資訊技術安全評估共同準則 (CC, ISO/IEC 15408) - 生物識別產品 (Biometrics) 安全技術檢測與認證服務

隨著近幾年科技的迅速發展,越來越多的資訊、通訊系透過個人的生物特徵 (Biometrics) 作為身份識別敏感資訊解鎖,諸如手機、平板、提款機、資訊系統、網路攝影機及監控設備等。根據歐盟的一般數據保護法案 (EU GDPR) 的定義,生物特徵資料屬於個人敏感資料, 只要是產品直接或間接處理個人數據,就必須依法加以保護,例如,加密。

因此,生物識別產品 (Biometrics) 的安全性,受到歐盟網絡安全局 (European Union Agency for Cybersecurity, ENISA) 極大的關注,並且根據歐盟網絡安全法 (EU Cybersecurity Act),正在針對歐盟單一數位市場 (EU Digital Single Market) 建立泛歐盟的統一網路安全認證框架 (EU cybersecurity certification framework)。在這認證框架下,特別是涉及國家關鍵設施 (Critical Infrastructure) 維運相關的資訊、通訊產品,都會被要求通過資訊技術安全評估共同準則 (Cybersecurity Certification: EUCC Candidate Scheme) 安全技術相關檢測與認證。

在這樣的背景下,我們與德國 聯邦資訊安全辦公室認可的 CC 檢測實驗室,正在找尋有意願取得 CC 產品認證的客戶。同時,我們也建議客戶一開始以 CC EAL 2+ 安全評估等級為主的基礎認證。這樣的好處包含:

  • 時間短:預估約 2 ~ 4 個月; (依照評估標的 (TOE)之不同,時間可能會延長)
  • 證書認可度高:取得歐盟及所有 CCRA 會員國家的認可;
  • 保障資訊安全:
    • 資料交換,全程透過 PGP 加密,只有被授權人員可存取。
    • 開發商不需提供源代碼或者細部的產品硬體設計電路圖,保障資訊安全。
    • 檢測與評估全程在認證安全實驗室內進行。

服務的基本資料,您可以參考 [ 資訊技術安全評估共同準則 (CC, ISO/IEC 15408) 產品檢測與認證服務介紹 ] 

適合對象

包含下列產品安全技術的開發商:

  1. 眼球/虹膜 (iris recognition) 識別技術
  2. 臉部識別技術 (facial recognition)
    • 2D 
    • 3D
  3. 指紋識別技術 (fingerprint recognition)
  4. 靜脈識別技術 (vein recognition) 

參考規範

服務內容

共同準則評估與認證過程中,我們可以提供,但不限於下列服務:

  1. 共同準則標準應用教育訓練
  2. 協助開發商 TOE 相關技術文件準備 
  3. 協助製造商環境安全認證準備
  4. 共同準則認可實驗室評估與認證輔導

為了協助您儘快釐清共同準則評估與認證的可行性,請預先準備下列資料,便於討論:

  1. 安全產品目標市場、客戶特定要求 (例如 PP, EAL)
  2. 產品服務說明、架構、使用手冊
  3. 安全功能、架構、規格說明書
  4. 產品安全技術說明書 (安全硬件、軟件、韌體),特別說明產品用的哪些 "加密技術” (例如演算法、加解密模組 (FIPS 140-3 認證))
聯絡資料:philip.ku@tksg.global  [ PGP Public Key ]

(PGP Fingerprint: BE11 C1CC BFE2 A3A9 4929  3D1C 10FF C3BE A51C 92F7)


Last modified: Wednesday, 24 February 2021, 12:51 PM