Alcohol interlocks - Test methods and performance requirements - Part 6: Data security

1.1 General This European Standard specifies security requirements for the protection and handling of event records which are stored in the data memory of breath alcohol controlled alcohol interlocks and which may be downloaded, processed and transferred to supervising persons or organizations. This European Standard is a supplement to EN 50436-1. It is to be decided by the respective jurisdiction whether the present standard has to be applied in addition to EN 50436-1. This European standard may also be used as a supplement to EN 50436-2 if a jurisdiction or a vehicle fleet operator decides that the data security in his preventive application has to have the same high level of requirements as for alcohol interlocks used in drink-driving-offender programmes. This European Standard is mainly directed to test houses, manufacturers of alcohol interlocks, legislating authorities and organizations which handle and use the alcohol interlock event records. In this European Standard, the alcohol interlock consists basically of handset and control unit. Optional accessory devices (e.g. cameras or GPS systems generating data related to event data of the alcohol interlock, as well as accessory devices handling or transferring data for a drink-driving-offender programme) authorized by the manufacturer as being part of the alcohol interlock system and which are intended to be used in the vehicle during operation are also to be considered part of the alcohol interlock, where applicable. The service application communicates with the alcohol interlock and sends out the event records to a register, either directly or alternatively indirectly through a broker. The scheme is depicted in Figure 1. It also shows which parts are within the scope of this European Standard and which are outside of the scope. NOTE In this, and all other figures, the direction of the arrows indicates the flow of event records. This European Standard applies to - the alcohol interlock, - the service application. This European Standard does not apply to - data security of the broker, - data security of the register, - storage of downloaded data, - requirements for organizational processes, for example defining rights of access to the data. 1.2 Conformance claim This European Standard conforms according to the Common Criteria for Information Technology Security Evaluation as Protection Profile to: - Common Criteria, Version 3.1, Revision 4, as defined by CCp1, CCp2, CCp3 and CEMe, - Common Criteria - Part 2 as Common Criteria - Part 2 conformant, - Common Criteria - Part 3 as Common Criteria - Part 3 conformant. NOTE 1 An earlier revision of CCp1 is published as ISO/IEC 15408 1. NOTE 2 An earlier revision of CCp2 is published as ISO/IEC 15408 2. NOTE 3 An earlier revision of CCp3 is published as ISO/IEC 15408 3. NOTE 4 An earlier revision of CEMe is published as ISO/IEC 18045. This European Standard is not based on any other Protection Profile. This European Standard conforms to the evaluation assurance level EAL3 + ALC_FLR.2 (for explanation see 7.4). Protection profiles or security targets that conform to this Protection Profile shall apply "Strict Protection-Profile-Conformance". For more information, see CCp1, Annex B5.

1.1 Allgemeines Diese Europäische Norm legt Sicherheitsanforderungen für den Schutz und die Handhabung von Ereignisdaten fest, die im Datenspeicher von atemalkohol-gesteuerten Alkohol-Interlocks aufgezeichnet werden und die ausgelesen, verarbeitet und an aufsichtführende Personen oder Organisationen übermittelt werden können. Diese Europäische Norm ist eine Ergänzung zu EN 50436 1. Es muss durch die jeweils zuständige Behörde entschieden werden, ob die vorliegende Norm zusätzlich zu EN 50436 1 angewendet werden muss. Diese Europäischen Norm kann auch als Ergänzung zu EN 50436 2 angewendet werden, wenn eine zuständige Behörde oder ein Fahrzeugflottenbetreiber entscheidet, dass die Datensicherheit in ihrer, bzw. seiner präventiven Anwendung denselben hohen Anforderungsgrad wie für Alkohol-Interlocks haben muss, die in Programmen mit Trunkenheitsfahrern eingesetzt werden. Diese Europäische Norm richtet sich hauptsächlich an Prüflaboratorien, Hersteller von Alkohol-Interlocks, gesetzgebende Behörden und Organisationen, die die Alkohol-Interlock-Ereignisdaten handhaben und nutzen. In dieser Europäischen Norm besteht das Alkohol-Interlock grundsätzlich aus Handteil und Steuereinheit. Optionale Zusatzgeräte (z. B. Kameras oder GPS-Systeme, die im Bezug zu Ereignisdaten des Alkohol-Interlocks stehende Daten erzeugen, sowie Zusatzgeräte, die Daten für ein Programm mit Trunkenheitsfahrern handhaben oder übertragen), die vom Hersteller als Teil des Alkohol-Interlock-Systems autorisiert wurden und die zur Benutzung im Fahrzeug während des Betriebs vorgesehen sind, müssen auch als Bestandteil des Alkohol-Interlocks betrachtet werden, falls zutreffend. Die Serviceanwendung kommuniziert mit dem Alkohol-Interlock und sendet die Ereignisdaten entweder direkt oder alternativ indirekt über einen Makler an ein Datenregister. Das Schema ist in Bild 1 dargestellt. Es zeigt auch, welche Teile innerhalb des Anwendungsbereiches dieser Europäischen Norm und welche außerhalb des Anwendungsbereiches liegen. ANMERKUNG In diesem und allen anderen Bildern gibt die Richtung der Pfeile den Fluss der Ereignisdaten an. Diese Europäische Norm gilt für - das Alkohol-Interlock, - die Serviceanwendung. Diese Europäische Norm gilt nicht für - Datensicherheit des Maklers, - Datensicherheit des Registers, - Speicherung des ausgelesenen Daten, - Anforderungen an Organisationsprozesse, z. B. Festlegung der Zugangsrechte zu den Daten. 1.2 Übereinstimmungsfestlegung Diese Europäische Norm stimmt entsprechend der Common Criteria for Information Technology Security Evaluation als Protection Profile überein mit: - Common Criteria, Version 3.1, Überarbeitung 4, wie festgelegt durch CCp1, CCp2, CCp3 und CEMe, - Common Criteria – Teil 2 als Common Criteria - Teil 2 übereinstimmend, - Common Criteria – Teil 3 als Common Criteria - Teil 3 übereinstimmend. ANMERKUNG 1 Eine frühere Überarbeitung von CCp1 ist als ISO/IEC 15408-1 veröffentlicht. ANMERKUNG 2 Eine frühere Überarbeitung von CCp2 ist als ISO/IEC 15408-2 veröffentlicht. ANMERKUNG 3 Eine frühere Überarbeitung von CCp3 ist als ISO/IEC 15408-3 veröffentlicht. ANMERKUNG 4 Eine frühere Überarbeitung von CEMe ist als ISO/IEC 18045 veröffentlicht. Diese Europäische Norm basiert auf keinem anderen Protection Profile. Diese Europäische Norm stimmt mit dem Sicherheitsauswertungsgrad EAL3 + ALC_FLR.2 überein (zur Erläuterung siehe 7.4). Protection Profiles oder Sicherheitsteilziele, die dieses Protection Profile erfüllen, müssen "Strict Protection-Profile-Conformance" anwenden. Für mehr Information siehe CCp1, Anhang B5.

1.1 Généralités La présente Norme européenne spécifie les exigences de sécurité pour la protection et le traitement des enregistrements d'événement stockés dans la mémoire de données des éthylotests antidémarrage qui réagissent au taux d'alcoolémie de l'air expiré, et qui peuvent être téléchargés, traités et transmis aux personnes ou organismes de supervision. La présente Norme européenne complète l'EN 50436-1. La juridiction respective est tenue de déterminer si la présente norme est à appliquer en plus de l'EN 50436-1. La présente Norme européenne peut également être utilisée en complément de l'EN 50436-2 si une juridiction ou un exploitant de parc automobile décide que la sécurité des données dans son application préventive est tenue de présenter le même niveau élevé d'exigences que pour les éthylotests antidémarrage utilisés dans les programmes de lutte contre la conduite en état d'ivresse. La présente Norme européenne s'adresse essentiellement aux laboratoires d'essai, aux fabricants d'éthylotests antidémarrage, aux autorités législatives et aux organisations qui gèrent et utilisent les enregistrements d'événement de l'éthylotest antidémarrage. Dans la présente Norme européenne, l'éthylotest antidémarrage est composé essentiellement d'un combiné et d'une unité de contrôle. Les dispositifs accessoires en option (par exemple, caméras ou systèmes GPS qui génèrent des données relatives aux informations d'événement de l'éthylotest antidémarrage, ainsi que des dispositifs accessoires qui traitent ou transfèrent des données propres à un programme de lutte contre la conduite en état d'ivresse) autorisés par le fabricant comme faisant partie intégrante du système d'éthylotest antidémarrage et dont l'utilisation est prévue dans le véhicule en fonctionnement, sont également à considérer comme faisant partie de l'éthylotest antidémarrage, le cas échéant. L'application de service communique avec l'éthylotest antidémarrage et envoie les enregistrements d'événement à un registre, directement ou par un intermédiaire. Le schéma est présenté à la Figure 1. Il présente également les parties relevant du domaine d'application de la présente Norme européenne et celles qui n'en relèvent pas. NOTE Dans cette Figure, et dans toutes les autres, le sens des flèches indique le flux des enregistrements d'événement. La présente Norme européenne s'applique - à l'éthylotest antidémarrage, - à l'application de service. La présente Norme européenne ne s'applique pas - à la sécurité des données de l'intermédiaire, - à la sécurité des données du registre, - au stockage des données téléchargées, - aux exigences de processus organisationnels (définition des droits d'accès aux données, par exemple). 1.2 Déclaration de conformité Conformément aux Critères communs d'évaluation de la sécurité des technologies de l'information en tant que Profil de protection, la présente Norme européenne satisfait: - aux critères communs, Version 3.1, Révision 4, tels que définis par CCp1, CCp2, CCp3 et CEMe, - aux critères communs - Partie 2 en tant que conformité aux critères communs - Partie 2, - aux critères communs - Partie 3 en tant que conformité aux critères communs - Partie 3. NOTE 1 Une version antérieure de CCp1 est publiée sous la forme de l'ISO/IEC 15408 1. NOTE 2 Une version antérieure de CCp2 est publiée sous la forme de l'ISO/IEC 15408 2. NOTE 3 Une version antérieure de CCp3 est publiée sous la forme de l'ISO/IEC 15408 3. NOTE 4 Une version antérieure de CEMe est publiée sous la forme de l'ISO/IEC 18045.

Ta evropski standard določa varnostne zahteve za zaščito in obravnavanje zapisov dohodkov, ki so shranjeni v pomnilniku alkoholnih zapor, ki merijo alkohol v sapi, pri čemer jih je možno prenesti, obdelati in posredovati nadzornim osebam ali organizacijam.
Ta evropski standard dopolnjuje standard EN 50436-1. Ustrezni pristojni organ mora izbrati, ali je treba trenutni standard uporabiti poleg standarda EN 50436-1.
Ta evropski standard se lahko uporablja tudi kot dodatek k standardu EN 50436-2, če se pristojni organ ali upravljavec voznega parka odloči, da mora za varnost podatkov v njegovi preventivni aplikaciji veljati enako visoka raven zahtev kot za alkoholne zapore, ki se uporabljajo v programih za prevzgojo voznikov, ki so vozili pod vplivom alkohola.
Ta evropski standard je namenjen zlasti preskusnim laboratorijem, proizvajalcem alkoholnih zapor, zakonodajnim organom in organizacijam, ki obravnavajo ter uporabljajo zapise dogodkov alkoholnih zapor.
V tem evropskem standardu alkoholna zapora v osnovi zajema ročni element in nadzorno enoto. Izbirne dodatne naprave (npr. kamera, modul za prenos podatkov), ki so namenjene uporabi v vozilu, se prav tako štejejo za del alkoholne zapore, kadar je to primerno.
Aplikacija storitve komunicira z alkoholno zaporo in pošlje zapise dogodkov v register, in sicer neposredno ali posredno prek posrednika.

Contents Page
Foreword . 5
Introduction . 6
1 Scope . 7
1.1 General . 7
1.2 Conformance claim . 8
2 Normative references . 8
3 Terms and definitions . 9
4 General . 11
4.1 Use of the alcohol interlock . 11
4.2 Major security features . 11
4.3 Hardware, software and firmware not being part of the alcohol interlock and the
service application . 12
5 Alcohol interlock classes . 12
5.1 General . 12
5.2 Class A: transparent service application without broker . 12
5.3 Class B: transparent service application with broker . 13
5.4 Class C: opaque service application . 14
5.5 Class D: service application without broker and without register . 15
6 Security objectives . 15
6.1 General . 15
6.2 Security objectives for the alcohol interlock and the service application. 16
6.3 Security objectives for the operational environment (informative) . 18
6.3.1 Overview . 18
6.3.2 General security objectives for the operational environment . 19
6.3.3 Security objectives for the register . 19
6.3.4 Security objectives for the broker . 20
7 Security requirements. 21
7.1 Terms . 21
7.2 Security Functional Requirements . 22
7.2.1 General . 22
7.2.2 FAU_GEN.1 Audit event records generation . 23
7.2.3 FAU_STG.1 Protected data memory . 24
7.2.4 FAU_STG.3 Action in case of possible event records loss . 24
7.2.5 FAU_STG.4 Prevention of event records loss . 24
7.2.6 FCS_COP.1(1) Cryptographic operation . 24
7.2.7 FCS_COP.1(2) Cryptographic operation . 25
7.2.8 FCS_COP.1(3) Cryptographic operation . 25
7.2.9 FDP_ACC.1 Subset access control . 25
7.2.10 FDP_ACF.1 Security attribute based access control . 25

-3- EN 50436-6:2015
7.2.11 FDP_ITT.1 Basic internal transfer protection . 26
7.2.12 FDP_ITT.3 Integrity monitoring . 27
7.2.13 FDP_RIP.1 Subset residual information protection . 27
7.2.14 FIA_UAU.2 User authentication before any action (not applicable if the authentication is
done in the operational environment) . 27
7.2.15 FIA_UID.2 User identification before any action (not applicable if the authentication is done
in the operational environment) . 27
7.2.16 FPT_PHP.1(1) Passive detection of physical attack . 28
7.2.17 FPT_PHP.1(2) Passive detection of physical attack . 28
7.2.18 FPT_STM.1 Reliable time stamps . 28
7.3 Cryptographic algorithms . 28
7.4 Security assurance requirements . 29
Annex A (informative) Security problem definition . 30
A.1 General . 30
A.2 Assets . 30
A.3 Threat agents . 30
A.4 Threat overview . 30
A.5 Threats . 32
A.5.1 Interfering with the sensors and the signals to the vehicle (I) . 32
A.5.2 Prevention of detection of events (II) . 33
A.5.3 Prevention of generation of event records or generation of undesirable event records
(III) . 33
A.5.4 Failure to correctly store event records in the alcohol interlock (IV) . 33
A.5.5 Failure to correctly transfer event records between alcohol interlock and service
application (V) . 34
A.5.6 Failure to correctly handle the event records in the service application (VI) . 34
A.5.7 Failure to correctly transfer event records between service application and register
(VII) . 35
A.5.8 Failure to correctly register event records at the register (VIII). 35
A.5.9 Failure to correctly transfer event records between service application and broker
(IX) . 35
A.5.10 Failure to correctly convert event records at the broker (X) . 36
A.5.11 Failure to correctly transfer event records between broker and register (XI) . 36
Annex B (informative) Rationales . 37
B.1 General . 37
B.2 Security objectives rationale . 37
B.2.1 Interfering with the sensors and the signals to the vehicle (I) . 37
B.2.2 Prevention of detection of events (II) . 38
B.2.3 Prevention of generation of event records or generation of undesirable event records
(III) . 38
B.2.4 Failure to correctly store event records in the alcohol interlock (IV) . 39
B.2.5 Failure to correctly transfer event records between alcohol interlock and service
application (V) . 40
B.2.6 Failure to correctly handle the event records in the service application (VI) . 41
B.2.7 Failure to correctly transfer event records between service application and register
(VII) . 42
B.2.8 Failure to correctly register event records at the register (VIII). 44

B.2.9 Failure to correctly transfer event records between service application and broker
(IX) . 44
B.2.10 Failure to correctly convert event records at the broker (X) . 46
B.2.11 Failure to correctly transfer event records between broker and register (XI) . 46
B.3 Security requirements rationale . 47
B.4 D

