ISO IEC 19792-2025 PDF

Полное наименование и описание

ISO/IEC 19792:2025 — Information security, cybersecurity and privacy protection — General principles, requirements and guidance for security evaluation of biometric systems. Стандарт устанавливает общие принципы, требования и рекомендации для проведения оценки безопасности биометрических систем с учётом характеристик распознавания, обнаружения атак представления (presentation attacks) и вопросов конфиденциальности.

Аннотация

Документ служит руководством для анализа и проведения секьюрити-оценки биометрических систем — от идентификации уязвимостей и сценариев атак до требований к тестированию и отчётности. Стандарт фокусируется на биометрических аспектах безопасности и приватности и не покрывает нефункциональные/внешние элементы (например, общие требования к базам данных или каналам связи).

Общая информация

• Статус: Опубликован (заменяет предыдущую редакцию 2009 г.).
• Дата публикации: 25 июня 2025 г. (редакция 2025).
• Организация-издатель: ISO/IEC (технический комитет ISO/IEC JTC 1/SC 27 — Information security, cybersecurity and privacy protection).
• ICS / категории: 35.030 — IT Security / Информационная безопасность.
• Редакция / версия: Редакция 2.0 (ISO/IEC 19792:2025).
• Количество страниц: 25 страниц (основная публикация).

Область применения

Стандарт применим к организациям и проектам, использующим биометрические системы для аутентификации, идентификации или верификации личности. Он предназначен для тех, кто проводит независимые оценки безопасности, разработчиков биометрических решений, органов сертификации и закупающих организаций. ISO/IEC 19792:2025 описывает, какие биометрические аспекты следует учитывать при оценке (производительность распознавания, устойчивость к атакам представления, защита биометрических данных и т. п.), но целенаправленно не охватывает общие ИТ‑инфраструктурные требования.

Ключевые темы и требования

• Рамки и принципы оценки безопасности биометрических систем; определение ролей и обязанностей участников оценки.
• Требования и критерии к оценке показателей распознавания (точность, ошибки первого/второго рода, стабильность в условиях эксплуатации).
• Оценка устойчивости к атакам представления (presentation attacks / spoofing) и интеграция результатов PAD‑тестирования в общую оценку безопасности.
• Требования по защите биометрических данных и конфиденциальности при сборе, хранении и передаче биометрических шаблонов.
• Методические указания по организации тестирования, выбору выборок и учёту статистической значимости результатов.
• Рекомендации по документированию результатов оценки и формированию отчётов для заинтересованных сторон.

Применение и пользователи

Основные пользователи стандарта: независимые оценщики и лаборатории тестирования, разработчики биометрических алгоритмов и устройств, интеграторы систем, органы по сертификации и аккредитации, закупочные службы и заказчики технологий, политики и регуляторы, занимающиеся требованиями к безопасности персональных данных. Стандарт служит также основой для формирования тестовых процедур и схем сертификации.

Связанные стандарты

ISO/IEC 19792 исторически заменяет ISO/IEC 19792:2009 (withdrawn). В тематической близости и как дополняющие документы упомянуты: серия ISO/IEC 30107 (Biometric presentation attack detection — PAD), серия ISO/IEC 19795 (Biometric performance testing and reporting) и ISO/IEC 24745 (Biometric information protection). Эти стандарты покрывают специализированные аспекты тестирования, форматов, защиты данных и методик оценки PAD, и часто используются совместно при проведении комплексных оценок безопасности биометрических систем.

Ключевые слова

биометрия, оценка безопасности, презентационные атаки, PAD, производительность распознавания, защита биометрических данных, тестирование, сертификация, приватность, ISO/IEC JTC 1/SC 27.

FAQ

В: Что это за стандарт?

О: Международный стандарт, устанавливающий принципы, требования и рекомендации для проведения оценки безопасности биометрических систем (ISO/IEC 19792:2025).

В: Что он регулирует?

О: Описывает области, которые должны быть рассмотрены при секьюрити‑оценке биометрической системы: показатели распознавания, устойчивость к spoofing / presentation attacks, требования к защите и приватности биометрических данных, а также методику тестирования и отчётности. Нефункциональные элементы ИТ‑инфраструктуры (например, общие требования к базам данных или каналам связи) не входят в область.

В: Кто обычно использует?

О: Оценщики и лаборатории тестирования, разработчики и поставщики биометрических решений, интеграторы, органы по сертификации, заказчики и регуляторы, формирующие требования к безопасному использованию биометрии.

В: Он актуален или заменён?

О: Редакция 2009 года была официально снята с действия; актуальной редакцией является ISO/IEC 19792:2025, опубликованная в 2025 г. (замена редакции 2009). При планировании работ опирайтесь на версию 2025.

В: Это часть серии?

О: Да — стандарт связан с рядом других стандартов по биометрии и безопасности: ISO/IEC 30107 (PAD), ISO/IEC 19795 (производительность биометрии), ISO/IEC 24745 (защита биометрических данных) и другими документами рабочих групп JTC 1/SC 27 и SC 37. Часто эти стандарты используются совместно для всесторонней оценки и сертификации.

В: Какие ключевые слова?

О: биометрическая безопасность, оценка безопасности, presentation attack detection, производительность распознавания, защита биометрических данных, PAD, тестирование и отчётность.