Development of a Biometric System with Claimed Assurance

• Autorzy: Białas A.

Warianty tytułu

PL

Konstruowanie systemów biometrycznych o zadeklarowanym poziomie uzasadnionego zaufania

• Języki publikacji: EN

Abstrakty

EN

The article concerns the process of developing biometric devices which are to be submitted for certification in compliance with ISO/IEC 15408 Common Criteria. The author pointed at the assurance paradigm which shows that the source of assurance is a rigorous process of the product development, accompanied by methodical and independent evaluation in an accredited laboratory. The state of the art of certified biometric devices was discussed. The issue of insufficient support that the developers get in this respect was mentioned. Basic processes related to the Common Criteria methodology were described (IT security development, IT product development, IT product evaluation). These processes were illustrated by the elements of security specifications of certified biometric devices. The author proposed to use elaborated patterns to prepare evidence material, and to use specialized software supporting development processes to deal with basic difficulties encountered by the developers of biometric devices.

PL

Artykuł przedstawia proces konstruowania urządzeń biometrycznych z myślą o ich planowanej ocenie i certyfikacji prowadzonej na zgodność z wymaganiami standardu ISO/IEC 15408 Common Criteria. Autor zwraca uwagę na paradygmat uzasadnionego zaufania, który wskazuje, że źródłem uzasadnionego zaufania jest rygorystyczny proces konstruowania produktu informatycznego (IT), jak również metodyczna i niezależna jego ocena prowadzona w akredytowanym laboratorium. Przedstawiono krótki opis aktualnego stanu prac nad certyfikacją biometrycznych produktów IT. Zwrócono uwagę na duże trudności oraz niedostateczne wsparcie oferowane konstruktorom w tym względzie. Przedstawiono trzy podstawowe procesy metodyki Common Criteria: proces konstruowania zabezpieczeń, proces konstruowania produktu IT oraz proces oceny zabezpieczeń produktu. Zostały one zilustrowane elementami specyfikacji projektowych urządzeń biometrycznych. Dwa pierwsze procesy dotyczą wypracowania materiału dowodowego, ocenianego w ramach trzeciego z wymienionych procesów. Autor zaproponował zbiór wzorców materiału dowodowego, jak również oprogramowanie wspomagające tworzenie i zarządzanie tym materiałem. Ma to ułatwić pracę konstruktorów produktów informatycznych, w tym urządzeń biometrycznych.

Słowa kluczowe

EN

assurance; security development; IT security development; IT security evaluation; biometrics; evaluation evidences; Common Criteria

PL

uzasadnione zaufanie; zabezpieczenia teleinformatyczne; konstruowanie zabezpieczeń; ocena zabezpieczeń; biometria; materiał dowodowy dla procesu oceny; Common Criteria

• Wydawca: Instytut Teleinformatyki i Automatyki, Wydział Cybernetyki, Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego
• Czasopismo: Przegląd Teleinformatyczny
• Rocznik: 2013
• Tom: T. 1, Nr 3 (36)
• Strony: 3--18
• Opis fizyczny: Bibliogr. 23 poz., il.

Twórcy

autor

Białas A.

• Institute of Innovative Technologies EMAG, ul. Leopolda 31, 0-189 Katowice,

Bibliografia

• [1] BIAŁAS A., How to Develop a Biometric System with Claimed Assurance, Proceedings of the 2013 Federated Conference on Computer Science and Information Systems (FedCSIS), pp. 775-780.
• [2] Common Criteria for IT security evaluation, part 1-3. v. 3.1. 2009.
• [3] Guidelines for Developer Documentation according to Common Criteria Version 3.1, Bundesamt für Sicherheit in der Informationstechnik, 2007.
• [4] CCMODE (Common Criteria compliant, Modular, Open IT security Development Environment) Project, http://www.commoncriteria.pl/ (Accessed 08 November 2013).
• [5] BIAŁAS A. (Ed.), Zastosowanie wzorców projektowych w konstruowaniu zabezpieczeń informatycznych zgodnych ze standardem Common Criteria, Wydawnictwo Instytutu Technik Innowacyjnych EMAG, UE POIG 1.3.1, Katowice 2011 r. (in Polish).
• [6] BIAŁAS A. (Ed.), Komputerowe wspomaganie procesu rozwoju produktów informatycznych o podwyższonych wymaganiach bezpieczeństwa, Wydawnictwo Instytutu Technik Innowacyjnych EMAG, UE POIG 1.3.1, Katowice 2012 r. (in Polish).
• [7] Common Criteria Portal, http://www.commoncriteriaportal.org/ (Accessed 18 May 2013).
• [8] DAISUKE H., KENICHI Y., NOOR A., YUICHI G., JINGDE C., GEST: A Generator of ISO/IEC 15408 Security Target Templates, In LEE R.,. HU G, MIAO H. (Eds.): Computer and Information Science 2009, SCI 208, pp. 149–158. springerlink.com Springer-Verlag Berlin Heidelberg 2009, http://link.springer.com/chapter/10.1007%2F978-3-642-01209-9_14#page-1 (Accessed 08 November 2013).
• [9] HIGAKI W.H., Successful Common Criteria Evaluation. A Practical Guide for Vendors, Copyright 2010 by Wesley Hisao Higaki, Lexington, KY 2011.
• [10] Biometric Verification Mechanisms Protection Profile, BVMPP v1.3, Bundesamt für Sicherheit in der Informationstechnik, Bonn 2008.
• [11] Fingerprint Spoof Detection Protection Profile based on Organisational Security Policies, FSDPP_OSP v1.7, Bundesamt für Sicherheit in der Informationstechnik, Bonn 2009.
• [12] Security Target for PalmSecure, Fujitsu Limited, BSI-DSZ-CC-0511, 2008.
• [13] MorphoSmart Optic 301 Public Security Target, Safran Morpho, 2013.
• [14] AuthenTest Server, Authenware, 2010 (in Spanish).
• [15] CEM v3.1, Common Methodology for Information Technology Security Evaluation - Evaluation Methodology, 2009.
• [16] BIALAS A., Patterns Improving the Common Criteria Compliant IT Security Development Process, In: ZAMOJSKI W., KACPRZYK J., MAZURKIEWICZ J., SUGIER J., WALKOWIAK T. (Eds.): Dependable Computer Systems; Advances in Intelligent and Soft Computing, Vol. 97, 2011, Springer-Verlag: Berlin Heidelberg, ISBN 978-3-642-21392-2, pp. 1-16.
• [17] BIALAS A., Patterns-based development of IT security evaluation evidences, The 11th International Common Criteria Conference, Antalya, 21-23 September 2010 (published in an electronic version), http://www.11iccc.org.tr/presentations.asp (Accessed 10 Feb 2013).
• [18] ROGOWSKI D., NOWAK P., Pattern based support for Site Certification, Zamojski W. et. al. (Eds.): Complex Systems and Dependability, Advances in Intelligent and Soft Computing (AISC) 170, pp. 179-193. Springer-Verlag Berlin Heidelberg 2012.
• [19] ROGOWSKI D., Software Implementation of Common Criteria Related Design Patterns, Proceedings of the 2013 Federated Conference on Computer Science and Information Systems (FedCSIS), pp. 1147-1152.
• [20] BIAŁAS A., Security-related design patterns for intelligent sensors requiring measurable assurance. „Electrical Review” („Przegląd Elektrotechniczny”), ISSN 0033-2097, vol. 85 (R.85), Number 7/2009, pp. 92-99, Sigma-NOT, Warsaw (2009)
• [21] BIAŁAS A., Ontological approach to the motion sensor security development, „Electrical Review” („Przegląd Elektrotechniczny”), ISSN 0033-2097, vol. 85 (R.85), Number 11/2009, pp. 36-44, Sigma-NOT, Warsaw (2009).
• [22] BIALAS A., Common Criteria Related Security Design Patterns - Validation on the Intelligent Sensor Example Designed for Mine Environment, Sensors 2010, 10, 4456-4496, http://www.mdpi.com/1424-8220/10/5/4456.
• [23] BIALAS A., Common Criteria Related Security Design Patterns for Intelligent Sensors - Knowledge Engineering-Based Implementation, Sensors 2011, 11, 8085-8114, http://www.mdpi.com/1424-8220/11/8/8085/.

Uwagi

EN

This paper is an extended version of the paper presented at FedCSIS multiconference in September 2013.