Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Giới thiệu tóm tắt tiêu chuẩn an toàn thông tin - tiêu chí và phương pháp đánh giá an toàn hệ thống sinh trắc học - phần 2: hiệu suất nhận dạng sinh trắc học

18:04 | 22/04/2025
Đoàn Hồng Hà

Bài viết này giới thiệu tóm tắt nội dung tiêu chuẩn ISO/IEC 19989-2:2020. Đối với đánh giá an toàn của hệ thống xác minh sinh trắc học và hệ thống định danh sinh trắc học, tiêu chuẩn này dành riêng cho việc đánh giá an toàn hiệu suất nhận dạng sinh trắc học áp dụng bộ tiêu chuẩn TCVN 8709 (ISO/IEC 15408). Tiêu chuẩn này cung cấp các yêu cầu và khuyến nghị cho nhà phát triển và kiểm thử viên về các hoạt động bổ sung về hiệu suất nhận dạng sinh trắc học được quy định trong ISO/IEC 19989-1. Việc đánh giá các kỹ thuật phát hiện tấn công trình diện nằm ngoài phạm vi của tiêu chuẩn này ngoại trừ đối với trình diện từ các nỗ lực mạo danh theo chính sách về mục đích sử dụng theo tài liệu hướng dẫn đích đánh giá (Target of evaluation - TOE).

Giới thiệu

Các hệ thống sinh trắc học có thể bị tấn công bởi các cuộc tấn công trình diện trong đó những kẻ tấn công cố gắng phá hoại chính sách an toàn hệ thống bằng cách trình diện các đặc trưng sinh trắc học tự nhiên của chúng hoặc các vật nhân tạo sở hữu các đặc điểm đã được sao chép hoặc giả mạo. Các cuộc tấn công trình diện có thể xảy ra trong quá trình đăng ký hoặc các thủ tục định danh/xác minh. Các kỹ thuật được thiết kế để phát hiện những bản trình diện các vật nhân tạo thường khác với các kỹ thuật để chống lại các cuộc tấn công khi sử dụng các đặc điểm tự nhiên. Phòng thủ chống lại các cuộc tấn công trình diện với các đặc điểm tự nhiên thường dựa vào khả năng của hệ thống sinh trắc học để phân biệt giữa những người đăng ký thực và những kẻ tấn công, dựa trên sự khác biệt giữa các đặc trưng sinh trắc học tự nhiên giữa hai thực thể. Khả năng này được thể hiện bởi hiệu suất nhận dạng sinh trắc học của hệ thống. Hiệu suất nhận dạng sinh trắc học và phát hiện tấn công trình diện có ảnh hưởng đến tính an toàn của hệ thống sinh trắc học. Do đó, việc đánh giá các khía cạnh này của hiệu suất từ quan điểm về an toàn sẽ là những cân nhắc quan trọng đối với việc mua sắm các sản phẩm và hệ thống sinh trắc học.

Các sản phẩm và hệ thống sinh trắc học chia sẻ nhiều đặc tính của các sản phẩm và hệ thống công nghệ thông tin khác có thể đáp ứng được việc đánh giá an toàn bằng cách sử dụng loạt tiêu chuẩn TCVN 8709 và TCVN 11386 theo phương thức tiêu chuẩn. Tuy nhiên, các hệ thống sinh trắc học bao gồm một số chức năng cần các tiêu chí và phương pháp đánh giá chuyên biệt mà bộ tiêu chuẩn TCVN 8709 và TCVN 11386 không đề cập đến. Những điều này chủ yếu liên quan đến việc đánh giá nhận dạng sinh trắc học và phát hiện tấn công trình diện. Đây là những chức năng được đề cập trong bộ tiêu chuẩn ISO/IEC 19989.

TCVN 11385 mô tả các khía cạnh cụ thể về sinh trắc học và chỉ rõ các nguyên tắc cần được xem xét trong quá trình đánh giá an toàn của hệ thống sinh trắc học. Tuy nhiên, TCVN 11385 không chỉ rõ các tiêu chí và phương pháp luận cụ thể cần thiết để đánh giá an toàn dựa trên bộ tiêu chuẩn TCVN 8709.

Bộ tiêu chuẩn ISO/IEC 19989 cung cấp cầu nối giữa các nguyên tắc đánh giá cho các sản phẩm và hệ thống sinh trắc học được xác định trong TCVN 11385 và các yêu cầu về tiêu chí và phương pháp luận để đánh giá an toàn dựa trên bộ tiêu chuẩn TCVN 8709. Bộ tiêu chuẩn ISO/IEC 19989 bổ sung cho bộ tiêu chuẩn TCVN 8709 và TCVN 11386 bằng cách cung cấp các thành phần chức năng an toàn mở rộng cùng với các hoạt động bổ sung liên quan đến các yêu cầu này. Các phần mở rộng đối với các yêu cầu và hoạt động bổ sung được tìm thấy trong bộ tiêu chuẩn TCVN 8709 và TCVN 11386 liên quan đến việc đánh giá nhận dạng sinh trắc học và phát hiện tấn công trình diện cụ thể đối với các hệ thống sinh trắc học.

ISO/IEC 19989-1 bao gồm việc giới thiệu khuôn khổ chung để đánh giá an toàn của hệ thống sinh trắc học, bao gồm các thành phần chức năng an toàn mở rộng và phương pháp luận bổ sung, là các hoạt động đánh giá bổ sung cho kiểm thử viên. Các khuyến nghị chi tiết được phát triển cho các khía cạnh hiệu suất nhận dạng sinh trắc học trong tiêu chuẩn này và cho các khía cạnh phát hiện tấn công trình diện trong ISO/IEC 19989-3.
Tiêu chuẩn này mô tả các bổ sung cho phương pháp đánh giá để đánh giá hiệu suất nhận dạng sinh trắc học để đánh giá tính an toàn của các sản phẩm sinh trắc học. Nó bổ sung cho loạt TCVN 8709, TCVN 11386 và ISO/IEC 19989-1. Nó được xây dựng dựa trên các cân nhắc chung được mô tả trong TCVN 11385 và phương pháp kiểm tra hiệu suất sinh trắc học được mô tả trong ISO/IEC 19795-1 bằng cách cung cấp hướng dẫn bổ sung cho người đánh giá.

Các hoạt động bổ sung cho TCVN 11386 (ISO/IEC 18045) về các thử nghiệm các thử nghiệm lớp đảm bảo (Assurance class tests – ATE)

Hệ thống sinh trắc học sử dụng công nghệ và chức năng đòi hỏi những cân nhắc đặc biệt khi tiến hành đánh giá an toàn, bao gồm đánh giá an toàn dựa trên bộ tiêu chuẩn TCVN 8709 (ISO/IEC 15408). Một trong số đó là tính chất không xác định của các quyết định sinh trắc học (ví dụ khớp, không khớp và các quyết định khác, hậu quả là khả năng xảy ra các lỗi quyết định (ví dụ: khớp lỗi, không khớp lỗi) có thể có tác động an toàn đối với hệ thống sinh trắc học.

Thử nghiệm tỷ lệ lỗi nhận dạng sinh trắc học liên quan đến an toàn là một khía cạnh quan trọng của mọi đánh giá an toàn của hệ thống sinh trắc học. Hơn nữa, các yêu cầu trong ISO/IEC 19989-1 đảm bảo rằng nhà phát triển hệ thống sinh trắc học được đánh giá cũng phải thử nghiệm tỷ lệ lỗi của hệ thống theo chính sách về mục đích sử dụng theo tài liệu hướng dẫn TOE.
Theo nguyên tắc mặc định, kiểm thử viên phải tuân theo các khuyến nghị được giới thiệu sau đó (ví dụ: về tỷ lệ lỗi, giá trị tối đa, phương pháp thử nghiệm của nhà phát triển...). Nếu kiểm thử viên nhận định rằng họ không được lựa chọn thích hợp liên quan đến TOE và ứng dụng, họ có thể sử dụng các giá trị thích hợp hơn để thử nghiệm và phải cung cấp lý do cho việc lựa chọn các giá trị trong báo cáo đánh giá. Các khía cạnh cụ thể về công nghệ trong điều này đã được phát triển dựa trên các yêu cầu trong ISO/IEC 19795-1. Loại thử nghiệm được thực hiện (kịch bản, công nghệ hoặc thử nghiệm vận hành) sẽ được xác định bởi kiểm thử viên, dựa trên bản chất của TOE và mục tiêu an toàn TOE.

Ngoài các yêu cầu và khuyến nghị được cung cấp trong mục này, kiểm thử viên cũng phải tuân theo các yêu cầu đối với các thành phần đảm bảo được TOE lựa chọn cho lớp ATE trong TCVN 8709-3 (ISO/IEC 15408-3) và phải tuân theo các yêu cầu của các hoạt động tương ứng trong TCVN 11386 (ISO/IEC 18045).

Cấu hình của TOE có thể có ảnh hưởng đến hiệu suất nhận dạng sinh trắc học. Do đó, kiểm thử viên phải đảm bảo rằng cấu hình TOE để thử nghiệm tuân thủ các yêu cầu được chỉ định trong đích an toàn (Security target – ST) hoặc hồ sơ bảo vệ (Protection profile – PP). Đặc biệt, khi TOE bao gồm chức năng tấn công trình diện (Presentation attack detection - PAD), kiểm thử viên phải thử nghiệm xem chức năng PAD có được kích hoạt và cấu hình chính xác hay không trong khi tiến hành thử nghiệm hiệu suất nhận dạng sinh trắc học. Nếu cả hiệu suất nhận dạng sinh trắc học và PAD đều được đánh giá cho TOE, thì tỷ lệ lỗi phân loại trình diện trung thực (BPCER) như được xác định trong ISO/IEC 30107-3 phải được tính toán trong thử nghiệm hiệu suất nhận dạng sinh trắc học, bằng cách ghi thêm đầu ra của hệ thống con PAD như một thông tin bổ sung trong tài liệu cho hoạt động thử nghiệm độc lập ATE_FUN của đánh giá PAD. Tương tự, tỷ lệ trình diện cuộc tấn công mạo danh (IAPMR) như được định nghĩa trong ISO/IEC 30107-3 có thể được truy xuất từ hoạt động ATE_FUN của đánh giá PAD và được tính đến, vì nó liên quan đến hiệu suất sinh trắc học.

Lập kế hoạch đánh giá

Lập kế hoạch thử nghiệm hiệu suất nhận dạng sinh trắc học nên bao gồm hai cân nhắc quan trọng. Thứ nhất, để đảm bảo rằng các mô hình thiết kế thử nghiệm càng gần với kịch bản trong thế giới thực về mục đích sử dụng của TOE càng tốt. Thứ hai, để đảm bảo rằng các kết quả thử nghiệm có ý nghĩa thống kê trong bối cảnh mục đích sử dụng của TOE.

Ý nghĩa thống kê như vậy về cơ bản được xác định bởi dữ liệu thử nghiệm mà các thử nghiệm được chạy và trên các lần truy cập thực tế được thực hiện với dữ liệu thử nghiệm có sẵn. Kết quả phải được báo cáo theo giá trị tỷ lệ lỗi trung bình và khoảng tin cậy.

Mục này bao gồm các khuyến nghị cho kiểm thử viên để lập kế hoạch và thực hiện thử nghiệm. Nếu thử nghiệm của nhà phát triển được kiểm thử viên coi là đầy đủ và hợp lệ, thì kiểm thử viên có thể giới hạn hoạt động của họ trong các hoạt động thử nghiệm đơn giản hơn và giảm bớt. Sự lựa chọn này phải được chứng minh trong báo cáo đánh giá.
Một kế hoạch thử nghiệm toàn diện phải được lập và lập thành văn bản. Kế hoạch thử nghiệm phải đáp ứng các mục tiêu sau:

- Thiết lập thử nghiệm phải phù hợp với hoạt động dự kiến của hệ thống sinh trắc học càng chặt chẽ càng tốt.

- Kế hoạch thử nghiệm phải xác định chính xác các bước liên quan cần thực hiện trong quá trình thử nghiệm. Cụ thể, khi cần có sự tương tác sâu với nhóm thử nghiệm (ví dụ: trong thử nghiệm theo kịch bản), kế hoạch thử nghiệm phải mô tả rõ ràng quy trình thử nghiệm.

- Kế hoạch thử nghiệm phải bao gồm mô tả rất chi tiết về dữ liệu thử nghiệm mà việc đánh giá sẽ được thực hiện. Điều này bao gồm ví dụ: số lượng chủ thể dữ liệu, số lượng mẫu mỗi chủ đề dữ liệu, số lượng phiên thu nhận có liên quan, môi trường và điều kiện bên ngoài của quá trình thu nhận (ví dụ: nền, ánh sáng, tư thế).

- Kế hoạch thử nghiệm phải bao gồm một giao thức rất rõ ràng về cách dữ liệu thử nghiệm được sử dụng hoặc cách các chủ thể dữ liệu thử nghiệm nên tương tác với TOE trong quá trình nắm bắt.

- Kế hoạch thử nghiệm phải bao gồm liệu dữ liệu đã được thu thập cần thiết để đào tạo lại về hệ thống. Trong trường hợp này, dữ liệu thu thập được phải được tách biệt trong dữ liệu đào tạo và thử nghiệm và mục đích của mỗi tập dữ liệu phải được mô tả.

- Tập dữ liệu thử nghiệm phải chứa một số mẫu sinh trắc học cho mỗi chủ thể dữ liệu/trường hợp sinh trắc học (ví dụ: từ mỗi ngón tay) và các mẫu từ các chủ thể dữ liệu khác nhau để tạo ra cả thử nghiệm so sánh kết hợp và thử nghiệm so sánh không kết hợp.

- Kế hoạch thử nghiệm phải chỉ rõ giai đoạn xác minh trước, bao gồm thu thập (nếu có) và trích xuất đặc điểm để thiết lập danh sách các mẫu được so sánh cùng với thông tin xem cặp so sánh tương ứng với thử nghiệm chính thức hay thử nghiệm giả mạo. Đối với mỗi loại, kiểm thử viên phải lập kế hoạch đo thời gian cho các tiểu phẫu, số lỗi mắc phải (nếu có) và số lỗi để trích xuất các mẫu. Danh sách các mẫu được so sánh phải bao gồm cả các cặp so sánh chính hãng và các cặp so sánh giả mạo, và số lượng các cặp phải được đặt tương ứng với phạm vi tỷ lệ lỗi (ví dụ: FAR và tỷ lệ từ chối lỗi (False reject rate – FRR) để thử nghiệm kịch bản của hệ thống xác minh) các giá trị cần thử nghiệm bởi kiểm thử viên.

Kế hoạch thử nghiệm phải chỉ rõ một giai đoạn so sánh để tính toán tất cả các danh sách được chuẩn bị trong giai đoạn trước khi xác minh. Đối với mỗi lần so sánh, kế hoạch đánh giá phải bao gồm thước đo thời gian cho hoạt động, số lỗi để so sánh, lưu trữ điểm đầu ra khi có thể hoặc quyết định. Dựa trên điểm đầu ra và ngưỡng được quy định bởi TOE (nếu có) hoặc dựa trên quyết định, số lượng chấp nhận lỗi và số lượng từ chối lỗi sẽ được đo lường.

- Kế hoạch thử nghiệm phải xác định các số liệu được báo cáo. Ngoài các giá trị đo được trong quá trình hoạt động, kiểm thử viên phải xác định các chỉ số thử nghiệm được báo cáo và cách lấy chúng từ các lỗi khác nhau mà kiểm thử viên quan sát được. Đối với thử nghiệm kịch bản của hệ thống xác minh sinh trắc học, chúng sẽ bao gồm Failure to acquire - FTA (nếu có), FTE, FAR và FRR. Nếu có sẵn điểm so sánh, chúng có thể bao gồm tính toán đường cong DET để nhúng đường cong DET vào báo cáo.

- Kế hoạch thử nghiệm cũng phải bao gồm một đặc điểm kỹ thuật đầy đủ của các điểm so sánh được tính toán và cách các số liệu hiệu suất được khấu trừ để hỗ trợ phân tích thống kê và đảm bảo khả năng tái lập đầy đủ.

- Đồng thời, kế hoạch thử nghiệm phải bao gồm việc chuẩn bị báo cáo sẽ báo cáo các giá trị được tính toán cho các chỉ số khác nhau được xác định và tổng hợp các kết quả.

- Kế hoạch thử nghiệm phải được thiết kế và thử nghiệm phải được tiến hành phù hợp với ISO/IEC 19795-2.

Thu thập dữ liệu

Mục này áp dụng cho cả thử nghiệm kịch bản và công nghệ. Một điều quan trọng cần cân nhắc là nguồn dữ liệu mẫu sinh trắc học và nhóm thử nghiệm liên quan. Điều này có thể đạt được bằng nhiều cách khác nhau, ví dụ:

(1) Thu thập trực tiếp: dữ liệu thử nghiệm được thu thập từ nhóm thử nghiệm đặc biệt cho việc đánh giá TOE (có thể liên quan đến các yêu cầu nắm bắt cụ thể, ví dụ: một số thiết lập chiếu sáng hoặc nền cụ thể trong trường hợp hệ thống định danh khuôn mặt).

(2) Tái sử dụng cơ sở dữ liệu đã có từ trước, được nhà phát triển và/hoặc kiểm thử viên thu thập trên hệ thống sinh trắc học tương tự trước đó hoặc thu được từ dữ liệu thu được từ các bên thứ ba (chẳng hạn như nhiều cơ sở dữ liệu sinh trắc học công cộng hoặc tư nhân có sẵn ngày nay cho mục đích đo điểm chuẩn).

Trong mọi trường hợp, sự thật cơ bản phải được biết, tức là những mẫu nào trong dữ liệu thu được là những sự thật trùng khớp và cái nào không.

Trường hợp mong muốn nhất sẽ là tùy chọn (1), trong đó cơ sở dữ liệu thu thập trực tiếp được thu thập cho mỗi lần đánh giá. Tuy nhiên, đây cũng là giải pháp tiêu tốn nhiều thời gian và nguồn lực nhất và quyết định cuối cùng nên được thông qua trong từng trường hợp cụ thể. Ví dụ, đối với một công nghệ hoặc kịch bản đánh giá, trường hợp thứ hai có thể đủ nếu không phải đáp ứng các tính năng bên ngoài hoặc bối cảnh cụ thể (ví dụ: cảm biến thu nhận cụ thể). Nếu kiểm thử viên chọn sử dụng lại dữ liệu đã có, họ phải đảm bảo rằng tập dữ liệu này được tách riêng và nhà phát triển không thể truy cập được. Nhược điểm chính của việc sử dụng lại dữ liệu đã có sẵn mà nhà phát triển có thể có quyền truy cập là nó có thể được sử dụng để điều chỉnh hệ thống của họ. Kiểm thử viên sẽ giảm thiểu nó bằng cách sử dụng nhiều dữ liệu có tính độc lập hơn.

Để có được cơ sở dữ liệu mới hoặc đội thử nghiệm, một số yếu tố quan trọng phải được tính đến để thu được kết quả chính xác nhất có thể. Trong số các yếu tố như vậy, một số đặc điểm lý tưởng cần được đáp ứng bởi cơ sở dữ liệu đánh giá sinh trắc học được nêu bật dưới đây:

- Việc lựa chọn dữ liệu thử nghiệm (quá trình nắm bắt trực tiếp hoặc sử dụng lại dữ liệu đã có từ trước) sẽ thuộc quyền kiểm soát duy nhất của kiểm thử viên. Vì chất lượng của dữ liệu thử nghiệm là yếu tố cần thiết cho kết quả của các thử nghiệm, điều quan trọng là kiểm thử viên phải có kiến thức chi tiết về quá trình thu nhận.

- Một câu hỏi thường có thể nảy sinh là liệu dữ liệu thử nghiệm đã được nhà phát triển thu thập trước đó có thể được sử dụng lại trong quá trình đánh giá độc lập hay không. Mặc dù quyết định cuối cùng về việc sử dụng lại dữ liệu thử nghiệm là quyết định của kiểm thử viên, hướng dẫn này khuyến khích việc sử dụng lại dữ liệu thử nghiệm trong các giới hạn nhất định. Cụ thể, một thử nghiệm không bao giờ được hoàn toàn dựa trên dữ liệu thử nghiệm đã được nhà phát triển thu thập trước đó. Thay vào đó, kiểm thử viên phải thu được một tập nhỏ dữ liệu thử nghiệm và thay thế nó trong tập dữ liệu thử nghiệm ban đầu trước khi sử dụng.

- Nếu hệ thống sinh trắc học được thiết kế để hoạt động với một hồ sơ chủ thể dữ liệu cụ thể (ví dụ: nam giới, Châu Á, trên 65 tuổi, thuận tay phải), thì các chủ thể dữ liệu trong cơ sở dữ liệu/nhóm đối tượng phải càng gần với hồ sơ đó càng tốt.

- Nếu hệ thống sinh trắc học không được thiết kế để hoạt động với một cảm biến cụ thể, tốt hơn nên thu thập những cá thể giống nhau bằng các thiết bị thu nhận khác nhau để đánh giá cuối cùng được tổng quát hơn. Tốt hơn nếu có thể thu được kết quả về khả năng tương tác (tức là kết quả so sánh giữa các mẫu sinh trắc học đã đăng ký và thử nghiệm được thu thập bằng các thiết bị khác nhau).

- Tập dữ liệu nên được tổ chức để cho phép xác định rõ ràng từng mẫu. Tuy nhiên, để đảm bảo bảo vệ dữ liệu cá nhân, định danh của một mẫu không được chứa bất kỳ thông tin nào liên quan đến danh tính thực của chủ thể dữ liệu.

- Một số lượng đủ lớn các cá nhân nên được đăng ký vào cơ sở dữ liệu để thu được các kết quả có ý nghĩa thống kê. Những con số như vậy phụ thuộc vào tỷ lệ lỗi tối đa cho phép của hệ thống. Tỷ lệ lỗi càng thấp, số lượng chủ thể dữ liệu cần thiết càng lớn để đạt được kết quả đáng tin cậy.

- Ngoài ra, các mẫu khác nhau của cùng một chủ đề dữ liệu không nên được thu thập liên tiếp mà để đủ thời gian giữa chúng để mô phỏng sự thay đổi trong đối tượng của các đặc điểm sinh trắc học. Tốt nhất, cơ sở dữ liệu nên được thu thập trong các phiên khác nhau, cách nhau vài tuần giữa chúng.

- Nếu có liên quan, các siêu dữ liệu khác liên quan đến các chủ thể dữ liệu cũng có thể được lấy. Điều này có thể bao gồm giới tính, tuổi tác, sử dụng thiết bị hỗ trợ thị giác (ví dụ: kính) hoặc việc thuận tay. Các siêu dữ liệu này có thể giúp điều chỉnh thêm đánh giá hiệu suất hoặc sử dụng lại dữ liệu sinh trắc học trong các đánh giá trong tương lai.

- Việc thu thập dữ liệu sinh trắc học dễ xảy ra nhiều lỗi khác nhau như thiếu mẫu, mẫu không hợp lệ, mẫu chất lượng thấp và sai số trung thực trong đó mẫu được gán không chính xác cho ID của chủ thể. Một số lỗi này có thể là kết quả của sự sai sót của con người và có thể được giảm bớt bằng cách áp dụng các kỹ thuật thu thập và ghi dữ liệu tự động.

- Dữ liệu sinh trắc học là thông tin định danh cá nhân (PII). Do đó, các luật lệ về quyền riêng tư của quốc gia sẽ được xác định trong quá trình mua lại.

Xác định tất cả các bước ban đầu cần được thực hiện và được lập thành văn bản trong kế hoạch thử nghiệm trước khi đánh giá, nghĩa là tỷ lệ lỗi liên quan và giá trị tối đa của chúng, loại đánh giá, cơ sở dữ liệu và đánh giá giao thức liên quan đến nó, thu thập dữ liệu. Khi tất cả các bước đó đã được hoàn thành, việc đánh giá sẽ được thực hiện theo kế hoạch đã thiết kế trước. Trong quá trình đánh giá, một số khía cạnh phải được ghi lại như:

- Bất kỳ sai lệch đáng kể nào so với kế hoạch thử nghiệm ban đầu.

- Thời gian cần thiết để thực hiện mỗi thử nghiệm được xem xét trong đánh giá. Thông tin tạm thời khác, có thể được ghi lại tùy thuộc vào đánh giá, là thời gian phản hồi của hệ thống cho mọi nỗ lực truy cập.

Phân tích

Việc phân tích kết quả không nên chỉ giới hạn trong việc xác định tỷ lệ lỗi mà còn phải bao gồm điều tra sâu hơn về các trường hợp lỗi và liệu những lỗi đó có tiết lộ vấn đề an toàn nào đó của hệ thống hay không [ví dụ: một sự thay đổi đáng kể trong hiệu suất cho các cấu hình chủ thể dữ liệu nhất định (ví dụ: nam và nữ)]. Loại phân tích này có thể giúp xác định các tình huống làm việc có vấn đề tiềm năng đối với hệ thống.

Cần lưu ý rằng, một phân tích như vậy nên thuộc về lĩnh vực của lớp đảm bảo (Assurance class vulnerability assessment – AVA) hơn là lớp ATE vì nó sẽ mở ra hướng đi dẫn đến một lỗ hổng tiềm năng của TOE. Các vấn đề an toàn tiềm năng được tìm thấy trong quá trình thử nghiệm ATE nên được báo cáo cho hoạt động đánh giá lỗ hổng AVA để điều tra thêm.

Những sai lệch có thể có này so với hiệu suất dự kiến trung bình của hệ thống phải được báo cáo trong tài liệu cuối cùng để có thể biết rõ trong trường hợp nào hệ thống hoạt động như mong đợi (với tỷ lệ lỗi tối đa cho phép) và trong các tình huống tỷ lệ lỗi có thể tăng lên.

Thử nghiệm hiệu suất của hệ thống sinh trắc học trong quá trình đánh giá an toàn tập trung vào tỷ lệ lỗi nhận dạng sinh trắc học liên quan đến an toàn như FAR. Tỷ lệ lỗi khác, ví dụ: FRR, có liên quan đến các yếu tố khác như khả năng sử dụng. Tỷ lệ lỗi liên quan đến an toàn (chẳng hạn như FAR) đôi khi có thể được đổi với tỷ lệ lỗi phụ thuộc lẫn nhau (trong trường hợp này là FRR) thông qua cài đặt ngưỡng quyết định định danh của hệ thống. Do đó, tỷ lệ lỗi phụ thuộc phải được đánh giá và báo cáo tại mỗi điểm vận hành được chỉ định để đánh giá.

Xem xét các thử nghiệm của nhà phát triển

Trong quá trình thực hiện các hoạt động đánh giá xung quanh ATE_FUN.1, kiểm thử viên sẽ đánh giá tài liệu và kết quả thử nghiệm do nhà phát triển cung cấp.

Nhà phát triển phải tuân theo các yêu cầu từ ISO/IEC 19795-1 và ISO/IEC 19795-2 đối với thử nghiệm hiệu suất của họ. Bất kỳ sai lệch nào cũng phải được chứng minh trong kế hoạch thử nghiệm.

Tập hợp đầy đủ thông tin về thử nghiệm phải được chuyển giao cho kiểm thử viên trong quá trình đánh giá. Chỉ có cách này mới có thể đảm bảo rằng kiểm thử viên có được cái nhìn tổng quan đầy đủ về tất cả các chi tiết của thử nghiệm. Trong bối cảnh này, nhà phát triển phải cung cấp cho kiểm thử viên quyền truy cập đầy đủ vào thiết bị thử nghiệm và dữ liệu thử nghiệm được sử dụng cho thử nghiệm của nhà phát triển.

Kiểm thử viên sẽ đánh giá tài liệu thử nghiệm của nhà phát triển để xác nhận rằng: Kế hoạch thử nghiệm của nhà phát triển, việc tiến hành thử nghiệm của nhà phát triển và tài liệu thử nghiệm phù hợp với các yêu cầu nêu trong ISO/IEC 19795-1; Mọi sai lệch so với các yêu cầu trên đều được chứng minh; Kết quả thử nghiệm cho thấy tỷ lệ lỗi nhận dạng sinh trắc học liên quan đến an toàn phù hợp với các tuyên bố trong mục tiêu an toàn TOE.

Yêu cầu cụ thể về các thành phần đảm bảo trên thử nghiệm độc lập ATE_IND

Như được mô tả trong ISO/IEC 19989-1, các yếu tố sau của các thành phần đảm bảo yêu cầu kiểm thử viên để tiến hành thử nghiệm TOE của riêng họ:

- ATE_IND.1.2E: Kiểm thử viên phải thử nghiệm một tập hợp con của TSF khi thích hợp để xác nhận rằng TOE hoạt động như được chỉ định;

- ATE_IND.2.3E: Kiểm thử viên sẽ thiết lập và thực hiện một mẫu các thử nghiệm độc lập và ghi lại chúng để đánh giá kết quả thử nghiệm của nhà phát triển. 

Tất cả các đánh giá về TOE sinh trắc học phải bao gồm thành phần đảm bảo ATE_IND.2 như được bổ sung bởi ISO/IEC 19989-1.

Đánh giá các thử nghiệm của nhà phát triển bằng cách lặp lại một tập con thử nghiệm

Các yêu cầu của ATE_IND.2 yêu cầu kiểm thử viên lặp lại một tập hợp con các thử nghiệm của nhà phát triển. Các thử nghiệm về tỷ lệ lỗi nhận dạng sinh trắc học liên quan đến an toàn sẽ tạo thành một phần của tập hợp con được lặp lại.

Khi lặp lại thử nghiệm tỷ lệ lỗi nhận dạng sinh trắc học liên quan đến an toàn của hệ thống sinh trắc học, chúng ta thường đặt ra câu hỏi liệu chỉ cần lặp lại thử nghiệm của nhà phát triển là đủ. Điều này có liên quan cụ thể nếu nhà phát triển quản lý để tách việc thu thập dữ liệu thử nghiệm khỏi thử nghiệm thực tế của thuật toán sinh trắc học. Trong những trường hợp đó, kiểm thử viên có thể quyết định chỉ cần lặp lại thử nghiệm.

Các khả năng cho kiểm thử viên cũng phụ thuộc vào loại thử nghiệm sinh trắc học mà nhà phát triển thực hiện:

- Trong trường hợp thử nghiệm công nghệ, kiểm thử viên có khả năng lựa chọn sử dụng cùng một dữ liệu sinh trắc được nhà phát triển sử dụng hoặc lấy một nguồn dữ liệu sinh trắc mới;

- Trong trường hợp thử nghiệm kịch bản, kiểm thử viên có thể sử dụng cùng nhóm thử nghiệm với nhà phát triển. Nếu không, một đội thử nghiệm mới sẽ phải được tuyển dụng. Trong trường hợp kiểm thử viên nhận định rằng việc lặp lại một tập hợp con các thử nghiệm của nhà phát triển có thể bị hạn chế đối với thử nghiệm công nghệ, họ có thể sử dụng lại dữ liệu sinh trắc học thu được từ nhóm thử nghiệm của nhà phát triển (nếu có) hoặc sử dụng nguồn dữ liệu sinh trắc mới.

Khi có thể, kiểm thử viên nên tận dụng những nỗ lực mà nhà phát triển đã bỏ ra để thu thập dữ liệu thử nghiệm bằng cách sử dụng lại dữ liệu này khi thực hiện thử nghiệm. Trên cơ sở này, kiểm thử viên được khuyến khích thực hiện theo chiến lược này: sử dụng lại dữ liệu thử nghiệm của nhà phát triển khi thực hiện một tập hợp con các thử nghiệm của nhà phát triển. Để tránh việc thử nghiệm lặp lại thuần túy bằng cách sử dụng chính xác cùng một dữ liệu, kiểm thử viên phải xem xét việc thay thế một tập hợp con của dữ liệu thử nghiệm bằng dữ liệu của chính họ. Kiểm thử viên có trách nhiệm quyết định về kích thước của tập hợp con này. Họ sẽ xem xét chất lượng tổng thể của dữ liệu thử nghiệm của nhà phát triển và chất lượng của quá trình thu thập. Thay vì thay thế một tập hợp con, kiểm thử viên có thể bổ sung dữ liệu của nhà phát triển bằng dữ liệu của chính họ. Về mặt kỹ thuật, điều cần thiết là tập dữ liệu con được trao đổi hoặc tập dữ liệu bổ sung phải đủ lớn để đảm bảo rằng nhà phát triển không thể điều chỉnh thuật toán của họ dựa trên cơ sở dữ liệu.

Dữ liệu sinh trắc học là thông tin định danh cá nhân (PII). Do đó, luật pháp về quyền riêng tư của quốc gia sẽ được xác định trong quá trình thử nghiệm, ngay cả khi lặp lại thử nghiệm của nhà phát triển với một số dữ liệu thử nghiệm hiện có.

Tiến hành thử nghiệm độc lập

Quá trình này có thể được chia thành các bước sau:

Xác định loại đánh giá hiệu suất có liên quan: Có nhiều loại phương pháp thử nghiệm khác nhau bắt đầu từ thử nghiệm hiệu suất công nghệ của thuật toán sinh trắc học đến đánh giá thử nghiệm hiệu suất hoạt động của hệ thống sinh trắc học. Cách tiếp cận thử nghiệm chính xác phụ thuộc nhiều vào chức năng được cung cấp bởi TOE.

Xác định tỷ lệ lỗi liên quan: Vì đánh giá an toàn chỉ tập trung vào tỷ lệ lỗi nhận dạng sinh trắc học liên quan đến an toàn, không phải tất cả tỷ lệ lỗi của hệ thống sinh trắc học đều có liên quan. Việc xác định tỷ lệ lỗi liên quan được thực hiện dựa trên loại hệ thống sinh trắc học và trường hợp ứng dụng của nó như được xác định trong mục tiêu an toàn.

Lập kế hoạch thực hiện thử nghiệm: Việc thực hiện thử nghiệm thực tế phải được lên kế hoạch trước.
Ước tính kích thước thử nghiệm: Việc thu thập dữ liệu thử nghiệm chiếm một lượng đáng kể nỗ lực của thử nghiệm tổng thể. Điều cần thiết là phát triển ý tưởng về lượng dữ liệu thử nghiệm được yêu cầu trước khi bắt đầu quá trình thu thập dữ liệu thử nghiệm thực tế.

Lập kế hoạch tài liệu: Lập kế hoạch tài liệu cần thiết cho thử nghiệm. 

Thu thập dữ liệu thử nghiệm: Dữ liệu thử nghiệm bao gồm các mẫu sinh trắc học phù hợp sẽ được thu thập từ các trình diện trực tiếp của các thành viên trong nhóm thử nghiệm hoặc sử dụng kho mẫu sinh trắc học có sẵn, tùy thuộc vào loại thử nghiệm (kịch bản hoặc công nghệ) và phương pháp thử nghiệm. Trong cả hai trường hợp, dữ liệu thử nghiệm phải bao gồm cái gọi là sự thật cơ bản, tức là kiến thức về nguồn của mỗi mẫu (ví dụ: ID đối tượng) để, với kho tài liệu, cả thử nghiệm so sánh theo cặp và thử nghiệm so sánh không theo cặp có thể được thực hiện. Để đảm bảo chất lượng của các kết quả thử nghiệm, kiểm thử viên phải sử dụng dữ liệu thử nghiệm mà nhà phát triển TOE không biết.

Thực hiện thử nghiệm: Thử nghiệm phải được thực hiện dưới sự kiểm soát và chịu trách nhiệm duy nhất của kiểm thử viên.

Đánh giá kết quả: Kết quả thử nghiệm phải được đánh giá và báo cáo bằng cách sử dụng các thước đo tiêu chuẩn.

Kiểm thử viên phải tuân theo các yêu cầu từ ISO/IEC 19795-1 đối với các thử nghiệm vận hành của họ. Mọi sai lệch phải được chứng minh trong kế hoạch thử nghiệm và được ghi lại trong báo cáo thử nghiệm.

Trong trường hợp thử nghiệm công nghệ bằng cách sử dụng kho dữ liệu mẫu sinh trắc học đã có từ trước, kiểm thử viên phải đưa ra lời biện minh rằng kho tài liệu đáp ứng nhu cầu của thử nghiệm và độc lập với dữ liệu thử nghiệm của nhà phát triển.

Kết luận

Tiêu chuẩn ISO/IEC 19989-2:2020 đang được Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị Uỷ ban Tiêu  chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố. Bài viết đã giới thiệu tổng quan nội dung của ISO/IEC 19989-2:2020, quy định đối với đánh giá an toàn của hệ thống xác minh sinh trắc học và hệ thống định danh sinh trắc học, tiêu chuẩn này dành riêng cho việc đánh giá an toàn hiệu suất nhận dạng sinh trắc học. Tiêu chuẩn này cung cấp các yêu cầu và khuyến nghị cho nhà phát triển và kiểm thử viên về các hoạt động bổ sung về hiệu suất nhận dạng sinh trắc học được quy định trong ISO/IEC 19989-1. Để biết thêm chi tiết về đánh giá an toàn của hệ thống xác minh sinh trắc học và hệ thống định danh sinh trắc học, vui lòng tham khảo chi tiết tại ISO/IEC 19989-2:2020.

Twitter Zalo Facebook YouTube Copy Link QR Code
NHẬN DẠNG SINH TRẮC HỌC HỆ THỐNG SINH TRẮC HỌC AN TOÀN THÔNG TIN
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết