BSI-CC-PP-0062-2010
Fingerprint Spoof Detection Protection Profile based on Organisational Security Policies (FSDPP_OSP), Version 1.7
| Herausgeber / Issuer | Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee 185-189 |
| Prüfstelle / Evaluation Facility |
SRC Security Research & Consulting GmbH |
| Prüftiefe des Produktes / Assurance of the TOE |
ADV_ARC.1, ADV_FSP.2, ADV_TDS.1, AGD_OPE.1, AGD_PRE.1, ALC_CMC.2, ALC_CMS.2, ALC_DEL.1, ALC_FLR.1, ASE_CCL.1, ASE_ELD.1, ASE_INT.1, ASE_OBJ.2, ASE_REQ.2, ASE_SPD.1, ASE_TSS.1, ATE_COV.1, ATE_FUN.1, ATE_IND.2 |
| Version der CC / CC Version |
3.1 R3 |
| Ausstellungsdatum / Certification Date |
25.02.2010 |
Zertifizierungsreport / Certification Report
Schutzprofil / Protection Profile
Das Fingerprint Spoof Detection Protection Profile based on Organisational Security Policies ("Schutzprofil für ein Erkennungssystem von gefälschten Fingerabdrücken basierend auf Organisatorischen Sicherheitspolitiken") beschreibt die Funktionalität eines biometrischen System zur Erkennung von gefälschten Fingerabdrücken in der Sprache der Common Criteria. Es definiert funktionale Sicherheitsanforderungen und Vertrauenswürdigkeitsanforderungen für die Evaluierung eines solchen Systems. Der im Schutzprofil beschriebene Evaluierungsgegenstand (EVG) ist ein System, das gefälschte Fingerabdrücke erkennt und entweder Teil eines biometrischen Gesamtsystems für Finderabdruckerkennung ist oder vorgelagert betrieben wird. Der EVG stellt fest, ob ein Fingerabdruck, der diesem biometrischen Gesamtsystem vorgelegt wird, echt oder gefälscht ist. Der im Schutzprofil definierte EVG ist physikalisch auf das System zur Erkennung von gefälschten Fingerabdrücken begrenzt. Die logische Abgrenzung des EVG schließt die Erkennungsfunktionalität von gefälschten Fingerabdrücken, das Management von sicherheitsrelevanten Parametern, den Schutz verbleibender Daten und die Erzeugung von Protokolldaten ein. Das Schutzprofil beschränkt sich auf Evaluierungen für die es ausreichend ist festzustellen, ob die Funktionalität des EVG korrekt arbeitet ohne dass eine dedizierte Schwachstellenanalyse gefordert wird. Daher basiert das Schutzprofil auf organisatorischen Sicherheitspolitiken. Auf Bedrohungen wurde bei der Definition des Sicherheitsproblems ganz bewusst verzichtet.
The Fingerprint Spoof Detection Protection Profile based on Organisational Security Policies describes the functionality of a biometric spoof detection system in terms of Common Criteria and defines security functional and assurance requirements for the evaluation of such systems. The Target of Evaluation (TOE) described in this PP is a system that provides fingerprint spoof detection either as part of, or in front of a biometric system for fingerprint recognition. The TOE determines whether a fingerprint presented to the biometric system is genuine or spoofed. The TOE defined in this PP is from its physically boundary limited to the biometric spoof detection system. Logically the boundary of the TOE includes spoof detection, management of its parameters, residual information protection and production of audit events. This PP focuses on evaluation cases for which it is sufficient to determine whether the security functionality claimed by a TOE is working correctly without performing a dedicated vulnerability assessment. Therefore, this PP is solely based on organizational security policies and threats are deliberately omitted.