Приложение А. Спецификация профилей защиты (обязательное). Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15408-1-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 519-ст) (прекратил действие)

Приложение А
(обязательное)

Спецификация профилей защиты

А.1 Краткий обзор

ПЗ определяет независимую от конкретной реализации совокупность требований ИТ для некоторой категории ОО. Такие ОО предназначены для удовлетворения общих запросов потребителей в безопасности ИТ. Поэтому потребители могут выразить свои запросы в безопасности ИТ, используя существующий или формируя новый ПЗ, без ссылки на какой-либо конкретный ОО.

Настоящее приложение содержит требования к ПЗ в повествовательной форме. В классе доверия АРЕ, в ИСО/МЭК 15408-3, раздел 8, данные требования приведены в форме компонентов доверия, которые следует использовать при оценке ПЗ.

А.2 Содержание профиля защиты

А.2.1 Содержание и представление

ПЗ должен соответствовать требованиям к содержанию, изложенным в настоящем приложении. ПЗ следует представлять в виде ориентированного на пользователя документа, содержащего минимум ссылок на другие материалы, которые могут быть недоступны пользователю данного ПЗ. Обоснование допускается оформлять отдельно.

Содержание ПЗ представлено на рисунке А.1, который следует использовать при создании структурной схемы документа "Профиль защиты".

Профиль защиты (ПЗ)

 |

 | /-------------------\

 |-|    Введение ПЗ    |----- Идентификация ПЗ

 | |                   |  |

 | |                   |  \-- Аннотация ПЗ

 | \-------------------/

 |

 | /-------------------\

 |-|    Описание ОО    |

 | \-------------------/

 |

 | /-------------------\

 |-|Среда безопасности |----- Предположения безопасности

 | |        ОО         |  |

 | |                   |  |

 | |                   |  |-- Угрозы

 | \-------------------/  |

 |                        \-- Политика безопасности организации

 | /-------------------\

 |-|       Цели        |----- Цели безопасности для ОО

 | |    безопасности   |  |

 | |                   |  \-- Цели безопасности для среды

 | \-------------------/

 |

 | /-------------------\     /------------------\

 | |    Требования     |     |    Требования    |    Функциональные

 |-|  безопасности ИТ  |-----| безопасности для |--- требования

 | |                   |  |  |        ОО        | |  безопасности ОО

 | \-------------------/  |  \------------------/ |

 |                        \-- Требования          \- Требования доверия

 |                            безопасности для       к безопасности ОО

 |                            среды ИТ

 |-- Замечания по применению

 |

 | /-------------------\

 \-|    Обоснование    |----- Обоснование целей безопасности

   \-------------------/ |

                         \--- Обоснование требований безопасности

Рисунок А.1 - Содержание профиля защиты

А.2.2 Введение ПЗ

Введение ПЗ должно содержать следующую информацию для управления документооборотом и обзорную информацию, необходимую для работы с реестром ПЗ:

a) идентификация ПЗ - должна обеспечивать маркировку и описательную информацию, необходимые для идентификации, каталогизации, регистрации ПЗ и ссылки на него;

b) аннотация ПЗ - должна давать общую характеристику ПЗ в повествовательной форме. Аннотация должна быть достаточно подробной, чтобы потенциальный пользователь ПЗ мог решить, представляет ли ПЗ для него интерес. Аннотация должна быть также пригодна для размещения в виде самостоятельного реферата в каталогах и реестрах ПЗ.

А.2.3 Описание ОО

Данная часть ПЗ должна содержать описание ОО, служащее цели лучшего понимания требований его безопасности и дающее представление о типе продукта и основных характерных особенностях ИТ применительно к ОО.

Описание ОО предоставляет контекст для оценки. Информацию, содержащуюся в описании ОО, используют в процессе оценки для выявления противоречий. Поскольку ПЗ обычно не ссылается на конкретную реализацию, то характерные особенности ОО могут быть представлены в виде предположений. Если ОО является продуктом или системой, основной функцией которых является безопасность, то данная часть ПЗ может быть использована для более подробного описания возможностей применения ОО.

А.2.4 Среда безопасности ОО

Изложение среды безопасности ОО должно содержать описание аспектов безопасности среды, в которой предполагается использовать ОО, и ожидаемый способ его применения. Данное изложение должно включать в себя:

a) описание предположений, содержащее аспекты безопасности среды, в которой ОО будет использован или предполагается к использованию, а также содержать:

1) информацию о предполагаемом использовании ОО, включая такие аспекты, как предполагаемая область применения, потенциальная значимость активов и возможные ограничения использования ОО,

2) информацию относительно среды применения ОО, включая аспекты физического окружения, персонала и внешних связей;

b) описание угроз, содержащее угрозы активам, против которых требуется защита средствами ОО или его среды. В описании предположений необходимо приводить не все угрозы, которые могут встретиться в среде, а только влияющие на безопасную эксплуатацию ОО.

Угроза должна быть описана с использованием понятий идентифицированного нарушителя, нападения и актива, который подвергается нападению. Нарушителя следует описывать через такие аспекты, как компетентность, доступные ресурсы и мотивация. Нападение следует описывать через такие аспекты, как возможность, метод нападения и используемые уязвимости.

Если цели безопасности ОО следуют только из политики безопасности организации и предположений, то описание угроз может быть опущено;

c) описание политики безопасности организации, идентифицирующее и, при необходимости, объясняющее все положения политики безопасности организации или правила, которым должен следовать объект оценки. Для представления любого положения политики, позволяющего использовать его для установления четких целей безопасности, могут понадобиться объяснения и интерпретации.

Если цели безопасности следуют только из угроз и предположений безопасности, описание политики безопасности организации может быть опущено.

Для физически распределенного ОО может быть необходимо рассмотреть аспекты среды безопасности (предположения, угрозы, политику безопасности организации) отдельно для каждой из различных областей среды ОО.

А.2.5 Цели безопасности

Изложение целей безопасности должно определять цели безопасности как для ОО, так и для его среды. Цели безопасности должны учитывать все установленные аспекты среды безопасности. Цели безопасности должны отражать изложенное намерение противостоять всем установленным угрозам и быть подходящими для этого, а также охватывать все предположения безопасности и установленную политику безопасности организации. Угрозе может быть противопоставлена одна или более целей для ОО, одна или более целей для среды или их сочетание. Должны быть также идентифицированы категории целей безопасности, приведенные ниже. Если противостояние угрозе или проведение политики безопасности возлагается частично на ОО, а частично на его среду, соответствующая цель безопасности должна повторяться в каждой категории:

a) цели безопасности для ОО должны быть четко изложены и сопоставлены с аспектами установленных угроз, которым необходимо противостоять средствами ОО, и/или с политикой безопасности организации, которой должен удовлетворять ОО;

b) цели безопасности для среды ОО должны быть четко изложены и сопоставлены с аспектами установленных угроз, которым не полностью противостоит ОО, и/или с политикой безопасности организации и предположениями, не полностью удовлетворяемыми ОО.

Цели безопасности для среды могут частично или полностью повторять некоторые предположения, сделанные при изложении среды безопасности ОО.

А.2.6 Требования безопасности ИТ

В данной части ПЗ подробно определяются требования безопасности ИТ, которые должны удовлетворяться ОО или его средой. Требования безопасности ОО должны быть изложены следующим образом:

а) если необходимо охватить различные аспекты одного и того же требования (например, при идентификации более чем одного типа пользователя), то допускается повторное использование (то есть применение операции итерации) одного и того же компонента из ИСО/МЭК 15408-2 с тем, чтобы охватить каждый аспект. При изложении требований безопасности ОО должны быть определены функциональные требования и требования доверия, которым должны удовлетворять ОО, и свидетельства поддержки его оценки для достижения целей безопасности ОО. Требования безопасности ОО должны быть изложены следующим образом:

1) При изложении функциональных требований безопасности ОО следует определять функциональные требования к ОО, где это возможно, в виде функциональных компонентов из ИСО/МЭК 15408-2.

Если требования доверия к ОО включают в себя компонент AVA_SОF.1 (например ОУД2 и выше), то при изложении функциональных требований безопасности ОО должен быть установлен минимальный уровень стойкости функций безопасности, реализуемых с помощью вероятностного или перестановочного механизма (например, пароля или хэш-функции). Все подобные функции должны соответствовать этому минимальному уровню. Уровень должен быть одним из следующих: базовая СФБ, средняя СФБ и высокая СФБ. Уровень должен выбираться в соответствии с установленными цепями безопасности ОО. Для достижения некоторых целей безопасности ОО могут быть определены специальные метрики стойкости функций для выбранных функциональных требований.

В качестве составной части оценки стойкости функций безопасности ОО (AVA_SОF.1) оценивают и утверждения о стойкости, сделанные для отдельных функций безопасности ОО, и минимальный уровень стойкости для ОО в целом,

2) при изложении требований доверия к безопасности ОО следует определять их как один из ОУД, возможно, усиленный другими компонентами доверия из ИСО/МЭК 15408-3. Расширение ОУД в ПЗ может осуществляться за счет явного включения дополнительных компонентов доверия, не содержащихся в ИСО/МЭК 15408-3;

b) необязательное изложение требований безопасности для среды ИТ должно определять требования безопасности ИТ, которым должна соответствовать среда ИТ данного ОО. Требования для данной части ПЗ могут быть взяты из ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3, и в этом случае должна быть изменена их формулировка с тем, чтобы четко показать, что данному требованию должна отвечать среда ИТ, а не ОО. Подобное изменение формулировки является особым случаем уточнения и не является предметом требований оценки, связанных с модифицированными компонентами ИСО/МЭК 15408. Если безопасность ОО не зависит от среды ИТ, то данная часть ПЗ может быть опущена;

c) перечисленные ниже общие условия в равной степени относятся к выражению функциональных требований и требований доверия как для ОО, так и для его среды ИТ:

1) если применимо, все требования безопасности ИТ следует устанавливать ссылкой на компоненты требований безопасности из ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3. Если при формировании всех либо части требований не применимы компоненты из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3, то в ПЗ допускается сформулировать необходимые требования безопасности явным образом, без ссылки на ИСО/МЭК 15408,

2) любые функциональные требования и требования доверия к ОО, сформулированные явным образом, должны быть четко и однозначно выражены с тем, чтобы были возможны оценка и демонстрация соответствия данным требованиям. Уровень детализации и способ выражения функциональных требований и требований доверия, принятый в ИСО/МЭК 15408, должны использоваться как образец,

3) если выбраны компоненты требований, в которых специфицированы требуемые операции (назначение, выбор), то данные операции должны использоваться в ПЗ для конкретизации требований до уровня детализации, необходимого для демонстрации достижения целей безопасности. Все разрешенные операции, которые не исполнены в ПЗ, должны быть отмечены как незавершенные,

4) при изложении требований безопасности ОО допускается, при необходимости, дополнительно разрешать или запрещать использование определенных механизмов безопасности, применяя разрешенные операции над компонентами требований,

5) все зависимости между требованиями безопасности ИТ должны быть удовлетворены. Зависимости могут быть удовлетворены включением необходимых требований в состав требований безопасности ОО или требований к среде.

А.2.7 Замечания по применению

Данная часть ПЗ не является обязательной и может содержать дополнительную информацию, которая считается необходимой или полезной для создания, оценки и использования ОО.

А.2.8 Обоснование

В данной части ПЗ представляется свидетельство, используемое при оценке ПЗ. Данное свидетельство поддерживает утверждения, что ПЗ является полной и взаимосвязанной совокупностью требований и соответствующий ему ОО обеспечит эффективный набор контрмер безопасности ИТ в определенной среде безопасности. Обоснование должно включать в себя:

a) обоснование целей безопасности, демонстрирующее, что изложенные цели безопасности сопоставлены со всеми идентифицированными аспектами среды безопасности ОО и пригодны для их охвата;

b) обоснование требований безопасности, демонстрирующее, что совокупность требований безопасности (ОО и его среды) пригодна для достижения целей безопасности и сопоставлена с ними. Должно быть продемонстрировано, что:

1) сочетание отдельных компонентов функциональных требований и требований доверия для ОО и его среды ИТ в совокупности соответствует изложенным целям безопасности,

2) данный набор требований безопасности образует единое и внутренне непротиворечивое целое,

3) выбор требований безопасности логически обоснован. Должны быть логически обоснованы:

- выбор требований, не содержащихся в ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3;

- выбор требований доверия, не включенных в какой-либо ОУД;

- случаи неудовлетворения зависимостей,

4) выбранный для ПЗ уровень стойкости функций и заявленная в явном виде стойкость функций согласуются с целями безопасности ОО.

Данный потенциально объемный материал допускается распространять отдельно, поскольку он необходим или полезен не для всех пользователей ПЗ.