ФЕДЕРАЛЬНОЕ АГЕНТСТВО
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
ГОСТ Р исо/мэк 18045—
2008
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Методология оценки безопасности информационных технологий
ISO/IEC 18045:2005
Information technology — Security techniques — Methodology for IT security evaluation (IDT)
Издание официальное
Москва
Стамдартинформ
2009
ГОСТ Р ИСО/МЭК18045—2008
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации — ГОСТ Р 1.0 — 2004 «Стандартизация в Российской Федерации. Основные положения»
Сведения о стандарте
-
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Центр безопасности информации» (ООО «ЦБИ»), Федеральным государственным учреждением «4 Центральный научно-исследовательский институт Министерства обороны России» (ФГУ «4 ЦНИИ Минобороны России»), Федеральным государственным унитарным предприятием «Научно-технический и сертификационный центр по комплексной защите информации» (ФГУП Центр «Атомзащитаинформ»), Федеральным государственным унитарным предприятием «Центральный научно-исследовательский институт управления, экономики и информации Росатома» (ФГУП «ЦНИИАТОМИНФОРМ») при участии экспертов Международной рабочей группы по Общим критериям на основе собственного аутентичного перевода стандарта, указанного в пункте 4
-
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»
-
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. №522-ст
-
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 18045:2005 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» (ISO/IEC 18045:2005 «Information technology—Security techniques—Methodology for IT security evaluation»).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении В
-
5 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования— на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
©Стандартинформ, 2009
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
Содержание
-
1 Область применения
-
2 Нормативные ссылки
-
3 Термины и определения
-
4 Обозначения и сокращения………………………………
-
5 Краткий обзор……………………………………
-
5.1 Структура стандарта………………………………..
-
-
6 Принятые соглашения…………………………………
-
6.1 Терминология…………………………………..
-
6.2 Применение глаголов……………………………….
-
6.3 Общие указания по оценке…………………………….
-
6.4 Взаимосвязь между структурами ИСО/МЭК 15408 и настоящего стандарта……….
-
6.5 Вердикты оценщика………………………………..
-
-
7 Общие задачи оценки…………………………………
-
7.1 Введение…………………………………….
-
7.2 Задача получения исходных данных для оценки……………………
-
7.2.1 Цели……………………………………
-
7.2.2 Замечания по применению…………………………..
-
7.2.3 Подзадача управления свидетельством оценки…………………
-
-
7.3 Задача оформления результатов оценки………………………
-
7.3.1 Цели……………………………………
-
7.3.2 Замечания по применению………………………….
-
7.3.3 Подзадача подготовки СП…………………………..
-
7.3.4 Подзадача подготовки ТОО………………………….
-
7.3.5 Подвиды деятельности по оценке……………………….
-
-
-
8 Оценка профиля защиты………………………………..
-
8.1 Введение…………………………………….
-
8.2 Организация оценки ПЗ………………………………
-
8.3 Вид деятельности «Оценка профиля защиты»…………………….
-
8.3.1 Оценка раздела «Описание 00» (APE_DES.1)………………….
-
8.3.2 Оценка раздела «Среда безопасности ОО» (APE_ENV.1)…………….
-
8.3.3 Оценка раздела «Введение ПЗ» (APEJNT.1)…………………..
-
8.3.4 Оценка раздела «Цели безопасности» (APE_OBJ.1)……………….
-
8.3.5 Оценка раздела «Требования безопасности ИТ» (APE_REQ.1)…………..
-
8.3.6 Оценка требований безопасности ИТ, сформулированных в явном виде (APE_SRE.1) . .
-
-
-
9 Оценка задания по безопасности……………………………
-
9.1 Введение…………………………………….
-
9.2 Организация оценки ЗБ………………………………
-
9.3 Вид деятельности «Оценка задания по безопасности»…………………
-
9.3.1 Оценка раздела «Описание ОО» (ASE_DES.1)………………….
-
9.3.2 Оценка раздела «Среда безопасности ОО» (ASE_ENV.1)…………….
-
9.3.3 Оценка раздела «Введение ЗБ» (ASEJNT.1)…………………..
-
9.3.4 Оценка целей безопасности (ASE_OBJ.1)……………………
-
9.3.5 Оценка раздела «Утверждение о соответствии ПЗ» (ASE_PPC.1)………….
-
9.3.6 Оценка раздела «Требования безопасности ИТ» (ASE_REQ.1)…………..
-
9.3.7 Оценка требований безопасности ИТ, сформулированных в явном виде (ASE_SRE.1) . .
-
9.3.8 Оценка раздела «Краткая спецификация ОО» (ASE_TSS.1)……………
-
-
-
10 Оценка по ОУД1…………………………………..
-
10.1 Введение……………………………………
-
10.2 Цели………………………………………
-
10.3 Организация оценки по ОУД1……………………………
-
10.4 Вид деятельности «Управление конфигурацией»…………………..
-
10.4.1 Оценка возможностей УК (АСМ_САР.1)……………………
-
-
ГОСТ Р ИСО/МЭК18045—2008
-
10.5 Вид деятельности «Поставка и эксплуатация»
-
10.5.1 Оценка установки, генерации и запуска (ADOJGS.1)
-
-
10.6 Вид деятельности «Разработка»
-
10.6.1 Замечания по применению
-
10.6.2 Оценка функциональной спецификации (ADV_FSP.1)
-
10.6.3 Оценка соответствия представлений (ADV_RCR.1)
-
-
10.7 Вид деятельности «Руководства»
-
10.7.1 Замечания по применению
-
10.7.2 Оценка руководства администратора (AGD_ADM.1)
-
10.7.3 Оценка руководства пользователя (AGD_USR.1)
-
-
10.8 Вид деятельности «Тестирование»
-
10.8.1 Замечания по применению
-
10.8.2 Оценка путем независимого тестирования (ATE_IND.1)
-
-
11 Оценка по ОУД2
-
11.1 Введение
-
11.2 Цели
-
11.3 Организация оценки по ОУД2
-
11.4 Вид деятельности «Управление конфигурацией»
-
11.4.1 Оценка возможностей УК (АСМ САР.2)
-
-
11.5 Вид деятельности «Поставка и эксплуатация»
-
11.5.1 Оценка поставки (ADO_DEL.1)
-
11.5.2 Оценка установки, генерации и запуска (ADO_IGS.1)
-
-
11.6 Вид деятельности «Разработка»
-
11.6.1 Замечания по применению
-
11.6.2 Оценка функциональной спецификации (ADV_FSP.1)
-
11.6.3 Оценка проекта верхнего уровня (ADV_HLD.1)
-
11.6.4 Оценка соответствия представлений (ADV_RCR.1)
-
-
11.7 Вид деятельности «Руководства»
-
11.7.1 Замечания по применению
-
11.7.2 Оценка руководства администратора (AGD_ADM.1)
-
11.7.3 Оценка руководства пользователя (AGD_USR.1)
-
-
11.8 Вид деятельности «Тестирование»
-
11.8.1 Замечания по применению
-
11.8.2 Оценка покрытия (ATE_COV.1)
-
11.8.3 Оценка функциональных тестов (ATE_FUN.1)
-
11.8.4 Оценка путем независимого тестирования (ATEJND.2)
-
-
11.9 Вид деятельности «Оценка уязвимостей»
-
11.9.1 Оценка стойкости функций безопасности ОО (AVA_SOF.1)
-
11.9.2 Оценка анализа уязвимостей (AVA_VLA.1)
-
-
-
12 Оценка по ОУДЗ
-
12.1 Введение
-
12.2 Цели
-
12.3 Организация оценки по ОУДЗ
-
12.4 Вид деятельности «Управление конфигурацией»
-
12.4.1 Оценка возможностей УК (АСМ_САР.З)
-
12.4.2 Оценка области УК (ACM_SCP.1)
-
-
12.5 Вид деятельности «Поставка и эксплуатация»
-
12.5.1 Оценка поставки (ADO_DEL.1)
-
12.5.2 Оценка установки, генерации и запуска (ADO_IGS.1)
-
-
12.6 Вид деятельности «Разработка»
-
12.6.1 Замечания по применению
-
12.6.2 Оценка функциональной спецификации (ADV_FSP.1)
-
12.6.3 Оценка проекта верхнего уровня (ADV_HLD.2)
-
12.6.4 Оценка соответствия представлений (ADV_RCR.1)
-
-
-
12.7 Вид деятельности «Руководства»
-
12.7.1 Замечания по применению
-
12 7.2 Оценка руководства администратора (AGD_ADM.1)
-
12.7.3 Оценка руководства пользователя (AGD-USR.1)
-
12.8 Вид деятельности «Поддержка жизненного цикла»
-
12.8.1 Оценка безопасности разработки (ALC_DVS.1)
-
-
12.9 Вид деятельности «Тестирование»
-
12.9.1 Замечания по применению
-
12.9.2 Оценка покрытия (ATE_COV.2)
-
12.9.3 Оценка глубины (ATE_DPT.1)
-
12.9.4 Оценка функциональных тестов (ATE-FUN.1)
-
12.9.5 Оценка путем независимого тестирования (ATEJND.2)
-
-
12.10 Вид деятельности «Оценка уязвимостей»
-
12.10.1 Оценка неправильного применения (AVA—MSU.1)
-
12.10.2 Оценка стойкости функций безопасности ОО (AVA_SOF.1)
-
12.10.3 Оценка анализа уязвимостей (AVA_VLA.1)
-
-
13 Оценка по ОУД4
-
13.1 Введение
-
13.2 Цели
-
13.3 Организация оценки по ОУД4
-
13.4 Вид деятельности «Управление конфигурацией»
-
13.4.1 Оценка автоматизации УК (ACM AUT.1)
-
13.4.2 Оценка возможностей УК (АСМ-САР.4)
-
13.4.3 Оценка области УК (ACM_SCP.2)
-
-
13.5 Вид деятельности «Поставка и эксплуатация»
-
13.5.1 Оценка поставки (ADO_DEL.2)
-
13.5.2 Оценка установки, генерации и запуска (ADO_IGS.1)
-
-
13.6 Вид деятельности «Разработка»
-
13.6.1 Замечания по применению
-
13.6.2 Оценка функциональной спецификации (ADV_FSP.2)
-
13.6.3 Оценка проекта верхнего уровня (ADV_HLD.2)
-
13.6.4 Оценка представления реализации (ADV-IMP.1)
-
13.6.5 Оценка проекта нижнего уровня (ADV-LLD.1)
-
13.6.6 Оценка соответствия представлений (ADV-RCR.1)
-
13.6.7 Оценка моделирования политики безопасности ОО (ADV_SPM.1)
-
-
13.7 Вид деятельности «Руководства»
-
13.7.1 Замечания по применению
-
13.7.2 Оценка руководства администратора (AGD_ADM.1)
-
13.7.3 Оценка руководства пользователя (AGDJJSR.1)
-
-
13.8 Вид деятельности «Поддержка жизненного цикла»
-
13.8.1 Оценка безопасности разработки (ALC_DVS.1)
-
13.8.2 Оценка определения жизненного цикла (ALC_LCD.1)
-
13.8.3 Оценка инструментальных средств и методов (ALC_TAT.1)
-
-
13.9 Вид деятельности «Тестирование»
-
13.9.1.3амечания по применению
-
13.9.2 Оценка покрытия (ATE_COV.2)
-
13.9.3 Оценка глубины (ATE_DPT.1)
-
13.9.4 Оценка функциональных тестов (ATE_FUN.1)
-
13.9.5 Оценка путем независимого тестирования (ATEJND.2)
-
13.10 Вид деятельности «Оценка уязвимостей»
-
13.10.1 Оценка неправильного применения (AVA_MSU.2)
-
13.10.2 Оценка стойкости функций безопасности ОО (AVA_SOF.1)
-
13.10.3 Оценка анализа уязвимостей (AVA_VLA.2)
-
ГОСТ Р ИСО/МЭК18045—2008
-
14 Подвид деятельности «Устранение недостатков»
-
14.1 Оценка устранения недостатков (ALC_FLR.1)
-
1411 Цели….. …
-
14.1.2 Исходные данные
-
14.1.3 Действие ALC_FLR. 1.1 Е
-
14.2 Оценка устранения недостатков (ALC_FLR.2)
-
14.2.1 Цели
-
14.2.2 Исходные данные
-
14.2.3 Действие ALC_FLR.2.1E
-
-
14.3 Оценка устранения недостатков (ALC_FLR.3)
-
14.3.1 Цели
-
14.3.2 Исходные данные
-
14.3.3 Действие ALC_FLR.3.1E
-
Приложение А(обязательное) Общие указания по оценке
А.1 Цели
А.2 Выборка
А.З Анализ непротиворечивости
А.4 Зависимости
А.4.1 Зависимости между видами деятельности
А.4.2 Зависимости между подвидами деятельности
А.4.3 Зависимости между действиями
А.5 Посещение объектов
А.6 Границы объекта оценки
А.6.1 Продукт и система
А.6.2 Объект оценки
А.6.3 Функции безопасности объекта оценки
А.6.4 Оценка
А.6.5 Сертификация
А.7 Угрозы и требования класса FPT
А.7.1 Объекты оценки, для которых не обязательны требования класса FPT
А.7.1.1 Объект оценки с ограниченным интерфейсом пользователя
А.7.1.2 Объект оценки, не осуществляющий соответствующую политику безопасности . 217
А.7.1.3 Защита обеспечивается средой
А.7.2 Воздействие на семейства доверия
А.7.2.1 ADV
А.7.2.2 AVA VLA
А.7.2.3 ATE IND
А.8 Стойкость функций безопасности и анализ уязвимостей
А.8.1 Потенциал нападения
А.8.1.1 Применение потенциала нападения
А.8.1.2 Трактовка мотивации
А.8.2 Вычисление потенциала нападения
А.8.2.1 Идентификация и использование
А.8.2.2 Учитываемые факторы
А.8.2.3 Подход к вычислению
А.8.3 Пример анализа стойкости функции
А.9 Сфера ответственности системы оценки
Приложение В (справочное) Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам
Введение
Международный стандарт ИСО/МЭК 18045:2005 подготовлен Совместным техническим комитетом ИСО/МЭК СТК 1 «Информационные технологии», Подкомитетом ПК 27 «Методы и средства обеспечения безопасности ИТ». Идентичный ИСО/МЭК 18045:2005 текст опубликован организациями —спонсорами проекта «Общие критерии» как «Общая методология оценки безопасности информационных технологий», версия 2.3 (ОМО, версия 2.3).
Методология оценки безопасности информационных технологий (ИТ), представленная в настоящем стандарте, идентичном ИСО/МЭК 18045:2005, ограничена оценками для оценочных уровней доверия (ОУД) ОУД1 —ОУД4, определенных в ИСО/МЭК 15408:2005. Это не обеспечивает руководство для оценки по ОУД 5-7, а также для оценок, использующих другие пакеты доверия.
Потенциальные пользователи настоящего стандарта — прежде всего оценщики, применяющие ИСО/МЭК 15408. и органы по сертификации, подтверждающие действия оценщика, заявители оценки, разработчики, авторы профилей защиты (ПЗ) и заданий по безопасности (ЗБ) и другие стороны, заинтересованные в безопасности ИТ.
Настоящим стандартом признано, что не на все вопросы оценки безопасности ИТ можно найти в нем ответы и что дальнейшие интерпретации будут необходимы. В конкретных системах оценки должно быть решено, как обращаться с такими интерпретациями, хотя они могут быть подчинены соглашениям о взаимном признании. Список связанных с методологией вопросов, которые могут быть определены в конкретной системе оценки, приведен в приложении А.
ГОСТ Р ИСО/МЭК 18045—2008
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Методология оценки безопасности информационных технологий
Information technology. Security techniques. Methodology for IT security evaluation
Дата введения — 2009 — 10 — 01
1 Область применения
Настоящий стандарт—нормативный документ, применяемый совместно с ИСО/МЭК 15408. Настоящий стандарт описывает минимум действий, выполняемых оценщиком при проведении оценки безопасности информационных технологий (ИТ) по ИСО/МЭК 15408 с использованием критериев и свидетельств оценки, определенных в ИСО/МЭК 15408.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты:
ИСО/МЭК 15408-1:2005 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель
ИСО/МЭК 15408-2:2005 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 2. Функциональные требования безопасности
ИСО/МЭК 15408-3:2005 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Требования к обеспечению защиты
ИСО 9000:2000 Системы менеджмента качества. Основные положения и словарь
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
Примечание – Для терминов, выделенных в тексте определений полужирным шрифтом, в настоящем разделе даны собственные определения.
-
3.1 действие (action): Элемент действий оценщика по ИСО/МЭК 15408-3. Эти действия или сформулированы в явном виде как действия оценщика, или неявно следуют из действий разработчика (подразумеваемые действия оценщика) в рамках компонентов доверия ИСО/МЭК 15408-3.
-
3.2 вид деятельности (activity): Применение класса доверия по ИСО/МЭК 15408-3.
-
3.3 проверить (check): Вынести вердикт посредством простого сравнения, при этом специальные знания и опыт оценщика не требуются. В формулировке, в которой используется этот глагол, должно быть описано то, что подлежит сравнению.
-
3.4 поставка для оценки (evaluation deliverable): Любой ресурс, который оценщик или орган оценки требует от заявителя или разработчика для выполнения одного или нескольких видов деятельности по проведению оценки или по надзору за оценкой.
-
3.5 свидетельство оценки (evaluation evidence): Фактическая поставка для оценки.
Издание официальное
-
3.6 технический отчет об оценке (evaluation technical report): Отчет, выпущенный оценщиком, представленный в орган оценки и содержащий общий вердикт и его логическое обоснование.
-
3.7 исследовать (examine): Вынести вердикт на основе анализа с использованием специальных знаний и опыта оценщика. Формулировка, в которой используется этот глагол, указывает на то, что конкретно и какие свойства должны быть подвергнуты анализу.
-
3.8 интерпретация (interpretation): Разъяснение или расширение требования ИСО/МЭК 15408, настоящего стандарта или системы оценки.
-
3.9 методология (methodology): Система принципов, процедур и процессов, применяемых для оценки безопасности информационных технологий.
-
3.10 сообщение о проблеме (observation report): Сообщение, документально оформленное оценщиком, в котором он просит разъяснений или указывает на возникшую при оценке проблему.
-
3.11 общий вердикт (overall verdict): Положительный или отрицательный вывод оценщика по результатам оценки.
-
3.12 вердикт органа оценки (oversight verdict): Вывод органа оценки, подтверждающий или отклоняющий общий вердикт, который основан на результатах деятельности по надзору за оценкой.
-
3.13 зафиксировать (record): Сохранить в документальной форме описания процедур, событий, данных наблюдений, предположений и результатов на уровне детализации, достаточном для обеспечения воспроизведения в будущем процесса выполнения оценки.
-
3.14 привести в отчете (сообщении) (report): Включить результаты оценки и вспомогательные материалы в технический отчет об оценке или в сообщение о проблеме.
-
3.15 система оценки (scheme): Совокупность правил, установленных органом оценки и определяющих среду оценки, включая критерии и методологию, требуемые для проведения оценки безопасности информационных технологий.
-
3.16 подвид деятельности (sub-activity): Применение компонента доверия ИСО/МЭК 15408-3. Семейства доверия прямо не рассматриваются в настоящем стандарте, поскольку при проведении оценки всегда используется только один компонент доверия из применяемого семейства.
-
3.17 прослеживание (tracing): Однонаправленная связь между двумя совокупностями сущностей, которая показывает, какие сущности в первой совокупности каким сущностям из второй соответствуют.
-
3.18 вердикт (verdict): Вывод оценщика (положительный, отрицательный или неокончательный) применительно к некоторому элементу действий оценщика, компоненту или классу доверия из ИСО/МЭК 15408. См. также общий вердикт.
-
3.19 шаг оценивания (work unit): Наименьшая структурная единица работ по оценке. Каждое действие в методологии оценки включает в себя один или несколько шагов оценивания, которые сгруппированы в пределах действия методологии оценки применительно к элементам содержания и представления свидетельств или элементам действий разработчика ИСО/МЭК 15408-3. Шаги оценивания представлены в настоящем стандарте в том же порядке, что и элементы ИСО/МЭК 15408-3, из которых они следуют. Шаги оценивания идентифицированы условным обозначением типа 4:ALC_TAT.1-2. В этом обозначении первая цифра (4) указывает на оценочный уровень доверия (ОУД), последовательность символов ALCJTAT. 1 указывает на компонент ИСО/МЭК 15408-3 (т.е. на подвид деятельности из настоящего стандарта), а завершающая цифра (2) указывает, что это второй шаг оценивания в подвиде деятельности А1_С_ТАТ.1.
4 Обозначения и сокращения
В настоящем стандарте применены следующие сокращения: ЗБ (ST) — задание по безопасности;
ИТ (ГТ) — информационная технология;
H0BO(TSFI) — интерфейс функции безопасности объекта оценки;
ОДФ (TSC) ОО(ТОЕ) ОУД(ЕА1_) ПВО (TSP) ПЗ (РР)
-
— область действия функции безопасности объекта оценки;
-
— объект оценки;
-
— оценочный уровень доверия;
-
— политика безопасности объекта оценки;
-
— профиль защиты;
ПФБ (SFP) СФБ (SOF) СП (OR) TOO(ETR) УК (CM) ФБ (SF) ФБО (TSF)
-
— политика функции безопасности;
-
— стойкость функции безопасности;
-
— г.поб| црния л проблеме;
-
— технический отчет об оценке;
-
— управление конфигурацией;
-
— функция безопасности;
-
— функции безопасности объекта оценки.
5 Краткий обзор
-
5.1 Структура стандарта
Раздел 6 определяет соглашения, используемые в настоящем стандарте.
В разделе 7 описаны общие задачи оценки без определения вердиктов, связанных с ними, поскольку эти задачи не отображаются на элементы действий оценщика из ИСО/МЭК 15408-3.
Раздел 8 определяет оценку профиля защиты.
Раздел 9 определяет оценку задания по безопасности.
В разделах 10—13 определены минимальные усилия по оценке, необходимые для успешного выполнения оценки по ОУД1—ОУД4, и предоставлено руководство по способам и средствам выполнения оценки.
Раздел 14 определяет виды деятельности по оценке устранения недостатков.
Приложение А охватывает базовые методы оценки, используемые для предоставления технических свидетельств результатов оценки.
6 Принятые соглашения
-
6.1 Терминология
В отличие от ИСО/МЭК 15408, где каждый соответствующий элемент во всех компонентах одного семейства доверия имеет один и тот же номер, указанный последней цифрой его условного обозначения, настоящий стандарт может вводить новые шаги оценивания при изменении элемента действий оценщика из ИСО/МЭК 15408 в зависимости от подвида деятельности; в результате, последняя цифра условного обозначения последующих шагов оценивания изменится, хотя шаг оценивания останется тем же самым. Например, если для ОУД4 добавлен новый шаг оценивания, помеченный 4:ADV_FSP.2-7, то номера последующих шагов оценивания подвида деятельности FSP увеличиваются на единицу. Тогда шагу оценивания 3:ADV_FSP. 1-8 соответствует шаг оценивания 4:ADV_FSP.2-9, хотя каждый из указанных шагов содержит одно и то же требование, их нумерация внутри своего подвида деятельности более не совпадает.
Любая определенная в методологии работа по оценке, которая не следует непосредственно из требований ИСО/МЭК 15408, называется задачей или подзадачей.
-
6.2 Применение глаголов
Любому основному глаголу описания шага оценивания или подзадачи предшествует вспомогательный глагол «должен». Вспомогательный глагол «должен» используют при обязательности содержащего его текста и, следовательно, только в рамках шага оценивания или подзадачи. Шаги оценивания и подзадачи содержат обязательные действия, которые оценщик должен выполнить, чтобы вынести вердикт.
Текст, сопровождающий шаги оценивания и подзадачи, содержит дальнейшие разъяснения использования формулировок ИСО/МЭК 15408 при оценке.
Глаголы «проверить» (check), «исследовать» (examine), «привести в отчете» (report) и «зафиксировать» (record) в тексте настоящего стандарта имеют точный смысл, указанный в определениях раздела 3.
-
6.3 Общие указания по оценке
Материал, который применим более чем к одному подвиду деятельности, приведен в одном месте. Указания, которые являются широко применимыми (к нескольким видам деятельности или ОУД). приведены в приложении А. Указания, относящиеся к нескольким подвидам одного вида деятельности, содержатся во вводной части описания этого вида деятельности. Если указания относятся только к одному подвиду деятельности, они содержатся только в его описании.
-
6.4 Взаимосвязь между структурами ИСО/МЭК 15408 и настоящего стандарта
Имеется прямая взаимосвязь между структурой ИСО/МЭК 15408 (класс-семейство-компонент-эле-мент) и структурой настоящего стандарта Рисунок 1 иллюстрирует соотдятстаиА между такими конструк! (и-ями ИСО/МЭК 15408. как классы, компоненты и элементы действий оценщика, и рассматриваемыми в методологии оценки видами деятельности, подвидами деятельности и действиями. Некоторые шаги оценивания из методологии оценки могут следовать из требований ИСО/МЭК 15408. содержащихся в элементах действий разработчика или элементах содержания и представления свидетельств.
Рисунок 1 — Соотношение структур ИСО/МЭК 15408 и настоящего стандарта
-
6.5 Вердикты оценщика
Оценщик выносит вердикт относительно выполнения требований ИСО/МЭК 15408. а не требований настоящего стандарта. Наименьшая структурная единица ИСО/МЭК 15408, по которой выносят вердикт, — элемент действий оценщика (явный или подразумеваемый). Вердикт по выполняемому элементу действий оценщика из ИСО/МЭК 15408 выносят как результат выполнения соответствующего действия из методологии оценки и составляющих его шагов оценивания. В итоге результат оценки формируют в соответствии с ИСО/МЭК 15408-1 (подраздел 6.3).
В настоящем стандарте различают три взаимоисключающих вида вердикта:
-
a) условиями положительного вердикта являются завершение оценщиком элемента действий оценщика по ИСО/МЭК 15408 и определение, что при оценке требования к ПЗ. ЗБ или ОО выполнены. Для элемента действий оценщика условием положительного вердикта является успешное завершение всех шагов оценивания, составляющих соответствующее действие из методологии оценки;
-
b) условием неокончательного вердикта является незавершение оценщиком одного или нескольких шагов оценивания из действия, изложенного в методологии оценки, связанного с элементом действий оценщика по ИСО/МЭК 15408;
-
c) условиями отрицательного вердикта являются завершение оценщиком элемента действий оценщика из ИСО/МЭК 15408 и определение, что при оценке требования к ПЗ. ЗБ или ОО не выполнены.
Все вердикты сначала неокончательные и остаются такими до вынесения положительного или отрицательного вердикта.
Общий вердикт положительный тогда и только тогда, когда все составляющие вердикта положительные. В примере, показанном на рисунке 2, вердикт для одного из элементов действий оценщика отрицательный, поэтому вердикты для соответствующего компонента доверия, класса доверия и общий вердикт также отрицательные.
Результат оценки
Рисунок 2 — Пример правила вынесения вердикта
7 Общие задачи оценки
-
7.1 Введение
Каждый тип оценки — оценка ПЗ или оценка 00 (в том числе оценка ЗБ), включает в себя две общие задачи для оценщика: задачу получения исходных данных для оценки и задачу оформления ре* зультатов оценки. Эти две задачи, которые относятся к управлению свидетельствами оценки и созданию отчетов, описаны в настоящем разделе. Каждая из задач включает в себя связанные с ней подзадачи, которые применяются и являются нормативными для всех типов оценок по ИСО/МЭК 15408 (оценка ПЗ или оценка ОО).
Несмотря на то, что ИСО/МЭК 15408 не предъявляет каких-либо конкретных требований к этим задачам оценки, такие требования там, где это необходимо, устанавливает настоящий стандарт. В отличие от видов деятельности, описанных в других местах настоящего стандарта, эти задачи не предполагают вынесения по ним каких-либо вердиктов, поскольку они не отображаются на элементы действий оценщика, изложенные в ИСО/МЭК 15408; их выполняют, чтобы обеспечить соответствие настоящему стандарту.
-
7.2 Задача получения исходных данных для оценки
-
7.2.1 Цели
-
Цель этой задачи состоит в том, чтобы обеспечить оценщика корректной версией свидетельств, необходимых для оценки, и соответствующую их защиту. Иначе не могут быть гарантированы ни техническая точность оценки, ни проведение оценки способом, обеспечивающим повторяемость и воспроизводимость результатов.
-
7.2.2 Замечания по применению
Ответственность за представление всех требуемых свидетельств оценки возложена на заявителя. Однако большинство свидетельств оценки, вероятно, будет создано и поставлено разработчиком от имени заявителя. Поскольку требования доверия относятся к 00 в целом, то необходимо, чтобы оценщику были доступны свидетельства оценки, относящиеся ко всем продуктам, которые являются частями ОО. Область применения и требуемое содержание такого свидетельства оценки независимы от уровня контроля разработчиком каждого из продуктов, составляющих ОО. Например, если требуется проект верхнего уровня, то требования семейства ADV_HLD «Проект верхнего уровня» относятся ко всем подсистемам, осуществляющим ФБО. Кроме того, требования доверия, согласно которым необходимо выполнение определенных процедур (например, из семейств АСМ_САР «Возможности УК» и ADO_DEL «Поставка»), также относятся к ОО в целом (включая любой продукт другого разработчика).
Оценщику рекомендуется совместно с заявителем представить указатель требуемых свидетельств оценки. Этот указатель может являться совокупностью ссылок на документацию. В нем следует привести достаточную информацию (например, аннотацию каждого документа или, по меньшей мере, его полное наименование и перечень разделов, представляющих интерес), позволяющую оценщику легко найти требуемое свидетельство.
Информации, содержащейся в требуемом свидетельстве оценки, не предписана какая-либо специфическая структура документирования. Свидетельство оценки для подвида деятельности может быть обеспечено несколькими отдельными документами, а один документ может удовлетворять нескольким требованиям к исходным данным для некоторого подвида деятельности.
Оценщику требуются завершенные и официально выпущенные версии свидетельств оценки. Однако в процессе оценки в помощь оценщику могут быть представлены и предварительные материалы свидетельств, например при предварительной неформальной проверке, но не для использования в качестве основы для вердиктов. Оценщику может быть полезно ознакомиться с предварительными версиями свидетельств оценки, таких как:
-
a) тестовая документация, позволяющая оценщику предварительно оценить тесты и процедуры тестирования:
-
b) проектная документация, предоставляющая оценщику исходную информацию для понимания конструкции ОО;
-
c) исходный код или схемы аппаратуры, позволяющие оценить применение стандартов, используемых разработчиком.
Использование предварительных версий свидетельств оценки наиболее применимо там, где оценка ОО выполняется параллельно с его разработкой. Однако это возможно и при оценке разработанного ОО, когда разработчику приходится выполнять дополнительную работу по устранению недостатков, указанных оценщиком (например, по исправлению ошибки в проекте или в реализации), или когда требуются свидетельства для оценки безопасности, отсутствующие в имеющейся документации (например, когда ОО изначально был разработан без учета требований ИСО/МЭК 15408).
-
7.2.3 Подзадача управления свидетельством оценки
-
7.2.3.1 Контроль конфигурации
-
Оценщик должен осуществлять контроль конфигурации свидетельства оценки.
ИСО/МЭК 15408 подразумевает, что после получения свидетельства оценщик способен идентифицировать и локализовать каждый элемент свидетельства оценки, а также определить, находится ли в его распоряжении конкретная версия документа.
Оценщик должен защищать свидетельство оценки от изменения или утраты, когда оно находится в его распоряжении.
-
7.2.3.2 Изъятие из использования
Системы оценки могут предусматривать контроль за изъятием из использования свидетельств оценки после завершения оценки. Изъятие из использования свидетельств оценки может быть проведено посредством следующих действий:
-
a) возврата свидетельств оценки;
-
b) архивирования свидетельств оценки;
-
c) уничтожения свидетельств оценки.
-
7.2.3.3 Конфиденциальность
Во время проведения оценки оценщик может получить доступ к чувствительной коммерческой информации заявителя и разработчика (например, информации о конструкции ОО или специальных инструментальных средствах), а также к чувствительной государственной информации. Система оценки может предъявить к оценщику требования по поддержке конфиденциальности свидетельств оценки. Заявитель и оценщик могут совместно согласовать и дополнительные требования, не противоречащие системе.
Требования конфиденциальности затрагивают многие процедуры проведения оценки, включая получение, обработку, хранение и последующее использование свидетельств оценки.
-
7.3 Задача оформления результатов оценки
-
7.3.1 Цели
-
Цель этого подраздела состоит в описании сообщения о проблеме (СП) и технического отчета об оценке (ТОО). Системы оценки могут потребовать дополнительные сообщения (отчеты) оценщика типа сообщений (отчетов) об отдельных шагах оценивания или же представление дополнительной информации в СП и ТОО. Настоящий стандарт не препятствует включению дополнительной информации в эти сообщения (отчеты), поскольку он определяет лишь содержание минимально необходимой информации.
Непротиворечивое представление результатов оценки облегчает достижение универсального принципа повторяемости и воспроизводимости результатов. Непротиворечивость охватывает тип и объем информации, приводимой в ТОО и СП. Ответственность за согласованность ТОО и СП, относящихся к различным оценкам, возложена на орган оценки.
Для удовлетворения требований настоящего стандарта к содержанию информации в сообщениях (отчетах) оценщик выполняет две следующие подзадачи:
-
a) подготовку СП (если это необходимо при выполнении оценки);
-
b) подготовку ТОО.
-
7.3.2 Замечания по применению
В настоящем стандарте требования обеспечения оценщика свидетельствами для поддержки переоценки и повторного использования в явном виде не сформулированы. Пока еще не определена информация, являющаяся результатом работы оценщика и способствующая проведению переоценки или повторного использования. Когда заявителю потребуется информация для переоценки или повторного использования, следует проконсультироваться в системе оценки, в которой была проведена оценка.
-
7.3.3 Подзадача подготовки СП
СП предоставляют оценщику механизм для запроса разъяснений (например, от органа оценки о применении требований) или для определения проблемы по одному из вопросов оценки.
При отрицательном вердикте оценщик должен представить СП для отражения результата оценки. Оценщик может также использовать СП как один из способов выражения потребности в разъяснении.
В любом СП оценщик должен привести следующее:
-
a) идентификатор оцениваемого ПЗ или ОО;
-
b) задачу/подвид деятельности по оценке, при выполнении которой/которого проблема была выявлена;
-
c) суть проблемы;
-
d) оценку ее серьезности (например, приводит к отрицательному вердикту, задерживает выполнение оценки или требует решения до завершения оценки);
-
e) наименование организации, ответственной за решение вопроса;
-
f) рекомендуемые сроки решения;
д) влияние на оценку отрицательного результата решения проблемы.
Адресаты рассылки СП и процедуры обработки сообщения зависят от характера содержания сообщения и от конкретной системы оценки. Система оценки может различать типы СП или определять дополнительные. различающиеся по требуемой информации и рассылке (например, СП органу оценки и заявителю).
-
7.3.4 Подзадача подготовки ТОО
-
7.3.4.1 Цели
-
Оценщикдолжен подготовить ТОО, чтобы представить техническое логическое обоснование вердиктов.
ТОО может содержать информацию, являющуюся собственностью разработчика или заявителя.
Настоящий стандарт определяет требования к минимальному содержанию ТОО; однако система оценки может задать дополнительные требования к содержанию, конкретному представлению и структуре информации. Например, в системе оценки может требоваться, чтобы конкретный вводный материал (например, налагаемые ограничения и заявление авторских прав) всегда был включен в ТОО.
Предполагается, что пользователь ТОО знаком с общими концепциями информационной безопасности, ИСО/МЭК 15408, настоящим стандартом, подходами к оценке и ИТ.
ТОО помогает органу оценки вынести свой вердикт, но, предположительно, может не содержать всей необходимой для этого информации, а задокументированные результаты оценки могут не содержать необходимых в данной системе оценки свидетельств для подтверждения правильности выполненной оценки.
Этот фактор находится за рамками области действия настоящего стандарта и должен быть учтен посредством использования других методов надзора.
-
7.3.4.2 ТОО при оценке ПЗ
В настоящем подпункте приведено минимально необходимое содержание информации, включаемой в ТОО при оценке ПЗ. Содержание ТОО показано на рисунке 3; этот рисунок может быть использован как образец при построении структурной схемы ТОО.
Рисунок 3 — Содержание ТОО при оценке ПЗ
-
7.3.4.2.1 Введение
Оценщик должен привести в отчете идентификаторы системы оценки.
Идентификаторы системы оценки (например, логотип) являются информацией, требуемой для однозначной идентификации системы, ответственной за мониторинг оценки.
Оценщик должен привести в отчете идентификаторы контроля конфигурации ТОО.
Идентификаторы контроля конфигурации ТОО содержат информацию, которая идентифицирует ТОО (например, наименование, дату составления и номер версии).
Оценщик должен привести в отчете идентификаторы контроля конфигурации ПЗ.
Идентификаторы контроля конфигурации ПЗ (например, наименование, дата составления и номер версии) требуются, чтобы орган оценки мог определить, что именно оценивается, и подтвердить правильность вынесенных оценщиком вердиктов.
Оценщик должен привести в отчете идентификатор разработчика.
Идентификатор разработчика ПЗ требуется для идентификации стороны, ответственной за создание ПЗ
Оценщик должен привести в отчете идентификатор заявителя.
Идентификатор заявителя требуется для идентификации стороны, ответственной за представление оценщику свидетельств оценки.
Оценщикдолжен привести в отчете идентификатор оценщика.
Идентификатор оценщика необходим для идентификации стороны, выполняющей оценку и ответственной за вердикты по результатам оценки.
-
7.3.4.2.2 Оценка
Оценщикдолжен привести в отчете сведения о методах оценки, технологии, инструментальных средствах и применяемых стандартах.
Оценщик приводит ссылки на критерии оценки, методологию и интерпретации, использованные при оценке ПЗ.
Оценщикдолжен привести в отчете сведения о любых ограничениях, принятых при оценке, об ограничениях на распространение результатов оценки и о предположениях, сделанных во время оценки, которые влияют на ее результаты.
Оценщик может включить в отчет информацию о правовых или законодательных аспектах, организации работ, конфиденциальности и т.д.
-
7.3.4.2.3 Результаты оценки
Оценщикдолжен привести в отчете вердикт, сопровождаемый обоснованием, для каждого из компонентов доверия, составляющих вид деятельности «Оценка профиля защиты», как результат выполнения соответствующего действия методологии оценки и составляющих его шагов оценивания.
Обоснование представляет собой объяснение для вынесения вердикта, сделанного на основе ИСО/МЭК 15408, настоящего стандарта, любых их интерпретаций и изученных свидетельств оценки, и показывает, насколько свидетельства оценки удовлетворяют или не удовлетворяют каждому критерию. Оно содержит описание выполненной работы, используемых методов и процедур получения результатов. Обоснование может обеспечивать детализацию до уровня шагов оценивания из методологии оценки.
-
7.3.4.2.4 Выводы и рекомендации
Оценщик должен привести в отчете выводы по результатам оценки, в частности общий вердикт в соответствии с ИСО/МЭК 15408-1 (подраздел 6.3) и процедурой вынесения вердикта, описанной в 6.5 настоящего стандарта.
Оценщик дает рекомендации, которые могут быть полезны для органа оценки. Эти рекомендации могут указывать на недостатки ПЗ, обнаруженные во время оценки, или упоминать о его свойствах, которые особенно полезны.
-
7.3.4.2.5 Перечень свидетельств оценки
Оценщикдолжен привести в отчете следующую информацию о каждом свидетельстве оценки: -наименованиесоставителя (например, разработчика, заявителя);
-
– наименование свидетельства оценки;
-
– уникальную ссылку (например, дату составления и номер версии).
-
7.3.4.2.6 Перечень сокращений/глоссарий терминов
Оценщикдолжен привести в отчете перечень всех сокращений, используемых в ТОО.
В ТОО нет необходимости повторять определения глоссария, уже приведенные в ИСО/МЭК 15408 или настоящем стандарте.
-
7.3.4.2.7 Сообщения о проблемах
Оценщикдолжен привести в отчете полный перечень, уникально идентифицирующий все СП, подготовленные во время оценки, а также их статус.
Для каждого СП в перечне следует привести идентификатор СП, а также наименование или аннотацию.
-
7.3.4.3 ТОО при оценке ОО
В данном подпункте приведено минимально необходимое содержание информации, включаемой в ТОО при оценке ОО. Содержание ТОО показано на рисунке 4; этот рисунок может быть использован как образец при построении структурной схемы ТОО.
Рисунок 4 — Содержание ТОО при оценке ОО
-
7.3.4.3.1 Введение
Оценщикдолжен привести в отчете идентификаторы системы оценки.
Идентификаторы системы оценки (например, логотип) являются информацией, требуемой для однозначной идентификации системы, ответственной за мониторинг оценки.
Оценщик должен привести в отчете идентификаторы контроля конфигурации ТОО.
Идентификаторы контроля конфигурации ТОО содержат информацию, которая идентифицирует ТОО (например, наименование, дату составления и номер версии).
Оценщикдолжен привести в отчете идентификаторы контроля конфигурации ЗБ и ОО.
Идентификаторы контроля конфигурации ЗБ и ОО требуются, чтобы орган оценки мог определить, что именно оценивается, и подтвердить правильность вынесенных оценщиком вердиктов.
Если ЗБ содержит утверждения о соответствии ОО требованиям одного или нескольких ПЗ, ТОО должен содержать ссылку на соответствующие ПЗ.
Ссылка на ПЗ содержит информацию, которая уникально идентифицирует ПЗ (например, наименование. дату составления и номер версии).
Оценщик должен привести в отчете идентификатор разработчика.
Идентификатор разработчика 00 требуется для идентификации стороны, ответственной за создание ОО.
Оценщик должен привести в отчете идентификатор заявителя.
Идентификатор заявителя требуется для идентификации стороны, ответственной за представление оценщику свидетельств оценки.
Оценщик должен привести в отчете идентификатор оценщика.
Идентификатор оценщика необходим для идентификации стороны, выполняющей оценку и ответственной за вердикты по результатам оценки.
-
7.3.4.3.2 Описание архитектуры ОО
Оценщик должен привести в отчете высокоуровневое описание ОО и его главных компонентов, основанное на свидетельстве оценки, указанном в семействе доверия ИСО/МЭК 15408 «Проект верхнего уровня» (ADV_HLD), где оно применимо.
Назначение этого раздела состоит в указании степени архитектурного разделения главных компонентов. Если в ЗБ отсутствуют требования из семейства ADV_HLD «Проект верхнего уровня», этот раздел не применяют.
-
7.3.4.3.3 Оценка
Оценщик должен привести в отчете сведения о методах оценки, технологии, инструментальных средствах и применяемых стандартах.
Оценщик может сослаться на критерии оценки, методологию и интерпретации, использованные при оценке ОО. ипи на уе.тройстяя, применяемые при испытаниях
Оценщик должен привести в отчете сведения о любых ограничениях, принятых при оценке, об ограничениях на распространение результатов оценки и о предположениях, сделанных во время оценки, которые влияют на ее результаты.
Оценщик может включить в отчет информацию о правовых или законодательных сторонах, организации работ, конфиденциальности и т.д.
-
7.3.4.3.4 Результаты оценки
Для каждого вида деятельности по оценке ОО оценщик должен привести в отчете:
-
– наименование рассматриваемого вида деятельности;
-
– вердикт, сопровождаемый обоснованием, для каждого компонента доверия, определяющего этот вид деятельности, как результат выполнения соответствующего действия методологии оценки и составляющих его шагов оценивания.
В обосновании поясняют вердикт с использованием ИСО/МЭК 15408. настоящего стандарта, любых их интерпретаций и изученных свидетельств оценки, а также демонстрируют, насколько свидетельства оценки удовлетворяют или не удовлетворяют каждому критерию. Обоснование содержит описание выполненной работы, используемых методов и процедур получения результатов. Обоснование может обеспечивать детализацию до уровня шагов оценивания из методологии оценки.
Оценщик должен привести в отчете всю информацию, специально требуемую на шагах оценивания.
Для видов деятельности «Оценка уязвимостей» и «Тестирование» указывают шаги оценивания, которые определяют информацию, включаемую в ТОО.
-
7.3.4.3.5 Выводы и рекомендации
Оценщик должен привести в отчете выводы по результатам оценки об удовлетворении ОО требованиям своего ЗБ, в частности общий вердикт в соответствии с ИСО/МЭК 15408-1 (подраздел 6.3) и процедурой вынесения вердикта, описанной в 6.5 настоящего стандарта.
Оценщик дает рекомендации, которые могут быть полезны для органа оценки. Эти рекомендации могут указывать на недостатки продукта ИТ, обнаруженные во время оценки, или упоминать о его свойствах, которые особенно полезны.
-
7.3.4.3.6 Перечень свидетельств оценки
Оценщик должен привести в отчете следующую информацию о каждом свидетельстве оценки: -наименованиесоставителя (например, разработчика, заявителя);
-
– наименование свидетельства оценки;
-
– уникальную ссылку (например, дату составления и номер версии).
-
7.3.4.3.7 Перечень сокращений/глоссарий терминов
Оценщик должен привести в отчете перечень всех сокращений, используемых в ТОО.
В ТОО нет необходимости повторять определения глоссария, уже приведенные в ИСО/МЭК 15408 или настоящем стандарте.
-
7.3.4.3.8 Сообщения о проблемах
Оценщик должен привести в отчете полный перечень, уникально идентифицирующий все СП, подготовленные во время оценки, а также их статус.
Для каждого СП в перечне следует привести идентификатор СП, а также наименование или аннотацию.
7.3.5 Подвиды деятельности по оценке
Рисунок 5 представляет краткий обзор работы, которая будет выполнена для оценки.
Свидетельства оценки могут варьироваться в зависимости от типа оценки (для оценки ПЗ требуется только ПЗ, в то время как для оценки ОО требуются предусмотренные для ОО свидетельства). Результаты оценки приводят в ТОО и, возможно, 8 сообщениях о проблемах (СП). Подвиды деятельности по оценке варьируются и. в случае с оценкой ОО, зависят от требований доверия по ИСО/МЭК 15408-3.
Разделы 8—13 организованы единообразно, основываясь на работах, требуемых при оценке. В разделе 8 рассмотрены работы, необходимые для достижения результатов оценки ПЗ. Раздел 9 связан с работами, необходимыми для оценки ЗБ, хотя для этих работ не предусмотрен отдельный результат оценки. Разделы 10—13 относятся к работам, необходимым для достижения результатов оценки по ОУД1 — ОУД4 (в сочетании с оценкой ЗВ). Каждый из этих разделов предусмотрен как автономный раздел и, следовательно, может содержать повторения текста, содержащегося в других разделах.
8 Оценка профиля защиты
-
8.1 Введение
Настоящий раздел описывает оценку ПЗ. Требования и методология оценки ПЗ идентичны для каждой оценки ПЗ независимо от ОУД (или другой совокупности критериев доверия), заявленного в ПЗ. В то время как последующие разделы настоящего стандарта ориентированы на проведение оценки по конкретным ОУД, настоящий раздел применим к любому оцениваемому ПЗ.
Методология оценки в настоящем разделе основана на требованиях к ПЗ, определенных в ИСО/МЭК 15408-1, приложение А и классе АРЕ «Оценка профиля защиты» ИСО/МЭК 15408-3.
-
8.2 Организация оценки ПЗ
Виды деятельности по проведению полной оценки ПЗ охватывают следующее:
-
a) задачу получения исходных данных для оценки (раздел 7);
-
b) вид деятельности по оценке ПЗ, включающий в себя следующие подвиды деятельности:
-
1) оценку раздела «Описание ОО» (8.3.1);
-
2) оценкураздела «Среда безопасности ОО» (8.3.2);
-
3) оценку раздела «Введение ПЗ» (8.3.3);
-
4) оценку раздела «Цели безопасности» (8.3.4);
-
5) оценку раздела «Требования безопасности ИТ» (8.3.5):
7) оценку сформулированных в явном виде требований безопасности ИТ (8.3.6);
с) задачу оформления результатов оценки (раздел 7).
Задачи получения исходных данных для оценки и оформления результатов оценки описаны в разделе 7. Подвиды деятельности по оценке вытекают из требований доверия класса АРЕ, содержащихся в ИСО/МЭК 15408-3.
В настоящем разделе описаны подвиды деятельности, включенные в оценку ПЗ. Хотя подвиды деятельности могут начинаться более или менее случайно, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком. Руководство по учету зависимостей см. в А.4 «Зависимости» (приложение А).
Подвид деятельности по оценке сформулированных в явном виде требований безопасности ИТ выполняют только тогда, когда в состав требований безопасности ИТ включены требования безопасности, взятые не из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3.
-
8.3 Вид деятельности «Оценка профиля защиты»
-
8.3.1 Оценка раздела «Описание ОО» (APE_DES.1)
-
8.3.1.1 Цели
-
-
Цель данного подвида деятельности — сделать заключение, содержит ли «Описание ОО» соответствующую для понимания назначения ОО и его функциональных возможностей информацию, а также является ли описание ОО полным и непротиворечивым.
-
8.3.1.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
-
8.3.1.3 Действие APE_DES.1.1Е
-
8.3.1.3.1 Шаг оценивания APE_DES.1-1
-
ИСО/МЭК 15408-3 APE_DES.1.1С: Описание ОО должно включать в себя тип продукта и общие свойства ИТ, присущие ОО.
Оценщик должен исследовать раздел «Описание ОО», чтобы сделать заключение, описан ли в нем тип продукта или системы для ОО.
Оценщик делает заключение, достаточно ли «Описание ОО» для общего понимания предполагаемого использования продукта или системы и обеспечивает ли, таким образом, контекст оценки. Примерами некоторых типов продуктов и систем являются: межсетевой экран, смарт-карта, криптомодем, веб-сервер, интрасеть.
Существуют ситуации, когда является очевидным, что у ОО ожидается наличие некоторых функциональных возможностей, определяемых типом продукта или системы. Если эти функциональные возможности отсутствуют, то оценщик делает заключение, адекватно ли это отсутствие рассмотрено в разделе «Описание ОО». Примером этого является ОО типа «межсетевой экран», в «Описании ОО» которого изложено, что он не может быть подключен к сетям.
-
8.3.1.3.2 Шаг оценивания APE_DES. 1-2
Оценщикдолжен исследовать раздел «Описание ОО», чтобы сделать заключение, описаны ли в нем в общих чертах ИТ-характеристики ОО.
Оценщик делает заключение, рассмотрены ли в разделе «Описание ОО» ИТ-характеристики и в особенности характеристики безопасности, предоставляемые ОО, на таком уровне детализации, который достаточен для общего понимания этих характеристик.
-
8.3.1.4 Действие APE_DES. 1.2Е
-
8.3.1.4.1 Шаг оценивания APE_DES. 1-3
-
Оценщикдолжен исследовать ПЗ, чтобы сделать заключение, является ли «Описание ОО» логически упорядоченным.
Изложение раздела «Описание ОО» является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. разработчикам, оценщикам и потребителям).
-
8.3.1.4.2 Шаг оценивания APE_DES. 1-4
Оценщикдолжен исследовать ПЗ, чтобы сделать заключение, является ли «Описание ОО» внутренне непротиворечивым.
Оценщику необходимо иметь в виду, что данный раздел ПЗ предназначен только для того, чтобы определить общее назначение ОО.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
8.3.1.5 Действие APE_DES. 1 .ЗЕ
-
8.3.1.5.1 Шаг оценивания APE_DES. 1-5
-
Оценщик должен исследовать ПЗ. чтобы сделать заключение, согласовано ли «Описание 00» с другими частями ПЗ.
Оценщик делает заключение, в частности, что в разделе «Описание ОО» не описаны угрозы, характеристики безопасности или конфигурации ОО, которые не рассмотрены в каком-либо другом месте ПЗ.
Руководство по анализу непротиворечивости см. 8 А.З «Анализ непротиворечивости» (приложение А).
-
8.3.2 Оценка раздела «Среда безопасности ОО» (APE_ENV.1)
-
8.3.2.1 Цели
-
Цель данного подвида деятельности — сделать заключение, обеспечивает ли изложение раздела «Среда безопасности ОО» в ПЗ четкое и непротиворечивое определение проблемы безопасности, решение которой возложено на ОО и его среду.
-
8.3.2.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
-
8.3.2.3 Действие APE_ENV. 1.1Е
-
8.3.2.3.1 Шаг оценивания APE_ENV. 1 -1
-
ИСО/МЭК 15408-3 APE_ENV. 1.1 С: Изложение среды безопасности ОО должно идентифицировать и объяснить каждое предположение о предполагаемом применении ОО и среде использования ОО.
Оценщик должен исследовать изложение раздела «Среда безопасности ОО», чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо предположения.
Предположения могут быть разделены на предположения относительно использования ОО и предположения относительно среды использования ОО.
Оценщик делает заключение, учитывают ли предположения относительно использования ОО такие аспекты, как предполагаемое применение ОО, потенциальная ценность активов, требующих защиты со стороны ОО, и возможные ограничения использования ОО.
Оценщик делает заключение, достаточно ли подробно разъяснено каждое предположение относительно использования ОО для того, чтобы дать возможность потребителям решить, соответствует ли предполагаемое использование ими ОО сделанным предположениям. Если предположения не являются четкими и понятными, то это может, в конечном счете, привести к тому, что потребители будут использовать ОО в среде, для которой он не предназначен.
Оценщик делает заключение, охватывают ли предположения относительно среды использования ОО аспекты физической среды, персонала и внешних связей:
-
a) Физические аспекты включают в себя предположения, которые необходимо сделать относительно физического расположения ОО или подключенных периферийных устройств для того, чтобы ОО функционировал безопасным образом. Несколько примеров:
-
– предполагают, что консоли администраторов находятся в некоторой зоне, доступ в которую ограничен только персоналом, являющимся администраторами;
-
– предполагают, что хранение всех файлов для ОО осуществляется на той рабочей станции, на которой функционирует ОО.
-
b) Аспекты, имеющие отношение к персоналу, включают в себя предположения, которые необходимо сделать относительно пользователей и администраторов ОО или других лиц (включая потенциальные источники угроз) внутри среды ОО для того, чтобы ОО функционировал безопасным образом. Несколько примеров:
-
– предполагают, что пользователи имеют конкретные навыки или специальные знания;
-
– предполагают, что пользователи имеют определенный минимальный допуск;
-
– предполагают, что администраторы обновляют антивирусную базу данных ежемесячно.
-
c) Аспекты внешних связей включают в себя предположения, которые необходимо сделать относительно связей между ОО и другими внешними по отношению к ОО системами или продуктами ИТ (аппаратными, программными и программно-аппаратными средствами или их комбинацией) для того, чтобы ОО функционировал безопасным образом. Несколько примеров:
-
– предполагают, что для хранения файлов регистрации, генерируемых ОО, доступным является, по крайней мере, 100 Мб внешнего дискового пространства;
-
– предполагают, что 00 является единственным приложением, не относящимся коперационной системе, выполняемым на отдельной рабочей станции;
-
– предполагают, что дисковод ОО для накопителей на гибком магнитном диске отключен:
-
– предполагают, что ОО не будет подключен к недоверенной сети.
Оценщик делает заключение, достаточно ли подробно разъяснено каждое предположение относительно среды использования ОО для того, чтобы предоставить возможность потребителям решить, соответствует ли их предполагаемая среда сделанным предположениям о среде ОО. Если предположения не являются четкими и понятными, то это может, в конечном счете, привести к тому, что ОО будет использован в среде, в которой он не будет функционировать безопасным образом.
-
8.3.2.3.2 Шаг оценивания APE_ENV. 1-2
ИСО/МЭК 15408-3 APE_ENV. 1.2С: Изложение среды безопасности ОО должно идентифицировать и объяснить каждую известную или предполагаемую угрозу активам, от которой будет требоваться защита посредством ОО или его среды.
Оценщик должен исследовать изложение раздела «Среда безопасности ОО», чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо угрозы.
Если цели безопасности для ОО и его среды получены только на основе предположений и политики безопасности организации, то изложение угроз в ПЗ не потребуется. В таком случае данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Оценщик делает заключение, все ли идентифицированные угрозы ясно разъяснены в терминах идентифицированного источника угрозы, нападения и актива, являющегося объектом нападения.
Оценщик также делает заключение, охарактеризованы ли источники угроз (нарушители) через их компетентность, ресурсы и мотивацию, а нападения – через методы нападения, какие-либо используемые уязвимости и возможность нападения.
-
8.3.2.3.3 Шаг оценивания APE_ENV. 1-3
ИСО/МЭК 15408-3 APE_ENV. 1 .ЗС: Изложение среды безопасности ОО должно идентифицировать и объяснить каждую политику безопасности организации, соответствие которой для ОО необходимо.
Оценщик должен исследовать изложение раздела «Среда безопасности ОО», чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо политики безопасности организации.
Если цели безопасности для ОО и его среды получены только на основе предположений и угроз, то нет необходимости в том, чтобы политика безопасности организации была представлена в ПЗ. В таком случае данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Оценщик делает заключение, изложена ли политика безопасности организации в виде правил, практических приемов или руководств, установленных организацией, контролирующей среду использования ОО, которым должен следовать ОО или его среда. Примером политики безопасности организации является требование генерации и шифрования паролей в соответствии с национальным стандартом.
Оценщик делает заключение, достаточно ли подробно разъяснена и/или интерпретирована каждая политика безопасности организации для того, чтобы она была ясной для понимания; ясное представление формулировок политик является необходимым для того, чтобы дать возможность проследить цели безопасности по отношению к ним.
8.3.2.4 Действие APE_ENV.1,2Е
-
8.3.2.4.1 Шаг оценивания APE_ENV. 1-4
Оценщик должен исследовать изложение раздела «Среда безопасности ОО», чтобы сделать заключение, является ли оно логически упорядоченным.
Изложение раздела «Среда безопасности ОО» является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
-
8.3.2.4.2 Шаг оценивания APE_ENV. 1-5
Оценщик должен исследовать изложение раздела «Среда безопасности ОО», чтобы сделать заключение, является ли оно внутренне непротиворечивым.
Примерами внутренне противоречивого изложения раздела «Среда безопасности ОО» являются:
-
a) изложение раздела «Среда безопасности ОО», которое содержит угрозу, метод нападения для которой не может быть реализован источником угрозы;
-
b) изложение раздела «Среда безопасности ОО», которое содержит правило политики безопасности организации «ОО не должен быть подключен к Интернету» и угрозу, источником которой является злоумышленник из Интернета.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
8.3.3 Оценка раздела «Введение ПЗ» (APE_INT.1)
-
8.3.3.1 Цели
-
Цель данного подвида деятельности – сделать заключение, является ли раздел «Введение ПЗ» полным и согласованным со всеми другими частями ПЗ и правильно ли в нем идентифицирован ПЗ.
-
8.3.3.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
-
8.3.3.3 Действие APEJNT. 1.1Е
-
8.3.3.3.1 Шаг оценивания APE JNT. 1-1
-
ИСО/МЭК 15408-3 APEJNT.1.1C: Введение ПЗ должно содержать данные идентификации ПЗ, которые предоставляют маркировку и описательную информацию, необходимые для идентификации, каталогизации, регистрации ПЗ и ссылок на него.
Оценщик должен проверить, представлена ли в разделе «Введение ПЗ» идентификационная информация, необходимая для идентификации, каталогизации, регистрации и перекрестной ссылки на ПЗ.
Оценщик делает заключение, включает ли в себя идентификационная информация ПЗ:
-
a) информацию, необходимую для контроля и уникальной идентификации ПЗ (например, наименование ПЗ, номер версии, дату публикации, авторов, организацию-заявителя);
-
b) указание версии ИСО/МЭК 15408, использованной при разработке ПЗ;
-
c) регистрационную информацию, если перед оценкой ПЗ был зарегистрирован;
-
d) перекрестные ссылки, если ПЗ сопоставляется с другим (другими) ПЗ;
-
e) дополнительную информацию в соответствии с требованиями системы оценки.
-
8.3.3.3.2 Шаг оценивания APE JNT. 1 -2
ИСО/МЭК 15408-3 APEJNT. 1.2С: Введение ПЗ должно содержать аннотацию ПЗ с общей характеристикой ПЗ в описательной форме.
Оценщик должен проверить, представлена ли в разделе «Введение ПЗ» «Аннотация ПЗ» в повествовательной форме.
«Аннотация ПЗ» предназначена для того, чтобы предоставить краткое резюме содержания ПЗ (более детальное описание приведено в разделе «Описание ОО»), которое является достаточно подробным, чтобы позволить потенциальному пользователю ПЗ сделать заключение, представляет ли для него интерес данный ПЗ.
-
8.3.3.4 Действие APEJNT.1.2E
-
8.3.3.4.1 Шаг оценивания APEJNT.1-3
-
Оценщик должен исследовать «Введение ПЗ», чтобы сделать заключение, является ли оно логически упорядоченным.
«Введение ПЗ» является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. разработчикам, оценщикам и потребителям).
-
8.3.3.4.2 Шаг оценивания APEJNT 1 -4
Оценщик должен исследовать «Введение ПЗ», чтобы сделать заключение, является ли оно внутренне непротиворечивым.
Анализ внутренней непротиворечивости, естественно, опирается на краткий обзор ПЗ. представляющий собой резюме содержания ПЗ.
Руководство по анализу непротиворечивости см. вА.З «Анализ непротиворечивости» (приложение А).
-
8.3.3.5 Действие APEJNT.1.3E
-
8.3.3.5.1 Шаг оценивания APEJNT. 1 -5
-
Оценщик должен исследовать ПЗ. чтобы сделать заключение, согласовано ли «Введение ПЗ» с другими частями ПЗ.
Оценщик делает заключение, предоставляет ли «Аннотация ПЗ» точную общую характеристику ОО. В частности, оценщик делает заключение, согласована ли «Аннотация ПЗ» с разделом «Описание ОО» и не предполагается ли в нем наличие характеристик безопасности, которые выходят за рамки оценки.
Оценщик также делает заключение, согласовано ли «Утверждение о соответствии ИСО/МЭК 15408» с другими частями ПЗ.
Руководство по анализу непротиворечивости см.вА.З «Анализ непротиворечивости» (приложение А).
-
8.3.4 Оценка раздела «Цели безопасности» (APE_OBJ.1)
-
8.3.4.1 Цели
-
Цель данного подвида деятельности — сделать заключение, полностью ли и согласованно описаны цели безопасности, направлены ли цели безопасности на противостояние идентифицированным угрозам, на достижение идентифицированной политики безопасности организации и согласованы ли они с приведенными предположениями.
-
8.3.4.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
-
8.3.4.3 Действие APE_OBJ.1.1Е
-
8.3.4.3.1 Шаг оценивания APE_OBJ.1-1
-
ИСО/МЭК 15408-3 APE_OBJ. 1.1 С: Изложение целей безопасности должно определить цели безопасности для ОО и его среды.
Оценщик должен проверить, определены ли в изложении целей безопасности цели безопасности для ОО и его среды.
Оценщик делает заключение, ясно ли определено для каждой цели безопасности, относится она к ОО, к среде или к тому и другому.
-
8.3.4.3.2 Шаг оценивания APE_OBJ,1 -2
ИСО/МЭК 15408-3 APE_OBJ.1.2С: Цели безопасности для ОО должны быть сопоставлены с теми аспектами идентифицированных угроз, которым будет противостоять ОО, и/или с политикой безопасности организации, которая будет выполняться ОО.
Оценщик должен исследовать «Обоснование целей безопасности», чтобы сделать заключение, все ли цели безопасности для ОО прослежены к аспектам идентифицированных угроз, которым необходимо противостоять, и/или к аспектам политики безопасности организации, которой должен следовать ОО.
Оценщик делает заключение, прослежена ли каждая цель безопасности для ОО, по крайней мере, к одной угрозе или политике безопасности организации.
Неудача при попытке такого прослеживания свидетельствует о том, что либо обоснование целей безопасности является неполным, либо изложение угроз/политики безопасности организации является неполным, либо цель безопасности для ОО является бесполезной.
Поэтому угрозе полностью может соответствовать одна или более цель для среды. Крайний случай — это когда отсутствуют цели безопасности для ОО. Хотя и в этом случае использование конструкции ПЗ/ЗБ остается правомерным, определение ОО. для которого все угрозы и политики безопасности организации учитываются средой, вряд ли бы имело какой-то практический смысл, так как для такого ОО не было бы никаких функциональных требований безопасности. Решение о сертификации подобных ОО является прерогативой системы оценки.
-
8.3.4.3.3 Шаг оценивания APE_OBJ.1-3
ИСО/МЭК 15408-3 APE_OBJ.1.3C: Цели безопасности для среды должны быть сопоставлены с теми аспектами идентифицированных угроз, которым ОО противостоит не полностью, и/или с политикой безопасности организации или предположениями, не полностью выполняемыми ОО.
Оценщик должен исследовать «Обоснование целей безопасности», чтобы сделать заключение, прослежены ли цели безопасности для среды к тем идентифицированным угрозам, которым должна противостоять среда ОО, и/или к аспектам политики безопасности организации, которым должна удовлетворять среда ОО, и/ипи к предположениям, которым должна удовлетворять среда ОО.
Оценщик делает заключение, прослежена ли каждая цель безопасности для среды, по крайней мере, к одному предположению, угрозе или политике безопасности организации.
Неудача при попытке такого прослеживания свидетельствует о том, что либо обоснование целей безопасности является неполным, либо изложение предположений/угроз/политики безопасности организации является неполным, либо цель безопасности для среды является бесполезной.
-
8.3.4.3.4 Шаг оценивания APE_OBJ.1-4
ИСО/МЭК 15408-3 APE_OBJ. 1.4С: Обоснование целей безопасности должно демонстрировать, что изложенные цели безопасности пригодны для противостояния всем идентифицированным угрозам безопасности.
Оценщик должен исследовать «Обоснование целей безопасности», чтобы сделать заключение, содержится ли в нем для каждой угрозы приемлемое логическое обоснование того, что цели безопасности пригодны для противостояния данной угрозе.
Если ни одна цель безопасности не прослежена к конкретной угрозе, то результат данного шага оценивания отрицательный.
Оценщик делает заключение, демонстрирует ли логическое обоснование для угрозы то, что, если все цели безопасности, прослеживаемые к угрозе, достигнуты, то угроза либо устранена, либо снижена до приемлемого уровня, либо последствия ее реализации в достаточной мере компенсированы.
Оценщиктаюке делает заключение, действительно ли каждая цель безопасности, которая прослежена к угрозе, будучи достигнутой, вносит вклад в устранение, снижение или компенсацию последствий реализации данной угрозы.
Примеры устранения угрозы:
-
– устранение для источника угрозы (нарушителя) возможности использовать какой-либо метод нападения;
-
– устранение мотивации источника угрозы (нарушителя) путем применения сдерживающих факторов;
-
– устранение источника угрозы (например, отключение от сети машин, часто приводящих к фатальному сбою этой сети).
Примеры снижения угрозы:
-
– ограничение для источника угрозы возможности использования методов нападения;
-
– ограничение возможностей источников угрозы:
-
– снижение вероятности успешного результата инициированного нападения;
-
– повышенные требования к компетентности и ресурсам источника угрозы.
Примеры компенсации последствий реализации угрозы:
-
– частое создание резервных копий активов:
• наличие резервных копий 00;
-
– частая смена ключей, используемых 8 течение сеанса связи, чтобы последствия компрометации одного ключа были относительно незначительными.
Несмотря на то, что прослеживание целей безопасности к угрозам в обосновании целей безопасности может быть частью логического обоснования, само по себе оно не является логическим обоснованием. Даже в том случае, когда цель безопасности является только заявлением, отражающим намерение предотвратить реализацию конкретной угрозы, все равно требуется логическое обоснование, хотя в данном случае оно может быть минимальным.
-
8.3.4.3.5 Шаг оценивания APE_OBJ. 1 -5
ИСО/МЭК 15408-3 APE_OBJ.1.5С: Обоснование целей безопасности должно демонстрировать, что изложенные цели безопасности пригодны для охвата всех установленных положений политики безопасности организации и предположений.
Оценщик должен исследовать «Обоснование целей безопасности», чтобы сделать заключение, содержится ли в нем для каждого аспекта политики безопасности организации приемлемое логическое обо снование того, что цели безопасности покрывают данный аспект политики безопасности организации.
Если ни одна цель безопасности не прослежена к политике безопасности организации, то результат данного шага оценивания отрицательный.
Оценщик делает заключение, демонстрирует ли логическое обоснование для политики безопасности организации то, что, если все цели безопасности, прослеженные к политике безопасности организации, достигнуты, то политика безопасности организации реализована.
Оценщиктакже делает заключение, действительно ли каждая цель безопасности, которая прослежена к политике безопасности организации, будучи достигнутой, вносит вклад в реализацию политики безопасности организации.
Несмотря на то, что прослеживание целей безопасности к политике безопасности организации в обосновании целей безопасности может быть частью логического обоснования, само по себе оно не является логическим обоснованием. Даже в том случае, когда цель безопасности является только заявлением, отражающим намерение реализовать конкретную политику безопасности, все равно требуется логическое обоснование, хотя в данном случае оно может быть минимальным.
-
8.3.4.3.6 Шаг оценивания АРЕ_ОВJ. 1 -6
Оценщик должен исследовать «Обоснование целей безопасности», чтобы сделать заключение, содержится ли в нем для каждого предположения приемлемое логическое обоснование того, что цели безопасности для среды пригодны для покрытия данного предположения.
Если ни одна цель безопасности для среды не прослежена к приведенному предположению, то результат данного шага оценивания отрицательный.
Предположение является или предположением относительно предполагаемого использования ОО, или предположением относительно среды использования ОО.
Оценщик делает заключение, демонстрирует ли логическое обоснование для предположения относительно предполагаемого использования ОО то, что, если все цели безопасности для среды, прослеженные к данному предположению, достигнуты, предполагаемое использование ОО поддерживается.
Оценщик также делает заключение, действительно ли каждая цель безопасности для среды, прослеживаемая к некоторому предположению относительно предполагаемого использования ОО, будучи достигнутой. вносит вклад в поддержку предполагаемого использования.
Оценщик делает заключение, демонстрирует ли логическое обоснование для предположения относительно среды использования ОО то, что, если все цели безопасности для среды, прослеженные к данному предположению, достигнуты, среда согласуется с данным предположением.
Оценщик также делает заключение, действительно ли каждая цель безопасности для среды, которая прослежена к предположению относительно среды использования ОО, будучи достигнутой, вносит вклад в достижение согласованности среды с предположением.
Несмотря на то, что прослеживание целей безопасности для среды к предположениям относительно среды использования ОО в подразделе «Обоснование целей безопасности» может быть частью логического обоснования, само по себе оно не является логическим обоснованием. Даже в том случае, когда цель безопасности представляет собой перефразированное предположение, все равно требуется логическое обоснование, хотя в данном случае оно может быть минимальным.
-
8.3.4.4 Действие APE_OBJ.1.2E
-
8.3.4.4.1 Шаг оценивания APE_OBJ. 1-7
-
Оценщик должен исследовать изложение раздела «Цели безопасности», чтобы сделать заключение, является ли оно логически упорядоченным.
Изложение раздела «Цели безопасности» является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
8 3 4 4 2 Шаг оценивания APE_OBJ 1-8
Оценщик должен исследовать изложение раздела «Цели безопасности», чтобы сделать заключение, является ли оно полным.
Изложение раздела «Цели безопасности» является полным, если цели безопасности достаточны для противостояния всем идентифицированным угрозам и покрывают все идентифицированные политики безопасности организации и предположения. Данный шаг оценивания может быть выполнен совместно с шагами оценивания APE_OBJ. 1-4, APE_OBJ. 1-5 и APE_OBJ. 1-6.
-
8.3.4.4.3 Шаг оценивания APE_OBJ.1-9
Оценщик должен исследовать изложение раздела «Цели безопасности», чтобы сделать заключение, является ли оно внутренне непротиворечивым.
Изложение раздела «Цели безопасности» является внутренне непротиворечивым, если цели безопасности не противоречат друг другу. Примером противоречия могут служить следующие две цели безопасности: «Идентификатор пользователя не подлежит раскрытию» и «Идентификатор пользователя должен быть доступен другим пользователям».
Руководство по анализу непротиворечивости см. вА.3 «Анализ непротиворечивости» (приложение А).
8.3.5 Оценка раздела «Требования безопасности ИТ» (APE_REQ.1)
-
8.3.5.1 Цели
Цель данного подвида деятельности — сделать заключение, является ли описание требований безопасности ОО (как функциональных требований безопасности ОО, так и требований доверия к безопасности ОО) и требований безопасности для среды ИТ полным и непротиворечивым и обеспечивают ли данные требования безопасности адекватную основу для разработки ОО, который бы достигал своих целей безопасности.
-
8.3.5.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
-
8.3.5.3 Действие APE_REQ. 1.1Е
-
8.3.5.3.1 Шаг оценивания APE_REQ.1-1
ИСО/МЭК 15408-3 APE_REQ.1.1C: Изложение функциональных требований безопасности ОО должно идентифицировать функциональные требования безопасности ОО, составленные из компонентов функциональных требований ИСО/МЭК 15408-2.
Оценщик должен проверить изложение функциональных требований безопасности ОО, чтобы сделать заключение, идентифицированы ли в нем функциональные требования безопасности ОО, составленные из компонентов функциональных требований по ИСО/МЭК 15408-2.
Оценщик делает заключение, что все компоненты функциональных требований безопасности ОО, взятые из ИСО/МЭК 15408-2, идентифицированы либо путем ссылки на отдельные компоненты по ИСО/МЭК 15408-2, либо путем воспроизведения их в ПЗ.
-
8.3.5.3.2 Шагоценивания APE_REQ.1-2
Оценщик должен проверить, что каждая ссылка на компонент функциональных требований безопасности ОО является правильной.
Для каждой ссылки на компонент функционального требования безопасности ОО по ИСО/МЭК 15408-2 оценщик делает заключение, существует ли упомянутый компонент в ИСО/МЭК 15408-2.
-
8.3.5.3.3 Шаг оценивания APE_REQ. 1-3
Оценщик должен проверить, что каждый компонент функциональных требований безопасности ОО, взятый из ИСО/МЭК 15408-2 и воспроизведенный в ПЗ. воспроизведен правильно.
Оценщик делает заключение, правильно ли воспроизведены требования в подразделе «Функциональные требования безопасности ОО»; при этом исследование разрешенных операций не проводится. Исследование правильности операций над компонентами осуществляется при выполнении шага оценивания APE_REQ. 1-11.
-
8.3.5.3.4 Шагоценивания APE_REQ.1-4
ИСО/МЭК 15408-3 APE_REQ.1.2C: Изложение требований доверия к ОО должно идентифицировать требования доверия к ОО, составленные из компонентов требований доверия ИСО/МЭК 15408-3.
Оценщик должен проверить изложение подраздела «Требования доверия к безопасности ОО», чтобы сделать заключение, идентифицированы ли в нем требования доверия к безопасности ОО, составленные из компонентов требований доверия ИСО/МЭК 15408-3.
Оценщик делает заключение, все ли компоненты требований доверия к безопасности ОО, взятые из ИСО/МЭК 15408-3. идентифицированы либо путем ссылки на некоторый ОУД, либо на отдельные компоненты из ИСО/МЭК 15408-3. либо путем их яослроизяедения я ПЗ
-
8.3.5.3.5 Шаг оценивания APE_REQ. 1-5
Оценщик должен проверить, что каждая ссылка на компоненты требований доверия к безопасности ОО является правильной.
Для каждой ссылки на компонент требований доверия к безопасности ОО по ИСО/МЭК 15408-3 оценщик делает заключение, существует ли упомянутый компонент в ИСО/МЭК 15408-3.
-
8.3.5.3.6 Шагоценивания APEREQ.1-6
Оценщик должен проверить, что каждый компонент требований доверия к безопасности ОО, взятый из ИСО/МЭК 15408-3 и воспроизведенный в ПЗ, воспроизведен правильно.
Оценщик делает заключение, правильно ли воспроизведены требования в подразделе «Требования доверия к безопасности ОО»; при этом исследование выполнения разрешенных операций не проводится. Исследование правильности операций над компонентами осуществляется при выполнении шага оценивания APE_REQ.1-11.
-
8.3.5.3.7 Шаг оценивания APE_REQ. 1-7
ИСО/МЭК 15408-3 APE_REQ.1 .ЗС: В изложение требований доверия к ОО следует включить оценочный уровень доверия (ОУД), как определено в ИСО/МЭК 15408-3.
Оценщик должен исследовать изложение подраздела «Требования доверия к безопасности ОО», чтобы сделать заключение, содержит ли оно ОУД. определенный в ИСО/МЭК 15408-3, либо в нем логически обосновано отсутствие ОУД.
Если никакой из ОУД не включен, то оценщик делает заключение, указана ли в логическом обосновании причина невключения ОУД в подраздел «Требования доверия к безопасности ОО». Это логическое обоснование может указывать либо на причину невозможности, нежелательности или нецелесообразности включения ОУД в ПЗ, либо на причину невозможности, нежелательности или нецелесообразности включения конкретных компонентов семейств, составляющих ОУД1 (АСМ_САР «Возможности УК», ADO_IGS «Установка. генерация и запуск», ADV_FSP «Функциональная спецификация», ADV_RCR «Соответствие представлений». AGD_ADM «Руководство администратора», AGDJJSR «Руководство пользователя» и ATEJND «Независимое тестирование»).
-
8.3.5.3.8 Шаг оценивания APE_REQ.1-8
ИСО/МЭК 15408-3 APE_REQ. 1.4С: Свидетельство должно содержать логическое обоснование, что изложение требований доверия к ОО является соответствующим.
Оценщик должен исследовать «Обоснование требований безопасности», чтобы сделать заключение, достаточно ли логично в нем обосновано то, что изложение требований доверия к безопасности ОО является приемлемым.
Если требования доверия содержат какой-либо ОУД, то в логическом обосновании допустимо рассматривать выбор конкретного ОУД в целом, а не каждого отдельного компонента данного ОУД. Если подраздел «Требования доверия к безопасности ОО» содержит компоненты, усиливающие выбранный ОУД, оценщик делает заключение, дано ли логическое обоснование каждого такого усиления. Если подраздел «Требования доверия к безопасности ОО» содержит требования доверия, сформулированные в явном виде, оценщик делает заключение, приведено ли логическое обоснование использования каждого сформулированного в явном виде требования доверия.
Оценщик делает заключение, дано ли в подразделе «Обоснование требований безопасности» достаточно логичное обоснование, что требования доверия достаточны для изложенной среды безопасности и целей безопасности. Например, если требуется защита от хорошо осведомленных нарушителей, то было бы неприемлемым специфицировать компонент AVA_VLA.1 «Анализ уязвимостей разработчиком», который является несвойственным для обнаружения недостатков безопасности, не являющихся очевидными.
Логическое обоснование может также включать в себя основания, подобные следующим:
-
a) специфические требования, установленные конкретной системой оценки, национальным правительством или другими организациями;
-
b) требования доверия, которые содержались в зависимостях функциональных требований безопасности 00;
-
c) требования доверия систем и/или продуктов, предназначенных для совместного использования с ОО;
-
d) требования потребителей.
Краткий обзор назначения и целей для каждого ОУД приведен в ИСО/МЭК 15408-3, подраздел 10.2.
Оценщику необходимо иметь в виду, что заключение о том, являются ли требования доверия приемлемыми, может быть субъективным, а значит, анализ достаточности логического обоснования не следует проводить слишком строго
Если подраздел «Требования доверия к безопасности ОО» не содержит какой-либо ОУД, то данный шаг оценивания может быть выполнен совместно с шагом оценивания APE_REQ. 1 -7.
-
8.3.5.3.9 Шаг оценивания APE_REQ.1-9
ИСО/МЭК 15408-3 APE_REQ. 1.5С: ПЗ должен, при необходимости, идентифицировать каждое требование безопасности для среды ИТ.
Оценщик должен проверить, что в ПЗ, при необходимости, идентифицированы требования безопасности для среды ИТ.
Если ПЗ не содержит требований безопасности для среды ИТ, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Оценщик делает заключение, все ли зависимости ОО от других ИТ в рамках его среды, направленные на обеспечение каких-либо функциональных возможностей безопасности, чтобы достичь целей безопасности для ОО. четко идентифицированы в ПЗ как требования безопасности для среды ИТ.
Пример требований безопасности для среды ИТ—межсетевой экран полагается на базовую операционную систему в части обеспечения аутентификации администраторов и долговременного хранения данных аудита. В этом случае требования безопасности для среды ИТ обычно содержат компоненты из классов FAU «Аудит безопасности» и FIA «Идентификация и аутентификация».
Необходимо отметить, что «Требования безопасности для среды ИТ» могут содержать как функциональные требования, так и требования доверия.
Пример зависимости от среды ИТ—программный криптомодуль, который периодически проверяет свой код и. в случае обнаружения несанкционированной модификации, самоотключается. Для обеспечения возможности восстановления предусмотрено требование FPT_RCV.2 «Автоматическое восстановление». Поскольку криптомодуль не может самостоятельно восстановить свой код после самоотключения, то требование по восстановлению становится требованием к среде ИТ. Одной из зависимостей компонента FPT_RCV.2 «Автоматическое восстановление» является компонент AGD_ADM. 1 «Руководство администратора». Следовательно, это требование доверия становится требованием доверия для среды ИТ.
Оценщику необходимо иметь в виду, что ссылка требований безопасности для среды ИТ на ФБО относится к функциям безопасности среды, а не к функциям безопасности ОО.
-
8.3.5.3.10 Шаг оценивания APE_REQ. 1 -10
ИСО/МЭК 15408-3 APE_REQ.1.6C: Все завершенные операции над требованиями безопасности ИТ, включенными в ПЗ. должны быть идентифицированы.
Оценщик должен проверить, что все завершенные операции над требованиями безопасности ИТ идентифицированы.
Допустимо, чтобы ПЗ содержал элементы с незавершенными операциями, т.е. ПЗ может содержать формулировки функциональных требований безопасности, которые включают в себя незавершенные операции «назначение» или «выбор». Данные операции должны быть впоследствии завершены в ЗБ, отображающем этот ПЗ, что позволяет разработчику ЗБ проявлять большую гибкость при разработке 00 и соответствующего ЗБ, в котором утверждается о соответствии конкретному ПЗ.
Разрешенными операциями для компонентов по ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3 являются «назначение», «итерация», «выбор» и «уточнение». Операции «назначение» и «выбор» разрешены только в специально обозначенных местах компонента. Операции «итерация» и «уточнение» разрешены для всех компонентов.
Оценщик делает заключение, все ли операции идентифицированы в каждом компоненте, где они используются. Необходимо, чтобы завершенные и незавершенные операции были идентифицированы таким образом, чтобы они могли быть различимы и было ясно, завершена ли конкретная операция или нет. Идентификация может быть осуществлена либо путем введения типографских различий, либо путем использования явной идентификации в сопроводительном тексте, либо любым другим способом.
-
8.3.5.3.11 Шаг оценивания APE_REQ. 1 -11
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать заключение, корректно ли выполнены операции.
Оценщику следует иметь в виду, что операции над требованиями безопасности необязательно должны быть выполнены и завершены в ПЗ.
Оценщик сравнивает каждую формулировку требований в ПЗ с элементом, из которого она получена, чтобы сделать заключение:
-
a) для операции «назначение» — выбраны ли значения параметров или переменных в соответствии с указанным типом, требуемым операцией «назначение»;
-
b) для nnftpAi 1ии «яыбпр» — лримадпАжит ли выбранный пункт или пункты множеству пунктов, указанных во фрагменте «выбор» данного элемента. Оценщик также делает заключение, приемлемо ли число выбранных пунктов для данного требования. Для некоторых требований необходим выбор только одного пункта (например, FAU_GEN .1.1 .b), в других случаях приемлем выбор нескольких пунктов (например, вторая операция в FDPJTT. 1.1);
-
c) для операции «уточнение» — уточнен ли компонент таким образом, что ОО, удовлетворяющий уточненному требованию, также удовлетворяет и неуточненному требованию. Если уточненное требование выходит за эти рамки, то его считают расширенным требованием.
Пример: ADV_SPM.1.20 — Модель ПБО должна содержать описание правил и характеристик всех политик ПБО, которые могут быть смоделированы. Уточнение: Модель ПБО должна охватывать только управление доступом. Если политика управления доступом является единственной политикой ПБО, то такое уточнение является правомерным. Если в ПБО также имеются политики идентификации и аутентификации, а уточнение означает, что мсделировать следует только управление доступом, то это уточнение не является правомерным.
Особым случаем уточнения является редакционное утсннение, когда в требование вносят небольшие изменения, а именно переформулирование предложения в соответствии с правилами грамматики. Не допускается, чтобы такое изменение каким-либо образом изменяло смысл требования.
Пример редакционного уточнения — FAU_ARP.1 с единственным действием. Вместо записи: «ФБО должны предпринять информировать оператора при обнаружении возможного нарушения безопасности» допускается, чтобы разработчик ПЗ написал: «ФБО должны информировать оператора при обнаружении возможного нарушения безопасности».
Оценщику необходимо иметь в виду, что редакционные уточнения должны быть четко идентифицированы (см. шаг оценивания APE REQ.1-10);
-
d) для операции «итерация»—отличается ли каждая итерация компонента от каждой другой итерации этого компонента (по крайней мере, один элемент одной итерации компонента должен отличаться от соответствующего элемента другой итерации компонента), или что компонент применяется к разным частям ОО.
-
8.3.5.3.12 Шаг оценивания APE_REQ.1-12
ИСО/МЭК 15408-3 APE_REQ. 1.7С: Любые незавершенные операции над требованиями безопасности ИТ, включенными в ПЗ, должны быть идентифицированы.
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать заключение, идентифицированы ли все незавершенные операции над требованиями безопасности ИТ, включенными в ПЗ.
Оценщик делает заключение, все ли операции идентифицированы в каждом компоненте, где такая операция используется. Необходимо, чтобы завершенные и незавершенные операции были идентифицированы таким образом, чтобы они могли быть различимы и было ясно, завершена ли операция или нет.
Идентификация может быть осуществлена либо путем введения типографских различий, либо путем явной идентификации в сопроводительном тексте, либо любым другим способом.
-
8.3.5.3.13 Шаг оценивания APE_REQ.1-13
ИСО/МЭК 15408-3 APE_REQ.1.8C: Зависимости между требованиями безопасности ИТ, включенными в ПЗ, следует удовлетворить.
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать заключение, удовлетворены ли зависимости, требуемые компонентами, используемыми при изложении раздела «Требования безопасности ИТ».
Зависимости могут быть удовлетворены включением соответствующего компонента (или компонента, иерархичного по отношению к последнему) в подраздел «Требования безопасности для 00» или в подраздел «Требования безопасности для среды ИТ».
Хотя ИСО/МЭК 15408 поддерживает проведение анализа зависимостей путем их включения в описание компонентов требований, сам по себе данный факт не является логическим обоснованием того, что никакие другие зависимости не существуют. Пример существования таких зависимостей: элемент, в который включена ссылка «все объекты» или «все субъекты», может иметь зависимость по отношению куточнению в другом элементе или наборе элементов, в котором перечислены данные объекты или субъекты.
Зависимости требований безопасности для среды ИТ следует излагать и удовлетворять в ПЗ.
Оценщику необходимо иметь в виду, что в соответствии с ИСО/МЭК 15408 не требуется, чтобы все зависимости были удовлетворены: см. следующий шаг оценивания.
-
8.3.5.3.14 Шаг оценивания APE_REQ.1-14
ИСО/МЭК 15408-3 APE_REQ. 1.9С: Свидетельство должно содержать логическое обоснование каждого неудовлетворения зависимостей.
Оценщик должен исследовать «Обоснование требований безопасности», чтобы сделать заключение, содержится ли в нем приемлемое логическое обоснование для каждого случая, когда зависимости требований безопасности не удовлетворены.
Оценщик с учетом идентифицированных целей безопасности делает заключение, объяснено ли в логическом обосновании, почему удовлетворение зависимости не требуется.
Оценщик подтверждает, что никакое неудовлетворение зависимости не препятствует тому, чтобы набор требований безопасности адекватно учитывал цели безопасности. Такой анализ проводят в соответствии с APE_REQ. 1.13С.
Пример приемлемого логического обоснования—Для программного ОО имеется цель безопасности следующего содержания: «Случаи неуспешной аутентификации должны быть зарегистрированы с указанием идентификационной информации о пользователе, времени и дате», — и для удовлетворения данной цели безопасности используется функциональное требование на основе компонента FAU_GEN.1 «Генерация данных аудита». Компонент FAU_GEN.1 содержит зависимость от компонента FPT_STM .1 «Надежные метки времени». Так какОО не имеет встроенных часов, то FPTSTM.1 определяется разработчиком ПЗ как требование безопасности для среды ИТ. Разработчик ПЗ указывает на то, что данное требование не подлежит удовлетворению, приводя следующее логическое обоснование: «В данной конкретной среде существуют возможности проведения атак на механизм меток времени; таким образом, среда может не обеспечить надежные метки времени. Но имеющиеся источники угроз не способны к проведению атак на механизмы меток времени, а другие атаки со стороны этих источников угроз могут быть подвергнуты анализу с регистрацией времени и даты осуществления».
-
8.3.5.3.15 Шаг оценивания APE_REQ. 1 -15
ИСО/МЭК 15408-3 APE_REQ .1.1 ОС: ПЗ должен включать в себя изложение приемлемого минимального уровня стойкости функций безопасности (СФБ) для функциональных требований безопасности ОО: базовой, средней или высокой СФБ.
Оценщик должен проверить, включено ли в ПЗ заявление минимального уровня стойкости функции безопасности для функциональных требований безопасности ОО и определен ли этот уровень СФБ как базовый, средний или высокий.
Если требования доверия к безопасности ОО не включают в себя компонент AVASOF.1 «Оценка стойкости функции безопасности ОО», то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Стойкость криптографических алгоритмов находится вне области действия ИСО/МЭК 15408. Стойкость функции безопасности применяют только к вероятностным и перестановочным механизмам, которые являются некриптографическими. Следовательно, когда в ПЗ содержится утверждение о минимальном уровне СФБ, оно не применимо к каким бы то ни было криптографическим механизмам, с точки зрения оценки по ИСО/МЭК 15408. Когда такие криптографические механизмы входят в состав ОО, то оценщик делает заключение, представлено ли в ПЗ четкое изложение того, что оценка стойкости криптографических алгоритмов не является частью оценки.
ОО может состоять из нескольких отдельных доменов, тогда автор ПЗ может посчитать более приемлемым иметь минимальный уровень стойкости функции безопасности для каждого домена, а не иметь один общий минимальный уровень стойкости функций безопасности для всего ОО. В этом случае допускается разделить функциональные требования безопасности ОО на отдельные поднаборы и иметь различные минимальные уровни стойкости функций безопасности, ассоциированные с каждым поднабором.
Примером этого является распределенная терминальная система, включающая в себя терминалы пользователей, расположенные в общедоступных местах, и терминалы администраторов, расположенные в физически защищенном месте. С требованиями по аутентификации для терминалов пользователей связана средняя СФБ, в то время как с требованиями по аутентификации для терминалов администраторов связана базовая СФБ. Вместо заявления о базовой СФБ как о минимальном уровне СФБ для ОО, что могло бы утвердить потенциальных потребителей ОО во мнении, что провести успешную атаку на механизмы аутентификации на терминалах пользователя относительно несложно, автор ПЗ разделяет ОО на два домена: домен пользователей и домен администраторов; разделяет функциональные требования безопасности ОО на два поднабора, соответствующих выделенным доменам ОО; назначает в качестве минимального уровня СФБ базовую СФБ для поднабора требований, соответствующих домену администраторов, и среднюю СФБ для поднабора требований, соответствующих домену пользователей.
8 3 5 3 16 Шаг оценивания APE_REO 1-16
ИСО/М ЭК 15408-3 APE_REQ. 1.11С: При изложении требований безопасности должны быть идентифицированы все функциональные требования безопасности, для которых требуется явное заявление стойкости функции, с явным заявлением стойкости функции для каждого такого функционального требования безопасности.
Оценщик должен проверить, что в ПЗ идентифицированы все конкретные функциональные требования безопасности ОО, для которых целесообразна заявленная в явном виде стойкость функции безопасности вместе с конкретной метрикой.
Если подраздел «Требования доверия к безопасности ОО» не содержит компонент AVA_SOF.1 «Оценка стойкости функции безопасности ОО», то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Заявленной в явном виде стойкостью функции безопасности может быть «базовая СФБ», «средняя СФБ», «высокая СФБ» или заданная специфическая метрика. Когда используется специфическая метрика. оценщик делает заключение, является ли она приемлемой для конкретного типа функциональных требований и имеется ли возможность оценки утверждений о СФБ, выраженных в данной метрике. Данный шаг оценивания относится к тому случаю, когда автор ПЗ требует определить конкретные требования СФБ (т.е. выше, чем общее требование к СФБ в ПЗ) или — конкретную метрику СФБ. Конкретные требования к СФБ для функциональных требований безопасности ОО могут быть определены автором ПЗ. При отсутствии каких-либо конкретных требований к СФБ общее требование к СФБ в ПЗ применяют ко всем функциональным требованиям безопасности ОО, изложенным в ПЗ. Оценщику следует удостовериться, что наличие или отсутствие требований к СФБ, сформулированных в явном виде, согласовано с другими частями данного ПЗ.
Потенциально в ПЗ определения требований к СФБ могут варьироваться. В ПЗ может иметься общее требование к СФБ, кроме того, в рамках ПЗ для конкретных функциональных требований безопасности ОО могут иметься требования к СФБ, определенные специально для этих функциональных требований.
Дальнейшие указания по приемлемости и допустимости метрик стойкости функций безопасности могут быть представлены конкретной системой оценки.
-
8.3.5.3.17 Шаг оценивания APE_REQ. 1-17
ИСО/МЭК 15408-3 APE_REQ. 1.12С: Обоснование требований безопасности должно демонстрировать, что минимальный уровень стойкости функции в ПЗ. как и каждое явное указание стойкости функции, согласуются с целями безопасности ОО.
Оценщик должен исследовать «Обоснование требований безопасности», чтобы сделать заключение, демонстрирует ли оно согласованность минимального уровня стойкости функций, а также каждой заявленной в явном виде стойкости функции с целями безопасности для ОО.
Если в подраздел «Требования доверия к безопасности ОО» не включен компонент AVA_SOF.1, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Оценщик делает заключение, учтены ли в подразделе «Обоснование требований безопасности» детали, имеющие отношение к предполагаемой компетентности, ресурсам и мотивации нарушителей, описанные в разделе «Среда безопасности ОО». Например, утверждение о базовой СФБ неприемлемо, если требуется, чтобы ОО обеспечил защиту от нарушителей, обладающих высоким потенциалом нападения.
Оценщик также делает заключение, учтены ли в подразделе «Обоснование требований безопасности» все специфические, связанные со стойкостью функций безопасности, характеристики целей безопасности. Оценщик может использовать прослеживание от требований к целям безопасности, чтобы сделать заключение, что требования, прослеженные к целям безопасности со специфическими, связанными со стойкостью функций безопасности, характеристиками, при необходимости, включают в себя соответствующее утверждение о стойкости связанных с этими требованиями функций безопасности.
-
8.3.5.3.18 Шаг оценивания APE_REQ. 1 -18
ИСО/МЭК 15408-3 APE_REQ. 1.13С: Обоснование требований безопасности должно демонстрировать, что требования безопасности ИТ пригодны для достижения целей безопасности.
Оценщик должен исследовать подраздел «Обоснование требований безопасности», чтобы сделать заключение, прослежены ли требования безопасности ОО к целям безопасности для ОО.
Оценщик делает заключение, прослежено ли каждое функциональное требование безопасности ОО по крайней мере кодной цели безопасности для ОО.
Неудача при попытке такого прослеживания означает, что-либо подраздел «Обоснование требований безопасности» является неполным, либо раздел «Цели безопасности» является неполным, либо функциональное требование безопасности ОО является бесполезным.
Допустимо также, но необязательно, прослеживание отдельных или всех требований доверия к безопасности ОО к целям безопасности для ОО.
Пример прослеживания требования доверия к безопасности ОО к цели безопасности для ОО – ПЗ, содержащий угрозу: «Пользователь непреднамеренно раскрывает информацию, используя изделие, которое он принимает за ОО» и цель безопасности для ОО для противостояния данной угрозе: «ОО должен быть четко помечен соответствующим номером версии». Изложенная цель безопасности для ОО может быть достигнута путем выполнения требований компонента АСМ_САР.1 «Номера версий», и поэтому разработчик ПЗ прослеживает данный компонент к рассматриваемой цели безопасности для ОО.
-
8.3.5.3.19 Шаг оценивания APE_REQ. 1 -19
Оценщик должен исследовать подраздел «Обоснование требований безопасности», чтобы сделать заключение, прослежены ли требования безопасности для среды ИТ к целям безопасности для среды.
Оценщик делает заключение, прослежено ли каждое функциональное требование безопасности для среды ИТ по крайней мере к одной цели безопасности для среды.
Неудача при попытке такого прослеживания означает, что либо подраздел «Обоснование требований безопасности» является неполным, либо подраздел «Цели безопасности для среды» является неполным, либо функциональное требование безопасности для среды ИТ является бесполезным.
Допустимо также, но необязательно, для некоторых или всех требований доверия к безопасности для среды ИТ прослеживание к целям безопасности для среды.
-
8.3.5.3.20 Шаг оценивания APE_REQ. 1 -20
Оценщик должен исследовать подраздел «Обоснование требований безопасности», чтобы сделать заключение, содержится ли в нем для каждой цели безопасности для ОО приемлемое логическое обоснование того, что требования безопасности ОО пригодны для удовлетворения данной цели безопасности для ОО.
Если никакие требования безопасности ОО не прослежены к конкретной цели безопасности для ОО, то результат данного шага оценивания отрицательный.
Оценщик делает заключение, демонстрирует ли логическое обоснование для цели безопасности для ОО, что если все требования безопасности ОО, прослеженные к данной цели, удовлетворены, то цель безопасности для ОО достигнута.
Оценщик также делает заключение, действительно ли каждое требование безопасности ОО, прослеженное к цели безопасности для ОО, будучи удовлетворенным, вносит вклад в достижение данной цели безопасности.
Несмотря на то, что прослеживание от требований безопасности ОО к целям безопасности для ОО, представленное в подразделе «Обоснование требований безопасности», может быть частью логического обоснования, само по себе оно не является логическим обоснованием.
-
8.3.5.3.21 Шаг оценивания APE_REQ. 1-21
Оценщик должен исследовать подраздел «Обоснование требований безопасности», чтобы сделать заключение, содержит ли он для каждой цели безопасности для среды ИТ приемлемое логическое обосно-
вание, что требования безопасности для среды ИТ пригодны для удовлетворения данной цели безопасности для среды ИТ.
Если никакие требования безопасности для среды ИТ не прослежены к конкретной цели безопасности для среды ИТ, то результат данного шага оценивания отрицательный.
Оценщик делает заключение, демонстрирует ли логическое обоснование для цели безопасности для среды, что если все требования безопасности для среды ИТ, прослеженные к данной цели безопасности для среды ИТ, удовлетворены, то цель безопасности для среды ИТ достигнута.
Оценщик также делает заключение, действительно ли каждое требование безопасности для среды ИТ, прослеженное к цели безопасности для среды ИТ, будучи удовлетворенным, вносит вклад в достижение данной цели безопасности.
Несмотря на то, что прослеживание требований безопасности для среды ИТ к целям безопасности для среды ИТ, представленное в подразделе «Обоснование требований безопасности», может быть частью логического обоснования, само по себе оно не является логическим обоснованием.
-
8.3.5.3.22 Шаг оценивания APE_REQ. 1 -22
ИСО/МЭК 15408-3 APE_REQ. 1.14С: Обоснование требований безопасности должно демонстрировать, что совокупность требований безопасности ИТ образует взаимно согласованное и внутренне непротиворечивое целое.
Оценщик должен исследовать подраздел «Обоснование требований безопасности», чтобы сделать заключение, демонстрирует ли он внутреннюю непротиворечивость совокупности требований безопасности ИТ.
Оценщик делает заключение, что во всех случаях, когда различные требования безопасности ИТ имеют отношение к одним и тем же типам событий, операций, данных, тестов, подлежащих выполнению, и тд. и данные требования могут вступать в противоречие друг с другом, приведено приемлемое логическое обоснование отсутствия таких противоречий.
Например, если ПЗ содержит требования, связанные как с индивидуальной подотчетностью пользователей, так и с их анонимностью, необходимо, чтобы было показано, что данные требования не противоречат друг другу. Сюда может входить показ того, что ни одно из подлежащих аудиту событий, для которых требуется индивидуальная подотчетность пользователей, не имеет отношения к действиям, для которых требуется анонимность пользователей.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
8.3.5.3.23 Шаг оценивания APE_REQ. 1 -23
Оценщик должен исследовать подраздел «Обоснование требований безопасности», чтобы сделать заключение, демонстрирует ли он, что совокупность требований безопасности ИТ образует взаимно поддерживающее целое.
Данный шаг оценивания основан на заключениях, сделанных в ходе выполнения шагов оценивания APE_REQ. 1 -18 и APE_REQ. 1-19, связанных с исследованием прослеживания от требований безопасности ИТ к целям безопасности, и шагов оценивания APE_REQ. 1-20 и APE_REQ. 1-21, связанных с исследованием пригодности требований безопасности ИТ для удовлетворения целей безопасности. Данный шагоцени-вания требует от оценщика рассмотреть возможность фактического недостижения какой-либо цели безопасности из-за недостаточной поддержки со стороны других требований безопасности ИТ.
Данный шаг оценивания основан также на анализе зависимостей, выполняемом на предыдущих шагах оценивания, поскольку если функциональное требование А имеет зависимость от функционального требования В, то В поддерживает А по определению.
Оценщик делает заключение, демонстрирует ли подраздел «Обоснование требований безопасности» поддержку функциональными требованиями друг друга, где необходимо, даже когда нет явного указания на наличие зависимостей между этими требованиями. Предполагается, что такая демонстрация охватывает те функциональные требования безопасности, которые направлены:
-
a) на предотвращение обхода механизмов, реализующих другие функциональные требования безопасности, такие, например, как FPT_RVM.1 «Невозможность обхода ПВО»;
-
b) на предотвращение вмешательства в работу механизмов, реализующих другие функциональные требования безопасности, такие, например, как FPT_SEP «Разделение домена»;
-
c) на предотвращение деактивации механизмов, реализующих другие функциональные требования безопасности, такие, например, как FMT_MOF.1 «Управление режимом выполнения функций безопасности»;
-
d) на обеспечение обнаружения нападений (атак), направленных на нарушение работы механизмов, реализующих другие функциональные требования безопасности, такие, например, как компоненты класса FAU «Аудит безопасности».
В своем анализе оценщик учитывает результаты выполненных операций, чтобы сделать заключение, затрагивают ли они взаимную поддержку требованиями друг друга.
-
8.3.5.4 Действие APE_REQ. 1.2Е
-
8.3.5.4.1 Шаг оценивания APE_REQ. 1-24
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать заключение, является ли оно логически упорядоченным.
Изложение требований безопасности ИТ является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
-
8.3.5.4.2 Шаг оценивания APE_REQ.1-25
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать заключение, является ли оно полным.
При выполнении данного шага оценивания используют результаты шагов оценивания, выполняемых в соответствии с требованиями APE_REQ. 1.1Е и APE_SRE. 1.1Е, и в особенности — результаты исследования оценщиком подраздела «Обоснование требований безопасности».
Изложение раздела «Требования безопасности ИТ» является полным, если оценщик считает требования безопасности достаточными для того, чтобы удостовериться, что все цели безопасности для ОО удовлетворены.
-
8.3.5.4.3 Шаг оценивания APEREQ.1-26
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать заключение, является ли оно внутренне непротиворечивым.
При выполнении данного шага оценивания используют результаты шагов оценивания, выполняемых в соответствии с требованиями APE_REQ.1.1Е и APE_SRE.1.1Е, и в особенности – результаты исследования оценщиком подраздела «Обоснование требований безопасности».
Изложение раздела «Требования безопасности ИТ» является внутренне непротиворечивым, если оценщик делает заключение, что ни одно требование безопасности не противоречит любому другому требованию безопасности таким образом, что цель безопасности не будет полностью удовлетворена.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
8.3.6 Оценка требований безопасности ИТ, сформулированных в явном виде (APE_SRE.1)
-
8.3.6.1 Цели
Цель данного подвида деятельности — сделать заключение, являются ли функциональные требования и/или требования доверия к безопасности, сформулированные без ссылки на ИСО/МЭК 15408. приемлемыми и адекватными.
-
8.3.6.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
-
8.3.6.3 Замечания по применению
Этот пункт применяют только в случае, если в ПЗ содержатся требования безопасности, сформулированные в явном виде без ссылки на ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3. В противном случае все шаги оценивания, описанные в данном пункте, не применяют и поэтому считают удовлетворенными.
Требования семейства APE_SRE «Требования безопасности ИТ, сформулированные в явном виде» не заменяют требования семейства APE_REQ «Требования безопасности ИТ», а являются дополнительными к ним. Это означает, что требования безопасности, сформулированные в явном виде без ссылки на ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3, должны быть оценены на соответствие критериям семейства APE_SRE, а также в сочетании со всеми остальными требованиями безопасности- на соответствие критериям семейства APE_REQ.
-
8.3.6.4 Действие APE_SRE.1.1E
-
8.3.6.4.1 Шаг оценивания APE SRE. 1-1
ИСО/МЭК 15408-3 APE_SRE. 1.1 С: Все требования безопасности ОО, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408, должны быть идентифицированы.
Оценщик должен проверить, что в изложении раздела «Требования безопасности ИТ» идентифицированы все требования безопасности ОО, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408.
Необходимо, чтобы все функциональные требования безопасности ОО, которые не специфицированы на основе функциональных компонентов из ИСО/МЭК 15408-2, были четко идентифицированы кактаковые. Аналогично необходимо, чтобы все требования доверия к безопасности ОО, которые не специфицированы на основе компонентов доверия из ИСО/МЭК 15408-3, были четко идентифицированы как таковые.
-
8.3.6.4.2 Шаг оценивания APE_SRE.1-2
ИСО/МЭК 15408-3 APE_SRE. 1.2С: Все требования безопасности для среды ИТ, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408. должны быть идентифицированы.
Оценщик должен проверить, что в изложении раздела «Требования безопасности ИТ» идентифицированы все требования безопасности для среды ИТ, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408.
Необходимо, чтобы все функциональные требования безопасности для среды ИТ, которые не специфицированы на основе функциональных компонентов из ИСО/МЭК 15408-2, были четко идентифицированы как таковые. Аналогично необходимо, чтобы все требования доверия к среде ИТ, которые не специфицированы на основе компонентов доверия по ИСО/МЭК 15408-3, были четко идентифицированы как таковые.
-
8.3.6.4.3 Шаг оценивания APE_SRE. 1-3
ИСО/МЭК 15408-3 APE_SRE. 1 .ЗС: Свидетельство должно содержать логическое обоснование, почему требования безопасности должны быть сформулированы в явном виде.
Оценщик должен исследовать «Обоснование требований безопасности», чтобы сделать заключение, содержится ли в нем приемлемое логическое обоснование, почему каждое из сформулированных в явном виде требований безопасности пришлось сформулировать в явном виде.
Оценщик для каждого сформулированного в явном виде требования безопасности ИТ делает заключение, объяснено ли в логическом обосновании, почему существующие функциональные компоненты или компоненты доверия (из ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3 соответственно) не могли быть использованы для выражения требований безопасности, сформулированных в явном виде. При вынесении заключения оценщик принимает во внимание возможность выполнения операций (т.е. назначение, итерация, выбор и уточнение) над этими существующими компонентами.
-
8.3.6.4 .4 Шаг оценивания APE_SRE.1-4
ИСО/МЭК 15408-3 APE SRE. 1.4С: Сформулированные в явном виде требования безопасности ИТ должны использовать компоненты, семейства и классы требований ИСО/МЭК 15408 как образец для представления.
Оценщик должен исследовать каждое сформулированное в явном виде требование безопасности ИТ, чтобы сделать заключение, использованы ли для этого требования в качестве модели для представления компоненты, семейства и классы требований по ИСО/МЭК 15408.
Оценщик делает заключение, представлены ли сформулированные в явном виде требования безопасности ИТ 8 том же стиле и на сопоставимом уровне детализации, что и компоненты из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3. Оценщик также делает заключение, разделены ли функциональные требования на отдельные функциональные элементы и определяют ли требования доверия элементы действий разработчика, содержания и представления свидетельств, а также действий оценщика.
-
8.3.6.4.5 Шаг оценивания APE_SRE.1-5
ИСО/МЭК 15408-3 APE_SRE. 1.5С: Сформулированные в явном виде требования безопасности ИТ должны быть измеримы и устанавливать объективные требования оценки, такие, чтобы соответствие или несоответствие им ОО могло быть определено и последовательно продемонстрировано.
Оценщик должен исследовать каждое сформулированное в явном виде требование безопасности ИТ, чтобы сделать заключение, измеримо ли оно и устанавливает ли объективные требования оценки такие, что соответствие или несоответствие им ОО может быть определено и продемонстрировано систематическим методом.
Оценщик делает заключение, изложены ли функциональные требования таким образом, что они тестируемы и прослеживаемы к соответствующим представлениям ФБО. Оценщик также делает заключение, что требования доверия не приводят к необходимости вынесения о них субъективного суждения со стороны оценщика.
Имеющиеся в ИСО/МЭК 15408 функциональные требования и требования доверия должны быть использованы как образец.
-
8.3.6.4.6 Шаг оценивания APE_SRE. 1-6
ИСО/МЭК 15408-3 APE_SRE. 1.6С: Сформулированные в явном виде требования безопасности ИТ должны быть четко и недвусмысленно выражены.
Оценщик должен исследовать каждое сформулированное в явном виде требование безопасности ИТ, чтобы сделать заключение, выражено ли оно четко и однозначно.
Имеющиеся в ИСО/МЭК 15408 функциональные требования и требования доверия должны быть использованы как образец.
-
8.3.6.4.7 Шагоценивания APE_SRE.1-7
ИСО/МЭК 15408-3 APE_SRE.1.7С: Обоснование требований безопасности должно демонстрировать. что требования доверия применимы и пригодны для поддержки каждого из сформулированных в явном виде функциональных требований безопасности ОО.
Оценщик должен исследовать «Обоснование требований безопасности», чтобы сделать заключение, демонстрирует ли оно, что требования доверия применимы и приемлемы для поддержки любых сформулированных в явном виде функциональных требований безопасности ОО.
Оценщик делает заключение, приведет ли применение специфицированных требований доверия к получению значимого результата оценки для каждого сформулированного в явном виде функционального требования безопасности или следует специфицировать какие-либо другие требования доверия. Например, сформулированное в явном виде функциональное требование может предполагать потребность в конкретном документальном свидетельстве (таком, например, как модель ПВО), конкретной глубине тестирования или конкретном анализе (таком, как анализ стойкости функций безопасности ОО или анализ скрытых каналов).
-
8.3.6.5 Действие APE_SRE. 1.2Е
-
8.3.6.5.1 Шагоценивания APE_SRE. 1-8
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать заключение, все ли зависимости сформулированных в явном виде требований безопасности ИТ были идентифицированы.
Оценщик подтверждает, что никакие подлежащие удовлетворению зависимости не были пропущены разработчиком ПЗ
Примеры возможных зависимостей: компоненты класса FAU «Аудит безопасности», если в сформулированном в явном виде функциональном требовании упоминается аудит; компоненты семейства ADVJMP «Представление реализации», если в сформулированном в явном виде требовании доверия упоминается исходный код или представление реализации ОО.
9 Оценка задания по безопасности
-
9.1 Введение
Настоящий раздел описывает оценку ЗБ. Оценка ЗБ начинается до выполнения каких-либо других подвидов деятельности по оценке ОО, так как ЗБ является основой и определяет условия выполнения данных подвидов деятельности. Окончательный вердикт по результатам оценки ЗБ не может быть вынесен до завершения оценки ОО, так как по результатам выполнения подвидов деятельности по оценке ОО в ЗБ могут быть внесены изменения.
Требования и методология оценки ЗБ идентичны для каждой оценки ЗБ независимо от ОУД (или другой совокупности критериев доверия), заявленного в ЗБ. В то время как последующие разделы настоящего стандарта ориентированы на проведение оценки по конкретным ОУД, настоящий раздел применим к любому ЗБ, подвергаемому оценке.
Методология оценки в настоящем разделе основана на требованиях к ЗБ, определенных в ИСО/МЭК 15408-1, приложение В и классе ASE «Оценка задания по безопасности» ИСО/МЭК 15408-3.
-
9.2 Организация оценки ЗБ
Виды деятельности по проведению полной оценки ЗБ охватывают следующее:
-
a) задачу получения исходных данных для оценки (раздел 7);
-
b) вид деятельности по оценке ЗБ, включающий в себя следующие подвиды деятельности:
-
1) оценку раздела «Описание ОО» (9.3.1);
-
2) оценку раздела «Среда безопасности ОО» (9.3.2);
-
3) оценку раздела «Введение ЗБ» (9.3.3);
-
4) оценку раздела «Цели безопасности» (9.3.4);
-
5) оценку раздела «Утверждения о соответствии ПЗ» (9.3.5);
-
6) оценку раздела «Требования безопасности ИТ» (9.3.6);
-
7) оценку сформулированных в явном виде требований безопасности ИТ (9.3.7);
-
8) оценку раздела «Краткая спецификация ОО» (9.3.8);
-
c) задачу оформления результатов оценки (раздел 7).
Задачи получения исходных данных для оценки и оформления результатов оценки описаны в разделе 7. Подвиды деятельности по оценке вытекают из требований доверия класса ASE, содержащихся в ИСО/МЭК 15408-3.
В настоящем разделе описаны подвиды деятельности, включенные в оценку ЗБ. Хотя подводы деятельности могут начинаться более или менее случайно, некоторые зависимости между подводами деятельности должны быть учтены оценщиком. Руководство по учету зависимостей см. в А.4 «Зависимости» (приложение А).
Необходимость выполнения подводов деятельности по оценке утверждений о соответствии ПЗ и по оценке сформулированных в явном воде требований безопасности ИТ не является постоянной: подвод деятельности по оценке утверждений о соответствии ПЗ выполняют только тогда, когда имеет место утверждение о соответствии ПЗ. а подвод деятельности по оценке сформулированных в явном воде требований безопасности ИТ выполняют только тогда, когда в изложение требований безопасности ИТ включены требования безопасности, взятые не из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3.
Некоторая информация, подлежащая включению в ЗБ, может быть представлена соответствующей ссылкой. Например, если в ЗБ утверждают о соответствии некоторому ПЗ, то такую информацию из ПЗ, как описание среды и угроз, можно рассматривать как часть ЗБ и предполагать, что она соответствует критериям для ЗБ.
Если в ЗБ утверждают о соответствии оцененному ПЗ и ЗБ в значительной степени основано на содержании этого ПЗ, то допускается повторное использование результатов оценки ПЗ при выполнении многих из перечисленных выше подводов деятельности. В частности, повторное использование возможно при оценке изложения среды безопасности, целей безопасности и требований безопасности ИТ. В ЗБ допускается утверждение о соответствии нескольким ПЗ.
-
9.3 Вид деятельности «Оценка задания по безопасности»
-
9.3.1 Оценка раздела «Описание ОО» (ASE_DES.1)
-
9.3.1.1 Цели
-
-
Цель данного подвода деятельности — сделать заключение, содержит ли «Описание ОО» соответствующую для понимания назначения ОО и его функциональных возможностей информацию, а также является ли описание ОО полным и непротиворечивым.
-
9.3.1.2 Исходные данные
Свидетельством оценки для этого подвода деятельности является ЗБ.
-
9.3.1.3 Замечания по применению
Между ОО и продуктом, который может приобрести потребитель, могут существовать некоторые отличия. Материалы поданному вопросу представлены в А.6 «Границы ОО» (приложение А).
-
9.3.1.4 Действие ASE_DES. 1.1Е
-
9.3.1.4.1 Шаг оценивания ASE_DES. 1-1
-
ИСО/МЭК 15408-3 ASE_DES. 1.1 С: Описание ОО должно включать в себя тип продукта или системы, область применения ОО. а также физические и логические границы ОО.
Оценщик должен исследовать раздел «Описание ОО», чтобы сделать заключение, описан ли в нем тип продукта или системы для ОО.
Оценщик делает заключение, достаточно ли «Описание ОО» для общего понимания предполагаемого использования продукта или системы и обеспечивает ли, таким образом, контекст оценки. Примерами некоторых типов продуктов и систем являются: межсетевой экран, смарт-карта, кригггомодем, веб-сервер, интрасеть.
Существуют ситуации, когда является очевидным, что у ОО ожидается наличие некоторых функциональных возможностей, определяемых типом продукта или системы. Если эти функциональные возможности отсутствуют, то оценщик делает заключение, адекватно ли это отсутствие рассмотрено в разделе «Описание ОО». Примером этого является ОО типа «межсетевой экран», в «Описании ОО» которого изложено, что он не может быть подключен к сетям.
-
9.3.1.4.2 Шаг оценивания ASE_DES. 1-2
Оценщик должен исследовать «Описание ОО», чтобы сделать заключение, описаны ли в нем в общих чертах физическая область применения и границы ОО.
Оценщик делает заключение, рассмотрены ли в разделе «Описание ОО» аппаратные, программноаппаратные и программные компоненты и/или модули, которые составляют ОО, на том уровне детализации, который достаточен для общего понимания этих компонентов и/или модулей.
Если ОО не тождествен продукту, то оценщик делает заключение, описано ли надлежащим образом в «Описании ОО» физическое соотношение между ОО и продуктом.
-
9.3.1.4.3 Шаг оценивания ASE_DES. 1-3
Оценщик должен исследовать «Описание ОО», чтобы сделать заключение, описаны ли в нем в общих чертах логическая область применения и границы ОО.
зо
Оценщик делает заключение, рассмотрены ли в разделе «Описание 00» ИТ-характеристики, и в особенности характеристики безопасности, предоставляемые ОО, на таком уровне детализации, который достаточен для общего понимания этих характеристик.
Если ОО не тождествен продукту, то оценщик делает заключение, описано ли надлежащим образом в «Описании ОО» логическое соотношение между ОО и продуктом.
-
9.3.1.5 Действие ASE_DES. 1.2Е
-
9.3.1.5.1 Шаг оценивания ASE_DES. 1-4
-
Оценщик должен исследовать ЗБ, чтобы сделать заключение, является ли «Описание 00» логически упорядоченным.
Изложение раздела «Описание ОО» является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
-
9.3.1.5.2 Шаг оценивания ASE_DES. 1-5
Оценщик должен исследовать ЗБ, чтобы сделать заключение, является ли «Описание ОО» внутренне непротиворечивым.
Оценщику необходимо иметь в виду, что данный раздел ЗБ предназначен только для того, чтобы определить общее назначение ОО.
Руководство по анализу непротиворечивости см. 8А.З «Анализ непротиворечивости» (приложение А).
-
9.3.1.6 Действие ASE.DES. 1 .ЗЕ
-
9.3.1.6.1 Шагоценивания ASE_DES.1-6
-
Оценщик должен исследовать ЗБ, чтобы сделать заключение, согласовано пи «Описание ОО» с другими частям ЗБ.
Оценщик делает заключение, в частности, что в разделе «Описание ОО» не описаны угрозы, характеристики безопасности или конфигурации ОО, которые не рассмотрены в каком-либо другом месте ЗБ.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
9.3.2 Оценка раздела «Среда безопасности ОО» (ASE_ENV.1)
-
9.3.2.1 Цели
-
Цель данного подвида деятельности — сделать заключение, обеспечивает ли изложение раздела «Среда безопасности ОО» в ЗБ четкое и непротиворечивое определение проблемы безопасности, решение которой возложено на ОО и его среду.
-
9.3.2.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ЗБ.
-
9.3.2.3 Действие ASE_ENV. 1.1Е
-
9.3.2.3.1 Шаг оценивания ASE_ENV. 1-1
-
ИСО/МЭК 15408-3 ASE_ENV. 1.1 С: Изложение среды безопасности ОО должно идентифицировать и объяснить каждое предположение о предполагаемом применении ОО и среде использования ОО.
Оценщик должен исследовать изложение раздела «Среда безопасности ОО», чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо предположения.
Предположения могут быть разделены на предположения относительно использования ОО и предположения относительно среды использования ОО.
Оценщик делает заключение, учитывают ли предположения относительно использования ОО такие аспекты, как предполагаемое применение ОО, потенциальная ценность активов, требующих защиты со стороны ОО, и возможные ограничения использования ОО.
Оценщик делает заключение, достаточно ли подробно разъяснено каждое предположение относительно использования ОО для того, чтобы дать возможность потребителям решить, соответствует ли предполагаемое использование ими ОО сделанным предположениям. Если предположения не являются четкими и понятными, то это может, в конечном счете, привести ктому, что потребители будут использовать ОО в среде, для которой он не предназначен.
Оценщик делает заключение, охватывают ли предположения относительно среды использования ОО аспекты физической среды, персонала и внешних связей:
а) Физические аспекты включают в себя предположения, которые необходимо сделать относительно физического расположения ОО или подключенных периферийных устройств для того, чтобы ОО функционировал безопасным образом. Несколько примеров:
– предполагают, что консоли администраторов находятся в некоторой эоне, доступ в которую ограничен только персоналом, являющимся администраторами;
-
– предполагают, что хранение всех файлов для ОО осуществляется на той рабочей станции, на которой функционирует ОО.
-
b) Аспекты, имеющие отношение к персоналу, включают в себя предположения, которые необходимо сделать относительно пользователей и администраторов ОО или других лиц (включая потенциальные источники угроз) внутри среды ОО для того, чтобы ОО функционировал безопасным образом. Несколько примеров:
-
– предполагают, что пользователи имеют конкретные навыки или специальные знания;
-
– предполагают, что пользователи имеют определенный минимальный допуск;
-
– предполагают, что администраторы обновляют антивирусную базу данных ежемесячно.
-
c) Аспекты внешних связей включают в себя предположения, которые необходимо сделать относительно связей между ОО и другими внешними по отношению к ОО системами или продуктами ИТ (аппаратными, программными и программно-аппаратными средствами или их комбинацией) для того, чтобы ОО функционировал безопасным образом. Несколько примеров:
-
– предполагают, что для хранения файлов регистрации, генерируемых ОО, доступным является, по крайней мере, 100 Мб внешнего дискового пространства;
-предполагают, что ОО является единственным приложением, не относящимся к операционной системе, выполняемым на отдельной рабочей станции;
-
– предполагают, что дисковод ОО для накопителей на гибком магнитном диске отключен;
• предполагают, что ОО не будет подключен к недоверенной сети.
Оценщик делает заключение, достаточно ли подробно разъяснено каждое предположение относительно среды использования ОО для того, чтобы предоставить возможность потребителям решить, соответствует ли их предполагаемая среда сделанным предположениям о среде ОО. Если предположения не являются четкими и понятными, то это может, в конечном счете, привести к тому, что ОО будет использован в среде, в которой он не будет функционировать безопасным образом.
-
9.3.2.3.2 Шаг оценивания ASE_ENV. 1-2
ИСО/МЭК 15408-3 ASE_ENV. 1.2С: Изложение среды безопасности ОО должно идентифицировать и объяснить каждую известную или предполагаемую угрозу активам, от которой будет требоваться защита посредством ОО или его среды.
Оценщик должен исследовать изложение раздела «Среда безопасности ОО», чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо угрозы.
Если цели безопасности для ОО и его среды получены только на основе предположений и политики безопасности организации, то изложение угроз в ЗБ не потребуется. В таком случае данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Оценщик делает заключение, все ли идентифицированные угрозы ясно разъяснены в терминах идентифицированного источника угрозы, нападения и актива, являющегося объектом нападения.
Оценщик также делает заключение, характеризуются ли источники угроз (нарушители) через их компетентность, ресурсы и мотивацию, а нападения — через методы нападения, какие-либо используемые уязвимости и возможность нападения.
-
9.3.2.3.3 Шаг оценивания ASE_ENV. 1-3
ИСО/МЭК 15408-3 ASE_ENV.1.3C: Изложение среды безопасности ОО должно идентифицировать и объяснить каждую политику безопасности организации, соответствие которой для ОО необходимо.
Оценщик должен исследовать изложение раздела «Среда безопасности ОО», чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо политики безопасности организации.
Если цели безопасности для ОО и его среды получены только на основе предположений и угроз, то нет необходимости в том, чтобы политика безопасности организации была представлена в ЗБ. В таком случае данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Оценщик делает заключение, изложена ли политика безопасности организации в виде правил, практических приемов или руководств, установленных организацией, контролирующей среду использования ОО, которым должен следовать ОО или его среда. Примером политики безопасности организации является требование генерации и шифрования паролей в соответствии с национальным стандартом.
Оценщик делает заключение, достаточно ли подробно разъяснена и/или интерпретирована каждая политика безопасности организации для того, чтобы она была ясной для понимания: ясное представление формулировок политик является необходимым для того, чтобы дать возможность проследить цели безопасности по отношению к ним.
-
9.3.2.4 Действие ASE.ENV.1.2Е
-
9.3.2.4.1 Шаг оценивания ASE_ENV. 1-4
-
Оценщик должен исследовать изложение раздела «Среда безопасности 00». чтобы сделать заключение, является ли оно логически упорядоченным.
Изложение раздела «Среда безопасности ОО» является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
-
9.3.2.4.2 Шаг оценивания ASE_ENV. 1-5
Оценщик должен исследовать изложение раздела «Среда безопасности 00». чтобы сделать заключение, является ли оно внутренне непротиворечивым.
Примерами внутренне противоречивого изложения раздела «Среда безопасности ОО» являются:
-
– изложение раздела «Среда безопасности ОО», которое содержит угрозу, метод нападения для которой не может быть реализован источником угрозы;
-
– изложение раздела «Среда безопасности ОО». которое содержит правило политики безопасности организации «ОО не должен быть подключен к Интернету» и угрозу, источником которой является злоумышленник из Интернета.
Руководство по анализу непротиворечивости см. вА.3 «Анализ непротиворечивости» (приложение А).
-
9.3.3 Оценка раздела «Введение ЗБ» (ASE_INT.1)
-
9.3.3.1 Цели
-
Цель данного подвида деятельности — сделать заключение, является ли раздел «Введение ЗБ» полным и потасованным со асами другими частями ЗБ и правильно ли в нем идентифицировано ЗБ
-
9.3.3.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ЗБ.
-
9.3.3.3 Действие ASEJNT. 1.1Е
-
9.3.3.3.1 Шаг оценивания ASEJNT.1-1
-
ИСО/МЭК 15408-3 ASEJNT. 1.1 С: Введение ЗБ должно содержать данные идентификации ЗБ. которые предоставляют маркировку и описательную информацию, необходимые для идентификации и применения ЗБ и ОО, к которому оно относится.
Оценщикдолжен проверить, представлена ли в разделе «Введение ЗБ» идентификационная информация, необходимая для контроля и идентификации ЗБ и ОО, на который данное ЗБ ссылается.
Оценщик делает заключение, включает ли в себя идентификационная информация ЗБ:
-
a) информацию, необходимую для контроля и уникальной идентификации ЗБ (например, наименование ЗБ, номер версии, дату публикации, авторов);
-
b) информацию, необходимую для контроля и уникальной идентификации ОО, на который данное ЗБ ссылается (например, идентификационную информацию ОО, номер версии ОО);
-
c) указание версии ИСО/МЭК 15408, использованной при разработке ЗБ;
-
d) дополнительную информацию в соответствии с требованиями системы оценки.
-
9.3.3.3.2 Шаг оценивания ASEJNT. 1-2
ИСО/МЭК 15408-3 ASEJNT. 1.2С: Введение ЗБ должно содержать аннотацию ЗБ с общей характеристикой ЗБ в описательной форме.
Оценщикдолжен проверить, представлена ли в разделе «Введение ЗБ» «Аннотация ЗБ» в повествовательной форме.
«Аннотация ЗБ» предназначена для того, чтобы предоставить краткое резюме содержания ЗБ (более детальное описание приведено в разделе «Описание ОО»), которое является достаточно подробным, чтобы позволить потенциальному потребителю сделать заключение, представляет ли для него интерес данный ОО (а значит, и все остальные части ЗБ).
-
9.3.3.3.3 Шаг оценивания ASEJNT. 1 -3
ИСО/МЭК 15408-3 ASEJNT.1.3C: Введение ЗБ должно содержать утверждение о соответствии ИСО/МЭК 15408, излагающее все оцениваемые утверждения о соответствии ОО ИСО/МЭК 15408.
Оценщикдолжен проверить, содержит ли «Введение ЗБ» подраздел «Утверждение о соответствии ИСО/МЭК 15408», в котором изложено утверждение о соответствии ОО ИСО/МЭК 15408.
Оценщик делает заключение, соответствует ли «Утверждение о соответствии ИСО/МЭК 15408» подразделу 6.4 ИСО/МЭК 15408-1.
Оценщик делает заключение, что «Утверждение о соответствии ИСО/МЭК 15408» содержит утверждение о соответствии либо ИСО/МЭК 15408-2, либо ИСО/МЭК 15408-2, расширенному другими компонентами функциональных требований.
Оценщик делает заключение, что «Утверждение о соответствии ИСО/МЭК 15408» содержит утверждение о соответствии либо ИСО/МЭК 15408-3, либо ИСО/МЭК 15408-3, расширенному другими компонентами требований доверия.
Если утверждается о расширении ИСО/МЭК 15408-3 и пакет требований доверия включает в себя требования доверия из ИСО/МЭК 15408-3, оценщик делает заключение, сформулировано ли в подразделе «Утверждение о соответствии ИСО/МЭК 15408», какие требования доверия из ИСО/МЭК 15408-3 заявлены.
Если утверждается о соответствии именованному пакету, оценщик делает заключение, сформулировано ли в подразделе «Утверждение о соответствии ИСО/МЭК 15408». какой пакет заявлен.
Если утверждается об усилении именованного пакета, оценщик делает заключение, сформулировано ли в подразделе «Утверждение о соответствии ИСО/МЭК 15408», какой пакет заявлен и какое усиление к этому пакету заявлено.
Если утверждается о соответствии ПЗ, то оценщик делает заключение, сформулировано ли в подразделе «Утвер>кдение о соответствии ИСО/МЭК 15408», по отношению к какому профилю защиты или профилям защиты сделано утверждение о соответствии.
Оценщику необходимо иметь в виду, что если утверждается о соответствии ПЗ, то применяются критерии оценки утверждений о соответствии ПЗ (ASE_PPC.1), а если утверждается о расширении ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3, то применяются критерии оценки требований безопасности, сформулированных в явном виде (ASE_SRE.1).
-
9.3.3.4 Действие ASEJNT.1.2E
-
9.3.3.4.1 Шаг оценивания ASEJNT. 1-4
-
Oi 1ен|цик должен иселедоватн «Введение ЗБ», чтобы сделать заключение, является ли оно логически упорядоченным.
«Введение ЗБ» является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
-
9.3.3.4.2 Шаг оценивания ASEJNT. 1-5
Оценщик должен исследовать «Введение ЗБ», чтобы сделать заключение, является ли оно внутренне непротиворечивым.
Анализ внутренней непротиворечивости, естественно, опирается на краткий обзор ЗБ, представляющий собой резюме содержания ЗБ.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
9.3.3.5 Действие ASEJNT.1.3E
-
9.3.3.5.1 Шаг оценивания ASEJNT. 1-6
-
Оценщик должен исследовать ЗБ, чтобы сделать заключение, согласовано ли «Введение ЗБ» с другими частями ЗБ.
Оценщик делает заключение, предоставляет ли «Аннотация ЗБ» точную общую характеристику ОО. В частности, оценщик делает заключение, согласована ли «Аннотация ЗБ» с разделом «Описание ОО» и не предполагается ли в нем наличие характеристик безопасности, которые выходят за рамки оценки.
Оценщик также делает заключение, согласовано ли «Утверждение о соответствии ИСО/МЭК 15408» с другими частями ЗБ.
Руководство по анализу непротиворечивости см. 8 А.З «Анализ непротиворечивости» (приложение А).
9.3.4 Оценка целей безопасности (ASE_OBJ.1)
-
9.3.4.1 Цели
Цель данного подвида деятельности — сделать заключение, полностью ли и согласованно описаны цели безопасности, направлены ли цели безопасности на противостояние идентифицированным угрозам, на достижение идентифицированной политики безопасности организации и согласованы ли они с приведенными предположениями.
-
9.3.4.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ЗБ.
-
9.3.4.3 Действие ASEOBJ. 1.1Е
-
9.3.4.3.1 Шагоценивания ASE_OBJ.1-1
ИСО/МЭК 15408-3 ASE_OBJ.1.1C: Изложение целей безопасности должно определить цели безопасности для ОО и его среды.
Оценщик должен проверить, определены ли в изложении целей безопасности цели безопасности для ОО и его среды.
Оценщик делает заключение, ясно ли определено для каждой цели безопасности, относится она к ОО, к среде или к тому и другому.
9 3 4 3 2 Шаг оценивания ASE_ORJ 1-2
ИСО/МЭК 15408-3 ASE_OB J. 1.2С: Цели безопасности для ОО должны быть сопоставлены с теми аспектами идентифицированных угроз, которым будет противостоять ОО, и/или с политикой безопасности организации, которая будет выполняться ОО.
Оценщик должен исследовать «Обоснование целей безопасности», чтобы сделать заключение, все ли цели безопасности для ОО прослежены к аспектам идентифицированных угроз, которым необходимо противостоять, и/или к аспектам политики безопасности организации, которой должен следовать ОО.
Оценщик делает заключение, прослежена ли каждая цель безопасности для ОО, по крайней мере, к одной угрозе или политике безопасности организации.
Неудача при попытке такого прослеживания свидетельствует о том, что либо обоснование целей безопасности является неполным, либо изложение угроз/политики безопасности организации является неполным, либо цель безопасности для ОО является бесполезной.
-
9.3.4.3.3 Шаг оценивания ASE_OBJ. 1-3
ИСО/МЭК 15408-3 ASE_OBJ.1.3C: Цели безопасности для среды должны быть сопоставлены с теми аспектами идентифицированных угроз, которым ОО противостоит не полностью, и/или с политикой безопасности организации или предположениями, не полностью выполняемыми ОО.
Оценщик должен исследовать «Обоснование целей безопасности», чтобы сделать заключение, прослежены ли цели безопасности для среды к идентифицированным угрозам, которым должна противостоять среда ОО, и/или к аспектам политики безопасности организации, которым должна удовлетворять среда ОО, и/или к предположениям, которым должна удовлетворять среда ОО.
Оценщик делает заключение, прослежена ли каждая цель безопасности для среды, по крайней мере, к одному предположению, угрозе или политике безопасности организации.
Неудача при попытке такого прослеживания свидетельствует о том, что либо обоснование целей безопасности является неполным, либо изложение предположений/угроз/политики безопасности организации является неполным, либо цель безопасности для среды является бесполезной.
Поэтому угрозе полностью может соответствовать одна или более цель для среды. Крайний случай — это когда отсутствуют цели безопасности для ОО. В этом случае использование конструкции ПЗ/ЗБ остается правомерным, определение ОО, для которого все угрозы и политики безопасности организации учитываются средой, вряд ли бы имело какой-то практический смысл, так как для такого ОО не было бы никаких функциональных требований безопасности. Решение о сертификации подобных ОО является прерогативой системы оценки.
-
9.3.4.3.4 Шаг оценивания ASE_OBJ. 1-4
ИСО/МЭК 15408-3 ASE_OBJ.1.4С: Обоснование целей безопасности должно демонстрировать, что изложенные цели безопасности пригодны для противостояния всем идентифицированным угрозам безопасности.
Оценщик должен исследовать «Обоснование целей безопасности», чтобы сделать заключение, содержится ли в нем для каждой угрозы приемлемое логическое обоснование того, что цели безопасности пригодны для противостояния данной угрозе.
Если ни одна цепь безопасности не прослежена к конкретной угрозе, то результат данного шага оценивания отрицательный.
Оценщик делает заключение, демонстрирует ли логическое обоснование для угрозы то, что, если все цели безопасности, прослеживаемые к угрозе, достигнуты, то угроза либо устранена, либо снижена до приемлемого уровня, либо последствия ее реализации в достаточной мере компенсированы.
Оценщик также делает заключение, действительно ли каждая цель безопасности, которая прослежена к угрозе, будучи достигнутой, вносит вклад в устранение, снижение или компенсацию последствий реализации данной угрозы.
Примеры устранения угрозы:
-
– устранение для источника угрозы (нарушителя) возможности использовать какой-либо метод нападения;
-
– устранение мотивации источника угрозы (нарушителя) путем применения сдерживающих факторов;
-
– устранение источника угрозы (например, отключение от сети машин, часто приводящих к фатальному сбою этой сети).
Примеры снижения угрозы:
-
– ограничение для источника угрозы возможности использования методов нападения;
-
– ограничение возможностей источников угрозы:
-
– снижение вероятности успешного результата инициированного нападения;
-
– повышенные требования к компетентности и ресурсам источника угрозы.
Примеры компенсации последствий реализации угрозы:
-
– частое создание резервных копий активов;
• наличие резервных копий 00;
-
– частая смена ключей, используемых в течение сеанса связи, чтобы последствия компрометации одного ключа были относительно незначительными.
Несмотря на то, что прослеживание целей безопасности к угрозам в обосновании целей безопасности может быть частью логического обоснования, само по себе оно не является логическим обоснованием. Даже в том случае, когда цель безопасности является только заявлением, отражающим намерение предотвратить реализацию конкретной угрозы, все равно требуется логическое обоснование, хотя в данном случае оно может быть минимальным.
-
9.3.4.3.5 Шаг оценивания ASE_OBJ. 1 -5
ИСО/МЭК 15408-3 ASE_OBJ.1.5С: Обоснование целей безопасности должно демонстрировать, что изложенные цели безопасности пригодны для охвата всех установленных положений политики безопасности организации и предположений.
Оценщик должен исследовать «Обоснование целей безопасности», чтобы сделать заключение, содержится ли в нем для каждого аспекта политики безопасности организации приемлемое логическое обоснование того, что цели безопасности покрывают данный аспект политики безопасности организации.
Если ни одна цель безопасности не прослежена к политике безопасности организации, то результат данного шага оценивания отрицательный.
Оценщик делает заключение, демонстрирует ли логическое обоснование для политики безопасности организации то, что, если все цели безопасности, прослеженные к политике безопасности организации, достигнуты, то политика безопасности организации реализована.
Оценщик также делает заключение, действительно ли каждая цель безопасности, которая прослежена к политике безопасности организации, будучи достигнутой, вносит вклад в реализацию политики безопасности организации.
Несмотря на то, что прослеживание целей безопасности к политике безопасности организации в обосновании целей безопасности может бьггь частью логического обоснования, само по себе оно не является логическим обоснованием. Даже в том случае, когда цель безопасности является только заявлением, отражающим намерение реализовать конкретную политику безопасности, все равно требуется логическое обоснование, хотя в данном случае оно может быть минимальным.
-
9.3.4.3.6 Шаг оценивания ASE_OBJ. 1 -6
Оценщик должен исследовать «Обоснование целей безопасности», чтобы сделать заключение, содержится ли в нем для каждого предположения приемлемое логическое обоснование того, что цели безопасности для среды пригодны для покрытия данного предположения.
Если ни одна цель безопасности для среды не прослежена к приведенному предположению, то результат данного шага оценивания отрицательный.
Предположение является или предположением относительно предполагаемого использования ОО, или предположением относительно среды использования ОО.
Оценщик делает заключение, демонстрирует ли логическое обоснование для предположения относительно предполагаемого использования ОО то, что, если все цели безопасности для среды, прослеженные к данному предположению, достигнуты, предполагаемое использование ОО поддерживается.
Оценщик также делает заключение, действительно ли каждая цель безопасности для среды, прослеживаемая к некоторому предположению относительно предполагаемого использования ОО, будучи достигнутой, вносит вклад в поддержку предполагаемого использования.
Оценщик делает заключение, демонстрирует ли логическое обоснование для предположения относительно среды использования ОО то, что, если все цели безопасности для среды, прослеженные к данному предположению, достигнуты, среда согласуется с данным предположением.
Оценщиктакже делает заключение, действительно ли каждая цель безопасности для среды, которая прослежена к предположению относительно среды использования ОО, будучи достигнутой, вносит вклад в достижение согласованности среды с предположением.
Несмотря на то, что прослеживание целей безопасности для среды к предположениям относительно среды использования ОО в подразделе «Обоснование целей безопасности» может быть частью логического обоснования, само по себе оно не является логическим обоснованием. Даже в том случае, когда цель безопасности представляет собой перефразированное предположение, все равно требуется логическое обоснование, хотя в данном случае оно может быть минимальным.
-
9.3.4.4 Действие ASE_OBJ. 1 2Е
-
9.3.4.4.1 Шагоценивания ASE_OBJ.1-7
Оценщик должен исследовать изложение раздела «Цели безопасности», чтобы сделать заключение, является ли оно логически упорядоченным.
Изложение раздела «Цели безопасности» является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
-
9.3.4.4.2 Шагоценивания ASE_OBJ. 1-8
Оценщик должен исследовать изложение раздела «Цели безопасности», чтобы сделать заключение, является ли оно полным.
Изложение раздела «Цели безопасности» является полным, если цели безопасности достаточны для противостояния всем идентифицированным угрозам и покрывают все идентифицированные политики безопасности организации и предположения. Данный шаг оценивания может быть выполнен совместно с шагами оценивания ASE_OBJ. 1-4, ASE_OBJ. 1-5 и ASE_OBJ. 1-6.
-
9.3.4.4.3 Шагоценивания ASE_OBJ. 1-9
Оценщик должен исследовать изложение раздела «Цели безопасности», чтобы сделать заключение, является ли оно внутренне непротиворечивым.
Изложение раздела «Цели безопасности» является внутренне непротиворечивым, если цели безопасности не противоречат друг другу. Примером противоречия могут служить следующие две цели безопасности: «Идентификатор пользователя не подлежит раскрытию» и «Идентификатор пользователя должен быть доступен другим пользователям».
Руководство по анализу непротиворечивости см. вА.3 «Анализ непротиворечивости» (приложение А).
9.3.5 Оценка раздела «Утверждение о соответствии ПЗ» (ASE_PPC.1)
-
9.3.5.1 Цели
Цель данного подвида деятельности — сделать заключение, является ли ЗБ корректным отображением любого ПЗ, соответствие которому заявлено в ЗБ.
-
9.3.5.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) профиль (профили) защиты, о соответствии которому (которым) заявлено в ЗБ.
-
9.3.5.3 Замечания по применению
Данный пункт применим, только если в ЗБ утверждают о соответствии одному или нескольким ПЗ. Если в ЗБ не утверждают о соответствии одному или нескольким ПЗ, то все шаги оценивания из этого пункта не применяют и поэтому считают удовлетворенными.
-
9.3.5.4 Действие ASE_PPC. 1.1Е
-
9.3.5.4.1 Шаг оценивания ASE_PPC. 1-1
ИСО/МЭК 15408-3 ASE_PPC. 1.1 С: Каждое утверждение о соответствии ПЗ должно идентифицировать ПЗ, соответствие которому утверждается, включая необходимые уточнения, связанные с этим утверждением.
Оценщик должен проверить, что в каждом утверждении о соответствии ПЗ в ЗБ идентифицирован ПЗ, о соответствии которому сделано утверждение.
Оценщик делает заключение, идентифицирован ли однозначно каждый ПЗ, о соответствии которому в ЗБ сделано утверждение (например, путем указания наименования и номера версии или использования идентификационной информации, включенной в раздел «Введение» данного ПЗ). Оценщику необходимо иметь в виду, что утверждения о частичном соответствии ПЗ не допускаются ИСО/МЭК 15408.
-
9.3.5.4.2 Шагоценивания ASE_PPC. 1-2
ИСО/МЭК 15408-3 ASE_PPC.1.2С: Каждое утверждение о соответствии ПЗ должно идентифицировать формулировки требований безопасности ИТ, в которых завершены разрешенные операции или иначе выполнено дальнейшее уточнение требований ПЗ.
Оценщик должен проверить, что в каждом утверждении о соответствии ПЗ идентифицированы формулировки требований безопасности ИТ, в которых завершены разрешенные операции ПЗ или иначе выполнено дальнейшее уточнение требований ПЗ.
В ЗБ нет необходимости повторять формулировки требований безопасности, содержащиеся в ПЗ и не модифицируемые в данном ЗБ. Если, однако, функциональные требования безопасности ПЗ содержат незавершенные операции, или разработчик ЗБ применил операцию «уточнение» к какому-либо требованию безопасности ПЗ, то эти требования в ЗБ должны быть ясно определены.
-
9.3.5.4.3 Шаг оценивания ASE_PPC. 1-3
ИСО/МЭК 15408-3 ASE_PPC .1.3C: Каждое утверждение о соответствии ПЗ должно идентифицировать формулировки содержащихся в ЗБ целей безопасности и требований безопасности ИТ. которые дополняют имеющиеся в ПЗ.
Оценщик должен проверить, что для каждого утверждения о соответствии ПЗ идентифицированы те цели безопасности и требования безопасности ИТ, которые являются дополнительными по отношению к целям безопасности и требованиям безопасности ИТ, содержащимся в ПЗ.
Оценщик делает заключение, ясно ли определены все цели безопасности и требования безопасности, которые включены в ЗБ, но не были включены в ПЗ.
-
9.3.5.5 Действие ASE_PPC. 1.2Е
-
9.3.5.5.1 Шаг оценивания ASE_PPC. 1-4
Для каждого утверждения о соответствии ПЗ оценщик должен исследовать ЗБ, чтобы сделать заключение, все ли операции, выполненные по отношению к требованиям безопасности ИТ из ПЗ, не выходят за рамки, установленные ПЗ.
Данный шаг оценивания охватывает не только незавершенные операции «назначение» и «выбор» в ПЗ, но также и любое применение операции «уточнение» по отношению к требованиям безопасности, взятым из ПЗ
-
9.3.6 Оценка раздела «Требования безопасности ИТ» (ASE_REQ.1)
-
9.3.6.1 Цели
Цель данного подвида деятельности—сделать заключение, является ли описание требований безопасности ОО (как функциональных требований безопасности ОО, так и требований доверия к безопасности ОО) и требований безопасности для среды ИТ полным и непротиворечивым, и обеспечивают ли данные требования безопасности адекватную основу для разработки ОО, который бы достигал своих целей безопасности.
-
9.3.6.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ЗБ.
-
9.3.6.3 Действие ASE_REQ. 1.1Е
-
9.3.6.3.1 Шаг оценивания ASE_REQ. 1-1
ИСО/МЭК 15408-3 ASE_REQ. 1.1 С: Изложение функциональных требований безопасности ОО должно идентифицировать функциональные требования безопасности ОО. составленные из компонентов функциональных требований из ИСО/МЭК 15408-2.
Оценщик должен проверить изложение функциональных требований безопасности ОО, чтобы сделать заключение, идентифицированы ли в нем функциональные требования безопасности ОО, составленные из компонентов функциональных требований по ИСО/МЭК 15408-2.
Оценщик делает заключение, что все компоненты функциональных требований безопасности ОО, взятые из ИСО/МЭК 15408-2, идентифицированы либо путем ссылки на отдельные компоненты по ИСО/МЭК 15408-2, либо путем ссылки на отдельные компоненты из ПЗ, о соответствии которому утверждают в ЗБ, либо путем воспроизведения их в ЗБ.
-
9.3.6.3.2 Шаг оценивания ASEREQ. 1-2
Оценщик должен проверить, что каждая ссылка на компонент функциональных требований безопасности ОО является правильной.
Для каждой ссылки на компонент функционального требования безопасности ОО по ИСО/МЭК 15408-2 оценщик делает заключение, существует ли упомянутый компонент в ИСО/МЭК 15408-2.
Для каждой ссылки на компонент функционального требования безопасности ОО из ПЗ оценщик делает заключение, существует ли упомянутый компонент в данном ПЗ.
-
9.3.6.3.3 Шаг оценивания ASE_REQ. 1-3
Оценщик должен проверить, что каждый компонент функциональных требований безопасности ОО, взятый из ИСО/МЭК 15408-2 и воспроизведенный в ЗБ, воспроизведен правильно.
Оценщик делает заключение, правильно ли воспроизведены требования в подразделе «Функциональные требования безопасности ОО»; при этом исследование разрешенных операций не проводится. Исследование правильности операций над компонентами осуществляется при выполнении шагов оценивания ASE_REQ.1-11 и ASE_REQ.1-12.
-
9.3.6.3.4 Шагоценивания ASE_REQ.1-4
ИСО/МЭК 15408-3 ASE_REQ.1.2C: Изложение требований доверия к 00 должно идентифицировать требования доверия к ОО. составленные из компоненпюв требований доверия ИСО/МЭК 15408-3.
Оценщик должен проверить изложение подраздела «Требования доверия к безопасности ОО», чтобы сделать заключение, идентифицированы ли в нем требования доверия к безопасности ОО, составленные из компонентов требований доверия ИСО/МЭК 15408-3.
Оценщик делает заключение, все ли компоненты требований доверия к безопасности ОО, взятые из ИСО/МЭК 15408-3. идентифицированы либо путем ссылки на некоторый ОУД, либо на отдельные компоненты из ИСО/МЭК 15408-3, либо путем ссылки на ПЗ, соответствие которому заявлено в ЗБ, либо путем их воспроизведения в ЗБ.
-
9.3.6.3.5 Шаг оценивания ASE_REQ. 1-5
Оценщик должен проверить, что каждая ссылка на компоненты требований доверия к безопасности ОО является правильной.
Для каждой ссылки на компонент требований доверия «безопасности ОО по ИСО/МЭК 15408-3 оцен-щикделает заключение, существует ли упомянутый компонент в ИСО/МЭК 15408-3.
Для каждой ссылки на компонент требований доверия к безопасности ОО из ПЗ оценщик делает заключение, существует ли упомянутый компонент в данном ПЗ.
-
9.3.6.3.6 Шаг оценивания ASEREQ. 1-6
Оценщик должен проверить, что каждый компонент требований доверия к безопасности ОО. взятый из ИСО/МЭК 15408-3 и воспроизведенный в ЗБ, воспроизведен правильно.
Оценщик делает заключение, правильно ли воспроизведены требования в подразделе «Требования доверия к безопасности ОО»; при этом исследование выполнения разрешенных операций не проводится. Исследование правильности операций над компонентами осуществляется при выполнении шагов оценивания ASE_REQ.1-11 и ASE_REQ.1-12.
-
9.3.6.3.7 Шаг оценивания ASE REQ. 1-7
ИСО/МЭК 15408-3 ASE_REQ. 1 .ЗС: В изложение требований доверия к ОО следует включить оценочный уровень доверия (ОУД). как определено в ИСО/МЭК 15408-3.
Оценщик должен исследовать изложение подраздела «Требования доверия к безопасности ОО», чтобы сделать заключение, содержит ли оно ОУД, определенный в ИСО/МЭК 15408-3, либо в нем логически обосновано отсутствие ОУД.
Если никакой из ОУД не включен, то оценщик делает заключение, указана ли в логическом обосновании причина невключения ОУД в подраздел «Требования доверия к безопасности ОО». Это логическое обоснование может указывать либо на причину невозможности, нежелательности или нецелесообразности включения ОУД, либо на причину невозможности, нежелательности или нецелесообразности включения конкретных компонентов семейств, составляющих ОУД1 (АСМ_САР «Возможности УК», ADOJGS «Установка, генерация и запуск», ADV_FSP «Функциональная спецификация», ADV_RCR «Соответствие представлений», AGD_ADM «Руководство администратора», AGDJJSR «Руководство пользователя» и ATEJND «Независимое тестирование»).
-
9.3.6.3.8 Шаг оценивания ASE_REQ. 1-8
ИСО/МЭК 15408-3 ASE_REQ. 1.4С: Свидетельство должно содержать логическое обоснование, что изложение требований доверия к ОО является соответствующим.
Оценщикдолжен исследовать «Обоснование требований безопасности», чтобы сделать заключение, достаточно ли логично в нем обосновано то, что изложение требований доверия «безопасности ОО является приемлемым.
Если требования доверия содержат какой-либо ОУД, то в логическом обосновании допустимо рассматривать выбор конкретного ОУД в целом, а не каждого отдельного компонента данного ОУД. Если подраздел «Требования доверия к безопасности ОО» содержит компоненты, усиливающие выбранный ОУД. оценщик делает заключение, дано ли логическое обоснование каждого такого усиления. Если подраздел «Требования доверия к безопасности ОО» содержит требования доверия, сформулированные в явном виде, оценщик делает заключение, приведено ли логическое обоснование использования каждого сформулированного в явном виде требования доверия.
Оценщик делает заключение, дано ли в подразделе «Обоснование требований безопасности» достаточно логичное обоснование, что требования доверия достаточны для изложенной среды безопасности и целей безопасности. Например, если требуется защита от хорошо осведомленных нарушителей, то было бы неприемлемым специфицировать компонент AVA_VLA-1 «Анализ уязвимостей разработчиком», который является несвойственным для обнаружения недостатков безопасности, не являющихся очевидными.
Логическое обоснование может также включать в себя основания, подобные следующим:
-
a) требования доверия, включенные 8 ПЗ, соответствие которым заявлено в ЗБ;
-
b) специфические требования, установленные конкретной системой оценки, национальным правительством или другими организациями;
-
c) требования доверия, которые содержались в зависимостях функциональных требований безопасности 00;
-
d) требования доверия систем и/или продуктов, предназначенных для совместного использования с 00;
-
e) требования потребителей.
Краткий обзор назначения и целей для каждого ОУД приведен в ИСО/МЭК 15408-3 (подраздел 10.2).
Оценщику необходимо иметь в виду, что заключение о том, являются ли требования доверия приемлемыми, может быть субъективным, а значит, анализ достаточности логического обоснования не следует проводить слишком строго.
Если подраздел «Требования доверия к безопасности ОО» не содержит какой-либо ОУД, то данный шаг оценивания может быть выполнен совместно с шагом оценивания ASE_REQ.1-7.
-
9.3.6.3.9 Шаг оценивания ASE_REQ. 1-9
ИСО/МЭК 15408-3 ASE_REQ. 1.5С: ЗБ должно, при необходимости, идентифицировать каждое требование безопасности для среды ИТ.
Оценщик должен проверить, что в ЗБ, при необходимости, идентифицированы требования безопасности для среды ИТ.
Если ЗБ не содержит требований безопасности для среды ИТ, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Оценщик делает заключение, все ли зависимости ОО от других ИТ в рамках его среды, направленные на обеспечение каких-либо функциональных возможностей безопасности, чтобы достичь целей безопасности для ОО, четко идентифицированы в ЗБ как требования безопасности для среды ИТ.
Пример требований безопасности для среды ИТ—межсетевой экран полагается на базовую операционную систему в части обеспечения аутентификации администраторов и долговременного хранения данных аудита. В этом случае требования безопасности для среды ИТ обычно содержат компоненты из классов FAU «Аудит безопасности» и FIA «Идентификация и аутентификация».
Необходимо отметить, что «Требования безопасности для среды ИТ» могут содержать как функциональные требования, так и требования доверия.
Пример зависимости от среды ИТ—программный криптомодуль, который периодически проверяет свой код и. в случае обнаружения несанкционированной модификации, самоотключается. Для обеспечения возможности восстановления предусмотрено требование FPT_RCV.2 «Автоматическое восстановление». Поскольку криптомодуль не может самостоятельно восстановить свой код после самоотключения, то требование по восстановлению становится требованием к среде ИТ. Одной из зависимостей компонента FPT_RCV.2 «Автоматическое восстановление» является компонент AGD_ADM. 1 «Руководство администратора». Следовательно, это требование доверия становится требованием доверия для среды ИТ.
Оценщику необходимо иметь в виду, что ссылка требований безопасности для среды ИТ на ФБО относится к функциям безопасности среды, а не к функциям безопасности ОО.
-
9.3.6.3.10 Шаг оценивания ASE_REQ. 1-10
ИСО/МЭК 15408-3 ASE_REQ. 1.6С: Операции, предусмотренные в требованиях безопасности ИТ, включенных в ЗБ, должны быть идентифицированы и выполнены.
Оценщик должен проверить, что все операции над требованиями безопасности ИТ идентифицированы.
Разрешенными операциями для компонентов по ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3 являются «назначение», «итерация», «выбор» и «уточнение». Операции «назначение» и «выбор» разрешены только в специально обозначенных местах компонента. Операции «итерация» и «уточнение» разрешены для всех компонентов.
Оценщик делает заключение, все ли операции идентифицированы в каждом компоненте, где они используются. Идентификация может быть осуществлена либо путем введения типографских различий, либо путем использования явной идентификации в сопроводительном тексте, либо любым другим способом.
-
9.3.6.3.11 Шаг оценивания ASE_REQ.1-11
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать заключение, всели операции «назначение» и «выбор» выполнены.
Оценщик делает заключение, что все операции «(назначение» и «выбор» во всех компонентах либо полностью выполнены (в компонентах не остается незавершенных операций), либо их неполное выполнение соответствующим образом логически обосновано.
Пример неполного выполнения операции—спецификация диапазона значений при выполнении операции «назначение» в компоненте FTA_MCS.1 «Базовое ограничение на параллельные сеансы» для определения числа параллельных сеансов, принадлежащих одному пользователю. Приемлемое логическое обоснование для этого случая заключается в том, что конкретное значение будет выбрано из диапазона допустимых значений администратором в процессе инсталляции 00.
-
9.3.6.3.12 Шаг оценивания ASE_REQ.1-12
Оценщик должен исследовать ЗБ, чтобы сделать заключение, все ли операции выполнены корректно.
Оценщик сравнивает каждую формулировку с элементом, из которого она получена, чтобы сделать заключение:
-
a) для операции «назначение» — выбраны ли значения параметров или переменных в соответствии с указанным типом, требуемым операцией «назначение»:
-
b) для операции «выбор» — принадлежит ли выбранный пункт или пункты множеству пунктов, указанных во фрагменте «выбор» данного элемента. Оценщик также делает заключение, приемлемо ли число выбранных пунктов для данного требования. Для некоторых требований необходим выбор только одного пункта (например. FAU_GEN.1.1.b), в других случаях приемлем выбор нескольких пунктов (например, вторая операция в FDPJTT. 1.1);
-
c) для операции «уточнение» — уточнен ли компонент таким образом, что ОО, удовлетворяющий уточненному требованию, также удовлетворяет и неуточненному требованию. Если уточненное требование выходит за эти рамки, то его считают расширенным требованием.
Пример: ADV_SPM.1.2С — Модель ПБО должна содержать описание правил и характеристик всех политик ПБО, которые могут быть смоделированы. Уточнение: Модель ПБО должна охватывать только управление доступом. Если политика управления доступом является единственной политикой ПБО. то такое уточнение является правомерным. Если в ПБО также имеются политики идентификации и аутентификации, а уточнение означает, что моделировать следует только управление доступом, то это уточнение не является правомерным.
Особым случаем уточнения является редакционное уточнение, когда в требование вносят небольшие изменения, а именно переформулирование предложения в соответствии с правилами грамматики. Не допускается, чтобы такое изменение каким-либо образом изменяло смысл требования.
Пример редакционного уточнения — FAU_ARP.1 с единственным действием. Вместо записи: «ФБО должны предпринять информировать оператора при обнаружении возможного нарушения безопасности» допускается, чтобы разработчик ЗБ написал: «ФБО должны информировать оператора при обнаружении возможного нарушения безопасности».
Оценщику необходимо иметь в виду, что редакционные уточнения должны быть четко идентифицированы (см. шаг оценивания ASE_REQ.1-10);
с!)для операции «итерация» — отломается ли каждая итерация компонента от каждой другой итерации этого компонента (по крайней мере, один элемент одной итерации компонента должен отличаться от соответствующего элемента другой итерации компонента), или что компонент применяется к разным частям ОО.
-
9.3.6.3.13 Шаг оценивания ASE_REQ. 1-13
ИСО/МЭК 15408-3 ASE_REQ.1.7C: Зависимости между требованиями безопасности ИТ, включенными в ЗБ, следует удовлетворить.
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать заключение, удовлетворены ли зависимости, требуемые компонентами, используемыми при изложении раздела «Требования безопасности ИТ».
Зависимости могут быть удовлетворены включением соответствующего компонента (или компонента, иерархичного по отношению к последнему) в подраздел «Требования безопасности для ОО» или в подраздел «Требования безопасности для среды ИТ».
Хотя ИСО/МЭК 15408 поддерживает проведение анализа зависимостей путем их включения в описание компонентов требований, сам по себе данный факт не является логическим обоснованием того, что никакие другие зависимости не существуют. Пример существования таких зависимостей: элемент, в который включена ссылка «все объекты» или «все субъекты», может иметь зависимость по отношению к уточнению в другом элементе или наборе элементов, в котором перечислены данные объекты или субъекты.
Зависимости требований безопасности для среды ИТ следует излагать и удовлетворять в ЗБ.
Оценщику необходимо иметь в виду, что в ИСО/МЭК 15408 не требуется, чтобы все зависимости были удовлетворены: см. следующий шаг оценивания.
-
9.3.6.3.14 Шаг оценивания ASE_REQ.1-14
ИСО/МЭК 15408-3 ASE_REQ. 1.8С: Свидетельство должно содержать логическое обоснование каждого неудовлетворения зависимостей.
Оценщик должен исследовать «Обоснование требований безопасности», чтобы сделать заключение, содержится ли в нем приемлемое логическое обоснование для каждого случая, когда зависимости требований безопасности не удовлетворены.
Оценщик с учетом идентифицированных целей безопасности делает заключение, объяснено ли в логическом обосновании, почему удовлетворение зависимости не требуется.
Оценщик подтверждает, что никакое неудовлетворение зависимости не препятствует тому, чтобы набор требований безопасности адекватно учитывал цели безопасности. Такой анализ проводят в соответствии cASE_REQ.1.12C.
Пример приемлемого логического обоснования —Для программного ОО имеется цель безопасности следующего содержания: «Случаи неуспешной аутентификации должны быть зарегистрированы с указанием идентификационной информации о пользователе, времени и дате», и для удовлетворения данной цели безопасности используется функциональное требование на основе компонента FAU_GEN.1 «Генерация данных аудита». Компонент FAU_GEN.1 содержит зависимость от компонента FPT_STM.1 «Надежные метки времени». Так как ОО не имеет встроенных часов, то FPT_STM.1 определяется разработчиком ЗБ как требование безопасности для среды ИТ Разработчик ЗБ указывает на то, что данное требование не подлежит удовлетворению, приводя следующее логическое обоснование: «В данной конкретной среде существуют возможности проведения атак на механизм меток времени; таким образом, среда может не обеспечить надежные метки времени. Но имеющиеся источники угроз не способны к проведению атак на механизмы меток времени, а другие атаки со стороны этих источников угроз могут быть подвергнуты анализу с регистрацией времени и даты осуществления».
-
9.3.6.3.15 Шаг оценивания ASE_REQ. 1 -15
ИСО/МЭК 15408-3 ASE_REQ.1,9С: ЗБ должно включать в себя изложение приемлемого минимального уровня стойкости функций безопасности (СФБ) для функциональных требований безопасности ОО: базовой, средней или высокой СФБ.
Оценщик должен проверить, включено ли в ЗБ заявление минимального уровня стойкости функции безопасности для функциональных требований безопасности ОО и определен ли этот уровень СФБ как базовый, средний или высокий.
Если требования доверия к безопасности ОО не включают в себя компонент AVA_SOF.1 «Оценка стойкости функции безопасности ОО», то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Стойкость криптографических алгоритмов находится вне области действия ИСО/МЭК 15408. Стойкость функции безопасности применяют только к вероятностным и перестановочным механизмам, которые являются некригггографическими. Следовательно, когда в ЗБ содержится утверждение о минимальном уровне СФБ, оно не применимо к каким бы то ни было криптографическим механизмам, с точки зрения оценки по ИСО/МЭК 15408. Когда такие криптографические механизмы входят в состав ОО, то оценщик делает заключение, представлено ли в ЗБ четкое изложение того, что оценка стойкости криптографических алгоритмов не является частью оценки.
ОО может состоять из нескольких отдельных доменов, тогда автор ЗБ может посчитать более приемлемым иметь минимальный уровень стойкости функций безопасности для каждого домена, а не иметь один общий минимальный уровень стойкости функций безопасности для всего ОО. В этом случае допускается разделить функциональные требования безопасности ОО на отдельные поднаборы и иметь различные минимальные уровни стойкости функций безопасности, ассоциированные с каждым поднабором.
Примером этого является распределенная терминальная система, включающая в себя терминалы пользователей, расположенные в общедоступных местах, и терминалы администраторов, расположенные в физически защищенном месте. С требованиями по аутентификации для терминалов пользователей связана средняя СФБ, вто время как с требованиями по аутентификации для терминалов администраторов связана базовая СФБ. Вместо заявления о базовой СФБ как о минимальном уровне СФБ для ОО, что могло бы утвердить потенциальных потребителей ОО во мнении, что провести успешную атаку на механизмы аутентификации на терминалах пользователя относительно несложно, автор ЗБ разделяет ОО на два домена: домен пользователей и домен администраторов; разделяет функциональные требования безопасности 00 на два поднабора, соответствующие выделенным доменам ОО; назначает в качестве минимального уровня СФБ базовую СФБ для поднабора требований, соответствующих домену администраторов. и среднюю СФБ для лоднабора требований, соответствующих домену пользователей.
-
9.3.6.3.16 Шаг оценивания ASE_REQ. 1 -16
ИСО/МЭК 15408-3 ASE_REQ. 1.10С: При изложении требований безопасности должны быть идентифицированы все функциональные требования безопасности, для которых требуется явное заявление стойкости функции, с явным заявлением стойкости функции для каждого такого функционального требования безопасности.
Оценщик должен проверить, что в ЗБ идентифицированы все конкретные функциональные требования безопасности ОО, для которых целесообразна заявленная в явном виде стойкость функции безопасности вместе с конкретной метрикой.
Если подраздел «Требования доверия к безопасности ОО» не содержит компонент AVA_SOF.1 «Оценка стойкости функции безопасности ОО», то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Заявленной в явном виде стойкостью функции безопасности может быть «базовая СФБ», «средняя СФБ», «высокая СФБ» или заданная специфическая метрика. Когда используется специфическая метрика, оценщик делает заключение, является ли она приемлемой для конкретного типа функциональных требований и имеется ли возможность оценки утверждений о СФБ, выраженных в данной метрике. Данный шаг оценивания относится к тому случаю, когда автору ЗБ требуется определить конкретные утверждения о СФБ (т.е. выше, чем общее утверждение о СФБ, заявленное в ЗБ) или — конкретную метрику СФБ. Конкретные утверждения п СФБ для фуню (ипнапьных требований безопасности ОО могут быть определены автором ПЗ. При отсутствии каких-либо конкретных утверждений о СФБ общее утверждение о СФБ 8 ЗБ применяют ко всем функциональным требованиям безопасности ОО, изложенным 8 ЗБ. Оценщику следует удостовериться, что наличие или отсутствие утверждений о СФБ, сформулированных в явном виде, согласовано с другими частями данного ЗБ.
Потенциально в ЗБ утверждения о СФБ могут варьироваться. В ЗБ может иметься общее утверждение о СФБ, кроме того, в рамках ЗБ для конкретных функциональных требований безопасности ОО могут иметься утверждения о СФБ, определенные специально для этих функциональных требований.
Дальнейшие указания по приемлемости и допустимости метрик стойкости функций безопасности могут быть представлены конкретной системой оценки.
-
9.3.6.3.17 Шаг оценивания ASE_REQ. 1 -17
ИСО/МЭК 15408-3 ASE_REQ.1.11C: Обоснование требований безопасности должно демонстрировать, что минимальный уровень стойкости функции в ЗБ, как и каждое явное указание стойкости функции согласуются с цепями безопасности ОО.
Оценщик должен исследовать «Обоснование требований безопасности», чтобы сделать заключение, демонстрирует ли оно согласованность минимального уровня стойкости функций, а также каждой заявленной в явном виде стойкости функции с целями безопасности для ОО.
Если в подраздел «Требования доверия к безопасности ОО» не включен компонент AVA_SOF1, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Оценщик делает заключение, учтены ли в подразделе «Обоснование требований безопасности» детали, имеющие отношение к предполагаемой компетентности, ресурсам и мотивации нарушителей, описанные 8 разделе «Среда безопасности ОО». Например, утверждение о базовой СФБ неприемлемо, если требуется, чтобы ОО обеспечил защиту от нарушителей, обладающих высоким потенциалом нападения.
Оценщик также делает заключение, учтены ли в подразделе «Обоснование требований безопасности» все специфические, связанные со стойкостью функций безопасности, характеристики целей безопасности. Оценщик может использовать прослеживание от требований к целям безопасности, чтобы сделать заключение, что требования, прослеженные к целям безопасности со специфическими, связанными со стойкостью функций безопасности, характеристиками, при необходимости, включают в себя соответствующее утверждение о стойкости связанных с этими требованиями функций безопасности.
-
9.3.6.3.18 Шаг оценивания ASE_REQ.1-18
ИСО/МЭК 15408-3 ASE_REQ. 1.12С: Обоснование требований безопасности должно демонстрировать, что требования безопасности ИТ пригодны для достижения целей безопасности.
Оценщик должен исследовать «Обоснование требований безопасности», чтобы сделать заключение, прослежены ли требования безопасности ОО к целям безопасности для ОО.
Оценщик делает заключение, прослежено ли каждое функциональное требование безопасности ОО по крайней мере к одной цели безопасности для ОО.
Неудача при попытке такого прослеживания означает, что-либо подраздел «Обоснование требований безопасности» является неполным, либо раздел «Цели безопасности» является неполным, либо функциональное требование безопасности 00 является бесполезным.
Допустимо также, но необязательно, прослеживание отдельных или всех требований доверия к безопасности ОО к целям безопасности для ОО.
Пример прослеживания требования доверия к безопасности ОО к цели безопасности для ОО — ЗБ. содержащее угрозу: «Пользователь непреднамеренно раскрывает информацию, используя изделие, которое он принимает за ОО» и цель безопасности для ОО для противостояния данной угрозе: «ОО должен быть четко помечен соответствующим номером версии». Изложенная цель безопасности для ОО может быть достигнута путем выполнения требований компонента АСМ_САР.1 «Номера версий», и поэтому разработчик ЗБ прослеживает данный компонент к рассматриваемой цели безопасности для ОО.
-
9.3.6.3.19 Шаг оценивания ASE_REQ. 1 -19
Оценщик должен исследовать подраздел «Обоснование требований безопасности», чтобы сделать заключение, прослежены ли требования безопасности для среды ИТ к целям безопасности для среды.
Оценщик делает заключение, прослежено ли каждое функциональное требование безопасности для среды ИТ по крайней мере к одной цели безопасности для среды.
Неудача при попытке такого прослеживания означает, что-либо подраздел «Обоснование требований безопасности» является неполным, либо подраздел «Цели безопасности для среды» является неполным, либо функциональное требование безопасности для среды ИТ является бесполезным.
Допустимо также, но необязательно, для некоторых или всех требований доверия к безопасности для среды ИТ прослеживание к i (елям безопасности для среды
-
9.3.6.3.20 Шаг оценивания ASE_REQ. 1 -20
Оценщикдолжен исследовать «Обоснование требований безопасности», чтобы сделать заключение, содержится ли в нем для каждой цели безопасности для ОО приемлемое логическое обоснование того, что требования безопасности ОО пригодны для удовлетворения данной цели безопасности для ОО.
Если никакие требования безопасности ОО не прослежены к конкретной цели безопасности для ОО, то результат данного шага оценивания отрицательный.
Оценщик делает заключение, демонстрирует ли логическое обоснование для цели безопасности для ОО. что если все требования безопасности ОО, прослеженные к данной цели, удовлетворены, то цель безопасности для ОО достигнута.
Оценщик также делает заключение, действительно ли каждое требование безопасности ОО, прослеженное к цели безопасности для ОО, будучи удовлетворенным, вносит вклад в достижение данной цели безопасности.
Несмотря на то, что прослеживание от требований безопасности ОО к целям безопасности для ОО, представленное в подразделе «Обоснование требований безопасности», может быть частью логического обоснования, само по себе оно не является логическим обоснованием.
-
9.3.6.3.21 Шаг оценивания ASE_REQ. 1 -21
Оценщикдолжен исследовать подраздел «Обоснование требований безопасности», чтобы сделать заключение, содержит ли он для каждой цели безопасности для среды ИТ приемлемое логическое обоснование, что требования безопасности для среды ИТ пригодны для удовлетворения данной цели безопасности для среды ИТ.
Если никакие требования безопасности для среды ИТ не прослежены к конкретной цели безопасности для среды ИТ, то результат данного шага оценивания отрицательный.
Оценщик делает заключение, демонстрирует ли логическое обоснование для цели безопасности для среды, что если все требования безопасности для среды ИТ, прослеженные к данной цели безопасности для среды ИТ, удовлетворены, то цель безопасности для среды ИТ достигнута.
Оценщик также делает заключение, действительно ли каждое требование безопасности для среды ИТ, прослеженное к цели безопасности для среды ИТ. будучи удовлетворенным, вносит вклад в достижение данной цели безопасности.
Несмотря на то, что прослеживание требований безопасности для среды ИТ к целям безопасности для среды ИТ, представленное в подразделе «Обоснование требований безопасности», может быть частью логического обоснования, само по себе оно не является логическим обоснованием.
-
9.3.6.3.22 Шаг оценивания ASE_REQ. 1 -22
ИСО/МЭК 15408-3 ASE_REQ. 1.13С: Обоснование требований безопасности должно демонстрировать, что совокупность требований безопасности ИТ образует взаимно согласованное и внутренне непротиворечивое целое.
Оценщик должен исследовать подраздел «Обоснование требований безопасности», чтобы сделать заключение, демонстрирует ли он внутреннюю непротиворечивость совокупности требований безопасности ИТ.
Оценщик делает заключение, что во всех случаях, когда различные требования безопасности ИТ имеют отношение к одним и тем же типам событий, операций, данных, тестов, подлежащих выполнению, и т.д., и данные требования могут вступать в противоречие друг с другом, приведено приемлемое логическое обоснование отсутствия таких противоречий.
Например, если ЗБ содержит требования, связанные как с индивидуальной подотчетностью пользователей, так и с их анонимностью, необходимо, чтобы было показано, что данные требования не противоречат друг другу. Сюда может входить показ того, что ни одно из подлежащих аудиту событий, для которых требуется индивидуальная подотчетность пользователей, не имеет отношения к действиям, для которых требуется анонимность пользователей.
Руководство по анализу непротиворечивости см. вА.3 «Анализ непротиворечивости» (приложение А).
-
9.3.6.3.23 Шаг оценивания ASE_REQ. 1 -23
Оценщик должен исследовать подраздел «Обоснование требований безопасности», чтобы сделать заключение, демонстрирует ли он, что совокупность требований безопасности ИТ образует взаимно поддерживающее целое.
Данный шаг оценивания основан на заключениях, сделанных в ходе выполнения шагов оценивания ASE_REQ. 1 -18 и ASE_REQ. 1 -19, связанных с исследованием прослеживания от требований безопасности ИТ к целям безопасности, и шагов оценивания ASE_REQ.1-20 и ASE_REQ. 1-21, связанных с исследованием пригодности требований безопасности ИТ для удовлетворения целей безопасности. Данный шаг оценивания требует от оценщика рассмотреть возможность фактического недостижения какой-либо цели безопасности из-за недостаточной поддержки со стороны других требований безопасности ИТ.
Данный шаг оценивания основан также на анализе зависимостей, выполняемом на предыдущих шагах оценивания, поскольку если функциональное требование А имеет зависимость от функционального требования В, то В поддерживает А по определению.
Оценщик делает заключение, демонстрирует ли подраздел «Обоснование требований безопасности» поддержку функциональными требованиями друг друга, где необходимо, даже когда нет явного указания на наличие зависимостей между этими требованиями. Предполагается, что такая демонстрация охватывает те функциональные требования безопасности, которые направлены:
-
a) на предотвращение обхода механизмов, реализующих другие функциональные требования безопасности, такие, например, как FPT_RVM.1 «Невозможность обхода ПБО»;
-
b) на предотвращение вмешательства в работу механизмов, реализующих другие функциональные требования безопасности, такие, например, KaKFPT_SEP «Разделение домена»;
-
c) на предотвращение деактивации механизмов, реализующих другие функциональные требования безопасности, такие, например, как FMTMOF.1 «Управление режимом выполнения функций безопасности»;
-
d) на обеспечение обнаружения нападений (атак), направленных на нарушение работы механизмов, реализующих другие функциональные требования безопасности, такие, например, как компоненты класса FAU «Аудит безопасности».
В своем анализе оценщик учитывает результаты выполненных операций, чтобы сделать заключение, затрагивают ли они взаимную поддержку требованиями друг друга.
-
9.3.6.4 Действие ASE_REQ. 1.2Е
-
9.3.6.4.1 Шаг оценивания ASE_REQ. 1 -24
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать заключение, является ли оно логически упорядоченным.
Изложение требований безопасности ИТ является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
-
9.3.6.4.2 Шаг оценивания ASE_REQ.1 -25
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать заключение, является ли оно полным.
При выполнении данного шага оценивания используют результаты шагов оценивания, выполняемых в соответствии с требованиями ASE_REQ. 1.1Е и ASE_SRE. 1.1Е, и в особенности — результаты исследования оценщиком подраздела «Обоснование требований безопасности».
Изложение раздела «Требования безопасности ИТ» является полным, если все операции над требованиями завершены и оценщик считает требования безопасности достаточными для того, чтобы удостовериться. что все цели безопасности для 00 удовлетворены.
-
9.3.6.4.3 Шаг оценивания ASE_REQ. 1-26
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать заключение, является ли оно внутренне непротиворечивым.
При выполнении данного шага оценивания используют результаты шагов оценивания, выполняемых в соответствии с требованиями ASE_REQ. 1. 1Е и ASE_SRE. 1.1Е, и в особенности — результаты исследования оценщиком подраздела «Обоснование требований безопасности».
Изложение раздела «Требования безопасности ИТ» является внутренне непротиворечивым, если оценщик делает заключение, что ни одно требование безопасности не противоречит любому другому требованию безопасности таким образом, что цель безопасности не будет полностью удовлетворена.
Руководство по анализу непротиворечивости см. 8 А.З «Анализ непротиворечивости» (приложение А).
9.3.7 Оценка требований безопасности ИТ, сформулированных в явном виде (ASE_SRE.1)
-
9.3.7.1 Цели
Цель данного подвида деятельности—сделать заключение, являются ли функциональные требования и/или требования доверия к безопасности, сформулированные без ссылки на ИСО/МЭК 15408, приемлемыми и адекватными.
-
9.3.7.2 Исходные данные
Сйидетепьстйом oi 1йнки для этого подвила деятельности является ЗБ
-
9.3.7.3 Замечания по применению
Этот пункт применяют только в случае, если в ЗБ содержатся требования безопасности, сформулированные в явном виде без ссылки на ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3. В противном случае все шаги оценивания, описанные в данном пункте, не применяют и поэтому считают удовлетворенными.
Требования семейства ASE_SRE «Требования безопасности ИТ, сформулированные в явном виде» не заменяют требования семейства ASE_REQ «Требования безопасности ИТ», а являются дополнительными к ним. Это означает, что требования безопасности, сформулированные в явном виде без ссылки на ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3, должны быть оценены на соответствие критериям семейства ASE_SRE, а также в сочетании со всеми остальными требованиями безопасности — на соответствие критериям семейства ASE_REQ.
-
9.3.7.4 Действие ASE_SRE. 1.1Е
-
9.3.7.4.1 Шаг оценивания ASE_SRE. 1-1
ИСО/МЭК 15408-3 ASE_SRE. 1.1 С: Все требования безопасности ОО. которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408, должны быть идентифицированы.
Оценщик должен проверить, что в изложении раздела «Требования безопасности ИТ» идентифицированы все требования безопасности ОО, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408.
Необходимо, чтобы все функциональные требования безопасности ОО, которые не специфицированы на основе функциональных компонентов из ИСО/МЭК 15408-2, были четко идентифицированы кактаковые. Аналогично необходимо, чтобы все требования доверия к безопасности ОО, которые не специфицированы на основе компонентов доверия из ИСО/МЭК 15408-3, были четко идентифицированы как таковые.
-
9.3.7.4.2 Шаг оценивания ASE SRE. 1-2
ИСО/МЭК 15408-3 ASE_SRE. 1.2С: Все требования безопасности для среды ИТ, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408. должны быть идентифицированы.
Оценщик должен проверить, что в изложении раздела «Требования безопасности ИТ» идентифицированы все требования безопасности для среды ИТ, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408.
Требуется, чтобы все функциональные требования безопасности для среды ИТ, которые не специфицированы на основе функциональных компонентов из ИСО/МЭК 15408-2, были четко идентифицированы как таковые. Аналогично также требуется, чтобы все требования доверия к среде ИТ, которые не специфицированы на основе компонентов доверия из ИСО/МЭК 15408-3, были четко идентифицированы как таковые.
-
9.3.7.4.3 Шаг оценивания ASE_SRE. 1-3
ИСО/МЭК 15408-3 ASE_SRE. 1 .ЗС: Свидетельство должно содержать логическое обоснование, почему требования безопасности должны быть сформулированы в явном виде.
Оценщик должен исследовать «Обоснование требований безопасности», чтобы сделать заключение, содержится ли в нем приемлемое логическое обоснование, почему каждое из сформулированных в явном виде требований безопасности пришлось сформулировать в явном виде.
Оценщик для каждого сформулированного в явном виде требования безопасности ИТ делает заключение, объяснено ли в логическом обосновании, почему существующие функциональные компоненты или компоненты доверия (из ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3 соответственно) не могли быть использованы для выражения требований безопасности, сформулированных в явном виде. При вынесении заключения оценщик принимает во внимание возможность выполнения операций (т.е. назначение, итерация, выбор и уточнение) над этими существующими компонентами.
-
9.3.7.4.4 Шаг оценивания ASE_SRE. 1-4
ИСО/МЭК 15408-3 ASE_SRE. 1.4С: Сформулированные е явном виде требования безопасности ИТ должны использовать компоненты, семейства и классы требований ИСО/МЭК 15408 как образец для представления.
Оценщик должен исследовать каждое сформулированное в явном виде требование безопасности ИТ, чтобы сделать заключение, использованы ли для этого требования в качестве модели для представления компоненты, семейства и классы требований из ИСО/МЭК 15408.
Оценщик делает заключение, представлены ли сформулированные в явном виде требования безопасности ИТ в том же стиле и на сопоставимом уровне детализации, что и компоненты из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3. Оценщик также делает заключение, разделены ли функциональные требования на отдельные функциональные элементы и определяют ли требования доверия элементы действий разработчика, содержания и представления свидетельств, а также действий oi (енщика
-
9.3.7.4.5 Шаг оценивания ASE_SRE. 1-5
ИСО/МЭК 15408-3 ASE_SRE. 1,5С: Сформулированные в явном виде требования безопасности ИТ должны быть измеримы и устанавливать объективные требования оценки, такие, чтобы соответствие или несоответствие им ОО могло быть определено и последовательно продемонстрировано.
Оценщик должен исследовать каждое сформулированное в явном виде требование безопасности ИТ, чтобы сделать заключение, измеримо ли оно и устанавливает ли объективные требования оценки такие, что соответствие или несоответствие им ОО может быть определено и продемонстрировано систематическим методом.
Оценщик делает заключение, изложены ли функциональные требования таким образом, что они тестируемы и прослеживаемы к соответствующим представлениям ФБО. Оценщик также делает заключение, что требования доверия не приводят к необходимости вынесения о них субъективного суждения со стороны оценщика.
Имеющиеся в ИСО/МЭК 15408 функциональные требования и требования доверия должны быть использованы как образец.
-
9.3.7.4.6 Шаг оценивания ASE_SRE. 1-6
ИСО/МЭК 15408-3 ASE_SRE. 1.6С: Сформулированные в явном виде требования безопасности ИТ должны быть четко и недвусмысленно выражены.
Оценщик должен исследовать каждое сформулированное в явном виде требование безопасности ИТ, чтобы сделать заключение, выражено ли оно четко и однозначно.
Имеющиеся в ИСО/МЭК 15408 функциональные требования и требования доверия должны быть использованы как образец.
-
9.3.7.4.7 Шаг оценивания ASE_SRE. 1-7
ИСО/МЭК 15408-3 ASE_SRE.1.7С: Обоснование требований безопасности должно демонстрировать, что требования доверия применимы и пригодны для поддержки каждого из сформулированных в явном виде функциональных требований безопасности ОО.
Оценщикдолжен исследовать «Обоснование требований безопасности», чтобы сделать заключение, демонстрирует ли оно, что требования доверия применимы и приемлемы для поддержки любых сформулированных в явном виде функциональных требований безопасности ОО.
Оценщик делает заключение, приведет ли применение специфицированных требований доверия к получению значимого результата оценки для каждого сформулированного в явном виде функционального требования безопасности или следует специфицировать какие-либо другие требования доверия. Например, сформулированное в явном виде функциональное требование может предполагать потребность в конкретном документальном свидетельстве (таком, например, как модель ПБО), конкретной глубине тестирования или конкретном анализе (таком, как анализ стойкости функций безопасности ОО или анализ скрытых каналов).
9.3.7.5 Действие ASE_SRE. 1.2Е
-
9.3.7.5.1 Шаг оценивания ASE_SRE. 1-8
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать заключение, все ли зависимости сформулированных в явном виде требований безопасности ИТ были идентифицированы.
Оценщик подтверждает, что никакие подлежащие удовлетворению зависимости не были пропущены разработчиком ЗБ.
Примеры возможных зависимостей: компоненты класса FAU «Аудит безопасности», если в сформулированном в явном виде функциональном требовании упоминается аудит; компоненты семейства ADVJMP «Представление реализации», если в сформулированном в явном виде требовании доверия упоминается исходный код или представление реализации ОО.
9.3.8 Оценка раздела «Краткая спецификация ОО» (ASE_TSS.1)
-
9.3.8.1 Цели
Цель данного подвида деятельности — сделать заключение, представлено ли в разделе «Краткая спецификация ОО» четкое и непротиворечивое высокоуровневое определение функций безопасности и мер доверия, и удовлетворяют ли они специфицированным требованиям безопасности ОО.
-
9.3.8.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ЗБ.
-
9.3.8.3 Действие ASE_TSS. 1.1Е
-
9.3.8.3.1 Шаг оценивания ASE_TSS.1-1
ИСО/МЭК 15408-3 ASE_TSS.1.1C: Краткая спецификация ОО должна содержать описание функций безопасности ИТ и мер доверия к ОО.
Оценщик должен проверить, что раздел «Краткая спецификация ОО» содержит описание функций безопасности ИТ и мер доверия ОО.
Оценщик делает заключение, представлено ли в разделе «Краткая спецификация ОО» высокоуровневое определение функций безопасности, заявленных как предназначенные для удовлетворения функциональных требований, и мер доверия, заявленных как предназначенные для удовлетворения требований доверия к безопасности ОО.
Меры доверия могут быть сформулированы в явном виде или определены посредством ссылки на документы, которые удовлетворяют требованиям доверия к безопасности (например, соответствующие планы качества, планы жизненного цикла, планы управления).
-
9.3.8.3.2 Шаг оценивания ASE_TSS. 1 -2
ИСО/МЭК 15408-3 ASE_TSS.1.2С: Краткая спецификация ОО должна сопоставить функции безопасности ИТ и функциональные требования безопасности ОО таким образом, чтобы можно было отметить, какие функции безопасности ИТ каким функциональным требованиям безопасности ОО удовлетворяют, и что каждая функция безопасности ИТ способствует удовлетворению, по меньшей мере, одного функционального требования безопасности ОО.
Оценщик должен проверить раздел «Краткая спецификация ОО», чтобы сделать заключение, прослежена ли каждая функция безопасности ИТ по крайней мере к одному функциональному требованию безопасности ОО.
Неудача при попытке такого прослеживания означает, что либо «Краткая спецификация ОО» является неполной, либо изложение функциональных требований безопасности ОО является неполным, либо функция безопасности ИТ является бесполезной.
-
9.3.8.3.3 Шаг оценивания ASE_TSS.1 -3
ИСО/МЭК 15408-3 ASE_TSS.1.3C: Функции безопасности ИТ должны быть определены в неформальном стиле на уровне детализации, необходимом для понимания их назначения.
Оценщик должен исследовать каждую функцию безопасности ИТ, чтобы сделать заключение, описана ли она в неформальном стиле на уровне детализации, необходимом для понимания ее назначения.
В одних случаях функция безопасности ИТ может быть представлена на уровне детализации не большем, чем уровень детализации соответствующего функционального требования или требований безопасности ОО. В других случаях разработчик ЗБ может добавить специфические для ОО детали, например, используя специфическую для ОО терминологию вместо общих терминов, таких, например, как «атрибут безопасности».
Необходимо отметить, что полуформальный или формальный стиль описания функций безопасности ИТ здесь недопустим, если он не сопровождается неформальным описанием тех же функций. Преследуемая цель—это, в первую очередь, обеспечение понимания назначения функции, а не вынесение заключения о таких свойствах функций безопасности, как полнота и корректность.
-
9.3.8.3.4 Шагоценивания ASE_TSS.1-4
ИСО/МЭК 15408-3 ASE_TSS.1.4C: Все ссылки на механизмы безопасности, включенные в ЗБ, должны быть сопоставлены с соответствующими функциями безопасности так. чтобы можно было отметить, какие механизмы безопасности использованы при реализации каждой функции.
Оценщик должен исследовать раздел «Краткая спецификация ОО», чтобы сделать заключение, все ли ссылки на механизмы безопасности, включенные в ЗБ, прослежены к соответствующим функциям безопасности ИТ.
Ссылки в ЗБ на механизмы безопасности являются необязательными, но могут (например) оказаться целесообразными в тех случаях, когда имеются требования о реализации конкретных протоколов или алгоритмов (например, установленные алгоритмы генерации паролей или шифрования). Если ЗБ не содержит никаких ссылок на механизмы безопасности, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Оценщик делает заключение, прослежен ли каждый механизм безопасности, на который ссылается ЗБ. по крайней мере к одной функции безопасности ИТ.
Неудача при попытке такого прослеживания означает, что либо краткая спецификация ОО является неполной, либо механизм безопасности является бесполезным.
-
9.3.8.3.5 Шаг оценивания ASE_TSS,1 -5
ИСО/МЭК 15408-3 ASE_TSS.1.5С: Обоснование краткой спецификации ОО должно демонстрировать, что функции безопасности ИТ пригодны для удовлетворения функциональных требований безопасности ОО.
Oi 1ен|цик лопжен исппедояатн подраздел «Обоснование краткой cnei (ификаг (ии ОО», чтобы сделать заключение, содержится ли в нем для каждого функционального требования безопасности ОО приемлемое логическое обоснование того, что функции безопасности ИТ пригодны для удовлетворения данного функционального требования безопасности ОО.
Если никакие функции безопасности ИТ не прослежены к конкретному требованию безопасности ОО, то результат данного шага оценивания отрицательный.
Оценщик делает заключение, демонстрирует ли логическое обоснование для функционального требования безопасности ОО, что если все функции безопасности ИТ, которые прослежены к данному требованию, реализованы, то функциональное требование безопасности ОО выполнено.
Оценщик также делает заключение, что каждая функция безопасности ИТ, которая прослежена к функциональному требованию безопасности ОО, будучи реализованной, действительно вносит вклад в удовлетворение данного требования.
Несмотря на то, что прослеживание функций безопасности ИТ к функциональным требованиям безопасности ОО, представленное в краткой спецификации ОО, может быть частью логического обоснования, само по себе оно не является логическим обоснованием.
-
9.3.8.3.6 Шаг оценивания ASE_TSS,1 -6
Оценщик должен исследовать подраздел «Обоснование краткой спецификации ОО», чтобы сделать заключение, согласуются ли утверждения о стойкости для функций безопасности ИТ со стойкостью функций безопасности для функциональных требований безопасности ОО.
Для выполнения данного шага оценивания следует использовать результаты шага оценивания ASE_TSS.1-10.
Оценщик делает заключение, что для каждой функции безопасности ИТ, по отношению к которой утверждение о стойкости является приемлемым, данное утверждение является адекватным для всех функциональных требований безопасности ОО, к которым прослежена данная функция безопасности.
Обычно адекватность означает, что заявленная стойкость функции безопасности ИТ равна или выше, чем стойкость функций безопасности для всех функциональных требований безопасности ОО, к которым данная функция прослежена, но возможны и исключения. Примером такого исключения является случай, когда последовательно используются несколько функций с базовой стойкостью для реализации требования о средней стойкости для аутентификации (например, использование биометрии и PIN-кода).
-
9.3.8.3.7 Шагоценивания ASE_TSS.1-7
ИСО/МЭК 15408-3 ASE TSS.1.6С: Обоснование краткой спецификации ОО должно демонстрировать, что сочетание специфицированных функций безопасности ИТ в совокупности способно удовлетворить функциональные требования безопасности ОО.
Оценщик должен исследовать подраздел «Обоснование краткой спецификации ОО», чтобы сделать заключение, демонстрирует ли он, что сочетание специфицированных функций безопасности ИТ совместно работает так, чтобы удовлетворить функциональные требования безопасности ОО.
Этот шаг оценивания основан на заключении о взаимной поддержке функциональных требований безопасности для 00, сделанном на шаге оценивания ASE_REQ.1-23. Оценщик анализирует последствия включения дополнительной информации в описание функций безопасности ИТ и устанавливает, не приводит ли включение данной информации к внесению потенциальных недостатков безопасности, таких, например, как возможность обхода, вмешательства в работу или деактивации механизмов, реализующих другие функции безопасности ИТ.
-
9.3.8.3.8 Шаг оценивания ASE_TSS. 1 -8
ИСО/МЭК 15408-3 ASE_TSS. 1.7С: Краткая спецификация ОО должна сопоставить меры и требования доверия так, чтобы можно было отметить, какие меры способствуют удовлетворению каких требований.
Оценщик должен проверить раздел «Краткая спецификация ОО», чтобы сделать заключение, прослежена ли каждая мера доверия по крайней мере к одному требованию доверия к безопасности ОО.
Неудача при попытке такого прослеживания означает, что либо краткая спецификация ОО является неполной, либо изложение требований доверия к безопасности ОО является неполным, либо мера доверия является бесполезной.
-
9.3.8.3.9 Шаг оценивания ASE_TSS. 1 -9
ИСО/МЭК 15408-3 ASE_TSS. 1.8С: Обоснование краткой спецификации ОО должно демонстрировать, что меры доверия удовлетворяют все требования доверия к ОО.
Оценщик должен исследовать подраздел «Обоснование краткой спецификации ОО», чтобы сделать заключение, содержится ли в нем для каждого требования доверия к безопасности ОО приемлемое логическое обоснование того, что конкретные меры доверия удовлетворяют данному требованию доверия к безопасности ОО.
Если ни одна мера доверия не прослежена к конкретному требованию доверия к безопасности ОО, то результат данного шага оценивания отрицательный.
Оценщик делает заключение, демонстрирует ли логическое обоснование для требования доверия к безопасности ОО, что если все меры доверия, которые прослежены к данному требованию, реализованы, то данное требование удовлетворено.
Оценщик также делает заключение, действительно ли каждая мера доверия, прослеженная к некоторому требованию доверия к безопасности ОО, будучи реализованной, вносит вклад в удовлетворение данного требования.
В изложении меры доверия содержится описание того, как разработчик учитывает требования доверия. Цель данного шага оценивания состоит в том, чтобы сделать заключение, являются ли специфицированные меры доверия приемлемыми для удовлетворения требований доверия.
Несмотря на то, что прослеживание мер доверия к требованиям доверия к безопасности ОО. представленное в разделе «Краткая спецификация ОО», может быть частью логического обоснования, само по себе оно не является логическим обоснованием.
-
9.3.8.3.10 Шаг оценивания ASE_TSS. 1-10
ИСО/МЭК 15408-3 ASE_TSS.1.9С: Краткая спецификация ОО должна идентифицировать все функции безопасности ИТ. которые реализованы вероятностным или перестановочным механизмом соответственно.
Оценщик должен проверить, идентифицированы ли в разделе «Краткая спецификация ОО» все функции безопасности ИТ, которые реализованы вероятностными или перестановочными механизмами.
Если требования доверия к безопасности ОО не содержат компонент AVASOF.1, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Может возникнуть необходимость возвращения к данному шагу оценивания, если при анализе других свидетельств оценки будут выявлены перестановочные или вероятностные механизмы, которые не были идентифицированы как таковые в ЗБ.
-
9.3.8.3.11 Шаг оценивания ASE_TSS. 1-11
ИСО/МЭК 15408-3 ASE_TSS.1.10C: Краткая спецификация ОО должна установить для каждой функции безопасности ИТ, для которой это необходимо, требование стойкости функции либо по специальной метрике, либо как базовую, среднюю или высокую СФБ.
Оценщик должен проверить, что для каждой функции безопасности ИТ, для которой это приемлемо, в разделе «Краткая спецификация ОО» установлено требование стойкости функции либо по специальной метрике, либо как базовая, средняя или высокая СФБ.
Если требования доверия к безопасности ОО не включают в себя компонент AVA_SOF. 1, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
9.3.8.4 Действие ASE_TSS.1.2E
-
9.3.8.4.1 Шаг оценивания ASE_TSS. 1 -12
Оценщик должен исследовать раздел «Краткая спецификация ОО». чтобы сделать заключение, является ли данный раздел полным.
Раздел «Краткая спецификация ОО» является полным, если оценщик сделает вывод, что функции безопасности ИТ и меры доверия достаточны для удовлетворения всех специфицированных требований безопасности ОО. Данный шаг оценивания следует выполнять вместе с шагами оценивания ASE_TSS.1-5 и ASE_TSS.1-9.
-
9.3.8.4.2 Шаг оценивания ASE_TSS. 1 -13
Оценщик должен исследовать раздел «Краткая спецификация ОО», чтобы сделать заключение, является ли данный раздел логически упорядоченным.
Раздел «Краткая спецификация ОО» является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и разработчикам).
-
9.3.8.4.3 Шаг оценивания ASE_TSS. 1 -14
Оценщик должен исследовать раздел «Краткая спецификация ОО», чтобы сделать заключение, является ли данный раздел внутренне непротиворечивым.
Раздел «Краткая спецификация ОО» является внутренне непротиворечивым, если оценщик делает заключение об отсутствии таких противоречий между функциями безопасности ИТ или между мерами доверия, при которых какое-то требование безопасности для ОО не будет полностью удовлетворено.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
10 Оценка по ОУД1
-
10.1 Введение
ОУД1 обеспечивает базовый уровень доверия. Данный уровень доверия предусматривает анализ функций безопасности на предмет понимания режимов безопасности с использованием функциональной спецификации и документации руководств, а также выполнение независимого тестирования подмножества функций безопасности ОО.
-
10.2 Цели
Цель данного раздела заключается в определении минимальных усилий, необходимых для успешного выполнения оценки по ОУД1, и в предоставлении руководства по способам и средствам выполнения оценки.
-
10.3 Организация оценки по ОУД1
Оценка по ОУД1 предусматривает следующее:
-
a) задачу получения исходных данных для оценки (раздел 7);
-
b) виды деятельности по оценке по ОУД1, включающие в себя:
-
1) оценку ЗБ (раздел 9);
-
2) оценку управления конфигурацией (10.4);
-
3) оценку документов поставки и эксплуатации (10.5);
-
4) оценку документов разработки (10.6);
-
5) оценку руководств (10.7);
-
6) тестирование (10.8);
-
c) задачу оформления результатов оценки (раздел 7).
Виды деятельности по оценке следуют из требований доверия ОУД1, содержащихся в ИСО/МЭК 15408-3.
Оценка ЗБ начинается до выполнения любых подвидов деятельности по оценке ОО, так как ЗБ обеспечивает основание и контекст для выполнения этих подвидов деятельности.
В настоящем разделе приведено описание подвидов деятельности, выполняемых при оценке по ОУД1. Хотя выполнение подвидов деятельности может, в общем случае, начинаться более или менее случайным образом, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком.
Руководство по учету зависимостей см. в А.4 «Зависимости» (приложение А).
-
10.4 Вид деятельности «Управление конфигурацией»
Цель вида деятельности «Управление конфигурацией» состоит в том, чтобы помочь потребителю в идентификации оцененного ОО.
-
10.4.1 Оценка возможностей УК (АСМ_САР.1)
-
10.4.1.1 Цели
-
Цель данного подвида деятельности—сделать заключение, четко ли разработчик идентифицировал ОО.
-
10.4.1.2 Исходные данные
Свидетельства оценки для этого подвида деятельности:
-
a) ЗБ;
-
b) ОО. пригодный для тестирования;
-
10.4.1.3 Действие АСМ_САР. 1.1Е
-
10.4.1.3.1 Шаг оценивания 1:АСМ_САР.1-1
-
ИСО/МЭК 15408-3 АСМ_САР. 1.1 С: Маркировка ОО должна быть уникальна для каждой версии ОО. Оценщик должен проверить, что версия ОО. представленная для оценки, уникально маркирована.
В этом компоненте доверия отсутствуют какие-либо другие требования к разработчику по использованию системы УК, кроме требования уникальной маркировки. В результате оценщик способен верифицировать уникальность версии ОО только путем проверки, что другие доступные для приобретения версии ОО не маркированы так же. При оценке, когда система УК представлена сверх требований ИСО/МЭК 15408, оценщик мог бы подтвердить уникальность маркировки путем проверки списка конфигурации. Свидетельство уникальной маркировки версии ОО. представленной для оценки, может оказаться неполным, если во время оценки была исследована только одна версия: поэтому оценщику необходимо выяснить систему маркирования, которая способна поддерживать уникальные маркировки (например, используя цифры, буквы или даты). Тем не менее, отсутствие какой-либо маркировки обычно будет приводить к отрицательному заключению по этому требованию, пока оценщик не будет уверен в возможности уникальной идентификации ОО.
Оценщику следует стремиться исследовать несколько версий ОО (например, полученных в ходе доработки после обнаружения уязвимости) для проверки того, что любые две версии маркированы по-разному.
-
10.4.1.3.2 Шаг оценивания 1 :АСМ_САР. 1-2
ИСО/МЭК 15408-3 АСМ_САР.1.2С: ОО должен быть помечен маркировкой.
Оценщик должен проверить, чтоОО, представленный для оценки, имеет собственную маркировку.
Оценщику следует удостовериться, что ОО содержит уникальную маркировку, позволяющую различать разные версии ОО. Этого можно достичь, используя помеченную упаковку или носители, или же метку, отображаемую ОО при функционировании, что обеспечивает потребителю возможность идентификации ОО (например, в месте приобретения или использования).
ОО может предоставить способ, посредством которого он может быть легко идентифицирован. Например, программный ОО может отображать свое наименование и номер версии при запуске программы или в ответ на запрос через командную строку. Аппаратный или программно-аппаратный ОО может быть идентифицирован путем физического нанесения на нем соответствующего номера.
-
10.4.1.3.3 Шаг оценивания 1:АСМ_САР. 1-3
Оценщик должен проверить непротиворечивость используемой маркировки ОО.
Если ОО помечен несколько раз, то необходима согласованность меток. Например, следует предусмотреть возможность связать любое помеченное руководство, поставляемое в составе ОО, с оцененным функционирующим ОО. Таким образом обеспечивается уверенность потребителя в том, что он приобрел оцененную версию ОО. установил эту же версию и располагает надлежащей версией руководства, необходимой для эксплуатации данного ОО в соответствии с его ЗБ.
Оценщик также верифицирует, что маркировка ОО согласована с ЗБ.
Руководство по анализу непротиворечивости см. 8 А.З «Анализ непротиворечивости» (приложение А).
-
10.5 Вид деятельности «Поставка и эксплуатация»
Вид деятельности «Поставка и эксплуатация» предназначен для определения достаточности документации по процедурам, используемым для обеспечения установки, генерации и запуска ОО способом, предусмотренным разработчиком.
-
10.5.1 Оценка установки, генерации и запуска (ADOJGS.1)
-
10.5.1.1 Цели
-
Цель данного подвида деятельности—сделать заключение, были ли задокументированы процедуры и шаги для безопасной установки, генерации и запуска ОО и приводят ли они к безопасной конфигурации.
-
10.5.1.2 Исходные данные
Свидетельства оценки для этого подвида деятельности:
-
a) руководство администратора:
-
b) процедуры безопасной установки, генерации и запуска;
-
c) ОО, пригодный для тестирования.
-
10.5.1.3 Замечания по применению
К рассматриваемым процедурам установки, генерации и запуска относятся все процедуры установки. генерации и запуска, которые необходимы для получения безопасной конфигурации ОО. описанной в ЗБ. независимо от того, выполняются ли они на объекте использования или на объекте разработки.
-
10.5.1.4 Действие ADOJGS. 1.1Е
-
10.5.1.4.1 Шаг оценивания 1:ADO_IGS.1-1
-
ИСО/МЭК 15408-3 ADOJGS. 1.1С: Документация установки, генерации и запуска должна содержать описание последовательности всех действий, необходимых для безопасной установки, генерации и запуска ОО.
Оценщик должен проверить, чтобы были предоставлены процедуры, необходимые для безопасной установки, генерации и запуска ОО.
Если не ожидается, что процедуры установки, генерации и запуска будут или могут быть повторно применены (например, если ОО поставлен в рабочем состоянии), то данный шаг оценивания (или отдельные его части) не применяют и поэтому считают удовлетворенным.
-
10.5.1.5 Действие ADOJGS. 1.2Е
-
10.5.1.5.1 Шаг оценивания 11ADOJGS.1-2
-
Оценщик должен исследовать предоставленные процедуры установки, генерации и запуска, чтобы сделать заключение, что они описывают шаги, необходимые для безопасной установки, генерации и запуска ОО.
Если не ожидается, что процедуры установки, генерации и запуска будут или могут быть повторно применены (например, если ОО поставлен в рабочем состоянии), то данный шаг оценивания (или отдельные его части) не применяют и поэтому считают удовлетворенным.
Процедуры установки, генерации и запуска могут предоставлять подробную информацию относительно следующего:
-
a) изменения задаваемых при инсталляции характеристик безопасности сущностей, находящихся под управлением ФБО;
-
b) обработки исключительных ситуаций и проблем;
-
c) минимально необходимых системных требований, если они имеются, для безопасной установки ОО.
С целью подтвердить, что процедуры установки, генерации и запуска приводят к безопасной конфигурации, оценщик может следовать процедурам разработчика или же выполнить те действия, которые, предположительно. выполнит потребитель для установки, генерации и запуска ОО (если они применимы для данного ОО), используя только поставленные руководства. Этот шаг оценивания может быть выполнен совместно с шагом оценивания ATEJND. 1-2.
-
10.6 Вид деятельности «Разработкам
Вид деятельности «Разработка» предназначен для оценки проектной документации на предмет ее достаточности для понимания того, каким образом ФБО предоставляют функции безопасности ОО. Это понимание достигается путем экспертизы функциональной спецификации (которая описывает внешние интерфейсы ОО) и описания соответствия представлений (которое отображает функциональную спецификацию на краткую спецификацию ОО. чтобы продемонстрировать их согласованность).
-
10.6.1 Замечания по применению
Требования ИСО/МЭК 15408 к проектной документации ранжированы по уровню формализации. В ИСО/МЭК 15408 рассмотрены следующие иерархические степени формализации документа: неформальный, полуформальный, формальный. Неформальный документ — это документ, который составлен на естественном языке. Методология не предписывает использовать какой-либо конкретный язык; этот вопрос остается за системой оценки. Ниже дифференцировано содержание различных неформальных документов.
Неформальная функциональная спецификация включает в себя описание функций безопасности (на уровне, подобном уровню представления краткой спецификации ОО) и описание внешне видимых интерфейсов ФБО. Например, если операционная система предоставляет пользователю средства идентификации пользователя, создания, модификации или удаления файлов, установления разрешения другим пользователям на доступ к файлам и взаимодействия с удаленными машинами, то ее функциональная спецификация. как правило, содержит описание каждой из этих функций. Если имеются также функции аудита, связанные с обнаружением и регистрацией таких событий, то описание указанных функций аудита также обычно включают в состав функциональной спецификации; и хотя пользователь формально не обращается к этим функциям непосредственно через внешний интерфейс, на них определенно влияет все то, что происходит на уровне внешнего пользовательского интерфейса.
Необязательно, чтобы неформальная демонстрация соответствия представлений была в повествовательной форме; может быть достаточно простого двухмерного отображения (например, в виде таблицы).
-
10.6.2 Оценка функциональной спецификации (ADV_FSP.1)
-
10.6.2.1 Цели
-
Цель данного подвида деятельности—сделать заключение, предоставил ли разработчик адекватное описание функций безопасности ОО и достаточны ли функции безопасности, предоставляемые ОО, для удовлетворения функциональных требований безопасности, изложенных в ЗБ.
-
10.6.2.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) руководство пользователя;
-
d) руководство администратора.
-
10.6.2.3 Действие ADV_FSP.1.1E
-
10.6.2.3.1 Шаг оценивания 1:ADV_FSP. 1-1
-
ИСО/МЭК 15408-3 ADV_FSP.1.1С: Функциональная спецификация должна содержать неформальное описание ФБО и их внешних интерфейсов.
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, содержит ли она весь необходимый неформальный пояснительный текст.
Если вся функциональная спецификация является неформальной, то рассматриваемый шаг оценивания не применяют и поэтому считают удовлетворенным.
Для тех частей функциональной спецификации, которые трудны для понимания только на основе полуформального или формального описания, необходимо вспомогательное описание в повествовательной форме (например, чтобы пояснить значения всех формальных обозначений).
-
10.6.2.3.2 Шаг оценивания 1:ADV_FSP. 1-2
ИСО/МЭК 15408-3 ADV_FSP. 1.2С: Функциональная спецификация должна быть внутренне непротиворечивой.
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение о ее внутренней непротиворечивости.
Оценщик подтверждает, что функциональная спецификация непротиворечива, удостоверившись, что описание интерфейсов, составляющих ИФБО, согласовано сописанием функций ФБО.
Руководство по анализу непротиворечивости см. 8 А.З «Анализ непротиворечивости» (приложение А).
-
10.6.2.3.3 Шаг оценивания 1 :ADV_FSP. 1-3
ИСО/МЭК 15408-3 ADV_FSR 1 ,ЗС: Функциональная спецификация должна содержать описание назначения и методов использования всех внешних интерфейсов ФБО, обеспечивая, где это необходимо, детализацию результатов, нештатных ситуаций и сообщений об ошибках.
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, определены ли в ней все внешние интерфейсы функций безопасности ОО.
Термин «внешний» относится к тому интерфейсу, который является видимым для пользователя. Внешние интерфейсы ОО—это либо непосредственно интерфейсы ФБО, либо интерфейсы не-ФБО-частей ОО. Однако и через не-ФБО-интерфейсы возможен доступ к ФБО. Эти внешние интерфейсы, которые прямо или косвенно обращаются кФБО, совместно составляют интерфейс функций безопасности ОО (ИФБО). На рисунке 6 показан ОО, включающий в себя ФБО-части (заштрихованы) и не-ФБО-части (не заштрихованы). Данный ОО имеет три внешних интерфейса: интерфейс с — непосредственный интерфейс ФБО; интерфейс b — косвенный интерфейс ФБО; интерфейс а — интерфейс не-ФБО-частей ОО. Таким образом, интерфейсы b и с составляют ИФБО.
Рисунок 6 — Интерфейсы ФБО
Следует отметить, что все функции безопасности, отраженные в функциональных требованиях ИСО/МЭК 15408-2 (или в компонентах, дополнительных по отношению к ИСО/МЭК 15408-2), будут иметь своего рода внешне видимые проявления. И хотя необязательно все из них являются интерфейсами, через которые могут быть протестированы функции безопасности, все они до некоторой степени являются внешне видимыми и поэтому должны быть включены в функциональную спецификацию.
Руководство по определению границ ОО см. в А.6 «Границы ОО» (приложение А).
-
10.6.2.3.4 Шаг оценивания 1:ADV_FSP. 1-4
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, описаны ли в ней все внешние интерфейсы функций безопасности ОО.
Для ОО, по отношению к которому не имеется угроз, связанных с действиями злонамеренных пользователей (т.е. в его ЗБ справедливо не включены компоненты требований из семейств FPT_PHP «Физическая защита ФБО», FPT_RVM «Посредничество при обращениях» и FPT_SEP «Разделение домена»), в функциональной спецификации (и более подробно в описании других представлений ФБО) должны быть описаны только интерфейсы ФБО. Отсутствие в ЗБ компонентов требований из семейств FPT_PHP, FPT_RVM и FPT SEP предполагает, что никакие способы обхода свойств безопасности не рассматриваются, а поэтому не рассматривается какое-либо воздействие, которое другие интерфейсы могли бы оказывать на ФБО.
С другой стороны, если по отношению к ОО имеются угрозы, связанные с действиями злонамеренных пользователей или обходом (т.е. в его ЗБ включены компоненты требований из семейств FPT_PHP «Физическая защита ФБО», FPT_RVM «Посредничество при обращениях» и FPT_SEP «Разделение домена»), то в функциональной спецификации должны быть описаны все внешние интерфейсы, но только в объеме, достаточном для понимания их влияния на ФБО: интерфейсы функций безопасности (т.е. интерфейсы Ьисна рисунке 6) должны быть описаны полностью, в то время как другие интерфейсы описывают только в объеме, достаточном для понимания того, что ФБО являются недоступными через рассматриваемый интерфейс (т.е. что интерфейс относится к типу а, а не типу b на рисунке 6). Включение компонентов требований из семейств FPT_PHP, FPT_RVM и FPT_SEP предполагает возможность некоторого влияния всех интерфейсов на ФБО. Поскольку каждый внешний интерфейс—это потенциальный интерфейс ФБО, функциональная спецификация должна содержать описание каждого интерфейса с детализацией, достаточной для того, чтобы оценщик мог сделать заключение, является ли интерфейс значимым с точки зрения безопасности.
Некоторые архитектуры позволяют без особого труда предоставить такое описание интерфейсов с достаточной степенью детализации для групп внешних интерфейсов. Например, архитектура на основе ядра такова, что все вызовы операционной системы обрабатываются программами ядра; любые вызовы, которые могли бы нарушить ПБО, запрашиваются программой, у которой есть соответствующие привилегии. Все программы, выполняемые в привилегированном режиме, должны быть включены в функциональную спецификацию. Все программы, внешние по отношению к ядру и выполняемые в непривилегированном режиме, не способны влиять на ПБО (т.е. такие программы являются интерфейсами типа а, а не Ь на рисунке 6), а следовательно, могут не быть включены в функциональную спецификацию. Несмотря на то, что архитектура на основе ядра может ускорить понимание оценщиком описания интерфейсов, такая архитектура не является обязательной.
-
10.6.2.3.5 Шаг оценивания 1 :ADV_FSP. 1-5
Оценщик должен исследовать представление ИФБО, чтобы сделать заключение, адекватно ли и правильно ли в нем описан режим функционирования ОО на каждом внешнем интерфейсе, включая описание результатов, нештатных ситуаций и сообщений об ошибках.
Оценивая адекватность и правильность представления интерфейсов, оценщик использует функциональную спецификацию, краткую спецификацию ОО из ЗБ, руководства пользователя и администратора, чтобы оценить следующие факторы:
-
a) все ли относящиеся к безопасности, вводимые пользователем параметры (или характеристики этих параметров) определены. Для полноты необходимо, чтобы были определены параметры, которыми пользователь не управляет непосредственно, если они могут быть использованы администраторами;
-
b) все ли относящиеся к безопасности режимы функционирования ОО, описанные в рассматриваемых руководствах, отражены при описании семантики в функциональной спецификации. Данное описание включает в себя идентификацию режима функционирования ОО 8 терминах событий и влияния каждого события. Например, если операционная система имеет развитой интерфейс файловой системы и предусматривает различные коды ошибок для разных причин неоткрытия файла по запросу (например, доступ запрещен, такого файла не существует, файл используется другим пользователем, пользователю не разрешено открывать файл после 5 ч вечера и т.д.), то в функциональной спецификации следует пояснить, когда файл открывается по запросу, а когда возвращается код ошибки. (Хотя в функциональной спецификации могут быть перечислены все возможные причины ошибок, особой необходимости в такой детализации нет.) В описание семантики следует включить описание того, каким образом требования безопасности применены к интерфейсам (например, является ли использование интерфейса потенциально подвергаемым аудиту событием, и если да, то какая информация может быть зафиксирована);
-
c) все ли интерфейсы описаны для всех возможных режимов работы. Если для ФБО предусмотрено понятие привилегии, то в описании интерфейса необходимо пояснение режимов его функционирования при наличии или отсутствии привилегии;
-
d) вся ли информация, содержащаяся в описании относящихся к безопасности параметров, и синтаксис интерфейса непротиворечивы во всей документации.
Верификацию изложенного выше осуществляют путем анализа функциональной спецификации и краткой спецификации (30 из ЗБ, а также руководств пользователя и администратора, предоставленных разработчиком. Например, если ОО представляет собой операционную систему и ее аппаратную платформу, то оценщик обычно ищет описание доступных для пользователей программ, описание протоколов, используемых для управления программами, описание доступных для пользователей баз данных, используемых для управления программами, и интерфейсов пользователя (например, команд, интерфейсов прикладных программ), которые применимы к оцениваемому ОО; оценщику также следует удостовериться в наличии описания системы команд процессора.
Данное рассмотрение может быть итерационным вследствие того, что оценщик может не обнаружить неполноту функциональной спецификации до тех пор, пока не исследован проект, исходный код или другое свидетельство на предмет наличия параметров или сообщений об ошибках, которые были пропущены в функциональной спецификации.
-
10.6.2.3.6 Шаг оценивания 1 :ADV_FSP 1-6
ИСО/МЭК 15408-3 ADV_FSP. 1.4С: Функциональная спецификация должна полностью представить ФБО.
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение о полноте представления ФБО.
Для того чтобы оценить полноту представления ФБО, оценщик принимает во внимание краткую спецификацию ОО из ЗБ, руководства пользователя и администратора. Ни в одном из этих документов не должны быть описаны функции безопасности, которые отсутствуют в представлении ФБО в функциональной спецификации.
-
10.6.2.4 Действие ADV_FSP. 1,2Е
-
10.6.2.4.1 Шаг оценивания 1:ADV_FSP.1-7
-
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, является ли она полным отображением функциональных требований безопасности ОО.
С целью удостовериться, что все функциональные требования безопасности, определенные в ЗБ. охвачены функциональной спецификацией, оценщик может построить отображение краткой спецификации ОО на функциональную спецификацию. Такое отображение могло быть уже представлено самим разработчиком в качестве свидетельства для удовлетворения требований соответствия представлений (ADV_RCR.*); в этом случае оценщику необходимо только верифицировать полноту данного отображения, удостоверившись, что все функциональные требования безопасности отображены на соответствующие представления ИФБО в функциональной спецификации.
-
10.6.2.4.2 Шаг оценивания 1 :ADV_FSP.1-8
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, является ли она точным отображением функциональных требований безопасности ОО.
Для каждого интерфейса функции безопасности с конкретными характеристиками 8 функциональной спецификации должна иметься подробная информация, в точности соответствующая спецификации в ЗБ. Например, если ЗБ содержит требования аутентификации пользователя на основе пароля длиной в восемь символов, то ОО должен иметь восьмисимвольные пароли; если в функциональной спецификации описаны шестисимвольные пароли фиксированной длины, то функциональная спецификация не является точным отражением требований.
Для каждого интерфейса, описанного в функциональной спецификации, который влияет на управляемый ресурс, оценщик делает заключение, возвращает ли интерфейс в соответствии с одним из требований безопасности некоторый код ошибки, указывающий на возможный сбой; если код ошибки не возвращается, то оценщик делает заключение, необходим ли в этом случае возврат кода ошибки. Например, операционная система может представлять интерфейс для ОТКРЫТИЯ управляемого объекта. Описание этого интерфейса может включать в себя код ошибки, который указывает на то, что доступ к объекту не был санкционирован. Если такого кода ошибки не существует, то оценщику следует подтвердить, что это приемлемо (потому что, возможно, посредничество в доступе выполняется при ЧТЕНИИ и ЗАПИСИ, я не при ОТКРЫТИИ).
-
10.6.3 Оценка соответствия представлений (ADV_RCR.1)
-
10.6.3.1 Цели
-
Цель данного подвида деятельности — сделать заключение, правильно ли и полностью ли разработчик реализовал требования ЗБ в функциональной спецификации.
-
10.6.3.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) материалы анализа соответствия между краткой спецификацией ОО и функциональной спецификацией.
-
10.6.3.3 Действие ADV_RCR. 1.1Е
-
10.6.3.3.1 Шаг оценивания 1:ADV_RCR. 1-1
-
ИСО/М ЭК 15408-3 ADV_RCR. 1.1 С: Для каждой смежной пары имеющихся представлений ФБО анализ должен демонстрировать, что все функциональные возможности более абстрактного представления ФБО, относящиеся к безопасности, правильно и полностью уточнены в менее абстрактном представлении ФБО.
Оценщик должен исследовать материалы анализа соответствия между краткой спецификацией ОО и функциональной спецификацией, чтобы сделать заключение, является ли функциональная спецификация корректным и полным представлением функций безопасности ОО.
Цель оценщика на этом шаге оценивания — сделать заключение, что все функции безопасности, идентифицированные в краткой спецификации ОО, представлены в функциональной спецификации и что их представление является точным.
Оценщик анализирует соответствие между функциями безопасности ОО в краткой спецификации ОО и в функциональной спецификации. Оценщик проверяет непротиворечивость и точность данного соответствия. Там, где материалы анализа соответствия указывают на связь между описанием функции безопасности в краткой спецификации ОО и описанием интерфейса в функциональной спецификации, оценщик верифицирует, что описанные функциональные возможности безопасности являются одними и теми же. Если функции безопасности, описанные 8 краткой спецификации ОО, точно и полно представлены в описаниях соответствующих интерфейсов, рассматриваемый шаг оценивания считают выполненным.
Данный шаг оценивания может быть выполнен совместно с шагами оценивания ADV_FSP.1-7 и ADV_FSP.1-8.
10.7 Вид деятельности «Руководствам
Вид деятельности «Руководства» предназначен для определения достаточности документации, регламентирующей эксплуатацию ОО. Такая документация ориентирована как на доверенных администрато-
ров и не связанных с администрированием пользователей, чьи неправильные действия могли бы отрицательно повлиять на безопасность ОО, так и на недоверенных пользователей, чьи неправильные действия могли бы отрицательно повлиять на безопасность их собственных данных.
-
10.7.1 Замечания по применению
Вид деятельности «Руководства» применяют к тем функциям и интерфейсам, которые связаны с безопасностью ОО. Безопасная конфигурация ОО должна быть описана в ЗБ.
-
10.7.2 Оценка руководства администратора (AGD_ADM.1)
-
10.7.2.1 Цели
Цель данного подвида деятельности—сделать заключение, описано ли в руководстве администратора, как осуществлять безопасное администрирование ОО.
-
10.7.2.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) руководство пользователя;
-
d) руководство администратора;
-
e) процедуры безопасной установки, генерации и запуска.
-
10.7.2.3 Замечания по применению
Термин «администратор» используют для обозначения человека-пользователя, которому доверено выполнение в пределах ОО критичных для безопасности операций, таких как настройка параметров конфигурации ОО. Данные операции могут влиять на осуществление ИБО, поэтому администратор обладает особыми привилегиями, необходимыми для выполнения таких операций. Роль администратора (роли администраторов) следует четко отличать от ролей пользователей ОО, не связанных с администрированием.
В ЗБ могут быть определены несколько различных ролей или групп администраторов, опознаваемых объектом оценки и взаимодействующих с ФБО, таких как аудитор, администратор или начальник смены. Каждой роли может соответствовать как одна возможность, так и обширный их набор. Возможности этих ролей и связанные с ними привилегии описывают в ЗБ в классе FMT «Управление безопасностью». Различные роли и группы администраторов должны быть рассмотрены в руководстве администратора.
-
10.7.2.4 Действие AGDADM. 1.1Е
-
10.7.2.4.1 Шаг оценивания 1:AGD_ADM.1-1
ИСО/МЭК 15408-3 AGD_ADM. 1.1 С: Руководство администратора должно содержать описание функций администрирования и интерфейсов, доступных администратору ОО.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описаны ли в нем относящиеся к администрированию функции безопасности и интерфейсы, доступные администратору ОО.
В руководстве администратора должен быть помещен краткий обзор функциональных возможностей безопасности, видимых через интерфейсы администратора.
В руководстве администратора должны быть идентифицированы и описаны предназначение, режимы применения и взаимосвязь интерфейсов и функций безопасности, доступных администратору.
Для каждых интерфейса и функции безопасности, доступных администратору, в руководстве администратора должны быть описаны:
-
a) метод (методы) вызова интерфейса (например, с использованием командной строки, системных вызовов языка программирования, меню, командной клавиши);
-
b) параметры, устанавливаемые администратором, их допустимые значения и значения по умолчанию;
-
c) реакция, сообщения или коды возврата непосредственно от ФБО.
-
10.7.2.4.2 Шаг оценивания 1:AGD_ADM.1-2
ИСО/МЭК 15408-3 AGD_ADM.1.2C: Руководство администратора должно содержать описание того, как управлять ОО безопасным способом.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описан ли в нем безопасный способ администрирования ОО.
В руководстве администратора должно быть описано, как использовать ОО согласно ПБО в среде ИТ, соответствующей ее описанию в ЗБ.
-
10.7.2.4.3 Шаг оценивания 1:AGD_ADM.1-3
ИСО/МЭК 15408-3 AGD_ADM. 1 .ЗС: Руководство администратора должно содержать предупреждения относительно функций и привилегий, которые следует контролировать в безопасной среде обработки информации.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, содержит ли оно предупреждения относительно функций и привилегий, которые необходимо контролировать в безопасной среде эксплуатации.
Конфигурация ОО может позволять пользователям иметь различающиеся привилегии по использованию различных функций ОО. Это значит, что некоторые пользователи могут быть уполномочены выполнять определенные функции, в то время как другие пользователи могут быть не уполномочены на это. Такие функции и привилегии должны быть описаны в руководстве администратора.
Руководство администратора идентифицирует функции и привилегии, которые необходимо контролировать, требуемые для них способы контроля и основания для такого контроля. Предупреждающие сообщения связаны с ожидаемыми последствиями, возможными побочными эффектами и возможным взаимодействием с другими функциями и привилегиями.
-
10.7.2.4.4 Шаг оценивания 1 :AGD_ADM.1-4
ИСО/МЭК 15408-3 AGD_ADM. 1.4С: Руководство администратора должно содержать описание всех предположений о поведении пользователя, которые связаны с безопасной эксплуатацией ОО.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, приведены ли в нем все предположения относительно поведения пользователя, которые связаны с безопасной эксплуатацией ОО.
Предположения относительно действий пользователя могут быть описаны более подробно при изложении среды безопасности ОО в ЗБ. Однако в руководство администратора должна быть включена только та информация, которая относится к безопасной эксплуатации ОО.
Примером обязанности пользователей, необходимой для безопасной эксплуатации ОО, является сохранение ими в тайне своих паролей.
-
10.7.2.4.5 Шаг оценивания 1 :AGD_ADM.1-5
ИСО/МЭК 15408-3 AGD_ADM. 1.5С: Руководство администратора должно содержать описание всех параметров безопасности, контролируемых администратором, указывая, при необходимости, безопасные значения.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описаны ли в нем все параметры безопасности, контролируемые администратором, с указанием, при необходимости, их безопасных значений.
Для каждого параметра безопасности 8 руководстве администратора должны быть описаны предназначение параметра, допустимые значения параметра и его значение по умолчанию, а также безопасные и небезопасные настройки этих параметров как по отдельности, так и в сочетании.
-
10.7.2.4.6 Шаг оценивания 1:AGD_ADM.1-6
ИСО/МЭК 15408-3 AGD ADM. 1.6С: Руководство администратора должно содержать описание каждого типа относящихся к безопасности событий, связанных с выполнением обязательных функций администрирования, включая изменение характеристик безопасности сущностей, контролируемых ФБО.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описан ли в нем каждый тип относящихся к безопасности событий, связанных с выполнением обязательных функций администрирования, включая изменение характеристик безопасности сущностей, контролируемых ФБО.
Все типы относящихся к безопасности событий должны быть детализированы настолько, чтобы администратор знал, какие события могут произойти и какие действия (если потребуется) он мог бы предпринять для поддержания безопасности. Относящиеся к безопасности события, которые могут произойти в процессе эксплуатации ОО (например, переполнение журнала аудита, полный отказ системы, обновление записей о пользователях, такое как удаление учетных данных пользователя при его увольнении из организации), должны быть определены в мере, позволяющей при вмешательстве администратора поддерживать безопасность эксплуатации.
-
10.7.2.4.7 Шаг оценивания 1:AGD_ADM.1-7
ИСО/МЭК 15408-3 AGD_ADM.1.7C: Руководство администратора должно быть согласовано со всей другой документацией, представленной для оценки.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение о его согласованности со всей другой документацией, представленной для оценки.
В частности, ЗБ может содержать подробную информацию о любых предупреждающих сообщениях администраторам ОО, относящихся к среде безопасности и целям безопасности ОО.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
10.7.2.4.8 Шаг оценивания 1:AGD_ADM.1-8
ИСО/МЭК 15408-3 AGD_ADM. 1.8С: Руководство администратора должно содержать описание всех требований безопасности к среде ИТ. которые относятся к администратору.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описаны ли в нем все требования безопасности ИТ для среды ИТ объекта оценки, которые относятся к администратору.
Если ЗБ не содержит требования безопасности ИТ для среды ИТ, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Этот шаг оценивания относится только к требованиям безопасности ИТ, а не к каким-либо политикам безопасности организации.
Оценщику следует проанализировать требования безопасности для среды ИТ объекта оценки (являющиеся необязательной частью ЗБ) и сравнить их с руководством администратора с целью удостовериться, что все требования безопасности из ЗБ, которые относятся к администратору, надлежащим образом описаны в руководстве администратора.
-
10.7.3 Оценка руководства пользователя (AGD_USR.1)
-
10.7.3.1 Цели
Цель данного подвида деятельности — сделать заключение, описаны ли в руководстве пользователя функции безопасности и интерфейсы ФБО и содержит ли данное руководство инструкции и указания по безопасному использованию ОО.
-
10.7.3.2 Исходные данные
Свидетельствами оценки для этого подвода деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) руководство пользователя;
-
d) руководство администратора;
-
e) процедуры безопасной установки, генерации и запуска.
-
10.7.3.3 Замечания по применению
В ЗБ могут быть определены несколько различных ролей или групп пользователей, опознаваемых объектом оценки и взаимодействующих с ФБО. Возможности этих ролей и связанные с ними привилегии описывают в ЗБ в классе FMT «Управление безопасностью». Различные роли и группы пользователей должны быть рассмотрены в руководстве пользователя.
-
10.7.3.4 Действие AGDJJSR. 1.1Е
-
10.7.3.4.1 Шаг оценивания 1:AGD_USR.1-1
ИСО/МЭК 15408-3 AGD_USR. 1.1 С: Руководство пользователя должно содержать описание функций и интерфейсов, которые доступны пользователям ОО. не связанным с администрированием.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описаны ли в нем функции безопасности и интерфейсы, доступные пользователям ОО, не связанным с администрированием.
В руководстве пользователя должен быть помещен краткий обзор функциональных возможностей безопасности, водимых через интерфейсы пользователя.
В руководстве пользователя должны быть идентифицированы эти интерфейсы и функции безопасности и описано их назначение.
-
10.7.3.4.2 Шаг оценивания 1:AGD_USR.1-2
ИСО/МЭК 15408-3 AGD_USR.1.2C: Руководство пользователя должно содержать описание применения доступных пользователям функций безопасности, предоставляемых ОО.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описано ли в нем применение доступных пользователю функций безопасности, предоставляемых ОО.
В руководстве пользователя должны быть идентифицированы и описаны режимы применения и взаимосвязь интерфейсов и функций безопасности, доступных пользователю.
Если пользователю разрешен вызов некоторой функции безопасности ОО, то в руководстве пользователя должно быть приведено описание интерфейсов этой функции, доступных пользователю.
Для каждых интерфейса и функции безопасности в руководстве пользователя должны быть описаны:
-
a) метод (методы) вызова интерфейса (например, с использованием командной строки, системных вызовов языка программирования, меню, командной клавиши);
-
b) параметры, устанавливаемые пользователем, их допустимые значения и значения по умолчанию;
-
c) реакция, сообщения или коды возврата непосредственно от ФБО.
-
10.7.3.4.3 Шаг оценивания 1:AGD_USR. 1-3
ИСО/МЭК 15408-3 AGD_USR.1 ,ЗС: Руководство пользователя должно содержать предупреждения относительно доступных для пользователей функций и привилегий, которые следует контролировать в безопасной среде обработки информации.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, содержит ли оно предупреждения относительно доступных пользователю функций и привилегий, которые необходимо контролировать в безопасной среде эксплуатации.
Конфигурация ОО может позволять пользователям иметь различающиеся привилегии по использованию различных функций ОО. Это значит, что некоторые пользователи уполномочены выполнять определенные функции, в то время как другие пользователи могут быть не уполномочены на это. Такие доступные пользователю функции и привилегии должны быть описаны в руководстве пользователя.
В руководстве пользователя должны быть идентифицированы функции и привилегии, которые могут быть применены, требуемые для них типы команд и объяснения таких команд. В руководстве пользователя должны быть приведены предупреждающие сообщения относительно использования функций и привилегий, подлежащих контролю. Предупреждающие сообщения должны быть связаны с ожидаемыми последствиями, возможными побочными эффектами и возможным взаимодействием сдругими функциями и привилегиями.
-
10.7.3.4.4 Шаг оценивания 1:AGD_USR. 1-4
ИСО/МЭК 15408-3 AGD_USR.1.4C: Руководство пользователя должно четко представить все обязанности пользователя. необходимые для безопасной эксплуатации ОО. включая обязанности, связанные с предположениями относительно действий пользователя, содержащимися в изложении среды безопасности ОО.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, приведены ли в нем все обязанности пользователя, необходимые для безопасной эксплуатации ОО, включая обязанности, связанные с предположениями относительно действий пользователя, содержащимися 8 описании среды безопасности ОО.
Предположения относительно действий пользователя могут быть описаны более подробно при изложении среды безопасности ОО в ЗБ. Однако в руководство пользователя должна быть включена только та информация, которая относится к безопасной эксплуатации ОО.
В руководстве пользователя должны быть приведены рекомендации по эффективному использованию функций безопасности (например, описание практических приемов формирования паролей, рекомендуемая периодичность резервного копирования файлов пользователей, предполагаемые последствия изменений привилегий доступа для пользователя).
Примером обязанности пользователей, необходимой для безопасной эксплуатации ОО, является сохранение ими 8 тайне своих паролей.
В руководстве пользователя должно быть указано, может ли пользователь вызвать функцию, или же для этого ему потребуется помощь администратора.
-
10.7.3.4.5 Шаг оценивания 1 :AGD_USR.1-5
ИСО/МЭК 15408-3 AGD_USR.1.5C: Руководство пользователя должно быть согласовано со всей другой документацией, представленной для оценки.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение о его согласованности со всей другой документацией, представленной для оценки.
Оценщик должен удостовериться, что руководство пользователя и остальная документация, представленная для оценки, не противоречат друг другу. Это особенно актуально, если ЗБ содержит подробную информацию о любых предупреждающих сообщениях пользователям ОО, относящихся к среде безопасности и целям безопасности ОО.
Руководство по анализу непротиворечивости см. вА.З «Анализ непротиворечивости» (приложение А).
-
10.7.3.4.6 Шаг оценивания 1 :AGD_USR.1-6
ИСО/МЭК 15408-3 AGD_USR.1.6C: Руководство пользователя должно содержать описание всех требований безопасности к среде ИТ, которые имеют отношение к пользователю.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описаны ли в нем все требования безопасности ИТ для среды ИТ объекта оценки, которые имеют отношение к пользователю.
Если ЗБ не содержит требования безопасности ИТ для среды ИТ, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Этот шаг оценивания относится только к требованиям безопасности ИТ. а не к каким-либо политикам безопасности организации.
Оценщику следует проанализировать требования безопасности для среды ИТ объекта оценки (являющиеся необязательной частью ЗБ) и сравнить их с руководством пользователя с целью удостовериться, что все требования безопасности из ЗБ, которые относятся к пользователю, надлежащим образом описаны в руководстве пользователя.
-
10.8 Вид деятельности «Тестирование»
Цель данного вида деятельности состоит в том, чтобы путем независимого тестирования подмножества ФБО установить, ведет ли себя ОО как предписано в проектной документации и в соответствии с функциональными требованиями безопасности ОО, определенными в ЗБ.
-
10.8.1 Замечания по применению
Объем и состав подмножества тестов оценщика зависят от нескольких факторов, рассматриваемых в подвиде деятельности «Независимое тестирование» (ATEJND.1 «Независимое тестирование на соответствие»). Один из таких факторов, оказывающих влияние на состав подмножества тестов, — это известные из общедоступных источников слабые места, к информации о которых оценщику необходимо получить доступ (например, в рамках системы оценки).
Для разработки тестов оценщик должен понять ожидаемый режим выполнения функций безопасности применительно к требованиям, которым они должны удовлетворять. Оценщик может предпочесть анализировать функции безопасности ФБО поочередно, рассматривая конкретное требование ЗБ, а также — соответствующие части функциональной спецификации и документации руководств для понимания ожидаемого режима функционирования ОО
-
10.8.2 Оценка путем независимого тестирования (ATE_IND.1)
-
10.8.2.1 Цели
Цель данного подвида деятельности состоит в том, чтобы путем независимого тестирования подмножества ФБО определить, функционирует ли ОО в соответствии с тем. как определено в спецификациях.
-
10.8.2.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) руководство пользователя;
-
d) руководство администратора;
-
e) процедуры безопасной установки, генерации и запуска;
-
f) ОО, пригодный для тестирования.
-
10.8.2.3 Действие ATEJND.1.1E
-
10.8.2.3.1 Шаг оценивания 1:ATE_IND.1-1
ИСО/МЭК 15408-3 ATEJND. 1.1 С: ОО должен быть пригоден для тестирования.
Оценщик должен исследовать ОО, чтобы сделать заключение, согласуется ли тестируемая конфигурация с оцениваемой конфигурацией, определенной 8 ЗБ.
ОО, используемый оценщиком для тестирования, должен иметь ту же самую уникальную маркировку, которая установлена в соответствии с подвидом деятельности АСМ_САР.1 «Номера версий».
В ЗБ может быть определено более одной подлежащей оценке конфигурации. ОО может состоять из ряда различных аппаратных и программных реализаций, которые подлежат тестированию в соответствии с ЗБ. Тестируемые оценщиком конфигурации ОО должны быть согласованы соответственно с каждой из оцениваемых конфигураций, описанных в ЗБ.
Оценщику следует рассмотреть описанные в ЗБ предположения относительно аспектов безопасности среды ОО, которые могут относиться к среде тестирования. В ЗБ могут быть и другие предположения, которые не относятся к среде тестирования. Например, предположение относительно допусков пользователей не относится к среде тестирования, а предположение относительно единой точки подключения к сети относится к среде тестирования.
При использовании любых средств тестирования (например, измерителей, анализаторов) обеспечить правильную калибровку этих средств будет обязанностью оценщика.
-
10.8.2.3.2 Шагоценивания 1:ATE_IND.1-2
Оценщик должен исследовать ОО, чтобы сделать заключение, правильно ли он установлен и находится ли в состоянии, которое известно.
Оценщик имеет возможность сделать заключение о состоянии ОО несколькими способами. Например, предшествующее успешное завершение подвида деятельности ADOJGS.1 «Процедуры установки. генерации и запуска» позволит считать выполненным данный шаг оценивания, если оценщик все еще уверен, что тестируемый 00 был должным образом установлен и находится в известном состоянии. Если это не так. то оценщику рекомендуется следовать процедурам разработчика. чтобы установить, сгенерировать и запустить ОО, используя только поставляемое руководство.
Если оценщику приходится выполнить процедуры установки вследствие того, что ОО находится в неизвестном состоянии, то при успешном завершении данный шаг оценивания мог бы удовлетворить шаг оценивания ADOJGS.1-2.
-
10.8.2.4 Действие ATEJND.1.2Е
-
10.8.2.4.1 Шаг оценивания 1:ATE_IND.1-3
Оценщик должен определить тестируемое подмножество ФБО.
Оценщик выбирает тестируемое подмножество и стратегию тестирования, приемлемую для ОО. Одна, крайняя, стратегия тестирования предусматривает наличие тестируемого подмножества ФБО, содержащего как можно большее число функций безопасности, тестируемых с небольшой строгостью. Другая стратегия тестирования предусматривает наличие тестируемого подмножества, содержащего небольшое число функций безопасности, исходя из их осознанной значимости, и строгое тестирование этих функций.
Как правило, стратегия тестирования, принятая оценщиком, должна находиться где-то между этими двумя крайностями. Оценщику следует проверить выполнение большинства определенных в ЗБ функциональных требований безопасности, используя, по крайней мере, один тест для каждого требования, но при этом нет необходимости, чтобы тестирование продемонстрировало исчерпывающую проверку спецификаций.
При выборе подмножества тестируемых ФБО оценщику необходимо рассмотреть следующие факторы:
-
a) число функций безопасности, из которых необходимо сформировать тестируемое подмножество. В тех случаях, когда у ОО только небольшое число функций безопасности, может быть практичным строгое тестирование всех функций безопасности. Для ОО с большим числом функций безопасности это будет нерентабельно и потребуется осуществление выборки;
-
b) поддержание некоторого баланса между видами деятельности по оценке. Тестирование, как правило, занимает 20 % — 30 % усилий оценщика в течение оценки.
Оценщик выбирает определенные функции безопасности для формирования соответствующего подмножества. Этот выбор будет зависеть от ряда факторов, и рассмотрение этих факторов также может влиять на выбор размера тестируемого подмножества ФБО:
-
a) известные из общедоступных источников слабые места безопасности, обычно ассоциируемые с конкретным типом ОО (например, с операционной системой, межсетевым экраном). Известные из общедоступных источников слабые места, ассоциируемые с конкретным типом ОО, будут влиять на процесс выбора тестируемого подмножества. Оценщику следует включить в тестируемое подмножество те функции безопасности, которые связаны с известными из общедоступных источников слабыми местами для данного типа ОО (известные из общедоступных источников слабые места в данном случае относятся не к уязвимостям как таковым, а к несоответствиям или проблемным вопросам, которые были обнаружены для данного конкретного типа ОО). Если такие слабые места неизвестны, то может быть более приемлемым более общий подход, связанный с выбором широкого диапазона функций безопасности;
-
b) значимость функций безопасности. Те функции безопасности, которые более значимы, чем другие, с точки зрения целей безопасности для ОО, должны быть включены в тестируемое подмножество;
-
c) сложность функции безопасности. Для сложных функций безопасности может потребоваться выполнение сложных тестов, налагающих обременительные требования на разработчика или оценщика, которые, в свою очередь, не будут способствовать экономичным оценкам. С другой стороны, сложные функции безопасности – это вероятная область поиска ошибок и подходящие кандидаты для включения в подмножество. Оценщику необходимо достигнуть баланса между этими соображениями;
-
d) неявное тестирование. Тестирование некоторых функций безопасности может зачастую сопровождаться неявным тестированием других функций безопасности, и их включение в подмножество может максимизировать (хотя и не в явном виде) число тестируемых функций безопасности. Некоторые интерфейсы могут обеспечивать несколько функциональных возможностей безопасности, и их следует сделать объектом эффективного подхода к тестированию;
-
e) типы интерфейсов ОО (например, программный интерфейс, командная строка, протокол). Оценщику следует рассмотреть возможность включения тестов для всех различных типов интерфейсов, которые поддерживает данный ОО;
-
f) инновационные или необычные функции. В тех случаях, когда в 00 включены инновационные или необычные функции безопасности, которые могут широко быть представлены в маркетинговой литературе, они должны быть прямыми кандидатами на тестирование.
Выше сформулированы факторы, которые необходимо рассмотреть в процессе выбора приемлемого тестируемого подмножества ФБО, но они ни в коем случае не являются исчерпывающими.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
10.8.2.4.2 Шаг оценивания 1 :ATE_IND. 1 -4
Оценщик должен разработать тестовую документацию для тестируемого подмножества ФБО, детализация которой достаточна, чтобы обеспечить воспроизводимость тестов.
Установив из ЗБ и функциональной спецификации ожидаемый режим выполнения функции безопасности, оценщик должен определить наиболее подходящий способ тестирования данной функции. Оценщик, в особенности, рассматривает:
-
a) подход, который будет использован, например, будет ли функция безопасности протестирована через внешний интерфейс, внутренний интерфейс с использованием каких-либо средств автономного тестирования или будет применен альтернативный тестированию подход (например, в исключительных обстоятельствах— экспертиза кода);
-
b) интерфейс(ы) функции безопасности, который(е) будет(ут) использован(ы) для инициирования выполнения функции безопасности и наблюдения ее реакции;
-
c) начальные условия, которые будут необходимы для выполнения теста (т.е. любые конкретные объекты или субъекты, которые будут необходимы, и атрибуты безопасности, которые им необходимо будет иметь);
-
d) специальное оборудование для тестирования, которое потребуется либо для инициирования функции безопасности (например, генераторы пакетов), либо для наблюдения за функцией безопасности (например, сетевые анализаторы).
Оценщик может посчитать практичным тестировать каждую функцию безопасности с помощью ряда наборов тестов, где каждый набор тестов будет использован для тестирования конкретного режима выполнения функции безопасности.
В тестовой документации оценщика следует определить происхождение каждого теста, прослеживая его к соответствующей спецификации проекта и, если необходимо, к ЗБ.
-
10.8.2.4.3 Шаг оценивания 1:ATE_IND.1-5
Оценщикдолжен провести тестирование.
Оценщик использует разработанную тестовую документацию как основу для тестирования ОО, но это не мешает ему выполнить дополнительные специальные тесты. Оценщик может разработать новые тесты исходя из режима функционирования ОО, обнаруженного в процессе тестирования. Эти новые тесты должны быть внесены в тестовую документацию.
-
10.8.2.4.4 Шаг оценивания 1:ATE_IND.1-6
Оценщикдолжен зафиксировать следующую информацию о тестах, которые составляют подмножество тестов:
-
a) идентификационную информацию тестируемого режима выполнения функции безопасности;
-
b) инструкции по подключению и настройке всего необходимого оборудования для тестирования, как это требуется для выполнения конкретного теста;
-
c) инструкции по установке всех предварительных условий выполнения теста;
-
d) инструкции по инициированию функции безопасности;
-
e) инструкции по наблюдению режима выполнения функции безопасности;
-
f) описание всех ожидаемых результатов и необходимого анализа, проводимого по отношению к наблюдаемому режиму выполнения для сравнения с ожидаемыми результатами;
д) инструкции по завершению теста и установке необходимого посттестового состояния ОО;
h) фактические результаты тестирования.
Уровень детализации должен быть таким, чтобы другой оценщик мог повторить тесты и получить эквивалентный результат. Хотя некоторые специфические детали результатов выполнения теста могут различаться (например, поля времени и даты в записи аудита), общие результаты должны быть идентичными.
Возможны случаи, когда нет необходимости предоставлять всю информацию, приведенную на этом шаге оценивания (например, фактические результаты тестирования могут не требовать какого-либо анализа до их сравнения с ожидаемыми результатами). Решение опустить эту информацию, как и его логическое обоснование, остается за оценщиком.
-
10.8.2.4.5 Шагоценивания 1:ATE_IND.1-7
Оценщик должен проверить, что все фактические результаты тестирования согласуются с ожидаемыми результатами тестирования.
Любые различия в фактических и ожидаемых результатах тестирования могут свидетельствовать либо о том, что ОО не функционирует в соответствии со спецификацией, либо о том, что тестовая документация оценщика может быть некорректной. Не соответствующие ожидаемым фактические результаты тестирования могут потребовать внесения корректив в ОО или тестовую документацию, а также повторного выполнения вызвавших коллизию тестов, модификации размера и состава выборки тестов. Это решение, как и его логическое обоснование, остается за оценщиком.
-
10.8.2.4.6 Шагоценивания 1:ATE_IND.1-8
Оценщикдолжен привести вТОО информацию об усилиях по тестированию, кратко изложив подход ктестированию, тестируемую конфигурацию, глубину и результаты тестирования.
Информация оценщика о тестировании, приводимая в ТОО, позволяет оценщику передать общий подход к тестированию и усилия, затраченные в течение оценки на вид деятельности по тестированию. Смысл предоставления данной информации состоит в том, чтобы привести содержательный краткий обзор усилий по тестированию. Не имеется в виду, чтобы информация о тестировании в ТОО была точным воспроизведением конкретных шагов тестирования или результатов отдельных тестов. Целью является предоставить достаточные подробности, чтобы позволить другим оценщикам и сотрудникам органов оценки получить некоторое понимание выбранного подхода ктестированию, объема выполненного тестирования, тестируемых конфигураций ОО и общих результатов вида деятельности по тестированию.
Информация об усилиях оценщика по тестированию, которую обычно можно найти в соответствующем разделе ТОО, включает в себя:
-
a) тестируемые конфигурации ОО. Конкретные конфигурации ОО. подвергнутые тестированию;
-
b) выбранный размер подмножества. Число протестированных в течение оценки функций безопасности и логическое обоснование этого размера;
-
c) критерии выбора для функций безопасности, которые составляют тестируемое подмножество. Краткое изложение факторов, рассмотренных при отборе функций безопасности для включения в подмножество;
-
d) протестированные функции безопасности. Краткий перечень функций безопасности, обоснованно включенных в подмножество;
-
e) вердикт по виду деятельности. Общий вывод по результатам тестирования, проведенного в течение оценки.
Приведенный перечень ни в коем случае не является исчерпывающим и предназначен только для того, чтобы дать некоторое представление о типе информации, касающейся тестирования, выполненного оценщиком в течение оценки, которую следует представить в ТОО.
11 Оценка по ОУД2
-
11.1 Введение
ОУД2 обеспечивает независимо подтверждаемый уровень доверия к безопасности в диапазоне от невысокого до умеренного. Для обеспечения понимания режимов безопасного функционирования ОО функции безопасности анализируют с использованием функциональной спецификации, документации руководств и проекта верхнего уровня ОО. Данный анализ должен быть поддержан независимым тестированием подмножества функций безопасности ОО, свидетельством тестирования разработчиком, основанным на функциональной спецификации, выборочным подтверждением результатов тестирования разработчиком, анализом стойкости функций безопасности и свидетельством поиска разработчиком явных уязвимостей. Дополнительно доверие достигают применением списка конфигурации для ОО и свидетельства безопасных процедур поставки.
112 Цели
Цель данного раздела заключается в определении минимальных усилий, необходимых для успешного выполнения оценки по ОУД2, и в предоставлении руководства по способам и средствам выполнения оценки.
-
11.3 Организация оценки по ОУД2
Оценка по ОУД2 предусматривает следующее:
а) задачу получения исходных данных для оценки (раздел 7);
-
b) виды деятельности по оценке по ОУД2, включающие в себя:
-
1) оценку ЗБ (раздел 9);
-
2) оценку управления конфигурацией (11.4):
-
3) оценку документов поставки и эксплуатации (11.5);
-
4) оценку документов разработки (11.6);
-
5) оценку руководств (11.7);
-
6) оценку тестов (11.8);
-
7) тестирова ние (11.8);
-
8) оценку оценки уязвимостей (11.9);
-
c) задачу оформления результатов оценки (раздел 7).
Виды деятельности по оценке следуют из требований доверия ОУД2, содержащихся в ИСО/МЭК 15408-3.
Оценка ЗБ начинается до выполнения любых подвидов деятельности по оценке 00, так как ЗБ обеспечивает основание и контекст для выполнения этих подвидов деятельности.
В настоящем разделе приведено описание подвидов деятельности, выполняемых при оценке по ОУД2. Хотя выполнение подвидов деятельности может, в общем случае, начинаться более или менее случайным образом, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком.
Руководство по учету зависимостей см. в А.4 «Зависимости» (приложение А).
-
11.4 Вид деятельности «Управление конфигурацией»
Цель вида деятельности «Управление конфигурацией» состоит в том, чтобы помочь потребителю в идентификации оцененного ОО и удостовериться, что элементы конфигурации уникально идентифицированы.
-
11.4.1 Оценка возможностей УК (АСМ_САР.2)
-
11.4.1.1 Цели
Цель данного подвида деятельности—сделать заключение, четко ли разработчик идентифицировал ОО и связанные с ним элементы конфигурации.
-
11.4.1.2 Исходные данные
Свидетельства оценки для этого подвида деятельности:
-
a) ЗБ;
-
b) ОО, пригодный для тестирования;
-
c) документация управления конфигурацией.
-
11.4.1.3 Замечания по применению
Этот компонент содержит неявное действие оценщика, чтобы установить, что система УК используется. Поскольку требования данного компонента ограничены идентификацией ОО и условием наличия списка конфигурации, это действие уже охвачено и ограничивается приведенными ниже шагами оценивания. Требования, изложенные в компоненте АСМ_САР.З «Средства контроля авторизации», выходят за рамки этих двух составляющих, и поэтому будет необходимо более явное свидетельство использования системы УК.
-
11.4.1.4 Действие АСМ_САР.2.1Е
-
11.4.1.4.1 Шаг оценивания 2:АСМ_САР.2-1
ИСО/МЭК 15408-3 АСМ_САР.2.1С: Маркировка ОО должна быть уникальна для каждой версии ОО. Оценщик должен проверить, что версия ОО, представленная для оценки, уникально маркирована. Оценщику следует использовать систему УК, применяемую разработчиком, для подтверждения уникальности маркировки, проверяя список конфигурации с целью удостовериться, что элементы конфигурации уникально идентифицированы. Свидетельство уникальной маркировки версии ОО, представленной для оценки, может оказаться неполным, если во время оценки была исследована только одна версия; поэтому оценщику необходимо выяснить систему маркирования, которая может поддерживать уникальную маркировку (например, используя цифры, буквы или даты). Тем не менее, отсутствие какой-либо маркировки обычно будет приводить к отрицательному вердикту поэтому требованию, пока оценщик не будет уверен в возможности уникальной идентификации ОО.
Оценщику следует стремиться исследовать несколько версий ОО (например, полученных в ходе доработки после обнаружения уязвимости) для проверки того, что любые две версии маркированы по-разному.
-
11.4.1.4.2 Шаг оценивания 2:АСМ_САР2-2
ИСО/МЭК 15408-3 АСМ_САР.2.2С: ОО должен быть помечен маркировкой.
Оценщик должен проверить, чтоОО, представленный для оценки, имеет собственную маркировку.
Оценщику следует удостовериться, что ОО содержит уникальную маркировку, позволяющую различать разные версии ОО. Этого можно достичь, используя помеченную упаковку или носители, или же метку, отображаемую ОО при функционировании, что предоставляет потребителю возможность идентификации ОО (например, в месте приобретения или использования).
ОО может предоставить способ, посредством которого он может быть легко идентифицирован. Например, программный ОО может отображать csoe наименование и номер версии при запуске программы или в ответ на запрос через командную строку. Аппаратный или программно-аппаратный ОО может быть идентифицирован путем физического нанесения на нем соответствующего номера.
-
11.4.1.4.3 Шаг оценивания 2:АСМ_САР.2-3
Оценщик должен проверить непротиворечивость используемой маркировки ОО.
Если ОО помечен несколько раз, то необходима согласованность меток. Например, должна быть возможность связать любое помеченное руководство, поставляемое в составе ОО, с оцененным функционирующим ОО. Таким образом обеспечивается уверенность потребителя в том, что он приобрел оцененную версию ОО, установил эту же версию и располагает надлежащей версией руководства, необходимой для эксплуатации данного ОО в соответствии с его ЗБ. Оценщик может использовать список конфигурации, который является частью представленной документации УК, чтобы верифицировать согласованное использование идентификаторов.
Оценщик также верифицирует, что маркировка ОО согласована с ЗБ.
Руководство по анализу непротиворечивости см. в АЗ «Анализ непротиворечивости» (приложение А).
-
11.4.1.4.4 Шаг оценивания 2:АСМ_САР.2-4
ИСО/МЭК 15408-3 АСМ_САР.2.3С: Документация УК должна включать в себя список конфигурации.
Оценщик должен проверить, что представленная документация УК включает в себя список конфигурации.
Список конфигурации идентифицирует элементы, находящиеся под управлением конфигурацией.
-
11.4.1.4.5 Шаг оценивания 2:АСМ_САР.2-5
ИСО/МЭК 15408-3 АСМ_САР.2.4С: Список конфигурации должен уникально идентифицировать все элементы конфигурации, входящие в ОО.
Оценщик должен проверить, что список конфигурации уникально идентифицирует каждый элемент конфигурации.
Список конфигурации содержит список элементов конфигурации, которые составляют ОО, вместе с достаточной информацией для уникальной идентификации, какая версия каждого элемента была использована (обычно номер версии). Использование этого списка позволит оценщику проверить, что во время оценки были использованы соответствующие элементы конфигурации и соответствующая версия каждого элемента.
-
11.4.1.4.6 Шаг оценивания 2:АСМ_САР.2-6
ИСО/МЭК 15408-3 АСМ_САР.2.5С: Список конфигурации должен содержать описание элементов конфигурации, входящих в ОО.
Оценщик должен исследовать список конфигурации, чтобы сделать заключение, что он идентифицирует элементы конфигурации, входящие в состав ОО.
Минимальный состав элементов конфигурации, которые необходимо включить в список конфигурации, задается требованиями семейства ACM_SCP «Область УК». Если компоненты из семейства ACM_SCP «Область УК» не используются, оценщику следует оценить адекватность списка конфигурации на основе подхода, принятого разработчиком к УК, ориентируясь в качестве максимальных требований на требования компонента ACM_SCP. 1 «Охват УК объекта оценки» (так как было бы необоснованно ожидать большего, чем требуется в данном компоненте). Например, в случае внесения изменения в ОО или в какой-либо элемент документации оценщик может определить или выяснить, на каком уровне детализации перевыпущен данный элемент. Эта степень детализации должна соответствовать элементам конфигурации, которые находятся в списке конфигурации.
-
11.4.1.4.7 Шаг оценивания 2:АСМ_САР2-7
ИСО/МЭК 15408-3 АСМ_САР.2.6С: Документация УК должна содержать описание метода, используемого для уникальной идентификации элементов конфигурации, входящих в ОО.
Оценщик должен исследовать способ идентификации элементов конфигурации, чтобы сделать заключение, что он описывает, каким образом элементы конфигурации идентифицируют уникально.
-
11.4.1.4.8 Шаг оценивания 2:АСМ_САР.2-8
ИСО/МЭК 15408-3 АСМ_САР.2.7С: Система УК должна уникально идентифицировать все элементы конфигурации, входящие в ОО.
Оценщик должен исследовать элементы конфигурации с целью сделать заключение, что способ их идентификации соответствует документации УК.
Доверие к тому, что система VK однозначно идентифицирует асе элементы конфигурации, должно бьпъ достигнуто путем изучения идентификаторов элементов конфигурации. Какдля элементов конфигурации, которые составляют 00, так и для проектов элементов конфигурации, которые представлены разработчиком в качестве свидетельств оценки, оценщик подтверждает, что каждый элемент конфигурации обладает уникальным идентификатором в соответствии с методом уникальной идентификации, описанным в документации УК.
-
11.5 Вид деятельности «Поставка и эксплуатация»
Вид деятельности «Поставка и эксплуатация» предназначен для определения достаточности документации по процедурам, используемым для обеспечения установки, генерации и запуска ОО способом, предусмотренным разработчиком, а также для обеспечения поставки ОО без модификаций. Сюда включены процедуры, выполняемые как при пересылке ОО, так и при установке, генерации и запуске.
-
11.5.1 Оценка поставки (AD0_DEL.1)
-
11.5.1.1 Цели
Цель данного подвида деятельности — сделать заключение, описаны ли в документации поставки все процедуры, применяемые для поддержания безопасности ОО при его распространении по объектам использования.
-
11.5.1.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является документация поставки.
-
11.5.1.3 Действие ADO_DEL. 1.1Е
-
11.5.1.3.1 Шаг оценивания 2:ADO_DEL. 1-1
ИСО/МЭК 15408-3 ADO_DEL. 1.1 С: Документация поставки должна содержать описание всех процедур. необходимых для поддержки безопасности при распространении версий ОО к местам использования.
Оценщик должен исследовать документацию поставки, чтобы сделать заключение, описаны ли в ней все процедуры, необходимые для поддержания безопасности при распространении версий ОО или его составляющих по объектам использования.
При интерпретации термина «необходимые» требуется учитывать природу 00 и информацию, содержащуюся в ЗБ. Уровень предоставляемой защиты должен быть соразмерен с предположениями, угрозами, политикой безопасности организации и целями безопасности, идентифицированными в ЗБ. В некоторых случаях они могут не быть явно выражены по отношению к поставке. Оценщику следует сделать заключение о сбалансированности выбранного подхода, при котором поставка не является очевидно слабым звеном по отношению к безопасному в остальном процессу разработки.
В документации поставки должны быть описаны надлежащие процедуры для определения идентификации ОО и поддержания целостности ОО или его составных частей во время пересылки. В этих процедурах должно быть описано, какие части ОО должны быть охвачены подобными процедурами. В документации поставки должны быть приведены процедуры какдля распространения физических копий, так и распространения в электронном виде (например, через Интернет), где это применимо. Процедуры поставки относятся к ОО в целом, включая применяемое программное обеспечение, аппаратные средства, программно-аппаратные средства и документацию.
Акцент в документации поставки, вероятно, будет сделан на мерах, связанных с целостностью, поскольку для поддержки целостности ОО в процессе его поставки требуется применение технических мер. Однако при поставке некоторых ОО должны быть обеспечены конфиденциальность и доступность; процедуры, относящиеся к этим аспектам безопасной поставки, должны также быть рассмотрены в документации.
Процедуры поставки следует применять на всех стадиях поставки от среды производства до среды установки (например, при упаковке, хранении и распространении).
Приемлема стандартная коммерческая практика упаковки и поставки. Она предусматривает упаковку в пластиковую пленку, применение ленты безопасности или конверта, скрепленного печатью. Для распространения может быть приемлема общедоступная почта или частная служба доставки.
Выбор процедур поставки зависит от ОО (например, является ли он программным или аппаратным) и целей безопасности. Если процедуры поставки различаются для различных частей ОО, то для удовлетворения всех целей безопасности потребуется вся совокупность процедур.
-
11.5.1.4 Подразумеваемое действие оценщика
-
11.5.1.4.1 Шаг оценивания 2:ADO_DEL. 1 -2
ИСО/МЭК 154П8-3 ADO_DEL 1 2D* Разработчик должен использовать процедуры поставки
Оценщик должен исследовать процедуры процесса поставки, чтобы сделать заключение о применении этих процедур.
Подход, предпринятый оценщиком для проверки применения процедур поставки, будет зависеть от природы ОО и самого процесса поставки. В дополнение к исследованию собственно процедур оценщику необходимо получить и определенную уверенность в их действительном применении. Некоторые возможные подходы перечислены ниже.
-
a) Посещение объекта (объектов) распространения, где можно наблюдать практическое применение процедур.
-
b) Исследование ОО на некоторой стадии поставки или на объекте использования (например, проверка наличия печатей для защиты от вмешательства).
-
c) Наблюдение за практическим выполнением процесса при получении ОО оценщиком по обычным каналам.
-
d) Опрос конечных пользователей о том, как им поставлен ОО.
Руководство по посещению объектов см. в А.5 «Посещение объектов» (приложение А).
Для только что разработанного ОО возможно, что процедуры поставки еще необходимо отработать. В подобных случаях оценщику придется удовлетвориться тем, что имеются соответствующие процедуры и средства выполнения предстоящих поставок и что весь привлекаемый персонал знает свои обязанности. Оценщик может запросить «пробный прогон» поставки, если это практически осуществимо. Если разработчик производит другие подобные продукты, то для приобретения доверия может быть полезно исследование процедур при их применении.
-
11.5.2 Оценка установки, генерации и запуска (ADO_IGS.1)
-
11.5.2.1 Цели
Цель данного подвида деятельности—сделать заключение, были ли задокументированы процедуры и шаги для безопасной установки, генерации и запуска ОО и приводят ли они к безопасной конфигурации.
-
11.5.2.2 Исходные данные
Свидетельства оценки для этого подвида деятельности:
-
a) руководство администратора;
-
b) процедуры безопасной установки, генерации и запуска;
-
c) ОО, пригодный для тестирования.
-
11.5.2.3 Замечания по применению
К рассматриваемым процедурам установки, генерации и запуска относятся все процедуры установки, генерации и запуска, которые необходимы для получения безопасной конфигурации ОО, описанной в ЗБ. независимо от того, выполняются ли они на объекте использования или на объекте разработки.
-
11.5.2.4 Действие ADO JGS. 1.1Е
-
11.5.2.4.1 Шаг оценивания 2:ADO JGS. 1-1
ИСО/МЭК 15408-3 ADOJGS. 1.1 С: Документация установки, генерации и запуска должна содержать описание последовательности всех действий, необходимых для безопасной установки, генерации и запуска ОО.
Оценщик должен проверить, чтобы были предоставлены процедуры, необходимые для безопасной установки, генерации и запуска ОО.
Если не ожидается, что процедуры установки, генерации и запуска будут или могут быть повторно применены (например, если ОО поставлен в рабочем состоянии), то данный шаг оценивания (или отдельные его части) не применяют и поэтому считают удовлетворенным.
-
11.5.2.5 Действие ADOJGS. 1.2Е
-
11.5.2.5.1 Шаг оценивания 2ADOJGS.1-2
Оценщик должен исследовать предоставленные процедуры установки, генерации и запуска, чтобы сделать заключение, что они описывают шаги, необходимые для безопасной установки, генерации и запуска ОО.
Если не ожидается, что процедуры установки, генерации и запуска будут или могут быть повторно применены (например, потому что ОО поставлен в рабочем состоянии), то данный шаг оценивания (или отдельные его части) не применяют и поэтому считают удовлетворенным.
Процедуры установки, генерации и запуска могут предоставлять подробную информацию относи* тельно следующего:
-
a) изменения задаваемых при инсталляции характеристик безопасности сущностей, находящихся под управлением ФБО;
-
b) обработки исключительных ситуаций и проблем;
-
c) минимально необходимых системных требований, если они имеются, для безопасной установки 00.
С целью подтвердить, что процедуры установки, генерации и запуска приводят к безопасной конфигурации, оценщик может следовать процедурам разработчика или же выполнить те действия, которые, предположительно, выполнит потребитель для установки, генерации и запуска ОО (если они применимы для данного ОО), используя только поставленные руководства. Этот шаг оценивания может быть выполнен совместно с шагом оценивания ATE JND. 1-2.
11.6 Вид деятельности «Разработкам
Вид деятельности «Разработка» предназначен для оценки проектной документации на предмет ее достаточности для понимания того, каким образом ФБО предоставляют функции безопасности ОО. Это понимание должно быть достигнуто путем экспертизы все более уточненных описаний в проектной документации ФБО. Проектная документация состоит из функциональной спецификации (которая описывает внешние интерфейсы ОО) и проекта верхнего уровня (который описывает архитектуру ОО в терминах внутренних подсистем). Имеется также описание соответствия представлений (которое отображает представления ОО друг на друга, чтобы продемонстрировать их согласованность).
-
11.6.1 Замечания по применению
Требования ИСО/МЭК 15408 к проектной документации ранжированы по уровню формализации. В ИСО/МЭК 15408 рассмотрены следующие иерархические степени формализации документа: неформальный, полуформальный, формальный. Неформальный документ—это документ, который составлен на естественном языке. Методология не предписывает использовать какой-либо конкретный язык; этот вопрос остается за системой оценки. Ниже дифференцировано содержание различных неформальных документов.
Неформальная функциональная спецификация включает в себя описание функций безопасности (на уровне, подобном уровню представления краткой спецификации ОО) и описание внешне видимых интерфейсов ФБО. Например, если операционная система предоставляет пользователю средства идентификации пользователя, создания, модификации или удаления файлов, установления разрешения другим пользователям на доступ к файлам и взаимодействия с удаленными машинами, то ее функциональная спецификация, как правило, содержит описание каждой из этих функций. Если имеются также функции аудита, связанные с обнаружением и регистрацией таких событий, то описание указанных функций аудита также обычно включают в состав функциональной спецификации; и хотя пользователь формально не обращается к этим функциям непосредственно через внешний интерфейс, на них определенно влияет все то, что происходит на уровне внешнего пользовательского интерфейса.
Неформальный проект верхнего уровня выражается в терминах последовательностей действий, которые происходят в каждой подсистеме в ответ на инициирующее воздействие на ее интерфейсе. Например, межсетевой экран может состоять из подсистем фильтрации пакетов, удаленного администрирования, аудита, фильтрации на уровне соединения. Проект верхнего уровня межсетевого экрана обычно включает в себя описание предпринимаемых действий, а именно того, какие действия предпринимает каждая подсистема, когда входящий пакет поступает на межсетевой экран.
Необязательно, чтобы неформальная демонстрация соответствия была в повествовательной форме; может быть достаточно простого двухмерного отображения (например, в виде таблицы).
-
11.6.2 Оценка функциональной спецификации (ADV_FSP.1)
-
11.6.2.1 Цели
Цель данного подвида деятельности — сделать заключение, предоставил ли разработчик адекватное описание функций безопасности ОО и достаточны ли функции безопасности, предоставляемые ОО, для удовлетворения функциональных требований безопасности, изложенных 8 ЗБ.
-
11.6.2.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация:
-
c) руководство пользователя;
-
d) руководство администратора.
-
11.6.2.3 Действие ADV_FSP. 1.1Е
-
11.6.2.3.1 Шаг оценивания 2:ADV_FSP. 1-1
ИСО/МЭК 15408-3 ADV FSP.1.1С: Функциональная спецификация должна содержать неформальное описание ФБО и их внешних интерфейсов.
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, содержит ли она весь необходимый неформальный пояснительный текст.
Если вся функциональная спецификация является неформальной, то рассматриваемый шаг оценивания не применяют и поэтому считают удовлетворенным.
Для тех частей функциональной спецификации, которые трудны для понимания только на основе полуформального или формального описания, необходимо вспомогательное описание в повествовательной форме (например, чтобы пояснить значения всех формальных обозначений).
-
11.6.2.3.2 Шаг оценивания 2:ADV_FSP.1-2
ИСО/МЭК 15408-3 ADV_FSP. 1.2С: Функциональная спецификация должна быть внутренне непротиворечивой.
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение о ее внутренней непротиворечивости.
Оценщик подтверждает, что функциональная спецификация непротиворечива, удостоверившись, что описание интерфейсов, составляющих ИФБО, согласовано с описанием функций ФБО.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
11.6.2.3.3 Шаг оценивания 2:ADV_FSP.1-3
ИСО/МЭК 15408-3 ADV_FSP. 1 .ЗС: Функциональная спецификация должна содержать описание назначения и методов использования всех внешних интерфейсов ФБО. обеспечивая, где это необходимо, детализацию результатов, нештатных ситуаций и сообщений об ошибках.
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, определены ли в ней все внешние интерфейсы функций безопасности ОО.
Термин «внешний» относится к тому интерфейсу, который является видимым для пользователя. Внешние интерфейсы ОО — это либо непосредственно интерфейсы ФБО, либо интерфейсы не-ФБО-частей ОО. Однако и через не-ФБО-интерфейсы возможен доступ к ФБО. Эти внешние интерфейсы, которые прямо или косвенно обращаются кФБО, совместно составляют интерфейс функций безопасности ОО (ИФБО). На рисунке 7 показан ОО, включающий в себя ФБО-части (заштрихованы) и не-ФБО-части (не заштрихованы). Данный ОО имеет три внешних интерфейса: интерфейс с — непосредственный интерфейс ФБО; интерфейс b—косвенный интерфейс ФБО; интерфейс а — интерфейс не-ФБО-частей ОО. Таким образом, интерфейсы b и с составляют ИФБО.
Рисунок 7 — Интерфейсы ФБО
Следует отметить, что все функции безопасности, отраженные в функциональных требованиях ИСО/МЭК 15408-2 (или в компонентах, дополнительных по отношению к ИСО/МЭК 15408-2), будут иметь своего рода внешне видимые проявления. И хотя не обязательно все из них являются интерфейсами, через которые могут быть протестированы функции безопасности, все они до некоторой степени являются внешне видимыми и поэтому должны быть включены в функциональную спецификацию.
Руководство по определению границ ОО см. в А.6 «Границы ОО» (приложение А).
-
11.6.2.3.4 Шаг оценивания 2:ADV_FSP.1-4
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, описаны ли в ней все внешние интерфейсы функций безопасности 00.
Для ОО, по отношению к которому не имеется угроз, связанных с действиями злонамеренных пользователей (т.е. в его ЗБ справедливо не включены компоненты требований из семейств FPT_PHP «Физическая защита ФБО», FPT_RVM «Посредничество при обращениях» и FPT_SEP «Разделение домена»), в функциональной спецификации (и более подробно в описании других представлений ФБО) должны быть описаны только интерфейсы ФБО. Отсутствие в ЗБ компонентов требований из семейств FPT_PHP, FPT RVM и FPT_SEP предполагает, что никакие способы обхода свойств безопасности не рассматриваются, а поэтому не рассматривается какое-либо воздействие, которое другие интерфейсы могли бы оказывать на ФБО.
С другой стороны, если по отношению к ОО имеются угрозы, связанные с действиями злонамеренных пользователей или обходом (т.е. в его ЗБ включены компоненты требований из семейств FPT_PHP «Физическая защита ФБО», FPT_RVM «Посредничество при обращениях» и FPT_SEP «Разделение домена»), то в функциональной спецификации должны быть описаны все внешние интерфейсы, но только в объеме, достаточном для понимания их влияния на ФБО: интерфейсы функций безопасности (т.е. интерфейсы b и с на рисунке 7) должны быть описаны полностью, в то время как другие интерфейсы описывают только в объеме, достаточном для понимания того, что ФБО являются недоступными через рассматриваемый интерфейс (т.е. что интерфейс относится к типу а, а не типу b на рисунке 7). Включение компонентов требований из семейств FPT_PHP, FPT_RVM и FPT_SEP предполагает возможность некоторого влияния всех интерфейсов на ФБО. Поскольку каждый внешний интерфейс—это потенциальный интерфейс ФБО, функциональная спецификация должна содержать описание каждого интерфейса с детализацией, достаточной для того, чтобы оценщик мог сделать заключение, является ли интерфейс значимым с точки зрения безопасности.
Некоторые архитектуры позволяют без особого труда предоставить такое описание интерфейсов с достаточной степенью детализации для групп внешних интерфейсов. Например, архитектура на основе ядра такова, что все вызовы операционной системы обрабатываются программами ядра; любые вызовы, которые могли бы нарушить ПБО, запрашиваются программой, у которой есть соответствующие привилегии. Все программы, выполняемые в привилегированном режиме, должны быть включены в функциональную спецификацию. Все программы, внешние по отношению к ядру и выполняемые в непривилегированном режиме, не способны влиять на ПБО (т.е. такие программы являются интерфейсами типа а, а не b на рисунке 7), а следовательно, могут не быть включены в функциональную спецификацию. Несмотря на то, что архитектура на основе ядра может ускорить понимание оценщиком описания интерфейсов, такая архитектура не является обязательной.
-
11.6.2.3.5 Шаг оценивания 2:ADV_FSP.1-5
Оценщик должен исследовать представление ИФБО, чтобы сделать заключение, адекватно ли и правильно ли в нем описан режим функционирования ОО на каждом внешнем интерфейсе, включая описание результатов, нештатных ситуаций и сообщений об ошибках.
Оценивая адекватность и правильность представления интерфейсов, оценщик использует функциональную спецификацию, краткую спецификацию ОО из ЗБ, руководства пользователя и администратора, чтобы оценить следующие факторы:
-
a) все ли относящиеся к безопасности, вводимые пользователем параметры (или характеристики этих параметров) определены. Для полноты необходимо, чтобы были определены параметры, которыми пользователь не управляет непосредственно, если они могут быть использованы администраторами;
-
b) все ли относящиеся к безопасности режимы функционирования ОО. описанные 8 рассматриваемых руководствах, отражены при описании семантики в функциональной спецификации. Данное описание включает в себя идентификацию режима функционирования ОО 8 терминах событий и влияния каждого события. Например, если операционная система имеет развитой интерфейс файловой системы и предусматривает различные коды ошибок для разных причин неоткрытия файла по запросу (например, доступ запрещен, такого файла не существует, файл используется другим пользователем, пользователю не разрешено открывать файл после 5 ч вечера и т.д.). то в функциональной спецификации должно быть пояснено, когда файл открывается по запросу, а когда возвращается код ошибки. (Хотя в функциональной спецификации могут быть перечислены все возможные причины ошибок, особой необходимости в такой детализации нет.) В описание семантики должно быть включено описание того, каким образом требования безопасности применены к интерфейсам (например, является ли использование интерфейса потенциально подвергаемым аудиту событием, и если да. то какая информация может быть зафиксирована);
-
c) все ли интерфейсы описаны для всех возможных режимов работы. Если для ФБО предусмотрено понятие привилегии, то в описании интерфейса необходимо пояснение режимов его функционирования при наличии или отсутствии привилегии:
-
d) вся ли информация, содержащаяся в описании относящихся к безопасности параметров, и синтаксис интерфейса непротиворечивы во всей документации.
Верификацию излаженного выше осуществляют путем анализа функциональной спецификации и краткой спецификации ОО из ЗБ, а также руководств пользователя и администратора, предоставленных разработчиком. Например, если ОО представляет собой операционную систему и ее аппаратную платформу, то оценщик обычно ищет описание доступных для пользователей программ, описание протоколов, используемых для управления программами, описание доступных для пользователей баз данных, используемых для управления программами, и интерфейсов пользователя (например, команд, интерфейсов прикладных программ), которые применимы к оцениваемому ОО; оценщику также следует удостовериться в наличии описания системы команд процессора.
Данное рассмотрение может быть итерационным вследствие того, что оценщик может не обнаружить неполноту функциональной спецификации до тех лор, пока не исследован проект, исходный код или другое свидетельство на предмет наличия параметров или сообщений об ошибках, которые были пропущены в функциональной спецификации.
-
11.6.2.3.6 Шаг оценивания 2:ADV_FSP.1-6
ИСО/МЭК 15408-3 ADV_FSP.1.4C: Функциональная спецификация должна полностью представить ФБО.
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение о полноте представления ФБО.
Для того чтобы оценить полноту представления ФБО, оценщик принимает во внимание краткую спецификацию ОО из ЗБ, руководства пользователя и администратора. Ни в одном из этих документов не должны быть описаны функции безопасности, которые отсутствуют в представлении ФБО в функциональной спецификации.
-
11.6.2.4 Действие ADV_FSP. 1,2Е
-
11.6.2.4.1 Шаг оценивания 2:ADV_FSP1-7
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, является ли она полным отображением функциональных требований безопасности ОО.
С целью удостовериться, что все функциональные требования безопасности, определенные в ЗБ, охвачены функциональной спецификацией, оценщик может построить отображение краткой спецификации ОО на функциональную спецификацию. Такое отображение могло быть уже представлено самим разработчиком 8 качестве свидетельства для удовлетворения требований соответствия представлений (ADV_RCR.*); в этом случае оценщику необходимо только верифицировать полноту данного отображения, удостоверившись, что все функциональные требования безопасности отображены на соответствующие представления ИФБО в функциональной спецификации.
-
11.6.2.4.2 Шаг оценивания 2:ADV_FSP. 1-8
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, является ли она точным отображением функциональных требований безопасности ОО.
Для каждого интерфейса функции безопасности с конкретными характеристиками в функциональной спецификации должна иметься подробная информация, в точности соответствующая спецификации в ЗБ. Например, если ЗБ содержит требования аутентификации пользователя на основе пароля длиной в восемь символов, то ОО должен иметь восьмисимвольные пароли; если в функциональной спецификации описаны шестисимвольные пароли фиксированной длины, то функциональная спецификация не является точным отражением требований.
Для каждого интерфейса, описанного в функциональной спецификации, который влияет на управляемый ресурс, оценщикделает заключение, возвращает ли интерфейс в соответствии с одним из требований безопасности некоторый код ошибки, указывающий на возможный сбой; если код ошибки не возвращается. то оценщик делает заключение, необходим ли в этом случае возврат кода ошибки. Например, операционная система может представлять интерфейс для ОТКРЫТИЯ управляемого объекта. Описание этого интерфейса может включать в себя код ошибки, который указывает на то, что доступ к объекту не был санкционирован. Если такого кода ошибки не существует, то оценщику следует подтвердить, что это приемлемо (потому что, возможно, посредничество в доступе выполняется при ЧТЕНИИ и ЗАПИСИ, а не при ОТКРЫТИИ).
-
11.6.3 Оценка проекта верхнего уровня (ADVJ-ILD.1)
-
11.6.3.1 Цели
Цель данного подвида деятельности — сделать заключение, дано ли в проекте верхнего уровня описание ФБО в терминах основных структурных единиц (т.е. подсистем) и является ли проект верхнего уровня корректной реализацией функциональной спецификации.
-
11.6.3.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) проект верхнего уровня.
-
11.6.3.3 Действие ADV_HLD. 1.1Е
-
11.6.3.3.1 Шагоценивания2:АОУ_Н1_О.1-1
ИСО/МЭК 15408-3 ADV_HLD. 1.1 С: Представление проекта верхнего уровня должно быть неформальным.
Оценщик должен исследовать проект верхнего уровня, чтобы сделать заключение, содержит ли он весь необходимый неформальный пояснительный текст.
Если весь проект верхнего уровня является неформальным, то рассматриваемый шаг оценивания не применяют и поэтому считают удовлетворенным.
Для тех частей проекта верхнего уровня, которые трудны для понимания только на основе полуформального или формального описания, необходимо вспомогательное описание в повествовательной форме (например, чтобы пояснить значения всех формальных обозначений)
11 6.3.3.2 Шагоценивания 2:ADV_HLD.1-2
ИСО/МЭК 15408-3 ADV_HLD. 1.2С: Проект верхнего уровня должен быть внутренне непротиворечивым.
Оценщик должен исследовать представление проекта верхнего уровня, чтобы сделать заключение о его внутренней непротиворечивости.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
Оценщик подтверждает правильность спецификаций интерфейсов конкретной подсистемы, удостоверившись, что спецификации интерфейсов согласованы с описанием предназначения данной подсистемы.
-
11.6.3.3.3 Шаг оценивания 2:ADV__HLD. 1-3
ИСО/МЭК 15408-3 ADVJ4LD. 1 .ЗС: Проект верхнего уровня должен содержать описание структуры ФБО в терминах подсистем.
Оценщик должен исследовать проект верхнего уровня, чтобы сделать заключение, описана ли структура ФБО в терминах подсистем.
Применительно к проекту верхнего уровня термин «подсистема» относится к большим связанным единицам (таким как управление памятью, управление файлами, управление процессами). Разбиение проекта на базовые функциональные области способствует пониманию проекта.
Основная цель исследования проекта верхнего уровня состоит в том, чтобы помочь оценщику в понимании ОО. Вариант выделения разработчиком подсистем и группирования функций безопасности в рамках каждой подсистемы является важным аспектом полезности проекта верхнего уровня для понимания предполагаемого функционирования ОО. В качестве части данного шага оценивания оценщику следует выполнить оценку приемлемости числа подсистем, представленных разработчиком, а также варианта группирования функций в рамках подсистем. Оценщику следует удостовериться, что декомпозиция ФБО на подсистемы достаточна для понимания того, каким образом обеспечиваются функциональные возможности ФБО.
Подсистемы, используемые для описания проекта верхнего уровня, не обязательно называются «подсистемами», но необходимо, чтобы они представляли собой подобный уровень декомпозиции. Например, при декомпозиции проекта могут быть использованы понятия «слои» или «менеджеры».
-
11.6.3.3.4 Шагоценивания 2:ADV_HLD. 1-4
ИСО/МЭК 15408-3 ADV HLD. 1.4С: Проект верхнего уровня должен содержать описание функциональных возможностей безопасности, предоставленных каждой подсистемой ФБО.
Оценщик должен исследовать проект верхнего уровня, чтобы сделать заключение, содержит ли он описание функциональных возможностей безопасности каждой подсистемы.
Описание режима безопасного функционирования подсистемы—это описание того, что делает подсистема. Оно должно включать в себя описание любых действий, выполнение которых может быть предписано подсистеме с учетом ее функций и влияния, которое может оказать подсистема на состояние безопасности 00 (например, изменения в субъектах, объектах, базах данных безопасности).
-
11.6.3.3.5 Шаг оценивания 2: ADV.HLD. 1-5
ИСО/МЭК 15408-3 ADV_HLD. 1.5С: Проект верхнего уровня должен идентифицировать любые базовые аппаратные, программно-аппаратные и/или программные средства, требуемые ФБО, с представлением функций, обеспечиваемых поддерживающими механизмами защиты, реализованными в этих аппаратных, программно-аппаратных и/или программных средствах.
Оценщик должен проверить проект верхнего уровня, чтобы сделать заключение, идентифицированы ли в нем все аппаратные, программно-аппаратные и программные средства, требуемые ФБО.
Если ЗБ не содержит требования безопасности для среды ИТ, то рассматриваемый шаг оценивания не применяют и поэтому считают удовлетворенным.
Если ЗБ содержит необязательное изложение требований безопасности для среды ИТ, оценщик сравнивает перечень требуемых ФБО аппаратных, программно-аппаратных и программных средств, приведенный в проекте верхнего уровня, и изложение требований безопасности для среды ИТ, чтобы сделать заключение, согласованы ли они. Информация в ЗБ характеризует базовую абстрактную машину, на базе которой будет функционировать ОО.
Если проект верхнего уровня содержит требования безопасности для среды ИТ, которые не включены в ЗБ, или если они отличаются от требований, включенных в ЗБ, такая несогласованность должна быть учтена оценщиком при выполнении действия ADV_HLD.1.2Е.
-
11.6.3.3.6 Шаг оценивания 2: ADVJHLD. 1-6
Оценщик должен исследовать проект верхнего уровня, чтобы сделать заключение, включает ли он представление функций, предоставляемых поддерживающими механизмами защиты, реализованными в базовых аппаратных, программно-аппаратных и программных средствах.
Если ЗБ не содержит требования безопасности для среды ИТ, то рассматриваемый шаг оценивания не применяют и поэтому считают удовлетворенным.
Представление функций, предоставляемых базовой абстрактной машиной, на базе которой функционирует ОО, не обязательно необходимо на том же уровне детализации, что и представление функций, являющихся частью ФБО. В представлении должно быть пояснено, каким образом ОО использует функции, предоставленные для поддержки целей безопасности для ОО аппаратными, программно-аппаратными и программными средствами, реализующими требования безопасности для среды ИТ, от которой зависит ОО.
Изложение требований безопасности для среды ИТ может быть абстрактным, особенно если предполагается возможность их удовлетворения множеством различных комбинаций аппаратных, программноаппаратных и/или программных средств. В качестве части вида деятельности «Тестирование», когда оценщику предоставляется, по крайней мере, один образец базовой машины, для которой утверждается, что она удовлетворяет требованиям безопасности для среды ИТ, оценщик может сделать заключение, предоставляет ли она необходимые функции безопасности для ОО. Это заключение оценщика не требует тестирования или анализа базовой машины; оно является только подтверждением наличия функций, которые, как предполагается, предоставляются базовой машиной.
-
11.6.3.3.7 Шаг оценивания 2: ADVJHLD. 1-7
ИСО/МЭК 15408-3 ADV_HLD. 1.6С: Проект верхнего уровня должен идентифицировать все интерфейсы для подсистем ФБО.
Оценщик должен проверить, идентифицированы ли в проекте верхнего уровня интерфейсы подсистем ФБО.
Проект верхнего уровня должен включать в себя для каждой подсистемы имя каждой из ее точек входа.
-
11.6.3.3.8 Шаг оценивания 2: ADVJHLD. 1-8
ИСО/МЭК 15408-3 ADVJHLD.1.7С: Проект верхнего уровня должен идентифицировать, какие из интерфейсов подсистем ФБО являются видимыми извне.
Оценщик должен проверить, идентифицировано ли в проекте верхнего уровня, какие интерфейсы подсистем ФБО являются внешне видимыми.
11.6.3.4 Действие ADVJHLD. 1 2Е
-
11.6.3.4.1 Шаг оценивания 2:ADV_HLD.1-9
Оценщик должен исследовать проект верхнего уровня, чтобы сделать заключение, является ли он точным отображением функциональных требований безопасности ОО.
Оценщик анализирует проект верхнего уровня для каждой функции безопасности ОО с целью удостовериться, что функция безопасности ОО описана точно. Оценщик также удостоверяется, что функция не имеет зависимостей, которые не были включены в проект верхнего уровня.
Оценщик также анализирует требования безопасности для среды ИТ, изложенные в ЗБ и проекте верхнего уровня, чтобы удостовериться в их согласованности. Например, если в ЗБ включены функциональные требования безопасности ОО по хранению журнала аудита, а в проекте верхнего уровня указано, что хранение журнала аудита обеспечивается средой ИТ, то проект верхнего уровня не является точным отображением функциональных требований безопасности ОО.
-
11.6.3.4.2 Шаг оценивания 2:ADV_HLD. 1-10
Оценщик должен исследовать проект верхнего уровня, чтобы сделать заключение, является ли он полным отображением функциональных требований безопасности ОО.
С целью удостовериться, что все функциональные требования безопасности, определенные в ЗБ, охвачены проектом верхнего уровня, оценщик может построить отображение функциональных требований безопасности ОО на проект верхнего уровня.
11.6.4 Оценка соответствия представлений (ADV_RCR.1)
-
11.6.4.1 Цели
Цель данного подвида деятельности—сделать заключение, правильно ли и полностью ли разработчик реализовал требования ЗБ и функциональной спецификации в проекте верхнего уровня.
-
11.6.4.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) проект верхнего уровня;
-
d) материалы анализа соответствия между краткой спецификацией ОО и функциональной спецификацией;
-
e) материагы анализа соответствия между функциональной спецификацией и проектом верхнего уровня.
-
11.6.4.3 Действие ADV_RCR.1.1Е
-
11.6.4.3.1 Шаг оценивания 2:ADV_RCR. 1-1
ИСО/МЭК 15408-3 ADV_RCR. 1.1 С: Для каждой смежной пары имеющихся представлений ФБО анализ должен демонстрировать, что все функциональные возможности более абстрактного представления ФБО. относящиеся к безопасности, правильно и полностью уточнены в менее абстрактном представлении ФБО.
Оценщик должен исследовать материалы анализа соответствия между краткой спецификацией ОО и функциональной спецификацией, чтобы сделать заключение, является ли функциональная спецификация корректным и полным представлением функций безопасности ОО.
Цель оценщика на этом шаге оценивания — сделать заключение, что все функции безопасности, идентифицированные в краткой спецификации ОО, представлены в функциональной спецификации и что их представление является точным.
Оценщик анализирует соответствие между функциями безопасности ОО в краткой спецификации ОО и в функциональной спецификации. Оценщик проверяет непротиворечивость и точность данного соответствия. Там, где материалы анализа соответствия указывают на связь между описанием функции безопасности в краткой спецификации ОО и описанием интерфейса в функциональной спецификации, оценщик верифицирует, что описанные функциональные возможности безопасности являются одними и теми же. Если функции безопасности, описанные в краткой спецификации ОО, точно и полно представлены в описаниях соответствующих интерфейсов, рассматриваемый шаг оценивания считают выполненным.
Данный шаг оценивания может быть выполнен совместно с шагами оценивания ADV_FSP.1-7 и ADV_FSP.1-8.
11.6.4.3.2Шагоценивания2:АО\/_РСР.1-2
Оценщик должен исследовать материалы анализа соответствия между функциональной спецификацией и проектом верхнего уровня, чтобы сделать заключение, является ли проект верхнего уровня корректным и полным представлением функциональной спецификации.
Оценщик использует материалы анализа соответствия, функциональную спецификацию и проект верхнего уровня, чтобы удостовериться в возможности отобразить каждую функцию безопасности, идентифицированную в функциональной спецификации, на какую-либо подсистему ФБО, описанную в проекте верхнего уровня. Для каждой функции безопасности материалы соответствия указывают, какие подсистемы ФБО предполагают под держку данной функции безопасности. Оценщик верифицирует, что проект верхнего уровня содержит описание корректной реализации каждой функции безопасности.
11.7 Вид деятельности «Руководства»
Вид деятельности «Руководства» предназначен для определения достаточности документации, регламентирующей эксплуатацию 00. Такая документация ориентирована как на доверенных администраторов и не связанных с администрированием пользователей, чьи неправильные действия могли бы отрицательно повлиять на безопасность ОО, так и на недоверенных пользователей, чьи неправильные действия могли бы отрицательно повлиять на безопасность их собственных данных.
-
11.7.1 Замечания по применению
Вид деятельности «Руководства» применяют к тем функциям и интерфейсам, которые связаны с безопасностью ОО. Безопасная конфигурация 00 должна быть описана в ЗБ.
-
11.7.2 Оценка руководства администратора (AGD_ADM.1)
-
11.7.2.1 Цели
Цель данного подвида деятельности — сделать заключение, описано ли в руководстве администратора, как осуществлять безопасное администрирование ОО.
-
11.7.2.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) проект верхнего уровня;
-
d) руководство пользователя;
-
e) руководство администратора;
-
f) процедуры безопасной установки, генерации и запуска.
-
11.7.2.3 Замечания по применению
Термин «администратор» используют для обозначения человека-пользователя, которому доверено выполнение в пределах ОО критичных для безопасности операций, таких как настройка параметров конфигурации ОО. Данные операции могут влиять на осуществление ПБО, поэтому администратор обладает особыми привилегиями, необходимыми для выполнения таких операций. Роль администратора (роли администраторов) следует четко отличать от ролей пользователей ОО, не связанных с администрированием.
В ЗБ могут быть определены несколько различных ролей или групп администраторов, опознаваемых объектом оценки и взаимодействующих с ФБО. таких как аудитор, администратор или начальник смены. Каждой роли может соответствовать как одна возможность, так и обширный их набор. Возможности этих ролей и связанные с ними привилегии описывают в ЗБ в классе FMT «Управление безопасностью». Различные роли и группы администраторов должны быть рассмотрены в руководстве администратора.
-
11.7.2.4 Действие AGD_ADM. 1.1Е
-
11.7.2.4.1 Шаг оценивания 2:AGD_ADM.1-1
ИСО/МЭК 15408-3 AGD_ADM.1.1С: Руководство администратора должно содержать описание функций администрирования и интерфейсов, доступных администратору ОО.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описаны ли в нем относящиеся к администрированию функции безопасности и интерфейсы, доступные администратору ОО.
В руководстве администратора должен быть помещен краткий обзор функциональных возможностей безопасности, видимых через интерфейсы администратора.
В руководстве администратора должны быть идентифицированы и описаны предназначение, режимы применения и взаимосвязь интерфейсов и функций безопасности, доступных администратору.
Для каждых интерфейса и функции безопасности, доступных администратору, в руководстве администратора должны быть описаны:
-
a) метод (методы) вызова интерфейса (например, с использованием командной строки, системных вызовов языка программирования, меню, командной клавиши);
-
b) параметры, устанавливаемые администратором, их допустимые значения и значения по умолчанию;
-
c) реакция, сообщения или коды возврата непосредственно от ФБО.
-
11.7.2.4.2 Шаг оценивания 2:AGD_ADM.1-2
ИСО/МЭК 15408-3 AGD_ADM. 1,2С: Руководство администратора должно содержать описание того, как управлять ОО безопасным способом.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описан ли в нем безопасный способ администрирования ОО.
В руководстве администратора должно быть описано, как использовать 00 согласно ПВО в среде ИТ. соответствующей ее описанию в ЗБ.
-
11.7.2.4.3 Шаг оценивания 2:AGD_ADM.1-3
ИСО/МЭК 15408-3 AGD_ADM. 1 .ЗС: Руководство администратора должно содержать предупреждения относительно функций и привилегий, которые следует контролировать в безопасной среде обработки информации.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, содержит ли оно предупреждения относительно функций и привилегий, которые необходимо контролировать в безопасной среде эксплуатации.
Конфигурация ОО может позволять пользователям иметь различающиеся привилегии по использованию различных функций ОО. Это значит, что некоторые пользователи могут быть уполномочены выполнять определенные функции, в то время как другие пользователи могут быть не уполномочены на это. Такие функции и привилегии должны быть описаны в руководстве администратора.
Руководство администратора идентифицирует функции и привилегии, которые необходимо контролировать, требуемые для них способы контроля и основания для такого контроля. Предупреждающие сообщения связаны с ожидаемыми последствиями, возможными побочными эффектами и возможным взаимодействием с другими функциями и привилегиями.
11.7.2.44 Шаг оценивания 2:AGD_ADM.1-4
ИСО/МЭК 15408-3 AGD_ADM. 14C: Руководство администратора должно содержать описание всех предположений о поведении пользователя, которые связаны с безопасной эксплуатацией ОО.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, приведены ли в нем все предположения относительно поведения пользователя, которые связаны с безопасной эксплуатацией ОО.
Предположения относительно действий пользователя могут быть описаны более подробно при изложении среды безопасности ОО в ЗБ. Однако в руководство администратора должна быть включена только та информация, которая относится к безопасной эксплуатации ОО.
Примером обязанности пользователей, необходимой для безопасной эксплуатации ОО, является сохранение ими в тайне своих паролей.
-
11.7.24.5 Шаг оценивания 2:AGD_ADM.1-5
ИСО/МЭК 15408-3 AGD_ADM. 1.5С: Руководство администратора должно содержать описание всех параметров безопасности, контролируемых администратором, указывая, при необходимости, безопасные значения.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описаны ли в нем все параметры безопасности, контролируемые администратором, с указанием, при необходимости, их безопасных значений.
Для каждого параметра безопасности 8 руководстве администратора должны быть описаны предназначение параметра, допустимые значения параметра и его значение по умолчанию, а также безопасные и небезопасные настройки этих параметров как по отдельности, так и в сочетании.
-
11.7.24.6 Шаг оценивания 2:AGD_ADM.1-6
ИСО/МЭК 15408-3 AGD_ADM.1.6С: Руководство администратора должно содержать описание каждого типа относящихся к безопасности событий, связанных с выполнением обязательных функций администрирования, включая изменение характеристик безопасности сущностей, контролируемых ФБО.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описан ли в нем каждый тип относящихся к безопасности событий, связанных с выполнением обязательных функций администрирования, включая изменение характеристик безопасности сущностей, контролируемых ФБО.
Все типы относящихся к безопасности событий должны быть детализированы настолько, чтобы администратор знал, какие события могут произойти и какие действия (если потребуется) он мог бы предпринять для поддержания безопасности. Относящиеся кбезопасности события, которые могут произойти в процессе эксплуатации ОО (например, переполнение журнала аудита, полный отказ системы, обновление записей о пользователях, такое как удаление учетных данных пользователя при его увольнении из организации), должны быть определены в мере, позволяющей при вмешательстве администратора под держивать безопасность эксплуатации.
-
11.7.24.7 Шаг оценивания 2:AGD_ADM.1-7
ИСО/МЭК 15408-3 AGD_ADM.1.7C: Руководство администратора должно быть согласовано со всей другой документацией, представленной для оценки.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение о его согласованности со всей другой документацией, представленной для оценки.
В частности. ЗБ может содержать подробную информацию о любых предупреждающих сообщениях администраторам ОО, относящихся к среде безопасности и целям безопасности ОО.
Руководство по анализу непротиворечивости см. 8 А.З «Анализ непротиворечивости» (приложение А).
-
11.7.24.8 Шаг оценивания 2:AGD_ADM.1-8
ИСО/МЭК 15408-3 AGD_ADM. 1.8С: Руководство администратора должно содержать описание всех требований безопасности к среде ИТ, которые относятся к администратору.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описаны ли в нем все требования безопасности ИТ для среды ИТ объекта оценки, которые относятся к администратору.
Если ЗБ не содержит требования безопасности ИТ для среды ИТ, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Этот шаг оценивания относится только к требованиям безопасности ИТ, а не к каким-либо политикам безопасности организации.
Оценщику следует проанализировать требования безопасности для среды ИТ объекта оценки (являющиеся необязательной частью ЗБ) и сравнить их с руководством администратора, чтобы удостовериться, что все требования безопасности из ЗБ, которые относятся к администратору, надлежащим образом описаны в руководстве администратора.
-
11.7.3 Оценка руководства пользователя (AGDJJSR.1)
-
11.7.3.1 Цели
Цель данного подвида деятельности—сделать заключение, описаны ли в руководстве пользователя функции безопасности и интерфейсы ФБО и содержит ли данное руководство инструкции и указания по безопасному использованию ОО.
-
11.7.3.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) проект верхнего уровня;
-
d) руководство пользователя;
-
e) руководство администратора;
-
f) процедуры безопасной установки, генерации и запуска.
-
11.7.3.3 Замечания по применению
В ЗБ могут быть определены несколько различных ролей или групп пользователей, опознаваемых объектом оценки и взаимодействующих с ФБО. Возможности этих ролей и связанные с ними привилегии описывают в ЗБ в классе FMT «Управление безопасностью». Различные роли и группы пользователей должны быть рассмотрены в руководстве пользователя.
-
11.7.3.4 Действие AGDJJSR. 1.1Е
-
11.7.3.4.1 Шаг оценивания 2:AGD_USR.1-1
ИСО/МЭК 15408-3 AGD_USR. 1.1 С: Руководство пользователя должно содержать описание функций и интерфейсов, которые доступны пользователям ОО, не связанным с администрированием.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описаны ли в нем функции безопасности и интерфейсы, доступные пользователям ОО, не связанным с администрированием.
В руководстве пользователя должен быть помещен краткий обзор функциональных возможностей безопасности, видимых через интерфейсы пользователя.
В руководстве пользователя должны быть идентифицированы эти интерфейсы и функции безопасности и описано их назначение.
-
11.7.3.4.2 Шаг оценивания 2:AGD_USR. 1-2
ИСО/МЭК 15408-3 AGDJJSR. 1.2С: Руководство пользователя должно содержать описание применения доступных пользователям функций безопасности, предоставляемых ОО.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описано ли в нем применение доступных пользователю функций безопасности, предоставляемых ОО.
В руководстве пользователя должны быть идентифицированы и описаны режимы применения и взаимосвязь интерфейсов и функций безопасности, доступных пользователю.
Если пользователю разрешен вызов некоторой функции безопасности ОО, то в руководстве пользователя должно быть приведено описание интерфейсов этой функции, доступных пользователю.
Для каждых интерфейса и функции безопасности в руководстве пользователя должны быть описаны:
-
a) метод (методы) вызова интерфейса (например, с использованием командной строки, системных вызовов языка программирования, меню, командной клавиши);
-
b) параметры, устанавливаемые пользователем, их допустимые значения и значения по умолчанию;
-
c) реакция, сообщения или коды возврата непосредственно от ФБО.
-
11.7.3.4.3 Шаг оценивания 2:AGD_USR. 1-3
ИСО/МЭК 15408-3 AGD_USR.1.3C: Руководство пользователя должно содержать предупреждения относительно доступных для пользователей функций и привилегий, которые следует контролировать в безопасной среде обработки информации.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, содержит ли оно предупреждения относительно доступных пользователю функций и привилегий, которые необходимо контролировать в безопасной среде эксплуатации.
Конфигурация ОО может позволять пользователям иметь различающиеся привилегии по использованию различных функций ОО. Это значит, что некоторые пользователи уполномочены выполнять определенные функции, в то время как другие пользователи могут быть не уполномочены на это. Такие доступные пользователю функции и привилегии должны быть описаны в руководстве пользователя.
В руководстве пользователя должны быть идентифицированы функции и привилегии, которые могут быть применены, требуемые для них типы команд и объяснения таких команд. В руководстве пользователя должны быть приведены предупреждающие сообщения относительно использования функций и привилегий, подлежащих контролю. Предупреждающие сообщения должны быть связаны с ожидаемыми последствиями, возможными побочными эффектами и возможным взаимодействием сдругими функциями и привилегиями.
-
11.7.3.4.4 Шаг оценивания 2:AGD_USR. 1-4
ИСО/МЭК 15408-3 AGD_USR.1.4C: Руководство пользователя должно четко представить все обязанности пользователя, необходимые для безопасной эксплуатации ОО, включая обязанности, связанные с предположениями относительно действий пользователя, содержащимися в изложении среды безопасности ОО.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, приведены ли в нем все обязанности пользователя, необходимые для безопасной эксплуатации ОО, включая обязанности, связанные с предположениями относительно действий пользователя, содержащимися 8 описании среды безопасности ОО.
Предположения относительно действий пользователя могут быть описаны более подробно при изложении среды безопасности ОО в ЗБ. Однако в руководство пользователя должна быть включена только та информация, которая относится к безопасной эксплуатации ОО.
В руководстве пользователя должны быть приведены рекомендации по эффективному использованию функций безопасности (например, описание практкмеских приемов формирования паролей, рекомендуемая периодичность резервного копирования файлов пользователей, предполагаемые последствия изменений привилегий доступа для пользователя).
Примером обязанности пользователей, необходимой для безопасной эксплуатации ОО, является сохранение ими в тайне своих паролей.
В руководстве пользователя должно быть указано, может ли пользователь вызвать функцию, или же для этого ему потребуется помощь администратора.
-
11.7.3.4.5 Шаг оценивания 2:AGD_USR. 1-5
ИСО/МЭК 15408-3 AGD_USR. 1.5С: Руководство пользователя должно быть согласовано со всей другой документацией, представленной для оценки.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение о его согласованности со всей другой документацией, представленной для оценки.
Оценщик должен удостовериться, что руководство пользователя и остальная документация, представленная для оценки, не противоречат друг другу. Это особенно актуально, если ЗБ содержит подробную информацию о любых предупреждающих сообщениях пользователям ОО, относящихся к среде безопасности и целям безопасности ОО.
Руководство по анализу непротиворечивости см. 8 А.З «Анализ непротиворечивости» (приложение А).
-
11.7.3.4.6 Шаг оценивания 2:AGD_USR. 1-6
ИСО/МЭК 15408-3 AGD_USR,1,6С: Руководство пользователя должно содержать описание всех требований безопасности к среде ИТ. которые имеют отношение к пользователю.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описаны ли в нем все требования безопасности ИТ для среды ИТ объекта оценки, которые имеют отношение к пользователю.
Если ЗБ не содержит требования безопасности ИТ для среды ИТ, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Этот шаг оценивания относится только к требованиям безопасности ИТ, а не к каким-либо политикам безопасности организации.
Оценщику следует проанализировать требования безопасности для среды ИТ объекта оценки (являющиеся необязательной частью ЗБ) и сравнить их с руководством пользователя с целью удостовериться, что все требования безопасности из ЗБ. которые относятся к пользователю, надлежащим образом описаны в руководстве пользователя.
-
11.8 Вид деятельности «Тестирование»
Цель данного вида деятельности состоит в том, чтобы путем независимого тестирования подмножества ФБО установить, ведут ли себя ФБО как предписано в проектной документации и в соответствии с функциональными требованиями безопасности ОО, определенными в ЗБ.
-
11.8.1 Замечания по применению
Оценщик анализирует тесты разработчика, чтобы определить степень их достаточности для демонст-pai (ии того, что фуню (ии безопасности выполняются в соответствии со cnei (ификя! (ией и чтобы понять подход разработчика к тестированию. Оценщик также выполняет некоторое подмножество документированных тестов разработчика, чтобы получить уверенность в результатах тестов разработчика. Оценщик использует результаты этого анализа в качестве исходных данных для независимого тестирования подмножества ФБО. По отношению к данному подмножеству тесты оценщика реализуют подход к тестированию, отличный от подхода, реализуемого тестами разработчика, в особенности, если тесты разработчика имеют недостатки.
Другие факторы, влияющие на объем и состав подмножества тестов оценщика, должны быть рассмотрены в подвиде деятельности, связанном с независимым тестированием (ATEJND.2 «Выборочное независимое тестирование»). Один из таких факторов, оказывающих влияние на состав подмножества тестов, — это известные из общедоступных источников слабые места, к информации о которых оценщику необходимо получить доступ (например, в рамках системы оценки).
Для определения адекватности тестовой документации разработчика или разработки новых тестов оценщик должен понять ожидаемый режим выполнения функций безопасности применительно к требованиям, которым они должны удовлетворять. Оценщик может предпочесть анализировать функции безопасности ФБО поочередно, рассматривая конкретное требование ЗБ, а также — соответствующие части функциональной спецификации и документации руководств для понимания ожидаемого режима функционирования ОО.
-
11.8.2 Оценка покрытия (ATE_COV.1)
-
11.8.2.1 Цели
Цель данного подвида деятельности — сделать заключение, показывает ли свидетельство разработчика о покрытии тестами разработчика соответствие между тестами, идентифицированными в тестовой документации, и функциональной спецификацией.
-
11.8.2.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
-
a) функциональная спецификация;
-
b) тестовая документация;
-
c) свидетельство о покрытии тестами.
-
11.8.2.3 Замечания по применению
Материалы анализа покрытия тестами, представляемые разработчиком, требуются для того, чтобы показать соответствие между тестами, предоставленными в качестве свидетельства оценки, и функциональной спецификацией. Однако нет необходимости в том, чтобы в материалах анализа покрытия было продемонстрировано, что все функции безопасности были подвергнуты тестированию или что все внешние интерфейсы ФБО были подвергнуты тестированию. Подобные недостатки, при наличии, должны быть рассмотрены оценщиком в процессе выполнения подвида деятельности по независимому тестированию (ATEJND.2).
-
11.8.2.4 Действие ATE_COV. 1.1Е
-
11.8.2.4.1 Шаг оценивания 2:ATE_COV. 1 -1
ИСО/МЭК 1540Я-3 ATF_COV 1 1С’ покрытия тестами должно пока’чатн соптаат-
ствие между тестами, идентифицированными в тестовой документации, и описанием ФБО в функциональной спецификации.
Оценщик должен исследовать свидетельство о покрытии тестами, чтобы сделать заключение, является ли точным соответствие между тестами, идентифицированными в тестовой документации, и функциональной спецификацией.
Демонстрация соответствия может принимать форму таблицы или матрицы. Свидетельство о покрытии тестами, требуемое для рассматриваемого компонента, скорее покажет степень покрытия тестами, а не его полноту. В тех случаях, когда показана недостаточность покрытия, оценщику, чтобы это компенсировать, следует повысить уровень независимого тестирования.
На рисунке 8 отражена концептуальная структура соответствия между функциями безопасности, описанными в функциональной спецификации, и тестами, выделенными в тестовой документации для тестирования этих функций. Тесты могут затрагивать одну или несколько функций безопасности, что может быть обусловлено зависимостями тестов или общей целью выполняемого теста.
Рисунок 8 — Концептуальная структура свидетельства покрытия тестами
Идентификация тестов и функций безопасности, представленных в свидетельстве о покрытии тестами, должна быть однозначной, обеспечивая четкое соответствие между идентифицированными тестами и функциональной спецификацией тестируемых функций безопасности.
На рисунке 8 функция безопасности ФБ-3 не сопоставлена с какими бы то ни было тестами; следовательно, относительно функциональной спецификации покрытие тестами является неполным. Неполное покрытие, тем не менее, не будет влиять на вердикт по рассматриваемому подвиду деятельности, поскольку свидетельство о покрытии тестами не обязательно должно показывать полное покрытие тестами идентифицированных в функциональной спецификации функций безопасности.
-
11.8.3 Оценка функциональных тестов (ATE_FUN.1)
-
11.8.3.1 Цели
Цель данного подвида деятельности — сделать заключение, является ли документация функциональных тестов разработчика достаточной для демонстрации того, что функции безопасности выполняются в соответствии со спецификациями.
-
11.8.3.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) тестовая документация;
-
d) процедуры тестирования.
-
11.8.3.3 Замечания по применению
Степень требуемого покрытия ФБО тестовой документацией зависит от соответствующего компонента доверия, связанного с покрытием тестами.
Для представленных тестов разработчика оценщик делает заключение, являются ли тесты повтори-мыми, и определяет степень возможности использования тестов разработчика при проведении оценщиком независимого тестирования. Любую функцию безопасности, для которой результаты тестирования разработчиком указывают, что она может быть не выполнена в соответствии со спецификациями, оценщику следует подвергнуть независимому тестированию, чтобы сделать заключение, выполнена ли она в соответствии со спецификациями или нет.
Тестовая документация должна идентифицировать все случаи использования привилегированных режимов для установпения/отмены условий тестирования для последующих тестов. Тестовая документация должна описывать, почему было необходимо использовать привилегированные режимы для достижения необходимых условий (например, для обеспечения генерации средствами тестирования определенных объектов, необходимых для выполнения некоторого теста, которые не могут быть созданы непривилегированными пользователями), а также — каким образом осуществляется выход из привилегированных режимов до проведения шагов по тестированию, демонстрирующих функциональные возможности безопасности ОО. Следовательно, несмотря на то, что тестовая конфигурация может не соответствовать описанию ОО в ЗБ, в процессе установления условий тестирования тестовая документация должна содержать описание, каким образом конфигурацию можно вернуть в состояние, которое соответствует конфигурации, описанной в ЗБ, для выполнения шагов по тестированию.
-
11.8.3.4 Действие ATE_FUN. 1.1Е
-
11.8.3.4.1 Шаг оценивания 2:ATE_FUN. 1-1
ИСО/МЭК 15408-3 ATE_FUN. 1.1 С: Тестовая документация должна состоять из планов и описаний процедур тестирования, а также ожидаемых и фактических результатов тестирования.
Оценщик должен проверить, что тестовая документация включает в себя планы тестирования, описание процедур тестирования, ожидаемые результаты тестирования и фактические результаты тестирования.
-
11.8.3.4.2 Шаг оценивания 2:ATE_FUN.1-2
ИСО/МЭК 15408-3 ATE_FUN. 1.2С: Планы тестирования должны идентифицировать проверяемые функции безопасности и содержать изложение целей проводимых тестов.
Оценщик должен проверить, что в плане тестирования идентифицированы подлежащие тестированию функции безопасности.
Одним из методов, который может быть использован для идентификации проверяемой функции безопасности, является ссылка на соответствующую часть (части) функциональной спецификации, в которой определена конкретная функция безопасности.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
11.8.3.4.3 Шаг оценивания 2:ATE_FUN.1-3
Оценщик должен исследовать план тестирования, чтобы сделать заключение, содержит ли он описание целей выполняемых тестов.
План тестирования предоставляет информацию о том, каким образом должны быть протестированы функции безопасности, а также информацию о тестируемой конфигурации ОО, используемой при проведении тестирования.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
11.8.3.4.4 Шагоценивания2:АТЕ_БиМ.1-4
Оценщик должен исследовать план тестирования, чтобы сделать заключение, согласована ли тестируемая конфигурация ОО с той конфигурацией, которая идентифицирована для оценки в ЗБ.
ОО, упомянутый в плане тестирования разработчика, должен иметь ту же самую уникальную маркировку, которая установлена в соответствии с подвидом деятельности АСМ_САР.* «Возможности УК».
В ЗБ может быть определено несколько подлежащих оценке конфигураций. ОО может состоять из ряда различных аппаратных и программных реализаций, которые подлежат тестированию на соответствие ЗБ. Оценщик верифицирует, что в тестовой документации разработчика определены тестируемые конфигурации и они согласованы соответственно с каждой из оцениваемых конфигураций, описанных в ЗБ.
Оценщику следует рассмотреть описанные в ЗБ предположения относительно аспектов безопасности среды ОО, которые могут касаться среды тестирования. В ЗБ могут быть и другие предположения, которые не относятся к среде тестирования. Например, предположение относительно допусков пользователей не относится к среде тестирования, а предположение относительно единой точки подключения к сети относится к среде тестирования.
-
11.8.3.4.5 Шаг оценивания 2:ATE_FUN.1-5
Оценщик должен исследовать план тестирования, чтобы сделать заключение, согласован ли он с описанием процедур тестирования.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А). Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
11 8 3 4 6 Шаг оценивания 2ATE_FIJN 1-8
ИСО/МЭК 15408-3 ATE_FUN.1 .ЗС: Описания процедур тестирования должны идентифицировать тесты, которые необходимо выполнить, и включать в себя сценарии для тестирования каждой функции безопасности. Эти сценарии должны учитывать любое влияние последовательности выполнения тестов на результаты других тестов.
Оценщик должен проверить, что в описании процедур тестирования идентифицирован каждый из подлежащих тестированию режимов выполнения функций безопасности.
Одним из методов, который может быть использован для идентификации подлежащего тестированию режима выполнения функции безопасности, является ссылка на соответствующую часть (части) спецификации проекта, которая определяет конкретный подлежащий тестированию режим выполнения функции безопасности.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
11.8.3.4.7 Шагоценивания2:АТЕ_Р1Ж1-7
Оценщик должен исследовать описание процедур тестирования, чтобы сделать заключение, представлены ли достаточные инструкции, позволяющие установить воспроизводимые начальные условия выполнения тестов, включая зависимости, связанные с порядком следования, при их наличии.
Для того чтобы установить начальные условия выполнения тестов, возможно, потребуется выполнить некоторые шаги. Например, необходимо добавить учетные записи пользователей прежде, чем их можно будет удалить. Пример зависимостей, связанных с порядком следования тестов, от результатов других тестов — необходимо тестирование функции аудита прежде, чем можно будет полагаться на нее при создании записей аудита для другого механизма безопасности, такого как управления доступом. Другой пример зависимости, связанной с порядком следования тестов, — при выполнении одного набора тестов генерируется файл данных, используемых в качестве исходных данных для другого набора тестов.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
11 8.3.4.8 Шаг оценивания 2:ATE_FUN.1-8
Оценщик должен исследовать описание процедур тестирования, чтобы сделать заключение, представлены ли достаточные инструкции для того, чтобы иметь воспроизводимый способ инициирования выполнения функций безопасности и наблюдения за режимом их выполнения.
Инициирующее воздействие обычно обеспечивается внешним по отношению к функции безопасности способом через ИФБО. После того как входные данные (инициирующее воздействие) предоставлены ИФБО, через ИФБО можно наблюдать режим выполнения функции безопасности. Воспроизводимость не обеспечивается, если процедуры тестирования не содержат достаточных подробностей для однозначного описания инициирующего воздействия и режима выполнения, ожидаемого в результате инициирующего воздействия.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
11.8.3.4.9 Шаг оценивания 2:ATE_FUN.1-9
Оценщик должен исследовать описание процедур тестирования, чтобы сделать заключение об их согласованности с процедурами тестирования.
Если описание процедур тестирования — это собственно процедуры тестирования, то рассматриваемый шаг оценивания не применяют и поэтому считают удовлетворенным.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А). Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
11.8.3.4.10Шагоценивания2:АТЕ_ГиМ.1-10
ИСО/МЭК 15408-3 ATE_FUN.1.4C: Ожидаемые результаты тестирования должны показать прогнозируемые выходные данные успешного выполнения тестов.
Оценщик должен исследовать тестовую документацию, чтобы сделать заключение о достаточности включенных в нее ожидаемых результатов выполнения тестов.
Ожидаемые результаты тестирования необходимы, чтобы сделать заключение, действительно ли тест был успешно выполнен. Описание ожидаемых результатов тестирования достаточно, если оно однозначно и согласуется с ожидаемым режимом выполнения ФБО, обусловленным подходом к тестированию.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
11 8 3 4 11 Шаг оценивания 2 ATE_FIJN 1-11
ИСО/МЭК 15408-3 ATE_FUN.1.5C: Результаты выполнения тестов разработчиком должны демонстрировать. что каждая проверенная функция безопасности выполнялась в соответствии со спецификациями.
Оценщик должен проверить, что ожидаемые результаты тестирования в тестовой документации согласуются с представленными фактическими результатами тестирования.
Сравнение представленных разработчиком фактических и ожидаемых результатов тестирования выявит какие бы то ни было несоответствия результатов.
Возможно, что непосредственное сравнение фактических результатов не может быть выполнено до того, как будет выполнено некоторое преобразование или синтез данных. В подобных случаях в тестовой документации разработчика должен быть описан процесс преобразования или синтеза фактических данных.
Например, разработчику может потребоваться проверить содержимое буфера сообщений после того, как имело место сетевое соединение, чтобы определить содержимое буфера. Буфер сообщения будет содержать бинарную последовательность. Эту бинарную последовательность, как правило, преобразуют в другую форму представления данных, чтобы сделать тест более содержательным. Преобразование этого бинарного представления данных в представление более высокого уровня должно быть достаточно подробно описано разработчиком, чтобы позволить оценщику выполнить процесс преобразования (т.е. необходимо описать, используется ли синхронный или асинхронный метод передачи данных, число стоповых битов, битов четности и т.д.).
Следует отметить, что описание процесса преобразования или синтеза фактических данных оценщик использует не для того, чтобы фактически исполнить необходимую модификацию, а для того, чтобы оценить корректность этого процесса. Преобразование ожидаемых результатов тестирования в формат, позволяющий их легко сравнивать с фактическими результатами тестов, возложено на разработчика.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
Если ожидаемые и фактические результаты тестирования для какого-либо из тестов не совпадают, то правильность выполнения функции безопасности не продемонстрирована. Такая ситуация окажет влияние на усилия оценщика по независимому тестированию, выражающееся в необходимости тестирования соответствующей функции безопасности. Оценщику также следует рассмотреть вопрос об увеличении выборки свидетельств, на основе которых должен быть выполнен рассматриваемый шаг оценивания.
11.8.3.4.12Шагоценивания2:АТЕ_Еим.1-12
Оценщик должен привести в отчете информацию об усилиях разработчика по тестированию, выделив подход к тестированию, тестируемую конфигурацию, глубину и результаты тестирования.
Информация о тестировании разработчиком, зафиксированная в ТОО, позволяет оценщику передать общий подход к тестированию и усилия, затраченные разработчиком на тестирование ОО. Смысл предоставления данной информации состоит в том, чтобы привести содержательный краткий обзор усилий разработчика по тестированию. Не обязательно, чтобы информация о тестировании разработчиком в ТОО была точной копией конкретных шагов тестирования или результатов отдельных тестов. Целью является предоставить достаточные подробности, позволяющие другим оценщикам и сотрудникам органов оценки понять подход разработчика к тестированию, объем выполненного тестирования, тестируемые конфигурации 00 и общий результат тестирования разработчиком.
Информация об усилиях разработчика по тестированию, которую обычно можно найти в соответствующем разделе ТОО, включает в себя:
-
a) тестируемые конфигурации 00. Конкретные конфигурации 00. которые были протестированы;
-
b) подход к тестированию. Описание общей стратегии тестирования, которую применил разработчик;
-
c) объем тестирования, выполненного разработчиком. Описание степени покрытия тестами и глубины тестирования разработчиком;
-
d) результаты тестирования. Описание общих результатов тестирования разработчиком.
Данный перечень ни в коем случае не является исчерпывающим и предназначен только для того, чтобы дать некоторое представление о типе информации, связанной с усилиями разработчика по тестированию, которую следует привести в ТОО.
-
11.8.4 Оценка путем независимого тестирования (ATEJND.2)
-
11.8.4.1 Цели
Цель данного подвида деятельности состоит в том, чтобы путем независимого тестирования подмножества ФБО сделать заключение, соответствуют ли спецификациям режимы функционирования ОО, и повысить уверенность в результатах тестирования разработчиком путем выполнения выборки тестов разработчика.
-
11.8.4.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) руководство пользователя;
-
d) руководство администратора;
-
e) процедуры безопасной установки, генерации и запуска;
-
f) тестовая документация;
д) материалы анализа покрытия тестами;
-
h) материалы анализа глубины тестирования;
-
i) ОО, пригодный для тестирования.
-
11.8.4.3 Действие ATE JND.2.1Е
-
11.8.4.3.1 Шаг оценивания 2:ATE_IND.2-1
ИСО/МЭК 15408-3 ATEJND.2.1 С: ОО должен быть пригоден для тестирования.
Оценщик должен исследовать ОО, чтобы сделать заключение, согласуется ли тестируемая конфигурация с оцениваемой конфигурацией, определенной в ЗБ.
ОО. используемый оценщиком для тестирования, должен иметь ту же самую уникальную маркировку, которая установлена в соответствии с подвидом деятельности АСМ_САР * «Возможности УК».
В ЗБ может быть определено более одной подлежащей оценке конфигурации. ОО может состоять из ряда различных аппаратных и программных реализаций, которые подлежат тестированию в соответствии с ЗБ. Тестируемые оценщиком конфигурации ОО должны быть согласованы соответственно с каждой из оцениваемых конфигураций, описанных в ЗБ.
Оценщику следует рассмотреть описанные в ЗБ предположения относительно аспектов безопасности среды ОО, которые могут касаться среды тестирования. В ЗБ могут быть и другие предположения, которые не относятся к среде тестирования. Например, предположение относительно допусков пользователей не относится к среде тестирования, а предположение относительно единой точки подключения к сети относится к среде тестирования.
При использовании любых средств тестирования (например, измерителей, анализаторов) обеспечить правильную калибровку этих средств будет обязанностью оценщика.
-
11.8.4.3.2 Шаг оценивания 2:ATE_IND.2-2
Оценщик должен исследовать ОО, чтобы сделать заключение, правильно ли он установлен и находится ли в состоянии, которое известно.
Оценщик имеет возможность сделать заключение о состоянии ОО несколькими способами. Например, предшествующее успешное завершение подвида деятельности ADOJGS.1 «Процедуры установки, генерации и запуска» позволит считать выполненным данный шаг оценивания, если оценщик все еще уверен, что тестируемый 00 был должным образом установлен и находится в известном состоянии. Если это не так. то оценщику рекомендуется следовать процедурам разработчика, чтобы установить, сгенерировать и запустить ОО, используя только поставляемое руководство.
Если оценщику необходимо выполнить процедуры установки вследствие того, что ОО находится в неизвестном состоянии, то при успешном завершении данный шаг оценивания мог бы удовлетворить шаг оценивания ADO_IGS.1-2.
-
11.8.4.3.3 Шаг оценивания 2:ATE_IND.2-3
ИСО/МЭК 15408-3 ATE_IND.2.2C: Разработчик должен представить набор ресурсов, эквивалентных использованным им при функциональном тестировании ФБО.
Оценщик должен исследовать набор ресурсов, предоставленных разработчиком, чтобы сделать заключение, эквивалентны ли они набору ресурсов, использованных разработчиком для функционального тестирования ФБО.
Данный набор ресурсов может, кроме всего прочего, включать в себя доступное лабораториям и специальное испытательное оборудование. Ресурсы, которые не являются идентичными ресурсам, использованным разработчиком, должны быть эквивалентны им с точки зрения любого влияния, которое они могут оказать на результаты тестирования.
-
11.8.4.4 Действие ATE JND.2.2E
-
11.8.4.4.1 Шаг оценивания 2:ATE_IND.2-4
Оценщик должен определить тестируемое подмножество ФБО.
Oi 1йм|цик яыбиряят тястируямоя подмножество и стратегию тестирования, приемлемую для ОО Одна, крайняя, стратегия тестирования предусматривает наличие тестируемого подмножества ФБО, содержащего как можно большее число функций безопасности, тестируемых с небольшой строгостью. Другая стратегия тестирования предусматривает наличие тестируемого подмножества, содержащего небольшое число функций безопасности, исходя из их осознанной значимости, и строгое тестирование этих функций.
Как правило, стратегия тестирования, принятая оценщиком, должна находиться где-то между этими двумя крайностями. Оценщику следует проверить выполнение большинства определенных в ЗБ функциональных требований безопасности, используя, по крайней мере, один тест для каждого требования, но при этом нет необходимости, чтобы тестирование продемонстрировало исчерпывающую проверку спецификаций.
При выборе подмножества тестируемых ФБО оценщику необходимо рассмотреть следующие факторы:
-
a) свидетельства тестирования разработчиком. Свидетельства тестирования разработчиком включают в себя: анализ покрытия тестами, анализ глубины тестирования и тестовую документацию. Свидетельства тестирования разработчиком будут обеспечивать понимание того, каким образом разработчиком в ходе тестирования были проверены функции безопасности. Оценщик будет использовать данную информацию при разработке новых тестов для независимого тестирования ОО. Оценщику следует, в особенности, рассмотреть:
-
1) усиление тестирования, выполненного разработчиком, для определенной функции (функций) безопасности. Оценщик может выполнить большее число тестов того же самого типа, чтобы путем изменения параметров более строго протестировать функцию безопасности;
-
2) дополнение стратегии тестирования, примененной разработчиком, для определенной функции (функций) безопасности. Оценщик может изменить подход к тестированию определенной функции безопасности, тестируя ее с использованием другой стратегии тестирования;
-
b) число функций безопасности, из которых необходимо сформировать тестируемое подмножество. В тех случаях, когда у ОО только небольшое число функций безопасности, может быть практичным строгое тестирование всех функций безопасности. Для ОО с большим числом функций безопасности это будет нерентабельно и потребуется осуществление выборки;
-
c) поддержание некоторого баланса между видами деятельности по оценке. Усилия оценщика, затраченные на вид деятельности по тестированию, должны быть соразмерны с усилиями, затраченными на любой другой вид деятельности по оценке.
Оценщик выбирает определенные функции безопасности для формирования соответствующего подмножества. Этот выбор будет зависеть от ряда факторов, и рассмотрение этих факторов также может влиять на выбор размера тестируемого подмножества ФБО:
а) строгость тестирования разработчиком функций безопасности. Все функции безопасности, идентифицированные в функциональной спецификации, должны иметь относящиеся к ним свидетельства тестирования разработчиком, как это требуется в ATE_COV.2 «Анализ покрытия». Те функции безопасности, которые оценщик определил как требующие дополнительного тестирования, следует включить в тестируемое подмножество ФБО:
-
b) результаты тестирования разработчиком. Если результаты тестов разработчика заставляют оценщика сомневаться в том, что функция безопасности или ее аспект выполняется в соответствии со спецификациями, то оценщику следует включить подобные функции безопасности в тестируемое подмножество;
-
c) известные из общедоступных источников слабые места безопасности, обычно ассоциируемые с конкретным типом ОО (например, с операционной системой, межсетевым экраном). Известные из общедоступных источников слабые места, ассоциируемые с конкретным типом ОО, будут влиять на процесс выбора тестируемого подмножества. Оценщику следует включить в тестируемое подмножество те функции безопасности, которые связаны с известными из общедоступных источников слабыми местами для данного типа ОО (известные из общедоступных источников слабые места в данном случае относятся не к уязвимостям как таковым, а к несоответствиям или проблемным вопросам, которые были обнаружены для данного конкретного типа ОО). Если такие слабые места неизвестны, то может быть более приемлемым более общий подход, связанный с выбором широкого диапазона функций безопасности;
-
d) значимость функций безопасности. Те функции безопасности, которые более значимы, чем другие, с точки зрения целей безопасности для ОО, следует включить в тестируемое подмножество;
-
e) утверждение о СФБ, сделанное в ЗБ. Все функции безопасности, для которых было сделано конкретное утверждение о СФБ, следует включить в тестируемое подмножество ФБО;
-
f) сложность функции безопасности. Для сложных функций безопасности может потребоваться выполнение сложных тастпй. налагающих обременительные трАбояяния на разработчика или оценщике. что, я свою очередь, не будет способствовать экономичным оценкам. С другой стороны, сложные функции безопасности — это вероятная область поиска ошибок и подходящие кандидаты для включения в подмножество. Оценщику необходимо достигнуть баланса между этими соображениями;
д) неявное тестирование. Тестирование некоторых функций безопасности может зачастую сопровождаться неявным тестированием других функций безопасности, и их включение в подмножество может максимизировать (хотя и не в явном виде) число тестируемых функций безопасности. Некоторые интерфейсы могут обеспечивать несколько функциональных возможностей безопасности, и их следует сделать объектом эффективного подхода к тестированию;
-
h) типы интерфейсов ОО (например, программный интерфейс, командная строка, протокол). Оценщику следует рассмотреть возможность включения тестов для всех различных типов интерфейсов, которые поддерживает данный ОО;
-
i) инновационные или необычные функции. В тех случаях, когда в ОО включены инновационные или необычные функции безопасности, которые могут широко быть представлены в маркетинговой литературе, они должны быть прямыми кандидатами на тестирование.
Выше сформулированы факторы, которые необходимо рассмотреть в процессе выбора приемлемого тестируемого подмножества ФБО, но они ни в коем случае не являются исчерпывающими.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
11.8.4.4.2 Шаг оценивания 2:ATE_IND.2-5
Оценщик должен разработать тестовую документацию для тестируемого подмножества ФБО, детализация которой достаточна, чтобы обеспечить воспроизводимость тестов.
Установив из ЗБ и функциональной спецификации ожидаемый режим выполнения функции безопасности, оценщик должен определить наиболее подходящий способ тестирования данной функции. Оценщик, в особенности, рассматривает:
-
a) подход, который будет использован, например, будет ли функция безопасности протестирована через внешний интерфейс, внутренний интерфейс с использованием каких-либо средств автономного тестирования или будет применен альтернативный тестированию подход (например, в исключительных обстоятельствах— экспертиза кода);
-
b) интерфейс(ы) функции безопасности, который(е) будет(ут) использован(ы) для инициирования выполнения функции безопасности и наблюдения ее реакции;
-
c) начальные условия, которые будут необходимы для выполнения теста (т.е. любые конкретные объекты или субъекты, которые будут необходимы, и атрибуты безопасности, которые им необходимо будет иметь);
-
d) специальное оборудование для тестирования, которое потребуется либо для инициирования выполнения функции безопасности (например, генераторы пакетов), либо для наблюдения за функцией безопасности (например, сетевые анализаторы).
Оценщик может посчитать практичным тестировать каждую функцию безопасности с помощью ряда наборов тестов, где каждый набор тестов будет использован для тестирования конкретного режима выполнения функции безопасности.
В тестовой документации оценщика следует определить происхождение каждого теста, прослеживая его к соответствующей спецификации проекта и, если необходимо, к ЗБ.
-
11.8.44.3 Шаг оценивания 2:ATE_IND.2-6
Оценщик должен провести тестирование.
Оценщик использует разработанную тестовую документацию как основу для тестирования 00, но это не мешает ему выполнить дополнительные специальные тесты. Оценщик может разработать новые тесты исходя из режима функционирования ОО, обнаруженного в процессе тестирования. Эти новые тесты должны быть внесены в тестовую документацию.
-
11.8.4.4.4 Шаг оценивания 2:ATE_IND.2-7
Оценщик должен зафиксировать следующую информацию о тестах, которые составляют подмножество тестов:
-
a) идентификационную информацию тестируемого режима выполнения функции безопасности:
-
b) инструкции по подключению и настройке всего необходимого оборудования для тестирования, как это требуется для выполнения конкретного теста;
-
c) инструкции по установке всех предварительных условий выполнения теста;
-
d) инструкции по инициированию функции безопасности:
-
e) инструкции по наблюдению режима выполнения функции безопасности;
-
f) описание всех ожидаемых результатов и необходимого анализа, проводимого по отношению к наблюдаемому режиму выполнения для сравнения с ожидаемыми результатами;
д) инструкции по завершению теста и установке необходимого посттестового состояния ОО;
h) фактические результаты тестирования.
Уровень детализации должен быть таким, чтобы другой оценщик мог повторить тесты и получить эквивалентный результат. Хотя некоторые специфические детали результатов выполнения теста могут различаться (например, поля времени и даты в записи аудита), общие результаты должны быть идентичными.
Возможны случаи, когда нет необходимости предоставлять всю информацию, приведенную на этом шаге оценивания (например, фактические результаты тестирования могут не требовать какого бы то ни было анализа до их сравнения с ожидаемыми результатами). Решение опустить эту информацию, как и его логическое обоснование, остается за оценщиком.
-
11.8.4.4.5 Шаг оценивания 2:ATE_IND.2-8
Оценщик должен проверить, что все фактические результаты тестирования соответствуют ожидаемым результатам тестирования.
Любые различия в фактических и ожидаемых результатах тестирования могут свидетельствовать либо о том, что ОО не функционирует в соответствии со спецификацией, либо о том, что тестовая документация оценщика может быть некорректной. Не соответствующие ожидаемым фактические результаты тестирования могут потребовать внесения корректив в ОО или тестовую документацию, а также повторного выполнения вызвавших коллизию тестов, модификации размера и состава выборки тестов. Это решение, как и его логическое обоснование, остается за оценщиком.
-
11.8.4.5 Действие ATE JND.2.3E
-
11.8.4.5.1 Шаг оценивания 2:ATE_IND.2-9
Оценщик должен провести тестирование, используя выборку тестов, предусмотренных в плане и процедурах тестирования разработчика.
Общая цель данного шага оценивания состоит в выполнении тестов разработчика в количестве, достаточном для подтверждения правильности результатов тестирования разработчиком. Оценщик должен определить размер выборки и тесты разработчика, которые составят данную выборку.
С учетом общих усилий оценщика по виду деятельности, связанному с тестированием, обычно следует выполнить около 20 % тестов разработчика, хотя этот процент может варьироваться в зависимости от характера ОО и представленных свидетельств тестирования.
Все тесты разработчика могут быть сопоставлены с конкретными функциями безопасности. Следовательно, факторы, которые необходимо рассмотреть при выборе тестов для включения в выборку, подобны тем, которые перечислены на шаге оценивания ATEJND.2-4 для выбора тестируемого подмножества ФБО. Дополнительно, для выбора тестов разработчика, включаемых в выборку, оценщик может избрать метод случайной выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
11.8.4.5.2 Шаг оценивания 2:ATE_IND.2-10
Оценщик должен проверить, что все фактические результаты тестирования согласуются с ожидаемыми результатами тестирования.
Противоречия между ожидаемыми результатами тестирования разработчиком и фактическими результатами тестирования заставляют оценщика разрешать эти несоответствия. Противоречия, с которыми столкнулся оценщик, могут быть разрешены разработчиком путем убедительного объяснения и устранения противоречий.
Если удовлетворительное объяснение или устранение противоречий не может быть достигнуто, то уверенность оценщика в результатах тестирования разработчиком может уменьшиться; у оценщика даже может возникнуть необходимость в увеличении объема выборки, чтобы восстановить уверенность в результатах тестирования разработчиком. Если увеличение объема выборки не оправдает ожиданий оценщика, может потребоваться повторение всей совокупности тестов разработчика. В конечном счете, для адекватного тестирования подмножества ФБО, идентифицированного на шаге оценивания ATE_IND.2-4, недостаточность тестов разработчика приведет к необходимости корректировки тестов разработчика или разработки оценщиком новых тестов.
-
11.8.45.3 Шаг оценивания 2:АТЕ JND.2-11
Оценщик должен привести в ТОО информацию об усилиях по тестированию, кратко изложив подход к тестированию, тестируемую конфигурацию, глубину и результаты тестирования.
Информация оценщика о тестировании, приводимая 8 ТОО, позволяет оценщику передать общий подход к тестированию и усилия, затраченные в течение оценки на вид деятельности по тестированию. Смысл предоставления данной информации состоит в том, чтобы привести содержательный краткий обзор усилий по тестированию. Не имеется в виду, чтобы информация о тестировании в ТОО была точным воспроизведением конкретных шагов тестирования или результатов отдельных тестов. Целью является предоставить достаточные подробности, чтобы позволить другим оценщикам и сотрудникам органов оценки понять выбранный подход к тестированию, объем выполненного оценщиком тестирования, объем выполненного разработчиком тестирования, тестируемые конфигурации ОО и общий результат вида деятельности по тестированию.
Информация, относящаяся к усилиям оценщика по тестированию, которую обычно можно найти в соответствующем разделе ТОО, включает в себя:
-
a) тестируемые конфигурации ОО. Конкретные конфигурации ОО, которые были протестированы;
-
b) выбранный размер подмножества. Число протестированных в течение оценки функций безопасности и логическое обоснование этого размера;
-
c) критерии выбора для функций безопасности, которые составляют тестируемое подмножество. Краткое изложение факторов, рассмотренных при отборе функций безопасности для включения в подмножество;
-
d) протестированные функции безопасности. Краткий перечень функций безопасности, обоснованно включенных в подмножество;
-
e) выполненные тесты разработчика. Число выполненных тестов разработчика и краткое описание критериев, использованных для выбора данных тестов;
-
f) вердикт по виду деятельности. Общий вывод по результатам тестирования, проведенного в течение оценки.
Данный перечень ни в коем случае не является исчерпывающим и предназначен только для того, чтобы дать некоторое представление о типе информации, касающейся тестирования, выполненного оценщиком в течение оценки, которую следует привести в ТОО.
11.9 Вид деятельности «Оценка уязвимостей»
Вид деятельности «Оценка уязвимостей» предназначен для того, чтобы сделать заключение о существовании и пригодности для использования в предопределенной среде недостатков или слабых мест в ОО. Это заключение должно быть основано на анализе, выполненном разработчиком, и поддержано тестированием проникновения, выполненным оценщиком.
-
11.9.1 Оценка стойкости функций безопасности ОО (AVA_SOF.1)
-
11.9.1.1 Цели
Цель данного подвида деятельности—сделать заключение, приведены ли в ЗБ утверждения о СФБ для всех вероятностных или перестановочных механизмов и поддержаны ли утверждения о СФБ, приведенные разработчиком в ЗБ, корректным анализом.
-
11.9.1.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) проект верхнего уровня;
-
d) руководство пользователя;
-
e) руководство администратора;
-
f) материалы анализа стойкости функций безопасности ОО.
-
11.9.1.3 Замечания по применению
Анализ СФБ выполняют для механизмов, которые по своей природе являются вероятностными или перестановочными, таких как механизм пароля или биометрия. Хотя криптографические механизмы также являются вероятностными и зачастую описываются в терминах стойкости, AVA_SOF.1 «Оценка стойкости функции безопасности» не применим к криптографическим механизмам. Для таких механизмов оценщику следует руководствоваться указаниями системы оценки.
Хотя анализ СФБ выполняют на базе отдельных механизмов, общее заключение о СФБ базируется на функциях. Если для обеспечения некоторой функции безопасности применяют более одного вероятностного или перестановочного механизма, проанализирован должен быть каждый отдельный механизм. Способ объединения этих механизмов для обеспечения функции безопасности определит общий уровень СФБ для этой функции. Оценщику необходима информация о проекте, чтобы понять, как механизмы работают вместе, чтобы обеспечить функцию, и минимальный уровень для такой информации предоставляют через зависимость от ADV_HLD.1 «Описательный проект верхнего уровня». Фактическая проектная информация, доступная оценщику, определяется ОУД, и эту доступную информацию, когда требуется, следует использовать для поддержки анализа, выполняемого оценщиком.
О СФБ в отношении многодоменных ОО см. в 9.3.6 «Оценка раздела «Требования безопасности ИТ» (ASE_REQ.1).
-
11.9.1.4 Действие AVA_SOF. 1.1Е
-
11.9.1.4.1 Шаг оценивания 2;AVA_SOF. 1-1
ИСО/МЭК 15408-3 AVA_SOF. 1.1 С: Для каждого механизма, имеющего утверждение относительно стойкости функции безопасности ОО, анализ должен показать, что ее стойкость достигает или превышает минимальный уровень стойкости, определенный в ПЗ/ЗБ.
Оценщик должен проверить, предоставил ли разработчик материалы анализа СФБ для каждого механизма безопасности, в отношении которого в ЗБ имеется утверждение о СФБ, выраженное как уровень СФБ.
Если утверждения о СФБ выражены исключительно в метрике СФБ, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Уровень СФБ выражают как базовую СФБ, среднюю СФБ или высокую СФБ, которые определены в терминах потенциала нападения, — см. ИСО/МЭК 15408-1, раздел 2. Минимальное общее требование СФБ, выраженное как некоторый уровень, применяют ко всем некриптографическим вероятностным или перестановочным механизмам безопасности. Однако для отдельных механизмов может иметься утверждение о СФБ как некотором уровне, который превышает общее требование СФБ.
Руководство по определению потенциала нападения, необходимого для осуществления нападения, и, следовательно, определению СФБ как некоторого уровня см. в А.8 «Стойкость функций безопасности и анализ уязвимостей» (приложение А).
Материалы анализа СФБ включают в себя логическое обоснование утверждения о СФБ, приведенного в ЗБ.
-
11.9.1.4.2 Шаг оценивания 2:AVA_SOF.1-2
ИСО/МЭК 15408-3 AVA_SOF. 1.2С: Для каждого механизма, имеющего утверждение относительно конкретной стойкости функции безопасности ОО, анализ должен показать, что ее стойкость достигает или превышает конкретный показатель, определенный в ПЗ/ЗБ.
Оценщик должен проверить, предоставил ли разработчик материалы анализа СФБ для каждого механизма безопасности, в отношении которого имеется утверждение о СФБ в ЗБ, выраженное в некоторой метрике.
Если утверждения о СФБ выражены исключительно как уровни СФБ, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Минимальное общее требование СФБ, выраженное как некоторый уровень, применяют ко всем некриптографическим вероятностным или перестановочным механизмам безопасности. Однако для отдельных механизмов может иметься утверждение о СФБ в метрике, которая удовлетворяет или превосходит общее требование СФБ.
Анализ СФБ включает в себя логическое обоснование утверждения о СФБ, приведенного в ЗБ.
-
11.9.1.4.3 Шаг оценивания 2:AVA_SOF.1-3
Оценщик должен исследовать материалы анализа СФБ, чтобы сделать заключение, являются ли обоснованными любые утверждения или предположения, поддерживающие анализ
Например, может быть неверным предположение, что конкретная реализация генератора псевдослучайных чисел будет обладать энтропией, необходимой для отбора данного механизма безопасности в число тех, для которых уместен анализ СФБ.
Ожидается, что предположения, сопровождающие анализ СФБ, отражают самый плохой случай, за исключением случая, являющегося в соответствии с ЗБ несостоятельным. Когда существует ряд различных возможных сценариев, зависящих от поведения человека-пользователя или нарушителя, следует предположить сценарий, который представляет самую низкую стойкость, если этот сценарий не был признан ранее несостоятельным.
Например, утверждение о стойкости, основанное на максимальной теоретически возможной области значений пароля (т.е. комбинаций всех печатных символов ASCII), обычно не является самым плохим случаем, потому что человеку свойственно использовать пароли на естественном языке, существенно уменьшая область значений пароля и ассоциированную с ней стойкость. Однако такое предположение может быть приемлемым, если в конкретном ОО применены меры ИТ, идентифицированные в ЗБ, такие как фильтры паролей, с целью минимизировать использование паролей на естественном языке.
-
11.9.1.4.4 Шаг оценивания 2:AVA_SOF. 1-4
Оценщик должен исследовать материалы анализа СФБ, чтобы сделать заключение, корректны ли любые алгоритмы, принципы, характеристики и вычисления, поддерживающие анализ.
Характер данного шага оценивания сильно зависит от типа рассматриваемого механизма. В А.8 «Стойкость функций безопасности и анализ уязвимостей» (приложение А) представлен пример анализа СФБ для функции идентификации и аутентификации, которая реализована с использованием механизма пароля; при анализе рассмотрена максимальная область значений пароля, чтобы, в конечном счете, прийти к некоторому уровню СФБ. Для биометрии при анализе рассматривают разрешающую способность и другие факторы, влияющие на чувствительность механизма к обману.
СФБ, выраженная как некоторый уровень, основана на минимальном потенциале нападения, требуемом, чтобы нанести поражение механизму безопасности. Уровни СФБ определены в терминах потенциала нападения в ИСО/МЭК 15408-1, раздел 2.
Руководство по определению потенциала нападения см. в А.8 «Стойкость функций безопасности и анализ уязвимостей» (приложение А).
-
11.9.1.4.5 Шаг оценивания 2:AVA_SOF.1-5
Оценщик должен исследовать материалы анализа СФБ, чтобы сделать заключение, каждое ли утверждение о СФБ удовлетворено или превышено.
Руководство по ранжированию утверждений о СФБ см. в А.8 «Стойкость функций безопасности и анализ уязвимостей» (приложение А).
-
11.9.1.4.6 Шагоценивания2:АУА_ЗОЕ1-6
Оценщик должен исследовать материалы анализа СФБ, чтобы сделать заключение, все ли функции с заявленной СФБ удовлетворяют минимальному уровню стойкости, определенному в ЗБ.
-
11.9.1.5 Действие AVA_SOF. 1,2Е
-
11.9.1.5.1 Шаг оценивания 2:AVA_SOF.1-7
Оценщик должен исследовать функциональную спецификацию, проект верхнего уровня, руководство пользователя и руководство администратора, чтобы сделать заключение, для всех ли вероятностных или перестановочных механизмов имеется утверждение о СФБ.
Идентификация разработчиком функций безопасности, которые реализованы вероятностными или перестановочными механизмами, должна быть верифицирована в процессе оценки ЗБ. Однако, поскольку краткая спецификация ОО может быть единственным свидетельством, доступным при выполнении этих действий, идентификация таких механизмов может быть неполной. Дополнительные свидетельства оценки, требуемые в качестве исходных данных для этого подвида деятельности, могут идентифицировать дополнительные вероятностные или перестановочные механизмы, ранее не идентифицированные в ЗБ. Если это так, то ЗБ должно быть соответствующим образом обновлено, чтобы отразить дополнительные утверждения о СФБ, а разработчику будет необходимо представить материалы дополнительного анализа, в которых должны быть логически обоснованы утверждения о СФБ, в качестве исходных данных для действия оценщика AVASOF.1.1E.
-
11.9.1.5.2 Шаг оценивания 2:AVA_SOF.1-8
Оценщик должен исследовать утверждения о СФБ, чтобы сделать заключение, являются ли они корректными.
Если материалы анализа СФБ включают в себя утверждения или предположения (например, о возможном числе попыток аутентификации в минуту), оценщику следует независимо подтвердить, что они корректны. Это может быть достигнуто путем тестирования или независимого анализа.
-
11.9.2 Оценка анализа уязвимостей (AVA_VLA.1)
-
11.9.2.1 Цели
Цель данного подвида деятельности — сделать заключение, имеет ли ОО, находящийся в своей предопределенной среде, явные уязвимости, пригодные для использования.
-
11.9.2.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) проект верхнего уровня;
-
d) руководство пользователя;
-
e) руководство администратора;
-
f) процедуры безопасной установки, генерации и запуска;
д) материалы анализа уязвимостей;
-
h) материалы анализа утверждений о стойкости функции;
-
i) OO, пригодный для тестирования.
Дополнительным исходным материалом для данного подвида деятельности является текущая информация касательно явных уязвимостей (например, от органа оценки).
-
11.9.2.3 Замечания по применению
Использование термина «руководства» в этом подвиде деятельности относится к руководству пользователя, руководству администратора и процедурам безопасной установки, генерации и запуска.
Рассмотрение пригодных для использования уязвимостей определяется целями безопасности и функциональными требованиями в ЗБ. Например, если меры по предотвращению обхода функций безопасности не требуются в ЗБ (FPT_PHP «Физическая защита ФБО», FPT_RVM «Посредничество при обращениях» и FPT_SEP «Разделение домена» отсутствуют), то уязвимости, на которых базируется обход, рассматривать не следует.
Уязвимости могут быть или не быть идентифицированы в общедоступных источниках и могут требовать или не требовать навыка для их использования. Эти два фактора являются связанными, но различными. Не следует предполагать, что уязвимость может быть легко использована только потому, что она идентифицирована в общедоступных источниках.
Следующие термины использованы в данном руководстве с конкретным значением:
-
a) уязвимость — слабость в ОО, которая может быть использована, чтобы нарушить политику безопасности в некоторой среде;
-
b) анализ уязвимостей — систематический поиск уязвимостей в ОО и оценка найденных уязвимостей, чтобы сделать заключение об их значимости для предопределенной среды ОО;
-
c) явная уязвимость—уязвимость, которая является открытой для использования, требующего минимума понимания ОО, технических познаний и ресурсов;
-
d) потенциальная уязвимость—уязвимость, существование которой в ОО предположено (на основании теоретически допускаемого маршрута нападения), но не подтверждено;
е) пригодная для использования уязвимость—уязвимость, которая может быть использована в предопределенной среде ОО;
-
f) непригодная для использования уязвимость — уязвимость, которая не может быть использована в предопределенной среде ОО;
д) остаточная уязвимость — непригодная для использования уязвимость, которая могла бы быть использована нарушителем с более высоким потенциалом нападения, чем ожидается в предопределенной среде ОО;
h) тестирование проникновения—тестирование, выполняемое с целью сделать заключение о пригодности к использованию в предопределенной среде ОО идентифицированных потенциальных уязвимостей ОО.
-
11.9.2.4 Действие AVAJ/LA. 1.1Е
-
11.9.2.4.1 Шаг оценивания 2:AVA_VLA.1-1
ИСО/МЭК 15408-3 AVA_VLA. 1.1 С: Документация анализа уязвимостей должна содержать описание анализа поставляемых материалов ОО, выполненного для поиска явных способов, которыми пользователь может нарушить ПБО.
ИСО/МЭК 15408-3 AVA_VLA.1 2С: Документация анализа уязвимостей должна содержать описание решения в отношении явных уязвимостей.
ИСО/МЭК 15408-3 AVA_VLA.1 .ЗС: Документация анализа уязвимостей должна показать для всех идентифицированных уязвимостей, что ни одна из них не может быть использована в предполагаемой среде ОО.
Оценщик должен исследовать материалы анализа уязвимостей, выполненного разработчиком, чтобы сделать заключение, вся ли относящаяся к этому анализу информация рассмотрена при поиске явных уязвимостей.
Предполагается, что анализ уязвимостей, выполненный разработчиком, охватывает поиск разработчиком явных уязвимостей, по меньшей мере, во всех поставляемых для оценки материалах и общедоступных источниках информации. Оценщику следует использовать поставляемые для оценки материалы не для выполнения независимого анализа уязвимостей (что не требуется AVA_VLA.1 «Анализ уязвимостей разработчиком»), а как основу для оценки поиска разработчиком явных уязвимостей.
Информация в общедоступных источниках является очень динамичной. Поэтому возможно, что о новых уязвимостях будет сообщено в общедоступных источниках в период между временем, когда разработчик выполняет анализ уязвимостей, и временем завершения oi (енки Моментом прекращения мониторинга информации в общедоступных источниках является выпуск органом оценки результатов оценки; поэтому за указаниями следует обращаться к органу оценки.
-
11.9.2.4.2 Шаг оценивания 2:AVA_VLA.1-2
Оценщик должен исследовать материалы анализа уязвимостей, выполненного разработчиком, чтобы сделать заключение, описана ли каждая явная уязвимость и дано ли обоснование того, почему она является непригодной для использования в предопределенной среде ОО.
Предполагается, что разработчик выполнил поиск явных уязвимостей, основываясь на знании ОО и информации из общедоступных источников. Требование задано только по идентификации явных уязвимостей, при этом подробный анализ не предполагается. Разработчик фильтрует эту информацию на основе вышеизложенного определения и показывает, что явные уязвимости являются непригодными для использования в предопределенной среде.
Оценщику необходимо обратить внимание на три аспекта анализа, выполненного разработчиком:
-
a) были ли при анализе разработчиком рассмотрены все поставляемые для оценки материалы;
-
b) приняты ли соответствующие меры для предотвращения использования явных уязвимостей в предопределенной среде;
-
c) остались ли некоторые явные уязвимости неидентифицированными.
Оценщику не следует беспокоиться, являются ли идентифицированные уязвимости явными или не являются, если это не используется разработчиком в качестве основы для заключения о непригодности уязвимостей для использования. В этом случае оценщик проверяет правильность утверждений, делая заключение о противодействии нарушителю с низким потенциалом нападения по отношению к идентифицированной уязвимости.
Понятие «явные уязвимости» не связано с понятием «потенциал нападения». Последний определяется оценщиком в ходе независимого анализа уязвимостей. Так как эти действия не выполняются для AVA VLA.1 «Анализ уязвимостей разработчиком», то обычно поиск и фильтрация информации на основе потенциала нападения оценщиком не осуществляются. Однако оценщик может еще обнаружить потенциальные уязвимости в ходе оценки, а заключение, как их следует учитывать, сделать путем ссылки на определение явных уязвимостей и понятие низкого потенциала нападения.
Заключение, остались ли некоторые явные уязвимости неидентифицированными, ограничивается оценкой правильности анализа, выполненного разработчиком, сравнением с информацией об уязвимостях из общедоступных источников, а также сравнением с любыми последующими уязвимостями, идентифицированными оценщиком в ходе выполнения других действий по оценке.
Уязвимость считают непригодной для использования, если выполнено одно или более условие из следующих условий:
а) функции или меры безопасности в (ИТ или не-ИТ) среде предотвращают использование уязвимости в предопределенной среде. Например, ограничивая физический доступ к ОО только уполномоченными пользователями, можно фактически сделать уязвимость 00 к вмешательству непригодной для использования;
-
b) уязвимость является пригодной для использования, но только нарушителями, обладающими умеренным или высоким потенциалом нападения. Например, уязвимость распределенного ОО к нападениям, связанным с перехватом сеанса, требует потенциала нападения выше, чем необходимо для использования явной уязвимости. Такие уязвимости должны быть приведены в ТОО в качестве остаточных уязвимостей;
-
c) в ЗБ либо не утверждается о противостоянии определенной угрозе, либо не утверждается о следовании определенной политике безопасности организации, которая может быть нарушена. Например, для межсетевого экрана, в ЗБ которого не заявлена политика доступности и который уязвим к TCP SYN-атакам (нападение на общепринятый протокол Интернета, которое лишает хосты способности обслуживания запросов на соединение), не следует делать отрицательного заключения по данному действию оценщика только на основе одной этой уязвимости.
Руководство по определению потенциала нападения, необходимого для использования уязвимости, см. вА.8 «Стойкость функций безопасности и анализ уязвимостей» (приложение А).
-
11.9.2.4.3 Шагоценивания 2:AVA_VI_A.1-3
Оценщик должен исследовать материалы анализа уязвимостей, выполненного разработчиком, чтобы сделать заключение, согласуются ли они с ЗБ и руководствами.
Анализ уязвимостей разработчиком может быть направлен на некоторую уязвимость с предложением конкретных конфигураций или настроек функций ОО. Если такие ограничения применения считают действенными и согласованными с ЗБ, то предполагают, что все такие конфигурации/настройки адекватно описаны в руководствах, чтобы их мог применить потребитель.
-
11.9.2.5 Действие AVAJ/LA. 1.2Е
-
11.9.2.5.1 Шагоценивания2:А\/А_у1-А.1-4
Оценщик должен подготовить тесты проникновения, основываясь на материалах анализа уязвимостей, выполненного разработчиком.
Оценщик готовит к тестированию проникновения:
-
a) то, что необходимо, чтобы попытаться опровергнуть анализ разработчика в случаях, когда обоснование разработчиком непригодности уязвимости для использования является, по мнению оценщика, сомнительным;
-
b) то, что необходимо, чтобы сделать заключение о восприимчивости ОО, находящегося в своей предопределенной среде, к явной уязвимости, не рассмотренной разработчиком. Оценщику необходимо иметь доступ к текущей информации (например, от органа оценки) о явных уязвимостях из общедоступных источников, которые могли быть не рассмотрены разработчиком; оценщик также мог идентифицировать потенциальные уязвимости в результате выполнения других действий по оценке.
Не предполагается тестирования оценщиком на предмет наличия уязвимостей (в том числе известных из общедоступных источников), помимо тех, которые являются явными. Однако в некоторых случаях необходимо будет выполнить тест прежде, чем пригодность к использованию может быть определена. Если в результате исследований в ходе оценки оценщик обнаружит некоторую уязвимость, не относящуюся к явным, то она должна быть приведена 8 ТОО как остаточная уязвимость.
Поняв предполагаемую явную уязвимость, оценщик определяет наиболее подходящий способ протестировать восприимчивость ОО. В частности, оценщик рассматривает:
-
a) интерфейсы функций безопасности, которые будут использованы для инициирования выполнения ФБО и наблюдения их реакции;
-
b) начальные условия, которые будут необходимы для выполнения теста (т.е. какие-либо конкретные объекты или субъекты, которые будут необходимы, и атрибуты безопасности, которые им необходимо будет иметь);
-
c) специальное оборудование для тестирования, которое потребуется либо для инициирования функции безопасности, либо для наблюдения за функцией безопасности (хотя маловероятно, что специальное оборудование потребовалось бы для использования явной уязвимости).
Оценщик, вероятно, посчитает целесообразным выполнить тестирование проникновения, используя ряд наборов тестов, где каждый набор тестов будет использован для тестирования конкретной явной уязвимости.
-
11.9.2.5.2 Шагоценивания 2:AVA_VLA.1-5
Оценщик должен разработать тестовую документацию для тестов проникновения, основанных на материалах анализа уязвимостей, выполненного разработчиком, детализация которой достаточна, чтобы обеспечить воспроизводимость тестов. Тестовая документация должна включать в себя:
-
a) идентификацию тестируемой явной уязвимости 00;
-
b) инструкции по подключению и настройке всего необходимого тестового оборудования, как требуется для проведения конкретного теста проникновения:
-
c) инструкции по установке всех предварительных начальных условий выполнения теста проникновения;
-
d) инструкции по инициированию ФБО;
-
e) инструкции по наблюдению режима выполнения ФБО;
-
f) описание всех ожидаемых результатов и анализа, который следует проводить по отношению к наблюдаемому режиму выполнения ФБО для сравнения с ожидаемыми результатами;
д) инструкции по завершению теста и установке необходимого посттестового состояния ОО.
Цель данного уровня детализации в тестовой документации — предоставить возможность другому оценщику повторить тесты и получить эквивалентный результат.
-
11.9.2.5.3 Шаг оценивания 2:AVA_VLA.1-6
Оценщик должен провести тестирование проникновения, основываясь на материалах анализа уязвимостей, выполненного разработчиком.
Оценщик использует документацию для тестов проникновения, подготовленных на шаге оценивания AVA_VLA. 1-4, как основу для выполнения тестов проникновения по отношению к ОО, но это не препятствует оценщику выполнить дополнительные специальные тесты проникновения. Если потребуется, оценщик может подготовить специальные тесты в результате изучения информации в процессе тестирования проникновения, которые, если были выполнены оценщиком, должны быть внесены в документацию для тестов проникновения. Такие тесты могут быть необходимы, чтобы исследовать непредвиденные результаты или наблюдения, а также потенциальные уязвимости, существование которых предположил оценщик во время предварительно запланированного тестирования.
-
11.9.2.5.4 Шагоценивания2:АУА_У1А.1-7
Оценщик должен зафиксировать фактические результаты выполнения тестов проникновения.
Хотя некоторые специфические детали фактических результатов выполнения тестов могут отличаться от ожидаемых (например, поля времени и даты в записи аудита), общий результат должен быть идентичным. Любые различия следует логически обосновать.
-
11.9.2.5.5 Шаг оценивания 2:AVA_VLA.1-8
Оценщик должен исследовать результаты всего тестирования проникновения и выводы по всему анализу уязвимостей, чтобы сделать заключение, что ОО (в своей предопределенной среде) не имеет пригодных для использования явных уязвимостей.
Если результаты показывают, что ОО имеет явные уязвимости, пригодные для использования в его предопределенной среде, то это приводит к отрицательному вердикту по данному действию оценщика.
11 .Э.2.5.6 Шаг оценивания 2:AVA_VLA.1-9
Оценщик должен привести в ТОО информацию об усилиях оценщика по тестированию проникновения, кратко изложив подход к тестированию, тестируемую конфигурацию, глубину и результаты тестирования.
Информация о тестировании проникновения, приводимая в ТОО, позволяет оценщику передать общий подход к тестированию проникновения и усилия, затраченные на этот подвид деятельности. Цель предоставления данной информации состоит в том, чтобы привести краткий содержательный обзор усилий оценщика по тестированию проникновения. Это не означает, что информация в ТОО относительно тестирования проникновения является точным воспроизведением конкретных шагов тестирования или результатов отдельных тестов проникновения. Целью является предоставить достаточные подробности, чтобы позволить другим оценщикам и сотрудникам органов оценки понять выбранный подход к тестированию проникновения, объем выполненного тестирования проникновения, тестируемые конфигурации ОО и общий результат действий по тестированию проникновения.
Информация об усилиях оценщика по тестированию проникновения, которую обычно можно найти в соответствующем разделе ТОО, включает в себя;
-
a) тестируемые конфигурации ОО. Конкретные конфигурации ОО. которые были подвергнуты тестированию проникновения;
-
b) функции безопасности, подвергнутые тестированию проникновения. Краткий перечень функций безопасности, на которых было сосредоточено тестирование проникновения;
-
c) вердикт поданному подвиду деятельности. Общее решение по результатам тестирования проникновения.
Данный перечень ни в коем случае не является исчерпывающим и предназначен только для того, чтобы дать некоторое представление о типе информации, касающейся тестирования проникновения, выполненного оценщиком в процессе оценки, которую следует привести в ТОО
11.9.2.5.7 Шаг оценивания 2:AVA_VLA. 1 -10
Оценщик должен привести в ТОО информацию обо всех пригодных для использования уязвимостях и остаточных уязвимостях, детализируя для каждой:
-
a) ее источник (например, стала известна при выполнении действий ОМО, известна оценщику, прочитана в публикации);
-
b) связанную с ней функцию (функции) безопасности, недостигнутую цель (цели), нарушенную политику (политики) безопасности организации, реализованную угрозу (угрозы);
-
c) описание;
-
d) пригодна ли она для использования в предопределенной среде или нет (т.е. пригодная для использования или является остаточной уязвимостью);
-
e) идентификацию участника оценки (например, разработчик, оценщик), который ее идентифицировал.
12 Оценка по ОУДЗ
-
12.1 Введение
ОУДЗ обеспечивает умеренный уровень доверия. Для обеспечения понимания режимов безопасного функционирования ОО функции безопасности анализируют с использованием функциональной спецификации, документации руководств и проекта верхнего уровня ОО. Данный анализ должен быть поддержан независимым тестированием подмножества функций безопасности ОО, свидетельством тестирования разработчиком, основанным на функциональной спецификации и проекте верхнего уровня, выборочным под-тверждением результатов тестирования разработчиком, анализом стойкости функций безопасности и свидетельством поиска разработчиком явных уязвимостей. Дополнительно доверие достигают применением мер управления средой разработки, управления конфигурацией ОО и свидетельства безопасных процедур поставки.
-
12.2 Цели
Цель данного раздела заключается в определении минимальных усилий, необходимых для успешного выполнения оценки по ОУДЗ, и в предоставлении руководства по способам и средствам выполнения оценки.
-
12.3 Организация оценки по ОУДЗ
Оценка по ОУДЗ предусматривает следующее:
-
a) задачу получения исходных данных для оценки (раздел 7);
-
b) виды деятельности по оценке по ОУДЗ, включающие в себя:
-
1) оценку ЗБ (раздел 9);
-
2) оценку управления конфигурацией (12.4);
-
3) оценку документов поставки и эксплуатации (12.5);
-
4) оценку документов разработки (12.6);
-
5) оценку руководств (12.7);
-
6) оценку поддержки жизненного цикла (12.8);
-
7) оценку тестов (12.9);
-
8) тестирование (12.9);
-
9) оценку оценки уязвимостей (12.10);
-
c) задачу оформления результатов оценки (раздел 7).
Виды деятельности по оценке следуют из требований доверия ОУДЗ, содержащихся в ИСО/МЭК 15408-3.
Оценка ЗБ начинается до выполнения любых подвидов деятельности по оценке ОО, так как ЗБ обеспечивает основание и контекст для выполнения этих подвидов деятельности.
В настоящем разделе приведено описание подвидов деятельности, выполняемых при оценке по ОУДЗ. Хотя выполнение подвидов деятельности может, в общем случае, начинаться более или менее случайным образом, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком.
Руководство по учету зависимостей см. в А.4 «Зависимости» (приложение А).
-
12.4 Вид деятельности «Управление конфигурацией»
Цель вида деятельности «Управление конфигурацией» состоит в том, чтобы помочь потребителю в илентификж (ии ш (яменногп ОО и удостовериться я том, что элементы конфигуря) (ии уникально идентифицированы, а также удостовериться в адекватности процедур, используемых разработчиком для управления и отслеживания изменений, вносимых в ОО. При этом детально должно быть рассмотрено, какие изменения отслеживают и каким образом вносят потенциальные изменения.
-
12.4.1 Оценка возможностей УК (АСМ_САР.З)
-
12.4.1.1 Цели
-
Цель данного подвида деятельности—сделать заключение, четко ли разработчик идентифицировал ОО и связанные с ним элементы конфигурации, а также контролируется ли должным образом возможность изменения этих элементов.
-
12.4.1.2 Исходные данные
Свидетельства оценки для этого подвида деятельности:
-
a) ЗБ;
-
b) ОО, пригодный для тестирования;
-
c) документация управления конфигурацией.
-
12.4.1.3 Действие АСМ_САР.З.1Е
-
12.4.1.3.1 Шаг оценивания 3:АСМ_САР.З-1
-
ИСО/МЭК 15408-3 АСМ_САР.3.1 С: Маркировка ОО должна быть уникальна для каждой версии ОО. Оценщик должен проверить, что версия ОО, представленная для оценки, уникально маркирована.
Оценщику следует использовать систему УК, применяемую разработчиком, для подтверждения уникальности маркировки, проверяя список конфигурации с целью удостовериться, что элементы конфигурации уникально идентифицированы. Свидетельство уникальной маркировки версии ОО, представленной для оценки, может оказаться неполным, если во время оценки была исследована только одна версия; поэтому оценщику необходимо выяснить систему маркирования, которая может поддерживать уникальную маркировку (например, используя цифры, буквы или даты). Тем не менее, отсутствие какой-либо маркировки обычно будет приводить к отрицательному вердикту по этому требованию, пока оценщик не будет уверен в возможности уникальной идентификации ОО.
Оценщику следует стремиться исследовать несколько версий ОО (например, полученных в ходе доработки после обнаружения уязвимости) для проверки того, что любые две версии маркированы по-разному.
-
12.4.1.3.2 Шаг оценивания 3:АСМ_САР.З-2
ИСО/МЭК 15408-3 АСМ_САР.3.2С: ОО должен быть помечен маркировкой.
Оценщик должен проверить, чтоОО, представленный для оценки, имеет собственную маркировку.
Оценщику следует удостовериться, что ОО содержит уникальную маркировку, позволяющую различать разные версии ОО. Этого можно достичь, используя помеченную упаковку или носители, или же метку, отображаемую ОО при функционировании, что обеспечивает потребителю возможность идентификации ОО (например, в месте приобретения или использования).
ОО может предоставить способ, посредством которого он может быть легко идентифицирован. Например, программный ОО может отображать свое наименование и номер версии при запуске программы или в ответ на запрос через командную строку. Аппаратный или программно-аппаратный ОО может быть идентифицирован путем физического нанесения на нем соответствующего номера.
-
12.4.1.3.3 Шаг оценивания 3:АСМ_САР,3-3
Оценщик должен проверить непротиворечивость используемой маркировки ОО.
Если ОО помечен несколько раз, то необходима согласованность меток. Например, должна быть возможность связать любое помеченное руководство, поставляемое в составе ОО, с оцененным функционирующим ОО. Таким образом обеспечивается уверенность потребителя в том, что он приобрел оцененную версию ОО, установил эту же версию и располагает надлежащей версией руководства, необходимой для функционирования данного ОО в соответствии с его ЗБ. Оценщик может использовать список конфигурации, который является частью представленной документации УК, чтобы верифицировать согласованное использование идентификаторов.
Оценщик также верифицирует, что маркировка ОО согласована с ЗБ.
Руководство по анализу непротиворечивости см. вА.З «Анализ непротиворечивости» (приложение А).
-
12.4.1.3.4 Шаг оценивания 3:АСМ_САР.З-4
ИСО/МЭК 15408-3 АСМ_САР.З.ЗС: Документаций УК должна включать в себя список конфигурации и план УК.
Оценщик должен проверить, что представленная документация УК включает в себя список конфигурации.
Список конфигурации идентифицирует элементы, находящиеся под управлением конфигурацией.
-
12.4.1.3.5 Шаг оценивания 3:АСМ_САР.З-5
Оценщик должен проверить, что представленная документация УК содержит план УК.
-
12.4.1.3.6 Шаг оценивания 3:АСМ_САР.З-6
ИСО/МЭК 15408-3 АСМ_САР.3.4С: Список конфигурации должен уникально идентифицировать все элементы конфигурации, входящие в ОО.
Оценщик должен проверить, что список конфигурации уникально идентифицирует каждый элемент конфигурации.
Список конфигурации содержит список элементов конфигурации, которые составляют ОО, вместе с достаточной информацией для уникальной идентификации, какая версия каждого элемента была использована (обычно номер версии). Использование этого списка позволит оценщику проверить, что во время оценки были использованы соответствующие элементы конфигурации и соответствующая версия каждого элемента.
-
12.4.1.3.7 Шаг оценивания 3:АСМ_САР.З-7
ИСО/МЭК 15408-3 АСМ_САР.3.5С: Слисок конфигурации должен содержать описание элементов конфигурации, входящих в ОО
Оценщик должен исследовать список конфигурации, чтобы сделать заключение, что он идентифицирует элементы конфигурации, входящие в состав ОО.
Минимальный состав элементов конфигурации, которые необходимо включить в список конфигурации, задается требованиями семейства ACM_SCP «Область УК».
-
12.4.1.3.8 Шаг оценивания 3:АСМ_САР.З-8
ИСО/МЭК 15408-3 АСМ_САР.3.6С: Документация УК должна содержать описание метода, используемого для уникальной идентификации элементов конфигурации, входящих в ОО.
Оценщик должен исследовать способ идентификации элементов конфигурации, чтобы сделать заключение, что он описывает, каким образом элементы конфигурации идентифицируют уникально.
-
12.4.1.3.9 Шаг оценивания 3:АСМ_САР.З-9
ИСО/МЭК 15408-3 АСМ_САР.3.7С: Система УК должна уникально идентифицировать все элементы конфигурации, входящие в ОО.
Оценщик должен исследовать элементы конфигурации с целью сделать заключение, что способ их идентификации соответствует документации УК.
Доверие к тому, что система УК однозначно идентифицирует все элементы конфигурации, должно быть достигнуто путем изучения идентификаторов элементов конфигурации. Как для элементов конфигурации, которые составляют ОО, так и для проектов элементов конфигурации, которые представлены разработчиком в качестве свидетельств оценки, оценщик подтверждает, что каждый элемент конфигурации обладает уникальным идентификатором в соответствии с методом уникальной идентификации, описанным в документации УК.
-
12.4.1.3.10 Шаг оценивания 3: АСМ_САР.З-10
ИСО/МЭК 15408-3 АСМ САР.3.8С: План УК должен содержать описание, как используется система УК.
Оценщик должен исследовать план УК, чтобы сделать заключение, что он описывает, как система УК используется в целях сохранения целостности элементов конфигурации ОО.
Описания, содержащиеся в плане УК, могут включать в себя:
-
a) все операции, выполняемые в среде разработки ОО, которые подчинены процедурам управления конфигурацией (например, создание, модификация или удаление элемента конфигурации):
-
b) роли и обязанности лиц, требуемые для выполнения операций на отдельных элементах конфигурации (для различных типов элементов конфигурации, например, для документации и исходного кода, могут быть идентифицированы различные роли);
-
c) процедуры, используемые для обеспечения того, чтобы только уполномоченные лица могли изменять элементы конфигурации;
-
d) процедуры, используемые для исключения проблем параллелизма, возникающих в результате одновременных изменений элементов конфигурации;
-
e) свидетельство, генерируемое в результате применения процедур. Например, при изменении элемента конфигурации система УК могла бы зафиксировать описание изменения, ответственность за изменение. идентификацию всех затронутых элементов конфигурации, статус изменения (например, «не завершено» или «завершено»), а также дату и время внесения изменения. Эта информация могла бы быть внесена в журнал аудита проведенных изменений или в протокол контроля изменений;
-
f) подход к контролю версий и уникальной маркировке версий ОО (охватывающий, например, выпуск исправлений («патчей») для операционных систем и последующее обнаружение их применения).
-
12.4.1.3.11 Шаг оценивания 3:АСМ_САР.З-11
ИСО/МЭК 15408-3 АСМ_САР.3.9С: Свидетельство должно демонстрировать, что система УК действует в соответствии с планом УК.
Оценщик должен проверить документацию УК, чтобы удостовериться, что она включает в себя записи системы УК, определенные планом УК.
Выходные материалы системы УК должны обеспечивать свидетельство, позволяющее оценщику быть уверенным, что план УК применяется, а все элементы конфигурации поддерживаются системой УК, как это требуется в АСМ_САР.3.10С. Пример выходных материалов мог бы включать в себя формы контроля изменений или формы разрешения доступа к элементам конфигурации.
-
12.4.1.3.12 Шаг оценивания 3:АСМ_САР.З-12
Оценщик должен исследовать свидетельство, чтобы сделать заключение, что система УК используется в соответствии с планом УК.
Оценщику необходимо осуществить и исследовать выборку из свидетельства, охватывающую каждый тип операций под УК, выполняемых на элементах конфигурации (например, создание, модификация, удаление, возврат к более ранней версии), с целью подтвердить, что все операции системы УК выполнены в соответствии с задокументированными процедурами. Оценщик подтверждает, что свидетельство включает 8 себя всю информацию, идентифицированную для этой операции в плане УК. При исследовании свидетельства может потребоваться доступ к используемым инструментальным средствам УК. Оценщику разрешается остановиться на выборочной проверке свидетельства.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
Дополнительная уверенность в правильном функционировании системы УК и эффективном сопровождении элементов конфигурации может быть получена проведением интервью с отобранными для этого участниками разработки. При проведении подобных интервью оценщику следует стремиться более глубо ко понять практическое применение системы УК, а также убедиться, что процедуры УК применяются в соответствии с документацией УК. Однако такие интервью следует проводить скорее в дополнение, а не вместо изучения документального свидетельства; при этом они могут и не потребоваться, если документальное свидетельство полностью удовлетворяет требованиям. Тем не менее, учитывая широкую область применения плана УК, возможно, что некоторые аспекты (например, роли и обязанности) могут быть непонятны из одного только плана и протоколов УК. Это один из случаев, когда для дополнительного разъяснения понадобится интервью.
Предполагается, что для поддержки этих действий оценщик посетит объект разработки.
Руководство по посещению объектов см. в А.5 «Посещение объектов» (приложение А).
-
12.4.1.3.13 Шаг оценивания 3:АСМ_САР.З-13
ИСО/МЭК 15408-3 АСМ_САР.3.10С: Документация УК должна содержать свидетельство, что система УК действительно сопровождала и продолжает эффективно сопровождать все элементы конфигурации.
Оценщик должен проверить, что элементы конфигурации, идентифицированные в списке конфигурации, сопровождаются системой УК.
Система УК, используемая разработчиком, предназначена для поддержания целостности ОО. Оценщику следует проверить, чтобы для каждого типа элементов конфигурации (например, проекта верхнего уровня или модулей исходного кода), содержащегося в списке конфигурации, были примеры свидетельства, сгенерированного процедурами, описанными в плане УК. В этом случае подход к выборке будет зависеть от степени детализации, используемой в системе УК при управлении элементами конфигурации. Если, например, в списке конфигурации идентифицированы 10000 модулей исходного кода, то следует применить стратегию выборки, отличающуюся от применяемой в случае, когда их только пять или всего один. Особое внимание в данном виде деятельности следует уделить тому, чтобы убедиться в правильном функционировании системы УК, а не обнаружению какой-либо незначительной ошибки.
Руководства по выборке см. в А.2 «Выборка» (приложение А).
-
12.4.1.3.14 Шаг оценивания 3:АСМ_САР.З-14
ИСО/МЭК 15408-3 АСМ_САР.3.11С: Система УК должна предусмотреть такие меры, при которых в элементах конфигурации могут быть сделаны только санкционированные изменения.
Оценщик должен исследовать меры контроля доступа в УК, описанные в плане УК, чтобы сделать заключение об их эффективности по предотвращению несанкционированного доступа к элементам конфигурации.
Оценщик может использовать несколько методов для заключения об эффективности мер контроля доступа в УК. Например, оценщик может опробовать меры контроля доступа, чтобы удостовериться, что процедуры нельзя обойти. Оценщик может использовать выходные материалы, сгенерированные процедурами системы УК и уже подвергнутые исследованию на шаге оценивания АСМ_САР.З-12. Оценщику может быть также продемонстрирована система УК, чтобы он убедился, что используемые меры контроля доступа выполняются эффективно.
-
12.4.2 Оценка области УК (ACM_SCP.1)
-
12.4.2.1 Цели
-
Цель данного подвида деятельности — сделать заключение, выполняет ли разработчик управление конфигурацией для представления реализации 00, проекта, тестов, руководств администратора и пользователя, а также документации УК.
-
12.4.2.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является список элементов конфигурации.
-
12.4.2.3 Действие ACM_SCP. 1.1Е
-
12.4.2.3.1 Шаг оценивания 3:ACM_SCP. 1 -1
-
ИСО/МЭК 15408-3 ACM_SCP.1.1 С: Список элементов конфигурации должен включать следующее: представление реализации и свидетельства оценки, требуемые компонентами доверия из ЗБ.
Оценщик должен проверить, что список элементов конфигурации содержит совокупность элементов, требуемую ИСО/МЭК 15408.
Как минимум, список должен содержать следующее:
-
a) представление реализации ОО (т.е. компоненты или подсистемы, которые составляют ОО). Для полностью программного ОО представление реализации может состоять только из исходного кода; для ОО, который включает в себя аппаратную платформу, представление реализации может ссылаться на комбинацию программных и программно-аппаратных средств и описание аппаратных средств;
-
b) свидетельства оценки, требуемые компонентами доверия в ЗБ.
12.5 Вид деятельности «Поставка и эксплуатация»
Вид деятельности «Поставка и эксплуатация» предназначен для определения достаточности документации по процедурам, используемым для обеспечения установки, генерации и запуска ОО способом, предусмотренным разработчиком, а также для обеспечения поставки ОО без модификаций. Сюда включены процедуры, выполняемые как при пересылке ОО, так и при установке, генерации и запуске.
-
12.5.1 Оценка поставки (ADO_DEL.1)
-
12.5.1.1 Цели
Цель данного подвида деятельности — сделать заключение, описаны ли в документации поставки все процедуры, применяемые для поддержания безопасности ОО при его распространении по объектам использования.
-
12.5.1.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является документация поставки.
-
12.5.1.3 Действие ADO_DEL. 1.1Е
-
12.5.1.3.1 Шаг оценивания 3:ADO_DEL.1-1
ИСО/МЭК 15408-3 ADO_DEL. 1.1 С: Документация поставки должна содержать описание всех процедур, необходимых для поддержки безопасности при распространении версий ОО к местам использования.
Оценщик должен исследовать документацию поставки, чтобы сделать заключение, описаны ли в ней все процедуры, необходимые для поддержания безопасности при распространении версий ОО или его составляющих по объектам использования.
При интерпретации термина «необходимые» требуется учитывать природу ОО и информацию, содержащуюся в ЗБ. Уровень предоставляемой защиты должен быть соразмерен с предположениями, угрозами, политикой безопасности организации и целями безопасности, идентифицированными в ЗБ. В некоторых случаях они могут не быть явно выражены по отношению к поставке. Оценщику следует сделать заключение о сбалансированности выбранного подхода, при котором поставка не является очевидно слабым звеном по отношению к безопасному в остальном процессу разработки.
В документации поставки должны быть описаны надлежащие процедуры для определения идентификации ОО и поддержания целостности ОО или его составных частей во время пересылки. В этих процедурах должно быть описано, какие части ОО должны быть охвачены подобными процедурами. В документации поставки должны быть приведены процедуры как для распространения физических копий, так и распространения в электронном виде (например, через Интернет), где это применимо. Процедуры поставки относятся к ОО в целом, включая применяемое программное обеспечение, аппаратные средства, программно-аппаратные средства и документацию.
Акцент в документации поставки, вероятно, будет сделан на мерах, связанных с целостностью, поскольку для поддержки целостности ОО в процессе его поставки требуется применение технических мер. Однако при поставке некоторых ОО должны быть обеспечены конфиденциальность и доступность; процедуры, относящиеся к этим аспектам безопасной поставки, должны также быть рассмотрены в документации.
Процедуры поставки следует применять на всех стадиях поставки от среды производства до среды установки (например, при упаковке, хранении и распространении).
Приемлема стандартная коммерческая практика упаковки и поставки. Она предусматривает упаковку в пластиковую пленку, применение ленты безопасности или конверта, скрепленного печатью. Для распространения может быть приемлема общедоступная почта или частная служба доставки.
Выбор процедур поставки зависит от ОО (например, является ли он программным или аппаратным) и целей безопасности. Если процедуры поставки различаются для различных частей ОО, то для удовлетворения всех целей безопасности потребуется вся совокупность процедур.
-
12.5.1.4 Подразумеваемое действие оценщика
-
12.5.1.4.1 Шаг оценивания 3:ADO_DEL. 1 -2
ИСО/МЭК 15408-3 ADO_DEL. 1.20: Разработчик должен использовать процедуры поставки.
Оценщик должен исследовать процедуры процесса поставки, чтобы сделать заключение о применении этих процедур.
Подход, предпринятый оценщиком для проверки применения процедур поставки, будет зависеть от природы ОО и самого процесса поставки. В дополнение к исследованию собственно процедур оценщику необходимо получить и определенную уверенность в их действительном применении. Некоторые возможные подходы перечислены ниже.
-
a) Посещение объекта (объектов) распространения, где можно наблюдать практическое применение процедур.
-
b) Исследование ОО на некоторой стадии поставки или на объекте использования (например, проверка наличия печатей для защиты от вмешательства).
-
c) Наблюдение за практическим выполнением процесса при получении ОО оценщиком по обычным каналам.
0) Опрос конечных пользователей о том, как им поставлен ОО.
Руководство по посещению объектов см. в А.5 «Посещение объектов» (приложение А).
Для только что разработанного ОО возможно, что процедуры поставки еще необходимо отработать. В подобных случаях оценщику придется удовлетвориться тем, что имеются соответствующие процедуры и средства выполнения предстоящих поставок и что весь привлекаемый персонал знает свои обязанности. Оценщик может запросить «пробный прогон» поставки, если это практически осуществимо. Если разработчик производит другие подобные продукты, то для приобретения доверия может быть полезно исследование процедур при их применении.
-
12.5.2 Оценка установки, генерации и запуска (ADO_IGS.1)
-
12.5.2.1 Цели
Цель данного подвида деятельности — сделать заключение, были ли задокументированы процедуры и шаги для безопасной установки, генерации и запуска ОО и приводят ли они к безопасной конфигурации.
-
12.5.2.2 Исходные данные
Свидетельства оценки для этого подвида деятельности:
-
a) руководство администратора;
-
b) процедуры безопасной установки, генерации и запуска;
-
c) ОО, пригодный для тестирования.
-
12.5.2.3 Замечания по применению
К рассматриваемым процедурам установки, генерации и запуска относятся все процедуры установки. генерации и запуска, которые необходимы для получения безопасной конфигурации 00. описанной в ЗБ, независимо от того, выполняются ли они на объекте использования или на объекте разработки.
-
12.5.2.4 Действие ADO JGS. 1.1Е
-
12.5.2.4.1 Шаг оценивания 3:ADO_IGS.1-1
ИСО/МЭК 15408-3 ADOJGS.1.1С: Документация установки, генерации и запуска должна содержать описание последовательности всех действий, необходимых для безопасной установки, генерации и запуска ОО.
Оценщикдолжен проверить, чтобы были предоставлены процедуры, необходимые для безопасной установки, генерации и запуска ОО.
Если не ожидается, что процедуры установки, генерации и запуска будут или могут быть повторно применены (например, если ОО поставлен в рабочем состоянии), то данный шаг оценивания (или отдельные его части) не применяют и поэтому считают удовлетворенным.
-
12.5.2.5 Действие ADOJGS. 1,2Е
-
12.5.2.5.1 Шаг оценивания 3:ADO_IGS.1-2
Оценщикдолжен исследовать предоставленные процедуры установки, генерации и запуска, чтобы сделать заключение, что они описывают шаги, необходимые для безопасной установки, генерации и запуска ОО.
Если не ожидается, что процедуры установки, генерации и запуска будут или могут быть повторно применены (например, потому что ОО поставлен 8 рабочем состоянии), то данный шаг оценивания (или отдельные его части) не применяют и поэтому считают удовлетворенным.
Процедуры установки, генерации и запуска могут предоставлять подробную информацию относительно следующего:
-
a) изменения задаваемых при инсталляции характеристик безопасности сущностей, находящихся под управлением ФБО:
-
b) обработки исключительных ситуаций и проблем;
-
c) минимально необходимых системных требований, если они имеются, для безопасной установки ОО.
С целью подтвердить, что процедуры установки, генерации и запуска приводят к безопасной конфигурации, оценщик может следовать процедурам разработчика и выполнить те действия, которые, как предполагается, выполнит потребитель для установки, генерации и запуска ОО (если они применимы для данного ОО), используя только поставленные руководства. Этот шаг оценивания может быть выполнен совместно с шагом оценивания ATE_IND.1-2.
12.6 Вид деятельности «Разработка»
Вид деятельности «Разработка» предназначен для оценки проектной документации на предмет ее достаточности для понимания того, каким образом ФБО предоставляют функции безопасности ОО. Это понимание должно быть достигнуто путем экспертизы все более уточненных описаний в проектной документации ФБО. Проектная документация состоит из функциональной спецификации (которая описывает внешние интерфейсы ОО) и проекта верхнего уровня (который описывает архитектуру ОО в терминах внутренних подсистем). Имеется также описание соответствия представлений (которое отображает представления ОО друг на друга, чтобы продемонстрировать их согласованность).
-
12.6.1 Замечания по применению
Требования ИСО/МЭК 15408 к проектной документации ранжированы по уровню формализации. В ИСО/МЭК 15408 рассмотрены следующие иерархические степени формализации документа: неформальный, полуформальный, формальный. Неформальный документ—это документ, который составлен на естественном языке. Методология не предписывает использовать какой-либо конкретный язык; этот вопрос остается за системой оценки. Ниже дифференцировано содержание различных неформальных документов.
Неформальная функциональная спецификация включает в себя описание функций безопасности (на уровне, подобном уровню представления краткой спецификации ОО) и описание внешне видимых интерфейсов ФБО. Например, если операционная система предоставляет пользователю средства идентификации пользователя, создания, модификации или удаления файлов, установления разрешения другим пользователям на доступ к файлам и взаимодействия с удаленными машинами, то ее функциональная спецификация, как правило, содержит описание каждой из этих функций. Если имеются также функции аудита, связанные с обнаружением и регистрацией таких событий, то описание указанных функций аудита также обычно включают в состав функциональной спецификации; и хотя пользователь формально не обращается к этим функциям непосредственно через внешний интерфейс, на них определенно влияет все то. что происходит на уровне внешнего пользовательского интерфейса.
Неформальный проект верхнего уровня выражается в терминах последовательностей действий, которые происходят в каждой подсистеме в ответ на инициирующее воздействие на ее интерфейсе. Например, межсетевой экран может состоять из подсистем фильтрации пакетов, удаленного администрирования, аудита, фильтрации на уровне соединения. Проект верхнего уровня межсетевого экрана обычно включает в себя описание предпринимаемых действий, а именно того, какие действия предпринимает каждая подсистема, когда входящий пакет поступает на межсетевой экран.
Необязательно, чтобы неформальная демонстрация соответствия была в повествовательной форме; может быть достаточно простого двухмерного отображения (например, в виде таблицы).
-
12.6.2 Оценка функциональной спецификации (ADV_FSP.1)
-
12.6.2.1 Цели
Цель данного подвида деятельности — сделать заключение, предоставил ли разработчик адекватное описание функций безопасности ОО и достаточны ли функции безопасности, предоставляемые ОО, для удовлетворения функциональных требований безопасности, изложенных 8 ЗБ.
-
12.6.2.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) руководство пользователя;
-
d) руководство администратора.
-
12.6.2.3 Действие ADV_FSP. 1.1Е
-
12.6.2.3.1 Шаг оценивания 3:ADV_FSP. 1-1
ИСО/МЭК 15408-3 ADV_FSP.1,1С: Функциональная спецификация должна содержать неформальное описание ФБО и их внешних интерфейсов.
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, содержит ли она весь необходимый неформальный пояснительный текст.
Если вся функциональная спецификация является неформальной, то рассматриваемый шаг оценивания не применяют и поэтому считают удовлетворенным.
Для тех частей функциональной спецификации, которые трудны для понимания только на основе полуформального или формального описания, необходимо вспомогательное описание 8 повествовательной форме (например, чтобы пояснить значения всех формальных обозначений).
-
12.6.2.3.2 Шаг оценивания 3:ADV_FSP. 1-2
ИСО/МЭК 15408-3 ADV_FSP. 1.2С: Функциональная спецификация должна быть внутренне непротиворечивой.
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение о ее внутренней непротиворечивости.
Оценщик подтверждает, что функциональная спецификация непротиворечива, удостоверившись, что описание интерфейсов, составляющих ИФБО, согласовано с описанием функций ФБО.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
12.6.2.3.3 Шаг оценивания 3:ADV_FSP. 1-3
ИСО/МЭК 15408-3 ADV_FSP. 1 .ЗС: Функциональная спецификация должна содержать описание назначения и методов использования всех внешних интерфейсов ФБО, обеспечивая, где это необходимо, детализацию результатов, нештатных ситуаций и сообщений об ошибках.
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, определены ли в ней все внешние интерфейсы функций безопасности ОО.
Термин «внешний» относится к тому интерфейсу, который является видимым для пользователя. Внешние интерфейсы ОО — это либо непосредственно интерфейсы ФБО, либо интерфейсы не-ФБО-частей ОО. Однако и через не-ФБО-интерфейсы возможен доступ к ФБО. Эти внешние интерфейсы, которые прямо или косвенно обращаются к ФБО, совместно составляют интерфейс функций безопасности ОО (ИФБО). На рисунке 9 показан ОО, включающий в себя ФБО-части (заштрихованы) и не-ФБО-части (не заштрихованы). Данный 00 имеет три внешних интерфейса: интерфейс с — непосредственный интерфейс ФБО: интерфейс b — косвенный интерфейс ФБО; интерфейс а — интерфейс не-ФБО-частей ОО. Таким образом, интерфейсы b и с составляют ИФБО
Рисунок 9 — Интерфейсы ФБО
Следует отметить, что все функции безопасности, отраженные в функциональных требованиях из ИСО/МЭК 15408-2 (или в компонентах, дополнительных по отношению к ИСО/МЭК 15408-2), будут иметь своего рода внешне видимые проявления. И хотя не обязательно все из них являются интерфейсами, через которые могут быть протестированы функции безопасности, все они до некоторой степени являются внешне видимыми, а поэтому должны быть включены в функциональную спецификацию.
Руководство по определению границ 00 см. в А.6 «Границы ОО» (приложение А).
-
12.6.2.3.4 Шаг оценивания 3:ADV_FSP. 1-4
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, описаны ли в ней все внешние интерфейсы функций безопасности 00.
Для ОО, по отношению к которому не имеется угроз, связанных с действиями злонамеренных пользователей (т.е. в его ЗБ справедливо не включены компоненты требований из семейств FPT_PHP «Физическая защита ФБО», FPT_RVM «Посредничество при обращениях» и FPT_SEP «Разделение домена»), в функциональной спецификации (и более подробно в описании других представлений ФБО) должны быть описаны только интерфейсы ФБО. Отсутствие в ЗБ компонентов требований из семейств FPT_PHP, FPT_RVM и FPTSEP предполагает, что никакие способы обхода свойств безопасности не рассматриваются, а поэтому не рассматривается какое-либо воздействие, которое другие интерфейсы могли бы оказывать на ФБО.
С другой стороны, если по отношению к ОО имеются угрозы, связанные с действиями злонамеренных пользователей или обходом (т.е. в его ЗБ включены компоненты требований из семейств FPT_PHP «Физическая защита ФБО», FPT_RVM «Посредничество при обращениях» и FPT_SEP «Разделение домена»), то в функциональной спецификации должны быть описаны все внешние интерфейсы, но только в обьеме, достаточном для понимания их влияния на ФБО: интерфейсы функций безопасности (т.е. интерфейсы Ьисна рисунке 9) должны быть описаны полностью, в то время как другие интерфейсы описывают только 8 объеме, достаточном для понимания того, что ФБО являются недоступными через рассматриваемый интерфейс (т.е. что интерфейс относится к типу а, а не типу b на рисунке 9). Включение компонентов требований из семейств FPT_PHP, FPTRVM и FPT SEP предполагает возможность некоторого влияния всех интерфейсов на ФБО. Поскольку каодый внешний интерфейс—это потенциальный интерфейс ФБО, функциональная спецификация должна содержать описание каждого интерфейса с детализацией, достаточной для того, чтобы оценщик мог сделать заключение, является ли интерфейс значимым с точки зрения безопасности.
Некоторые архитектуры позволяют без особого труда предоставить такое описание интерфейсов с достаточной степенью детализации для групп внешних интерфейсов. Например, архитектура на основе ядра такова, что все вызовы операционной системы обрабатываются программами ядра; любые вызовы, которые могли бы нарушить ПБО, запрашиваются программой, у которой есть соответствующие привилегии. Все программы, выполняемые в привилегированном режиме, должны быть включены в функциональную спецификацию. Все программы, внешние по отношению к ядру и выполняемые в непривилегированном режиме, не способны влиять на ПБО (т.е. такие программы являются интерфейсами типа а, а не b на рисунке 9), а следовательно, могут не быть включены в функциональную спецификацию. Несмотря на то, что архитектура на основе ядра может ускорить понимание оценщиком описания интерфейсов, такая архитектура не является обязательной.
-
12.6.2.3.5 Шаг оценивания 3:ADV_FSP. 1-5
Оценщик должен исследовать представление ИФБО, чтобы сделать заключение, адекватно ли и правильно ли в нем описан режим функционирования ОО на каждом внешнем интерфейсе, включая описание результатов, нештатных ситуаций и сообщений об ошибках.
Оценивая адекватность и правильность представления интерфейсов, оценщик использует функциональную спецификацию, краткую спецификацию ОО из ЗБ, руководства пользователя и администратора, чтобы оценить следующие факторы:
-
a) все ли относящиеся к безопасности, вводимые пользователем параметры (или характеристики этих параметров) определены. Для полноты необходимо, чтобы были определены параметры, которыми пользователь не управляет непосредственно, если они могут быть использованы администраторами;
-
b) все ли относящиеся к безопасности режимы функционирования ОО. описанные 8 рассматриваемых руководствах, отражены при описании семантики в функциональной спецификации. Данное описание включает в себя идентификацию режима функционирования ОО в терминах событий и влияния каждого события. Например, если операционная система имеет развитой интерфейс файловой системы и предусматривает различные коды ошибок для разных причин неоткрытия файла по запросу (например, доступ запрещен, такого файла не существует, файл используется другим пользователем, пользователю не разрешено открывать файл после 5 ч вечера и т.д.), то в функциональной спецификации должно быть пояснено, когда файл открывается по запросу, а когда возвращается код ошибки. (Хотя в функциональной спецификации могут быть перечислены все возможные причины ошибок, особой необходимости в такой детализации нет.) В описание семантики должно быть включено описание того, каким образом требования безопасности применены к интерфейсам (например, является ли использование интерфейса потенциально подвергаемым аудиту событием, и если да, то какая информация может быть зафиксирована);
-
c) все ли интерфейсы описаны для всех возможных режимов работы. Если для ФБО предусмотрено понятие привилегии, то в описании интерфейса необходимо пояснение режимов его функционирования при наличии или отсутствии привилегии;
-
d) вся ли информация, содержащаяся в описании относящихся к безопасности параметров, и синтаксис интерфейса непротиворечивы во всей документации.
Верификацию изложенного выше осуществляют путем анализа функциональной спецификации и краткой спецификации ОО из ЗБ, а также руководств пользователя и администратора, предоставленных разработчиком. Например, если ОО представляет собой операционную систему и ее аппаратную платформу, то оценщик обычно ищет описание доступных для пользователей программ, описание протоколов, используемых для управления программами, описание доступных для пользователей баз данных, используемых для управления программами, и интерфейсов пользователя (например, команд, интерфейсов прикладных программ), которые применимы к оцениваемому ОО; оценщику также следует удостовериться в наличии описания системы команд процессора.
Данное рассмотрение может быть итерационным вследствие того, что оценщик может не обнаружить неполноту функциональной спецификации до тех пор, пока не исследован проект, исходный код или другое свидетельство на предмет наличия параметров или сообщений об ошибках, которые были пропущены в функциональной спецификации.
-
12.6.2.3.6 Шаг оценивания 3:ADV_FSP 1-6
ИСО/МЭК 15408-3 ADV_FSP.1.4C: Функциональная спецификация должна полностью представить ФБО.
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение о полноте представления ФБО.
Для того чтобы оценить полноту представления ФБО, оценщик принимает во внимание краткую спецификацию ОО из ЗБ, руководства пользователя и администратора. Ни в одном из этих документов не должны быть описаны функции безопасности, которые отсутствуют в представлении ФБО в функциональной спецификации.
-
12.6.2.4 Действие ADV_FSP. 1.2Е
-
12.6.2.4.1 Шаг оценивания 3:ADV_FSP. 1-7
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, является ли она полным отображением функциональных требований безопасности ОО.
С целью удостовериться, что все функциональные требования безопасности, определенные в ЗБ, охвачены функциональной спецификацией, оценщик может построить отображение краткой спецификации ОО на функциональную спецификацию. Такое отображение могло быть уже представлено самим разработчиком в качестве свидетельства для удовлетворения требований соответствия представлений (ADV_RCR.*); в этом случае оценщику необходимо только верифицировать полноту данного отображения, удостоверившись, что все функциональные требования безопасности отображены на соответствующие представления ИФБО в функциональной спецификации.
-
12.6.2.4.2 ШагоцениванияЗ:АО\/Е8Р.1-8
Оценщик должен исследовать функциональную спецификацию, чтобы сделать заключение, является ли она точным отображением функциональных требований безопасности ОО.
Для каждого интерфейса функции безопасности с конкретными характеристиками в функциональной спецификации должна иметься подробная информация, в точности соответствующая спецификации в ЗБ. Например, если ЗБ содержит требования аутентификации пользователя на основе пароля длиной в восемь символов, то ОО должен иметь восьмисимвольные пароли; если в функциональной спецификации описаны шестисимвольные пароли фиксированной длины, то функциональная спецификация не является точным отражением требований.
Для каждого интерфейса, описанного в функциональной спецификации, который влияет на управляемый ресурс, оценщик делает заключение, возвращает ли интерфейс в соответствии с одним из требований безопасности некоторый код ошибки, указывающий на возможный сбой; если код ошибки не возвращается, то оценщик делает заключение, необходим ли в этом случае возврат кода ошибки. Например, операционная система может предстаяпятн интерфейс для ОТКРЫТИЯ управляемого объекта Описание этого интерфейса может включать в себя код ошибки, который указывает на то, что доступ к объекту не был санкционирован. Если такого кода ошибки не существует, то оценщику следует подтвердить, что это приемлемо (потому что, возможно, посредничество в доступе выполняется при ЧТЕНИИ и ЗАПИСИ, а не при ОТКРЫТИИ).
-
12.6.3 Оценка проекта верхнего уровня (ADV_HLD.2)
-
12.6.3.1 Цели
Цель данного подвида деятельности — сделать заключение, дано ли в проекте верхнего уровня описание ФБО в терминах основных структурных единиц (т.е. подсистем), описание интерфейсов этих структурных единиц и является ли проект верхнего уровня корректной реализацией функциональной спецификации.
-
12.6.3.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) проект верхнего уровня.
-
12.6.3.3 Действие ADV_HLD.2.1Е
-
12.6.3.3.1 Шаг оценивания 3:ADV_HLD.2-1
ИСО/МЭК 15408-3 ADV_HLD.2.1С: Представление проекта верхнего уровня должно быть неформальным.
Оценщик должен исследовать проект верхнего уровня, чтобы сделать заключение, содержит ли он весь необходимый неформальный пояснительный текст.
Если весь проект верхнего уровня является неформальным, то рассматриваемый шаг оценивания не применяют и поэтому считают удовлетворенным.
Для тех частей проекта верхнего уровня, которые трудны для понимания только на основе полуформального или формального описания, необходимо вспомогательное описание в повествовательной форме (например, чтобы пояснить значения всех формальных обозначений).
-
12.6.3.3.2 Шаг оценивания 3:ADV_HLD.2-2
ИСО/МЭК 15408-3 ADV_HLD.2.2C: Проект верхнего уровня должен быть внутренне непротиворечивым.
Оценщик должен исследовать представление проекта верхнего уровня, чтобы сделать заключение о его внутренней непротиворечивости.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
Оценщик подтверждает правильность спецификаций интерфейсов конкретной подсистемы, удостоверившись, что спецификации интерфейсов согласованы с описанием предназначения данной подсистемы.
-
12.6.3.3.3 Шагоценивания 3:ADV_HLD.2-3
ИСО/МЭК 15408-3 ADV_HLD.2.3C: Проект верхнего уровня должен содержать описание структуры ФБО в терминах подсистем.
Оценщик должен исследовать проект верхнего уровня, чтобы сделать заключение, описана ли структура ФБО в терминах подсистем.
Применительно к проекту верхнего уровня термин «подсистема» относится к большим связанным единицам (таким, какуправление памятью, управление файлами, управление процессами). Разбиение проекта на базовые функциональные области способствует пониманию проекта.
Основная цель исследования проекта верхнего уровня состоит в том, чтобы помочь оценщику в понимании 00. Вариант выделения разработчиком подсистем и группирования функций безопасности в рамках каждой подсистемы является важным аспектом полезности проекта верхнего уровня для понимания предполагаемого функционирования ОО. В качестве части данного шага оценивания оценщику следует выполнить оценку приемлемости числа подсистем, представленных разработчиком, а также варианта группирования функций в рамках подсистем. Оценщику следует удостовериться, что декомпозиция ФБО на подсистемы достаточна для понимания того, каким образом обеспечиваются функциональные возможности ФБО.
Подсистемы, используемые для описания проекта верхнего уровня, не обязательно называются «подсистемами», но необходимо, чтобы они представляли собой подобный уровень декомпозиции. Например, при декомпозиции проекта могут быть использованы понятия «слои» или «менеджеры».
Между вариантом выделения подсистем разработчиком и масштабами проводимого оценщиком анализа могут существовать некоторые взаимозависимости Эти взаимозависимости рассмотрены ниже при описании шага оценивания ADV_HLD.2-10.
-
12.6.3.3.4 Шагоценивания 3:ADV_HLD.2-4
ИСО/МЭК 15408-3 ADV_HLD.2.4C: Проект верхнего уровня должен содержать описание функциональных возможностей безопасности, предоставленных каждой подсистемой ФБО.
Оценщик должен исследовать проект верхнего уровня, чтобы сделать заключение, содержит ли он описание функциональных возможностей безопасности каждой подсистемы.
Описание режима безопасного функционирования подсистемы—это описание того, что делает подсистема. Оно должно включать в себя описание любых действий, выполнение которых может быть предписано подсистеме с учетом ее функций и влияния, которое может оказать подсистема на состояние безопасности ОО (например, изменения в субъектах, объектах, базах данных безопасности).
-
12.6.3.3.5 Шагоценивания 3:ADV_HLD.2-5
ИСО/МЭК 15408-3 ADVJ-ILD.2.5C: Проект верхнего уровня должен идентифицировать любые базовые аппаратные, программно-аппаратные и/или программные средства, требуемые ФБО, с представлением функций, обеспечиваемых поддерживающими механизмами защиты, реализованными в этих аппаратных, программно-аппаратных и/или программных средствах.
Оценщик должен проверить проект верхнего уровня, чтобы сделать заключение, идентифицированы ли в нем все аппаратные, программно-аппаратные и программные средства, требуемые ФБО.
Если ЗБ не содержит требования безопасности для среды ИТ, то рассматриваемый шаг оценивания не применяют и поэтому считают удовлетворенным.
Если ЗБ содержит необязательное изложение требований безопасности для среды ИТ, оценщик сравнивает перечень требуемых ФБО аппаратных, программно-аппаратных и программных средств, приведенный в проекте верхнего уровня, и изложение требований безопасности для среды ИТ, чтобы сделать заключение, согласованы ли они. Информация в ЗБ характеризует базовую абстрактную машину, на базе которой будет функционировать ОО.
Если проект верхнего уровня содержит требования безопасности для среды ИТ, которые не включены в ЗБ, или если они отличаются от требований, включенных в ЗБ, такая несогласованность должна быть учтена оценщиком при выполнении действия ADV_HLD.2.2E.
-
12.6.3.3.6 Шагоценивания 3:ADV_HLD.2-6
Оценщик должен исследовать проект верхнего уровня, чтобы сделать заключение, включает ли он представление функций, предоставляемых поддерживающими механизмами защиты, реализованными в базовых аппаратных, программно-аппаратных и программных средствах.
Если ЗБ не содержит требования безопасности для среды ИТ, то рассматриваемый шаг оценивания не применяют и поэтому считают удовлетворенным.
Представление функций, предоставляемых базовой абстрактной машиной, на базе которой функционирует ОО, не обязательно необходимо на том же уровне детализации, что и представление функций, являющихся частью ФБО. В представлении должно быть пояснено, каким образом 00 использует функции, предоставленные для поддержки целей безопасности для ОО аппаратными, программно-аппаратными и программными средствами, реализующими требования безопасности для среды ИТ. от которой зависит ОО.
Изложение требований безопасности для среды ИТ может быть абстрактным, особенно если предполагается возможность их удовлетворения множеством различных комбинаций аппаратных, программноаппаратных и/или программных средств. В качестве части вида деятельности «Тестирование», когда оценщику предоставляется, по крайней мере, один образец базовой машины, для которой утверждается, что она удовлетворяет требованиям безопасности для среды ИТ, оценщик может сделать заключение, предоставляет ли она необходимые функции безопасности для ОО. Это заключение оценщика не требует тестирования или анализа базовой машины; оно является только заключением, что функции, которые, как предполагается, предоставляются базовой машиной, действительно имеются.
-
12.6.3.3.7 Шаг оценивания 3:ADV_HLD.2-7
ИСО/МЭК 15408-3 ADV_HLD.2.6C: Проект верхнего уровня должен идентифицировать все интерфейсы для подсистем ФБО.
Оценщик должен проверить, идентифицированы ли в проекте верхнего уровня интерфейсы подсистем ФБО.
Проект верхнего уровня должен включать в себя для каждой подсистемы имя каждой из ее точек входа.
-
12.6.3.3.8 Шаг оценивания 3:ADV_HLD.2-8
ИСО/МЭК 15408-3 ADV_HLD.2.7C: Проект верхнего уровня должен идентифицировать, какие из интерфейсов подсистем ФБО являются видимыми извне.
Оценщик должен проверить, идентифицировано ли в проекте верхнего уровня, какие интерфейсы подсистем ФБО являются внешне видимыми.
Как изложено в описании шага оценивания ADV_FSP.1-3, через внешние интерфейсы (т.е. видимые пользователю) можно прямо или косвенно получить доступ к ФБО. Любой внешний интерфейс, через который можно прямо или косвенно получить доступ к ФБО, должен быть идентифицирован в целях проведения данного шага оценивания. Внешние интерфейсы, через которые нельзя получить доступ к ФБО, не обязательно должны быть идентифицированы.
-
12.6.3.3.9 Шаг оценивания 3:ADV_HLD.2-9
ИСО/МЭК 15408-3 ADVJ4LD.2.8C: Проект верхнего уровня должен содержать описание назначения и методов использования всех интерфейсов подсистем ФБО, обеспечивая, где это необходимо, детализацию результатов, нештатных ситуаций и сообщений об ошибках.
Оценщик должен исследовать проект верхнего уровня, чтобы сделать заключение, содержится ли в нем описание назначения и методов использования всех интерфейсов каждой подсистемы, и дается ли, при необходимости, подробное описание результатов, нештатных ситуаций и сообщений об ошибках.
Проект верхнего уровня должен содержать описание назначения и методов использования для всех интерфейсов каждой подсистемы. Такое описание может быть приведено для одних интерфейсов в общих чертах, а для других — более подробно. При определении необходимого уровня детализации результатов, нештатных ситуаций и сообщений об ошибках оценщику следует учитывать цели данного анализа и методы использования интерфейсов ОО. Например, оценщику необходимо понять характер взаимодействия между подсистемами, чтобы обрести уверенность в правильности проекта ОО и быть способным понять это только на основе общего описания некоторых интерфейсов ме>еду подсистемами. В частности, внутренние точки входа одной подсистемы, которые не используются любой другой подсистемой, как правило, не требуют подробного описания.
Уровень детализации может также зависеть от подхода к тестированию, принятого для удовлетворения требований из семейства ATE_DPT «Глубина». Например, при использовании подхода ктестированию, предусматривающего тестирование только через внешние интерфейсы, и подхода к тестированию, предусматривающего тестирование и через внешние, и через внутренние интерфейсы подсистем, может потребоваться различный уровень детализации.
Детальное описание включает в себя подробную информацию обо всех входных и выходных параметрах, влиянии интерфейса, обо всех нештатных ситуациях и сообщениях об ошибках, которые порождает интерфейс. В случае с внешними интерфейсами требуемое описание, как правило, включают в функциональную спецификацию, а в проекте верхнего уровня вместо повтора может быть использована ссылка на это описание.
-
12.6.3.3.10 Шаг оценивания 3:ADVJHLD.2-10
ИСО/МЭК 15408-3 ADV_HLD.2.9C: Проект верхнего уровня должен содержать описание разделения ОО на подсистемы, осуществляющие ПВО. и прочие.
Оценщик должен проверить, содержится ли в проекте верхнего уровня описание разделения ОО на подсистемы, осуществляющие ПВО, и другие подсистемы.
ФБО включают 8 себя все те части ОО, на которые возложено осуществление ПВО. Поскольку ФБО содержат какфункции, которые непосредственно осуществляют ПВО, таки функции, которые, хотя непосредственно и не осуществляют ПВО. но косвенным образом вносят вклад в осуществление ПВО, все подсистемы, осуществляющие ПВО, составляют ФБО. Подсистемы, которые не играют никакой роли в осуществлении ПВО, не являются частью ФБО. Если какая-либо часть подсистемы является частью ФБО, то и вся подсистема является частью ФБО.
Как объяснено на шаге оценивания ADV_HLD.2-3, вариант выделения разработчиком подсистем и группирования функций безопасности в рамках каждой подсистемы является важным аспектом полезности проекта верхнего уровня для понимания предполагаемого функционирования ОО. Однако вариант группирования ФБО в рамках подсистем также влияет на область действия ФБО, поскольку подсистема с какой-либо функцией, которая прямо или косвенно осуществляет ПВО, является частью ФБО. Хотя цель—обеспечить понимание предполагаемого функционирования ОО — важна, также полезным является ограничение объема ФБО в рамках подсистем для сокращения масштабов необходимого анализа. Указанные две цели — обеспечение понимания и сокращение масштабов анализа — могут иногда противоречить друг другу. Оценщику следует учитывать это при оценке варианта выделения подсистем.
-
12 6 3 4 Действие ADV.HLD 2 2Е
-
12.6.3.4.1 Шаг оценивания 3:ADV_HLD.2-11
Оценщик должен исследовать проект верхнего уровня, чтобы сделать заключение, является ли он точным отображением функциональных требований безопасности ОО.
Оценщик анализирует проект верхнего уровня для каждой функции безопасности ОО с целью удостовериться, что она описана точно. Оценщик также удостоверяется, что функция не имеет зависимостей, которые не были включены в проект верхнего уровня.
Оценщик также анализирует требования безопасности для среды ИТ, изложенные в ЗБ и проекте верхнего уровня, чтобы удостовериться в их согласованности. Например, если в ЗБ включены функциональные требования безопасности ОО по хранению журнала аудита, а в проекте верхнего уровня указано, что хранение журнала аудита обеспечивается средой ИТ, то проект верхнего уровня не является точным отображением функциональных требований безопасности ОО.
Оценщику следует подтвердить правильность спецификаций интерфейсов подсистем, удостоверившись, что спецификации интерфейсов согласованы с описанием назначения подсистем.
-
12.6.3.4.2 Шаг оценивания 3:ADV_HLD.2-12
Оценщик должен исследовать проект верхнего уровня, чтобы сделать заключение, является ли он полным отображением функциональных требований безопасности ОО.
С целью удостовериться, что все функциональные требования безопасности, определенные в ЗБ, охвачены проектом верхнего уровня, оценщик может построить отображение функциональных требований безопасности ОО на проект верхнего уровня.
-
12.6.4 Оценка соответствия представлений (ADV_RCR.1)
-
12.6.4.1 Цели
Цель данного подвида деятельности — сделать заключение, правильно ли и полностью ли разработчик реализовал требования ЗБ и функциональной спецификации в проекте верхнего уровня.
-
12.6.4.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) проект верхнего уровня;
-
d) материалы анализа соответствия между краткой спецификацией ОО и функциональной спецификацией;
-
e) материалы анализа соответствия между функциональной спецификацией и проектом верхнего уровня.
-
12.6.4.3 Действие ADV_RCR.1.1E
-
12.6.4.3.1 Шаг оценивания 3:ADV_RCR. 1 -1
ИСО/МЭК 15408-3 ADV_RCR. 1.1 С: Для каждой смежной пары имеющихся представлений ФБО анализ должен демонстрировать, что все функциональные возможности более абстрактного пред-оглавления ФБО. относящиеся к безопасности, правильно и полностью уточнены в менее абстрактном представлении ФБО.
Оценщик должен исследовать материалы анализа соответствия между краткой спецификацией ОО и функциональной спецификацией, чтобы сделать заключение, является ли функциональная спецификация корректным и полным представлением функций безопасности ОО.
Цель оценщика на этом шаге оценивания — сделать заключение, что все функции безопасности, идентифицированные в краткой спецификации ОО, представлены в функциональной спецификации и что их представление является точным.
Оценщик анализирует соответствие между функциями безопасности ОО в краткой спецификации ОО и в функциональной спецификации. Оценщик проверяет непротиворечивость и точность данного соответствия. Там, где материалы анализа соответствия указывают на связь между описанием функции безопасности в краткой спецификации ОО и описанием интерфейса в функциональной спецификации, оценщик верифицирует, что описанные функциональные возможности безопасности являются одними и теми же. Если функции безопасности, описанные в краткой спецификации ОО, точно и полно представлены в описаниях соответствующих интерфейсов, рассматриваемый шагоценивания считают выполненным.
Данный шаг оценивания может быть выполнен совместно с шагами оценивания ADV_FSP.1-7 и ADV-FSP.1-8.
-
12.6.4.3.2 Шагоценивания 3:ADV_RCR.1-2
Оценщик должен исследовать материалы анализа соответствия между функциональной спецификацией и проектом верхнего уровня, чтобы сделать заключение, является ли проект верхнего уровня корректным и полным представлением функциональной спецификации.
Оценщик использует материалы анализа соответствия, функциональную спецификацию и проект верхнего уровня, чтобы удостовериться в возможности отобразить каждую функцию безопасности, идентифицированную в функциональной спецификации, на какую-либо подсистему ФБО, описанную в проекте верхнего уровня. Для каждой функции безопасности материалы соответствия указывают, какие подсистемы ФБО предполагают поддержку данной функции безопасности. Оценщик верифицирует, что проект верхнего уровня содержит описание корректной реализации каждой функции безопасности.
12.7 Вид деятельности «Руководства»
Вид деятельности «Руководства» предназначен для определения достаточности документации, регламентирующей эксплуатацию ОО. Такая документация ориентирована как на доверенных администраторов и не связанных с администрированием пользователей, чьи неправильные действия могли бы отрицательно повлиять на безопасность ОО, так и на недоверенных пользователей, чьи неправильные действия могли бы отрицательно повлиять на безопасность их собственных данных.
-
12.7.1 Замечания по применению
Вид деятельности «Руководства» применяют к тем функциям и интерфейсам, которые связаны с безопасностью ОО. Безопасная конфигурация ОО должна быть описана в ЗБ.
-
12.7.2 Оценка руководства администратора (AGD_ADM.1)
-
12.7.2.1 Цели
Цель данного подвида деятельности—сделать заключение, описано ли в руководстве администратора, как осуществлять безопасное администрирование ОО.
-
12.7.2.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) проект верхнего уровня;
-
d) руководство пользователя;
-
e) руководство администратора;
-
f) процедуры безопасной установки, генерации и запуска;
д) документация определения жизненного цикла.
-
12.7.2.3 Замечания по применению
Термин «администратор» используется для обозначения человека-пользователя, которому доверено выполнение в пределах ОО, критичных для безопасности операций, таких как настройка параметров конфигурации ОО. Данные операции могут влиять на осуществление ПБО, поэтому администратор обладает особыми привилегиями, необходимыми для выполнения таких операций. Роль администратора (роли администраторов) следует четко отличать от ролей пользователей ОО, не связанных с администрированием.
В ЗБ могут быть определены несколько различных ролей или групп администраторов, опознаваемых объектом оценки и взаимодействующих с ФБО, таких как аудитор, администратор или начальник смены. Каждой роли может соответствовать как одна возможность, так и обширный их набор. Возможности этих ролей и связанные с ними привилегии описывают в ЗБ в классе FMT «Управление безопасностью». Различные роли и группы администраторов должны быть рассмотрены в руководстве администратора.
-
127.2.4 Действие AGDADM. 1.1Е
-
12.7.2.4.1 Шаг оценивания 3:AGD_ADM.1-1
ИСО/МЭК 15408-3 AGD_ADM. 1.1С: Руководство администратора должно содержать описание функций администрирования и интерфейсов, доступных администратору ОО.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описаны ли в нем относящиеся к администрированию функции безопасности и интерфейсы, доступные администратору ОО.
В руководстве администратора должен быть помещен краткий обзор функциональных возможностей безопасности, видимых через интерфейсы администратора.
В руководстве администратора должны быть идентифицированы и описаны предназначение, режимы применения и взаимосвязь интерфейсов и функций безопасности, доступных администратору.
Для каждых интерфейса и функции безопасности, доступных администратору, в руководстве администратора должны быть описаны:
-
a) метод (методы) вызова интерфейса (например, с использованием командной строки, системных вызовов языка программирования, меню, командной клавиши);
-
b) параметры, устанавливаемые администратором, их допустимые значения и значения по умолчанию;
-
c) реакция, сообщения или коды возврата непосредственно от ФБО.
-
12.7.2.4.2 Шаг оценивания 3:AGD_ADM.1-2
ИСО/МЭК 15408-3 AGD_ADM.1.2C: Руководство администратора должно содержать описание того, как управлять ОО безопасным способом.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описан ли в нем безопасный способ администрирования ОО.
В руководстве администратора должно быть описано, как использовать ОО согласно ПБО в среде ИТ, соответствующей ее описанию в ЗБ.
-
12.7.2.4.3 Шаг оценивания 3:AGD_ADM.1-3
ИСО/МЭК 15408-3 AGD_ADM. 1 .ЗС: Руководство администратора должно содержать предупреждения относительно функций и привилегий, которые следует контролировать в безопасной среде обработки информации.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, содержит ли оно предупреждения относительно функций и привилегий, которые необходимо контролировать в безопасной среде эксплуатации.
Конфигурация ОО может позволять пользователям иметь различающиеся привилегии по использованию различных функций ОО. Это значит, что некоторые пользователи могут быть уполномочены выполнять определенные функции, в то время как другие пользователи могут быть не уполномочены на это. Такие функции и привилегии должны быть описаны в руководстве администратора.
Руководство администратора идентифицирует функции и привилегии, которые необходимо контролировать, требуемые для них способы контроля и основания для такого контроля. Предупреждающие сообщения связаны с ожидаемыми последствиями, возможными побочными эффектами и возможным взаимодействием сдругими функциями и привилегиями.
-
12.7.2.4.4 Шаг оценивания 3:AGD_ADM.1-4
ИСО/МЭК 15408-3 AGD_ADM. 1.4С: Руководство администратора должно содержать описание всех предположений о поведении пользователя, которые связаны с безопасной эксплуатацией ОО.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, приведены ли в нем все предположения относительно поведения пользователя, которые связаны с безопасной эксплуатацией ОО.
Предположения относительно действий пользователя могут быть описаны более подробно при изложении среды безопасности ОО в ЗБ. Однако в руководство администратора должна быть включена только та информация, которая относится к безопасной эксплуатации ОО.
Примером обязанности пользователей, необходимой для безопасной эксплуатации ОО, является сохранение ими в тайне своих паролей.
-
12.7.2.4.5 Шаг оценивания 3:AGD_ADM.1-5
ИСО/МЭК 15408-3 AGD_ADM. 1.5С: Руководство администратора должно содержать описание всех параметров безопасности, контролируемых администратором, указывая, при необходимости, безопасные значения.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описаны ли в нем все параметры безопасности, контролируемые администратором, с указанием, при необходимости, их безопасных значений.
Для каждого параметра безопасности 8 руководстве администратора должны быть описаны предназначение параметра, допустимые значения параметра и его значение по умолчанию, а также безопасные и небезопасные настройки этих параметров как по отдельности, так и 8 сочетании.
-
12.7.2.4.6 Шаг оценивания 3:AGD_ADM.1-6
ИСО/МЭК 15408-3 AGD_ADM. 1.6С: Руководство администратора должно содержать описание каждого типа относящихся к безопасности событий, связанных с выполнением обязательных функций администрирования, включая изменение характеристик безопасности сущностей, контролируемых ФБО.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описан ли в нем каждый тип относящихся к безопасности событий, связанных с выполнением обязательных функций администрирования, включая изменение характеристик безопасности сущностей, контролируемых ФБО.
Все типы относящихся к безопасности событий должны быть детализированы настолько, чтобы администратор знал, какие события могут произойти и какие действия (если потребуется) он мог бы предпринять для поддержания безопасности. Относящиеся к безопасности события, которые могут произойти в процессе эксппуата! (ии ОО (например, переполнение журнала аудита, полный отказ системы, обновление записей о пользователях, такое, как удаление учетных данных пользователя при его увольнении из организации), должны быть определены в мере, позволяющей при вмешательстве администратора поддерживать безопасность эксплуатации.
-
12.7.2.4.7 Шаг оценивания 3:AGD_ADM.1-7
ИСО/МЭК 15408-3 AGD_ADM.1.7C: Руководство администратора должно быть согласовано со всей другой документацией, представленной для оценки.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение о его согласованности со всей другой документацией, представленной для оценки.
В частности, ЗБ может содержать подробную информацию о любых предупреждающих сообщениях администраторам ОО, относящихся к среде безопасности и целям безопасности ОО.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
12.7.2.4.8 Шаг оценивания 3:AGD_ADM.1-8
ИСО/МЭК 15408-3 AGD_ADM. 1.8С: Руководство администратора должно содержать описание всех требований безопасности к среде ИТ, которые относятся к администратору.
Оценщик должен исследовать руководство администратора, чтобы сделать заключение, описаны ли в нем все требования безопасности ИТ для среды ИТ объекта оценки, которые относятся к администратору.
Если ЗБ не содержит требования безопасности ИТ для среды ИТ, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Этот шаг оценивания относится только к требованиям безопасности ИТ. а не к каким-либо политикам безопасности организации.
Оценщику следует проанализировать требования безопасности для среды ИТ объекта оценки (являющиеся необязательной частью ЗБ) и сравнить их с руководством администратора, чтобы удостовериться, что все требования безопасности из ЗБ, которые относятся к администратору, надлежащим образом описаны в руководстве администратора.
12.7.3 Оценка руководства пользователя (AGD USR.1)
-
12.7.3.1 Цели
Цель данного подвида деятельности—сделать заключение, описаны ли в руководстве пользователя функции безопасности и интерфейсы ФБО и содержит ли данное руководство инструкции и указания по безопасному использованию ОО.
-
12.7.3.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) проект верхнего уровня;
-
d) руководство пользователя;
-
e) руководство администратора;
-
f) процедуры безопасной установки, генерации и запуска.
-
12.7.3.3 Замечания по применению
В ЗБ могут быть определены несколько различных ролей или групп пользователей, опознаваемых объектом оценки и взаимодействующих с ФБО. Возможности этих ролей и связанные с ними привилегии описывают в ЗБ в классе FMT «Управление безопасностью». Различные роли и группы пользователей должны быть рассмотрены в руководстве пользователя.
-
12.7.3.4 Действие AGDJJSR.1.1E
-
12.7.3.4.1 Шаг оценивания 3:AGD_USR. 1-1
ИСО/МЭК 15408-3 AGD_USR.1.1С: Руководство пользователя должно содержать описание функций и интерфейсов, которые доступны пользователям 00. не связанным с администрированием.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описаны ли в нем функции безопасности и интерфейсы, доступные пользователям ОО, не связанным с администрированием.
В руководстве пользователя должен быть помещен краткий обзор функциональных возможностей безопасности, видимых через интерфейсы пользователя.
В руководстве пользователя должны быть идентифицированы эти интерфейсы и функции безопасности и описано их назначение.
-
12.7.3.4.2 Шаг оценивания 3;AGD_USR.1-2
ИСО/МЭК 15408-3 AGD_USR.1.2С: Руководство пользователя должно содержать описание применения доступных пользователям функций безопасности, предоставляемых ОО.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описано ли в нем применение доступных пользователю функций безопасности, предоставляемых ОО.
В руководстве пользователя должны быть идентифицированы и описаны режимы применения и взаимосвязь интерфейсов и функций безопасности, доступных пользователю.
Если пользователю разрешен вызов некоторой функции безопасности ОО, то в руководстве пользователя должно быть приведено описание интерфейсов этой функции, доступных пользователю.
Для каждых интерфейса и функции безопасности в руководстве пользователя должны быть описаны:
-
a) метод (методы) вызова интерфейса (например, с использованием командной строки, системных вызовов языка программирования, меню, командной клавиши);
-
b) параметры, устанавливаемые пользователем, их допустимые значения и значения по умолчанию;
-
c) реакция, сообщения или коды возврата непосредственно от ФБО.
-
12.7.3.4.3 Шаг оценивания 3:AGD_USR. 1-3
ИСО/МЭК 15408-3 AGD_USR.1 ,ЗС: Руководство пользователя должно содержать предупреждения относительно доступных для пользователей функций и привилегий, которые следует контролировать в безопасной среде обработки информации.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, содержит ли оно предупреждения относительно доступных пользователю функций и привилегий, которые необходимо контролировать в безопасной среде эксплуатации.
Конфигурация ОО может позволять пользователям иметь различающиеся привилегии по использованию различных функций ОО. Это значит, что некоторые пользователи уполномочены выполнять определенные функции, в то время как другие пользователи могут быть не уполномочены на это. Такие доступные пользователю функции и привилегии должны быть описаны в руководстве пользователя.
В руководстве пользователя должны быть идентифицированы функции и привилегии, которые могут быть применены, требуемые для них типы команд и объяснения таких команд. В руководстве пользователя должны быть приведены предупреждающие сообщения относительно использования функций и привилегий, подлежащих контролю. Предупреждающие сообщения должны быть связаны с ожидаемыми последствиями, возможными побочными эффектами и возможным взаимодействием сдругими функциями и привилегиями.
-
12.7.3.4.4 UJaro4eHMeaHHfl3:AGD_USR.1-4
ИСО/МЭК 15408-3 AGD_USR.1.4C: Руководство пользователя должно четко представить все обязанности пользователя, необходимые для безопасной эксплуатации ОО. включая обязанности, связанные с предположениями относительно действий пользователя, содержащимися в изложении среды безопасности ОО.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, приведены ли в нем все обязанности пользователя, необходимые для безопасной эксплуатации ОО, включая обязанности, связанные с предположениями относительно действий пользователя, содержащимися в описании среды безопасности ОО.
Предположения относительно действий пользователя могут быть описаны более подробно при изложении среды безопасности ОО в ЗБ. Однако в руководство пользователя должна быть включена только та информация, которая относится к безопасной эксплуатации ОО.
В руководстве пользователя должны быть приведены рекомендации по эффективному использованию функций безопасности (например, описание практртческих приемов формирования паролей, рекомендуемая периодичность резервного копирования файлов пользователей, предполагаемые последствия изменений привилегий доступа для пользователя).
Примером обязанности пользователей, необходимой для безопасной эксплуатации ОО, является сохранение ими 8 тайне своих паролей.
В руководстве пользователя должно быть указано, может ли пользователь вызвать функцию, или же для этого ему потребуется помощь администратора.
-
12.7.3.4.5 Шаг оценивания 3:AGD_USR. 1 -5
ИСО/МЭК 15408-3 AGD_USR. 1.5С: Руководство пользователя должно быть согласовано со всей другой документацией, представленной для оценки.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение о его согласованности со всей другой документацией, представленной для оценки.
Оценщик должен удостовериться, что руководство пользователя и остальная документация, представленная для оценки, не противоречат друг другу. Это особенно актуально, если ЗБ содержит подробную информацию о любых предупреждающих сообщениях пользователям ОО, относящихся к среде безопасности и целям безопасности ОО.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
12.7.3.4.6 Шаг оценивания 3:AGD_USR.1-6
ИСО/МЭК 15408-3 AGD_USR.1.6С: Руководство пользователя должно содержать описание всех требований безопасности к среде ИТ. которые имеют отношение к пользователю.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описаны ли в нем все требования безопасности ИТ для среды ИТ объекта оценки, которые имеют отношение к пользователю.
Если ЗБ не содержит требования безопасности ИТ для среды ИТ, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Этот шаг оценивания относится только к требованиям безопасности ИТ, а не к каким-либо политикам безопасности организации.
Оценщику следует проанализировать требования безопасности для среды ИТ объекта оценки (являющиеся необязательной частью ЗБ) и сравнить их с руководством пользователя с целью удостовериться, что все требования безопасности из ЗБ, которые относятся к пользователю, надлежащим образом описаны в руководстве пользователя.
-
12.8 Вид деятельности «Поддержка жизненного цикла»
Вид деятельности «Поддержка жизненного цикла» предназначен для определения достаточности процедур, применяемых разработчиком во время разработки и сопровождения ОО. Такие процедуры предназначены для защиты ОО и связанной с ним информации о проекте от вмешательства или раскрытия. Вмешательство в процесс разработки может позволить преднамеренно внести уязвимости в ОО. Раскрытие информации о проекте может облегчить использование уязвимостей. Адекватность рассматриваемых процедур будет зависеть от свойств ОО и процесса его разработки.
-
12.8.1 Оценка безопасности разработки (ALC_DVS.1)
-
12.8.1.1 Цели
Цель данного подвида деятельности — сделать заключение, являются ли меры и средства контроля безопасности в среде разработки достаточными для обеспечения конфиденциальности и целостности проекта и реализации ОО. Это необходимо для обеспечения того, чтобы безопасная эксплуатация ОО не была ском п ромети рова на.
-
12.8.1.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) документация по безопасности разработки.
Кроме того, оценщику может понадобиться исследование других поставок, чтобы сделать заключение о том, что меры и средства контроля безопасности полностью определены и их применяют. В частности. оценщику может понадобиться исследование документации разработчика по управлению конфигурацией (исходные данные подвидов деятельности АСМ_САР.4 «Поддержка генерации, процедуры приемки» и ACM_SCP.2 «Охват УК отслеживания проблем»). Также требуется свидетельство применения процедур.
-
12.8.1.3 Действие ALC_DVS. 1.1 Е
-
12.8.1.3.1 Шаг оценивания 3:ALC_DVS.1-1
ИСО/МЭК 15408-3 ALC_DVS. 1.1 С: Документация по безопасности разработки должна содержать описание всех физических, процедурных, относящихся к персоналу и других мер безопасности, которые необходимы для защиты конфиденциальности и целостности проекта 00 и его реализации в среде разработки.
Оценщик должен исследовать документацию по безопасности разработки, чтобы сделать заключение, содержит ли она подробное описание всех используемых в среде разработки мер безопасности, которые необходимы для защиты конфиденциальности и целостности проекта и реализации ОО.
Оценщиколределяет, какая информация из ЗБ требуется в первую очередь при вынесении заключения о необходимой защите, особенно из разделов ЗБ об угрозах, политике безопасности организации и предположениях, хотя такая информация может и не быть представлена в явном виде. Изложение в ЗБ целей безопасности для среды также может быть полезно в этом отношении.
Если в ЗБ не имеется такой информации в явном виде, оценщик должен принять решение о необходимых мерах, основываясь на рассмотрении предполагаемой среды для ОО. В тех случаях, когда меры разработчика признаны недостаточными, необходимо, чтобы было представлено четкое и логическое обоснование для оценки уязвимостей, потенциально пригодных для использования.
При исследовании документации оценщик рассматривает следующие типы мер безопасности:
-
a) физические, например, средства управления физическим доступом, применяемые для предотвращения несанкционированного доступа к среде разработки ОО (в рабочие часы и в другое время);
-
b) процедурные, например распространяющиеся:
-
– на предоставление доступа к среде разработки или к конкретным объектам среды, таким как обору
дование разработки,
-
– на отмену прав доступа лиц при их исключении из состава разработчиков,
-
– на передачу защищаемого материала из среды разработки,
-
– на встречу и сопровождение посетителей среды разработки,
-
– на роли и обязанности по обеспечению непрерывного применения мер безопасности и обнаружения
нарушений безопасности;
-
c) относящиеся к персоналу разработчиков, например средства контроля или проверки, позволяющие установить, заслуживают ли доверия принимаемые на работу;
-
d) прочие меры безопасности, например средства логической защиты оборудования разработки.
В документации по безопасности разработки должны быть указаны места разработки и описаны виды выполняемых работ вместе с мерами безопасности, применяемыми в каждом из мест разработки. Например, разработка могла бы происходить в нескольких производственных помещениях внутри одного здания, в нескольких зданиях, расположенных на одной территории, или в нескольких различных местах. К разработке относят такую задачу, как тиражирование ОО, когда это применимо. Не следует, чтобы этот шаг оценивания частично перекрывал шаги оценивания из ADO_DEL «Поставка», но оценщик должен удостовериться. что все аспекты охвачены тем или другим подвидом деятельности.
Кроме того, документация по безопасности разработки может содержать описание различных мер безопасности, которые могут быть применены к различным аспектам разработки с точки зрения их выполнения, требуемых исходных данных и выходных результатов. Например, различные процедуры могут быть применимы к разработке различных частей ОО или к различным стадиям процесса разработки.
-
12.8.1.3.2 Шаг оценивания 3:ALC_DVS. 1 -2
Оценщикдолжен исследовать политики обеспечения конфиденциальности и целостности при разработке, чтобы сделать заключение о достаточности применяемых мер безопасности.
При рассмотрении политик учитывают следующее:
-
a) какая информация, относящаяся к разработке ОО, нуждается в сохранении конфиденциальности и кому из персонала разработчиков разрешен доступ к таким материалам;
-
b) какие материалы должны быть защищены от несанкционированной модификации для сохранения целостности ОО и кому из персонала разработчиков разрешено модифицировать такие материалы.
Оценщику следует сделать заключение, описаны ли эти политики в документации по безопасности разработки, совместимы ли применяемые меры безопасности с политиками, являются ли они достаточно полными.
Необходимо отметить, что процедуры управления конфигурацией способствуют защите целостности ОО, и оценщику следует избегать частичного перекрытия с шагами оценивания, проводимыми в рамках подвида деятельности АСМ_САР «Возможности УК». Например, документация УК может описывать процедуры безопасности, необходимые для контроля ролей или лиц, которым следует предоставить доступ к среде разработки и которые могут модифицировать ОО.
Тогда как требования АСМ_САР зафиксированы, требования для ALC_DVS «Безопасность разработки», предписывающие только необходимые меры, зависят от типа ОО и от информации, которая может быть представлена в разделе ЗБ «Среда безопасности». Например, ЗБ может идентифицировать политику безопасности организации, в которой требуется наличие формы допуска у персонала разработчиков ОО. Тогда оценщику в ходе выполнения данного подвида деятельности необходимо сделать заключение, была ли применена такая политика.
-
12.8.1.3.3 Шаг оценивания 3:ALC_DVS. 1 -3
ИСО/МЭК 15408-3 ALC_DVS. 1.2С: Документация по безопасности разработки должна предоставить свидетельство, что необходимые меры безопасности соблюдаются во время разработки и сопровождения ОО.
Оценщик должен проверить документацию по безопасности разработки, чтобы сделать заключение, формируют ли документальное свидетельство в результате применения процедур.
При наличии документального свидетельства оценщик просматривает его, чтобы удостовериться в его соответствии процедурам. Примерами подготовленных свидетельств могут служить журналы регистрации входа и журналы аудита. Оценщик может остановиться на выборочной проверке свидетельства.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
12.8.1.4 Действие ALC_DVS. 1,2Е
-
12.8.1.4.1 Шаг оценивания 3:ALC_DVS.1-4
Оценщик должен исследовать документацию по безопасности разработки и связанные с ней свидетельства, чтобы сделать заключение, применены ли меры безопасности.
На этом шаге оценивания от оценщика требуется сделать заключение, применены ли меры безопасности, описанные в документации по безопасности разработки, таким образом, при котором целостность ОО и конфиденциальность связанной с ним документации адекватно защищены. Например, данное заключение могло бы быть сделано по результатам исследования представленных документальных свидетельств. Документальные свидетельства следует дополнить непосредственным ознакомлением со средой разработки. Непосредственное ознакомление со средой разработки предоставит оценщику возможность:
-
a) наблюдать применение мер безопасности (например, физических мер);
-
b) исследовать документальные свидетельства применения процедур;
-
c) посредством интервью с персоналом разработчиков проверить знание ими политик и процедур безопасности разработки, а также своих обязанностей.
Посещение объекта разработки является полезным способом приобретения уверенности в применяемых мерах. Решение отказаться от такого посещения следует принимать после консультации с органом оценки.
Руководство по посещению объектов см. в А.5 «Посещение объектов» (приложение А).
-
12.9 Вид деятельности «Тестирование»
Вид деятельности «Тестирование» предназначен для того, чтобы сделать заключение, ведут ли себя ФБО как определено 8 проектной документации и в соответствии с функциональными требованиями безопасности ОО, определенными в ЗБ. Данную цель достигают путем вынесения заключения о проведении разработчиком тестирования ФБО на их соответствие функциональной спецификации и проекту верхнего уровня, причем уверенность 8 результатах тестирования повышают путем выборочного выполнения тестов разработчика, а также проведения независимого тестирования некоторого подмножества ФБО.
-
12.9.1 Замечания по применению
Объем и состав подмножества тестов оценщика зависят от нескольких факторов, рассматриваемых в подвидах деятельности, связанных с независимым тестированием (ATEJND.2 «Выборочное независимое тестирование»). Один из таких факторов, оказывающих влияние на состав подмножества тестов, — это известные из общедоступных источников слабые места, к информации о которых оценщику необходимо получить доступ (например, в рамках системы оценки).
В ИСО/МЭК 15408 для повышения гибкости применения компонентов семейств вопросы покрытия тестами и глубины тестирования рассмотрены отдельно от функциональных тестов. Тем не менее, требования соответствующих семейств предназначены для совместного применения в целях подтверждения, что ФБО выполняются согласно их спецификации. Такая тесная связь семейств привела к некоторому дублированию работы оценщика по подвидам деятельности. Настоящие замечания по применению позволяют минимизировать повторения текста при описании подвидов деятельности одного и того же вида деятельности и ОУД.
-
12.9.1.1 Понимание ожидаемого режима функционирования 00
Прежде чем адекватность тестовой документации может быть надлежащим образом оценена и прежде чем могут быть созданы новые тесты, оценщику необходимо понять желательный ожидаемый режим выполнения функций безопасности применительно к требованиям, которым они должны удовлетворять.
Оценщик может предпочесть анализировать функции безопасности ФБО поочередно. Для каждой функции безопасности оценщик исследует конкретное требование ЗБ и соответствующие части функциональной спецификации, проекта верхнего уровня и руководств для понимания ожидаемого режима функционирования ОО.
Понимая ожидаемый режим функционирования ОО, оценщик исследует план тестирования, чтобы определить подход к тестированию. В большинстве случаев подход к тестированию будет предусматривать инициирование выполнения некоторой функции безопасности через внешние или внутренние интерфейсы и наблюдение ее реакции. Тем не менее, в некоторых случаях функция безопасности не может быть адекватно протестирована через интерфейс (как, например, в случае с тестированием функциональных возможностей защиты остаточной информации); в подобных случаях необходимо использовать» другой способ.
-
12.9.1.2 Альтернативные тестированию подходы к верификации ожидаемого режима выполнения функции безопасности
В тех случаях, когда практически нецелесообразно или несоразмерно осуществлять тестирование через интерфейс, в плане тестирования следует определить альтернативный подход к верификации ожидаемого режима выполнения. Сделать заключение о пригодности альтернативного подхода — обязанность оценщика. Оценивая пригодность альтернативных подходов, следует учесть, что:
-
a) приемлемым альтернативным подходом является анализ представления реализации для заключения, что требуемый режим функционирования будет демонстрироваться ОО. Это может означать экспертизу кода для программного ОО или, возможно, экспертизу фотошаблона (маски) микросхем для аппаратного ОО;
-
b) приемлемым является использование свидетельства помодульного или интегрированного тестирования разработчиком, даже если это несоизмеримо с представленными на оценку проектом нижнего уровня или реализацией. Если при верификации ожидаемого режима выполнения функции безопасности используется свидетельство помодульного или интегрированного тестирования разработчиком, следует внимательно отнестись к подтверждению того, что данное свидетельство тестирования отражает текущую реализацию ОО. Если конкретная подсистема или модули подверглись изменению после проведения тестирования, то обычно потребуется свидетельство, что изменения были отслежены и учтены в ходе анализа или проведения последующего тестирования.
Дополнительные по отношению к тестированию усилия с использованием альтернативных подходов следует предпринять только тогда, когда и разработчик, и оценщик сделают заключение, что не существует других практртчных способов проведения тестирования ожидаемого режима выполнения некоторой функции безопасности. Такая альтернатива позволяет разработчику минимизировать затраты (времени и/ипи денег) на тестирование при описанных выше обстоятельствах: она не предназначена для того, чтобы дать оценщику большую свободу требовать произвольную дополнительную информацию относительно ОО, а также для того, чтобы заменить тестирование.
-
12.9.1.3 Верификация адекватности тестов
Для тестов необходимо заранее установить требуемые начальные условия их выполнения. Они могут быть определены через параметры, которые должны быть установлены, или через упорядочение тестов в тех случаях, когда завершение одного теста устанавливает необходимые предварительные условия выполнения другого теста. Оценщик должен сделать заключение о полноте предварительных условий выполнения тестов и их приемлемости с точки зрения того, что они не приведут к смещению наблюдаемых результатов тестирования по отношению кожидаемым результатам тестирования.
Шаги тестирования и ожидаемые результаты тестирования определяют действия и параметры, относящиеся к интерфейсам, а также способ верификации ожидаемых результатов и что они собой представ-118
ляют. Оценщик должен сделать заключение о согласованности шагов тестирования и ожидаемых результатов тестирования с функциональной спецификацией и проектом верхнего уровня. Тесты должны верифицировать задокументированный в этих спецификациях режим выполнения. Это означает, что для каждой характеристики режима выполнения функции безопасности, явным образом описанной в функциональной спецификации и проекте верхнего уровня, должны быть тесты и описание ожидаемых результатов тестирования, чтобы верифицировать данный режим выполнения.
Несмотря на то, что все ФБО должны быть протестированы разработчиком, исчерпывающее тестирование их интерфейсов не требуется. Основная цель данного вида деятельности состоит в том, чтобы сделать заключение о достаточности тестирования каждой функции безопасности на соответствие заявленным в функциональной спецификации и проекте верхнего уровня режимам выполнения. Процедуры тестирования обеспечат понимание того, каким образом разработчиком в ходе тестирования были опробованы функции безопасности. Оценщик будет использовать данную информацию при разработке дополнительных тестов для независимого тестирования ОО.
-
12.9.2 Оценка покрытия (ATE_COV.2)
-
12.9.2.1 Цели
Цель данного подвида деятельности — сделать заключение, является ли тестирование (как это документально зафиксировано) достаточным, чтобы установить, что ФБО были систематическим методом протестированы на соответствие функциональной спецификации.
-
12.9.2.2 Исходные данные
-
a) ЗБ;
-
b) функциональная спецификация:
-
c) тестовая документация;
-
d) материалы анализа покрытия тестами.
-
12.9.2.3 Действие ATE_COV.2.1Е
-
12.9.2.3.1 Шаг оценивания 3:ATE_COV.2-1
ИСО/МЭК 15408-3 ATE COV.2.1 С: Анализ покрытия тестами должен демонстрировать соответствие между тестами, идентифицированными в тестовой документации, и описанием ФБО в функциональной спецификации.
Оценщик должен исследовать материалы анализа покрытия тестами, чтобы сделать заключение, является ли точным соответствие между тестами, идентифицированными в тестовой документации, и функциональной спецификацией.
Демонстрация соответствия может принимать форму таблицы или матрицы. В некоторых случаях, чтобы показать соответствие тестов, достаточно наличие такого отображения. В других случаях может потребоваться некоторое обоснование (на естественном языке) для того, чтобы дополнить материалы анализа соответствия, представленные разработчиком.
На рисунке 10 отражена концептуальная структура соответствия между функциями безопасности, описанными в функциональной спецификации, и тестами, выделенными в тестовой документации для тестирования этих функций. Тесты могут затрагивать одну или несколько функций безопасности, что может быть обусловлено зависимостями тестов или общей целью выполняемого теста.
Идентификация тестов и функций безопасности, представленных в материалах анализа покрытия тестами, должна быть однозначной. Материалы анализа покрытия тестами позволят оценщику сопоставить идентифицированные тесты с тестовой документацией, а тестируемые функции безопасности—с функциональной спецификацией.
-
12.9.2.3.2 Шаг оценивания 3:ATE_COV.2-2
Оценщик должен исследовать план тестирования, чтобы сделать заключение, является ли подход к тестированию каждой функции безопасности ФБО пригодным для демонстрации ожидаемого режима ее выполнения.
Руководство по выполнению этого шага оценивания можно найти в следующих замечаниях по применению:
-
a) «Понимание ожидаемого режима функционирования ОО»;
-
b) «Альтернативные тестированию подходы к верификации ожидаемого режима выполнения функции безопасности».
-
12.9.2.3.3 Шаг оценивания 3:ATE_COV.2-3
Оценщик должен исследовать процедуры тестирования, чтобы сделать заключение, адекватно ли описание предварительных условий тестирования, шагов тестирования и ожидаемого результата (ожидаемых результатов) для тестирования каждой функции безопасности.
Руководство по выполнению этого шага оценивания, который относится к функциональной спецификации, можно найти в замечаниях по применению «Верификация адекватности тестов».
-
12.9.2.3.4 Шаг оценивания 3:ATE_COV.2-4
ИСО/МЭК 15408-3 ATE_COV.2.2C: Анализ покрытия тестами должен демонстрировать полное соответствие между описанием ФБО в функциональной спецификации и тестами, идентифицированными в тестовой документации.
Оценщик должен исследовать материалы анализа покрытия тестами, чтобы сделать заключение о полноте соответствия между ФБО, описанными в функциональной спецификации, и тестами, идентифицированными в тестовой документации.
Все функции безопасности и интерфейсы, которые описаны в функциональной спецификации, должны быть представлены в материалах анализа покрытия тестами и сопоставлены с тестами для утверждения о полноте, хотя исчерпывающее тестирование интерфейсов спецификации не требуется. Как показано на рисунке 10, для всех функций безопасности имеются относящиеся к ним тесты, а следовательно, в данном примере продемонстрировано полное покрытие тестами. Неполнота покрытия была бы очевидна, если бы некоторая функция безопасности была идентифицирована в материалах анализа покрытия тестами, но никакие тесты не могли быть к ней отнесены.
Рисунок 10 — Концептуальная структура анализа покрытия тестами
12.9.3 Оценка глубины (ATE_DPT.1)
-
12.9.3.1 Цели
Цель данного подвида деятельности — сделать заключение, тестировал ли разработчик ФБО на соответствие проекту верхнего уровня.
-
12.9.3.2 Исходные данные
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) проект верхнего уровня;
-
d) тестовая документация:
-
e) материалы анализа глубины тестирования.
-
12.9.3.3 Действие ATE_DPT.1.1E
-
12.9.3.3.1 Шагоценивания 3:ATE_DPT.1-1
ИСО/МЭК 15408-3 ATE_DPT. 1.1 С: Анализ глубины должен показать достаточность тестов, идентифицированных в тестовой документации, для демонстрации, что ФБО выполняются в соответствии с проектом верхнего уровня.
Оценщик должен исследовать материалы анализа глубины тестирования на предмет сопоставления тестов, идентифицированных в тестовой документации, и проекта верхнего уровня.
В материалах анализа глубины тестирования должны быть идентифицированы все подсистемы, описанные в проекте верхнего уровня, и представлено сопоставление тестов с этими подсистемами. Соответствие может принимать форму таблицы или матрицы. В некоторых случаях, чтобы показать соответствие тестов, достаточно наличия такого отображения. В других случаях может потребоваться некоторое обоснование (обычно на естественном языке) для того, чтобы дополнить материалы анализа соответствия, представленные разработчиком.
Все детали проекта, специфицированные в проекте верхнего уровня, сопоставленные с требованиями безопасности 00 и удовлетворяющие им, являются предметом тестирования, а следовательно, должны быть сопоставлены с тестовой документацией. На рисунке 11 отражена концептуальная структура сопоставления подсистем, описанных в проекте верхнего уровня, и тестов, изложенных в тестовой документации ОО и используемых для их тестирования. Тесты могут затрагивать одну или несколько функций безопасности, что может быть обусловлено зависимостями между тестами или общей целью выполняемого теста.
-
12.9.3.3.2 Шагоценивания 3:ATE_DPT.1-2
Оценщик должен исследовать план тестирования разработчика, чтобы сделать заключение, является ли подход к тестированию каждой функции безопасности ФБО пригодным для демонстрации ожидаемого режима ее выполнения.
Руководство по выполнению этого шага оценивания можно найти в следующих замечаниях по применению:
-
a) «Понимание ожидаемого режима функционирования ОО»;
-
b) «Альтернативные тестированию подхсды к верификации ожидаемого режима выполнения функции безопасности».
Тестирование ФБО может быть выполнено с использованием внешних интерфейсов, внутренних интерфейсов или комбинации тех и других. Независимо от того, какая стратегия используется, оценщик будет рассматривать ее пригодность для адекватного тестирования функций безопасности. В частности, оценщик делает заключение, является ли тестирование с использованием внутренних интерфейсов функций безопасности необходимым или эти внутренние интерфейсы могут быть надлежащим образом протестированы (хотя и неявным образом) с использованием внешних интерфейсов. Это решение, как и его логическое обоснование, остается за оценщиком.
-
12.9.3.3.3 Шагоценивания 3:ATE_DPT.1-3
Оценщик должен исследовать процедуры тестирования, чтобы сделать заключение, адекватно ли описание предварительных условий тестирования, шагов тестирования и ожидаемого результата (ожидаемых результатов) для тестирования каждой функции безопасности.
Руководство по выполнению этого шага оценивания, который относится к проекту верхнего уровня, можно найти в замечаниях по применению «Верификация адекватности тестов».
-
12.9.3.3.4 Шагоценивания 3:ATE_DPT.1-4
Оценщик должен проверить материалы анализа глубины тестирования, чтобы удостовериться, что ФБО в том виде, в котором они определены в проекте верхнего уровня, полностью сопоставлены с тестами, представленными в тестовой документации.
Материалы анализа глубины тестирования обеспечивают полное изложение соответствия между проектом верхнего уровня, планом и процедурами тестирования. Все подсистемы и внутренние интерфейсы, описанные в проекте верхнего уровня, должны быть представлены 8 материалах анализа глубины тестирования. Для всех подсистем и внутренних интерфейсов, представленных в материалах анализа глубины тестирования, должны иметься сопоставленные с ними тесты для того, чтобы можно было утверждать о полноте. Как показано на рисунке 11, для всех подсистем и внутренних интерфейсов имеются относящиеся к ним тесты, а следовательно, в данном примере продемонстрирована полнота глубины тестирования.
Неполнота тестирования была бы очевидна, если бы подсистема или внутренний интерфейс были идентифицированы в материалах анализа глубины тестирования, но никакие тесты не могли быть к ним отнесены.
Рисунок 11 — Концептуальная структура анализа глубины тестирования
-
12.9.4 Оценка функциональных тестов (ATE_FUN.1)
-
12.9.4.1 Цели
Цель данного подвида деятельности — сделать заключение, является ли документация функциональных тестов разработчика достаточной для демонстрации того, что функции безопасности выполняются в соответствии со спецификациями.
-
12.9.4 .2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация:
-
c) тестовая документация;
-
d) процедуры тестирования.
-
12.9.4.3 Замечания по применению
Степень требуемого покрытия ФБО тестовой документацией зависит от соответствующего компонента доверия, связанного с покрытием тестами.
Для представленных тестов разработчика оценщик делает заключение, являются ли тесты повтори-мыми. и определяет степень возможности использования тестов разработчика при проведении оценщиком независимого тестирования. Любую функцию безопасности, для которой результаты тестирования разработчиком указывают, что она может быть не выполнена в соответствии со спецификациями, оценщику следует подвергнуть независимому тестированию, чтобы сделать заключение, выполнена ли она в соответствии со спецификациями или нет.
Тестовая документация должна идентифицировать все случаи использования привилегированных режимов для установления/отмены условий тестирования для последующих тестов. Тестовая документация должна описывать, почему было необходимо использовать привилегированные режимы для достижения необходимых условий (например, для обеспечения генерации средствами тестирования определенных объектов, необходимых для выполнения некоторого теста, которые не могут быть созданы непривилегированными пользователями), а также – каким образом осуществляется выход из привилегированных режимов до проведения шагов по тестированию, демонстрирующих функциональные возможности безопасности ОО. Следовательно, несмотря на то, что тестовая конфигурация может не соответствовать описанию 00 в ЗБ, в процессе установления условий тестирования тестовая документация должна содержать описание, каким образом конфигурацию можно вернуть в состояние, которое соответствует конфигурации, описанной в ЗБ, для выполнения шагов по тестированию.
-
12.9.4.4 Действие ATE_FUN.1.1E
-
12.9.4.4.1 Шагоценивания 3:ATE_FUN. 1-1
ИСО/МЭК 15408-3 ATE_FUN. 1.1 С: Тестовая документация должна состоять из планов и описаний процедур тестирования, а также ожидаемых и фактических результатов тестирования.
Оценщик должен проверить, что тестовая документация включает в себя планы тестирования, описание процедур тестирования, ожидаемые результаты тестирования и фактические результаты тестирования.
-
12.9.4.4.2 Шагоценивания 3:ATE_FUN.1-2
ИСО/МЭК 15408-3 ATE_FUN.1.2С: Планы тестирования должны идентифицировать проверяемые функции безопасности и содержать изложение целей проводимых тестов.
Оценщик должен проверить, что в плане тестирования идентифицированы подлежащие тестированию функции безопасности.
Одним из методов, который может быть использован для идентификации проверяемой функции безопасности, является ссылка на соответствующую часть (части) функциональной спецификации, в которой определена конкретная функция безопасности.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
12.9.4 .4.3 Шаг оценивания 3:ATE_FUN.1-3
Оценщик должен исследовать план тестирования, чтобы сделать заключение, содержит ли он описание целей выполняемых тестов.
План тестирования предоставляет информацию о том, каким образом должны быть протестированы функции безопасности, а также информацию о тестируемой конфигурации ОО, используемой при проведении тестирования.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
12.9.4.4.4 Шагоценивания3:АТЕ FUN.1-4
Оценщик должен исследовать план тестирования, чтобы сделать заключение, согласована ли тестируемая конфигурация ОО с той конфигурацией, которая идентифицирована для оценки в ЗБ.
ОО, упомянутый в плане тестирования разработчика, должен иметь туже самую уникальную маркировку, которая установлена в соответствии с подвидом деятельности АСМ_САР.* «Возможности УК».
В ЗБ может быть определено несколько подлежащих оценке конфигураций. ОО может состоять из ряда различных аппаратных и программных реализаций, которые подлежат тестированию на соответствие ЗБ. Оценщик верифицирует, что в тестовой документации разработчика определены тестируемые конфигурации и они согласованы соответственно с каждой из оцениваемых конфигураций, описанных в ЗБ.
Оценщику следует рассмотреть описанные в ЗБ предположения относительно аспектов безопасности среды ОО, которые могут касаться среды тестирования. В ЗБ могут быть и другие предположения, которые не относятся к среде тестирования. Например, предположение относительно допусков пользователей, не относится к среде тестирования, а предположение относительно единой точки подключения к сети, относится к среде тестирования.
-
12.9.4.4.5 Шагоценивания 3:ATE_FUN. 1-5
Оценщик должен исследовать план тестирования, чтобы сделать заключение, согласован ли он с описанием процедур тестирования.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А). Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
12.9.4.4.6 Шаг оценивания 3:ATE_FUN.1-6
ИСО/МЭК 15408-3 ATE_FUN. 1 .ЗС: Описания процедур тестирования должны идентифицировать тесты, которые необходимо выполнить, и включать в себя сценарии для тестирования каждой функции безопасности. Эти сценарии должны учитывать любое влияние последовательности выполнения тестов на результаты других тестов.
Оценщик должен проверить, что в описании процедур тестирования идентифицирован каждый из подлежащих тестированию режимов выполнения функций безопасности.
Одним из методов, который может быть использован для идентификации подлежащего тестированию режима выполнения функции безопасности, является ссылка на соответствующую часть (части) спецификации проекта, которая определяет конкретный подлежащий тестированию режим выполнения функции безопасности.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
12.9.4.4.7 Шаг оценивания 3:ATE_FUN.1-7
Оценщик должен исследовать описание процедур тестирования, чтобы сделать заключение, представлены ли достаточные инструкции, позволяющие установить воспроизводимые начальные условия выполнения тестов, включая зависимости, связанные с порядком следования, при их наличии.
Для того чтобы установить начальные условия выполнения тестов, возможно, потребуется выполнить некоторые шаги Например, необходимо добавить учетные записи пользователей прежде, чем их можно будет удалить. Пример зависимостей, связанных с порядком следования тестов, от результатов других тестов — необходимо тестирование функции аудита прежде, чем можно будет полагаться на нее при создании записей аудита для другого механизма безопасности, такого как управления доступом. Другой пример зависимости, связанной с порядком следования тестов, — при выполнении одного набора тестов генерируется файл данных, используемых в качестве исходных данных для другого набора тестов.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
12.9.4.4.8 Шаг оценивания 3:ATE_FUN.1-8
Оценщик должен исследовать описание процедур тестирования, чтобы сделать заключение, представлены ли достаточные инструкции для того, чтобы иметь воспроизводимый способ инициирования выполнения функций безопасности и наблюдения за режимом их выполнения.
Инициирующее воздействие обычно обеспечивается внешним по отношению к функции безопасности способом через ИФБО. После того как входные данные (инициирующее воздействие) предоставлены ИФБО, через ИФБО можно наблюдать режим выполнения функции безопасности. Воспроизводимость не обеспечивается, если процедуры тестирования не содержат достаточных подробностей для однозначного описания инициирующего воздействия и режима выполнения, ожидаемого в результате инициирующего воздействия.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
12.9.4.4.9 Шагоценивания 3:ATE_FUN.1-9
Оценщик должен исследовать описание процедур тестирования, чтобы сделать заключение о его согласованности с процедурами тестирования.
Если описание процедур тестирования—это собственно процедуры тестирования, то рассматриваемый шаг оценивания не применяют и поэтому считают удовлетворенным.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А). Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
12.9.4.4.10ШагоцениванияЗ:АТЕ_РиЬ1.1-10
ИСО/МЭК 15408-3 ATE_FUN. 1.4С: Ожидаемые результаты тестирования должны показать прогнозируемые выходные данные успешного выполнения тестов.
Оценщик должен исследовать тестовую документацию, чтобы сделать заключение о достаточности включенных в нее ожидаемых результатов выполнения тестов.
Ожидаемые результаты тестирования необходимы, чтобы сделать заключение, действительно ли тест был успешно выполнен. Описание ожидаемых результатов тестирования достаточно, если оно однозначно и согласуется с ожидаемым режимом выполнения ФБО, обусловленным подходом к тестированию.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
12 9 4 4 11 Шаг оценивания 3 ATE_FUN 1-11
ИСО/МЭК 15408-3 ATE_FUN.1.5C: Результаты выполнения тестов разработчиком должны демонстрировать. что каждая проверенная функция безопасности выполнялась в соответствии со спецификациями.
Оценщик должен проверить, что ожидаемые результаты тестирования в тестовой документации согласуются с представленными фактическими результатами тестирования.
Сравнение представленных разработчиком фактических и ожидаемых результатов тестирования выявит какие бы то ни было несоответствия результатов.
Возможно, что непосредственное сравнение фактических результатов не может быть выполнено до того, как будет выполнено некоторое преобразование или синтез данных. В подобных случаях в тестовой документации разработчика должен быть описан процесс преобразования или синтеза фактических данных.
Например, разработчику может потребоваться проверить содержимое буфера сообщений после того, как имело место сетевое соединение, чтобы определить содержимое буфера. Буфер сообщения будет содержать бинарную последовательность. Эту бинарную последовательность, как правило, преобразуют в другую форму представления данных, чтобы сделать тест более содержательным. Преобразование этого бинарного представления данных в представление более высокого уровня должно быть достаточно подробно описано разработчиком, чтобы позволить оценщику выполнить процесс преобразования (т.е. необходимо описать, используется ли синхронный или асинхронный метод передачи данных, число стоповых битов, битов четности и тд.).
Следует отметить, что описание процесса преобразования или синтеза фактических данных оценщик использует не для того, чтобы фактически исполнить необходимую модификацию, а для того, чтобы оценить корректность этого процесса. Преобразование ожидаемых результатов тестирования в формат, позволяющий их легко сравнивать с фактическими результатами тестов, возложено на разработчика.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
Если ожидаемые и фактические результаты тестирования для какого-либо из тестов не совпадают, то правильность выполнения функции безопасности не продемонстрирована. Такая ситуация окажет влияние на усилия оценщика по независимому тестированию, выражающееся в необходимости тестирования соответствующей функции безопасности. Оценщику также следует рассмотреть вопрос об увеличении выборки свидетельств, на основе которых должен быть выполнен рассматриваемый шаг оценивания.
12.9.4.4.12 Шаг оценивания 3:ATE_FUN.1-12
Оценщик должен привести в отчете информацию об усилиях разработчика по тестированию, выделив подход к тестированию, тестируемую конфигурацию, глубину и результаты тестирования.
Информация о тестировании разработчиком, зафиксированная в ТОО, позволяет оценщику передать общий подход к тестированию и усилия, затраченные разработчиком на тестирование ОО. Смысл предоставления данной информации состоит в том. чтобы привести краткий содержательный обзор усилий разработчика по тестированию. Не обязательно, чтобы информация о тестировании разработчиком в ТОО была точной копией конкретных шагов тестирования или результатов отдельных тестов. Целью является предоставить достаточные подробности, позволяющие другим оценщикам и сотрудникам органов оценки понять подход разработчика к тестированию, объем выполненного тестирования, тестируемые конфигурации ОО и общий результат тестирования разработчиком.
Информация об усилиях разработчика по тестированию, которую обычно можно найти в соответствующем разделе ТОО, включает в себя:
-
a) тестируемые конфигурации ОО. Конкретные конфигурации ОО, подвергнутые тестированию;
-
b) подход к тестированию. Описание общей стратегии тестирования, которую применил разработчик;
-
c) объем тестирования, выполненного разработчиком. Описание степени покрытия тестами и глубины тестирования разработчиком;
-
d) результаты тестирования. Описание общих результатов тестирования разработчиком.
Данный перечень ни в коем случае не является исчерпывающим и предназначен только для того, чтобы дать некоторое представление о типе информации, связанной с усилиями разработчика по тестированию, которую следует привести в ТОО.
12.9.5 Оценка путем независимого тестирования (ATEJND.2)
-
12.9.5.1 Цели
Цель данного подвида деятельности состоит в том. чтобы путем независимого тестирования подмножества ФБО сделать заключение, соответствуют ли спецификациям режимы функционирования ОО, и повысить уверенность в результатах тестирования разработчиком путем выполнения выборки тестов разработчика.
-
12.9.5.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) руководство пользователя;
-
d) руководство администратора;
-
e) процедуры безопасной установки, генерации и запуска;
-
f) тестовая документация;
д) материалы анализа покрытия тестами;
-
h) материалы анализа глубины тестирования;
-
i) ОО, пригодный для тестирования.
-
12.9.5.3 Действие ATE JND.2.1Е
-
12.9.5.3.1 Шаг оценивания 3:ATE_IND.2-1
ИСО/МЭК 15408-3 ATEJND.2.1 С: ОО должен быть пригоден для тестирования.
Оценщик должен исследовать ОО, чтобы сделать заключение, согласуется ли тестируемая конфигурация с оцениваемой конфигурацией, определенной в ЗБ.
ОО. используемый оценщиком для тестирования, должен иметь ту же самую уникальную маркировку, которая установлена в соответствии с подвидом деятельности АСМ_САР.* «Возможности УК».
В ЗБ может быть определено более одной подлежащей оценке конфигурации. ОО может состоять из ряда различных аппаратных и программных реализаций, которые подлежат тестированию в соответствии с ЗБ. Тестируемые оценщиком конфигурации ОО должны быть согласованы соответственно с каждой из оцениваемых конфигураций, описанных в ЗБ.
Оценщику следует рассмотреть описанные в ЗБ предположения относительно аспектов безопасности среды ОО, которые могут касаться среды тестирования. В ЗБ могут быть и другие предположения, которые не относятся к среде тестирования. Например, предположение относительно допусков пользователей не относится к среде тестирования, а предположение относительно единой точки подключения к сети относится к среде тестирования.
При использовании любых средств тестирования (например, измерителей, анализаторов) обеспечить правильную калибровку этих средств будет обязанностью оценщика.
-
12.9.5.3.2 Шаг оценивания 3:ATE_IND.2-2
Оценщик должен исследовать ОО, чтобы сделать заключение, правильно ли он установлен и находится ли в состоянии, которое известно.
Оценщик имеет возможность сделать заключение о состоянии ОО несколькими способами. Например, предшествующее успешное завершение подвида деятельности ADOJGS.1 «Процедуры установки, генерации и запуска» позволит считать выполненным данный шаг оценивания, если оценщик все еще уверен, что тестируемый ОО был должным образом установлен и находится в известном состоянии. Если это не так. то оценщику рекомендуется следовать процедурам разработчика, чтобы установить, сгенерировать и запустить ОО, используя только поставляемое руководство.
Если оценщику необходимо выполнить процедуры установки вследствие того, что ОО находится в неизвестном состоянии, то при успешном завершении данный шаг оценивания мог бы удовлетворить шаг оценивания ADOIGS.1-2.
-
12.9.5.3.3 Шагоценивания 3:ATE_IND.2-3
ИСО/МЭК 15408-3ATEJND.2.2C: Разработчик должен представить набор ресурсов, эквивалентных использованным им при функциональном тестировании ФБО.
Оценщик должен исследовать набор ресурсов, предоставленных разработчиком, чтобы сделать заключение, эквивалентны ли они набору ресурсов, использованных разработчиком для функционального тестирования ФБО.
Данный набор ресурсов может, кроме всего прочего, включать в себя доступное лабораториям и специальное испытательное оборудование. Ресурсы, которые не являются идентичными ресурсам, использованным разработчиком, должны быть эквивалентны им с точки зрения любого влияния, которое они могут оказать на результаты тестирования.
12.9.5.4 Действие ATEJND.2.2E
-
12.9.5.4.1 Шаг оценивания 3:ATE_IND.2-4
Оценщик должен определить тестируемое подмножество ФБО.
Оценщик выбирает тестируемое подмножество и стратегию тестирования, приемлемую для ОО. Одна, крайняя, стратегия тестирования предусматривает наличие тестируемого подмножества ФБО, содержащего как можно большее число функций безопасности, тестируемых с небольшой строгостью. Другая стратегия тестирования предусматривает наличие тестируемого подмножества, содержащего небольшое число функций безопасности, исходя из их осознанной значимости, и строгое тестирование этих функций.
Как правило, стратегия тестирования, принятая оценщиком, должна находиться где-то между этими двумя крайностями. Оценщику следует проверить выполнение большинства определенных в ЗБ функциональных требований безопасности, используя, по крайней мере, один тест для каждого требования, но при этом нет необходимости, чтобы тестирование продемонстрировало исчерпывающую проверку спецификаций.
При выборе подмножества тестируемых ФБО оценщику необходимо рассмотреть следующие факторы:
-
a) свидетельства тестирования разработчиком. Свидетельства тестирования разработчиком включают в себя: анализ покрытия тестами, анализ глубины тестирования и тестовую документацию. Свидетельства тестирования разработчиком будут обеспечивать понимание того, каким образом разработчиком в ХОДА ТАСТИрОААНИЯ быПИ ПрЛААрАНЫ функции бйЛППЯСМПСТИ Ol 1АН1ЦИК будет ИГПОПК.’ЧОЙЯТЬ данную информацию при разработке новых тестов для независимого тестирования ОО. Оценщику следует, в особенности, рассмотреть:
-
1) усиление тестирования, выполненного разработчиком, для определенной функции (функций) безопасности. Оценщик может выполнить большее число тестов того же самого типа, чтобы путем изменения параметров более строго протестировать функцию безопасности;
-
2) дополнение стратегии тестирования, примененной разработчиком, для определенной функции (функций) безопасности. Оценщик может изменить подход к тестированию определенной функции безопасности. тестируя ее с использованием другой стратегии тестирования;
-
b) число функций безопасности, из которых необходимо сформировать тестируемое подмножество. В тех случаях, когда у ОО только небольшое число функций безопасности, может быть практичным строгое тестирование всех функций безопасности. Для ОО с большим числом функций безопасности это будет нерентабельно и потребуется осуществление выборки;
-
c) поддержание некоторого баланса между видами деятельности по оценке. Усилия оценщика, затраченные на вид деятельности по тестированию, должны быть соразмерны с усилиями, затраченными на любой другой вид деятельности по оценке.
Оценщик выбирает определенные функции безопасности для формирования соответствующего подмножества. Этот выбор будет зависеть от ряда факторов, и рассмотрение этих факторов также может влиять на выбор размера тестируемого подмножества ФБО:
-
a) строгость тестирования разработчиком функций безопасности. Все функции безопасности, идентифицированные в функциональной спецификации, должны иметь относящиеся к ним свидетельства тестирования разработчиком, как это требуется в ATE_COV.2 «Анализ покрытия». Те функции безопасности, которые оценщик определил как требующие дополнительного тестирования, следует включить в тестируемое подмножество ФБО;
-
b) результаты тестирования разработчиком. Если результаты тестов разработчика заставляют оценщика сомневаться в том, что функция безопасности или ее аспект выполняется в соответствии со спецификациями. то оценщику следует включить подобные функции безопасности в тестируемое подмножество;
-
c) известные из общедоступных источников слабые места безопасности, обычно ассоциируемые с конкретным типом ОО (например, с операционной системой, межсетевым экраном). Известные из общедоступных источников слабые места, ассоциируемые с конкретным типом ОО. будут влиять на процесс выбора тестируемого подмножества. Оценщику следует включить в тестируемое подмножество те функции безопасности, которые связаны с известными из общедоступных источников слабыми местами для данного типа ОО (известные из общедоступных источников слабые места в данном случае относятся не куязвимостям как таковым, а к несоответствиям или проблемным вопросам, которые были обнаружены для данного конкретного типа ОО). Если такие слабые места неизвестны, то может быть более приемлемым более общий подход, связанный с выбором широкого диапазона функций безопасности;
-
d) значимость функций безопасности. Те функции безопасности, которые более значимы, чем другие, с точки зрения целей безопасности для 00, следует включить в тестируемое подмножество;
-
e) утверждение о СФБ. сделанное в ЗБ. Все функции безопасности, для которых было сделано конкретное утверждение о СФБ, следует включить в тестируемое подмножество ФБО;
-
f) сложность функции безопасности. Для сложных функций безопасности может потребоваться выполнение сложных тестов, налагающих обременительные требования на разработчика или оценщика, что, в свою очередь, не будет способствовать экономичным оценкам. С другой стороны, сложные функции безопасности — это вероятная область поиска ошибок и подходящие кандидаты для включения в подмножество. Оценщику необходимо достигнуть баланса между этими соображениями;
д) неявное тестирование. Тестирование некоторых функций безопасности может зачастую сопровождаться неявным тестированием других функций безопасности, и их включение в подмножество может максимизировать (хотя и не в явном виде) число тестируемых функций безопасности. Некоторые интерфейсы могут обеспечивать несколько функциональных возможностей безопасности, и их следует сделать объектом эффективного подхода к тестированию;
-
h) типы интерфейсов 00 (например, программный интерфейс, командная строка, протокол). Оценщику следует рассмотреть возможность включения тестов для всех различных типов интерфейсов, которые поддерживает данный ОО;
-
i) инновационные или необычные функции. В тех случаях, когда в 00 включены инновационные или необычные функции безопасности, которые могут широко быть представлены в маркетинговой литературе, они должны быть прямыми кандидатами на тестирование.
Выше сформулированы факторы, которые необходимо рассмотреть в процессе выбора приемлемого тестируемого подмножества ФБО, но они ни в коем случае не являются исчерпывающими.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
12.9.5.4.2 Шаг оценивания 31ATEJND.2-5
Оценщик должен разработать тестовую документацию для тестируемого подмножества ФБО, детализация которой достаточна, чтобы обеспечить воспроизводимость тестов.
Установив из ЗБ и функциональной спецификации ожидаемый режим выполнения функции безопасности, оценщик должен определить наиболее подходящий способ тестирования данной функции. Оценщик, в особенности, рассматривает:
-
a) подход, который будет использован, например, будет ли функция безопасности протестирована через внешний интерфейс, внутренний интерфейс с использованием каких-либо средств автономного тестирования или будет применен альтернативный тестированию подход (например, в исключительных обстоятельствах— экспертиза кода);
-
b) интерфейс(ы) функции безопасности, который(е) будет(ут) использован(ы) для инициирования выполнения функции безопасности и наблюдения ее реакции;
-
c) начальные условия, которые будут необходимы для выполнения теста (т.е. любые конкретные объекты или субъекты, которые будут необходимы, и атрибуты безопасности, которые им необходимо будет иметь);
-
d) специальное оборудование для тестирования, которое потребуется либо для инициирования выполнения функции безопасности (например, генераторы пакетов), либо для наблюдения за функцией безопасности (например, сетевые анализаторы).
Оценщик может посчитать практичным тестировать каждую функцию безопасности с помощью ряда наборов тестов, где каждый набор тестов будет использован для тестирования конкретного режима выполнения функции безопасности.
В тестовой документации оценщика следует определить происхождение каждого теста, прослеживая его к соответствующей спецификации проекта и, если необходимо, к ЗБ.
-
12.9.5.4.3 Шаг оценивания 3:ATE_IND.2-6
Оценщикдолжен провести тестирование.
Оценщик использует разработанную тестовую документацию как основу для тестирования ОО, но это не мешает ему выполнить дополнительные специальные тесты. Оценщик может разработать новые тесты исходя из режима функционирования ОО, обнаруженного в процессе тестирования. Эти новые тесты должны быть внесены в тестовую документацию.
-
12.9.5.4.4 Шагоценивания 3:ATE_IND.2-7
Оценщикдолжен зафиксировать следующую информацию о тестах, которые составляют подмножество тестов:
а) идентификационную информацию тестируемого режима выполнения функции безопасности;
-
b) инструкции по подключению и настройке всего необходимого оборудования для тестирования, как это требуется для выполнения конкретного теста;
-
c) инструкции по установке всех предварительных условий выполнения теста:
-
d) инструкции по инициированию функции безопасности;
-
e) инструкции по наблюдению режима выполнения функции безопасности;
-
f) описание всех ожидаемых результатов и необходимого анализа, проводимого по отношению к наблюдаемому режиму выполнения для сравнения с ожидаемыми результатами;
д) инструкции по завершению теста и установке необходимого посттестового состояния 00;
h) фактические результаты тестирования.
Уровень детализации должен быть таким, чтобы другой оценщик мог повторить тесты и получить эквивалентный результат. Хотя некоторые специфические детали результатов выполнения теста могут различаться (например, поля времени и даты в записи аудита), общие результаты должны быть идентичными.
Возможны случаи, когда нет необходимости предоставлять всю информацию, приведенную на этом шаге оценивания (например, фактические результаты тестирования могут не требовать какого бы то ни было анализа до их сравнения с ожидаемыми результатами). Решение опустить эту информацию, как и его логическое обоснование, остается за оценщиком.
-
12.9.5.4.5 Шаг оценивания 3:ATE_IND.2-8
Оценщик должен проверить, что все фактические результаты тестирования соответствуют ожидаемым результатам тестирования.
Любые различия в фактических и ожидаемых результатах тестирования могут свидетельствовать либо о том, что ОО но фуню (ионирует в соответствии со cnei (ифика! (ией, либо о том, что тестовая документа! (ия оценщика может быть некорректной. Не соответствующие ожидаемым фактические результаты тестирования могут потребовать внесения корректив в ОО или тестовую документацию, а также повторного выполнения вызвавших коллизию тестов, модификации размера и состава выборки тестов. Это решение, как и его логическое обоснование, остается за оценщиком.
-
12.9.5.5 Действие ATEJND.2.3E
-
12.9.5.5.1 Шагоценивания 3:ATE_IND.2-9
Оценщик должен провести тестирование, используя выборку тестов, предусмотренных в плане и процедурах тестирования разработчика.
Общая цель данного шага оценивания состоит в выполнении тестов разработчика в количестве, достаточном для подтверждения правильности результатов тестирования разработчиком. Оценщик должен определить размер выборки и тесты разработчика, которые составят данную выборку.
С учетом общих усилий оценщика по виду деятельности, связанному с тестированием, обычно следует выполнить около 20 % тестов разработчика, хотя этот процент может варьироваться в зависимости от характера ОО и представленных свидетельств тестирования.
Все тесты разработчика могут быть сопоставлены с конкретными функциями безопасности. Следовательно, факторы, которые необходимо рассмотреть при выборе тестов для включения в выборку, подобны тем, которые перечислены на шаге оценивания ATEJND.2-4 для выбора тестируемого подмножества ФБО. Дополнительно, для выбора тестов разработчика, включаемых в выборку, оценщик может избрать метод случайной выборки.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
-
12.9.5.5.2 Шаг оценивания 3:ATE_IND.2-10
Оценщик должен проверить, что все фактические результаты тестирования согласуются с ожидаемыми результатами тестирования.
Противоречия между ожидаемыми результатами тестирования разработчиком и фактическими результатами тестирования заставляют оценщика разрешать эти несоответствия. Противоречия, с которыми столкнулся оценщик, могут быть разрешены разработчиком путем убедительного объяснения и устранения противоречий.
Если удовлетворительное объяснение или устранение противоречий не может быть достигнуто, то уверенность оценщика в результатах тестирования разработчиком может уменьшиться; у оценщика даже может возникнуть необходимость в увеличении объема выборки, чтобы восстановить уверенность в результатах тестирования разработчиком. Если увеличение объема выборки не оправдает ожиданий оценщика, может потребоваться повторение всей совокупности тестов разработчика. В конечном счете, для адекватного тестирования подмножества ФБО, идентифицированного на шаге оценивания ATEJND.2-4, недостаточность тестов разработчика приведет к необходимости корректировки тестов разработчика или разработки оценщиком новых тестов.
-
12.9.5.5.3 Шагоценивания 3:ATE_IND.2-11
Оценщик должен привести в ТОО информацию об усилиях по тестированию, кратко изложив подход «тестированию, тестируемую конфигурацию, глубину и результаты тестирования.
Информация оценщика о тестировании, приводимая в ТОО, позволяет оценщику передать общий подход к тестированию и усилия, затраченные в течение оценки на вид деятельности по тестированию. Смысл предоставления данной информации состоит в том, чтобы привести содержательный краткий обзор усилий по тестированию. Не имеется в виду, чтобы информация о тестировании в ТОО была точным воспроизведением конкретных шагов тестирования или результатов отдельных тестов. Целью является предоставить достаточные подробности, чтобы позволить другим оценщикам и сотрудникам органов оценки понять выбранный подход к тестированию, объем выполненного оценщиком тестирования, объем выполненного разработчиком тестирования, тестируемые конфигурации ОО и общий результат вида деятельности по тестированию.
Информация, относящаяся к усилиям оценщика по тестированию, которую обычно можно найти в соответствующем разделе ТОО, включает в себя:
-
a) тестируемые конфигурации ОО. Конкретные конфигурации ОО, которые были протестированы;
-
b) выбранный размер подмножества. Число протестированных в течение оценки функций безопасности и логическое обоснование этого размера;
-
c) критерии выбора для функций безопасности, которые составляют тестируемое подмножество. Краткое изложение факторов, рассмотренных при отборе функций безопасности для включения в подмножество;
-
d) протестированные функции безопасности. Краткий перечень функций безопасности, обоснованно включенных в подмножество;
-
e) выполненные тесты разработчика. Число выполненных тестов разработчика и краткое описание критериев, использованных для выбора данных тестов;
-
f) вердикт по виду деятельности. Общий вывод по результатам тестирования, проведенного в течение оценки.
Данный перечень ни в коем случае не является исчерпывающим и предназначен только для того, чтобы дать некоторое представление о типе информации, касающейся тестирования, выполненного оценщиком в течение оценки, которую следует привести в ТОО.
12.10 Вид деятельности «Оценка уязвимостей»
Вид деятельности «Оценка уязвимостей» предназначен для того, чтобы сделать заключение о существовании и пригодности для использования в предопределенной среде недостатков или слабых мест в ОО. Это заключение должно быть основано на анализе, выполненном разработчиком и оценщиком, и поддержано тестированием, выполненным оценщиком.
-
12.10.1 Оценка неправильного применения (AVA_MSU.1)
-
12.10.1.1 Цели
Цель данного подвида деятельности — сделать заключение, не являются ли руководства вводящими в заблуждение, необоснованными или противоречивыми, были ли учтены процедуры безопасности для всех режимов функционирования и будет ли использование руководств способствовать предотвращению и обнаружению небезопасных состояний ОО.
-
12.10.1.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) проект верхнего уровня;
-
d) руководство пользователя;
-
e) руководство администратора;
-
f) процедуры безопасной установки, генерации и запуска;
д) тестовая документация.
-
12.10.1.3 Замечания по применению
Использование термина «руководства» в этом подвиде деятельности относится к руководству пользователя, руководству администратора и процедурам безопасной установки, генерации и запуска. Здесь к процедурам установки, генерации и запуска относятся все процедуры перевода ОО из состояния при поставке 8 состояние функционирования, ответственным за выполнение которых является администратор.
-
12.10.1.4 Действие AVA_MSU. 1.1Е
-
12.10.1.4.1 Шаг оценивания 3:AVA_MSU.1-1
ИСО/МЭК 15408-3 AVA.MSU. 1.1 С: Руководства должны идентифицировать все возможные режимы эксплуатации ОО (включая действия после сбоя или ошибки в работе), их последствия и знамение для обеспечения безопасной эксплуатации.
Оценщик должен исследовать руководства и другие свидетельства оценки, чтобы сделать заключение. идентифицированы ли в руководствах все возможные режимы эксплуатации ОО (включая, если применимо, функционирование после сбоя или ошибки в работе), их последствия и значение для поддержания безопасной эксплуатации.
Другие свидетельства оценки, в особенности функциональная спецификация и тестовая документация, представляют собой источник информации, который оценщику следует использовать, чтобы сделать заключение, содержат ли руководства достаточную руководящую информацию.
Оценщику следует сосредоточиться одновременно на одной функции безопасности, сопоставляя руководства для безопасного использования данной функции безопасности с другими свидетельствами оценки, чтобы сделать заключение, достаточны ли руководства в части, относящейся к данной функции безопасности, для ее безопасного использования (т.е. согласовано ли оно с ПВО). Оценщику следует также рассмотреть соотношения между функциями, осуществляя поиск потенциальных конфликтов.
-
12.10.1.4.2 Шаг оценивания 3:AVA_MSU.1-2
ИСО/МЭК 15408-3 AVA_MSU. 1.2С: Руководства должны быть полны, понятны, непротиворечивы и обоснованны.
Оцен|цикдопжен исследовать руководства, чтобы сделать заключение, являются ли они понятными и внутренне непротиворечивыми.
Руководства являются непонятными, если они так или иначе могут быть неправильно истолкованы администратором или пользователем и использованы путем, причиняющим ущерб ОО или безопасности, обеспечиваемой ОО.
Руководство по анализу непротиворечивости см. в А.З «Анализ непротиворечивости» (приложение А).
-
12.10.1.4.3 Шаг оценивания 3:AVA_MSU.1-3
Оценщик должен исследовать руководства и другие свидетельства оценки, чтобы сделать заключение, являются ли руководства полными и обоснованными.
Оценщику следует использовать знание ОО, приобретенное при выполнении других видов деятельности по оценке, чтобы сделать заключение, являются ли руководства полными.
В частности, оценщику следует рассмотреть функциональную спецификацию и краткую спецификацию ОО. Предполагается, что все функции безопасности, описание которых содержится в этих документах, описаны в руководствах надлежащим образом, чтобы дать возможность их безопасного администрирования и использования. Оценщик может в качестве вспомогательного средства подготовить неформальное отображение между руководствами и этими документами. Какие-либо пропуски в этом отображении могут указывать на неполноту.
Руководства являются необоснованными, если они содержат требования к использованию ОО или среде функционирования, которые противоречат ЗБ или являются чрезмерно обременительными для поддержания безопасности.
Оценщику следует учесть, что результаты, полученные в процессе выполнения шагов оценивания подвида деятельности AGD_ADM, предоставят полезные исходные данные для данного исследования.
-
12.10.1.4.4 Шаг оценивания 3:AVA_MSU.1-4
ИСО/МЭК 15408-3 AVA_MSU. 1 .ЗС: Руководства должны содержать список всех предположений относительно среды эксплуатации.
Оценщик должен исследовать руководства, чтобы сделать заключение, все ли предположения относительно предопределенной среды четко сформулированы.
Оценщик анализирует предположения ЗБ относительно предопределенной среды безопасности ОО и сравнивает их с руководствами, чтобы удостовериться, все ли предположения из ЗБ относительно предопределенной среды безопасности ОО, которые имеют отношение к администратору или пользователю, соответствующим образом описаны в руководствах.
-
12.10.1.4.5 Шаг оценивания 3:AVA_MSU.1-5
ИСО/МЭК 15408-3 AVA_MSU. 1.4С: Руководства должны содержать список всех требований к внешним мерам безопасности (включая внешний контроль над процедурами, физическими мерами и персоналом).
Оценщик должен исследовать руководства, чтобы сделать заключение, все ли требования для внешних мер безопасности четко сформулированы.
Оценщик анализирует руководства, чтобы удостовериться, перечислены ли в них все внешние процедурные меры, меры физичесхой защиты, управления персоналом и связностью. Цели безопасности в ЗБ для не-ИТ среды указывают на то, что требуется.
-
12.10.1.5 Действие AVA_MSU. 1.2Е
-
12.10.1.5.1 Шаг оценивания 3:AVA_MSU.1-6
Оценщик должен выполнить все процедуры администратора и пользователя (если применимо), необходимые для конфигурирования и установки ОО, чтобы сделать заключение, может ли ОО быть безопасно сконфигурирован и использован с применением только представленных руководств.
Конфигурация и инсталляция требуют, чтобы оценщик перевел ОО из состояния при поставке в состояние, в котором ОО функционирует и осуществляет ПБО, согласованную с целями безопасности, специфицированными в ЗБ.
Оценщику необходимо следовать только процедурам разработчика, задокументированным в руководствах пользователя и администратора, обычно поставляемых потребителю ОО. Любые встретившиеся трудности в процессе такого применения процедур могут указывать на неполноту, непонятность, противоречивость или необоснованность руководств.
Работа, выполненная для удовлетворения данного шага оценивания, может также способствовать удовлетворению действия оценщика ADOJGS.1.2Е.
-
12.10.1.6 Действие AVA_MSU.1.ЗЕ
-
12.10.1.6.1 Шаг оценивания 3:AVA_MSU.1-7
Оценщик должен исследовать руководства, чтобы сделать заключение, предоставлены ли потребителю руководства, достаточные, чтобы эффективно администрировать и использовать функции безопасности ОО, а также обнаруживать небезопасные состояния.
ОО могут использовать разнообразные способы содействия потребителю в эффективном, с точки зрения безопасности, использовании ОО. Один ОО может использовать функциональные возможности (характеристики), чтобы предупредить потребителя, когда ОО находится в небезопасном состоянии, в то время как другие ОО могут быть поставлены с расширенными руководствами, содержащими предложения, советы, процедуры и т.д. по наиболее эффективному использованию существующих характеристик безопасности, например с руководством по использованию аудита как вспомогательного средства при обнаружении небезопасных состояний.
Чтобы вынести вердикт для этого шага оценивания, оценщик рассматривает функциональные возможности ОО, его назначение и предопределенную среду, а также предположения о его использовании или о пользователях. Оценщику следует прийти к заключению, что если возможен переход ОО в небезопасное состояние, то имеется ли обоснованное ожидание, что использование руководства позволит своевременно обнаружить небезопасное состояние. Заключение о потенциальной возможности перехода ОО в небезопасные состояния может быть сделано с использованием поставляемых для оценки материалов, таких как ЗБ. функциональная спецификация и проект верхнего уровня ФБО.
12.10.2 Оценка стойкости функций безопасности ОО (AVA_SOF.1)
-
12.10.2.1 Цели
Цель данного подвида деятельности—сделать заключение, приведены ли в ЗБ утверждения о СФБ для всех вероятностных или перестановочных механизмов и поддержаны ли утверждения о СФБ, приведенные разработчиком в ЗБ, корректным анализом.
-
12.10.2.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
-
a) ЗБ;
-
b) функциональная спецификация;
-
c) проект верхнего уровня;
-
d) руководство пользователя;
-
e) руководство администратора;
-
f) материалы анализа стойкости функций безопасности ОО.
-
12.10.2.3 Замечания по применению
Анализ СФБ выполняют для механизмов, которые по своей природе являются вероятностными или перестановочными, таких как механизм пароля или биометрия. Хотя криптографические механизмы также являются вероятностными и зачастую описываются в терминах стойкости, AVA_SOF.1 «Оценка стойкости функции безопасности» не применим к криптографическим механизмам. Для таких механизмов оценщику следует руководствоваться указаниями системы оценки.
Хотя анализ СФБ выполняют на базе отдельных механизмов, общее заключение о СФБ базируется на функциях. Если для обеспечения некоторой функции безопасности применяют более одного вероятностного или перестановочного механизма, проанализирован должен быть каждый отдельный механизм. Способ объединения этих механизмов для обеспечения функции безопасности определит общий уровень СФБ для этой функции. Оценщику необходима информация о проекте, чтобы понять, как механизмы работают вместе, чтобы обеспечить функцию, и минимальный уровень для такой информации предоставляют через зависимость от ADV_HLD.1 «Описательный проект верхнего уровня». Фактическая проектная информация, доступная оценщику, определяется ОУД, и эту доступную информацию, когда требуется, следует использовать для поддержки анализа, выполняемого оценщиком.
О СФБ в отношении многсдоменных ОО см. в 9.3.6 «Оценка раздела «Требования безопасности ИТ» (ASE_REQ.1).
-
12.10.2.4 Действие AVA_SOF. 1.1 Е
-
12.10.2.4.1 Шаг оценивания 3:AVA_SOF.1-1
ИСО/МЭК 15408-3 AVA_SOF. 1.1 С: Для каждого механизма, имеющего утверждение относительно стойкости функции безопасности ОО. анализ должен показать, что ее стойкость достигает или превышает минимальный уровень стойкости, определенный в ПЗ/ЗБ.
Оценщик должен проверить, предоставил ли разработчик материалы анализа СФБ для каждого механизма безопасности, в отношении которого в ЗБ имеется утверждение о СФБ, выраженное как уровень СФБ.
Если утверждения о СФБ выражены исключительно в метрике СФБ, то данный шаг оценивания не применяют и поэтому считают удовлетворенным
Уровень СФБ выражают как базовую СФБ, среднюю СФБ или высокую СФБ, которые определены в терминах потенциала нападения, — см. ИСО/МЭК 15408-1, раздел 2. Минимальное общее требование СФБ, выраженное как некоторый уровень, применяют ко всем некриптографическим вероятностным или перестановочным механизмам безопасности. Однако для отдельных механизмов может иметься утверждение о СФБ как некотором уровне, который превышает общее требование СФБ.
Руководство по определению потенциала нападения, необходимого для осуществления нападения, и, следовательно, определению СФБ как некоторого уровня см. в А.8 «Стойкость функций безопасности и анализ уязвимостей» (приложение А).
Материалы анализа СФБ включают в себя логическое обоснование утверждения о СФБ, приведенного в ЗБ.
-
12.10.2.4.2 Шаг оценивания 3:AVA_SOF.1-2
ИСО/МЭК 15408-3 AVA_SOF. 1.2С: Для каждого механизма, имеющего утверждение относительно конкретной стойкости функции безопасности ОО, анализ должен показать, что ее стойкость достигает или превышает конкретный показатель, определенный в ПЗ/ЗБ.
Оценщик должен проверить, предоставил ли разработчик материалы анализа СФБ для каждого механизма безопасности, в отношении которого имеется утверждение о СФБ в ЗБ, выраженное в некоторой метрике.
Если утверждения о СФБ выражены исключительно как уровни СФБ, то данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Минимальное общее требование СФБ, выраженное как некоторый уровень, применяют ко всем некриптографическим вероятностным или перестановочным механизмам безопасности. Однако для отдельных механизмов может иметься утверждение о СФБ в метрике, которая удовлетворяет или превосходит общее требование СФБ.
Анализ СФБ включает в себя логическое обоснование утверждения о СФБ, приведенного в ЗБ.
-
12.10.2.4.3 Шаг оценивания 3:AVA_SOF.1-3
Оценщик должен исследовать материалы анализа СФБ, чтобы сделать заключение, являются ли обоснованными любые утверждения или предположения, поддерживающие анализ.
Например, может быть неверным предположение, что конкретная реализация генератора псевдослучайных чисел будет обладать энтропией, необходимой для отбора данного механизма безопасности в число тех, для которых уместен анализ СФБ.
Ожидается, что предположения, сопровождающие анализ СФБ, отражают самый плохой случай, за исключением случая, являющегося в соответствии с ЗБ несостоятельным. Когда существует ряд различных возможных сценариев, зависящих от поведения человека-пользователя или нарушителя, следует предположить сценарий, который представляет самую низкую стойкость, если этот сценарий не был признан ранее несостоятельным.
Например, утверждение о стойкости, основанное на максимальной теоретически возможной области значений пароля (т.е. комбинаций всех печатных символов ASCII), обычно не является самым плохим случаем, потому что человеку свойственно использовать пароли на естественном языке, существенно уменьшая область значений пароля и ассоциированную с ней стойкость. Однако такое предположение может быть приемлемым, если в конкретном ОО применены меры ИТ, идентифицированные в ЗБ, такие как фильтры паролей, с целью минимизировать ис