Приложение А. Спецификация профилей защиты (обязательное). Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15408-1-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 519-ст) (прекратил действие)

Приложение А
(обязательное)

Спецификация профилей защиты

А.1 Краткий обзор

ПЗ определяет независимую от конкретной реализации совокупность требований ИТ для некоторой категории ОО. Такие ОО предназначены для удовлетворения общих запросов потребителей в безопасности ИТ. Поэтому потребители могут выразить свои запросы в безопасности ИТ, используя существующий или формируя новый ПЗ, без ссылки на какой-либо конкретный ОО.

Настоящее приложение содержит требования к ПЗ в повествовательной форме. В классе доверия АРЕ, в ИСО/МЭК 15408-3, раздел 8, данные требования приведены в форме компонентов доверия, которые следует использовать при оценке ПЗ.

А.2 Содержание профиля защиты

А.2.1 Содержание и представление

ПЗ должен соответствовать требованиям к содержанию, изложенным в настоящем приложении. ПЗ следует представлять в виде ориентированного на пользователя документа, содержащего минимум ссылок на другие материалы, которые могут быть недоступны пользователю данного ПЗ. Обоснование допускается оформлять отдельно.

Содержание ПЗ представлено на рисунке А.1, который следует использовать при создании структурной схемы документа "Профиль защиты".

Профиль защиты (ПЗ)

 |

 | /-------------------\

 |-|    Введение ПЗ    |----- Идентификация ПЗ

 | |                   |  |

 | |                   |  \-- Аннотация ПЗ

 | \-------------------/

 |

 | /-------------------\

 |-|    Описание ОО    |

 | \-------------------/

 |

 | /-------------------\

 |-|Среда безопасности |----- Предположения безопасности

 | |        ОО         |  |

 | |                   |  |

 | |                   |  |-- Угрозы

 | \-------------------/  |

 |                        \-- Политика безопасности организации

 | /-------------------\

 |-|       Цели        |----- Цели безопасности для ОО

 | |    безопасности   |  |

 | |                   |  \-- Цели безопасности для среды

 | \-------------------/

 |

 | /-------------------\     /------------------\

 | |    Требования     |     |    Требования    |    Функциональные

 |-|  безопасности ИТ  |-----| безопасности для |--- требования

 | |                   |  |  |        ОО        | |  безопасности ОО

 | \-------------------/  |  \------------------/ |

 |                        \-- Требования          \- Требования доверия

 |                            безопасности для       к безопасности ОО

 |                            среды ИТ

 |-- Замечания по применению

 |

 | /-------------------\

 \-|    Обоснование    |----- Обоснование целей безопасности

   \-------------------/ |

                         \--- Обоснование требований безопасности

Рисунок А.1 - Содержание профиля защиты

А.2.2 Введение ПЗ

Введение ПЗ должно содержать следующую информацию для управления документооборотом и обзорную информацию, необходимую для работы с реестром ПЗ:

a) идентификация ПЗ - должна обеспечивать маркировку и описательную информацию, необходимые для идентификации, каталогизации, регистрации ПЗ и ссылки на него;

b) аннотация ПЗ - должна давать общую характеристику ПЗ в повествовательной форме. Аннотация должна быть достаточно подробной, чтобы потенциальный пользователь ПЗ мог решить, представляет ли ПЗ для него интерес. Аннотация должна быть также пригодна для размещения в виде самостоятельного реферата в каталогах и реестрах ПЗ.

А.2.3 Описание ОО

Данная часть ПЗ должна содержать описание ОО, служащее цели лучшего понимания требований его безопасности и дающее представление о типе продукта и основных характерных особенностях ИТ применительно к ОО.

Описание ОО предоставляет контекст для оценки. Информацию, содержащуюся в описании ОО, используют в процессе оценки для выявления противоречий. Поскольку ПЗ обычно не ссылается на конкретную реализацию, то характерные особенности ОО могут быть представлены в виде предположений. Если ОО является продуктом или системой, основной функцией которых является безопасность, то данная часть ПЗ может быть использована для более подробного описания возможностей применения ОО.

А.2.4 Среда безопасности ОО

Изложение среды безопасности ОО должно содержать описание аспектов безопасности среды, в которой предполагается использовать ОО, и ожидаемый способ его применения. Данное изложение должно включать в себя:

a) описание предположений, содержащее аспекты безопасности среды, в которой ОО будет использован или предполагается к использованию, а также содержать:

1) информацию о предполагаемом использовании ОО, включая такие аспекты, как предполагаемая область применения, потенциальная значимость активов и возможные ограничения использования ОО,

2) информацию относительно среды применения ОО, включая аспекты физического окружения, персонала и внешних связей;

b) описание угроз, содержащее угрозы активам, против которых требуется защита средствами ОО или его среды. В описании предположений необходимо приводить не все угрозы, которые могут встретиться в среде, а только влияющие на безопасную эксплуатацию ОО.

Угроза должна быть описана с использованием понятий идентифицированного нарушителя, нападения и актива, который подвергается нападению. Нарушителя следует описывать через такие аспекты, как компетентность, доступные ресурсы и мотивация. Нападение следует описывать через такие аспекты, как возможность, метод нападения и используемые уязвимости.

Если цели безопасности ОО следуют только из политики безопасности организации и предположений, то описание угроз может быть опущено;

c) описание политики безопасности организации, идентифицирующее и, при необходимости, объясняющее все положения политики безопасности организации или правила, которым должен следовать объект оценки. Для представления любого положения политики, позволяющего использовать его для установления четких целей безопасности, могут понадобиться объяснения и интерпретации.

Если цели безопасности следуют только из угроз и предположений безопасности, описание политики безопасности организации может быть опущено.

Для физически распределенного ОО может быть необходимо рассмотреть аспекты среды безопасности (предположения, угрозы, политику безопасности организации) отдельно для каждой из различных областей среды ОО.

А.2.5 Цели безопасности

Изложение целей безопасности должно определять цели безопасности как для ОО, так и для его среды. Цели безопасности должны учитывать все установленные аспекты среды безопасности. Цели безопасности должны отражать изложенное намерение противостоять всем установленным угрозам и быть подходящими для этого, а также охватывать все предположения безопасности и установленную политику безопасности организации. Угрозе может быть противопоставлена одна или более целей для ОО, одна или более целей для среды или их сочетание. Должны быть также идентифицированы категории целей безопасности, приведенные ниже. Если противостояние угрозе или проведение политики безопасности возлагается частично на ОО, а частично на его среду, соответствующая цель безопасности должна повторяться в каждой категории:

a) цели безопасности для ОО должны быть четко изложены и сопоставлены с аспектами установленных угроз, которым необходимо противостоять средствами ОО, и/или с политикой безопасности организации, которой должен удовлетворять ОО;

b) цели безопасности для среды ОО должны быть четко изложены и сопоставлены с аспектами установленных угроз, которым не полностью противостоит ОО, и/или с политикой безопасности организации и предположениями, не полностью удовлетворяемыми ОО.

Цели безопасности для среды могут частично или полностью повторять некоторые предположения, сделанные при изложении среды безопасности ОО.

А.2.6 Требования безопасности ИТ

В данной части ПЗ подробно определяются требования безопасности ИТ, которые должны удовлетворяться ОО или его средой. Требования безопасности ОО должны быть изложены следующим образом:

а) если необходимо охватить различные аспекты одного и того же требования (например, при идентификации более чем одного типа пользователя), то допускается повторное использование (то есть применение операции итерации) одного и того же компонента из ИСО/МЭК 15408-2 с тем, чтобы охватить каждый аспект. При изложении требований безопасности ОО должны быть определены функциональные требования и требования доверия, которым должны удовлетворять ОО, и свидетельства поддержки его оценки для достижения целей безопасности ОО. Требования безопасности ОО должны быть изложены следующим образом:

1) При изложении функциональных требований безопасности ОО следует определять функциональные требования к ОО, где это возможно, в виде функциональных компонентов из ИСО/МЭК 15408-2.

Если требования доверия к ОО включают в себя компонент AVA_SОF.1 (например ОУД2 и выше), то при изложении функциональных требований безопасности ОО должен быть установлен минимальный уровень стойкости функций безопасности, реализуемых с помощью вероятностного или перестановочного механизма (например, пароля или хэш-функции). Все подобные функции должны соответствовать этому минимальному уровню. Уровень должен быть одним из следующих: базовая СФБ, средняя СФБ и высокая СФБ. Уровень должен выбираться в соответствии с установленными цепями безопасности ОО. Для достижения некоторых целей безопасности ОО могут быть определены специальные метрики стойкости функций для выбранных функциональных требований.

В качестве составной части оценки стойкости функций безопасности ОО (AVA_SОF.1) оценивают и утверждения о стойкости, сделанные для отдельных функций безопасности ОО, и минимальный уровень стойкости для ОО в целом,

2) при изложении требований доверия к безопасности ОО следует определять их как один из ОУД, возможно, усиленный другими компонентами доверия из ИСО/МЭК 15408-3. Расширение ОУД в ПЗ мо