Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение В
(обязательное)
Спецификация заданий по безопасности
В.1 Краткий обзор
ЗБ содержит требования безопасности ИТ для конкретного ОО и специфицирует функции безопасности и меры доверия, предлагаемые объектом оценки для удовлетворения установленных требований.
ЗБ для ОО является основой соглашения между разработчиками, оценщиками и, где необходимо, потребителями по характеристикам безопасности ОО и области применения оценки. Круг лиц, заинтересованных в ЗБ, не ограничивается только лицами, ответственными за разработку ОО и его оценку, но может включать в себя также лиц, ответственных за управление, маркетинг, продажу, инсталляцию, конфигурирование, функционирование и использование ОО.
В ЗБ разрешено включать требования одного или нескольких ПЗ или утверждать о соответствии им. Влияние утверждения о соответствии ПЗ на содержание ЗБ рассматривается в В.2.8.
Настоящее приложение содержит требования к ЗБ в повествовательной форме. В классе доверия ASE, в ИСО/МЭК15408-3, раздел 9, эти требования приведены в форме компонентов доверия, которые следует использовать при оценке ЗБ.
В.2 Содержание задания по безопасности
В.2.1 Содержание и представление
ЗБ должно соответствовать требованиям к содержанию, изложенным в настоящем приложении. ЗБ следует представлять в виде ориентированного на пользователя документа, содержащего минимум ссылок на другие материалы, которые могут быть недоступны пользователю данного ЗБ. Обоснование допускается оформлять отдельно.
Содержание ЗБ представлено на рисунке В.1, который следует использовать при создании структурной схемы ЗБ.
Задание по безопасности (ЗБ) |
|
| /----------------\
|--| Введение ЗБ |---- Идентификация ЗБ
| | | |
| | | |-- Аннотация ЗБ
| \----------------/ |
| \-- Соответствие ИСО/МЭК 15408
|
| /----------------\
|--| Описание ОО |
| \----------------/
|
| /----------------\
|--| Среда |---- Предположения безопасности
| | | |
| |безопасности ОО | |-- Угрозы
| \----------------/ |
| \-- Политика безопасности организации
|
| /----------------\
|--| Цели |---- Цели безопасности для ОО
| | безопасности | |
| | | |
| | | \-- Цели безопасности для среды
| \----------------/
|
| /----------------\ /------------------\ /--------------------\
|--| Требования |----| Требования |-----| Функциональные |
| |безопасности ИТ | | | безопасности для | | | требования |
| | | | | ОО | | | безопасности ОО |
| \----------------/ | \------------------/ | \--------------------/
| | |
| \-- Требования \-- Требования доверия к
| безопасности для безопасности ОО
| среды ИТ
| /----------------\
|--| Краткая |---- Функции
| |спецификация ОО | | безопасности ОО
| | | |
| | | \-- Меры доверия
| \----------------/
|
| /----------------\
|--| Утверждения о |---- Ссылка на ПЗ
| |соответствии ПЗ | |
| | | |
| | | |-- Конкретизация ПЗ
| \----------------/ |
| \-- Дополнение ПЗ
| /----------------\
\--| Обоснование |---- Обоснование целей безопасности
| | |
| | |-- Обоснование требований безопасности
\----------------/ |
|-- Обоснование краткой спецификации ОО
|
\-- Обоснование утверждений о соответствии ПЗ
Рисунок В.1 - Содержание задания по безопасности
В.2.2 Введение ЗБ
Введение ЗБ должно содержать следующую информацию для управления документооборотом и обзорную информацию:
а) идентификация ЗБ должна обеспечивать маркировку и описательную информацию, необходимые, чтобы контролировать и идентифицировать ЗБ и ОО, к которому оно относится;
b) аннотация ЗБ должна давать общую характеристику ЗБ в повествовательной форме. Аннотация должна быть достаточно подробной, чтобы потенциальный потребитель ОО мог решить, представляет ли ОО для него интерес. Аннотация должна быть также пригодна для размещения в виде самостоятельного реферата в перечнях оцененных продуктов;
c) утверждение о соответствии ИСО/МЭК 15408 должно содержать каждое поддающееся оценке утверждение о соответствии ОО ИСО/МЭК 15408, как указано в подразделе 6.4.
В.2.3 Описание ОО
Данная часть ЗБ должна содержать описание ОО, служащее цели лучшего понимания требований его безопасности и дающее представление о типе продукта или системы. Область и ограничения применения ОО должны быть описаны в общих терминах как в отношении физической организации ОО (аппаратные и/или программные компоненты/модули), так и логической его организации (характерные возможности ИТ и безопасности, предлагаемые объектом оценки).
Описание ОО предоставляет контекст для оценки. Информацию, содержащуюся в описании ОО, используют в процессе оценки для выявления противоречий. Если ОО является продуктом или системой, основной функцией которых является безопасность, то данная часть ЗБ может быть использована для более подробного описания возможностей применения ОО.
В.2.4 Среда безопасности ОО
Изложение среды безопасности ОО должно содержать описание аспектов безопасности среды, в которой предполагается использовать ОО, и ожидаемый способ его применения. Данное изложение должно включать в себя:
a) описание предположений, содержащее аспекты безопасности среды, в которой ОО будет использоваться или предполагается к использованию, а также содержать:
1) информацию о предполагаемом использования ОО, включая такие аспекты, как предполагаемая область применения, потенциальная значимость активов и возможные ограничения использования ОО,
2) информацию относительно среды применения ОО, включая аспекты физического окружения, персонала и внешних связей;
b) описание угроз, содержащее угрозы активам, против которых требуется защита средствами ОО или его среды. В описании предположений необходимо приводить не все угрозы, которые могут встретиться в среде, а только влияющие на безопасную эксплуатацию ОО.
Угроза должна быть описана с использованием понятий идентифицированного нарушителя, нападения и актива, который подвергается нападению. Нарушителя следует описывать через такие аспекты, как компетентность, доступные ресурсы и мотивация. Нападение следует описывать через такие аспекты, как возможность, метод нападения и используемые уязвимости.
Если цели безопасности ОО следуют только из политики безопасности организации и предположений, то описание угроз может быть опущено;
c) описание политики безопасности организации, идентифицирующее и, при необходимости, объясняющее все положения политики безопасности организации или правила, которым должен следовать объект оценки. Для представления любого положения политики, позволяющего использовать его для установления четких целей безопасности, могут понадобиться объяснения и интерпретации.
Если цели безопасности следуют только из угроз и предположений безопасности, описание политики безопасности организации может быть опущено.
Для физически распределенного ОО может быть необходимо рассмотреть аспекты среды безопасности (предположения, угрозы, политику безопасности организации) отдельно для каждой из различных областей среды ОО.
В.2.5 Цели безопасности
Изложение целей безопасности должно определять цели безопасности как для ОО, так и для его среды. Цели безопасности должны учитывать все установленные аспекты среды безопасности. Цели безопасности должны отражать изложенное намерение противостоять всем установленным угрозам и быть подходящими для этого, а также охватывать все предположения безопасности и установленную политику безопасности организации. Угрозе может быть противопоставлена одна или более целей для ОО, одна или более целей для среды или их сочетание. Должны быть также идентифицированы категории целей безопасности, приведенные ниже. Если при этом противостояние угрозе или проведение политики безопасности частично возлагается не на ОО, а на его среду, соответствующая цель безопасности должна повторяться в каждой категории:
a) цели безопасности для ОО должны быть четко изложены и сопоставлены с аспектами установленных угроз, которым необходимо противостоять средствами ОО, и/или с политикой безопасности организации, которой должен удовлетворять ОО;
b) цели безопасности для среды ОО должны быть четко изложены и сопоставлены с аспектами установленных угроз, которым не полностью противостоит ОО, и/или с политикой безопасности организации и предположениями, не полностью удовлетворяемыми ОО.
Цели безопасности для среды могут частично или полностью повторять некоторые предположения, сделанные при изложении среды безопасности ОО.
В.2.6 Требования безопасности ИТ
В данной части ЗБ подробно определяются требования безопасности ИТ, которые должны удовлетворяться ОО или его средой. Требования безопасности ОО должны быть изложены следующим образом:
a) если необходимо охватить различные аспекты одного и того же требования (например, при идентификации более чем одного типа пользователя), то допускается повторное использование (то есть применение операции итерации) одного и того же компонента из ИСО/МЭК 15408-2 с тем, чтобы охватить каждый аспект. При изложении требований безопасности ОО должны быть определены функциональные требования и требования доверия, которым должны удовлетворять ОО и свидетельства поддержки его оценки для достижения целей безопасности ОО. Требования безопасности ОО должны быть изложены следующим образом:
1) При изложении функциональных требований безопасности ОО следует определять функциональные требования к ОО, где это возможно, в виде функциональных компонентов из ИСО/МЭК 15408-2.
Если требования доверия к ОО включают в себя компонент AVA_SОF.1 (например 0УД2 и выше), то при изложении функциональных требований безопасности ОО должен быть установлен минимальный уровень стойкости функций безопасности, реализуемых с помощью вероятностного или перестановочного механизма (например, пароля или хэш-функции). Все подобные функции должны соответствовать этому минимальному уровню. Уровень должен быть одним из следующих: базовая СФБ, средняя СФБ и высокая СФБ. Уровень должен выбираться в соответствии с установленными целями безопасности ОО. Для достижения некоторых целей безопасности ОО могут быть определены специальные метрики стойкости функций для выбранных функциональных требований.
В качестве составной части оценки стойкости функций безопасности ОО (AVA_SОF.1) оценивают и утверждения стойкости, сделанные для отдельных функций безопасности ОО, и минимальный уровень стойкости для ОО в целом,
2) при изложении требований доверия к безопасности ОО следует определять их как один из ОУД, возможно, усиленный другими компонентами доверия из ИСО/МЭК 15408-3. Расширение ОУД в ЗБ может осуществляться за счет явного включения дополнительных компонентов доверия, не содержащихся в ИСО/МЭК 15408-3;
b) необязательное изложение требований безопасности для среды ИТ должно определять требования безопасности ИТ, которым должна соответствовать среда ИТ данного ОО. Требования для данной части ПЗ могут быть взяты из ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3 и в этом случае должна быть изменена их формулировка с тем, чтобы четко показать, что данному требованию должна отвечать среда ИТ, а не ОО. Подобное изменение формулировки является особым случаем уточнения и не является предметом требований оценки, связанных с модифицированными компонентами ИСО/МЭК 15408. Если безопасность ОО не зависит от среды ИТ, то данная часть ЗБ может быть опущена;
c) перечисленные ниже общие условия в равной степени относятся к выражению функциональных требований и требований доверия как для ОО, так и для его среды ИТ:
1) если применимо, все требования безопасности ИТ следует устанавливать ссылкой на компоненты требований безопасности из ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3. Если при формировании всех либо части требований не применимы компоненты из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3, то в ЗБ допускается сформулировать необходимые требования безопасности явным образом, без ссылки на ИСО/МЭК 15408,
2) любые функциональные требования и требования доверия к ОО, сформулированные явным образом, должны быть четко и однозначно выражены с тем, чтобы были возможны оценка и демонстрация соответствия данным требованиям. Уровень детализации и способ выражения функциональных требований и требований доверия, принятые в ИСО/МЭК 15408, должны использоваться как образец,
3) любые требуемые операции для раскрытия требований до уровня детализации, необходимого для демонстрации достижения целей безопасности, должны быть использованы. Все специфицированные операции в компонентах требований должны быть завершены,
4) все зависимости между требованиями безопасности ИТ должны быть удовлетворены. Зависимости могут быть удовлетворены включением необходимых требований в состав требований безопасности ОО или требований к среде.
В.2.7 Краткая спецификация ОО
Краткая спецификация ОО должна определить отображение требований безопасности для ОО. Данная спецификация должна предоставить описание функций безопасности и мер доверия к ОО, отвечающих требованиям безопасности ОО. Следует отметить, что информация о функциях безопасности, являющаяся частью краткой спецификации ОО, в некоторых случаях может быть идентична информации, предоставляемой для ОО частью требований семейства ADV_FSP.
Краткая спецификация ОО включает в себя:
а) изложение функций безопасности ОО, которое должно охватывать все функции безопасности ИТ и определять соответствие этих функций функциональным требованиям безопасности ОО. Изложение должно включать в себя сопоставление функций и требований с четким указанием, в удовлетворении каких требований участвует каждая функция, и что все требования удовлетворены. Каждая функция безопасности должна участвовать в удовлетворении, по меньшей мере, одного функционального требования безопасности ОО. При изложении функций безопасности:
1) функции безопасности ИТ должны быть определены неформальным образом на уровне детализации, необходимом для понимания их предназначения,
2) все ссылки на механизмы безопасности, включенные в ЗБ, должны быть сопоставлены с соответствующими функциями безопасности так, чтобы было видно, какие механизмы безопасности используются при реализации каждой функции,
3) если в состав требований доверия к ОО включен компонент AVA_SОF.1, то должны быть идентифицированы все функции безопасности ИТ, реализованные с помощью вероятностного или перестановочного механизма (например, пароля или хэш-функции). Возможность нарушения механизмов таких функций посредством преднамеренного или случайного воздействия имеет непосредственное отношение к безопасности ОО. Должен быть проведен анализ стойкости всех этих функций. Стойкость каждой идентифицированной функции должна быть определена и заявлена как базовая СФБ, средняя СФБ или высокая СФБ либо с применением дополнительно введенной метрики стойкости. Свидетельство, приводимое в отношении стойкости функции безопасности, должно быть достаточным, чтобы позволить оценщикам провести свою независимую оценку и подтвердить, что утверждения о стойкости адекватны и корректны;
b) Изложение мер доверия, которое должно специфицировать меры доверия к ОО, заявленные для удовлетворения изложенных требований доверия. Меры доверия должны быть сопоставлены с требованиями так, чтобы было понятно, какие меры в удовлетворении каких требований участвуют.
Там, где это возможно, меры доверия разрешается определять ссылкой на с
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.