Nội dung bài viết này giới thiệu tóm tắt nội dung tiêu chuẩn ISO/IEC 19989-3:2020. Đối với đánh giá an toàn của hệ thống xác minh sinh trắc học và hệ thống định danh sinh trắc học, tiêu chuẩn này dành riêng cho việc đánh giá an toàn phát hiện tấn công trình diện áp dụng bộ tiêu chuẩn TCVN 8709. Nó cung cấp các khuyến nghị và yêu cầu cho nhà phát triển và kiểm thử viên đối với các hoạt động bổ sung về phát hiện tấn công trình diện được quy định trong ISO/IEC 19989-1. Tiêu chuẩn này chỉ có thể áp dụng cho các TOE cho loại đặc tính sinh trắc học đơn lẻ nhưng để lựa chọn một đặc tính từ nhiều đặc tính vui lòng tham khảo tại ISO/IEC 19989-3:2020.

Bài viết này giới thiệu tóm tắt nội dung tiêu chuẩn ISO/IEC 19989-2:2020. Đối với đánh giá an toàn của hệ thống xác minh sinh trắc học và hệ thống định danh sinh trắc học, tiêu chuẩn này dành riêng cho việc đánh giá an toàn hiệu suất nhận dạng sinh trắc học áp dụng bộ tiêu chuẩn TCVN 8709 (ISO/IEC 15408). Tiêu chuẩn này cung cấp các yêu cầu và khuyến nghị cho nhà phát triển và kiểm thử viên về các hoạt động bổ sung về hiệu suất nhận dạng sinh trắc học được quy định trong ISO/IEC 19989-1. Việc đánh giá các kỹ thuật phát hiện tấn công trình diện nằm ngoài phạm vi của tiêu chuẩn này ngoại trừ đối với trình diện từ các nỗ lực mạo danh theo chính sách về mục đích sử dụng theo tài liệu hướng dẫn đích đánh giá (Target of evaluation - TOE).

Nội dung bài viết giới thiệu tóm tắt nội dung tiêu chuẩn ISO/IEC 19989-1:2020. Tiêu chuẩn này giới thiệu phần khung đối với đánh giá an toàn của hệ thống sinh trắc học, bao gồm các thành phần chức năng an toàn mở rộng và các hoạt động bổ sung với phương pháp luận, là các hoạt động đánh giá bổ sung và hướng dẫn/khuyến nghị cho đánh giá viên để xử lý các hoạt động đó. Các hoạt động đánh giá bổ sung được phát triển trong tiêu chuẩn này trong khi các khuyến nghị chi tiết được phát triển trong ISO/IEC 19989-2 và trong ISO/IEC 19989-3. Tiêu chuẩn này chỉ có thể áp dụng cho các đích đánh giá (Target of evaluation – TOE) chứa loại đặc trưng sinh trắc học duy nhất. Tuy nhiên, việc lựa chọn một đặc tính từ nhiều đặc tính trong yêu cầu chức năng an toàn (Security functional requirement -SFR) vẫn được cho phép.

Một phân tích về hệ thống truy cập sinh trắc học lai (hybrid) của nhà sản xuất Trung Quốc ZKTeco đã phát hiện ra 24 lỗ hổng bảo mật có thể bị kẻ tấn công lạm dụng để vượt qua xác thực, đánh cắp dữ liệu sinh trắc học và thậm chí triển khai các backdoor độc hại.