Un medio eficaz para verificar la identificación, el uso de la biometría está cada vez más extendido y garantizar su seguridad es, por tanto, fundamental.
Las amenazas a los sistemas biométricos pueden presentarse en forma de ataques de presentación, en los que se intenta subvertir la política de seguridad del sistema presentando características biométricas naturales o artefactos que contienen características copiadas o falsificadas.
La serie de normas ISO / IEC 19989, Seguridad de la información - Criterios y metodología para la evaluación de la seguridad de los sistemas biométricos, acaba de publicarse para ayudar a garantizar que estén protegidos contra tales ataques. Esta serie proporciona un puente entre ISO / IEC 19792, que define los principios de evaluación para productos y sistemas biométricos, y la serie ISO / IEC 15408 e ISO / IEC 18045, que definen los criterios y requisitos metodológicos para la evaluación de seguridad.
ISO / IEC 19989-1, Seguridad de la información - Criterios y metodología para la evaluación de la seguridad de los sistemas biométricos - Parte 1: Marco, establece el marco general para la evaluación de la seguridad de los sistemas biométricos, incluidos los componentes funcionales de seguridad extendidos y las actividades complementarias a la metodología.
ISO / IEC 19989-2, Seguridad de la información.Criterios y metodología para la evaluación de la seguridad de los sistemas biométricos.Parte 2: Desempeño del reconocimiento biométrico, proporciona requisitos y recomendaciones al desarrollador y evaluador de sistemas biométricos para las actividades complementarias sobre el desempeño del reconocimiento biométrico especificadas en ISO / IEC 19989-1.
ISO / IEC 19989-3, Seguridad de la información. Criterios y metodología para la evaluación de la seguridad de los sistemas biométricos. La Parte 3: Detección de ataques de presentación, está dedicada a la evaluación de seguridad de la detección de ataques de presentación aplicando la serie ISO / IEC 15408. Proporciona recomendaciones y requisitos al desarrollador y al evaluador para las actividades complementarias sobre la detección de ataques de presentación especificadas en ISO / IEC 19989-1.
La serie ISO / IEC 19989 fue desarrollada por el subcomité SC 27, Seguridad de la información, ciberseguridad y protección de la privacidad, del comité técnico conjunto ISO / IEC JTC 1, el brazo de tecnología de la información de ISO y la Comisión Electrotécnica Internacional (IEC). La secretaría de SC 27 está a cargo de DIN, miembro de ISO para Alemania.
Todos estos estándares se pueden comprar en su miembro nacional de ISO o en la Tienda ISO.
Fuente: iso.org