thể được trích xuất cho mục đích tự động nhận dạng cá thể CHÚ THÍCH 1: Định nghĩa từ [2]. CHÚ THÍCH 2: Đặc trưng sinh học và hành vi là các đặc tính vật lý của các bộ phận cơ thể, các tiến trình sinh lý và hành vi được tạo ra bởi cơ thể và sự kết hợp của những đặc tính và tiến trình này. CHÚ THÍCH 3: Phân biệt không nhất thiết mang nghĩa là cá thể hóa. VÍ DỤ: Các ví dụ về đặc trưng sinh trắc học là: cấu trúc đường vân của Galton, hình thể khuôn mặt, cấu tạo da mặt hình thể bàn tay, hình thể ngón tay, cấu trúc mống mắt, cấu trúc tĩnh mạch của bàn tay, cấu trúc đường vân của lòng bàn tay hoặc hình dạng võng mạc. 4.1.4. Sản phẩm sinh trắc học (biometric product) Thành phần, hệ thống hoặc ứng dụng sinh trắc học đóng vai phạm vi của một đánh giá
  3. 4.1.5. Sinh trắc học (biometrics) Nhận dạng tự động của các cá thể dựa vào đặc trưng sinh học và hành vi của các cá thể đó CHÚ THÍCH: Định nghĩa từ [2]. 4.1.6. Đánh giá viên (evaluator) Người hoặc bên chịu trách nhiệm thực hiện việc đánh giá an toàn sản phẩm sinh trắc học 4.1.7. Sự đánh giá (evaluation) Sự đánh giá một thành phẩm so với tiêu chí đã được xác định trước CHÚ THÍCH 1: Định nghĩa từ [1]. CHÚ THÍCH 2: Trong ngữ cảnh này, thành phẩm là hệ thống sinh trắc học. 4.1.8. Lamb (lamb) Tham chiếu sinh trắc học tạo ra các điểm số tương đồng cao hơn so với bình thường trên một hệ thống sinh trắc học riêng biệt khi so sánh với các mẫu sinh trắc học hoặc các tham chiếu từ các đối tượng khác 4.1.9. Nhà cung cấp (vendor) Bên bán, sản xuất hoặc sử dụng hệ thống sinh trắc học và có trách nhiệm cung cấp hệ thống sinh trắc học cùng toàn bộ chứng cứ cần thiết cho việc đánh giá CHÚ THÍCH: Trong những trường hợp nhà cung cấp quyết định ủy nhiệm nhiệm vụ nào đó cho bên khác (ví dụ cho phòng kiểm thử của bên thứ ba), bên này sẽ được xem như là nhà cung cấp. 4.1.10. Người sử dụng (user) Người tương tác với một hệ thống sinh trắc học 4.1.11. Wolf (wolf) Mẫu sinh trắc học tạo ra các điểm số tương đồng cao hơn bình thường trên một hệ thống sinh trắc học riêng biệt khi so sánh với các tham chiếu sinh trắc học của các đối tượng thu nạp 4.2. Hệ thống sinh trắc học 4.2.1. Lần thử (attempt) Gửi một (hoặc một chuỗi) mẫu sinh trắc học vào hệ thống CHÚ THÍCH: Một lần thử cho kết quả là một khuôn mẫu thu nạp, một (hoặc nhiều) điểm số trùng khớp, hoặc có thể là một thất bại. 4.2.2. Dữ liệu sinh trắc học (biometric data) Mẫu sinh trắc học ở bất kỳ giai đoạn xử lý nào, tham chiếu sinh trắc học, đặc điểm sinh trắc học hoặc đặc tính sinh trắc học CHÚ THÍCH: Định nghĩa từ [2]. 4.2.3. Đặc điểm sinh trắc học (biometric feature) Các số và nhãn hiệu được trích xuất từ các mẫu sinh trắc học và được sử dụng để so sánh CHÚ THÍCH 1: Các đặc điểm sinh trắc học là đầu ra của một sự trích xuất đặc điểm sinh trắc học đã hoàn thành. CHÚ THÍCH 2: Việc sử dụng thuật ngữ này nên phù hợp với việc sử dụng của cộng đồng toán học và nhận dạng. CHÚ THÍCH 3: Một tập hợp đặc điểm sinh trắc học cũng có thể được coi là một mẫu sinh trắc học đã qua xử lý. 4.2.4. Mô hình sinh trắc học (biometric model) Hàm số lưu trữ (phụ thuộc vào đối tượng dữ liệu sinh trắc học) được tạo ra từ một (nhiều) đặc điểm sinh trắc học CHÚ THÍCH 1: Định nghĩa từ [2].
  4. CHÚ THÍCH 2: Việc so sánh sẽ áp dụng hàm số này đối với các đặc điểm sinh trắc học của một mẫu sinh trắc học nhận dạng để đưa ra một điểm số so sánh. CHÚ THÍCH 3: Hàm số này có thể được xác định thông qua huấn luyện. CHÚ THÍCH 4: Một mô hình sinh trắc học có thể bao gồm khâu xử lý trung gian tương tự như trích xuất đặc điểm sinh trắc học. VÍ DỤ: Các ví dụ cho hàm số lưu trữ có thể là một mô hình Markov ẩn, mô hình Gaussian hỗn hợp hoặc một mạng nơ ron nhân tạo. 4.2.5. Đặc tính sinh trắc học (biometric property) Các thuộc tính mô tả của đối tượng dữ liệu sinh trắc học được ước lượng hoặc được dẫn xuất từ mẫu sinh trắc học một cách tự động CHÚ THÍCH: Định nghĩa từ [2]. VÍ DỤ: Dấu vân tay có thể được phân loại bằng các đặc tính sinh trắc học về luồng đường vân, chẳng hạn các kiểu hình cung, hình xoáy, hình quai; Trong trường hợp nhận dạng khuôn mặt, có thể là các ước lượng về độ tuổi hoặc giới tính. 4.2.6. Tham chiếu sinh trắc học (biometric reference) Một hoặc nhiều mẫu sinh trắc học, khuôn mẫu sinh trắc học hoặc mô hình sinh trắc học gán làm thuộc tính cho một đối tượng dữ liệu sinh trắc học được lưu trữ và được sử dụng để so sánh CHÚ THÍCH 1: Định nghĩa từ [2]. CHÚ THÍCH 2: Một tham chiếu sinh trắc học có thể được tạo ra với việc sử dụng ngầm hoặc tường minh dữ liệu phụ trợ, như các Mô hình Nền tảng Vạn năng. VÍ DỤ: Hình ảnh khuôn mặt trên hộ chiếu; Khuôn mẫu chi tiết dấu vân tay trên Thẻ căn cước quốc gia; Mô hình hỗn hợp Gaussian, để nhận dạng giọng nói, trong cơ sở dữ liệu. 4.2.7. Mẫu sinh trắc học (biometric sample) Biểu diễn tương tự hoặc kỹ thuật số các đặc trưng sinh trắc học trước khi trích xuất đặc điểm sinh trắc học và thu được từ thiết bị hoặc hệ thống con thu thập sinh trắc học CHÚ THÍCH 1: Định nghĩa từ [2]. CHÚ THÍCH 2: Thiết bị thu thập sinh trắc học là hệ thống con thu thập sinh trắc học với một thành phần duy nhất. 4.2.8. Khuôn mẫu sinh trắc học (biometric template) Tập hợp các đặc điểm sinh trắc học được lưu trữ có thể so sánh trực tiếp với các đặc điểm sinh trắc học của mẫu sinh trắc học nhận dạng CHÚ THÍCH 1: Định nghĩa từ [2]. CHÚ THÍCH 2: Một tham chiếu sinh trắc học bao gồm hình ảnh, hoặc mẫu sinh trắc học khác thu thập được dưới dạng nguyên bản, đã được xử lý tăng cường hoặc được nén, không phải là một khuôn mẫu sinh trắc học. CHÚ THÍCH 3: Các đặc điểm sinh trắc học không được coi là một khuôn mẫu sinh trắc học trừ khi chúng được lưu trữ để tham chiếu. 4.2.9. Hồ sơ dữ liệu thu nạp (enrolment data record) Hồ sơ được tạo ra khi thu nạp, liên quan đến một cá thể và bao gồm các tham chiếu sinh trắc học và dữ liệu phi sinh trắc học thông thường CHÚ THÍCH: Định nghĩa từ [2]. 4.2.10. Giao dịch (transaction) Chuỗi các lần thử trên một bộ phận người sử dụng nhằm mục đích thu nạp, xác minh sinh trắc học hoặc định danh sinh trắc học CHÚ THÍCH: Có 3 kiểu giao dịch: chuỗi thu nạp, cho kết quả là sự thu nạp thành công hoặc thất bại; chuỗi xác minh, cho kết quả là quyết định xác minh; hoặc chuỗi định danh, kết quả là quyết định định
  5. danh. 4.3. Quá trình sinh trắc học 4.3.1. Xác thực (authentication) Cung cấp sự đảm bảo về danh tính được yêu cầu của một thực thể CHÚ THÍCH: Định nghĩa từ [1]. 4.3.2. Quyết định ứng dụng sinh trắc học (biometric application decision) Kết luận dựa trên chính sách quyết định ứng dụng sau khi xem xét một hoặc nhiều quyết định so sánh, điểm số so sánh và dữ liệu phi sinh trắc học khác có thể CHÚ THÍCH 1: Định nghĩa từ [2]. CHÚ THÍCH 2: Các quyết định ứng dụng sinh trắc học có thể được thực hiện dựa trên cơ sở các chính sách phức tạp, cho phép thay đổi số lượng quyết định so sánh dương tính. CHÚ THÍCH 3: Ứng dụng xác minh sinh trắc học có thể cho phép quyết định ứng dụng sinh trắc học dương tính ngay cả khi có một hoặc nhiều sự không trùng khớp so với tham chiếu sinh trắc học đã thu nạp. VÍ DỤ: Quyết định ứng dụng sinh trắc học có thể là “tiếp nhận yêu cầu”. 4.3.3. Nhận dạng sinh trắc học (biometric recognition) Nhận dạng bằng cách sử dụng một sản phẩm sinh trắc học CHÚ THÍCH 3: Nhận dạng sinh trắc học có thể hoặc thực hiện bằng xác minh sinh trắc học hoặc quá trình định danh sinh trắc học. 4.3.4. Điểm số so sánh (comparison score) Giá trị (hoặc tập hợp các giá trị) số học thu được từ một sự so sánh CHÚ THÍCH: Định nghĩa từ [2]. 4.3.5. Hủy thu nạp (de-enrolment) Việc xóa bỏ tham chiếu sinh trắc học ra khỏi bộ lưu trữ và nếu cần thiết, cả dữ liệu có liên quan với danh tính của người sử dụng cuối ra khỏi hệ thống sinh trắc học 4.3.6. Chính sách quyết định (decision policy) Tập hợp các tham số, quy tắc và giá trị được sử dụng để xác định khả năng tiếp nhận hoặc từ chối nhận dạng sinh trắc học của đối tượng CHÚ THÍCH: Định nghĩa từ [2]. 4.3.7. Thu nạp (enrol) Tạo và lưu trữ hồ sơ dữ liệu thu nạp cho một đối tượng thu thập sinh trắc học phù hợp với chính sách thu nạp CHÚ THÍCH: Định nghĩa từ [2]. 4.3.8. Sự thu nạp (enrolment) Hành động đang thu nạp hoặc được thu nạp CHÚ THÍCH: Định nghĩa từ [2]. 4.3.9. Định danh sinh trắc học (biometric identification) Chức năng của hệ thống sinh trắc học thực hiện tìm kiếm một-nhiều để có được danh sách ứng tuyển CHÚ THÍCH: Định nghĩa từ [2]. 4.3.10. Quyết định so sánh (comparison decision) Việc xác định các mẫu sinh trắc học nhận dạng và các tham chiếu sinh trắc học có cùng nguồn gốc sinh trắc học hay không dựa vào (các) điểm số so sánh, (các) chính sách quyết định bao gồm ngưỡng, và các đầu vào khác có thể
  6. CHÚ THÍCH: Định nghĩa từ [2]. CHÚ THÍCH 2: Trùng khớp là một quyết định sinh trắc học dương tính. CHÚ THÍCH 3: Không trùng khớp là một quyết định sinh trắc học âm tính. CHÚ THÍCH 4: Quyết định “không xác định” đôi khi có thể được đưa ra. 4.3.11. Ngưỡng (threshold) Giá trị biên của điểm số so sánh được sử dụng bởi ứng dụng so sánh để tự động tạo ra quyết định trùng khớp 4.3.12. Xác minh sinh trắc học (biometric verification) Chức năng của sản phẩm sinh trắc học thực hiện việc so sánh một-một CHÚ THÍCH: Điều chỉnh từ [2]. 4.4. Các tỷ lệ lỗi CHÚ THÍCH: Định nghĩa 4.4.1 tới 4.4.9 và 4.4.11 áp dụng theo ISO/IEC 19795-1:2006. 4.4.1. Lần thử mạo danh chủ động (active impostor attempt) Lần thử trong đó một cá thể cố gắng để trùng khớp với khuôn mẫu được lưu trữ của một cá thể khác bằng cách đưa ra một mẫu sinh trắc học mô phỏng hoặc tái tạo, hoặc cố ý chỉnh sửa đặc trưng sinh trắc học của chính mình 4.4.2. Tỷ lệ thu nạp thất bại (failure-to-enrol rate) FTE Tỷ lệ dân số mà hệ thống không hoàn tất quá trình thu nạp CHÚ THÍCH: Tỷ lệ thu nạp thất bại quan sát được được đo lường bằng thu nạp nhóm kiểm thử. Tỷ lệ thu nạp thất bại được dự kiến/mong đợi sẽ áp dụng cho toàn bộ dân số mục tiêu. 4.4.3. Tỷ lệ không trùng khớp sai (false non-match rate) FNMR Tỷ lệ các mẫu lần thử đối tượng chính danh cho kết quả sai, không trùng khớp với khuôn mẫu của cùng một đặc trưng từ cùng một người sử dụng cung cấp mẫu CHÚ THÍCH: Tỷ lệ không trùng khớp sai đo lường/quan sát được là khác biệt so với tỷ lệ không trùng khớp sai dự đoán/mong đợi (dạng tỷ lệ trước có thể được sử dụng đã ước tính dạng tỷ lệ sau). 4.4.4. Tỷ lệ trùng khớp sai (false match rate) FMR Tỷ lệ các mẫu lần thử đối tượng mạo danh không cố ý cho kết quả sai, trùng khớp với các khuôn mẫu không phải của chính người được so sánh CHÚ THÍCH: Tỷ lệ trùng khớp sai đo lường/quan sát được là khác biệt với tỷ lệ trùng khớp sai dự đoán/mong đợi (dạng tỷ lệ trước có thể được sử dụng để ước tính dạng tỷ lệ sau). 4.4.5. Tỷ lệ từ chối sai (false reject rate) FRR Tỷ lệ các giao dịch xác minh với các yêu cầu về danh tính là đúng thực nhưng bị từ chối không đúng 4.4.6. Tỷ lệ tiếp nhận sai (false accept rate) FAR tỷ lệ các giao dịch xác minh với các yêu cầu về danh tính là không đúng nhưng được xác nhận không đúng 4.4.7. Thứ hạng định danh (identification rank) Giá trị nhỏ nhất k mà nhận dạng đúng của người sử dụng nằm trong nhóm các nhận dạng k đầu tiên được trả về bởi một hệ thống định danh
  7. CHÚ THÍCH: Thứ hạng định danh phụ thuộc quy mô cơ sở dữ liệu thu nạp, và nên được trích dẫn “thứ hạng k trên n” 4.4.8. Thuật toán sơ tuyển (pre-selection algorithm) Thuật toán nhằm làm giảm thiểu số lượng các khuôn mẫu cần được trùng khớp trong một tìm kiếm định danh của cơ sở dữ liệu thu nạp 4.4.9. Lỗi sơ tuyển (pre-selection error) Lỗi xảy ra khi khuôn mẫu thu nạp tương ứng không nằm trong nhóm các mẫu ứng tuyển được chọn trước khi một mẫu từ cùng một đặc trưng sinh trắc học của cùng một người sử dụng được đưa ra CHÚ THÍCH: Trong sơ tuyển dựa vào việc xây dựng phân vùng/phân lớp những người sử dụng, lỗi sơ tuyển xảy ra khi khuôn mẫu thu nạp và một mẫu tiếp theo từ cùng đặc trưng sinh trắc học của cùng một người sử dụng được gán vào phân vùng khác nhau. 4.4.10. Nhóm kiểm thử (test crew) Bộ các đối tượng kiểm thử được tập hợp lại cho việc đánh giá CHÚ THÍCH: Định nghĩa từ [1]. 4.4.11. Lần thử đối tượng mạo danh không cố ý (zero-effort impostor attempt) Lần thử trong đó một cá thể gửi đặc trưng sinh trắc học của chính mình như thể cá thể đó đang thử xác minh thành công đối với khuôn mẫu của chính mình, nhưng việc so sánh được thực hiện đối với khuôn mẫu của người sử dụng khác 4.5. Thống kê 4.5.1. Khoảng tin cậy (confidence interval) Giá trị ước lượng thấp L và cao U cho một tham số x sao cho xác suất của giá trị thực của x nằm giữa L và U là giá trị cho trước (ví dụ 95%) [ISO/IEC 19795-1:2006, định nghĩa 4.8.2] CHÚ THÍCH: Khoảng tin cậy luôn gắn liền với giá trị xác suất đã biết tương ứng. Trong tiêu chuẩn này các giá trị xác suất đã biết được gọi là “giá trị tin cậy” 4.5.2. Giá trị tin cậy (confidence value) Giá trị xác suất đã biết tương ứng với khoảng tin cậy quy định 5. Chữ viết tắt DET Cân bằng lỗi phát hiện (vòng cong) FAR Tỷ lệ tiếp nhận sai FDIS Dự thảo tiêu chuẩn quốc tế phiên bản cuối cùng FMR Tỷ lệ trùng khớp sai FNMR Tỷ lệ không trùng khớp sai FRR Tỷ lệ từ chối sai FTE Thu nạp thất bại IS Tiêu chuẩn quốc tế 6. Đánh giá an toàn 6.1. Tổng quan Điều này làm rõ hơn phạm vi của tiêu chuẩn tại điều 1 và cung cấp ngữ cảnh mà trong đó đánh giá an toàn sinh trắc học được tiến hành. Hình A.1 chỉ ra kiến trúc tham chiếu của hệ thống sinh trắc học được sử dụng trong tiêu chuẩn này. Hệ thống sinh trắc học bao gồm một tập hợp các thành phần phần cứng và phần mềm. Hệ thống thường được sử dụng để thực hiện một ứng dụng sinh trắc học, trong trường hợp này hệ thống hoạt động trong một môi trường ngoài tạo thành một phần thiết yếu của ứng dụng. Môi trường không chỉ bao gồm
  8. các yếu tố vật lý như không gian, nhiệt độ, độ ẩm, chiếu sáng v.v... mà còn tất cả các khía cạnh về thủ tục và người sử dụng của hệ thống. Người sử dụng của hệ thống bao gồm tất cả những người có thể tương tác với hệ thống như những nhà điều hành, người quản trị, đối tượng thu nạp, đối tượng mạo danh v.v... Tiêu chuẩn này chủ yếu hướng vào việc đánh giá an toàn chính hệ thống sinh trắc học chứ không phải là các ứng dụng sinh trắc học hoàn chỉnh. Một ứng dụng sinh trắc học bao gồm một hệ thống sinh trắc học và các thành phần phần cứng và phần mềm có thể khác, với môi trường hoạt động, các quy trình tổ chức và các chính sách cùng cung cấp chức năng của ứng dụng. Những yếu tố bổ sung này có thể có lỗ hổng bảo mật riêng của chính mình hoặc có thể khuyếch đại hoặc giảm thiểu các lỗ hổng đã được sở hữu bởi chính hệ thống sinh trắc học. Đánh giá lỗ hổng cần được tiến hành theo cách thức có trật tự, bao gồm sự điều tra các lỗ hổng thành phần cá thể. Tuy nhiên, đánh giá viên nên thận trọng khi đánh giá các kết quả của việc đánh giá lỗ hổng thành phần mà không xem xét sự tương tác diễn ra với các thành phần hệ thống khác. Những tương tác này có thể xác định liệu có hay không các lỗ hổng thành phần có thể bị khai thác trong thực tế. Do đó, đánh giá viên nên luôn luôn đánh giá lỗ hổng trong ngữ cảnh toàn bộ chức năng của toàn hệ thống và không chỉ dựa trên đánh giá các lỗ hổng thành phần cá thể. Tương tự, một hệ thống sinh trắc học có thể biểu thị các lỗ hổng nội tại đã được nhận ra, đã được làm trầm trọng hơn hoặc giảm nhẹ bởi tương tác giữa các thành phần hệ thống. Ví dụ, một thuật toán so sánh sinh trắc học có thể hiển thị hành vi bất thường nếu được đưa vào dữ liệu sinh trắc học ngoài phạm vi, và hành vi này có thể làm phát sinh một lỗ hổng. Tuy nhiên, nếu (các) thành phần chịu trách nhiệm cung cấp dữ liệu sinh trắc học cho các thuật toán so sánh ngăn chặn dữ liệu bất thường được cung cấp thì sẽ không sinh ra lỗ hổng. Mặc dù phương pháp trong tiêu chuẩn này có thể được sử dụng để đánh giá các yếu tố an toàn cho các thành phần của một hệ thống sinh trắc học, đánh giá viên nên thận trọng khi kiểm tra các lỗ hổng thành phần cá thể và tìm hiểu các tương tác giữa các thành phần để xác định làm thế nào mà những tương tác này có thể ảnh hưởng đến lỗ hổng hệ thống. Nói chung, việc đánh giá lỗ hổng thành phần cá thể có thể có giá trị giới hạn và gây sai lạc nếu được thực hiện bên ngoài ngữ cảnh của một sự đánh giá hệ thống. Tiêu chuẩn này quy định cụ thể phương pháp đánh giá an toàn kỹ thuật của hệ thống sinh trắc học. Tiêu chuẩn không tìm cách giải quyết các vấn đề rộng hơn về đánh giá an toàn ứng dụng sinh trắc học hoàn chỉnh. Người kiểm định các ứng dụng sinh trắc học do đó cần xây dựng mô hình mối đe dọa/rủi ro cho các ứng dụng và đánh giá liệu các lỗ hổng phi sinh trắc học cụ thể khác có tồn tại trong hệ thống tổng thể và những tác động nào của bất kỳ lỗ hổng sinh trắc học đã được phát hiện đối với an toàn hệ thống tổng thể. 6.2. Phương pháp Tiêu chuẩn này đề cập đến những khía cạnh của việc đánh giá an toàn cụ thể cho các hệ thống sinh trắc học. Một đánh giá an toàn hệ thống sinh trắc học có thể cũng bao gồm việc đánh giá các khía cạnh an toàn công nghệ thông tin. Tiêu chuẩn này không bao hàm các khía cạnh này và đánh giá viên nên tham khảo các tiêu chuẩn và phương pháp luận đánh giá an toàn công nghệ thông tin khác khi đánh giá các khía cạnh phi sinh trắc học của một đánh giá an toàn hệ thống, ví dụ như Tiêu chí chung ([3]). Nhà cung cấp hệ thống sinh trắc học được đánh giá sẽ phải cung cấp mô tả hệ thống trước khi việc đánh giá bắt đầu. Điều này cho phép đánh giá viên trở nên quen thuộc với hệ thống và hỗ trợ những quyết định sau đó trong quá trình đánh giá. Các khía cạnh sinh trắc học cụ thể của đánh giá an toàn hệ thống sinh trắc học được mô tả trong tiêu chuẩn này là: - Phép đo lường các tỷ lệ lỗi thống kê (xem điều 7) - Các lỗ hổng sinh trắc học cụ thể (xem điều 8) - Tính riêng tư (xem điều 9) Khái niệm cơ bản của phương pháp này (ngoài ba lĩnh vực trên) là việc đánh giá an toàn hệ thống sinh trắc học có thể được thực hiện theo cách tương tự việc đánh giá an toàn của bất kỳ hệ thống công nghệ thông tin nào khác. Điều 7 giới thiệu khái niệm về kiểm thử các tỷ lệ lỗi liên quan đến an toàn trong ngữ cảnh đánh giá an toàn hệ thống sinh trắc học. Các tỷ lệ lỗi thống kê có thể được đo lường cho các thuật toán sinh trắc học đơn lẻ (thường sử dụng các cơ sở dữ liệu mẫu sinh trắc học có sẵn từ trước), hoặc cho các hệ thống mà người dùng cung cấp các mẫu sinh trắc học trực tiếp cho bộ cảm biến của thành phần thu thập dữ liệu. Kiểm thử tỷ lệ lỗi của các thuật toán sinh trắc học thường được sử dụng để so sánh hiệu
  9. suất giữa các thuật toán khác nhau và để định lượng sự thay đổi do phát triển thuật toán. Kiểm thử thuật toán có giá trị giới hạn trong việc đánh giá an toàn vì những lỗi về thuật toán chỉ là một nguồn gây lỗi trong một hệ thống sinh trắc học. Thường là cần thiết để tiến hành đo lường lỗi thống kê của các hệ thống sinh trắc học sử dụng các mẫu sinh trắc học thu được bởi thành phần thu thập của hệ thống từ các đối tượng thực trong một kiểm thử kịch bản. Tuy nhiên, kiểm thử thống kê của một thuật toán có thể góp phần vào sự hiểu biết cần thiết về hệ thống sinh trắc học, điều này cần thiết để chuẩn bị kiểm thử hoặc để tìm ra một yêu cầu về các tỷ lệ lỗi tối đa của hệ thống sinh trắc học. Điều 8 cung cấp hướng dẫn đánh giá lỗ hổng. Các lỗ hổng kỹ thuật được xử lý theo các nhóm tương ứng với các lỗ hổng tiềm ẩn trong hệ thống sinh trắc học, dựa trên sự cân nhắc lý thuyết và kinh nghiệm thực tế. Việc khai thác một lỗ hổng tiềm ẩn thường liên quan đến nhiều thành phần. Ví dụ, một vật giả mạo cần phải được tiếp nhận bởi bộ cảm biến và vượt qua bất kỳ mọi ngăn chặn giả mạo; vượt qua bước phân tích chất lượng; tiền xử lý và trích xuất đặc điểm thành công và vượt qua bất kỳ sự kiểm tra kiểm soát chất lượng tiếp theo nào. Các bước này thường sẽ liên quan tới nhiều hơn một thành phần của hệ thống. Điều 9 nêu chi tiết về những hành động của đánh giá viên được yêu cầu để giải quyết những vấn đề về tính riêng tư khi xử lý và lưu trữ dữ liệu sinh trắc học. Đây là một mối quan tâm an toàn vốn có cho các hệ thống sinh trắc học vì dữ liệu được sử dụng để xác thực là dữ liệu cá nhân và có thể được điều chỉnh bởi những ràng buộc sử dụng được xác định bởi luật pháp hay quy tắc thực hành ở các nước khác nhau. Tiêu chuẩn này xác định các vai trò của nhà cung cấp và đánh giá viên và quy định cụ thể các yêu cầu và hoạt động của mỗi bên. Mặc dù phương pháp luận là độc lập với sơ đồ, việc tách biệt các vai trò ở đây phản ánh sự cần thiết phải nhận thức các trách nhiệm và hành động của đánh giá viên để duy trì tính độc lập với nhà cung cấp. 7. Các tỷ lệ lỗi của hệ thống sinh trắc học 7.1. Giới thiệu Một đặc trưng vốn có của nhận dạng sinh trắc học đó là quyết định của hệ thống sinh trắc học tùy thuộc vào các lỗi mà có thể được thể hiện dưới dạng các tỷ lệ lỗi thống kê, ví dụ: các tỷ lệ tiếp nhận sai và từ chối sai. Những tỷ lệ lỗi này và các tham số hiệu suất khác cũng hàm ý về cường độ an toàn được cung cấp bởi một hệ thống sinh trắc học khi được sử dụng để xác thực. Do đó mỗi đánh giá an toàn một hệ thống sinh trắc học sẽ bao gồm việc đánh giá các các tỷ lệ lỗi liên quan đến an toàn. Kiểm thử và báo cáo các tỷ lệ lỗi liên quan đến an toàn trong tiêu chuẩn này dựa vào ISO/IEC 19795- 1:2006. Tiêu chuẩn này sử dụng các phần tử hiệu suất sinh trắc học và kiểm thử và báo cáo hiệu suất có liên quan đến việc đánh giá an toàn sinh trắc học. 7.2. Khái niệm - Kiểm thử các tỷ lệ lỗi liên quan đến an toàn Độ tin cậy của chức năng xác minh hoặc định danh sinh trắc học của hệ thống sinh trắc học là yếu tố quan trọng để xác định mức tin cậy có thể trong một quyết định xác thực được cung cấp bởi hệ thống. Độ tin cậy này có thể đo được bằng cách thực hiện đúng việc kiểm thử các tham số hiệu suất hệ thống có liên quan đến đảm bảo xác thực. Đối với một hệ thống kiểm soát truy cập, các tham số này bao gồm Tỷ lệ Tiếp nhận Sai (FAR) và Tỷ lệ Từ chối Sai (FRR), và các tương quan gần của chúng là Tỷ lệ Trùng khớp Sai (FMR) và Tỷ lệ Không trùng khớp Sai (FNMR) (xem định nghĩa chi tiết và sự khác biệt của các thuật ngữ này tại điều 4.4 và ISO/IEC 19795-1:2006). Lý do cả FAR/FMR và FRR/FNMR cần được đo lường đó là tồn tại một mối quan hệ nghịch đảo giữa các kiểu lỗi này đối với hệ thống sinh trắc học và thường có thể điều chỉnh hệ thống để đạt được bất kỳ giá trị FAR/FNMR mong muốn nếu không giới hạn giá trị FRR/FNMR. Đối với một ứng dụng kiểm soát truy cập, giá trị FAR/FMR có thể biểu thị sự an toàn trong khi giá trị FRR/FNMR tương ứng chỉ tính tiện dụng. Sự đánh đổi an toàn/tính tiện dụng này tương tự như trường hợp của mật khẩu khi độ dài mật khẩu và tính ngẫu nhiên (an toàn) có thể đánh đổi với khó khăn trong việc ghi nhớ (tính tiện dụng). Nhiều chính sách an toàn mật khẩu được xây dựng bằng việc chỉ xem xét các khía cạnh an toàn, mà không quan tâm đến khả năng sử dụng. Tuy nhiên đây không được coi là chấp nhận được đối với một hệ thống sinh trắc học. Lý do cho sự không thống nhất rõ rệt này có lẽ là một sự thất bại về tính tiện dụng để xác thực mật khẩu và được xem là một sự thất bại của con người, trong khi đối với nhận dạng sinh trắc học nó được xem như một sự thất bại của hệ thống. Mục đích của việc đo lường các tỷ lệ lỗi liên quan đến an toàn hệ thống sinh trắc học là cung cấp số
  10. liệu đáng tin cậy nhằm thiết lập sự bảo đảm cơ bản cho các quyết định xác minh hoặc nhận dạng được thực hiện bởi hệ thống. Sự kiểm thử các tỷ lệ lỗi liên quan đến an toàn bắt đầu với một yêu cầu an toàn dựa trên sự đáp ứng hoặc cải thiện các giới hạn tỷ lệ lỗi danh nghĩa. Kiểm thử hiệu suất sau đó nhằm mục đích chứng minh hoặc bác bỏ yêu cầu này. Ngoài ra, đánh giá viên có thể cần phải xem xét tác động có thể có của người sử dụng kiểm thử có các đặc trưng đặc biệt hoặc việc lựa chọn không ngẫu nhiên người sử dụng kiểm thử lên hiệu suất, và vì vậy lên an toàn. Phương pháp kiểm thử mô tả trong điều này dựa vào khái niệm sáu bước: 1) Nhà cung cấp sẽ cung cấp một mô tả hệ thống và ngữ cảnh sử dụng (xem 7.2.1). 2) Nhà cung cấp sẽ yêu cầu giá trị tối đa cho các tỷ lệ lỗi liên quan đến an toàn (xem 7.2.2). 3) Những yêu cầu phải được kiểm tra bởi đánh giá viên (xem 7.2.3). 4) Nhà cung cấp thực hiện một kiểm thử để chứng minh rằng yêu cầu là đúng, nghĩa là các tỷ lệ lỗi đáp ứng được yêu cầu (xem 7.2.4). 5) Kiểm thử của nhà cung cấp sẽ được đánh giá bởi đánh giá viên (xem 7.2.4). 6) Đánh giá viên thực hiện một kiểm thử độc lập (xem 7.2.5). Các bước này sẽ được giới thiệu chi tiết trong các điều theo đây. 7.2.1. Mô tả hệ thống (bước 1) Nhà cung cấp sẽ cung cấp cho đánh giá viên một mô tả hệ thống sinh trắc học được đánh giá và ngữ cảnh sử dụng của chúng. Mô tả này sẽ bao gồm: - mô tả về mục đích sử dụng của hệ thống, - thông tin về việc sản phẩm được thiết kế để thực hiện xác minh hoặc nhận dạng sinh trắc học, - mô tả về môi trường dự định của hệ thống, - mô tả về dân số mục tiêu của hệ thống, - mô tả tất cả các tham số cấu hình có liên quan đến an toàn (bao gồm tất cả các thiết lập ngưỡng) và các thiết lập đề nghị để đạt được những yêu cầu hiệu suất cho các môi trường dự định và dân số mục tiêu (xem 7.2.2). Mô tả hệ thống này là quan trọng đối với đánh giá viên để quyết định những yêu cầu tiếp theo trong ngữ cảnh tiêu chuẩn này. 7.2.2. Yêu cầu của nhà cung cấp (bước 2) Nhà cung cấp sẽ đưa ra các yêu cầu hiệu suất dưới dạng tập hợp giá trị các tỷ lệ lỗi liên quan đến an toàn tối đa có thể đạt được đồng thời. Đối với mỗi giá trị được yêu cầu của các tỷ lệ lõi liên quan đến an toàn, nhà cung cấp phải đưa ra (các) ngưỡng làm căn cứ cho yêu cầu. Yêu cầu này gồm ba khía cạnh: - Nhà cung cấp sẽ thực hiện và đưa ra phân tích về những tỷ lệ lỗi nào của hệ thống sinh trắc học là có liên quan đến an toàn. - Nhà cung cấp sẽ cung cấp cho đánh giá viên (các) tập hợp các giá trị các tỷ lệ lỗi liên quan đến an toàn tối đa có thể đạt được đồng thời trong ngữ cảnh các tham số cấu hình có liên quan theo quy định tại 7.2.1. - Nhà cung cấp đưa ra thuyết minh tại sao các giá trị các tỷ lệ lỗi liên quan đến an toàn tối đa là chấp nhận được cho mục đích sử dụng của hệ thống sinh trắc học. 7.2.3. Kiểm tra yêu cầu của nhà cung cấp (bước 3) Đánh giá viên sẽ xác định xem liệu danh sách các tỷ lệ lỗi liên quan đến an toàn là hoàn chỉnh và liệu yêu cầu các giá trị tỷ lệ lỗi tối đa là đầy đủ chưa. Họ cũng phải kiểm tra thuyết minh của nhà cung cấp đối với các tỷ lệ lỗi mà nhà cung cấp xem là không liên quan. Các yếu tố nên được xem xét khi quyết định liệu yêu cầu về giá trị tỷ lệ lỗi tối đa là đầy đủ bao gồm:
  11. - trường hợp áp dụng (tương lai) của hệ thống sinh trắc học và các nhu cầu an toàn của nó, - các yêu cầu pháp lý, - các yêu cầu hợp đồng (hoặc yêu cầu của khách hàng), - các yêu cầu bắt nguồn từ một phương pháp đánh giá cụ thể được sử dụng. Lưu ý rằng, trong một đánh giá an toàn, đánh giá viên không có trách nhiệm phải quyết định xem liệu yêu cầu về các tỷ lệ lỗi và giá trị tối đa của chúng có đáp ứng được các “công nghệ tiên tiến nhất” của công nghệ sinh trắc học hay không, tức là hệ thống sinh trắc học này về mặt lý thuyết có thể đáp ứng các yêu cầu tốt hơn hay không. Các câu hỏi có liên quan đến khía cạnh này nên là các yêu cầu của nhà cung cấp có đáp ứng được nhu cầu của khách hàng trong ngữ cảnh các ứng dụng tương lai của hệ thống sinh trắc học hay không. Đánh giá viên sẽ xem xét tất cả các tỷ lệ lỗi trong ISO/IEC 19795-1:2006 trong phân tích của họ để đánh giá danh sách các tỷ lệ lỗi liên quan đến an toàn xác định được đã hoàn chỉnh chưa. Để đảm bảo rằng danh sách tỷ lệ lỗi là hoàn chỉnh, đánh giá viên sẽ phải quyết định cho từng tỷ lệ lỗi được xác định trong ISO/IEC 19795-1:2006 cho dù có liên quan với hệ thống sinh trắc học được đánh giá hay không. Điều căn bản là mỗi tỷ lệ lỗi nên được cân nhắc là có liên quan. Các lý do hiển nhiên khiến các tỷ lệ lỗi có thể không liên quan gồm: - các yêu cầu pháp lý cụ thể không yêu cầu tỷ lệ lỗi này, - tỷ lệ lỗi chỉ áp dụng cho hệ thống nhận dạng sinh trắc học, trong khi đang đánh giá một hệ thống xác minh sinh trắc học, - tỷ lệ lỗi sơ tuyển trong các hệ thống không thực hiện việc sơ tuyển. Nếu nhà cung cấp cho rằng một tỷ lệ lỗi nào đó không có liên quan đến an toàn và điều này không rõ ràng đối với đánh giá viên, nhà cung cấp phải đưa ra thuyết minh bổ sung để thuyết phục đánh giá viên. Nếu không thì nhà cung cấp phải cung cấp (các) giá trị tỷ lệ lỗi cho tỷ lệ lỗi được xem xét. 7.2.4. Kiểm thử của nhà cung cấp và đánh giá kiểm thử của nhà cung cấp (bước 4 và 5) Trong khi các điều trước đề cập mỗi bước của phương pháp kiểm thử sáu bước như đã giới thiệu trong 7.2, điều này kết hợp các yêu cầu đối với hai bước của phương pháp: - kiểm thử của nhà cung cấp để chứng minh rằng tỷ lệ lỗi được yêu cầu là đúng, tức là tỷ lệ lỗi đáp ứng được yêu cầu. - đánh giá của đánh giá viên đối với kiểm thử này. Điều này mang lại lợi ích về tính rõ ràng và tính súc tích do các yêu cầu kiểm thử đối với nhà cung cấp và đánh giá viên mang nhiều đặc điểm chung. Nếu có sự khác biệt chúng sẽ được thể hiện ra. Lưu ý rằng nếu các yêu cầu của sơ đồ cụ thể đòi hỏi các hoạt động của nhà cung cấp và đánh giá viên phải được lập tài liệu riêng rẽ, có thể sẽ cần thiết phải phân tách các thông tin trong điều này thành 2 điều khác biệt Nhà cung cấp phải lập kế hoạch, thực hiện và lập tài liệu một kiểm thử để chứng minh các tỷ lệ lỗi liên quan đến an toàn được yêu cầu. Kiểm thử này phải tuân theo các phần liên quan của tiêu chuẩn ISO/IEC 19795-1. Đánh giá viên phải kiểm tra và xác nhận kiểm thử của nhà cung cấp. CHÚ THÍCH: Các yêu cầu đối với kiểm thử của nhà cung cấp không ngăn cản việc giao nhiệm vụ cho một tổ chức kiểm thử bên thứ ba. Tuy nhiên, một tổ chức như vậy phải độc lập với đánh giá viên rà soát kiểm thử. Vai trò của kiểm thử hiệu suất khi đánh giá an toàn sinh trắc học là để xác định hoặc xác nhận các tỷ lệ lỗi liên quan đến an toàn được yêu cầu. Việc đánh giá thực hiện theo tiêu chuẩn này phải tuân thủ các tiêu chuẩn kiểm thử và báo cáo hiệu suất quy định tại tiêu chuẩn ISO/IEC 19795-1:2006. Ngoài ra, các điều sau đây (7.2.4.1 đến 7.2.4.8) mang tính quy định cho các kiểm thử tuân thủ tiêu chuẩn này. Những yêu cầu này mở rộng, hạn chế hoặc nhấn mạnh các yêu cầu đưa ra trong tiêu chuẩn ISO/IEC 19795-1:2006. Trong trường hợp có các yêu cầu mâu thuẫn, các yêu cầu trong tiêu chuẩn này sẽ được ưu tiên. CHÚ THÍCH: Kiểm thử hiệu suất đòi hỏi các nguồn lực đáng kể. Do đó, khuyến cáo nhà cung cấp và đánh giá viên đồng ý về phương pháp kiểm thử, thủ tục và định dạng báo cáo bước khi bắt đầu kiểm thử hiệu suất, để đảm bảo rằng kiểm thử hiệu suất sẽ đáp ứng các yêu cầu của việc đánh giá.
  12. Ngoài các yêu cầu trong ISO/IEC 19795-1:2006, các vấn đề sau đây phải được giải quyết trong quá trình lập kế hoạch và thực hiện kiểm thử, và phải được đưa vào tài liệu kiểm thử: - Bất kỳ giả định nào về kịch bản kiểm thử đã thực hiện sẽ phải được nêu ra và chứng minh, - Nhóm kiểm thử phải thích hợp với ứng dụng mục tiêu, - Môi trường kiểm thử phải phù hợp với ứng dụng mục tiêu, - Các tỷ lệ lỗi liên quan đến an toàn phải được báo cáo và cho thấy là chấp nhận được cho ứng dụng mục tiêu, - (Các) giá trị ngưỡng liên quan đến an toàn và các tham số cấu hình phải được thiết lập phù hợp với các khuyến nghị của nhà cung cấp cho việc kiểm thử, - Bộ đếm thử lại được thiết lập phù hợp với các khuyến nghị nhà cung cấp, - Tỷ lệ lỗi lần thử đơn lẻ phải được đo lường và báo cáo, - Phương pháp thống kê cho kiểm thử phải được báo cáo và chứng minh bởi nhà cung cấp. Thông tin thêm về các yêu cầu này có thể được tìm thấy trong các điều tiếp theo dưới đây: 7.2.4.1. Các giả định Trong mỗi kiểm thử các tỷ lệ lỗi liên quan đến an toàn của một hệ thống sinh trắc học, các giả định phải được đặt ra để thiết kế một kịch bản kiểm thử thích hợp. Nhà cung cấp phải báo cáo tất cả các giả định đã được đặt ra trong giai đoạn thiết kế và kiểm thử. Các giả định thường đề cập: - môi trường dự kiến của hệ thống sinh trắc học, - hành vi mong đợi của người sử dụng dự kiến của hệ thống sinh trắc học, - hành vi mong đợi và nền tảng của các đối tượng tấn công, những kẻ có thể tấn công hệ thống sinh trắc học trong môi trường hoạt động đã dự định. Mức độ trùng khớp chặt chẽ của các điều kiện kiểm thử và các giả định với điều kiện hoạt động dự kiến sẽ ảnh hưởng đến mức độ tin cậy mà các kết quả kiểm thử dự báo hiệu suất hoạt động của hệ thống sinh trắc học như thế nào. Nhà cung cấp phải báo cáo tất cả các giả định cần thiết đã được đặt ra cho các kiểm thử, đảm bảo rằng những giả định này là phù hợp với việc sử dụng dự kiến của hệ thống sinh trắc học, và đảm bảo rằng các giả định thiết kế kiểm thử sẽ mang lại kết quả đáng tin cậy. Hơn nữa, nhà cung cấp phải cung cấp thông tin về hành vi hệ thống trong trường hợp người sử dụng không mong đợi (tức là người sử dụng không phù hợp với dân số mục tiêu của hệ thống). Thông tin này sẽ được xem xét trong ngữ cảnh đánh giá lỗ hổng. Đánh giá viên sẽ phân tích các giả định được cung cấp bởi nhà cung cấp để xác minh rằng: - tất cả các giả định cần thiết đã được báo cáo bởi nhà cung cấp, - các giả định phù hợp với dự kiến sử dụng hệ thống sinh trắc học như đã được báo cáo của nhà cung cấp, - thiết kế kiểm thử phù hợp với các giả định để các kết quả kiểm thử sẽ được tin cậy. 7.2.4.2. Nhóm kiểm thử Nhóm kiểm thử được sử dụng cho việc đánh giá phải - đại diện cho dân số mục tiêu trong hệ thống sinh trắc học, - đủ lớn để cung cấp sự tin cậy thống kê cần thiết trong các kết quả. Hồ sơ nhân khẩu của nhóm kiểm thử phải trùng khớp một cách chặt chẽ với dân số mục tiêu. Bất kỳ sự chênh lệch nào so với điều kiện này sẽ làm giảm mức độ tin cậy có thể đạt được trong các kết quả kiểm thử. Nhà cung cấp phải xác định bất kỳ đặc trưng nào của nhóm kiểm thử có thể làm sai lệch các tỷ lệ lỗi liên quan đến an toàn. Ngoài ra, nhà cung cấp phải báo cáo việc phân bổ các đặc trưng đã được xác định này trong nhóm kiểm thử và dân số mục tiêu của hệ thống sinh trắc học. Phân tích này có thể căn cứ vào dân số mục tiêu giả định như đã được báo cáo bởi nhà cung cấp. Cần lưu ý rằng, trách nhiệm của đánh giá viên là quyết định liệu độ chênh lệch của nhóm kiểm thử đã
  13. được xác định là đầy đủ và có thể chấp nhận được. Do tiêu chuẩn này là độc lập với bất kỳ phương pháp đánh giá cụ thể nào và mức độ chênh lệch có thể được chấp nhận đối với một thiết kế kiểm thử nào đó cũng phụ thuộc vào sự tin cậy có thể đạt được bởi kiểm thử, việc xác định các giới hạn cụ thể trong các chênh lệch như vậy là nằm ngoài phạm vi của tiêu chuẩn này. Các vấn đề chính để xác định quy mô kiểm thử cần thiết của nhóm kiểm thử là: - mức độ tin cậy cần thiết (được đưa ra bởi giá trị tin cậy cụ thể và khoảng tin cậy), - các tỷ lệ lỗi (các tỷ lệ lỗi thấp hơn thường đòi hỏi quy mô kiểm thử lớn hơn), - thiết kế của kiểm thử (ví dụ có cho phép nhiều giao dịch đối với người sử dụng). Trong kiểm thử hiệu suất, các tỷ lệ lỗi của hệ thống sinh trắc học được kiểm thử thường không được biết trước khi kiểm thử. Trong tình hình như vậy, quy mô kiểm thử cần thiết có thể chỉ được ước tính (dựa trên tỷ lệ lỗi mong đợi), và giá trị tin cậy đưa ra từ kiểm thử sẽ được tính toán sau khi kiểm thử đã được tiến hành. Tuy nhiên, trong quá trình đánh giá an toàn theo tiêu chuẩn này, yêu cầu về các giá trị tỷ lệ lỗi tối đa sẽ có sẵn, và yêu cầu này - cùng với thiết kế kiểm thử và mức độ tin cậy cần thiết phải đạt được bởi các kiểm thử - có thể được sử dụng để xác định quy mô cần thiết cho nhóm kiểm thử. Hướng dẫn thêm về cách xác định quy mô kiểm thử cần thiết có thể được tìm thấy trong ISO/IEC 19796-1:2006. Ngoài ra, hành vi của nhóm kiểm thử liên quan đến sự hợp tác và sự cẩn thận của họ khi đưa các đặc trưng sinh trắc học cho hệ thống con thu thập dữ liệu sẽ ảnh hưởng đến các tỷ lệ lỗi đo lường được. Do đó, đây là một khía cạnh quan trọng của nhóm kiểm thử đại diện mà hành vi của họ sẽ trùng khớp chặt chẽ với dân số mục tiêu nếu kết quả kiểm thử là một yếu tố dự báo đáng tin cậy của các kết quả hoạt động. Sự xem xét cần phải được đặt ra đối với: - sự hợp tác và động cơ của nhóm kiểm thử, và - sự quen thuộc của nhóm kiểm thử với việc sử dụng hệ thống sinh trắc học. Nhóm kiểm thử phải được cung cấp các chỉ dẫn, đào tạo và động cơ thích hợp để đảm bảo rằng hành vi của nhóm trùng khớp với dân số mục tiêu đã dự định. Hoạt động vận hành và việc thực hiện các giao dịch tổng thể cũng phải được xem xét để xác định các yếu tố có thể ảnh hưởng đến các tỷ lệ lỗi (ví dụ như chính sách vệ sinh bộ cảm biến). Kịch bản kiểm thử phải mô phỏng kịch bản hoạt động với tất cả các khía cạnh có thể ảnh hưởng đến các tỷ lệ lỗi hệ thống. Được biết, các điều kiện của quá trình thu nạp đối với nhóm kiểm thử và các chính sách tương ứng có một tác động đáng kể đến các tỷ lệ lỗi của hệ thống sinh trắc học. Các điều kiện của quá trình thu nạp được sử dụng để kiểm thử phải trùng khớp chặt chẽ với các điều kiện hoạt động của hệ thống sinh trắc học. Bất kỳ thủ tục nào được sử dụng để lựa chọn nhóm kiểm thử phải được công bố. Tỷ lệ thu nạp thất bại phải được báo cáo cùng với các kết quả kiểm thử cần thiết khác. Lưu ý rằng các kiểm thử tỷ lệ lỗi sử dụng các đối tượng mạo danh được lựa chọn vì đặc trưng sinh trắc học của các đối tượng này được biết đến hoặc được tin rằng có các đặc tính đặc biệt dẫn đến khả năng gia tăng sự chấp nhận sai được xử lý như một phần của đánh giá lỗ hổng tại điều 8. Tuy nhiên, nhà cung cấp có thể quyết định kết hợp các kiểm thử gồm một tập hợp người sử dụng không phải là đại diện của dân số mục tiêu của hệ thống sinh trắc học với kiểm thử này. 7.2.4.3. Môi trường Điều kiện môi trường cho kiểm thử của nhà cung cấp được thực hiện càng sát với điều kiện của môi trường dự định càng tốt. Yêu cầu này đảm bảo rằng các điều kiện môi trường của kiểm thử mô phỏng môi trường dự định. Trong trường hợp khác biệt về môi trường, nhà cung cấp phải đưa ra phân tích cho thấy sự khác biệt đó không ảnh hưởng đến kết quả kiểm thử. Lưu ý rằng câu hỏi liệu điều kiện môi trường khác nhau có thể làm giảm giá trị các tỷ lệ lỗi liên quan đến an toàn cũng sẽ được giải quyết trong ngữ cảnh đánh giá lỗ hổng (xem điều 8). Tất cả các điều kiện môi trường có liên quan đến kịch bản kiểm thử phải được ghi nhận và báo cáo.
  14. Ngoài ra, môi trường dự định dành cho hệ thống sinh trắc học phải được báo cáo cùng với kết quả đánh giá. Các yêu cầu tường minh về báo cáo môi trường dự định cùng với kết quả kiểm thử hiện hữu cho phép khách hàng của hệ thống sinh trắc học chắc chắn rằng họ vận hành hệ thống sinh trắc học trong một môi trường thích hợp. 7.2.4.4. Các tỷ lệ lỗi liên quan Nếu một tỷ lệ lỗi được đo phụ thuộc trực tiếp hoặc gián tiếp vào (các) tỷ lệ lỗi khác, các giá trị tương ứng với những tỷ lệ lỗi khác này phải được xác định cụ thể và báo cáo. Yêu cầu này được đưa ra để phòng ngừa khả năng một yêu cầu tỷ lệ lỗi phi thực tế đang được thực hiện mà phụ thuộc vào các giá trị tỷ lệ lỗi bất hợp lý có liên quan thông qua chính sách quyết định. Ví dụ, điều chỉnh một hệ thống sinh trắc học để đáp ứng yêu cầu của một FAR nhất định sẽ dẫn đến một FRR nhất định (do FAR và FRR có mối tương quan). Việc điều chỉnh như vậy là trách nhiệm của nhà cung cấp và là một đặc điểm quan trọng cho phép sử dụng cùng một hệ thống sinh trắc học cho các trường hợp ứng dụng khác nhau. Tuy nhiên, khi sử dụng các giá trị không hợp lý cho chính sách quyết định, việc điều chỉnh kết quả cho một FAR nhất định có thể dẫn đến một FRR khiến hệ thống không sử dụng được. Mặc dù yêu cầu về tỷ lệ lỗi có liên quan phải được kiểm thử và báo cáo trong những trường hợp này không thể ngăn chặn nhà cung cấp điều chỉnh hệ thống, nó sẽ làm cho những nỗ lực điều chỉnh này và ảnh hưởng của chúng có thể nhận thấy được và để lại quyết định về việc liệu có sử dụng hệ thống sinh trắc học ở (các) thiết lập ngưỡng đã sử dụng trong kiểm thử cho khách hàng. Nếu một vòng cong DET đầy đủ là sẵn có từ kiểm thử, khách hàng có thể lựa chọn sử dụng hệ thống ở (các) thiết lập ngưỡng khác nhau. 7.2.4.5. Chính sách quyết định và các thiết lập ngưỡng Tất cả các báo cáo về yêu cầu và đo lường tỷ lệ lỗi phải bao gồm chi tiết về các thiết lập ngưỡng quyết định tương ứng được sử dụng và, nếu có thể, bất kỳ tiêu chí ngưỡng chất lượng được sử dụng. Kiểm thử hiệu suất nói chung thường đưa ra kết quả là một vòng cong DET thể hiện mối quan hệ giữa các tỷ lệ lỗi (ví dụ: Tỷ lệ Trùng khớp Sai và Tỷ lệ Không Trùng khớp Sai) khi ngưỡng quyết định trùng khớp/không trùng khớp bị thay đổi. Tuy nhiên, để đánh giá an toàn, kiểm thử có thể được thực hiện với chỉ một hoặc một vài giá trị ngưỡng quyết định tương ứng với yêu cầu của nhà cung cấp cụ thể về các tỷ lệ lỗi. Trong khi điều này có thể giúp làm giảm nỗ lực cho các kiểm thử cần thiết, điều này cũng có nghĩa rằng hệ thống sinh trắc học đã được kiểm thử theo cách này có thể chỉ được hoạt động sử dụng các điểm hoạt động được khuyến nghị, do kiểm thử không thể cung cấp bất kỳ phát biểu nào về các tỷ lệ lỗi liên quan đến an toàn bên ngoài các điểm hoạt động này. Do đó, tạo ra và báo cáo các vòng cong DET hoàn chỉnh, theo cách đó cho phép người sử dụng ước tính hiệu suất có thể đạt được ở các thiết lập ngưỡng khác nhau, nên được xem xét nếu một vòng DET cong hoàn toàn có thể được tạo ra với một ít nỗ lực bổ sung. 7.2.4.6. Bộ đếm thử lại Hệ thống sinh trắc học thường cho phép nhiều lần thử nhận dạng đối với một giao dịch đơn lẻ. Điều này thường là để cải thiện khả năng sử dụng của hệ thống bằng cách giảm thiểu Tỷ lệ Từ chối Sai. Tuy nhiên, việc cho phép nhiều lần thử cũng có thể có tác dụng phụ không mong muốn khi Tỷ lệ Tiếp nhận Sai tăng một mức không đáng kể. Giới hạn tối đa dựa trên số lượng lần thử được cho phép thường được áp dụng để ngăn chặn các cuộc tấn công toàn diện, đặc biệt là trong trường hợp sự hoạt động không được giám sát. Điều này thường được thực hiện thông qua bộ đếm thử lại với số lần giới hạn cho một giao dịch đơn lẻ. Lưu ý rằng sẽ thường là cần thiết để áp đặt một giới hạn thời gian chờ nhằm chấm dứt một giao dịch trong trường hợp đối tượng chấm dứt lần thử nhận dạng trước khi giới hạn bộ đếm thử lại đạt được. Bộ đếm thử lại thường chỉ kiểm soát số lượng tối đa lần thử nhận dạng. Kịch bản tiêu biểu là đối tượng tạo ra lần thử đầu tiên. Nếu nhận dạng thành công, giao dịch kết thúc thành công. Nếu không, lần thử thứ hai được cho phép mà nếu thành công thì chấm dứt, giao dịch thành công. Nếu không các lần thử tiếp theo được cho phép cho đến khi giới hạn sự thử lại đạt được, sau đó, giao dịch kết thúc không thành công. Hoạt động sử dụng thường là một kết hợp của 1, 2, ..m lần thử giao dịch (trong đó m là giới hạn thử
  15. lại). Các đối tượng sẽ thường nhận biết được liệu họ đã được nhận dạng thành công hay không ở mỗi lần thử. Điều này là xác đáng vì hiệu suất (tỷ lệ lỗi) của hệ thống thường bị ảnh hưởng bởi hành vi của đối tượng cũng như khả năng kỹ thuật. Do đó, quan trọng là kịch bản kiểm thử mô phỏng sát với kịch bản hoạt động nhất có thể nếu kết quả kiểm thử là yếu tố dự báo đáng tin cậy về hiệu suất hoạt động. Nếu một hệ thống sinh trắc học có một cơ chế để hạn chế số lượng tối đa lần thử (tuần tự) sai, nhà cung cấp phải cung cấp mô tả về cơ chế này và các khuyến nghị cho việc thiết lập. Mô tả này cũng phải diễn tả điều gì xảy ra khi số lượng lần thử tối đa bị vượt qua. Nhà cung cấp phải kiểm thử và báo cáo các tỷ lệ lỗi với sự xem xét thiết lập bộ đếm thử lại. CHÚ THÍCH: Yêu cầu này không quy định số lượng đầy đủ các lần thử được phép thực hiện trong mỗi giao dịch của kiểm thử mà chủ yếu là xác định số lượng lần thử tối đa trong quá trình kiểm thử. Điều này tiếp tục đặt nghĩa vụ cho nhà cung cấp phải báo cáo kết quả phù hợp với các thiết lập của bộ đếm thử lại. Ví dụ, không thể kiểm thử và báo cáo Tỷ lệ Từ chối Sai cho bốn lần thử nếu hệ thống được kiểm thử chỉ cho phép ba lần thử trong hoạt động sau này. Trong suốt quá trình phân tích, đánh giá viên sẽ xem xét các cơ chế được mô tả và kiểm tra các thiết lập cho bộ đếm thử lại để phù hợp đối với trường hợp áp dụng hệ thống sinh trắc học. Nếu một hệ thống sinh trắc học không có bộ đếm thử lại, nhà cung cấp phải cung cấp cho đánh giá viên một sự biện minh lý do tại sao cơ chế đó là không cần thiết. Một minh chứng có thể cho sự thiếu hụt bộ đếm thử lại là không thể thực hiện nhiều cuộc tấn công chống lại hệ thống sinh trắc học (ví dụ như do một giả định của một môi trường được bảo vệ) hoặc các biện pháp phòng thủ thực hiện khi vượt ngưỡng bộ đếm thử lại có thể mở ra con đường để tấn công từ chối dịch vụ. Bộ đếm thử lại là cơ chế điển hình của các hệ thống xác minh sinh trắc học. Đối với hệ thống nhận dạng sinh trắc học, phương pháp bộ đếm thử lại đơn giản không được áp dụng, do các lần thử liên tiếp không thể được giả định là đến từ cùng một cá thể. Tuy nhiên, các cơ chế tương đương có thể được thực hiện (ví dụ như kiểm tra các mẫu thăm dò tương tự kế tiếp - nhưng không trùng khớp thành công). Những cơ chế tương đương này phải được xem xét cho yêu cầu này theo cách giống với các bộ đếm thử lại tiêu chuẩn. 7.2.4.7. Tỷ lệ lỗi lần thử đơn lẻ Hoạt động sử dụng một hệ thống sinh trắc học thường sẽ là một kết hợp của 1, 2, ..m lần thử giao dịch (trong đó m là giới hạn thử lại như mô tả trong 7.2.4 6). Người sử dụng thường nhận thức được liệu họ đã được nhận dạng thành công hay không ở mỗi lần thử. Điều này là xác đáng bởi hiệu suất (tỷ lệ lỗi) của hệ thống thường bị ảnh hưởng bởi hành vi của chủ thể cũng như khả năng kỹ thuật. Do đó, quan trọng là kịch bản kiểm thử mô phỏng càng sát với kịch bản hoạt động càng tốt nếu kết quả kiểm thử là yếu tố dự báo đáng tin cậy về hiệu suất hoạt động. Tuy nhiên, tỷ lệ lỗi tương ứng cho một lần thử đơn lẻ là phương tiện quan trọng để thực hiện việc đánh giá các hệ thống sinh trắc học tương đương. Không phụ thuộc vào giao dịch và chính sách quyết định, nhà cung cấp cũng phải kiểm thử và báo cáo tỷ lệ lỗi cho những lần thử đơn lẻ tương ứng. Theo 7.2.4.6 nhà cung cấp phải kiểm thử và báo cáo các tỷ lệ lỗi liên quan đến an toàn phù hợp với các chính sách quyết định của hệ thống sinh trắc học. Điều này có thể hiểu là cho phép nhiều lần thử trước khi giao dịch của người sử dụng được coi là bị từ chối hoặc các hành động phòng thủ (ví dụ như khóa một tài khoản) có thể được thực hiện bởi hệ thống sinh trắc học. Trong khi rõ ràng là những phân tích cơ bản của một tỷ lệ lỗi cần được thực hiện phù hợp với chính sách giao dịch, các đánh giá của các hệ thống khác nhau trở nên ít so sánh được nếu chúng thực hiện các chính sách giao dịch khác nhau. Thông qua kiểm thử (bổ sung) này của tỷ lệ lỗi tương ứng cho các lần thử đơn lẻ, dữ liệu đánh giá sẽ dễ dàng hơn cho so sánh. Ví dụ, nếu nhà cung cấp quyết định kiểm thử và báo cáo FRR phù hợp với chính sách giao dịch của hệ thống sinh trắc học mà cho phép 3 lần thử thất bại trước khi xem xét là giao dịch không thành công, các FNMR (tỷ lệ lỗi lần thử đơn lẻ tương ứng) phải được kiểm thử và báo cáo. Xem ISO/IEC 19795- 1:2006 để biết thông tin chi tiết hơn về mối quan hệ giữa các tỷ lệ lỗi. CHÚ THÍCH: Một số trường hợp không thể kiểm thử tỷ lệ lỗi lần thử đơn lẻ tương ứng. Lý do có thể gồm việc thiết kế hệ thống sinh trắc học hoặc chính sách kiểm thử đã được xác định bởi một sơ đồ đánh giá cụ thể. Trong những trường hợp này, nhà cung cấp sẽ phải chứng minh lý do tại sao không thể kiểm thử tỷ lệ lỗi tương ứng.
  16. 7.2.4.8. Phương pháp thống kê/các giá trị tin cậy Nhà cung cấp phải báo cáo phương pháp thống kê đã được sử dụng để xác nhận yêu cầu về các giá trị tối đa cho các tỷ lệ lỗi liên quan đến an toàn. Chi tiết về phương pháp thống kê, mức độ tin cậy và các kết quả đánh giá phải được báo cáo bởi nhà cung cấp. Đánh giá viên sẽ xác minh rằng phương pháp thống kê được thực hiện là chính xác và phù hợp để xác nhận yêu cầu. Nhà cung cấp phải báo cáo mức độ tin cậy liên quan đến tỷ lệ lỗi đã được báo cáo và đánh giá viên sẽ kiểm tra các giới hạn tin cậy phù hợp với mục đích sử dụng và mức đảm bảo được yêu cầu. Đối với hướng dẫn bổ sung về các khía cạnh của phương pháp thống kê tham khảo tiêu chuẩn ISO/IEC 19795-1:2006. 7.2.5. Kiểm thử độc lập (bước 6) Khái niệm của tiêu chuẩn này quy định rằng việc kiểm thử các tỷ lệ lỗi liên quan đến an toàn về cơ bản là được thực hiện, được tài liệu hóa và được báo cáo bởi nhà cung cấp hệ thống sinh trắc học. Tuy nhiên các phương pháp theo quy định của tiêu chuẩn này đòi hỏi đánh giá viên phải xác nhận kết quả kiểm thử nhà cung cấp bằng cách thực hiện một kiểm thử độc lập. Đánh giá viên phải thực hiện các kiểm thử độc lập để kiểm tra các kết quả của nhà cung cấp. Trong suốt quá trình kiểm thử độc lập, đánh giá viên sẽ đặc biệt giải quyết các câu hỏi sau: 1) Các kết quả kiểm thử của nhà cung cấp có chính xác không? 2) Có một sự tích lũy các trường hợp có thể chấp nhận sai tồn tại đối với những người sử dụng nhất định? 3) Làm thế nào để thay đổi sự chênh lệch môi trường các kết quả kiểm thử? 4) Làm thế nào để một dạng đặc trưng khác của nhóm kiểm thử được xác định bởi nhà cung cấp gây ảnh hưởng đến sự chênh lệch các tỷ lệ lỗi liên quan đến an toàn các kết quả kiểm thử? Lưu ý rằng một số câu hỏi yêu cầu kiểm thử độc lập có thể đi kèm với câu hỏi trong lĩnh vực đánh giá lỗ hổng. Để quá trình đánh giá có hiệu quả, đánh giá viên phải xem xét kết hợp các hoạt động kiểm thử này với các kiểm thử độc lập được mô tả bên trên. Để xác nhận các kết quả kiểm thử của nhà cung cấp, có thể là đủ khi đánh giá viên lặp lại một nhóm nhỏ các kiểm thử. Nhóm nhỏ các kiểm thử có thể, trong số những nhóm nhỏ khác, giúp xác minh rằng nhà cung cấp đã không làm chênh lệch kết quả kiểm thử bằng cách lựa chọn đối tượng kiểm thử thuận lợi cho kết quả mà họ mong muốn. Trong trường hợp khác, đánh giá viên có thể quyết định sự cần thiết để lập kế hoạch và tiến hành một kiểm thử hoàn toàn riêng biệt. Phân tích độc lập phải đáp ứng các yêu cầu sau: 1) Việc tuyển chọn nhóm kiểm thử/dữ liệu kiểm thử phải chịu sự kiểm soát riêng của đánh giá viên. 2) Lập kế hoạch và thực hiện các kiểm thử phải chịu sự kiểm soát riêng của đánh giá viên. Đánh giá viên cần thực hiện theo tiêu chuẩn ISO/IEC 19795-1: 2006 để lập kế hoạch và thực hiện việc kiểm thử. Tuy nhiên đối với một số khía cạnh của việc kiểm thử độc lập, đánh giá viên sẽ phải xây dựng một phương pháp khác. 8. Đánh giá lỗ hổng 8.1. Tổng quan Điều này tập trung vào việc đánh giá lỗ hổng cụ thể cho hệ thống sinh trắc học. Điều này cung cấp hướng dẫn cho việc đánh giá bằng cách xác định các lỗ hổng đặc trưng, phổ biến đối với hệ thống sinh trắc học và mô tả các đặc trưng của một hệ thống sinh trắc học trong đó những lỗ hổng này tiềm ẩn. Các khía cạnh tiếp theo về môi trường của hệ thống sinh trắc học được xem xét nếu chúng quan trọng trong ngữ cảnh một lỗ hổng tiềm ẩn, và hướng dẫn chung được cung cấp để đánh giá lỗ hổng. Các thông tin quy định tại điều này sẽ được sử dụng làm cơ sở cho việc đánh giá lỗ hổng trong ngữ
  17. cảnh của tiêu chuẩn này như được nêu trong 6.1. Điều này không: - Mô tả việc đánh giá các lỗ hổng phổ biến cho các hệ thống công nghệ thông tin nói chung. Ví dụ, nếu dữ liệu sinh trắc học, tham chiếu sinh trắc học hoặc quyết định trùng khớp không được bảo vệ, đối tượng tấn công có thể giả mạo dữ liệu để mạo danh người khác. Những lỗ hổng này là đối tượng của việc đánh giá theo các phương pháp đã được sử dụng (ví dụ như [3]). Tuy nhiên, lỗ hổng chung có liên quan đến việc xử lý thông tin của hệ thống sinh trắc học cũng có thể có những khía cạnh cụ thể được liên quan trong một hệ thống do bản chất của thông tin. Vì vậy, 8.3.11 của tiêu chuẩn này mô tả một lỗ hổng chung đối với các thông tin được xử lý bởi hệ thống sinh trắc học. - Xác định một phương pháp cụ thể để đánh giá lỗ hổng hoặc kiểm thử thâm nhập. Cách tiếp cận trong phần này của tiêu chuẩn cung cấp những hướng dẫn đánh giá cho hệ thống sinh trắc học bằng cách xác định các lỗ hổng chung của hệ thống sinh trắc học và các mối đe dọa đối với hệ thống sinh trắc học. Phương pháp cụ thể cho việc đánh giá lỗ hổng phụ thuộc vào phương pháp được sử dụng để đánh giá (ví dụ [3]) và các phương thức sinh trắc học cụ thể được sử dụng. Như vậy, phần này không thuộc phạm vi của tiêu chuẩn này. 8.2. Đánh giá lỗ hổng 8.2.1. Tổng quan Cách tiếp cận có phương pháp giúp ích cho việc đánh giá lỗ hổng. Tuy nhiên, việc đánh giá lỗ hổng cũng đòi hỏi chuyên môn và tư duy sáng tạo của bộ phận đánh giá viên. Đánh giá viên sẽ cần phải nhận thức được về các mối đe dọa, lỗ hổng và biện pháp đối phó hiện có và trong một số trường hợp cụ thể đối với các hệ thống sinh trắc học. Thông tin về các lỗ hổng sinh trắc học xuất hiện trong mục 8.3 của tiêu chuẩn này nhưng đánh giá viên cũng nên tìm kiếm thêm thông tin sẵn có trong các tài liệu, bao gồm các báo cáo phạm vi công khai về lỗ hổng sinh trắc học đang xuất hiện trên các tạp chí, các nghiên cứu học thuật và bằng cách tìm kiếm trên Internet. Ngoài ra, đánh giá viên phải thu được kinh nghiệm thực tế về các kỹ thuật điều tra lỗ hổng sinh trắc học như được mô tả trong những báo cáo này. Điều này nên được coi là điều kiện đào tạo tiên quyết cần thiết cho đánh giá viên trước khi tiến hành một đánh giá lỗ hổng như một phần của đánh giá an toàn sinh trắc học theo tiêu chuẩn này. Một đánh giá an toàn được thực hiện phù hợp với tiêu chuẩn này phải bao gồm một đánh giá lỗ hổng bao hàm tất cả các lỗ hổng tiềm ẩn được mô tả trong 8.3. Đối với các mô tả về các lỗ hổng tiềm ẩn và các yêu cầu, mục này đề cập đến các hệ thống con sinh trắc học và các quá trình như mô tả trong Phụ lục A của tiêu chuẩn này. Khuyến cáo trong ngữ cảnh của tiêu chuẩn này, sự an toàn của hệ thống sinh trắc học liên quan đến các lỗ hổng tiềm ẩn được đánh giá theo hai bước liên tiếp: Ở Bước 1, đánh giá viên cần xem xét mô tả hệ thống và tìm cách xác định điểm tiềm ẩn lỗ hổng dựa trên thông tin được đưa ra trong tiêu chuẩn này, chuyên môn riêng của đánh giá viên và các nguồn khác như báo cáo công khai sẵn có về lỗ hổng sinh trắc học và đánh giá lỗ hổng. Sử dụng thông tin được cung cấp bởi nhà cung cấp về đánh giá các lỗ hổng và các biện pháp đối phó đã được thực hiện bởi hệ thống (bao gồm cả môi trường hoạt động giả định), đánh giá viên sẽ xác định xem tất cả các lỗ hổng tiềm ẩn đã được giải quyết một cách hiệu quả bằng biện pháp đối phó kỹ thuật, thủ tục và môi trường. Mức độ yêu cầu về tính hiệu quả của các biện pháp đối phó được xác định bởi mức độ bảo đảm cần thiết cho việc đánh giá. Chi tiết về mức đảm bảo và yêu cầu hiệu quả phải được xác định bởi sơ đồ đánh giá và không bao hàm trong tiêu chuẩn này. Đánh giá viên xem xét các thông tin được cung cấp và xác định xem liệu có các lỗ hổng tiềm ẩn hay không. Nếu đánh giá viên không thể bác bỏ sự tồn tại của lỗ hổng tiềm ẩn, thì lỗ hổng tiềm ẩn này cần được xem xét trong quá trình phân tích sâu hơn trong bước 2. Trong Bước 2 - sau khi tất cả các lỗ hổng tiềm ẩn đã được đánh giá - khuyến khích phát triển một mô hình mối đe dọa đối với hệ thống sinh trắc học được đánh giá. Mô hình mối đe dọa này xem xét các kết quả ở bước 1, mối quan hệ giữa tất cả các lỗ hổng của hệ thống sinh trắc học, các mối đe dọa chung đã được xác định tại 8.2.2 và môi trường của hệ thống sinh trắc học. Cần lưu ý rằng lỗ hổng không thể được coi theo cách cô lập với nhau. Có thể, thậm chí là rất có thể, mối đe dọa thành công đối với hệ thống sinh trắc học bao gồm kết hợp khai thác nhiều lỗ hổng trong tổ hợp. Mô hình mối đe dọa nên xem xét tất cả các quá trình sinh trắc học của hệ thống sinh trắc học bao gồm thu nạp và hủy thu nạp. 8.2.2. Tổng quan về mối đe dọa hệ thống sinh trắc học
  18. Các mối đe dọa đối với hệ thống sinh trắc học có thể tự biểu hiện theo nhiều cách khác nhau nhưng chủ yếu nhằm đạt được một hoặc một số các mục tiêu sau: - Mạo danh: Mối đe dọa đối với hệ thống xác minh hoặc định danh làm việc với các yêu cầu dương tính trong đó một đối tượng tấn công được công nhận là một người sử dụng khác đã được đăng ký đúng, do đó cho phép đối tượng tấn công này có được ID của người sử dụng khác. - Giả dạng: Mối đe dọa đối với hệ thống xác minh hoặc định danh mà một người sử dụng đã được thu nạp có thể cố tình thay đổi hoặc che giấu (các) đặc trưng sinh trắc học của chính mình để tránh bị nhận dạng. Đây có thể là một mối đe dọa riêng biệt đến hệ thống có mục tiêu ngăn ngừa nhiều thu nạp bởi một cá thể đơn lẻ sử dụng các danh tính khác nhau. - Từ chối dịch vụ: Mối đe dọa tới hệ thống xác minh hoặc định danh làm việc với yêu cầu dương tính mà đối tượng tấn công lặp đi lặp lại gây ra sự từ chối sai, có thể làm sụp đổ hệ thống sinh trắc học. Đây có thể là sự báo trước của một cuộc tấn công vào hệ thống dự phòng dễ bị khai thác hơn so với hệ thống sinh trắc học bị vô hiệu hóa. Các mối đe dọa chủ yếu được mô tả ở trên có thể được thể hiện rõ trong các cuộc tấn công sử dụng các kỹ thuật khác nhau đối với các quá trình và các thành phần khác nhau được sử dụng bởi hệ thống sinh trắc học. Ví dụ, một kẻ tấn công có thể mạo danh người khác để thu nạp sai, bằng cách đưa ra một vật giả mạo có chứa bản sao các đặc trưng sinh trắc học của nạn nhân hoặc bằng cách điều khiển cơ sở dữ liệu thu nạp để thay thế tham chiếu sinh trắc học của nạn nhân với tham chiếu của kẻ mạo danh. Các mối đe dọa thường được thực hiện với lần thử có chủ ý bởi đối tượng tấn công để phá vỡ chức năng hệ thống. Tuy nhiên, cần lưu ý rằng, trong các tình huống nhất định, những hành động vô ý của người sử dụng hợp pháp (bao gồm cả người sử dụng và vận hành/người quản trị) cũng có thể dẫn đến sự phá vỡ chức năng hệ thống. Một ví dụ về mạo danh không chủ ý là hệ thống nhận dạng khuôn mặt làm việc trong chế độ định danh, trong đó cặp song sinh giống hệt nhau được thu nạp và xác định sai người này với người kia. Lưu ý rằng nếu hệ thống làm việc trong chế độ xác minh, lỗi này không thể xảy ra mà không có yêu cầu sai danh tính, khi đó sẽ không còn được coi là không chủ ý. Cần lưu ý rằng danh sách các mối đe dọa chung nên được xem như một cơ sở trong việc phát triển mô hình mối đe dọa và không thể được xem là đầy đủ mọi khía cạnh hoặc có thể ứng dụng rộng rãi. 8.2.3. Các lỗ hổng khác Các lỗ hổng phổ biến được mô tả trong điều 8.3 có thể áp dụng tiềm ẩn cho bất kỳ hệ thống sinh trắc học nào. Các chi tiết sẽ thay đổi theo phương thức và công nghệ được sử dụng và các phương thức và công nghệ mới có thể dẫn đến sự thay đổi mới trong các chi tiết. Đánh giá viên cần phải diễn giải những thông tin chung được đưa ra tại 8.3 trong ngữ cảnh các phương thức và công nghệ được sử dụng trong hệ thống sinh trắc học được đánh giá. Danh sách các lỗ hổng phổ biến mô tả trong 8.3 nên được coi là không toàn diện, cũng không hết mọi khía cạnh. Đánh giá viên sẽ cần phải nghiên cứu về mặt chức năng của hệ thống sinh trắc học được đánh giá cùng với phương thức và công nghệ của chính hệ thống đó. Từ đó, đánh giá viên cần xây dựng một danh mục các mối đe dọa và các lỗ hổng tiềm ẩn cần được sử dụng để đưa ra một chương trình đánh giá lỗ hổng. Đánh giá viên phải tiến hành một tìm kiếm toàn diện các lỗ hổng có tính đến chức năng, công nghệ, môi trường và các quá trình được bao hàm trong hệ thống sinh trắc học. Việc tìm kiếm phải không bị giới hạn ở những lỗ hổng được liệt kê trong 8.3 của tiêu chuẩn này. Để xác định tính chính xác và các nguồn lực cần được áp dụng cho việc đánh giá lỗ hổng, đánh giá viên cần thực hiện theo các hướng dẫn được đưa ra bởi các sơ đồ mà việc đánh giá đang được tiến hành. 8.3. Các lỗ hổng phổ biến trong hệ thống sinh trắc học 8.3.1. Giới thiệu Các điều sau đây xác định và giải thích các lỗ hổng điển hình phổ biến đối với các hệ thống sinh trắc học. 8.3.2. Các giới hạn hiệu suất
  19. 8.3.2.1. Tổng quan Một đặc trưng cố hữu của nhận dạng sinh trắc học đó là đây không phải là một quá trình hoàn toàn xác định mà phải chịu các lỗi có thể được biểu diễn theo các tỷ lệ lỗi thống kê tương tự như các yếu tố con người tham gia vào hệ thống an toàn phi sinh trắc học - ví dụ, tỷ lệ tiếp nhận sai và tỷ lệ từ chối sai. Các tỷ lệ lỗi này và các thông số hiệu năng khác cũng có ý nghĩa về mức độ an toàn được cung cấp bởi hệ thống sinh trắc học. Trong khi điều 7 của tiêu chuẩn này và tiêu chuẩn ISO/IEC 19795-1: 2006 giải quyết các yêu cầu và nguyên tắc liên quan đến việc kiểm thử các tỷ lệ lỗi liên quan đến an toàn, sự tồn tại của những tỷ lệ lỗi đại diện cho một lỗ hổng vốn có của mỗi hệ thống sinh trắc học. 8.3.2.2. Đánh giá Trong ngữ cảnh đánh giá lỗ hổng, đánh giá viên cần xem xét khả năng đối tượng tấn công nhằm phá vỡ hệ thống sinh trắc học với một lần thử đối tượng mạo danh không cố ý. Có hai yếu tố chính trong ngữ cảnh này. - Khả năng một cuộc tấn công thông thường. Khả năng này được xác định bởi các yếu tố bao gồm cả động cơ của đối tượng tấn công, môi trường của hệ thống sinh trắc học và hậu quả mỗi cuộc tấn công được phát hiện. - Cơ hội để một cuộc tấn công thông thường được thành công. Điều này có thể được định lượng theo FAR, vì vậy nếu FAR là 1 trong 10 000, xác suất của một cuộc tấn công thông thường được thành công có thể được xác định là 0,01 %. Hai yếu tố này nhìn chung sẽ không độc lập. Nếu một hệ thống được biết đến hoặc được cho là dễ bị tấn công thông thường (thành công), yếu tố khả năng có thể sẽ tăng lên. Trái lại nếu hệ thống được biết đến hoặc được cho là có khả năng chống các cuộc tấn công thông thường (thành công), điều này có thể sẽ làm giảm yếu tố khả năng. Việc đánh giá lỗ hổng tiềm ẩn này tập trung vào những yếu tố sau: - Tầm quan trọng của rủi ro còn lại của một lần thử đối tượng mạo danh không cố ý dựa trên kết quả các kiểm thử nêu tại điều 7 và các khía cạnh đã được mô tả trước đó. - Liệu rủi ro này là có thể chấp nhận được cho các mục đích sử dụng hệ thống sinh trắc học được đánh giá. Cần lưu ý rằng - trái ngược với lỗ hổng phổ biến khác - rất khó để có một hệ thống sinh trắc học hoàn toàn bất khả xâm phạm đối với lần thử đối tượng mạo danh không cố ý. Do đó, phân tích nên tập trung vào câu hỏi liệu các rủi ro còn lại của những lần thử là có thể chấp nhận được trong ngữ cảnh mục đích sử dụng hoặc liệu cơ chế bổ sung được thiết kế để ngăn chặn những lần thử này có cần được cung cấp bởi môi trường của hệ thống sinh trắc học. 8.3.3. Vật giả mạo của đặc trưng sinh trắc học 8.3.3.1. Giới thiệu Trong ngữ cảnh một hệ thống sinh trắc học, vật giả mạo được định nghĩa là một đối tượng vô tri vô giác mang theo bản sao của một con người hay (các) đặc trưng sinh trắc học giống như con người được đưa tới bộ cảm biến sinh trắc học với mục đích giả mạo, để được chấp nhận như là (các) đặc trưng sinh trắc học của một đối tượng con người. Ví dụ về vật giả mạo sinh trắc học bao gồm: các ngón tay giả được tạo ra từ mủ cao su, bức ảnh một khuôn mặt hay giọng nói được ghi âm. Ngoài ra, một ngón tay bị cắt đứt của con người (hoặc bất kỳ phần cơ thể bị tách rời) được coi là một vật giả mạo trong ngữ cảnh của phần này. Không giống như các thiết bị nhận dạng và xác thực kỹ thuật khác, như thẻ thông minh, được thiết kế nhằm gây khó khăn cho việc sao chép, đặc trưng sinh trắc học, là đặc tính sinh học hoặc hành vi tự nhiên của con người, thực chất không có sự bảo vệ bản quyền. Do đó, thông thường có thể tạo ra một bản sao của đặc trưng sinh trắc học trong hình thức của một vật giả mạo. Vật giả mạo mang đặc trưng thường là một bản sao các đặc trưng sinh trắc học của một chủ thể con người, nhưng không giới hạn trường hợp này. Vật giả mạo có thể được xây dựng chứa đựng một mẫu tổng hợp mà không phù hợp với đặc trưng sinh trắc học của một người cụ thể hoặc thậm chí của bất kỳ người thực nào. Tuy nhiên, điểm quan trọng nhất trong việc đánh giá lỗ hổng tiềm ẩn này là liệu hệ thống sinh trắc học sẽ tiếp nhận một vật giả mạo như một đặc trưng sinh trắc học hợp lệ.
  20. 8.3.3.2. Đánh giá Hai vấn đề quan trọng của việc đánh giá lỗ hổng là: - Hệ thống sẽ tiếp nhận vật giả mạo? - Hệ thống sẽ xử lý các đặc trưng của vật giả mạo như là các đặc trưng sinh trắc học của con người? Việc phân biệt hai trường hợp này là có ý nghĩa bởi vì một vật giả mạo không bị giới hạn trong việc mang theo một bản sao đặc trưng sinh trắc học của con người; vật giả mạo có thể mang theo bất kỳ mẫu tổng hợp nào. Một hệ thống sinh trắc học tiếp nhận đặc trưng sinh trắc học thực tế từ một vật giả mạo có thể từ chối một mẫu tổng hợp trên vật giả mạo vì nó không hoàn toàn giống như con người. Đánh giá viên nên cố gắng phân biệt hai trường hợp này bằng cách ban đầu sử dụng các bản sao thực tế với các đặc trưng của con người, và nếu chúng được tiếp nhận thì tiếp tục với trường hợp đặc trưng tổng hợp (xem 8.3.8 để biết thêm chi tiết). Việc đánh giá lỗ hổng tiềm ẩn này sẽ tập trung vào các câu hỏi sau: - Liệu có thể tạo ra vật giả mạo của đặc trưng sinh trắc học được nhận thức chỉ bằng những thông tin sẵn có công khai hoặc liệu thông tin nhạy cảm sẽ được yêu cầu. - Để tạo ra một vật giả mạo đòi hỏi bao nhiêu nỗ lực. - Liệu hệ thống sinh trắc học cung cấp các biện pháp đối phó kỹ thuật nhằm phát hiện và từ chối vật giả mạo, và các biện pháp đối phó có hiệu quả như thế nào trong hệ thống sinh trắc học được đánh giá. - Liệu các biện pháp đối phó kỹ thuật dành cho việc phát hiện và từ chối vật giả mạo có bất kỳ hạn chế nào được biết đến đối với các đặc điểm kỹ thuật hoặc điều kiện hoạt động có thể bị khai thác bởi đối tượng tấn công. Nhà cung cấp hệ thống sinh trắc học phải cung cấp đầy đủ thông tin về các cơ chế phát hiện và từ chối vật giả mạo cho đánh giá viên. CHÚ THÍCH 1: Thông tin về phát hiện và từ chối vật giả mạo có thể được bảo mật và đại diện cho “điểm ảnh hưởng” của nhà cung cấp. Vậy nên, điều rất quan trọng là thông tin chi tiết này chỉ được cung cấp cho đánh giá viên và không cung cấp cho bất kỳ khách hàng nào. Điều này cũng thừa nhận rằng đánh giá viên là thành viên đáng tin cậy nhờ sự độc lập của họ với khách hàng và nhà cung cấp. CHÚ THÍCH 2: Trong trường hợp một phần cơ thể bị tách ra từ người sử dụng có thể là một vật giả mạo, cần phải đánh giá phần bị tách ra có thể được sử dụng với hệ thống sinh trắc học trong bao lâu. Yêu cầu có thể được thực hiện từ góc độ y tế. Không có kiểm tra thực nghiệm cho trường hợp này. Tầm quan trọng của việc có biện pháp đối phó hiệu quả đối với vật giả mạo liên quan đến những khó khăn trong việc chế tạo thành công vật giả mạo, và khó khăn để có được một bản sao các đặc trưng con người mục tiêu (giả định rằng đây là mục đích của đối tượng tấn công). Một số đặc trưng (ví dụ như mẫu võng mạc hoặc mẫu ống/mạch khác) sẽ khó để có được trực tiếp từ các mục tiêu; các đặc trưng khác (ví dụ như hình ảnh khuôn mặt) có thể có được dễ dàng. Cũng cần xem xét khả năng các đặc trưng sinh trắc học của một mục tiêu có thể có được bằng các cách khác như từ một cơ sở dữ liệu không an toàn có chứa các mẫu sinh trắc học đã thu được. Những yếu tố này được coi là một phần của phân tích rủi ro tổng thể nhằm xác định hiệu quả của biện pháp đối phó vật giả mạo cần cho một hệ thống cụ thể. Một số hoặc tất cả các yếu tố này có thể không được biết đến tại thời điểm đánh giá và do đó khuyến nghị để việc đánh giá được tiến hành trong sự tuân thủ với tiêu chuẩn này, tất cả các yếu tố đó đều bị bỏ qua. Việc đánh giá hiệu quả các biện pháp đối phó vật giả mạo phải được thực hiện và báo cáo một cách độc lập với những mối quan tâm bên ngoài. Các mô hình rủi ro hệ thống và quá trình đánh giá (không được xác định trong tiêu chuẩn này) sẽ được sử dụng để xác định xem liệu kết quả của việc đánh giá hiệu quả các biện pháp đối phó vật giả mạo là có thể chấp nhận được trong ngữ cảnh của hệ thống sử dụng. 8.3.4. Điều chỉnh đặc trưng sinh trắc học 8.3.4.1. Tổng quan Người sử dụng hệ thống sinh trắc học có thể cố ý thay đổi các đặc trưng sinh trắc học của họ hoặc thể hiện các đặc trưng với cố gắng tránh bị nhận dạng hoặc để mạo danh một đối tượng thu nạp. Những đặc trưng sinh trắc học như vậy có thể mang bản chất hành vi hoặc sinh học. Những đặc trưng sinh
nguon tai.lieu . vn
Quản lý dự án Quản lý Nhà nước Tiêu chuẩn - Qui chuẩn Kinh tế học Luật học Quy hoạch - Đô thị Hoá học Quản trị kinh doanh Kiến trúc - Xây dựng