BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG - - THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – ĐÁNH GIÁ AN TOÀN SINH TRẮC HỌC Hà Nội, 8/2014 MỤC LỤC Tên gọi ký hiệu TCVN Đặt vấn đề 3 Sở xây dựng yêu cầu kỹ thuật .6 3.1 Tổng hợp, phân tích tiêu chuẩn quốc tế, tài liệu kỹ thuật, kết nghiên cứu liên quan đến tới công nghệ sinh trắc học 3.2 Rà soát tiêu chuẩn quy chuẩn kỹ thuật quốc gia công nghệ sinh trắc học 3.3 Lựa chọn tài liệu làm sở cho việc biên soạn Giải thích nội dung TCVN 12 4.1 Mục tiêu quản lý 12 4.2 Tóm tắt nội dung .13 Bảng đối chiếu nội dung TCVN với tài liệu tham khảo .13 Kết luận kiến nghị áp dụng 17 Tên gọi ký hiệu TCVN Tên tiêu chuẩn: “Cơng nghệ thơng tin – Các kỹ thuật an tồn – Đánh giá an toàn sinh trắc học” Ký hiệu tiêu chuẩn: TCVN xxxx:xxxx Đặt vấn đề Thời gian gần đây, với phát triển vũ bão khoa học cơng nghệ tình hình an tồn thơng tin cá nhân có nhiều diễn biến phức tạp, xuất ngày nhiều nguy cơ, đe dọa nghiêm trọng đến việc ứng dụng công nghệ thông tin phục vụ phát triển kinh tế - xã hội đảm bảo quốc phòng, an ninh Để đảm bảo an toàn giao dịch phục vụ đời sống thường ngày giao dịch ngân hàng, tiêu dùng trực tuyến, gửi/nhận email chí đơn giản đăng nhập vào điện thoại thông minh với nhiều liệu, album ảnh gia đình v.v , cá nhân cần phải thiết lập ghi nhớ nhiều mật mã số PIN (Personal Identification Number) cho tài khoản giao dịch Đối với mật mã số PIN thông thường, độ dài từ - ký tự từ 12 – 15 ký tự bao gồm chữ cái, chữ số, viết hoa viết thường Mật dài khơng phổ biến mức độ an toàn cao Tuy nhiên, để người sử dụng ghi nhớ chúng việc khó khăn Sinh trắc học hay Công nghệ sinh trắc học (thuật ngữ khoa học: Biometric) công nghệ sử dụng thuộc tính vật lý, đặc điểm sinh học riêng cá nhân vân tay, mống mắt, khuôn mặt để nhận diện Đây coi công cụ xác thực nhân thân hữu hiệu mà người ta sử dụng phổ biến nhận dạng vân tay đặc tính ổn định độc nay, nhận dạng dấu vân tay xem phương pháp sinh trắc tin cậy Mỗi người có đặc điểm sinh học Dữ liệu sinh trắc học cá nhân với đặc điểm khuôn mặt, ảnh chụp võng mạc, giọng nói kết hợp với phần mềm để tạo mật dành cho giao dịch điện tử, phương thức "cơng nghệ sinh trắc đa nhân tố" Sự phát triển công nghệ thay đổi từ việc lăn tay mực lưu trữ giấy sang quét máy lưu trữ kỹ thuật số Hình ảnh: Các đặc trưng sinh trắc học phổ biến Những thiết bị điện tử có khả sử dụng liệu sinh trắc học thời gian thực để bảo vệ thông tin bí mật người Con người khơng phải tạo, lưu giữ hay ghi nhớ mật dành cho thư điện tử, thẻ ngân hàng v.v Chính phủ số nước thực việc thắt chặt an ninh quản lý hộ chiếu cách thử nghiệm công nghệ sinh trắc học, chip RFID Hãng Cross Match Technologies thiết kế ứng dụng xác thực sinh trắc học dùng công nghệ nhận diện gương mặt để lấy đối tượng từ đám đông Tại Mỹ, Thẻ tín dụng tới kỳ trở thành đồ cổ, chuỗi siêu thị Thrifway, khách hàng trả tiền mua hàng cách sử dụng ngón tay Craig Federighi, Phó chủ tịch cấp cao Apple công nghệ phần mềm,công bố với nhà phát triển hội nghị WDC 2014 vừa qua rằng: có 83% người dùng iPhone 5s sử dụng bảo mật vân tay TouchID để bảo vệ thiết bị Hoạt động thực tế việc nhận diện khuôn mặt triển khai mạnh mẽ Cục Điều tra Liên bang Mỹ FBI có kế hoạch bổ sung thêm 52 triệu ảnh vào sở liệu hệ vào năm 2015 Tuy nhiên, đơi với tiện ích, ứng dụng mà công nghệ sinh trắc học đem lại cho phát triển kinh tế - xã hội đảm bảo quốc phòng, an ninh giao dịch phục vụ đời sống thường ngày người dân hệ thống sinh trắc học tiềm ẩn lỗ hổng mối đe dọa Ví dụ, kẻ cơng mạo danh người khác đăng ký vào hệ thống, cách đưa vật giả mạo có chứa đặc trưng sinh trắc học nạn nhân cách điều khiển sở liệu đăng ký để thay tham chiếu sinh trắc học nạn nhân với kẻ mạo danh nhằm xâm nhập vào hệ thống ngân hàng rút trộm tiền từ tài khoản nạn nhân v.v Bảng so sánh công nghệ nhận dạng sinh trắc học (H:cao; M: Trung bình; L: Thấp): Đặc trưng sinh trắc học Tính rộng rãi Tính phân Tính ổn Tính dễ định thu nạp Tính hiệu Tính chấp Tính giả mạo biệt nhận Vân bàn tay M M M M M M L Dạng hình học bàn tay M M M H M M M Vân tay M H H M H M M Dáng M L L H L H M Khuôn mặt H L M H L H H Nhiệt khuôn mặt H H L H M H L Thói quen gõ phím L L L M L M M Mùi H H H L L M L Tai M M H M M H M Võng mạc H H M L H L L Mống mắt H H H M H L L Chỉ tay M H H M H M M Giọng nói M L L M L H H Chữ ký L L L H L H H ADN H H H L H L L Tại Việt Nam, công nghệ sinh trắc học vào đời sống với ứng dụng chấm công, điểm danh v.v công nghệ nhận diện vân tay, gương mặt, mống mắt, võng mạc, giọng nói khơng xa lạ, đầu quét đầu đọc vân tay tích hợp sẵn nhiều sản phẩm máy chấm cơng, khóa cửa, két sắt v.v sản phẩm bán rộng rãi thị trường, nhiên việc sử dụng cơng nghệ gặp khó khăn thiếu đồng Hệ thống tiêu chuẩn, quy chuẩn kỹ thuật công nghệ sinh trắc học nhằm khuyến nghị bắt buộc áp dụng hoàn toàn chưa có Đây hạn chế đặc biệt quan nhà nước, tổ chức, doanh nghiệp có u cầu cao an tồn, bảo mật Do đó, TCVN xxxx:xxxx hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 19792:2009, Infomation Technology - Security techniques – Security evaluation of biometrics ban hành đáp ứng nhu cầu thực tế đánh giá an toàn sinh trắc học xã hội Sở xây dựng yêu cầu kỹ thuật 3.1 Tổng hợp, phân tích tiêu chuẩn quốc tế, tài liệu kỹ thuật, kết nghiên cứu liên quan đến tới công nghệ sinh trắc học Theo số liệu thống kê, tình hình tiêu chuẩn quốc tế cơng nghệ sinh trắc học có khoảng 100 tiêu chuẩn quốc tế, tài liệu kỹ thuật, kết nghiên cứu có liên quan ban hành: - Từ vựng (ISO/IEC 2382-37); - Các kỹ thuật an toàn (ISO/IEC 19792, 24761); - Giao diện chương trình ứng dụng sinh trắc học (bộ ISO/IEC 19784); - Khung định dạng trao đổi sinh trắc học chung (bộ ISO/IEC 19785); - Định dạng hoán đổi liệu sinh trắc học (bộ ISO/IEC 19794), phương pháp kiểm thử phù hợp định dạng hoán đổi liệu sinh trắc học (bộ ISO/IEC 29109); - Kiểm thử báo cáo hiệu suất sinh trắc học (bộ ISO/IEC 19795); - Sinh trắc học (ISO/IEC 24708, 24714, 24722, 29141, 29144, 29164); - Kiểm thử phù hợp giao diện chương trình ứng dụng sinh trắc học (BioAPI) (bộ ISO/IEC 24709); - Hồ sơ sinh trắc học khả tương tác hoán đổi liệu (bộ ISO/IEC 24713); - Hướng dẫn sinh trắc học (ISO/IEC 24741); - Dữ liệu chỉnh, gia tăng hợp sinh trắc học (bộ ISO/IEC 29159); - Chất lượng mẫu sinh trắc học (bộ ISO/IEC 29794) Trong số tiêu chuẩn, tài liệu kỹ thuật đó, đặc biệt phải kể đến 07 tiêu chuẩn, tài liệu kỹ thuật ban hành nhằm nâng cao an tồn sinh trắc học Đó là: ISO/IEC 19792:2009, Information technology - Security techniques - Security evaluation of biometrics (ISO/IEC 19792:2009, Công nghệ thông tin - Các kỹ thuật an toàn –Đánh giá an toàn sinh trắc học); ISO/IEC 24761:2009, Information technology- Security techniques -Authentication context for biometrics (ISO/IEC 24761:2009, Công nghệ thông tin - Các kỹ thuật an toàn – Ngữ cảnh xác thực cho sinh trắc học); ISO/IEC 19784-1:2006/Amd 3:2010, Support for interchange of certificates and security assertions, and other security aspects (ISO/IEC 19784-1:2006/Amd 3:2010, Hỗ trợ trao đổi chứng nhận xác nhận an tồn, khía cạnh an tồn khác); ISO/IEC 19785-4:2010, Information technology - Common Biometric Exchange Formats Framework - Part 4: Security block format specifications (ISO/IEC 197854:2010, Công nghệ thông tin – Khung định dạng giao dịch sinh trắc học phổ biến – Phần 4: Đặc điểm kỹ thuật định dạng khối an toàn); ISO/IEC 24745:2011, Information technology - Security techniques - Biometric information protection (ISO/IEC 24745:2011, Công nghệ thông tin – Các kỹ thuật an tồn – Sự bảo vệ thơng tin sinh trắc học); ISO 19092-1 Financial Services - Biometrics - Part 1: Security framework (ISO 19092-1 Các dịch vụ tài – Sinh trắc học – Phần 1: Khung an toàn); ISO 19092 Financial Services - Biometrics - Part 2: Message syntax and cryptographic requirements (ISO 19092 Các dịch vụ tài – Sinh trắc học – Phần 2:Cú pháp thơng điệp u cầu mã hóa) Ngồi ra, Tổ chức tiêu chuẩn hóa quốc tế (ISO) tiếp tục kết hợp với Ủy ban kỹ thuật điện Quốc tế (IEC) để xây dựng thêm nhiều tiêu chuẩn, tài liệu kỹ thuật nhằm phục vụ cho nhu cầu chuẩn hóa an tồn sinh trắc học 3.2 Rà soát tiêu chuẩn quy chuẩn kỹ thuật quốc gia công nghệ sinh trắc học Việt Nam chưa có tổ chức có đủ khả xây dựng, tự sản xuất sản phẩm, hệ thống ứng dụng công nghệ sinh trắc học đầy đủ mà chủ yếu nhập phân phối trung gian công nghệ sinh trắc học sớm quan tâm ứng dụng Việt Nam Bộ Công an sớm nghiên cứu ứng dụng sinh trắc học nghiệp vụ điều tra, quản lý từ thủ cơng đến tự động hóa Việt Nam số nước thu thập dấu vân tay chứng minh thư nhân dân Một số quan/tổ chức/cá nhân khác có cơng trình nghiên cứu cấp Bộ, cấp nhà nước v.v nhằm đẩy mạnh ứng dụng sinh trắc học Việt Nam như: STT Tên đề tài, dự án Thời gian Chủ trì đề tài / điều phối Các đề tài nghiên cứu cấp Nhà nước Nghiên cứu mã sinh trắc học thẩm định xác thực sinh trắc PGS.TS học nhằm ứng dụng giao dịch điện tử Mã số : 2006-2008 Nguyễn Thị KHCB.2.011.06 Hoàng Lan , “Nghiên cứu ứng dụng hệ thống kiểm soát truy cập mạng an ninh thông tin dựa sinh trắc học sử dụng công nghệ nhúng” Mã số: KC.01/06-10 2010 Nguyễn Thị Hoàng Lan cộng Các đề tài nghiên cứu KHCN hợp tác quốc tế Xây dựng hệ nhận dạng người nói tiếng Việt bán tự động PGS.TS Đặng ứng dụng giám định âm hình sự, hợp tác với 2005-2007 Văn Chuyết Viện nghiên cứu Châu Á Đề tài KHCN theo nghị định thư hợp tác với Malaysia : Hệ PGS.TS thống an ninh sinh trắc học BioPKI (BioPKI Based 2006-2008 Nguyễn Thị Information Security System) Hoàng Lan Các nghiên cứu, phát triển khác Dư Phương Tích hợp kỹ thuật so khớp ảnh hộ chiếu sinh trắc 16/5/2012 Hạnh, Nguyễn học Ngọc Hóa Nghiên cứu ứng dụng kỹ thuật nhận dạng mống mắt xác thực sinh trắc học”, mã số QC.08.04 Bảo mật truy cập dựa hệ BioPKI ứng dụng để bảo mật hệ vân tay C@FRIS Kết nghiên cứu ứng dụng cơng nghệ nhận dạng vân tay để tự động hóa hệ thống cước công dân cước can phạm” 2009 TS Nguyễn Ngọc Hóa 2010 Nguyễn Văn Toàn, Nguyễn Thị Hương Thủy, Nguyễn Ngọc Kỷ, Nguyễn Thị Hoàng Lan 2004 Nguyễn Ngọc Kỷ, Nguyễn Thị Hương Thủy, Nguyễn Thanh Phương, BioPKI model and Remote Access Control using Bio-Etoken in BioPKI System", IEEERIVF 2010 Addendum Contribution Proceeding Mật mã sinh trắc Nguyễn Tiệp Việt 2010 Nguyễn Hoàng Nguyễn Toàn Thị Lan, Văn 2009 Hồ Văn Hương, Đào Thị Ngọc Thùy Đối với tình hình tiêu chuẩn hóa, Việt Nam ban hành nhiều tiêu chuẩn quốc gia dự thảo tiêu chuẩn quốc gia lĩnh vực thông tin truyền thông Tuy nhiên số đó, chưa có tiêu chuẩn hay dự thảo tiêu chuẩn đề cập đến công nghệ sinh trắc học nói chung, hay đánh giá an tồn sinh trắc học nói riêng 3.3 Lựa chọn tài liệu làm sở cho việc biên soạn Tiêu chuẩn ISO/IEC 19792:2009, Infomation Technology - Security techniques – Security evaluation of biometrics ngày 01/8/2009 Tổ chức tiêu chuẩn hóa Quốc tế tiêu tiêu chuẩn nhằm nâng cao an toàn cho hệ thống sinh trắc học ban hành Tiêu chuẩn nhằm hướng dẫn chi tiết “Đánh giá an toàn sinh trắc học” 3.3.1 Giới thiệu tiêu chuẩn ISO/IEC 19792:2009 vai trò tiêu chuẩn ngữ cảnh đánh giá an toàn sinh trắc học a) Giới thiệu tiêu chuẩn ISO/IEC 19792:2009 Qua phân tích nêu trên, việc sử dụng tiêu chuẩn ISO/IEC 19792:2009 làm tài liệu chuẩn cho việc xây dựng Tiêu chuẩn Việt Nam “Đánh giá an toàn sinh trắc học” hoàn toàn phù hợp ISO/IEC 19792 soạn thảo Ủy ban kỹ thuật ISO/TC JTC1, Công nghệ thông tin, tiểu ban SC 27, Các kỹ thuật an tồn Cơng nghệ thơng tin Phiên tại: ISO/IEC 19792:2009, Infomation Technology - Security techniques – Security evaluation of biometrics, bao gồm đặc điểm sau: - Mục tiêu: Tiêu chuẩn cung cấp hướng dẫn chi tiết đối tượng cần giải đánh giá an toàn hệ thống sinh trắc học Tiêu chuẩn khuyến nghị áp dụng tất tổ chức, cá nhân có tương tác với hệ thống sinh trắc học - Nội dung: Tiêu chuẩn bao gồm khía cạnh nguyên tắc sinh trắc học cụ thể xem xét đánh giá an toàn hệ thống sinh trắc học Tiêu chuẩn khơng đề cập đến khía cạnh phi sinh trắc học, khía cạnh mà thành phần đánh giá an toàn tổng thể hệ thống sử dụng công nghệ sinh trắc học - Cấu trúc: + Tổng quan đánh giá an toàn sinh trắc học (điều điều 5) + Khái niệm tổng thể cho đánh giá an toàn hệ thống sinh trắc học (điều 6) + Những khía cạnh thống kê tỷ lệ lỗi an tồn có liên quan (điều 7) + Giao dịch với đánh giá lỗ hổng hệ thống sinh trắc học miêu tả việc đánh giá theo khía cạnh riêng biệt (điều điều 9) + Ngồi ra, Phụ lục A cung cấp mơ hình tham chiếu hệ thống sinh trắc học ngữ cảnh đánh giá an tồn Mơ hình tham chiếu dựa hệ thống sinh trắc học tổng quan bao gồm hệ thống bổ sung, thành phần trình quan trọng ngữ cảnh tiêu chuẩn b) Vai trò tiêu chuẩn ngữ cảnh đánh giá an toàn sinh trắc học ISO/IEC 19792:2009 có vai trò tiêu chuẩn khung, hướng dẫn áp dụng phương pháp đánh giá sinh trắc học mô tả tuân thủ yêu cầu quy chuẩn cụ thể Tiêu chuẩn xác định lĩnh vực quan trọng khác cần xem xét đánh giá an toàn hệ thống sinh trắc học, xác định yêu cầu cho đánh giá viên cung cấp hướng dẫn thực việc đánh giá an tồn hệ thống sinh trắc học Bên cạnh đó, Tiêu chuẩn có chức thơng báo cho nhà phát triển yêu cầu đánh giá an toàn sinh trắc học nhằm giúp họ chuẩn bị trước cho việc đánh giá an toàn hệ thống sinh trắc học cung cấp 3.3.2 Khả áp dụng tiêu chuẩn ISO/IEC 19792:2009 Việt Nam a) Lý áp dụng 10 Hiện nay, Việc sử dụng công nghệ sinh trắc học áp dụng rộng rãi đời sống nước công nghiệp phát triển Công nghệ sinh trắc học sử dụng lĩnh vực hình mà sử dụng việc xác nhận nhân thân cá nhân truy cập mạng mở khoá Một số ngân hàng bắt đầu toán thẻ ATM sử dụng máy đọc vân tay Trong y học, dựa tranh vân tay đặc trưng, nhà nghiên cứu phát bệnh sai lệch gen Trong xã hội công nghiệp đại, ngành vân tay học trợ giúp bậc phụ huynh việc phát triển khiếu hạn chế khắc phục phần khiếm khuyết cách đọc vân tay để dự báo tiềm v.v Dự án Luật Căn cước cơng dân nội dung thảo luận Phiên họp toàn thể lần thứ 14 Ủy ban Quốc phòng An ninh diễn sáng ngày 6/5/2014, Hà Nội Theo dự thảo tờ trình Chính phủ dự án Luật này, thẻ cước công dân giấy tờ tùy thân có giá trị chứng nhận cước công dân Việt Nam, quan có thẩm quyền cấp từ sở liệu cước cơng dân cho người dân có quốc tịch Việt Nam Bộ Công an, đơn vị soạn thảo dự án dự tính cơng dân sinh từ ngày 01/01/2016 UBND xã, phường, thị trấn cấp thẻ cước cơng dân có số định danh cá nhân làm thủ tục khai sinh Với người sinh trước ngày 01/01/2016 sinh từ ngày 1/1/2016 chưa cấp số định danh cá nhân đăng ký khai sinh cấp số định danh cá nhân làm thẻ cước công dân Số định danh cá nhân thẻ cước công dân mã số công dân gồm 12 chữ số, xác lập từ Cơ sở liệu quốc gia dân cư Bộ Công an quản lý thống tồn quốc, với số thơng tin họ tên khai sinh, họ tên gọi khác, ngày, tháng, năm sinh, giới tính, dân tộc v.v Mỗi mã số công dân cấp cho công dân nhất, không trùng lặp với công dân khác Trên thẻ cước cơng dân có thơng tin nơi thường trú công dân Dự kiến chậm từ ngày 01/01/2020, việc cấp thẻ cước cơng dân triển khai đồng tồn quốc Sau hoàn thiện sở liệu quốc gia dân cư, thẻ cước công dân áp dụng công nghệ sinh trắc học, gắn chip để trở thành thẻ công dân điện tử, giúp người dân loại bỏ nhiều loại giấy tờ tùy thân tham gia giao dịch đời sống hàng ngày Cũng đà phát triển đó, Tổ chức Tiêu chuẩn Quốc tế phối hợp chặt chẽ với Ủy ban kỹ thuật điện để xây dựng hàng loạt tiêu chuẩn hướng dẫn sinh trắc học nâng cao an tồn 11 cho hệ thống sinh trắc học, có Tiêu chuẩn ISO/IEC 19792:2009, Infomation Technology - Security techniques – Security evaluation of biometrics ngày 01/8/2009 hướng dẫn chi tiết “Đánh giá an toàn sinh trắc học” Tuy nhiên, Việt Nam hồn tồn chưa có tiêu chuẩn quốc gia đáp ứng nhu cầu thực tế nâng cao an toàn cho hệ thống sinh trắc học Do vậy, việc xây dựng tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an toàn – Đánh giá an toàn sinh trắc học”là hoàn toàn cần thiết mang tính khả thi Tiêu chuẩn bổ sung vào hệ thống TCVN đánh giá an toàn sinh trắc học giúp quan chuyên môn, tổ chức xây dựng, thực tham gia vào trình đánh giá cách khoa học, đồng hiệu Ngoài ra, tiêu chuẩn hướng dẫn giúp tổ chức kiểm soát liên tục cải tiến hệ thống sinh trắc học mình, góp phần thúc đẩy ứng dụng công nghệ sinh trắc học Việt Nam b) Sở phương pháp áp dụng Tổ chức Tiêu chuẩn Quốc tế ISO ban hành tiêu chuẩn ISO/IEC 19792:2009, Infomation Technology - Security techniques – Security evaluation of biometrics ngày 01/8/2009 để phục vụ cho mục đích hướng dẫn “Đánh giá an tồn sinh trắc học” Với vai trò tiêu chuẩn hướng dẫn áp dụng phương pháp đánh giá sinh trắc học mô tả tuân thủ yêu cầu quy chuẩn cụ thể, tiêu chuẩn ISO/IEC 19792:2009 nhiều Quốc gia sử dụng làm tài liệu gốc nhằm xây dựng tiêu chuẩn quốc gia tương đương có chỉnh sửa Đan Mạch, Hà Lan, Anh, Đức v.v Do vậy, nhóm chủ trì dự thảo tiêu chuẩn thống xây dựng tiêu chuẩn quốc gia dựa vào tiêu chuẩn quốc tế ISO/IEC 19792:2009 Trên sở rà soát tiêu chuẩn Việt Nam Quốc tế đánh giá an toàn sinh trắc học sau tham khảo phương pháp xây dựng tiêu chuẩn/quy chuẩn kỹ thuật, nhóm chủ trì thống xây dựng tiêu chuẩn theo phương pháp chấp thuận nguyên vẹn (có chỉnh sửa thể thức trình bày theo quy định hành thể thức trình bày tiêu chuẩn quốc gia) tiêu chuẩn quốc tế ISO/IEC 19792:2009 Một số thuật ngữ “goat”, “lamb” hay “wolf” tên đối tượng cơng nghệ sinh trắc học Vì vậy, chủ trì đề tài đề xuất giữ nguyên tên tiếng anh đối tượng theo ý kiến góp ý Viện Tiêu chuẩn Chất lượng Việt Nam, Tổng cục Tiêu chuẩn Đo lường Chất lượng 12 Ngoài ra, điều tiêu chuẩn quốc tế ISO/IEC 19792:2009 mô tả phù hợp việc đánh giá an toàn hệ thống sinh trắc học tiêu chuẩn Vậy nên, chủ trì đề tài đề xuất chấp thuận nguyên vẹn điều “2 Sự phù hợp” dự thảo tiêu chuẩn Việt Nam Giải thích nội dung TCVN 4.1 Mục tiêu quản lý Cung cấp hướng dẫn thực việc đánh giá an toàn hệ thống sinh trắc học, xác định yêu cầu cho đánh giá viên thông báo cho nhà phát triển yêu cầu đánh giá an toàn sinh trắc học nhằm giúp họ chuẩn bị trước cho việc đánh giá an toàn hệ thống sinh trắc học cung cấp Khuyến nghị áp dụng Việt Nam để q trình đánh gía an toàn sinh trắc học hiệu quả, chất lượng chun nghiệp 4.2 Tóm tắt nội dung Dự thảo tiêu chuẩn bao gồm 09 điều 01 phụ lục, cụ thể sau: PHẠM VI ÁP DỤNG SỰ PHÙ HỢP TÀI LIỆU VIỆN DẪN THUẬT NGỮ VÀ ĐỊNH NGHĨA THUẬT NGỮ VIẾT TẮT ĐÁNH GIÁ AN TOÀN TỶ LỆ LỖI CỦA HỆ THỐNG SINH TRẮC HỌC ĐÁNH GIÁ LỖ HỔNG QUYỀN RIÊNG TƯ PHỤ LỤC A – MÔ HÌNH THAM CHIẾU CỦA HỆ THỐNG SINH TRẮC HỌC THƯ MỤC TÀI LIỆU THAM KHẢO 4.2.1 Phạm vi áp dụng 13 Tiêu chuẩn quy định vấn đề cần giải đánh giá an toàn hệ thống sinh trắc học, bao gồm khía cạnh nguyên tắc sinh trắc học cụ thể xem xét đánh giá an toàn hệ thống sinh trắc học như: khái niệm tổng thể cho việc đánh giá an tồn hệ thống sinh trắc học, khía cạnh thống kê tỷ lệ lỗi an tồn có liên quan, đánh giá lỗ hổng hệ thống sinh trắc học, đánh giá theo khía cạnh riêng biệt, Tiêu chuẩn có liên quan đến hai nhóm đánh giá viên nhà phát triển: xác định yêu cầu cho đánh giá viên cung cấp hướng dẫn thực việc đánh giá an toàn hệ thống sinh trắc học, thông báo cho nhà phát triển yêu cầu đánh giá an toàn sinh trắc học nhằm giúp họ chuẩn bị trước cho việc đánh giá an toàn 4.2.2 Sự phù hợp Để phù hợp với tiêu chuẩn này, việc đánh giá an toàn hệ thống sinh trắc học cần lập kế hoạch, thực báo cáo theo yêu cầu quy chuẩn nêu tiêu chuẩn Những khía cạnh cụ thể việc đánh giá an toàn hệ thống sinh trắc học: - tỷ lệ lỗi thống kê (điều 7), - lỗ hổng sinh trắc học đặc biệt (điều 8), - tính riêng tư (điều 9) Lưu ý phù hợp với tiêu chuẩn giới hạn việc áp dụng phương pháp đánh giá sinh trắc học mô tả tuân thủ yêu cầu quy chuẩn cụ thể Sự phù hợp không bao gồm kế hoạch liên quan đến vấn đề hành động thực trường hợp hệ thống đánh giá không đáp ứng tiêu chí mục tiêu đánh giá an tồn có liên quan 4.2.3 Tài liệu viện dẫn ISO/IEC 19795-1:2006, Biometric performance testing and reporting — Part 1: Principles and framework (ISO/IEC 19795-1:2006 – Kiểm thử báo cáo hiệu suất sinh trắc học – Phần 1: Các nguyên tắc khung) 4.2.4 Thuật ngữ định nghĩa Tiêu chuẩn đưa 11 thuật ngữ định nghĩa tổng quan, 10 thuật ngữ định nghĩa Hệ thống sinh trắc học, 12 thuật ngữ định nghĩa Quy trình sinh trắc học, 11 thuật ngữ định nghĩa Tỷ lệ lỗi, thuật ngữ định nghĩa Thống kê 14 4.2.5 Thuật ngữ viết tắt Tiêu chuẩn sử dụng 08 thuật ngữ viết tắt 4.2.6 Đánh giá an toàn Điều làm rõ phạm vi tiêu chuẩn điều cung cấp ngữ cảnh mà đánh giá an toàn sinh trắc học tiến hành Tiêu chuẩn chủ yếu hướng vào việc đánh giá an tồn hệ thống sinh trắc học khơng hồn tồn ứng dụng sinh trắc học Một ứng dụng sinh trắc học bao gồm hệ thống sinh trắc học thành phần phần cứng phần mềm khác, với môi trường hoạt động, quy trình tổ chức sách cung cấp tập hợp chức ứng dụng Những yếu tố bổ sung có lỗ hổng bảo mật riêng khuyếch đại giảm thiểu lỗ hổng sở hữu hệ thống sinh trắc học Phương pháp đánh giá an toàn kỹ thuật hệ thống sinh trắc học: cần xây dựng mô hình mối đe dọa/rủi ro cho ứng dụng đánh giá liệu lỗ hổng phi sinh trắc học cụ thể khác có tồn hệ thống tổng thể tác động lỗ hổng sinh trắc học phát có an tồn hệ thống tổng thể 4.2.7 Tỷ lệ lỗi hệ thống sinh trắc học Điều giới thiệu khái niệm kiểm thử tỷ lệ lỗi an tồn có liên quan ngữ cảnh đánh giá an toàn hệ thống sinh trắc học Tỷ lệ lỗi thống kê đo lường cho thuật toán sinh trắc học đơn lẻ (thường sử dụng sở liệu có sẵn từ trước mẫu sinh trắc học), cho hệ thống mà người dùng cung cấp mẫu sinh trắc học trực tiếp cho cảm biến thành phần thu thập liệu Kiểm thử tỷ lệ lỗi thuật toán sinh trắc học thường sử dụng để so sánh hiệu suất thuật toán khác để định lượng kết thay đổi nhờ phát triển thuật toán Kiểm thử thuật toán giá trị giới hạn việc đánh giá an tồn lỗi thuật toán nguồn gốc lỗi hệ thống sinh trắc học Điều thường cần thiết để tiến hành đo lường lỗi thống kê hệ thống sinh trắc học sử dụng mẫu sinh trắc học thu lại thành phần thu thập hệ thống từ đối tượng thực kiểm thử kịch Tuy nhiên, kiểm thử thống kê thuật tốn góp phần vào hiểu biết cần thiết hệ thống sinh trắc học, điều cần thiết để chuẩn bị cho việc kiểm thử để tìm yêu cầu tỷ lệ lỗi tối đa hệ thống sinh trắc học 15 4.2.8 Đánh giá lỗ hổng Điều cung cấp hướng dẫn đánh giá lỗ hổng Lỗ hổng kỹ thuật xử lý theo nhóm tương ứng với lỗ hổng tiềm ẩn hệ thống sinh trắc học, dựa tính lý thuyết kinh nghiệm thực tế Việc khai thác lỗ hổng tiềm ẩn thường liên quan đến nhiều thành phần Ví dụ, vật giả mạo cần phải chấp nhận cảm biến vượt qua phòng chống giả mạo nào; vượt qua bước phân tích chất lượng thu hồi; thành cơng trước bị xử lý tính khai thác vượt qua kiểm tra kiểm soát chất lượng Các bước thường liên quan đến nhiều thành phần hệ thống 4.2.9 Tính riêng tư Điều chi tiết hoạt động đánh giá viên cần thiết để giải mối quan tâm riêng xử lý lưu trữ liệu sinh trắc học Đây mối quan tâm bảo mật vốn có cho hệ thống sinh trắc học liệu sử dụng để xác thực cá thể điều chỉnh ràng buộc sử dụng xác định luật pháp hay quy tắc thực hành nước khác 4.2.10 Phụ lục A Phụ lục A mơ tả mơ hình tham chiếu hệ thống sinh trắc học ngữ cảnh đánh giá an tồn Mơ hình tham chiếu dựa hệ thống sinh trắc học tổng quan bao gồm hệ thống bổ sung, thành phần trình quan trọng ngữ cảnh tiêu chuẩn Bảng đối chiếu nội dung TCVN với tài liệu tham khảo Điề u 4.1 TCVN TÀI LIỆU VIỆN DẪN ISO/IEC 19792:2009 Phạm vi áp dụng Scope Sự phù hợp Conformance Tài liệu viện dẫn Normative references Thuật ngữ định nghĩa Tổng quan Terms and definitions General SỬA ĐỔI/BỔ SUNG Chấp thuận nguyên vẹn Chấp thuận nguyên vẹn Chấp thuận nguyên vẹn 16 4.2 4.3 4.4 4.5 6.1 6.2 7.1 7.2 8.1 8.2 8.3 9.1 Hệ thống sinh trắc học Quá trình sinh trắc học Tỷ lệ lỗi Thống kê Thuật ngữ viết tắt Đánh giá an toàn Tổng quan Phương pháp Tỷ lệ lỗi hệ thống sinh trắc học Giới thiệu Khái niệm – Kiểm tra tỷ lệ lỗi an tồn có liên quan Đánh giá lỗ hổng Giới thiệu Đánh giá lỗ hổng Lỗ hổng phổ biến hệ thống sinh trắc học Tính riêng tư Tổng quan Phụ lục A (tham khảo) – Mơ hình tham chiếu hệ thống sinh trắc học Thư mục tài liệu tham khảo Biometric systems Biometric processes Error rates Statistical Abbreviated terms Security evaluation Overview Methodology Error rates of biometric systems Introduction Concept – Testing securityrelevant error rates Vulnerability assessment Introduction Vulnerability assessment Common vulnerabilities of biometric systems Privacy Overview Annex A (informative) Reference model of a biometric system Bibliography Chấp thuận nguyên vẹn Chấp thuận nguyên vẹn Chấp thuận nguyên vẹn Chấp thuận nguyên vẹn Chấp thuận nguyên vẹn Chấp thuận nguyên vẹn Chấp thuận nguyên vẹn Kết luận kiến nghị áp dụng Với xu phát triển ngày mạnh mẽ khoa học công nghệ, việc ứng dụng công nghệ sinh trắc học ngày trở nên rộng rãi lĩnh vực đời sống kinh tế xã hội, y học, an ninh, quốc phòng v.v vấn đề an toàn hệ thống sinh trắc học mạo danh, giả dạng, công từ chối dịch vụ khiến hệ thống sinh trắc học bị hư hỏng, từ chối nhận dạng sai ngày phổ biến Với vai trò tiêu chuẩn khung, hướng dẫn áp dụng phương pháp đánh giá an toàn sinh trắc học mô tả tuân thủ yêu cầu 17 quy chuẩn cụ thể, việc xây dựng dự thảo tiêu chuẩn “Cơng nghệ thơng tin – Các kỹ thuật an tồn – Đánh giá an toàn sinh trắc học” đặc biệt cần thiết tình hình Việt Nam hồn tồn chưa có tiêu chuẩn quốc gia khuyến nghị áp dụng cho đánh giá an toàn sinh trắc học Nhóm chủ trì đề tài khuyến nghị áp dụng tiêu chuẩn cho tổ chức, cá nhân nhằm xác định khía cạnh quan trọng, cần xem xét đánh giá an toàn hệ thống sinh trắc học, đồng thời cung cấp hướng dẫn thực việc đánh giá an toàn hệ thống sinh trắc học, xác định yêu cầu cho đánh giá viên thông báo cho nhà phát triển hệ thống sinh trắc học yêu cầu cần thiết việc đánh giá an toàn sinh trắc học nhằm giúp họ chuẩn bị trước cho việc đánh giá an toàn hệ thống sinh trắc học cung cấp, kiểm sốt từ liên tục cải tiến hệ thống sinh trắc học, thúc đẩy việc sử dụng công nghệ sinh trắc học để đáp ứng nhu cầu thực tế Việt Nam 18