TIÊU CHUẨN QUỐC GIA
TCVN 11385:2016
ISO/IEC 19792:2009
CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - ĐÁNH GIÁ AN TOÀN SINH TRẮC HỌC
Information technology - Evaluation methodology for environmental influence in biometric system
performance
Lời nói đầu
TCVN 11385:2016 hoàn toàn tương đương ISO/IEC 19792:2009.
TCVN 11385:2016 do Học viện Công nghệ Bưu chính Viễn thông biên soạn, Bộ Thông tin và Truyền
thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công
bố.
CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - ĐÁNH GIÁ AN TOÀN SINH TRẮC HỌC
Information technology - Security techniques - Security evaluation of biometrics
1. Phạm vi áp dụng
Tiêu chuẩn này xác định các vấn đề cần giải quyết trong đánh giá an toàn hệ thống sinh trắc học.
Tiêu chuẩn bao gồm những khía cạnh cụ thể về sinh trắc học và các nguyên tắc được xem xét trong
đánh giá an toàn hệ thống sinh trắc học. Tiêu chuẩn không giải quyết những khía cạnh phi sinh trắc
học, khía cạnh mà có thể là một phần của đánh giá an toàn tổng thể một hệ thống sử dụng công nghệ
sinh trắc học (ví dụ như các yêu cầu về cơ sở dữ liệu hay kênh thông tin liên lạc).
Tiêu chuẩn này không nhằm mục đích xác định bất kỳ phương pháp cụ thể nào cho việc đánh giá an
toàn hệ thống sinh trắc học mà thay vào đó tập trung vào những yêu cầu mang tính nguyên tắc. Như
vậy, các yêu cầu trong tiêu chuẩn này là độc lập với bất kỳ sơ đồ đánh giá hoặc chứng nhận nào và sẽ
cần được hợp nhất và sửa lại cho thích hợp trước khi được sử dụng trong ngữ cảnh của một sơ đồ cụ
thể.
Tiêu chuẩn này xác định các nội dung quan trọng khác nhau cần được xem xét trong đánh giá an toàn
hệ thống sinh trắc học. Các nội dung này được trình bày trong các điều dưới đây của tiêu chuẩn:
- Điều 4 và 5 của tiêu chuẩn đưa ra cái nhìn tổng quan cho tất cả các thuật ngữ, định nghĩa và tờ viết
tắt được sử dụng,
- Điều 6 giới thiệu khái niệm tổng thể cho việc đánh giá an toàn hệ thống sinh trắc học,
- Điều 7 mô tả những khía cạnh thống kê của các tỷ lệ lỗi liên quan đến an toàn,
- Điều 8 giải quyết việc đánh giá lỗ hổng của hệ thống sinh trắc học,

- Điều 9 mô tả việc đánh giá những khía cạnh riêng tư,
Tiêu chuẩn này có liên quan đến cả hai nhóm đánh giá viên và nhà phát triển.
- Tiêu chuẩn xác định các yêu cầu cho đánh giá viên và cung cấp hướng dẫn thực hiện việc đánh giá
an toàn hệ thống sinh trắc học.
- Tiêu chuẩn phục vụ thông báo cho nhà phát triển các yêu cầu về đánh giá an toàn sinh trắc học nhằm
giúp họ chuẩn bị cho việc đánh giá an toàn.
Tiêu chuẩn này độc lập với bất kỳ sơ đồ đánh giá cụ thể nào nhưng có thể đáp ứng như là một khung
phát triển các phương pháp kiểm thử và đánh giá cụ thể nhằm tích hợp các yêu cầu về đánh giá sinh
trắc học với các sơ đồ đánh giá và chứng nhận hiện có.
Tiêu chuẩn này tham chiếu và sử dụng các tiêu chuẩn sinh trắc học khác, đáng chú ý là những tiêu
chuẩn kiểm thử và báo cáo hiệu suất sinh trắc học của tiểu ban kỹ thuật quốc tế ISO/JTC1 SC 37. Các
tiêu chuẩn này đã được điều chỉnh ở mức cần thiết đối với những yêu cầu cụ thể của đánh giá an toàn
sinh trắc học.
2. Sự tuân thủ


Để đáp ứng được tiêu chuẩn này, việc đánh giá an toàn hệ thống sinh trắc học phải được lập kế
hoạch, thực hiện và báo cáo theo những yêu cầu mang tính quy định nêu trong tiêu chuẩn này.
Tiêu chuẩn này mô tả những khía cạnh cụ thể về việc đánh giá an toàn hệ thống sinh trắc học về mặt:
- các tỷ lệ lỗi thống kê (xem điều 7),
- các lỗ hổng sinh trắc học cụ thể (xem điều 8),
- tính riêng tư (xem điều 9).
Một số sơ đồ đánh giá chấp nhận tiêu chuẩn này không giải quyết được tất cả các khía cạnh đã nêu
trên sẽ có thể tiếp tục đòi hỏi sự tuân thủ với các phần của tiêu chuẩn này. Trong trường hợp này, việc
đánh giá an toàn hệ thống sinh trắc học phải được lập kế hoạch, thực hiện và báo cáo phù hợp với một
tập hợp nhỏ các yêu cầu mang tính quy định của tiêu chuẩn này. Trong trường hợp này, các yêu cầu
được giải quyết phải được xác định rõ ràng.
Lưu ý rằng sự tuân thủ tiêu chuẩn này được giới hạn trong việc chấp nhận phương pháp đánh giá sinh
trắc học đã được mô tả và gắn kết với các yêu cầu mang tính quy định cụ thể. Sự tuân thủ không bao
gồm các vấn đề có liên quan đến sơ đồ như hành động cần được thực hiện trong trường hợp một hệ

thống được đánh giá không đáp ứng các tiêu chí hoặc mục tiêu đánh giá có liên quan đến an toàn. Sơ
đồ tổng thể có trách nhiệm quy định cụ thể hành động này, trong đó có thể bao gồm, ví dụ:
- hoàn toàn không đánh giá được,
- việc xác lập lại tiêu chí hoặc mục tiêu đánh giá để trùng khớp với kết quả đạt được, hoặc
- việc phát triển hệ thống được đánh giá để đáp ứng các tiêu chí hoặc mục tiêu đánh giá đã xác định.
3. Tài liệu viện dẫn
Các tài liệu viện dẫn sau rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi
năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì
áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).
ISO/IEC 19795-1:2006, Biometric performance testing and reporting - Part 1: Principles and framework
(ISO/IEC 19795-1:2006 - Kiểm thử và báo cáo hiệu suất sinh trắc học - Phần 1: Các nguyên tắc và
khung)
4. Thuật ngữ và định nghĩa
Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa sau
4.1. Tổng quan
4.1.1. Mức đảm bảo (assurance level)
Lượng đảm bảo thu được theo thang đo cụ thể được sử dụng bởi các phương pháp đảm bảo
CHÚ THÍCH: Định nghĩa từ [1].
4.1.2. Đối tượng tấn công (attacker)
Người tìm cách khai thác các lỗ hổng tiềm ẩn của hệ thống sinh trắc học
4.1.3. Đặc trưng sinh trắc học (biometric characteristic)
Đặc trưng sinh học và hành vi của một cá thể có thể được phát hiện và từ đó các đặc điểm sinh trắc
học có tính lặp lại, phân biệt có thể được trích xuất cho mục đích tự động nhận dạng cá thể
CHÚ THÍCH 1: Định nghĩa từ [2].
CHÚ THÍCH 2: Đặc trưng sinh học và hành vi là các đặc tính vật lý của các bộ phận cơ thể, các tiến
trình sinh lý và hành vi được tạo ra bởi cơ thể và sự kết hợp của những đặc tính và tiến trình này.
CHÚ THÍCH 3: Phân biệt không nhất thiết mang nghĩa là cá thể hóa.
VÍ DỤ: Các ví dụ về đặc trưng sinh trắc học là: cấu trúc đường vân của Galton, hình thể khuôn mặt,
cấu tạo da mặt hình thể bàn tay, hình thể ngón tay, cấu trúc mống mắt, cấu trúc tĩnh mạch của bàn tay,
cấu trúc đường vân của lòng bàn tay hoặc hình dạng võng mạc.

4.1.4. Sản phẩm sinh trắc học (biometric product)
Thành phần, hệ thống hoặc ứng dụng sinh trắc học đóng vai phạm vi của một đánh giá


4.1.5. Sinh trắc học (biometrics)
Nhận dạng tự động của các cá thể dựa vào đặc trưng sinh học và hành vi của các cá thể đó
CHÚ THÍCH: Định nghĩa từ [2].
4.1.6. Đánh giá viên (evaluator)
Người hoặc bên chịu trách nhiệm thực hiện việc đánh giá an toàn sản phẩm sinh trắc học
4.1.7. Sự đánh giá (evaluation)
Sự đánh giá một thành phẩm so với tiêu chí đã được xác định trước
CHÚ THÍCH 1: Định nghĩa từ [1].
CHÚ THÍCH 2: Trong ngữ cảnh này, thành phẩm là hệ thống sinh trắc học.
4.1.8. Lamb (lamb)
Tham chiếu sinh trắc học tạo ra các điểm số tương đồng cao hơn so với bình thường trên một hệ
thống sinh trắc học riêng biệt khi so sánh với các mẫu sinh trắc học hoặc các tham chiếu từ các đối
tượng khác
4.1.9. Nhà cung cấp (vendor)
Bên bán, sản xuất hoặc sử dụng hệ thống sinh trắc học và có trách nhiệm cung cấp hệ thống sinh trắc
học cùng toàn bộ chứng cứ cần thiết cho việc đánh giá
CHÚ THÍCH: Trong những trường hợp nhà cung cấp quyết định ủy nhiệm nhiệm vụ nào đó cho bên
khác (ví dụ cho phòng kiểm thử của bên thứ ba), bên này sẽ được xem như là nhà cung cấp.
4.1.10. Người sử dụng (user)
Người tương tác với một hệ thống sinh trắc học
4.1.11. Wolf (wolf)
Mẫu sinh trắc học tạo ra các điểm số tương đồng cao hơn bình thường trên một hệ thống sinh trắc học
riêng biệt khi so sánh với các tham chiếu sinh trắc học của các đối tượng thu nạp
4.2. Hệ thống sinh trắc học
4.2.1. Lần thử (attempt)
Gửi một (hoặc một chuỗi) mẫu sinh trắc học vào hệ thống

CHÚ THÍCH: Một lần thử cho kết quả là một khuôn mẫu thu nạp, một (hoặc nhiều) điểm số trùng khớp,
hoặc có thể là một thất bại.
4.2.2. Dữ liệu sinh trắc học (biometric data)
Mẫu sinh trắc học ở bất kỳ giai đoạn xử lý nào, tham chiếu sinh trắc học, đặc điểm sinh trắc học hoặc
đặc tính sinh trắc học
CHÚ THÍCH: Định nghĩa từ [2].
4.2.3. Đặc điểm sinh trắc học (biometric feature)
Các số và nhãn hiệu được trích xuất từ các mẫu sinh trắc học và được sử dụng để so sánh
CHÚ THÍCH 1: Các đặc điểm sinh trắc học là đầu ra của một sự trích xuất đặc điểm sinh trắc học đã
hoàn thành.
CHÚ THÍCH 2: Việc sử dụng thuật ngữ này nên phù hợp với việc sử dụng của cộng đồng toán học và
nhận dạng.
CHÚ THÍCH 3: Một tập hợp đặc điểm sinh trắc học cũng có thể được coi là một mẫu sinh trắc học đã
qua xử lý.
4.2.4. Mô hình sinh trắc học (biometric model)
Hàm số lưu trữ (phụ thuộc vào đối tượng dữ liệu sinh trắc học) được tạo ra từ một (nhiều) đặc điểm
sinh trắc học
CHÚ THÍCH 1: Định nghĩa từ [2].


CHÚ THÍCH 2: Việc so sánh sẽ áp dụng hàm số này đối với các đặc điểm sinh trắc học của một mẫu
sinh trắc học nhận dạng để đưa ra một điểm số so sánh.
CHÚ THÍCH 3: Hàm số này có thể được xác định thông qua huấn luyện.
CHÚ THÍCH 4: Một mô hình sinh trắc học có thể bao gồm khâu xử lý trung gian tương tự như trích xuất
đặc điểm sinh trắc học.
VÍ DỤ: Các ví dụ cho hàm số lưu trữ có thể là một mô hình Markov ẩn, mô hình Gaussian hỗn hợp
hoặc một mạng nơ ron nhân tạo.
4.2.5. Đặc tính sinh trắc học (biometric property)
Các thuộc tính mô tả của đối tượng dữ liệu sinh trắc học được ước lượng hoặc được dẫn xuất từ mẫu
sinh trắc học một cách tự động

CHÚ THÍCH: Định nghĩa từ [2].
VÍ DỤ: Dấu vân tay có thể được phân loại bằng các đặc tính sinh trắc học về luồng đường vân, chẳng
hạn các kiểu hình cung, hình xoáy, hình quai; Trong trường hợp nhận dạng khuôn mặt, có thể là các
ước lượng về độ tuổi hoặc giới tính.
4.2.6. Tham chiếu sinh trắc học (biometric reference)
Một hoặc nhiều mẫu sinh trắc học, khuôn mẫu sinh trắc học hoặc mô hình sinh trắc học gán làm thuộc
tính cho một đối tượng dữ liệu sinh trắc học được lưu trữ và được sử dụng để so sánh
CHÚ THÍCH 1: Định nghĩa từ [2].
CHÚ THÍCH 2: Một tham chiếu sinh trắc học có thể được tạo ra với việc sử dụng ngầm hoặc tường
minh dữ liệu phụ trợ, như các Mô hình Nền tảng Vạn năng.
VÍ DỤ: Hình ảnh khuôn mặt trên hộ chiếu; Khuôn mẫu chi tiết dấu vân tay trên Thẻ căn cước quốc gia;
Mô hình hỗn hợp Gaussian, để nhận dạng giọng nói, trong cơ sở dữ liệu.
4.2.7. Mẫu sinh trắc học (biometric sample)
Biểu diễn tương tự hoặc kỹ thuật số các đặc trưng sinh trắc học trước khi trích xuất đặc điểm sinh trắc
học và thu được từ thiết bị hoặc hệ thống con thu thập sinh trắc học
CHÚ THÍCH 1: Định nghĩa từ [2].
CHÚ THÍCH 2: Thiết bị thu thập sinh trắc học là hệ thống con thu thập sinh trắc học với một thành phần
duy nhất.
4.2.8. Khuôn mẫu sinh trắc học (biometric template)
Tập hợp các đặc điểm sinh trắc học được lưu trữ có thể so sánh trực tiếp với các đặc điểm sinh trắc
học của mẫu sinh trắc học nhận dạng
CHÚ THÍCH 1: Định nghĩa từ [2].
CHÚ THÍCH 2: Một tham chiếu sinh trắc học bao gồm hình ảnh, hoặc mẫu sinh trắc học khác thu thập
được dưới dạng nguyên bản, đã được xử lý tăng cường hoặc được nén, không phải là một khuôn mẫu
sinh trắc học.
CHÚ THÍCH 3: Các đặc điểm sinh trắc học không được coi là một khuôn mẫu sinh trắc học trừ khi
chúng được lưu trữ để tham chiếu.
4.2.9. Hồ sơ dữ liệu thu nạp (enrolment data record)
Hồ sơ được tạo ra khi thu nạp, liên quan đến một cá thể và bao gồm các tham chiếu sinh trắc học và
dữ liệu phi sinh trắc học thông thường

CHÚ THÍCH: Định nghĩa từ [2].
4.2.10. Giao dịch (transaction)
Chuỗi các lần thử trên một bộ phận người sử dụng nhằm mục đích thu nạp, xác minh sinh trắc học
hoặc định danh sinh trắc học
CHÚ THÍCH: Có 3 kiểu giao dịch: chuỗi thu nạp, cho kết quả là sự thu nạp thành công hoặc thất bại;
chuỗi xác minh, cho kết quả là quyết định xác minh; hoặc chuỗi định danh, kết quả là quyết định định


danh.
4.3. Quá trình sinh trắc học
4.3.1. Xác thực (authentication)
Cung cấp sự đảm bảo về danh tính được yêu cầu của một thực thể
CHÚ THÍCH: Định nghĩa từ [1].
4.3.2. Quyết định ứng dụng sinh trắc học (biometric application decision)
Kết luận dựa trên chính sách quyết định ứng dụng sau khi xem xét một hoặc nhiều quyết định so sánh,
điểm số so sánh và dữ liệu phi sinh trắc học khác có thể
CHÚ THÍCH 1: Định nghĩa từ [2].
CHÚ THÍCH 2: Các quyết định ứng dụng sinh trắc học có thể được thực hiện dựa trên cơ sở các chính
sách phức tạp, cho phép thay đổi số lượng quyết định so sánh dương tính.
CHÚ THÍCH 3: Ứng dụng xác minh sinh trắc học có thể cho phép quyết định ứng dụng sinh trắc học
dương tính ngay cả khi có một hoặc nhiều sự không trùng khớp so với tham chiếu sinh trắc học đã thu
nạp.
VÍ DỤ: Quyết định ứng dụng sinh trắc học có thể là “tiếp nhận yêu cầu”.
4.3.3. Nhận dạng sinh trắc học (biometric recognition)
Nhận dạng bằng cách sử dụng một sản phẩm sinh trắc học
CHÚ THÍCH 3: Nhận dạng sinh trắc học có thể hoặc thực hiện bằng xác minh sinh trắc học hoặc quá
trình định danh sinh trắc học.
4.3.4. Điểm số so sánh (comparison score)
Giá trị (hoặc tập hợp các giá trị) số học thu được từ một sự so sánh
CHÚ THÍCH: Định nghĩa từ [2].

4.3.5. Hủy thu nạp (de-enrolment)
Việc xóa bỏ tham chiếu sinh trắc học ra khỏi bộ lưu trữ và nếu cần thiết, cả dữ liệu có liên quan với
danh tính của người sử dụng cuối ra khỏi hệ thống sinh trắc học
4.3.6. Chính sách quyết định (decision policy)
Tập hợp các tham số, quy tắc và giá trị được sử dụng để xác định khả năng tiếp nhận hoặc từ chối
nhận dạng sinh trắc học của đối tượng
CHÚ THÍCH: Định nghĩa từ [2].
4.3.7. Thu nạp (enrol)
Tạo và lưu trữ hồ sơ dữ liệu thu nạp cho một đối tượng thu thập sinh trắc học phù hợp với chính sách
thu nạp
CHÚ THÍCH: Định nghĩa từ [2].
4.3.8. Sự thu nạp (enrolment)
Hành động đang thu nạp hoặc được thu nạp
CHÚ THÍCH: Định nghĩa từ [2].
4.3.9. Định danh sinh trắc học (biometric identification)
Chức năng của hệ thống sinh trắc học thực hiện tìm kiếm một-nhiều để có được danh sách ứng tuyển
CHÚ THÍCH: Định nghĩa từ [2].
4.3.10. Quyết định so sánh (comparison decision)
Việc xác định các mẫu sinh trắc học nhận dạng và các tham chiếu sinh trắc học có cùng nguồn gốc
sinh trắc học hay không dựa vào (các) điểm số so sánh, (các) chính sách quyết định bao gồm ngưỡng,
và các đầu vào khác có thể


CHÚ THÍCH: Định nghĩa từ [2].
CHÚ THÍCH 2: Trùng khớp là một quyết định sinh trắc học dương tính.
CHÚ THÍCH 3: Không trùng khớp là một quyết định sinh trắc học âm tính.
CHÚ THÍCH 4: Quyết định “không xác định” đôi khi có thể được đưa ra.
4.3.11. Ngưỡng (threshold)
Giá trị biên của điểm số so sánh được sử dụng bởi ứng dụng so sánh để tự động tạo ra quyết định
trùng khớp

4.3.12. Xác minh sinh trắc học (biometric verification)
Chức năng của sản phẩm sinh trắc học thực hiện việc so sánh một-một
CHÚ THÍCH: Điều chỉnh từ [2].
4.4. Các tỷ lệ lỗi
CHÚ THÍCH: Định nghĩa 4.4.1 tới 4.4.9 và 4.4.11 áp dụng theo ISO/IEC 19795-1:2006.
4.4.1. Lần thử mạo danh chủ động (active impostor attempt)
Lần thử trong đó một cá thể cố gắng để trùng khớp với khuôn mẫu được lưu trữ của một cá thể khác
bằng cách đưa ra một mẫu sinh trắc học mô phỏng hoặc tái tạo, hoặc cố ý chỉnh sửa đặc trưng sinh
trắc học của chính mình
4.4.2. Tỷ lệ thu nạp thất bại (failure-to-enrol rate)
FTE
Tỷ lệ dân số mà hệ thống không hoàn tất quá trình thu nạp
CHÚ THÍCH: Tỷ lệ thu nạp thất bại quan sát được được đo lường bằng thu nạp nhóm kiểm thử. Tỷ lệ
thu nạp thất bại được dự kiến/mong đợi sẽ áp dụng cho toàn bộ dân số mục tiêu.
4.4.3. Tỷ lệ không trùng khớp sai (false non-match rate)
FNMR
Tỷ lệ các mẫu lần thử đối tượng chính danh cho kết quả sai, không trùng khớp với khuôn mẫu của
cùng một đặc trưng từ cùng một người sử dụng cung cấp mẫu
CHÚ THÍCH: Tỷ lệ không trùng khớp sai đo lường/quan sát được là khác biệt so với tỷ lệ không trùng
khớp sai dự đoán/mong đợi (dạng tỷ lệ trước có thể được sử dụng đã ước tính dạng tỷ lệ sau).
4.4.4. Tỷ lệ trùng khớp sai (false match rate)
FMR
Tỷ lệ các mẫu lần thử đối tượng mạo danh không cố ý cho kết quả sai, trùng khớp với các khuôn mẫu
không phải của chính người được so sánh
CHÚ THÍCH: Tỷ lệ trùng khớp sai đo lường/quan sát được là khác biệt với tỷ lệ trùng khớp sai dự
đoán/mong đợi (dạng tỷ lệ trước có thể được sử dụng để ước tính dạng tỷ lệ sau).
4.4.5. Tỷ lệ từ chối sai (false reject rate)
FRR
Tỷ lệ các giao dịch xác minh với các yêu cầu về danh tính là đúng thực nhưng bị từ chối không đúng
4.4.6. Tỷ lệ tiếp nhận sai (false accept rate)

FAR
tỷ lệ các giao dịch xác minh với các yêu cầu về danh tính là không đúng nhưng được xác nhận không
đúng
4.4.7. Thứ hạng định danh (identification rank)
Giá trị nhỏ nhất k mà nhận dạng đúng của người sử dụng nằm trong nhóm các nhận dạng k đầu tiên
được trả về bởi một hệ thống định danh


CHÚ THÍCH: Thứ hạng định danh phụ thuộc quy mô cơ sở dữ liệu thu nạp, và nên được trích dẫn “thứ
hạng k trên n”
4.4.8. Thuật toán sơ tuyển (pre-selection algorithm)
Thuật toán nhằm làm giảm thiểu số lượng các khuôn mẫu cần được trùng khớp trong một tìm kiếm
định danh của cơ sở dữ liệu thu nạp
4.4.9. Lỗi sơ tuyển (pre-selection error)
Lỗi <thuật toán sơ tuyển> xảy ra khi khuôn mẫu thu nạp tương ứng không nằm trong nhóm các mẫu
ứng tuyển được chọn trước khi một mẫu từ cùng một đặc trưng sinh trắc học của cùng một người sử
dụng được đưa ra
CHÚ THÍCH: Trong sơ tuyển dựa vào việc xây dựng phân vùng/phân lớp những người sử dụng, lỗi sơ
tuyển xảy ra khi khuôn mẫu thu nạp và một mẫu tiếp theo từ cùng đặc trưng sinh trắc học của cùng
một người sử dụng được gán vào phân vùng khác nhau.
4.4.10. Nhóm kiểm thử (test crew)
Bộ các đối tượng kiểm thử được tập hợp lại cho việc đánh giá
CHÚ THÍCH: Định nghĩa từ [1].
4.4.11. Lần thử đối tượng mạo danh không cố ý (zero-effort impostor attempt)
Lần thử trong đó một cá thể gửi đặc trưng sinh trắc học của chính mình như thể cá thể đó đang thử
xác minh thành công đối với khuôn mẫu của chính mình, nhưng việc so sánh được thực hiện đối với
khuôn mẫu của người sử dụng khác
4.5. Thống kê
4.5.1. Khoảng tin cậy (confidence interval)
Giá trị ước lượng thấp L và cao U cho một tham số x sao cho xác suất của giá trị thực của x nằm giữa

L và U là giá trị cho trước (ví dụ 95%)
[ISO/IEC 19795-1:2006, định nghĩa 4.8.2]
CHÚ THÍCH: Khoảng tin cậy luôn gắn liền với giá trị xác suất đã biết tương ứng. Trong tiêu chuẩn này
các giá trị xác suất đã biết được gọi là “giá trị tin cậy”
4.5.2. Giá trị tin cậy (confidence value)
Giá trị xác suất đã biết tương ứng với khoảng tin cậy quy định
5. Chữ viết tắt
DET

Cân bằng lỗi phát hiện (vòng cong)

FAR

Tỷ lệ tiếp nhận sai

FDIS

Dự thảo tiêu chuẩn quốc tế phiên bản cuối cùng

FMR

Tỷ lệ trùng khớp sai

FNMR

Tỷ lệ không trùng khớp sai

FRR

Tỷ lệ từ chối sai


FTE

Thu nạp thất bại

IS

Tiêu chuẩn quốc tế

6. Đánh giá an toàn
6.1. Tổng quan
Điều này làm rõ hơn phạm vi của tiêu chuẩn tại điều 1 và cung cấp ngữ cảnh mà trong đó đánh giá an
toàn sinh trắc học được tiến hành.
Hình A.1 chỉ ra kiến trúc tham chiếu của hệ thống sinh trắc học được sử dụng trong tiêu chuẩn này. Hệ
thống sinh trắc học bao gồm một tập hợp các thành phần phần cứng và phần mềm. Hệ thống thường
được sử dụng để thực hiện một ứng dụng sinh trắc học, trong trường hợp này hệ thống hoạt động
trong một môi trường ngoài tạo thành một phần thiết yếu của ứng dụng. Môi trường không chỉ bao gồm


các yếu tố vật lý như không gian, nhiệt độ, độ ẩm, chiếu sáng v.v... mà còn tất cả các khía cạnh về thủ
tục và người sử dụng của hệ thống. Người sử dụng của hệ thống bao gồm tất cả những người có thể
tương tác với hệ thống như những nhà điều hành, người quản trị, đối tượng thu nạp, đối tượng mạo
danh v.v...
Tiêu chuẩn này chủ yếu hướng vào việc đánh giá an toàn chính hệ thống sinh trắc học chứ không phải
là các ứng dụng sinh trắc học hoàn chỉnh. Một ứng dụng sinh trắc học bao gồm một hệ thống sinh trắc
học và các thành phần phần cứng và phần mềm có thể khác, với môi trường hoạt động, các quy trình
tổ chức và các chính sách cùng cung cấp chức năng của ứng dụng. Những yếu tố bổ sung này có thể
có lỗ hổng bảo mật riêng của chính mình hoặc có thể khuyếch đại hoặc giảm thiểu các lỗ hổng đã
được sở hữu bởi chính hệ thống sinh trắc học.
Đánh giá lỗ hổng cần được tiến hành theo cách thức có trật tự, bao gồm sự điều tra các lỗ hổng thành

phần cá thể. Tuy nhiên, đánh giá viên nên thận trọng khi đánh giá các kết quả của việc đánh giá lỗ
hổng thành phần mà không xem xét sự tương tác diễn ra với các thành phần hệ thống khác. Những
tương tác này có thể xác định liệu có hay không các lỗ hổng thành phần có thể bị khai thác trong thực
tế. Do đó, đánh giá viên nên luôn luôn đánh giá lỗ hổng trong ngữ cảnh toàn bộ chức năng của toàn hệ
thống và không chỉ dựa trên đánh giá các lỗ hổng thành phần cá thể.
Tương tự, một hệ thống sinh trắc học có thể biểu thị các lỗ hổng nội tại đã được nhận ra, đã được làm
trầm trọng hơn hoặc giảm nhẹ bởi tương tác giữa các thành phần hệ thống. Ví dụ, một thuật toán so
sánh sinh trắc học có thể hiển thị hành vi bất thường nếu được đưa vào dữ liệu sinh trắc học ngoài
phạm vi, và hành vi này có thể làm phát sinh một lỗ hổng. Tuy nhiên, nếu (các) thành phần chịu trách
nhiệm cung cấp dữ liệu sinh trắc học cho các thuật toán so sánh ngăn chặn dữ liệu bất thường được
cung cấp thì sẽ không sinh ra lỗ hổng. Mặc dù phương pháp trong tiêu chuẩn này có thể được sử dụng
để đánh giá các yếu tố an toàn cho các thành phần của một hệ thống sinh trắc học, đánh giá viên nên
thận trọng khi kiểm tra các lỗ hổng thành phần cá thể và tìm hiểu các tương tác giữa các thành phần
để xác định làm thế nào mà những tương tác này có thể ảnh hưởng đến lỗ hổng hệ thống. Nói chung,
việc đánh giá lỗ hổng thành phần cá thể có thể có giá trị giới hạn và gây sai lạc nếu được thực hiện
bên ngoài ngữ cảnh của một sự đánh giá hệ thống.
Tiêu chuẩn này quy định cụ thể phương pháp đánh giá an toàn kỹ thuật của hệ thống sinh trắc học.
Tiêu chuẩn không tìm cách giải quyết các vấn đề rộng hơn về đánh giá an toàn ứng dụng sinh trắc học
hoàn chỉnh. Người kiểm định các ứng dụng sinh trắc học do đó cần xây dựng mô hình mối đe dọa/rủi
ro cho các ứng dụng và đánh giá liệu các lỗ hổng phi sinh trắc học cụ thể khác có tồn tại trong hệ thống
tổng thể và những tác động nào của bất kỳ lỗ hổng sinh trắc học đã được phát hiện đối với an toàn hệ
thống tổng thể.
6.2. Phương pháp
Tiêu chuẩn này đề cập đến những khía cạnh của việc đánh giá an toàn cụ thể cho các hệ thống sinh
trắc học. Một đánh giá an toàn hệ thống sinh trắc học có thể cũng bao gồm việc đánh giá các khía cạnh
an toàn công nghệ thông tin. Tiêu chuẩn này không bao hàm các khía cạnh này và đánh giá viên nên
tham khảo các tiêu chuẩn và phương pháp luận đánh giá an toàn công nghệ thông tin khác khi đánh
giá các khía cạnh phi sinh trắc học của một đánh giá an toàn hệ thống, ví dụ như Tiêu chí chung ([3]).
Nhà cung cấp hệ thống sinh trắc học được đánh giá sẽ phải cung cấp mô tả hệ thống trước khi việc
đánh giá bắt đầu. Điều này cho phép đánh giá viên trở nên quen thuộc với hệ thống và hỗ trợ những

quyết định sau đó trong quá trình đánh giá. Các khía cạnh sinh trắc học cụ thể của đánh giá an toàn hệ
thống sinh trắc học được mô tả trong tiêu chuẩn này là:
- Phép đo lường các tỷ lệ lỗi thống kê (xem điều 7)
- Các lỗ hổng sinh trắc học cụ thể (xem điều 8)
- Tính riêng tư (xem điều 9)
Khái niệm cơ bản của phương pháp này (ngoài ba lĩnh vực trên) là việc đánh giá an toàn hệ thống sinh
trắc học có thể được thực hiện theo cách tương tự việc đánh giá an toàn của bất kỳ hệ thống công
nghệ thông tin nào khác.
Điều 7 giới thiệu khái niệm về kiểm thử các tỷ lệ lỗi liên quan đến an toàn trong ngữ cảnh đánh giá an
toàn hệ thống sinh trắc học. Các tỷ lệ lỗi thống kê có thể được đo lường cho các thuật toán sinh trắc
học đơn lẻ (thường sử dụng các cơ sở dữ liệu mẫu sinh trắc học có sẵn từ trước), hoặc cho các hệ
thống mà người dùng cung cấp các mẫu sinh trắc học trực tiếp cho bộ cảm biến của thành phần thu
thập dữ liệu. Kiểm thử tỷ lệ lỗi của các thuật toán sinh trắc học thường được sử dụng để so sánh hiệu


suất giữa các thuật toán khác nhau và để định lượng sự thay đổi do phát triển thuật toán. Kiểm thử
thuật toán có giá trị giới hạn trong việc đánh giá an toàn vì những lỗi về thuật toán chỉ là một nguồn gây
lỗi trong một hệ thống sinh trắc học. Thường là cần thiết để tiến hành đo lường lỗi thống kê của các hệ
thống sinh trắc học sử dụng các mẫu sinh trắc học thu được bởi thành phần thu thập của hệ thống từ
các đối tượng thực trong một kiểm thử kịch bản. Tuy nhiên, kiểm thử thống kê của một thuật toán có
thể góp phần vào sự hiểu biết cần thiết về hệ thống sinh trắc học, điều này cần thiết để chuẩn bị kiểm
thử hoặc để tìm ra một yêu cầu về các tỷ lệ lỗi tối đa của hệ thống sinh trắc học.
Điều 8 cung cấp hướng dẫn đánh giá lỗ hổng. Các lỗ hổng kỹ thuật được xử lý theo các nhóm tương
ứng với các lỗ hổng tiềm ẩn trong hệ thống sinh trắc học, dựa trên sự cân nhắc lý thuyết và kinh
nghiệm thực tế. Việc khai thác một lỗ hổng tiềm ẩn thường liên quan đến nhiều thành phần. Ví dụ, một
vật giả mạo cần phải được tiếp nhận bởi bộ cảm biến và vượt qua bất kỳ mọi ngăn chặn giả mạo; vượt
qua bước phân tích chất lượng; tiền xử lý và trích xuất đặc điểm thành công và vượt qua bất kỳ sự
kiểm tra kiểm soát chất lượng tiếp theo nào. Các bước này thường sẽ liên quan tới nhiều hơn một
thành phần của hệ thống.
Điều 9 nêu chi tiết về những hành động của đánh giá viên được yêu cầu để giải quyết những vấn đề về

tính riêng tư khi xử lý và lưu trữ dữ liệu sinh trắc học. Đây là một mối quan tâm an toàn vốn có cho các
hệ thống sinh trắc học vì dữ liệu được sử dụng để xác thực là dữ liệu cá nhân và có thể được điều
chỉnh bởi những ràng buộc sử dụng được xác định bởi luật pháp hay quy tắc thực hành ở các nước
khác nhau.
Tiêu chuẩn này xác định các vai trò của nhà cung cấp và đánh giá viên và quy định cụ thể các yêu cầu
và hoạt động của mỗi bên. Mặc dù phương pháp luận là độc lập với sơ đồ, việc tách biệt các vai trò ở
đây phản ánh sự cần thiết phải nhận thức các trách nhiệm và hành động của đánh giá viên để duy trì
tính độc lập với nhà cung cấp.
7. Các tỷ lệ lỗi của hệ thống sinh trắc học
7.1. Giới thiệu
Một đặc trưng vốn có của nhận dạng sinh trắc học đó là quyết định của hệ thống sinh trắc học tùy
thuộc vào các lỗi mà có thể được thể hiện dưới dạng các tỷ lệ lỗi thống kê, ví dụ: các tỷ lệ tiếp nhận sai
và từ chối sai. Những tỷ lệ lỗi này và các tham số hiệu suất khác cũng hàm ý về cường độ an toàn
được cung cấp bởi một hệ thống sinh trắc học khi được sử dụng để xác thực.
Do đó mỗi đánh giá an toàn một hệ thống sinh trắc học sẽ bao gồm việc đánh giá các các tỷ lệ lỗi liên
quan đến an toàn.
Kiểm thử và báo cáo các tỷ lệ lỗi liên quan đến an toàn trong tiêu chuẩn này dựa vào ISO/IEC 197951:2006. Tiêu chuẩn này sử dụng các phần tử hiệu suất sinh trắc học và kiểm thử và báo cáo hiệu suất
có liên quan đến việc đánh giá an toàn sinh trắc học.
7.2. Khái niệm - Kiểm thử các tỷ lệ lỗi liên quan đến an toàn
Độ tin cậy của chức năng xác minh hoặc định danh sinh trắc học của hệ thống sinh trắc học là yếu tố
quan trọng để xác định mức tin cậy có thể trong một quyết định xác thực được cung cấp bởi hệ thống.
Độ tin cậy này có thể đo được bằng cách thực hiện đúng việc kiểm thử các tham số hiệu suất hệ thống
có liên quan đến đảm bảo xác thực. Đối với một hệ thống kiểm soát truy cập, các tham số này bao gồm
Tỷ lệ Tiếp nhận Sai (FAR) và Tỷ lệ Từ chối Sai (FRR), và các tương quan gần của chúng là Tỷ lệ
Trùng khớp Sai (FMR) và Tỷ lệ Không trùng khớp Sai (FNMR) (xem định nghĩa chi tiết và sự khác biệt
của các thuật ngữ này tại điều 4.4 và ISO/IEC 19795-1:2006).
Lý do cả FAR/FMR và FRR/FNMR cần được đo lường đó là tồn tại một mối quan hệ nghịch đảo giữa
các kiểu lỗi này đối với hệ thống sinh trắc học và thường có thể điều chỉnh hệ thống để đạt được bất kỳ
giá trị FAR/FNMR mong muốn nếu không giới hạn giá trị FRR/FNMR. Đối với một ứng dụng kiểm soát
truy cập, giá trị FAR/FMR có thể biểu thị sự an toàn trong khi giá trị FRR/FNMR tương ứng chỉ tính tiện

dụng. Sự đánh đổi an toàn/tính tiện dụng này tương tự như trường hợp của mật khẩu khi độ dài mật
khẩu và tính ngẫu nhiên (an toàn) có thể đánh đổi với khó khăn trong việc ghi nhớ (tính tiện dụng).
Nhiều chính sách an toàn mật khẩu được xây dựng bằng việc chỉ xem xét các khía cạnh an toàn, mà
không quan tâm đến khả năng sử dụng. Tuy nhiên đây không được coi là chấp nhận được đối với một
hệ thống sinh trắc học. Lý do cho sự không thống nhất rõ rệt này có lẽ là một sự thất bại về tính tiện
dụng để xác thực mật khẩu và được xem là một sự thất bại của con người, trong khi đối với nhận dạng
sinh trắc học nó được xem như một sự thất bại của hệ thống.
Mục đích của việc đo lường các tỷ lệ lỗi liên quan đến an toàn hệ thống sinh trắc học là cung cấp số


liệu đáng tin cậy nhằm thiết lập sự bảo đảm cơ bản cho các quyết định xác minh hoặc nhận dạng được
thực hiện bởi hệ thống.
Sự kiểm thử các tỷ lệ lỗi liên quan đến an toàn bắt đầu với một yêu cầu an toàn dựa trên sự đáp ứng
hoặc cải thiện các giới hạn tỷ lệ lỗi danh nghĩa. Kiểm thử hiệu suất sau đó nhằm mục đích chứng minh
hoặc bác bỏ yêu cầu này. Ngoài ra, đánh giá viên có thể cần phải xem xét tác động có thể có của
người sử dụng kiểm thử có các đặc trưng đặc biệt hoặc việc lựa chọn không ngẫu nhiên người sử
dụng kiểm thử lên hiệu suất, và vì vậy lên an toàn.
Phương pháp kiểm thử mô tả trong điều này dựa vào khái niệm sáu bước:
1) Nhà cung cấp sẽ cung cấp một mô tả hệ thống và ngữ cảnh sử dụng (xem 7.2.1).
2) Nhà cung cấp sẽ yêu cầu giá trị tối đa cho các tỷ lệ lỗi liên quan đến an toàn (xem 7.2.2).
3) Những yêu cầu phải được kiểm tra bởi đánh giá viên (xem 7.2.3).
4) Nhà cung cấp thực hiện một kiểm thử để chứng minh rằng yêu cầu là đúng, nghĩa là các tỷ lệ lỗi đáp
ứng được yêu cầu (xem 7.2.4).
5) Kiểm thử của nhà cung cấp sẽ được đánh giá bởi đánh giá viên (xem 7.2.4).
6) Đánh giá viên thực hiện một kiểm thử độc lập (xem 7.2.5).
Các bước này sẽ được giới thiệu chi tiết trong các điều theo đây.
7.2.1. Mô tả hệ thống (bước 1)
Nhà cung cấp sẽ cung cấp cho đánh giá viên một mô tả hệ thống sinh trắc học được đánh giá và ngữ
cảnh sử dụng của chúng.
Mô tả này sẽ bao gồm:

- mô tả về mục đích sử dụng của hệ thống,
- thông tin về việc sản phẩm được thiết kế để thực hiện xác minh hoặc nhận dạng sinh trắc học,
- mô tả về môi trường dự định của hệ thống,
- mô tả về dân số mục tiêu của hệ thống,
- mô tả tất cả các tham số cấu hình có liên quan đến an toàn (bao gồm tất cả các thiết lập ngưỡng) và
các thiết lập đề nghị để đạt được những yêu cầu hiệu suất cho các môi trường dự định và dân số mục
tiêu (xem 7.2.2).
Mô tả hệ thống này là quan trọng đối với đánh giá viên để quyết định những yêu cầu tiếp theo trong
ngữ cảnh tiêu chuẩn này.
7.2.2. Yêu cầu của nhà cung cấp (bước 2)
Nhà cung cấp sẽ đưa ra các yêu cầu hiệu suất dưới dạng tập hợp giá trị các tỷ lệ lỗi liên quan đến an
toàn tối đa có thể đạt được đồng thời. Đối với mỗi giá trị được yêu cầu của các tỷ lệ lõi liên quan đến
an toàn, nhà cung cấp phải đưa ra (các) ngưỡng làm căn cứ cho yêu cầu.
Yêu cầu này gồm ba khía cạnh:
- Nhà cung cấp sẽ thực hiện và đưa ra phân tích về những tỷ lệ lỗi nào của hệ thống sinh trắc học là có
liên quan đến an toàn.
- Nhà cung cấp sẽ cung cấp cho đánh giá viên (các) tập hợp các giá trị các tỷ lệ lỗi liên quan đến an
toàn tối đa có thể đạt được đồng thời trong ngữ cảnh các tham số cấu hình có liên quan theo quy định
tại 7.2.1.
- Nhà cung cấp đưa ra thuyết minh tại sao các giá trị các tỷ lệ lỗi liên quan đến an toàn tối đa là chấp
nhận được cho mục đích sử dụng của hệ thống sinh trắc học.
7.2.3. Kiểm tra yêu cầu của nhà cung cấp (bước 3)
Đánh giá viên sẽ xác định xem liệu danh sách các tỷ lệ lỗi liên quan đến an toàn là hoàn chỉnh và liệu
yêu cầu các giá trị tỷ lệ lỗi tối đa là đầy đủ chưa. Họ cũng phải kiểm tra thuyết minh của nhà cung cấp
đối với các tỷ lệ lỗi mà nhà cung cấp xem là không liên quan.
Các yếu tố nên được xem xét khi quyết định liệu yêu cầu về giá trị tỷ lệ lỗi tối đa là đầy đủ bao gồm:


- trường hợp áp dụng (tương lai) của hệ thống sinh trắc học và các nhu cầu an toàn của nó,
- các yêu cầu pháp lý,

- các yêu cầu hợp đồng (hoặc yêu cầu của khách hàng),
- các yêu cầu bắt nguồn từ một phương pháp đánh giá cụ thể được sử dụng.
Lưu ý rằng, trong một đánh giá an toàn, đánh giá viên không có trách nhiệm phải quyết định xem liệu
yêu cầu về các tỷ lệ lỗi và giá trị tối đa của chúng có đáp ứng được các “công nghệ tiên tiến nhất” của
công nghệ sinh trắc học hay không, tức là hệ thống sinh trắc học này về mặt lý thuyết có thể đáp ứng
các yêu cầu tốt hơn hay không. Các câu hỏi có liên quan đến khía cạnh này nên là các yêu cầu của
nhà cung cấp có đáp ứng được nhu cầu của khách hàng trong ngữ cảnh các ứng dụng tương lai của
hệ thống sinh trắc học hay không.
Đánh giá viên sẽ xem xét tất cả các tỷ lệ lỗi trong ISO/IEC 19795-1:2006 trong phân tích của họ để
đánh giá danh sách các tỷ lệ lỗi liên quan đến an toàn xác định được đã hoàn chỉnh chưa.
Để đảm bảo rằng danh sách tỷ lệ lỗi là hoàn chỉnh, đánh giá viên sẽ phải quyết định cho từng tỷ lệ lỗi
được xác định trong ISO/IEC 19795-1:2006 cho dù có liên quan với hệ thống sinh trắc học được đánh
giá hay không. Điều căn bản là mỗi tỷ lệ lỗi nên được cân nhắc là có liên quan.
Các lý do hiển nhiên khiến các tỷ lệ lỗi có thể không liên quan gồm:
- các yêu cầu pháp lý cụ thể không yêu cầu tỷ lệ lỗi này,
- tỷ lệ lỗi chỉ áp dụng cho hệ thống nhận dạng sinh trắc học, trong khi đang đánh giá một hệ thống xác
minh sinh trắc học,
- tỷ lệ lỗi sơ tuyển trong các hệ thống không thực hiện việc sơ tuyển.
Nếu nhà cung cấp cho rằng một tỷ lệ lỗi nào đó không có liên quan đến an toàn và điều này không rõ
ràng đối với đánh giá viên, nhà cung cấp phải đưa ra thuyết minh bổ sung để thuyết phục đánh giá
viên. Nếu không thì nhà cung cấp phải cung cấp (các) giá trị tỷ lệ lỗi cho tỷ lệ lỗi được xem xét.
7.2.4. Kiểm thử của nhà cung cấp và đánh giá kiểm thử của nhà cung cấp (bước 4 và 5)
Trong khi các điều trước đề cập mỗi bước của phương pháp kiểm thử sáu bước như đã giới thiệu
trong 7.2, điều này kết hợp các yêu cầu đối với hai bước của phương pháp:
- kiểm thử của nhà cung cấp để chứng minh rằng tỷ lệ lỗi được yêu cầu là đúng, tức là tỷ lệ lỗi đáp ứng
được yêu cầu.
- đánh giá của đánh giá viên đối với kiểm thử này.
Điều này mang lại lợi ích về tính rõ ràng và tính súc tích do các yêu cầu kiểm thử đối với nhà cung cấp
và đánh giá viên mang nhiều đặc điểm chung. Nếu có sự khác biệt chúng sẽ được thể hiện ra. Lưu ý
rằng nếu các yêu cầu của sơ đồ cụ thể đòi hỏi các hoạt động của nhà cung cấp và đánh giá viên phải

được lập tài liệu riêng rẽ, có thể sẽ cần thiết phải phân tách các thông tin trong điều này thành 2 điều
khác biệt
Nhà cung cấp phải lập kế hoạch, thực hiện và lập tài liệu một kiểm thử để chứng minh các tỷ lệ lỗi liên
quan đến an toàn được yêu cầu. Kiểm thử này phải tuân theo các phần liên quan của tiêu chuẩn
ISO/IEC 19795-1. Đánh giá viên phải kiểm tra và xác nhận kiểm thử của nhà cung cấp.
CHÚ THÍCH: Các yêu cầu đối với kiểm thử của nhà cung cấp không ngăn cản việc giao nhiệm vụ cho
một tổ chức kiểm thử bên thứ ba. Tuy nhiên, một tổ chức như vậy phải độc lập với đánh giá viên rà
soát kiểm thử.
Vai trò của kiểm thử hiệu suất khi đánh giá an toàn sinh trắc học là để xác định hoặc xác nhận các tỷ lệ
lỗi liên quan đến an toàn được yêu cầu. Việc đánh giá thực hiện theo tiêu chuẩn này phải tuân thủ các
tiêu chuẩn kiểm thử và báo cáo hiệu suất quy định tại tiêu chuẩn ISO/IEC 19795-1:2006. Ngoài ra, các
điều sau đây (7.2.4.1 đến 7.2.4.8) mang tính quy định cho các kiểm thử tuân thủ tiêu chuẩn này.
Những yêu cầu này mở rộng, hạn chế hoặc nhấn mạnh các yêu cầu đưa ra trong tiêu chuẩn ISO/IEC
19795-1:2006. Trong trường hợp có các yêu cầu mâu thuẫn, các yêu cầu trong tiêu chuẩn này sẽ
được ưu tiên.
CHÚ THÍCH: Kiểm thử hiệu suất đòi hỏi các nguồn lực đáng kể. Do đó, khuyến cáo nhà cung cấp và
đánh giá viên đồng ý về phương pháp kiểm thử, thủ tục và định dạng báo cáo bước khi bắt đầu kiểm
thử hiệu suất, để đảm bảo rằng kiểm thử hiệu suất sẽ đáp ứng các yêu cầu của việc đánh giá.


Ngoài các yêu cầu trong ISO/IEC 19795-1:2006, các vấn đề sau đây phải được giải quyết trong quá
trình lập kế hoạch và thực hiện kiểm thử, và phải được đưa vào tài liệu kiểm thử:
- Bất kỳ giả định nào về kịch bản kiểm thử đã thực hiện sẽ phải được nêu ra và chứng minh,
- Nhóm kiểm thử phải thích hợp với ứng dụng mục tiêu,
- Môi trường kiểm thử phải phù hợp với ứng dụng mục tiêu,
- Các tỷ lệ lỗi liên quan đến an toàn phải được báo cáo và cho thấy là chấp nhận được cho ứng dụng
mục tiêu,
- (Các) giá trị ngưỡng liên quan đến an toàn và các tham số cấu hình phải được thiết lập phù hợp với
các khuyến nghị của nhà cung cấp cho việc kiểm thử,
- Bộ đếm thử lại được thiết lập phù hợp với các khuyến nghị nhà cung cấp,

- Tỷ lệ lỗi lần thử đơn lẻ phải được đo lường và báo cáo,
- Phương pháp thống kê cho kiểm thử phải được báo cáo và chứng minh bởi nhà cung cấp.
Thông tin thêm về các yêu cầu này có thể được tìm thấy trong các điều tiếp theo dưới đây:
7.2.4.1. Các giả định
Trong mỗi kiểm thử các tỷ lệ lỗi liên quan đến an toàn của một hệ thống sinh trắc học, các giả định phải
được đặt ra để thiết kế một kịch bản kiểm thử thích hợp.
Nhà cung cấp phải báo cáo tất cả các giả định đã được đặt ra trong giai đoạn thiết kế và kiểm thử.
Các giả định thường đề cập:
- môi trường dự kiến của hệ thống sinh trắc học,
- hành vi mong đợi của người sử dụng dự kiến của hệ thống sinh trắc học,
- hành vi mong đợi và nền tảng của các đối tượng tấn công, những kẻ có thể tấn công hệ thống sinh
trắc học trong môi trường hoạt động đã dự định.
Mức độ trùng khớp chặt chẽ của các điều kiện kiểm thử và các giả định với điều kiện hoạt động dự
kiến sẽ ảnh hưởng đến mức độ tin cậy mà các kết quả kiểm thử dự báo hiệu suất hoạt động của hệ
thống sinh trắc học như thế nào. Nhà cung cấp phải báo cáo tất cả các giả định cần thiết đã được đặt
ra cho các kiểm thử, đảm bảo rằng những giả định này là phù hợp với việc sử dụng dự kiến của hệ
thống sinh trắc học, và đảm bảo rằng các giả định thiết kế kiểm thử sẽ mang lại kết quả đáng tin cậy.
Hơn nữa, nhà cung cấp phải cung cấp thông tin về hành vi hệ thống trong trường hợp người sử dụng
không mong đợi (tức là người sử dụng không phù hợp với dân số mục tiêu của hệ thống). Thông tin
này sẽ được xem xét trong ngữ cảnh đánh giá lỗ hổng.
Đánh giá viên sẽ phân tích các giả định được cung cấp bởi nhà cung cấp để xác minh rằng:
- tất cả các giả định cần thiết đã được báo cáo bởi nhà cung cấp,
- các giả định phù hợp với dự kiến sử dụng hệ thống sinh trắc học như đã được báo cáo của nhà cung
cấp,
- thiết kế kiểm thử phù hợp với các giả định để các kết quả kiểm thử sẽ được tin cậy.
7.2.4.2. Nhóm kiểm thử
Nhóm kiểm thử được sử dụng cho việc đánh giá phải
- đại diện cho dân số mục tiêu trong hệ thống sinh trắc học,
- đủ lớn để cung cấp sự tin cậy thống kê cần thiết trong các kết quả.
Hồ sơ nhân khẩu của nhóm kiểm thử phải trùng khớp một cách chặt chẽ với dân số mục tiêu. Bất kỳ

sự chênh lệch nào so với điều kiện này sẽ làm giảm mức độ tin cậy có thể đạt được trong các kết quả
kiểm thử. Nhà cung cấp phải xác định bất kỳ đặc trưng nào của nhóm kiểm thử có thể làm sai lệch các
tỷ lệ lỗi liên quan đến an toàn. Ngoài ra, nhà cung cấp phải báo cáo việc phân bổ các đặc trưng đã
được xác định này trong nhóm kiểm thử và dân số mục tiêu của hệ thống sinh trắc học. Phân tích này
có thể căn cứ vào dân số mục tiêu giả định như đã được báo cáo bởi nhà cung cấp.
Cần lưu ý rằng, trách nhiệm của đánh giá viên là quyết định liệu độ chênh lệch của nhóm kiểm thử đã


được xác định là đầy đủ và có thể chấp nhận được. Do tiêu chuẩn này là độc lập với bất kỳ phương
pháp đánh giá cụ thể nào và mức độ chênh lệch có thể được chấp nhận đối với một thiết kế kiểm thử
nào đó cũng phụ thuộc vào sự tin cậy có thể đạt được bởi kiểm thử, việc xác định các giới hạn cụ thể
trong các chênh lệch như vậy là nằm ngoài phạm vi của tiêu chuẩn này.
Các vấn đề chính để xác định quy mô kiểm thử cần thiết của nhóm kiểm thử là:
- mức độ tin cậy cần thiết (được đưa ra bởi giá trị tin cậy cụ thể và khoảng tin cậy),
- các tỷ lệ lỗi (các tỷ lệ lỗi thấp hơn thường đòi hỏi quy mô kiểm thử lớn hơn),
- thiết kế của kiểm thử (ví dụ có cho phép nhiều giao dịch đối với người sử dụng).
Trong kiểm thử hiệu suất, các tỷ lệ lỗi của hệ thống sinh trắc học được kiểm thử thường không được
biết trước khi kiểm thử. Trong tình hình như vậy, quy mô kiểm thử cần thiết có thể chỉ được ước tính
(dựa trên tỷ lệ lỗi mong đợi), và giá trị tin cậy đưa ra từ kiểm thử sẽ được tính toán sau khi kiểm thử đã
được tiến hành.
Tuy nhiên, trong quá trình đánh giá an toàn theo tiêu chuẩn này, yêu cầu về các giá trị tỷ lệ lỗi tối đa sẽ
có sẵn, và yêu cầu này - cùng với thiết kế kiểm thử và mức độ tin cậy cần thiết phải đạt được bởi các
kiểm thử - có thể được sử dụng để xác định quy mô cần thiết cho nhóm kiểm thử.
Hướng dẫn thêm về cách xác định quy mô kiểm thử cần thiết có thể được tìm thấy trong ISO/IEC
19796-1:2006.
Ngoài ra, hành vi của nhóm kiểm thử liên quan đến sự hợp tác và sự cẩn thận của họ khi đưa các đặc
trưng sinh trắc học cho hệ thống con thu thập dữ liệu sẽ ảnh hưởng đến các tỷ lệ lỗi đo lường được.
Do đó, đây là một khía cạnh quan trọng của nhóm kiểm thử đại diện mà hành vi của họ sẽ trùng khớp
chặt chẽ với dân số mục tiêu nếu kết quả kiểm thử là một yếu tố dự báo đáng tin cậy của các kết quả
hoạt động. Sự xem xét cần phải được đặt ra đối với:

- sự hợp tác và động cơ của nhóm kiểm thử, và
- sự quen thuộc của nhóm kiểm thử với việc sử dụng hệ thống sinh trắc học.
Nhóm kiểm thử phải được cung cấp các chỉ dẫn, đào tạo và động cơ thích hợp để đảm bảo rằng hành
vi của nhóm trùng khớp với dân số mục tiêu đã dự định.
Hoạt động vận hành và việc thực hiện các giao dịch tổng thể cũng phải được xem xét để xác định các
yếu tố có thể ảnh hưởng đến các tỷ lệ lỗi (ví dụ như chính sách vệ sinh bộ cảm biến). Kịch bản kiểm
thử phải mô phỏng kịch bản hoạt động với tất cả các khía cạnh có thể ảnh hưởng đến các tỷ lệ lỗi hệ
thống.
Được biết, các điều kiện của quá trình thu nạp đối với nhóm kiểm thử và các chính sách tương ứng có
một tác động đáng kể đến các tỷ lệ lỗi của hệ thống sinh trắc học. Các điều kiện của quá trình thu nạp
được sử dụng để kiểm thử phải trùng khớp chặt chẽ với các điều kiện hoạt động của hệ thống sinh trắc
học.
Bất kỳ thủ tục nào được sử dụng để lựa chọn nhóm kiểm thử phải được công bố. Tỷ lệ thu nạp thất bại
phải được báo cáo cùng với các kết quả kiểm thử cần thiết khác.
Lưu ý rằng các kiểm thử tỷ lệ lỗi sử dụng các đối tượng mạo danh được lựa chọn vì đặc trưng sinh trắc
học của các đối tượng này được biết đến hoặc được tin rằng có các đặc tính đặc biệt dẫn đến khả
năng gia tăng sự chấp nhận sai được xử lý như một phần của đánh giá lỗ hổng tại điều 8. Tuy nhiên,
nhà cung cấp có thể quyết định kết hợp các kiểm thử gồm một tập hợp người sử dụng không phải là
đại diện của dân số mục tiêu của hệ thống sinh trắc học với kiểm thử này.
7.2.4.3. Môi trường
Điều kiện môi trường cho kiểm thử của nhà cung cấp được thực hiện càng sát với điều kiện của môi
trường dự định càng tốt.
Yêu cầu này đảm bảo rằng các điều kiện môi trường của kiểm thử mô phỏng môi trường dự định.
Trong trường hợp khác biệt về môi trường, nhà cung cấp phải đưa ra phân tích cho thấy sự khác biệt
đó không ảnh hưởng đến kết quả kiểm thử. Lưu ý rằng câu hỏi liệu điều kiện môi trường khác nhau có
thể làm giảm giá trị các tỷ lệ lỗi liên quan đến an toàn cũng sẽ được giải quyết trong ngữ cảnh đánh giá
lỗ hổng (xem điều 8).
Tất cả các điều kiện môi trường có liên quan đến kịch bản kiểm thử phải được ghi nhận và báo cáo.



Ngoài ra, môi trường dự định dành cho hệ thống sinh trắc học phải được báo cáo cùng với kết quả
đánh giá.
Các yêu cầu tường minh về báo cáo môi trường dự định cùng với kết quả kiểm thử hiện hữu cho phép
khách hàng của hệ thống sinh trắc học chắc chắn rằng họ vận hành hệ thống sinh trắc học trong một
môi trường thích hợp.
7.2.4.4. Các tỷ lệ lỗi liên quan
Nếu một tỷ lệ lỗi được đo phụ thuộc trực tiếp hoặc gián tiếp vào (các) tỷ lệ lỗi khác, các giá trị tương
ứng với những tỷ lệ lỗi khác này phải được xác định cụ thể và báo cáo.
Yêu cầu này được đưa ra để phòng ngừa khả năng một yêu cầu tỷ lệ lỗi phi thực tế đang được thực
hiện mà phụ thuộc vào các giá trị tỷ lệ lỗi bất hợp lý có liên quan thông qua chính sách quyết định.
Ví dụ, điều chỉnh một hệ thống sinh trắc học để đáp ứng yêu cầu của một FAR nhất định sẽ dẫn đến
một FRR nhất định (do FAR và FRR có mối tương quan). Việc điều chỉnh như vậy là trách nhiệm của
nhà cung cấp và là một đặc điểm quan trọng cho phép sử dụng cùng một hệ thống sinh trắc học cho
các trường hợp ứng dụng khác nhau. Tuy nhiên, khi sử dụng các giá trị không hợp lý cho chính sách
quyết định, việc điều chỉnh kết quả cho một FAR nhất định có thể dẫn đến một FRR khiến hệ thống
không sử dụng được.
Mặc dù yêu cầu về tỷ lệ lỗi có liên quan phải được kiểm thử và báo cáo trong những trường hợp này
không thể ngăn chặn nhà cung cấp điều chỉnh hệ thống, nó sẽ làm cho những nỗ lực điều chỉnh này và
ảnh hưởng của chúng có thể nhận thấy được và để lại quyết định về việc liệu có sử dụng hệ thống sinh
trắc học ở (các) thiết lập ngưỡng đã sử dụng trong kiểm thử cho khách hàng. Nếu một vòng cong DET
đầy đủ là sẵn có từ kiểm thử, khách hàng có thể lựa chọn sử dụng hệ thống ở (các) thiết lập ngưỡng
khác nhau.
7.2.4.5. Chính sách quyết định và các thiết lập ngưỡng
Tất cả các báo cáo về yêu cầu và đo lường tỷ lệ lỗi phải bao gồm chi tiết về các thiết lập ngưỡng quyết
định tương ứng được sử dụng và, nếu có thể, bất kỳ tiêu chí ngưỡng chất lượng được sử dụng.
Kiểm thử hiệu suất nói chung thường đưa ra kết quả là một vòng cong DET thể hiện mối quan hệ giữa
các tỷ lệ lỗi (ví dụ: Tỷ lệ Trùng khớp Sai và Tỷ lệ Không Trùng khớp Sai) khi ngưỡng quyết định trùng
khớp/không trùng khớp bị thay đổi. Tuy nhiên, để đánh giá an toàn, kiểm thử có thể được thực hiện với
chỉ một hoặc một vài giá trị ngưỡng quyết định tương ứng với yêu cầu của nhà cung cấp cụ thể về các
tỷ lệ lỗi.

Trong khi điều này có thể giúp làm giảm nỗ lực cho các kiểm thử cần thiết, điều này cũng có nghĩa
rằng hệ thống sinh trắc học đã được kiểm thử theo cách này có thể chỉ được hoạt động sử dụng các
điểm hoạt động được khuyến nghị, do kiểm thử không thể cung cấp bất kỳ phát biểu nào về các tỷ lệ
lỗi liên quan đến an toàn bên ngoài các điểm hoạt động này. Do đó, tạo ra và báo cáo các vòng cong
DET hoàn chỉnh, theo cách đó cho phép người sử dụng ước tính hiệu suất có thể đạt được ở các thiết
lập ngưỡng khác nhau, nên được xem xét nếu một vòng DET cong hoàn toàn có thể được tạo ra với
một ít nỗ lực bổ sung.
7.2.4.6. Bộ đếm thử lại
Hệ thống sinh trắc học thường cho phép nhiều lần thử nhận dạng đối với một giao dịch đơn lẻ. Điều
này thường là để cải thiện khả năng sử dụng của hệ thống bằng cách giảm thiểu Tỷ lệ Từ chối Sai. Tuy
nhiên, việc cho phép nhiều lần thử cũng có thể có tác dụng phụ không mong muốn khi Tỷ lệ Tiếp nhận
Sai tăng một mức không đáng kể. Giới hạn tối đa dựa trên số lượng lần thử được cho phép thường
được áp dụng để ngăn chặn các cuộc tấn công toàn diện, đặc biệt là trong trường hợp sự hoạt động
không được giám sát. Điều này thường được thực hiện thông qua bộ đếm thử lại với số lần giới hạn
cho một giao dịch đơn lẻ. Lưu ý rằng sẽ thường là cần thiết để áp đặt một giới hạn thời gian chờ nhằm
chấm dứt một giao dịch trong trường hợp đối tượng chấm dứt lần thử nhận dạng trước khi giới hạn bộ
đếm thử lại đạt được.
Bộ đếm thử lại thường chỉ kiểm soát số lượng tối đa lần thử nhận dạng. Kịch bản tiêu biểu là đối tượng
tạo ra lần thử đầu tiên. Nếu nhận dạng thành công, giao dịch kết thúc thành công. Nếu không, lần thử
thứ hai được cho phép mà nếu thành công thì chấm dứt, giao dịch thành công. Nếu không các lần thử
tiếp theo được cho phép cho đến khi giới hạn sự thử lại đạt được, sau đó, giao dịch kết thúc không
thành công.
Hoạt động sử dụng thường là một kết hợp của 1, 2, ..m lần thử giao dịch (trong đó m là giới hạn thử


lại). Các đối tượng sẽ thường nhận biết được liệu họ đã được nhận dạng thành công hay không ở mỗi
lần thử. Điều này là xác đáng vì hiệu suất (tỷ lệ lỗi) của hệ thống thường bị ảnh hưởng bởi hành vi của
đối tượng cũng như khả năng kỹ thuật. Do đó, quan trọng là kịch bản kiểm thử mô phỏng sát với kịch
bản hoạt động nhất có thể nếu kết quả kiểm thử là yếu tố dự báo đáng tin cậy về hiệu suất hoạt động.
Nếu một hệ thống sinh trắc học có một cơ chế để hạn chế số lượng tối đa lần thử (tuần tự) sai, nhà

cung cấp phải cung cấp mô tả về cơ chế này và các khuyến nghị cho việc thiết lập. Mô tả này cũng
phải diễn tả điều gì xảy ra khi số lượng lần thử tối đa bị vượt qua.
Nhà cung cấp phải kiểm thử và báo cáo các tỷ lệ lỗi với sự xem xét thiết lập bộ đếm thử lại.
CHÚ THÍCH: Yêu cầu này không quy định số lượng đầy đủ các lần thử được phép thực hiện trong mỗi
giao dịch của kiểm thử mà chủ yếu là xác định số lượng lần thử tối đa trong quá trình kiểm thử. Điều
này tiếp tục đặt nghĩa vụ cho nhà cung cấp phải báo cáo kết quả phù hợp với các thiết lập của bộ đếm
thử lại. Ví dụ, không thể kiểm thử và báo cáo Tỷ lệ Từ chối Sai cho bốn lần thử nếu hệ thống được
kiểm thử chỉ cho phép ba lần thử trong hoạt động sau này.
Trong suốt quá trình phân tích, đánh giá viên sẽ xem xét các cơ chế được mô tả và kiểm tra các thiết
lập cho bộ đếm thử lại để phù hợp đối với trường hợp áp dụng hệ thống sinh trắc học.
Nếu một hệ thống sinh trắc học không có bộ đếm thử lại, nhà cung cấp phải cung cấp cho đánh giá
viên một sự biện minh lý do tại sao cơ chế đó là không cần thiết. Một minh chứng có thể cho sự thiếu
hụt bộ đếm thử lại là không thể thực hiện nhiều cuộc tấn công chống lại hệ thống sinh trắc học (ví dụ
như do một giả định của một môi trường được bảo vệ) hoặc các biện pháp phòng thủ thực hiện khi
vượt ngưỡng bộ đếm thử lại có thể mở ra con đường để tấn công từ chối dịch vụ.
Bộ đếm thử lại là cơ chế điển hình của các hệ thống xác minh sinh trắc học. Đối với hệ thống nhận
dạng sinh trắc học, phương pháp bộ đếm thử lại đơn giản không được áp dụng, do các lần thử liên tiếp
không thể được giả định là đến từ cùng một cá thể. Tuy nhiên, các cơ chế tương đương có thể được
thực hiện (ví dụ như kiểm tra các mẫu thăm dò tương tự kế tiếp - nhưng không trùng khớp thành
công). Những cơ chế tương đương này phải được xem xét cho yêu cầu này theo cách giống với các
bộ đếm thử lại tiêu chuẩn.
7.2.4.7. Tỷ lệ lỗi lần thử đơn lẻ
Hoạt động sử dụng một hệ thống sinh trắc học thường sẽ là một kết hợp của 1, 2, ..m lần thử giao dịch
(trong đó m là giới hạn thử lại như mô tả trong 7.2.4 6). Người sử dụng thường nhận thức được liệu họ
đã được nhận dạng thành công hay không ở mỗi lần thử. Điều này là xác đáng bởi hiệu suất (tỷ lệ lỗi)
của hệ thống thường bị ảnh hưởng bởi hành vi của chủ thể cũng như khả năng kỹ thuật. Do đó, quan
trọng là kịch bản kiểm thử mô phỏng càng sát với kịch bản hoạt động càng tốt nếu kết quả kiểm thử là
yếu tố dự báo đáng tin cậy về hiệu suất hoạt động.
Tuy nhiên, tỷ lệ lỗi tương ứng cho một lần thử đơn lẻ là phương tiện quan trọng để thực hiện việc đánh
giá các hệ thống sinh trắc học tương đương.

Không phụ thuộc vào giao dịch và chính sách quyết định, nhà cung cấp cũng phải kiểm thử và báo cáo
tỷ lệ lỗi cho những lần thử đơn lẻ tương ứng.
Theo 7.2.4.6 nhà cung cấp phải kiểm thử và báo cáo các tỷ lệ lỗi liên quan đến an toàn phù hợp với
các chính sách quyết định của hệ thống sinh trắc học. Điều này có thể hiểu là cho phép nhiều lần thử
trước khi giao dịch của người sử dụng được coi là bị từ chối hoặc các hành động phòng thủ (ví dụ như
khóa một tài khoản) có thể được thực hiện bởi hệ thống sinh trắc học.
Trong khi rõ ràng là những phân tích cơ bản của một tỷ lệ lỗi cần được thực hiện phù hợp với chính
sách giao dịch, các đánh giá của các hệ thống khác nhau trở nên ít so sánh được nếu chúng thực hiện
các chính sách giao dịch khác nhau. Thông qua kiểm thử (bổ sung) này của tỷ lệ lỗi tương ứng cho các
lần thử đơn lẻ, dữ liệu đánh giá sẽ dễ dàng hơn cho so sánh.
Ví dụ, nếu nhà cung cấp quyết định kiểm thử và báo cáo FRR phù hợp với chính sách giao dịch của hệ
thống sinh trắc học mà cho phép 3 lần thử thất bại trước khi xem xét là giao dịch không thành công,
các FNMR (tỷ lệ lỗi lần thử đơn lẻ tương ứng) phải được kiểm thử và báo cáo. Xem ISO/IEC 197951:2006 để biết thông tin chi tiết hơn về mối quan hệ giữa các tỷ lệ lỗi.
CHÚ THÍCH: Một số trường hợp không thể kiểm thử tỷ lệ lỗi lần thử đơn lẻ tương ứng. Lý do có thể
gồm việc thiết kế hệ thống sinh trắc học hoặc chính sách kiểm thử đã được xác định bởi một sơ đồ
đánh giá cụ thể. Trong những trường hợp này, nhà cung cấp sẽ phải chứng minh lý do tại sao không
thể kiểm thử tỷ lệ lỗi tương ứng.


7.2.4.8. Phương pháp thống kê/các giá trị tin cậy
Nhà cung cấp phải báo cáo phương pháp thống kê đã được sử dụng để xác nhận yêu cầu về các giá
trị tối đa cho các tỷ lệ lỗi liên quan đến an toàn.
Chi tiết về phương pháp thống kê, mức độ tin cậy và các kết quả đánh giá phải được báo cáo bởi nhà
cung cấp.
Đánh giá viên sẽ xác minh rằng phương pháp thống kê được thực hiện là chính xác và phù hợp để xác
nhận yêu cầu.
Nhà cung cấp phải báo cáo mức độ tin cậy liên quan đến tỷ lệ lỗi đã được báo cáo và đánh giá viên sẽ
kiểm tra các giới hạn tin cậy phù hợp với mục đích sử dụng và mức đảm bảo được yêu cầu.
Đối với hướng dẫn bổ sung về các khía cạnh của phương pháp thống kê tham khảo tiêu chuẩn
ISO/IEC 19795-1:2006.

7.2.5. Kiểm thử độc lập (bước 6)
Khái niệm của tiêu chuẩn này quy định rằng việc kiểm thử các tỷ lệ lỗi liên quan đến an toàn về cơ bản
là được thực hiện, được tài liệu hóa và được báo cáo bởi nhà cung cấp hệ thống sinh trắc học. Tuy
nhiên các phương pháp theo quy định của tiêu chuẩn này đòi hỏi đánh giá viên phải xác nhận kết quả
kiểm thử nhà cung cấp bằng cách thực hiện một kiểm thử độc lập.
Đánh giá viên phải thực hiện các kiểm thử độc lập để kiểm tra các kết quả của nhà cung cấp.
Trong suốt quá trình kiểm thử độc lập, đánh giá viên sẽ đặc biệt giải quyết các câu hỏi sau:
1) Các kết quả kiểm thử của nhà cung cấp có chính xác không?
2) Có một sự tích lũy các trường hợp có thể chấp nhận sai tồn tại đối với những người sử dụng nhất
định?
3) Làm thế nào để thay đổi sự chênh lệch môi trường các kết quả kiểm thử?
4) Làm thế nào để một dạng đặc trưng khác của nhóm kiểm thử được xác định bởi nhà cung cấp gây
ảnh hưởng đến sự chênh lệch các tỷ lệ lỗi liên quan đến an toàn các kết quả kiểm thử?
Lưu ý rằng một số câu hỏi yêu cầu kiểm thử độc lập có thể đi kèm với câu hỏi trong lĩnh vực đánh giá
lỗ hổng. Để quá trình đánh giá có hiệu quả, đánh giá viên phải xem xét kết hợp các hoạt động kiểm thử
này với các kiểm thử độc lập được mô tả bên trên.
Để xác nhận các kết quả kiểm thử của nhà cung cấp, có thể là đủ khi đánh giá viên lặp lại một nhóm
nhỏ các kiểm thử. Nhóm nhỏ các kiểm thử có thể, trong số những nhóm nhỏ khác, giúp xác minh rằng
nhà cung cấp đã không làm chênh lệch kết quả kiểm thử bằng cách lựa chọn đối tượng kiểm thử thuận
lợi cho kết quả mà họ mong muốn.
Trong trường hợp khác, đánh giá viên có thể quyết định sự cần thiết để lập kế hoạch và tiến hành một
kiểm thử hoàn toàn riêng biệt.
Phân tích độc lập phải đáp ứng các yêu cầu sau:
1) Việc tuyển chọn nhóm kiểm thử/dữ liệu kiểm thử phải chịu sự kiểm soát riêng của đánh giá viên.
2) Lập kế hoạch và thực hiện các kiểm thử phải chịu sự kiểm soát riêng của đánh giá viên.
Đánh giá viên cần thực hiện theo tiêu chuẩn ISO/IEC 19795-1: 2006 để lập kế hoạch và thực hiện việc
kiểm thử. Tuy nhiên đối với một số khía cạnh của việc kiểm thử độc lập, đánh giá viên sẽ phải xây
dựng một phương pháp khác.
8. Đánh giá lỗ hổng
8.1. Tổng quan

Điều này tập trung vào việc đánh giá lỗ hổng cụ thể cho hệ thống sinh trắc học. Điều này cung cấp
hướng dẫn cho việc đánh giá bằng cách xác định các lỗ hổng đặc trưng, phổ biến đối với hệ thống sinh
trắc học và mô tả các đặc trưng của một hệ thống sinh trắc học trong đó những lỗ hổng này tiềm ẩn.
Các khía cạnh tiếp theo về môi trường của hệ thống sinh trắc học được xem xét nếu chúng quan trọng
trong ngữ cảnh một lỗ hổng tiềm ẩn, và hướng dẫn chung được cung cấp để đánh giá lỗ hổng.
Các thông tin quy định tại điều này sẽ được sử dụng làm cơ sở cho việc đánh giá lỗ hổng trong ngữ


cảnh của tiêu chuẩn này như được nêu trong 6.1.
Điều này không:
- Mô tả việc đánh giá các lỗ hổng phổ biến cho các hệ thống công nghệ thông tin nói chung. Ví dụ, nếu
dữ liệu sinh trắc học, tham chiếu sinh trắc học hoặc quyết định trùng khớp không được bảo vệ, đối
tượng tấn công có thể giả mạo dữ liệu để mạo danh người khác. Những lỗ hổng này là đối tượng của
việc đánh giá theo các phương pháp đã được sử dụng (ví dụ như [3]). Tuy nhiên, lỗ hổng chung có liên
quan đến việc xử lý thông tin của hệ thống sinh trắc học cũng có thể có những khía cạnh cụ thể được
liên quan trong một hệ thống do bản chất của thông tin. Vì vậy, 8.3.11 của tiêu chuẩn này mô tả một lỗ
hổng chung đối với các thông tin được xử lý bởi hệ thống sinh trắc học.
- Xác định một phương pháp cụ thể để đánh giá lỗ hổng hoặc kiểm thử thâm nhập. Cách tiếp cận trong
phần này của tiêu chuẩn cung cấp những hướng dẫn đánh giá cho hệ thống sinh trắc học bằng cách
xác định các lỗ hổng chung của hệ thống sinh trắc học và các mối đe dọa đối với hệ thống sinh trắc
học. Phương pháp cụ thể cho việc đánh giá lỗ hổng phụ thuộc vào phương pháp được sử dụng để
đánh giá (ví dụ [3]) và các phương thức sinh trắc học cụ thể được sử dụng. Như vậy, phần này không
thuộc phạm vi của tiêu chuẩn này.
8.2. Đánh giá lỗ hổng
8.2.1. Tổng quan
Cách tiếp cận có phương pháp giúp ích cho việc đánh giá lỗ hổng. Tuy nhiên, việc đánh giá lỗ hổng
cũng đòi hỏi chuyên môn và tư duy sáng tạo của bộ phận đánh giá viên. Đánh giá viên sẽ cần phải
nhận thức được về các mối đe dọa, lỗ hổng và biện pháp đối phó hiện có và trong một số trường hợp
cụ thể đối với các hệ thống sinh trắc học. Thông tin về các lỗ hổng sinh trắc học xuất hiện trong mục
8.3 của tiêu chuẩn này nhưng đánh giá viên cũng nên tìm kiếm thêm thông tin sẵn có trong các tài liệu,

bao gồm các báo cáo phạm vi công khai về lỗ hổng sinh trắc học đang xuất hiện trên các tạp chí, các
nghiên cứu học thuật và bằng cách tìm kiếm trên Internet. Ngoài ra, đánh giá viên phải thu được kinh
nghiệm thực tế về các kỹ thuật điều tra lỗ hổng sinh trắc học như được mô tả trong những báo cáo
này. Điều này nên được coi là điều kiện đào tạo tiên quyết cần thiết cho đánh giá viên trước khi tiến
hành một đánh giá lỗ hổng như một phần của đánh giá an toàn sinh trắc học theo tiêu chuẩn này.
Một đánh giá an toàn được thực hiện phù hợp với tiêu chuẩn này phải bao gồm một đánh giá lỗ hổng
bao hàm tất cả các lỗ hổng tiềm ẩn được mô tả trong 8.3.
Đối với các mô tả về các lỗ hổng tiềm ẩn và các yêu cầu, mục này đề cập đến các hệ thống con sinh
trắc học và các quá trình như mô tả trong Phụ lục A của tiêu chuẩn này.
Khuyến cáo trong ngữ cảnh của tiêu chuẩn này, sự an toàn của hệ thống sinh trắc học liên quan đến
các lỗ hổng tiềm ẩn được đánh giá theo hai bước liên tiếp:
Ở Bước 1, đánh giá viên cần xem xét mô tả hệ thống và tìm cách xác định điểm tiềm ẩn lỗ hổng dựa
trên thông tin được đưa ra trong tiêu chuẩn này, chuyên môn riêng của đánh giá viên và các nguồn
khác như báo cáo công khai sẵn có về lỗ hổng sinh trắc học và đánh giá lỗ hổng. Sử dụng thông tin
được cung cấp bởi nhà cung cấp về đánh giá các lỗ hổng và các biện pháp đối phó đã được thực hiện
bởi hệ thống (bao gồm cả môi trường hoạt động giả định), đánh giá viên sẽ xác định xem tất cả các lỗ
hổng tiềm ẩn đã được giải quyết một cách hiệu quả bằng biện pháp đối phó kỹ thuật, thủ tục và môi
trường. Mức độ yêu cầu về tính hiệu quả của các biện pháp đối phó được xác định bởi mức độ bảo
đảm cần thiết cho việc đánh giá. Chi tiết về mức đảm bảo và yêu cầu hiệu quả phải được xác định bởi
sơ đồ đánh giá và không bao hàm trong tiêu chuẩn này.
Đánh giá viên xem xét các thông tin được cung cấp và xác định xem liệu có các lỗ hổng tiềm ẩn hay
không. Nếu đánh giá viên không thể bác bỏ sự tồn tại của lỗ hổng tiềm ẩn, thì lỗ hổng tiềm ẩn này cần
được xem xét trong quá trình phân tích sâu hơn trong bước 2.
Trong Bước 2 - sau khi tất cả các lỗ hổng tiềm ẩn đã được đánh giá - khuyến khích phát triển một mô
hình mối đe dọa đối với hệ thống sinh trắc học được đánh giá. Mô hình mối đe dọa này xem xét các kết
quả ở bước 1, mối quan hệ giữa tất cả các lỗ hổng của hệ thống sinh trắc học, các mối đe dọa chung
đã được xác định tại 8.2.2 và môi trường của hệ thống sinh trắc học. Cần lưu ý rằng lỗ hổng không thể
được coi theo cách cô lập với nhau. Có thể, thậm chí là rất có thể, mối đe dọa thành công đối với hệ
thống sinh trắc học bao gồm kết hợp khai thác nhiều lỗ hổng trong tổ hợp. Mô hình mối đe dọa nên
xem xét tất cả các quá trình sinh trắc học của hệ thống sinh trắc học bao gồm thu nạp và hủy thu nạp.

8.2.2. Tổng quan về mối đe dọa hệ thống sinh trắc học


Các mối đe dọa đối với hệ thống sinh trắc học có thể tự biểu hiện theo nhiều cách khác nhau nhưng
chủ yếu nhằm đạt được một hoặc một số các mục tiêu sau:
- Mạo danh: Mối đe dọa đối với hệ thống xác minh hoặc định danh làm việc với các yêu cầu dương
tính trong đó một đối tượng tấn công được công nhận là một người sử dụng khác đã được đăng ký
đúng, do đó cho phép đối tượng tấn công này có được ID của người sử dụng khác.
- Giả dạng: Mối đe dọa đối với hệ thống xác minh hoặc định danh mà một người sử dụng đã được thu
nạp có thể cố tình thay đổi hoặc che giấu (các) đặc trưng sinh trắc học của chính mình để tránh bị nhận
dạng. Đây có thể là một mối đe dọa riêng biệt đến hệ thống có mục tiêu ngăn ngừa nhiều thu nạp bởi
một cá thể đơn lẻ sử dụng các danh tính khác nhau.
- Từ chối dịch vụ: Mối đe dọa tới hệ thống xác minh hoặc định danh làm việc với yêu cầu dương tính
mà đối tượng tấn công lặp đi lặp lại gây ra sự từ chối sai, có thể làm sụp đổ hệ thống sinh trắc học.
Đây có thể là sự báo trước của một cuộc tấn công vào hệ thống dự phòng dễ bị khai thác hơn so với
hệ thống sinh trắc học bị vô hiệu hóa.
Các mối đe dọa chủ yếu được mô tả ở trên có thể được thể hiện rõ trong các cuộc tấn công sử dụng
các kỹ thuật khác nhau đối với các quá trình và các thành phần khác nhau được sử dụng bởi hệ thống
sinh trắc học. Ví dụ, một kẻ tấn công có thể mạo danh người khác để thu nạp sai, bằng cách đưa ra
một vật giả mạo có chứa bản sao các đặc trưng sinh trắc học của nạn nhân hoặc bằng cách điều khiển
cơ sở dữ liệu thu nạp để thay thế tham chiếu sinh trắc học của nạn nhân với tham chiếu của kẻ mạo
danh.
Các mối đe dọa thường được thực hiện với lần thử có chủ ý bởi đối tượng tấn công để phá vỡ chức
năng hệ thống. Tuy nhiên, cần lưu ý rằng, trong các tình huống nhất định, những hành động vô ý của
người sử dụng hợp pháp (bao gồm cả người sử dụng và vận hành/người quản trị) cũng có thể dẫn đến
sự phá vỡ chức năng hệ thống.
Một ví dụ về mạo danh không chủ ý là hệ thống nhận dạng khuôn mặt làm việc trong chế độ định danh,
trong đó cặp song sinh giống hệt nhau được thu nạp và xác định sai người này với người kia. Lưu ý
rằng nếu hệ thống làm việc trong chế độ xác minh, lỗi này không thể xảy ra mà không có yêu cầu sai
danh tính, khi đó sẽ không còn được coi là không chủ ý.

Cần lưu ý rằng danh sách các mối đe dọa chung nên được xem như một cơ sở trong việc phát triển
mô hình mối đe dọa và không thể được xem là đầy đủ mọi khía cạnh hoặc có thể ứng dụng rộng rãi.
8.2.3. Các lỗ hổng khác
Các lỗ hổng phổ biến được mô tả trong điều 8.3 có thể áp dụng tiềm ẩn cho bất kỳ hệ thống sinh trắc
học nào. Các chi tiết sẽ thay đổi theo phương thức và công nghệ được sử dụng và các phương thức
và công nghệ mới có thể dẫn đến sự thay đổi mới trong các chi tiết. Đánh giá viên cần phải diễn giải
những thông tin chung được đưa ra tại 8.3 trong ngữ cảnh các phương thức và công nghệ được sử
dụng trong hệ thống sinh trắc học được đánh giá.
Danh sách các lỗ hổng phổ biến mô tả trong 8.3 nên được coi là không toàn diện, cũng không hết mọi
khía cạnh. Đánh giá viên sẽ cần phải nghiên cứu về mặt chức năng của hệ thống sinh trắc học được
đánh giá cùng với phương thức và công nghệ của chính hệ thống đó. Từ đó, đánh giá viên cần xây
dựng một danh mục các mối đe dọa và các lỗ hổng tiềm ẩn cần được sử dụng để đưa ra một chương
trình đánh giá lỗ hổng.
Đánh giá viên phải tiến hành một tìm kiếm toàn diện các lỗ hổng có tính đến chức năng, công nghệ,
môi trường và các quá trình được bao hàm trong hệ thống sinh trắc học. Việc tìm kiếm phải không bị
giới hạn ở những lỗ hổng được liệt kê trong 8.3 của tiêu chuẩn này.
Để xác định tính chính xác và các nguồn lực cần được áp dụng cho việc đánh giá lỗ hổng, đánh giá
viên cần thực hiện theo các hướng dẫn được đưa ra bởi các sơ đồ mà việc đánh giá đang được tiến
hành.
8.3. Các lỗ hổng phổ biến trong hệ thống sinh trắc học
8.3.1. Giới thiệu
Các điều sau đây xác định và giải thích các lỗ hổng điển hình phổ biến đối với các hệ thống sinh trắc
học.
8.3.2. Các giới hạn hiệu suất


8.3.2.1. Tổng quan
Một đặc trưng cố hữu của nhận dạng sinh trắc học đó là đây không phải là một quá trình hoàn toàn xác
định mà phải chịu các lỗi có thể được biểu diễn theo các tỷ lệ lỗi thống kê tương tự như các yếu tố con
người tham gia vào hệ thống an toàn phi sinh trắc học - ví dụ, tỷ lệ tiếp nhận sai và tỷ lệ từ chối sai.

Các tỷ lệ lỗi này và các thông số hiệu năng khác cũng có ý nghĩa về mức độ an toàn được cung cấp
bởi hệ thống sinh trắc học.
Trong khi điều 7 của tiêu chuẩn này và tiêu chuẩn ISO/IEC 19795-1: 2006 giải quyết các yêu cầu và
nguyên tắc liên quan đến việc kiểm thử các tỷ lệ lỗi liên quan đến an toàn, sự tồn tại của những tỷ lệ lỗi
đại diện cho một lỗ hổng vốn có của mỗi hệ thống sinh trắc học.
8.3.2.2. Đánh giá
Trong ngữ cảnh đánh giá lỗ hổng, đánh giá viên cần xem xét khả năng đối tượng tấn công nhằm phá
vỡ hệ thống sinh trắc học với một lần thử đối tượng mạo danh không cố ý.
Có hai yếu tố chính trong ngữ cảnh này.
- Khả năng một cuộc tấn công thông thường. Khả năng này được xác định bởi các yếu tố bao gồm cả
động cơ của đối tượng tấn công, môi trường của hệ thống sinh trắc học và hậu quả mỗi cuộc tấn công
được phát hiện.
- Cơ hội để một cuộc tấn công thông thường được thành công. Điều này có thể được định lượng theo
FAR, vì vậy nếu FAR là 1 trong 10 000, xác suất của một cuộc tấn công thông thường được thành
công có thể được xác định là 0,01 %.
Hai yếu tố này nhìn chung sẽ không độc lập. Nếu một hệ thống được biết đến hoặc được cho là dễ bị
tấn công thông thường (thành công), yếu tố khả năng có thể sẽ tăng lên. Trái lại nếu hệ thống được
biết đến hoặc được cho là có khả năng chống các cuộc tấn công thông thường (thành công), điều này
có thể sẽ làm giảm yếu tố khả năng.
Việc đánh giá lỗ hổng tiềm ẩn này tập trung vào những yếu tố sau:
- Tầm quan trọng của rủi ro còn lại của một lần thử đối tượng mạo danh không cố ý dựa trên kết quả
các kiểm thử nêu tại điều 7 và các khía cạnh đã được mô tả trước đó.
- Liệu rủi ro này là có thể chấp nhận được cho các mục đích sử dụng hệ thống sinh trắc học được
đánh giá.
Cần lưu ý rằng - trái ngược với lỗ hổng phổ biến khác - rất khó để có một hệ thống sinh trắc học hoàn
toàn bất khả xâm phạm đối với lần thử đối tượng mạo danh không cố ý. Do đó, phân tích nên tập trung
vào câu hỏi liệu các rủi ro còn lại của những lần thử là có thể chấp nhận được trong ngữ cảnh mục
đích sử dụng hoặc liệu cơ chế bổ sung được thiết kế để ngăn chặn những lần thử này có cần được
cung cấp bởi môi trường của hệ thống sinh trắc học.
8.3.3. Vật giả mạo của đặc trưng sinh trắc học

8.3.3.1. Giới thiệu
Trong ngữ cảnh một hệ thống sinh trắc học, vật giả mạo được định nghĩa là một đối tượng vô tri vô
giác mang theo bản sao của một con người hay (các) đặc trưng sinh trắc học giống như con người
được đưa tới bộ cảm biến sinh trắc học với mục đích giả mạo, để được chấp nhận như là (các) đặc
trưng sinh trắc học của một đối tượng con người. Ví dụ về vật giả mạo sinh trắc học bao gồm: các
ngón tay giả được tạo ra từ mủ cao su, bức ảnh một khuôn mặt hay giọng nói được ghi âm. Ngoài ra,
một ngón tay bị cắt đứt của con người (hoặc bất kỳ phần cơ thể bị tách rời) được coi là một vật giả
mạo trong ngữ cảnh của phần này.
Không giống như các thiết bị nhận dạng và xác thực kỹ thuật khác, như thẻ thông minh, được thiết kế
nhằm gây khó khăn cho việc sao chép, đặc trưng sinh trắc học, là đặc tính sinh học hoặc hành vi tự
nhiên của con người, thực chất không có sự bảo vệ bản quyền. Do đó, thông thường có thể tạo ra một
bản sao của đặc trưng sinh trắc học trong hình thức của một vật giả mạo.
Vật giả mạo mang đặc trưng thường là một bản sao các đặc trưng sinh trắc học của một chủ thể con
người, nhưng không giới hạn trường hợp này. Vật giả mạo có thể được xây dựng chứa đựng một mẫu
tổng hợp mà không phù hợp với đặc trưng sinh trắc học của một người cụ thể hoặc thậm chí của bất
kỳ người thực nào. Tuy nhiên, điểm quan trọng nhất trong việc đánh giá lỗ hổng tiềm ẩn này là liệu hệ
thống sinh trắc học sẽ tiếp nhận một vật giả mạo như một đặc trưng sinh trắc học hợp lệ.


8.3.3.2. Đánh giá
Hai vấn đề quan trọng của việc đánh giá lỗ hổng là:
- Hệ thống sẽ tiếp nhận vật giả mạo?
- Hệ thống sẽ xử lý các đặc trưng của vật giả mạo như là các đặc trưng sinh trắc học của con người?
Việc phân biệt hai trường hợp này là có ý nghĩa bởi vì một vật giả mạo không bị giới hạn trong việc
mang theo một bản sao đặc trưng sinh trắc học của con người; vật giả mạo có thể mang theo bất kỳ
mẫu tổng hợp nào. Một hệ thống sinh trắc học tiếp nhận đặc trưng sinh trắc học thực tế từ một vật giả
mạo có thể từ chối một mẫu tổng hợp trên vật giả mạo vì nó không hoàn toàn giống như con người.
Đánh giá viên nên cố gắng phân biệt hai trường hợp này bằng cách ban đầu sử dụng các bản sao thực
tế với các đặc trưng của con người, và nếu chúng được tiếp nhận thì tiếp tục với trường hợp đặc trưng
tổng hợp (xem 8.3.8 để biết thêm chi tiết).

Việc đánh giá lỗ hổng tiềm ẩn này sẽ tập trung vào các câu hỏi sau:
- Liệu có thể tạo ra vật giả mạo của đặc trưng sinh trắc học được nhận thức chỉ bằng những thông tin
sẵn có công khai hoặc liệu thông tin nhạy cảm sẽ được yêu cầu.
- Để tạo ra một vật giả mạo đòi hỏi bao nhiêu nỗ lực.
- Liệu hệ thống sinh trắc học cung cấp các biện pháp đối phó kỹ thuật nhằm phát hiện và từ chối vật giả
mạo, và các biện pháp đối phó có hiệu quả như thế nào trong hệ thống sinh trắc học được đánh giá.
- Liệu các biện pháp đối phó kỹ thuật dành cho việc phát hiện và từ chối vật giả mạo có bất kỳ hạn chế
nào được biết đến đối với các đặc điểm kỹ thuật hoặc điều kiện hoạt động có thể bị khai thác bởi đối
tượng tấn công.
Nhà cung cấp hệ thống sinh trắc học phải cung cấp đầy đủ thông tin về các cơ chế phát hiện và từ chối
vật giả mạo cho đánh giá viên.
CHÚ THÍCH 1: Thông tin về phát hiện và từ chối vật giả mạo có thể được bảo mật và đại diện cho
“điểm ảnh hưởng” của nhà cung cấp. Vậy nên, điều rất quan trọng là thông tin chi tiết này chỉ được
cung cấp cho đánh giá viên và không cung cấp cho bất kỳ khách hàng nào. Điều này cũng thừa nhận
rằng đánh giá viên là thành viên đáng tin cậy nhờ sự độc lập của họ với khách hàng và nhà cung cấp.
CHÚ THÍCH 2: Trong trường hợp một phần cơ thể bị tách ra từ người sử dụng có thể là một vật giả
mạo, cần phải đánh giá phần bị tách ra có thể được sử dụng với hệ thống sinh trắc học trong bao lâu.
Yêu cầu có thể được thực hiện từ góc độ y tế. Không có kiểm tra thực nghiệm cho trường hợp này.
Tầm quan trọng của việc có biện pháp đối phó hiệu quả đối với vật giả mạo liên quan đến những khó
khăn trong việc chế tạo thành công vật giả mạo, và khó khăn để có được một bản sao các đặc trưng
con người mục tiêu (giả định rằng đây là mục đích của đối tượng tấn công). Một số đặc trưng (ví dụ
như mẫu võng mạc hoặc mẫu ống/mạch khác) sẽ khó để có được trực tiếp từ các mục tiêu; các đặc
trưng khác (ví dụ như hình ảnh khuôn mặt) có thể có được dễ dàng.
Cũng cần xem xét khả năng các đặc trưng sinh trắc học của một mục tiêu có thể có được bằng các
cách khác như từ một cơ sở dữ liệu không an toàn có chứa các mẫu sinh trắc học đã thu được. Những
yếu tố này được coi là một phần của phân tích rủi ro tổng thể nhằm xác định hiệu quả của biện pháp
đối phó vật giả mạo cần cho một hệ thống cụ thể.
Một số hoặc tất cả các yếu tố này có thể không được biết đến tại thời điểm đánh giá và do đó khuyến
nghị để việc đánh giá được tiến hành trong sự tuân thủ với tiêu chuẩn này, tất cả các yếu tố đó đều bị
bỏ qua. Việc đánh giá hiệu quả các biện pháp đối phó vật giả mạo phải được thực hiện và báo cáo một

cách độc lập với những mối quan tâm bên ngoài. Các mô hình rủi ro hệ thống và quá trình đánh giá
(không được xác định trong tiêu chuẩn này) sẽ được sử dụng để xác định xem liệu kết quả của việc
đánh giá hiệu quả các biện pháp đối phó vật giả mạo là có thể chấp nhận được trong ngữ cảnh của hệ
thống sử dụng.
8.3.4. Điều chỉnh đặc trưng sinh trắc học
8.3.4.1. Tổng quan
Người sử dụng hệ thống sinh trắc học có thể cố ý thay đổi các đặc trưng sinh trắc học của họ hoặc thể
hiện các đặc trưng với cố gắng tránh bị nhận dạng hoặc để mạo danh một đối tượng thu nạp. Những
đặc trưng sinh trắc học như vậy có thể mang bản chất hành vi hoặc sinh học. Những đặc trưng sinh


trắc học và các mẫu tương ứng có thể thay đổi vì một số lý do. Đối với sinh trắc học mang tính hành vi
như lời thoại và chữ ký động, người sử dụng có thể thay đổi có chủ ý hành vi thông thường của họ.
Một ví dụ về đặc trưng sinh trắc học sinh học là dấu vân tay mà người sử dụng có thể thay đổi có chủ ý
sự thể hiện của ngón tay của họ với các thiết bị thu thập để thay đổi mẫu thu thập được. Điều này có
thể được thực hiện bởi người sử dụng để ngụy trang bản thân nhằm tránh bị nhận dạng, hơn nữa là
mạo danh người khác. Tuy nhiên, việc mạo danh đặc điểm sinh học của người dùng khác (sinh trắc
học trên khuôn mặt, chẳng hạn) cũng là khả năng có thể, trong một mức độ nhất định, thông qua việc
hóa trang hoặc phẫu thuật thẩm mỹ. Những cuộc tấn công này không yêu cầu sử dụng vật giả mạo và
không thể bị chặn lại bằng các kỹ thuật được thiết kế để chống lại các vật giả mạo.
8.3.4.2. Đánh giá
Các điểm quan trọng trong việc đánh giá lỗ hổng tiềm ẩn này là liệu bản thân các đặc trưng sinh trắc
học hoặc mẫu sinh trắc học thu thập được có thể bị thay đổi có chủ ý bởi một người sử dụng bằng
cách mà hệ thống không thể nhận ra người đó. Điều này sẽ dẫn đến một mối đe dọa mạo danh hoặc
từ chối dịch vụ.
Câu hỏi quan trọng khác là liệu bản thân các đặc trưng sinh trắc học hoặc mẫu sinh trắc học thu thập
được có thể bị cố ý sửa đổi để hệ thống nhận dạng sai người sử dụng thành một người sử dụng khác.
Điều này sẽ dẫn đến nguy cơ mạo danh.
Việc đánh giá lỗ hổng tiềm ẩn này sẽ tập trung vào câu hỏi liệu đối tượng tấn công có thể thay đổi đặc
trưng sinh trắc học của họ theo cách mà hệ thống sinh trắc học chấp nhận được và bao nhiêu nỗ lực

và những loại thông tin nào sẽ là cần thiết cho một cuộc tấn công như vậy. Hơn nữa trong các trường
hợp mà đây có thể là mục tiêu của đối tượng tấn công, cần chú ý đến thực tế là đối tượng tấn công
trước đây đã được thu nạp vào hệ thống có thể cố gắng sửa đổi (các) đặc trưng sinh trắc học của họ
để tránh bị nhận dạng (ví dụ như trong hệ thống có một mục tiêu ngăn chặn thu nạp nhiều lần bởi duy
nhất một cá thể).
Để xác định sự nhạy cảm của các tỷ lệ lỗi liên quan đến an toàn tới người sử dụng đã tạo ra những
thay đổi về các đặc trưng sinh trắc học hoặc sự thể hiện của chúng, đánh giá viên phải tiến hành kiểm
thử đại diện của thể hiện đó dựa vào tỷ lệ lỗi gây ra bởi những thay đổi này. Đặc trưng sinh trắc học và
sự thể hiện được phép thay đổi sẽ được xác định và kiểm soát cho kiểm thử. Chúng cần đầy đủ để
chứng minh hiệu quả lên các tỷ lệ lỗi nhưng không quá lớn khiến hệ thống đơn giản sẽ không hoạt
động. Có thể không cần phải sử dụng nhóm kiểm thử hoàn chỉnh (cho các kiểm thử hiệu suất quy định
tại điều 7). Một mẫu kiểm thử nhỏ của người sử dụng kiểm thử thường sẽ là đủ để cho thấy sự ảnh
hưởng của các thay đổi do người sử dụng gây ra đối với hiệu suất hệ thống.
Đối với đặc trưng sinh trắc học tĩnh như dấu vân tay, giám sát việc sử dụng hệ thống sinh trắc học có
thể là một biện pháp đối phó mang tính vận hành chống lại lỗ hổng này. Tuy nhiên cần lưu ý biện pháp
đối phó này có thể không có hiệu quả cho các đặc trưng sinh trắc học mang tính hành vi, do nhân viên
giám sát không có khả năng xác định xem người dùng đã cố ý thay đổi dữ liệu sinh trắc học của mình.
Cần lưu ý rằng có thể có một mối quan hệ giữa lỗ hổng này với các lỗ hổng đã mô tả trong 8.3.5 (“Khó
khăn của việc che giấu đặc trưng sinh trắc học”). Điều này đặc biệt đúng nếu đối tượng tấn công đang
cố gắng để được công nhận là một người dùng khác và cần sự hiểu biết về đặc trưng sinh trắc học của
người sử dụng này để chuyển đổi đặc trưng sinh trắc học của mình.
8.3.5. Khó khăn của việc che giấu đặc trưng sinh trắc học
8.3.5.1. Tổng quan
Sẽ khó khăn cho một người sử dụng cố tình che giấu đặc trưng sinh trắc học trong cuộc sống hàng
ngày của họ. Kiểu lỗ hổng tiềm ẩn này phụ thuộc vào bản chất của các đặc trưng sinh trắc học được
sử dụng bởi hệ thống sinh trắc học hơn là các chức năng hệ thống sinh trắc học hoặc môi trường của
hệ thống sinh trắc học.
Lỗ hổng tiềm ẩn này không bao gồm rò rỉ dữ liệu sinh trắc học từ hệ thống sinh trắc học (xem 8.3.11 để
biết thêm thông tin về trường hợp này). Ngay cả khi biện pháp đối phó chống rò rỉ dữ liệu sinh trắc học
trong các hệ thống đủ mạnh, đối tượng tấn công có thể có được mẫu sinh trắc học của người sử dụng

một cách hợp pháp, trực tiếp từ người sử dụng. Ví dụ, đối tượng tấn công có thể có được một dấu vân
tay để lại trên các thiết bị thu thập sinh trắc học, cốc, ly, bàn ghế, v.v... Ngoài ra, khuôn mặt hay giọng
nói có thể bị đối tượng tấn công ghi lại bằng máy ảnh hoặc microphone.
Các đặc trưng sinh trắc học quan sát được có thể trở thành cơ sở để tạo ra một vật giả mạo hoặc trở
thành một đối tượng mục tiêu để chuyển đổi các đặc trưng sinh trắc học của đối tượng tấn công (xem


8.3.3 và 8.3.4 để biết thêm thông tin).
8.3.5.2. Đánh giá
Điểm quan trọng trong việc đánh giá lỗ hổng tiềm ẩn này là sự khó khăn đối với đối tượng tấn công để
có được dữ liệu sinh trắc học của người sử dụng trong cuộc sống hàng ngày. Ví dụ, nếu có một dấu
vết của dữ liệu sinh trắc học ở một nơi nào đó (ví dụ, trên một bộ cảm biến dấu vân tay), đối tượng tấn
công sẽ dễ dàng có được dữ liệu hơn là đạt được dữ liệu trực tiếp từ người sử dụng. Việc có được dữ
liệu sinh trắc học bằng cách sử dụng một công cụ phổ biến sẵn có (ví dụ như máy ảnh, microphone,
v.v...) cũng dễ dàng hơn là sử dụng một thiết bị thu thập chuyên dụng.
Việc đánh giá lỗ hổng tiềm ẩn này sẽ tập trung vào câu hỏi liệu có thể quan sát đặc trưng sinh trắc học
của người sử dụng trong cuộc sống hàng ngày của họ theo cách mà cho phép lạm dụng (ví dụ, bằng
cách làm giả) và những khó khăn của việc này.
Một khía cạnh đặc biệt của lỗ hổng này là câu hỏi liệu dữ liệu sinh trắc học vẫn còn trên các thiết bị thu
thập của hệ thống sinh trắc học sau khi sử dụng và liệu dữ liệu còn sót lại này có thể bị lạm dụng.
Mặc dù thực tế trong cuộc sống hàng ngày có thể khó khăn để che giấu một đặc trưng sinh trắc học
được coi là một lỗ hổng trong ngữ cảnh của tiêu chuẩn này, cần lưu ý khả năng một hệ thống sinh trắc
học không thể làm bất cứ điều gì để chống lại lỗ hổng đó. Nếu lỗ hổng này hiện hữu cho đặc trưng sinh
trắc học đã được sử dụng thì nó thuộc phạm vi của việc đánh giá lỗ hổng để quyết định xem liệu rủi ro
liên quan đến lỗ hổng này là có thể chấp nhận được hay không - cũng trong ngữ cảnh của các lỗ hổng
khác của hệ thống sinh trắc học.
Cần lưu ý rằng lỗ hổng này có một mối liên hệ chặt chẽ với các lỗ hổng được mô tả trong 8.3.3 (“Vật
giả mạo của đặc trưng sinh trắc học”) và 8.3.4 (“Điều chỉnh các đặc trưng sinh trắc học”).
8.3.6. Tương đồng do có quan hệ huyết thống
8.3.6.1. Tổng quan

Có một lỗ hổng tiềm ẩn trong mối tương đồng tự nhiên của các đặc trưng sinh trắc học giữa những
người có quan hệ huyết thống. Lỗ hổng này có thể dẫn đến mối đe dọa cho phép một cá thể mạo danh
người có quan hệ huyết thống. Một trường hợp rõ ràng là cặp song sinh giống hệt nhau và các hệ
thống sinh trắc học sử dụng phương thức cụ thể như khuôn mặt và DNA. Trong trường hợp khác, và
tổng quan hơn, có thể có một sự tương đồng đáng kể về mặt thống kê của một số đặc trưng sinh trắc
học nhất định giữa những người có quan hệ huyết thống hơn là giữa các cá thể không liên quan.
Những tương đồng như vậy có thể dẫn đến thống kê Tỷ lệ Trùng khớp Sai cao hơn so với bình thường
giữa những cá thể có quan hệ huyết thống so với những cá thể được lựa chọn ngẫu nhiên.
Kiểu lỗ hổng tiềm ẩn này không bao gồm sự tương đồng tự nhiên khi một số dữ liệu sinh trắc học giữa
những người sử dụng không có bất kỳ mối quan hệ huyết thống nào lại tương đồng một cách ngẫu
nhiên. Kiểu tương đồng này nằm trong ngữ cảnh hiệu suất của hệ thống sinh trắc học như đã nêu tại
điều 7.
8.3.6.2. Đánh giá
Đánh giá lỗ hổng tiềm ẩn này sẽ tập trung vào câu hỏi:
- Hiệu quả của những mối tương đồng như trên lên các tỷ lệ lỗi liên quan đến an toàn là gì?
- Liệu các tỷ lệ lỗi liên quan đến an toàn ở những người có quan hệ huyết thống là cao hơn so với
những người dùng khác.
CHÚ THÍCH: Cần lưu ý rằng việc đánh giá lỗ hổng tiềm ẩn này không nhất thiết phải tập trung vào các
vấn đề khoa học về việc mỗi bộ đặc trưng sinh trắc học từ những người sử dụng có quan hệ huyết
thống về bản chất có tương đồng như thế nào. Điểm quan trọng của việc đánh giá là liệu dữ liệu sinh
trắc học được sử dụng bởi hệ thống có mối tương đồng cao hơn giữa những người có quan hệ huyết
thống so với những người dùng khác.
Một kiểm thử đo lường sự tương đồng của các đặc trưng sinh trắc học giữa những người có quan hệ
huyết thống có thể được xem như là một đánh giá về các tỷ lệ lỗi liên quan đến an toàn trong những
điều kiện đặc biệt. Trong kiểm thử như vậy, các tỷ lệ lỗi liên quan được tính cho một nhóm kiểm thử
bao gồm các thành viên không có quan hệ huyết thống được so sánh với các tỷ lệ lỗi tương ứng được
tính cho một nhóm kiểm thử của những người có quan hệ huyết thống.
Việc đánh giá độ chính xác này nên thực hiện theo cùng nguyên tắc với kiểm thử các tỷ lệ lỗi liên quan



đến an toàn được mô tả tại điều 7. Tuy nhiên, cần lưu ý rằng có thể rất khó có đủ số lượng mẫu từ
những người có quan hệ huyết thống để đáp ứng tất cả các tiêu chí thống kê cho một kiểm thử như
vậy. Trong những trường hợp này, đánh giá viên có thể xem xét thông tin về nền tảng sinh học của đặc
trưng sinh trắc học và các đặc trưng của thành phần Trích xuất Đặc điểm của hệ thống sinh trắc học để
đảm bảo sự đầy đủ.
Các trường hợp tương đồng tự nhiên của các đặc trưng sinh trắc học của những người có quan hệ
huyết thống đe dọa đến sự an toàn của hệ thống sinh trắc học sẽ cần phải được giải quyết trong chiến
lược quản lý rủi ro tổng thể. Điều này nằm ngoài phạm vi của tiêu chuẩn này.
8.3.7. Đặc trưng sinh trắc học đặc biệt
8.3.7.1. Tổng quan
Các hệ thống sinh trắc học thường được thiết kế để cung cấp tối đa mức độ phân biệt giữa những đối
tượng thu nạp khác nhau, đồng thời giảm thiểu mức độ khác biệt giữa các mẫu khác nhau thu thập
được từ cùng một đối tượng thu nạp. Tuy nhiên đối với mỗi hệ thống có thể có các cá thể với các đặc
trưng sinh trắc học đặc biệt nằm ngoài phạm vi thiết kế bình thường của hệ thống và do đó mang lại tỷ
lệ lỗi cao hơn đáng kể so với bình thường.
Các đặc trưng sinh trắc học đặc biệt có thể dẫn đến lỗ hổng nếu chúng tạo ra kết quả các tỷ lệ lỗi cao
hơn so với kết quả đo lường bằng kiểm thử hiệu suất thống kê thông thường của điều 7. Lưu ý rằng
những đặc trưng sinh trắc học đặc biệt này không phải là kết quả của bất kỳ sự điều chỉnh có chủ ý các
đặc trưng như mô tả trong 8.3.4.
Người sử dụng có các tỷ lệ lỗi cao hơn hoặc thấp hơn so với bình thường đối với một hệ thống sinh
trắc học đôi khi được gọi là các “goat”, “lamb” hay “wolf”, tùy thuộc vào tỷ lệ lỗi bị ảnh hưởng và chiều
hướng hiệu quả. Mặc dù các nhãn này được gắn với các đối tượng, điều quan trọng là nhận ra rằng
hiệu quả là một hàm số của sự tương tác giữa người sử dụng và hệ thống. Người sử dụng được phân
loại là “wolf” trong một hệ thống sinh trắc học có thể sẽ không là wolf trong hệ thống khác đang sử
dụng phương thức tương tự nhưng được thực hiện với công nghệ khác.
8.3.7.2. Đánh giá
Lỗ hổng tiềm ẩn này có thể được điều tra bằng cách kiểm tra các kết quả của kiểm thử hiệu suất được
mô tả trong điều 7 để xác định, đối với mỗi lỗi có liên quan đến an toàn, liệu có một số người dùng nào
đó có các tỷ lệ lỗi lớn hơn đáng kể so với giá trị bình thường của toàn thể nhóm kiểm thử.
Nếu lỗ hổng này được phát hiện trong quá trình đánh giá thì lỗ hổng phải được báo cáo. Người triển

khai và chủ sở hữu hệ thống tương lai sẽ cần phải xác định, như một phần của phân tích rủi ro hệ
thống tổng thể, đến mức độ nào thì lỗ hổng có thể là một mối đe dọa thực tế. Cần xem xét tính khả thi
cho đối tượng tấn công đạt được những kiến thức cần thiết về sự tồn tại của lỗ hổng và có thể khai
thác nó.
Các quá trình kiểm toán hoạt động có thể là một biện pháp đối phó chống lại lỗ hổng này. Ví dụ kiểm
tra cơ sở dữ liệu thu nạp ngoại tuyến để tìm ra lỗ hổng đối tượng thu nạp (những đối tượng thu nạp có
sự trùng khớp gần với các đối tượng thu nạp khác mà có thể là mục tiêu mạo danh) hoặc kiểm tra trực
tuyến sự trùng khớp gần (tức là trường hợp trùng khớp gần giữa các cá thể khác nhau để phân biệt
với FRR cho cùng một cá thể). Điều này đặc biệt quan trọng trong trường hợp của các hệ thống định
danh sinh trắc học không cần yêu cầu về danh tính.
8.3.8. Các mẫu sinh trắc học wolf tổng hợp
8.3.8.1. Tổng quan
Nếu một hệ thống sinh trắc học tạo ra các tỷ lệ lỗi cao không bình thường khi những đặc trưng sinh
trắc học bất thường nào đó thể hiện, điều này có thể gây ra một lỗ hổng. Ví dụ về các đặc trưng bất
thường có thể là các đặc trưng có số lượng đặc điểm lớn hoặc nhỏ một cách không bình thường. Các
đặc trưng như vậy có thể không đại diện cho bất kỳ đặc trưng sinh trắc học của con người, nhưng có
thể được tổng hợp và sao chép vào một vật giả mạo. Ngoài ra, một đặc trưng tổng hợp có thể được
tiêm nhiễm bằng điện trong một cuộc tấn công thực hiện lại hoặc được gài vào cơ sở dữ liệu tham
chiếu. Một đặc trưng như vậy có thể đóng vai trò là một “chìa khóa đa năng” sinh trắc học bằng cách
tạo ra sự trùng khớp rõ rệt đối với một loạt các đối tượng thu nạp bình thường hay đối tượng mạo
danh.
Hình thức mẫu sinh trắc học wolf tổng hợp như vậy sẽ phụ thuộc vào phương thức và công nghệ được
sử dụng. Ví dụ điển hình có thể bao gồm:


- các tập hợp đặc điểm có chứa một số lượng lớn hay nhỏ các đặc điểm bất thường, ví dụ: tiểu tiết dấu
vân tay
- các tập hợp đặc điểm bao gồm các đặc điểm sinh trắc học hỗn hợp từ 2 hoặc nhiều cá thể, ví dụ: như
các hình ảnh khuôn mặt đã được thay đổi.
Phương pháp đối phó có thể gồm:

- Ở giai đoạn kiểm soát chất lượng hình ảnh, phát hiện các tập hợp đặc điểm có số lượng lớn hay nhỏ
bất thường.
- Ở giai đoạn so sánh, tính điểm chính xác phần tương đồng và không tương đồng giữa mẫu khảo sát
và tập hợp đặc điểm tham chiếu.
8.3.8.2. Đánh giá
Việc đánh giá cần xác định liệu các đặc trưng sinh trắc học tổng hợp với các đặc điểm bất thường có
được tiếp nhận bởi hệ thống sinh trắc học và có thể dẫn đến các sự cố trùng khớp sai cho các tham
chiếu đối tượng thu nạp thông thường hay không.
Đánh giá viên cần đánh giá lỗ hổng tiềm ẩn này một cách có phương pháp. Thứ nhất, một điều tra trực
tiếp các thuật toán sinh trắc học nên được thực hiện để xác định các thuật toán này có chấp nhận và
xử lý các đầu vào bất thường hay không. Điều này có thể được thực hiện bằng cách cấy dữ liệu bất
thường tổng hợp ở những nơi thích hợp trong cơ sở dữ liệu và cho phép dữ liệu được xử lý (đầu vào
và so sánh) để quan sát xem liệu dữ liệu kiểm thử được tiếp nhận bởi các thuật toán kiểm soát chất
lượng và được tính điểm thành công so với tham chiếu kiểm thử bằng thuật toán so sánh. Dữ liệu kiểm
thử có thể được tổng hợp để mô phỏng bất kỳ điều kiện cụ thể nào mà đánh giá viên mong muốn điều
tra.
Nếu lỗ hổng được tìm thấy trong một thuật toán, đánh giá viên sau đó cần phải xác định liệu lỗ hổng
này có thể bị khai thác trong ngữ cảnh hệ thống hoạt động. Đường hướng thăm dò bao gồm:
- khả năng sử dụng các đặc trưng tổng hợp đã được sao chép vào vật giả mạo
- khả năng tiêm nhiễm trực tiếp của các tín hiệu tổng hợp qua một tấn công thực hiện lại
- khả năng sửa đổi trái phép cơ sở dữ liệu sinh trắc học
Một khai thác thành công dữ liệu sinh trắc học tổng hợp sẽ dường như liên quan đến việc khai thác các
lỗ hổng hệ thống khác; ngược lại, nếu những lỗ hổng khác này không tồn tại, việc khai thác lỗ hổng dữ
liệu sinh trắc học tổng hợp có lẽ sẽ không khả thi.
Ví dụ này cho thấy tầm quan trọng của cách tiếp cận có phương pháp để điều tra lỗ hổng thành phần
và sau đó mở rộng đánh giá để điều tra xem liệu các lỗ hổng thành phần có thể bị khai thác trong ngữ
cảnh hệ thống lớn hơn. Để biết thêm thông tin về các lỗ hổng có liên quan xem 8.3.3 (Vật giả mạo),
8.3.11 (Rò rỉ và điều chỉnh trái phép dữ liệu sinh trắc học), và cũng lưu ý về đánh giá lỗ hổng công
nghệ thông tin chung trong 8.1 (Giới thiệu).
8.3.9. Môi trường không thuận lợi

8.3.9.1. Tổng quan
Sự xuống cấp của hệ thống con thu thập, chẳng hạn như các vết bẩn hoặc khiếm khuyết trên bộ cảm
biến, cũng có thể ảnh hưởng đến các tỷ lệ lỗi liên quan đến an toàn. Các tỷ lệ lỗi liên quan đến an toàn
thường được xác định trong môi trường mà đối tượng phát triển giả định hoặc khuyến nghị (xem một
đối tượng tấn công, các tỷ lệ lỗi liên quan đến an toàn đã đo lường có thể không đạt được).
Một môi trường không thuận lợi có thể dẫn đến lỗ hổng hệ thống đặc biệt là ở giai đoạn thu thập. Các
hiệu ứng có thể dao động từ sự gia tăng các tỷ lệ lỗi liên quan đến an toàn đến các trường hợp quá tải
khi tiếp xúc quá mức với ánh sáng (cho các thiết bị quang học), âm thanh (cho các thiết bị âm thanh),
độ ẩm (cho các thiết bị vân tay) hoặc các hình thức tín hiệu nhiễu khác có thể dẫn đến các thu nạp
nhiễu hoặc thậm chí tham chiếu trống, mà sau đó có thể được trùng khớp với các mẫu xác minh nhiễu
tương tự (xem 8.3.10).
8.3.9.2. Đánh giá
Có lẽ sẽ không thực tế nếu kiểm thử hiệu quả của tất cả kết hợp của điều kiện môi trường không thuận
lợi lên các tỷ lệ lỗi liên quan đến an toàn. Do đó, đánh giá viên cần xác định các điều kiện có khả năng
không thuận lợi, ví dụ: ánh sáng bất thường cho công nghệ hình ảnh, tín hiệu âm thanh cho các bộ


cảm biến âm thanh, v.v.. và kiểm thử đối với những điều kiện này.
CHÚ THÍCH: Thông tin thêm về cách các điều kiện môi trường có thể ảnh hưởng đến các tỷ lệ lỗi liên
quan đến an toàn có thể được tìm thấy trong ISO/IEC 19795-1:2006.
Nếu phát hiện các lỗ hổng gây ra bởi điều kiện môi trường không thuận lợi, hành động để giảm thiểu
tác động sẽ cần phải được thực hiện trong ngữ cảnh hệ thống để ngăn chặn các khai thác. Điều này
thường là để đảm bảo các điều kiện môi trường được kiểm soát sao cho chứng không phải là bất lợi.
8.3.10. Các lỗ hổng mang tính thủ tục xung quanh quá trình thu nạp
8.3.10.1. Tổng quan
Có ba trường hợp có liên quan đến lỗ hổng tiềm ẩn trong quá trình thu nạp.
- Đối tượng tấn công có thể thử để được thu nạp vào hệ thống sinh trắc học bằng việc đăng ký và thu
nạp không thích hợp sử dụng giấy tờ danh tính sai (người khác) hoặc không có thật (hư cấu). Một cuộc
tấn công như vậy, nếu thành công, sẽ cho phép đối tượng tấn công được công nhận bởi hệ thống sinh
trắc học như là một người dùng khác trong tương lai. Đối tượng tấn công cũng có thể cố gắng để được

thu nạp vào hệ thống sinh trắc học với một vật giả mạo để tạo ra một tham chiếu sinh trắc học sai (của
người khác) hoặc không có thật (hư cấu). Một cuộc tấn công thành công trong trường hợp này sẽ cho
phép đối tượng tấn công được công nhận bởi hệ thống sinh trắc học như là một người dùng khác trong
tương lai. Các tham chiếu sinh trắc học kém chất lượng thường ảnh hưởng xấu đến các tỷ lệ lỗi liên
quan đến an toàn (và tỷ lệ khác) dẫn đến các tỷ lệ lỗi cao hơn so với dự đoán của kiểm thử hiệu suất
thống kê mô tả tại điều 7. Điều này sẽ không chỉ làm giảm mức đảm bảo an toàn cho việc xác minh
hoặc nhận dạng hoạt động liên quan đến tham chiếu kém chất lượng; nếu đối tượng tấn công có thể
định danh các cá thể với các tham chiếu kém chất lượng, các cá thể này có thể trở thành mục tiêu cho
những lần thử mạo danh.
8.3.10.2. Đánh giá
Việc đánh giá lỗ hổng tiềm ẩn này sẽ tập trung vào ba trường hợp tương ứng với các điều trước đó:
- Liệu quá trình thu nạp có được thực hiện trong một môi trường thích hợp và tất cả các cơ chế cần
thiết được đưa ra để đảm bảo rằng người sử dụng sẽ được thu nạp bằng cách sử dụng ID đúng.
- Liệu hệ thống có chức năng phát hiện và từ chối vật giả mạo không.
- Liệu hệ thống có chức năng kiểm tra chất lượng trong thành phần Xử lý Tín hiệu hoặc chức năng để
dự đoán tỷ lệ lỗi trong suốt quá trình thu nạp.
Có khả năng hệ thống sinh trắc học không thể giảm thiểu lỗ hổng này hoàn toàn bằng các phương tiện
kỹ thuật. Vì vậy, đánh giá viên cần xác định và báo cáo những biện pháp kiểm soát chất lượng tham
chiếu mà nhà cung cấp yêu cầu để thực hiện.
8.3.11. Rò rỉ và sự thay đổi dữ liệu sinh trắc học
8.3.11.1. Tổng quan
Mặc dù các lỗ hổng công nghệ thông tin phổ biến không thuộc phạm vi của tiêu chuẩn này, sự rò rỉ có
thể và thao tác dữ liệu liên quan đến an toàn như các mẫu sinh trắc học, các tham chiếu sinh trắc học,
các điểm số so sánh, thiết lập ngưỡng, v.v.. là một lỗ hổng quan trọng cần được xem xét trong mỗi
đánh giá an toàn. Ngoài ra, cần đề cập đến là, trong khi các biện pháp đối phó có thể cho những lỗ
hổng này là phổ biến đối với các hệ thống công nghệ thông tin, vai trò của thông tin được xử lý bởi hệ
thống sinh trắc học là cụ thể cho công nghệ sinh trắc học.
Sự rò rỉ và thay đổi trái phép dữ liệu là một mối đe dọa chung cho các hệ thống công nghệ thông tin và
an toàn hệ thống. Sinh trắc học và dữ liệu khác trong các hệ thống sinh trắc học thường nhạy cảm và
phải được bảo vệ theo cách tương tự như dữ liệu trong các hệ thống công nghệ thông tin nói chung.

8.3.11.2. Đánh giá
Dữ liệu trong các hệ thống sinh trắc học liên quan/quan trọng cho an toàn bao gồm:
- Dữ liệu tham chiếu sinh trắc học - việc làm hỏng có thể dẫn đến các thu nạp giả, mạo danh v.v.. mất
mát dữ liệu có thể dẫn đến hành vi vi phạm tính riêng tư, đánh cắp danh tính, v.v..
- Các mẫu dữ liệu sinh trắc học truyền qua hệ thống (ví dụ như tín hiệu ra từ thiết bị thu thập) hoặc
được lưu trữ trong hệ thống (ví dụ như dấu vân tay và hình ảnh khuôn mặt) - Nếu bị rò rỉ, chúng có thể
được sử dụng để giúp xây dựng một vật giả mạo hoặc tiêm nhiễm trực tiếp trong tấn công kiểu “thu