Приложение В. Спецификация заданий по безопасности (обязательное). Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15408-1-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 519-ст) (прекратил действие)

Приложение В
(обязательное)

Спецификация заданий по безопасности

В.1 Краткий обзор

ЗБ содержит требования безопасности ИТ для конкретного ОО и специфицирует функции безопасности и меры доверия, предлагаемые объектом оценки для удовлетворения установленных требований.

ЗБ для ОО является основой соглашения между разработчиками, оценщиками и, где необходимо, потребителями по характеристикам безопасности ОО и области применения оценки. Круг лиц, заинтересованных в ЗБ, не ограничивается только лицами, ответственными за разработку ОО и его оценку, но может включать в себя также лиц, ответственных за управление, маркетинг, продажу, инсталляцию, конфигурирование, функционирование и использование ОО.

В ЗБ разрешено включать требования одного или нескольких ПЗ или утверждать о соответствии им. Влияние утверждения о соответствии ПЗ на содержание ЗБ рассматривается в В.2.8.

Настоящее приложение содержит требования к ЗБ в повествовательной форме. В классе доверия ASE, в ИСО/МЭК15408-3, раздел 9, эти требования приведены в форме компонентов доверия, которые следует использовать при оценке ЗБ.

В.2 Содержание задания по безопасности

В.2.1 Содержание и представление

ЗБ должно соответствовать требованиям к содержанию, изложенным в настоящем приложении. ЗБ следует представлять в виде ориентированного на пользователя документа, содержащего минимум ссылок на другие материалы, которые могут быть недоступны пользователю данного ЗБ. Обоснование допускается оформлять отдельно.

Содержание ЗБ представлено на рисунке В.1, который следует использовать при создании структурной схемы ЗБ.

Задание по безопасности (ЗБ)

 |

 |  /----------------\

 |--|  Введение ЗБ   |---- Идентификация ЗБ

 |  |                | |

 |  |                | |-- Аннотация ЗБ

 |  \----------------/ |

 |                     \-- Соответствие ИСО/МЭК 15408

 |

 |  /----------------\

 |--|  Описание ОО   |

 |  \----------------/

 |

 |  /----------------\

 |--|     Среда      |---- Предположения безопасности

 |  |                | |

 |  |безопасности ОО | |-- Угрозы

 |  \----------------/ |

 |                     \-- Политика безопасности организации

 |

 |  /----------------\

 |--|      Цели      |---- Цели безопасности для ОО

 |  |  безопасности  | |

 |  |                | |

 |  |                | \-- Цели безопасности для среды

 |  \----------------/

 |

 |  /----------------\    /------------------\     /--------------------\

 |--|   Требования   |----|    Требования    |-----|   Функциональные   |

 |  |безопасности ИТ | |  | безопасности для |  |  |     требования     |

 |  |                | |  |        ОО        |  |  |  безопасности ОО   |

 |  \----------------/ |  \------------------/  |  \--------------------/

 |                     |                        |

 |                     \-- Требования           \-- Требования доверия к

 |                         безопасности для         безопасности ОО

 |                         среды ИТ

 |  /----------------\

 |--|    Краткая     |---- Функции

 |  |спецификация ОО | |   безопасности ОО

 |  |                | |

 |  |                | \-- Меры доверия

 |  \----------------/

 |

 |  /----------------\

 |--| Утверждения о  |---- Ссылка на ПЗ

 |  |соответствии ПЗ | |

 |  |                | |

 |  |                | |-- Конкретизация ПЗ

 |  \----------------/ |

 |                     \-- Дополнение ПЗ

 |  /----------------\

 \--|  Обоснование   |---- Обоснование целей безопасности

    |                | |

    |                | |-- Обоснование требований безопасности

    \----------------/ |

                       |-- Обоснование краткой спецификации ОО

                       |

                       \-- Обоснование утверждений о соответствии ПЗ

Рисунок В.1 - Содержание задания по безопасности

В.2.2 Введение ЗБ

Введение ЗБ должно содержать следующую информацию для управления документооборотом и обзорную информацию:

а) идентификация ЗБ должна обеспечивать маркировку и описательную информацию, необходимые, чтобы контролировать и идентифицировать ЗБ и ОО, к которому оно относится;

b) аннотация ЗБ должна давать общую характеристику ЗБ в повествовательной форме. Аннотация должна быть достаточно подробной, чтобы потенциальный потребитель ОО мог решить, представляет ли ОО для него интерес. Аннотация должна быть также пригодна для размещения в виде самостоятельного реферата в перечнях оцененных продуктов;

c) утверждение о соответствии ИСО/МЭК 15408 должно содержать каждое поддающееся оценке утверждение о соответствии ОО ИСО/МЭК 15408, как указано в подразделе 6.4.

В.2.3 Описание ОО

Данная часть ЗБ должна содержать описание ОО, служащее цели лучшего понимания требований его безопасности и дающее представление о типе продукта или системы. Область и ограничения применения ОО должны быть описаны в общих терминах как в отношении физической организации ОО (аппаратные и/или программные компоненты/модули), так и логической его организации (характерные возможности ИТ и безопасности, предлагаемые объектом оценки).

Описание ОО предоставляет контекст для оценки. Информацию, содержащуюся в описании ОО, используют в процессе оценки для выявления противоречий. Если ОО является продуктом или системой, основной функцией которых является безопасность, то данная часть ЗБ может быть использована для более подробного описания возможностей применения ОО.

В.2.4 Среда безопасности ОО

Изложение среды безопасности ОО должно содержать описание аспектов безопасности среды, в которой предполагается использовать ОО, и ожидаемый способ его применения. Данное изложение должно включать в себя:

a) описание предположений, содержащее аспекты безопасности среды, в которой ОО будет использоваться или предполагается к использованию, а также содержать:

1) информацию о предполагаемом использования ОО, включая такие аспекты, как предполагаемая область применения, потенциальная значимость активов и возможные ограничения использования ОО,

2) информацию относительно среды применения ОО, включая аспекты физического окружения, персонала и внешних связей;

b) описание угроз, содержащее угрозы активам, против которых требуется защита средствами ОО или его среды. В описании предположений необходимо приводить не все угрозы, которые могут встретиться в среде, а только влияющие на безопасную эксплуатацию ОО.

Угроза должна быть описана с использованием понятий идентифицированного нарушителя, нападения и актива, который подвергается нападению. Нарушителя следует описывать через такие аспекты, как компетентность, доступные ресурсы и мотивация. Нападение следует описывать через такие аспекты, как возможность, метод нападения и используемые уязвимости.

Если цели безопасности ОО следуют только из политики безопасности организации и предположений, то описание угроз может быть опущено;

c) описание политики безопасности организации, идентифицирующее и, при необходимости, объясняющее все положения политики безопасности организации или правила, которым должен следовать объект оценки. Для представления любого положения политики, позволяющего использовать его для установления четких целей безопасности, могут понадобиться объяснения и интерпретации.

Если цели безопасности следуют только из угроз и предположений безопасности, описание политики безопасности организации может быть опущено.

Для физически распределенного ОО может быть необходимо рассмотреть аспекты среды безопасности (предположения, угрозы, политику безопасности организации) отдельно для каждой из различных областей среды ОО.

В.2.5 Цели безопасности

Изложение целей безопасности должно определять цели безопасности как для ОО, так и для его среды. Цели безопасности должны учитывать все установленные аспекты среды безопасности. Цели безопасности должны отражать изложенное намерение противостоять всем установленным угрозам и быть подходящими для этого, а также охватывать все предположения безопасности и установленную политику безопасности организации. Угрозе может быть противопоставлена одна или более целей для ОО, одна или более целей для среды или их сочетание. Должны быть также идентифицированы категории целей безопасности, приведенные ниже. Если при этом противостояние угрозе или проведение политики безопасности частично возлагается не на ОО, а на его среду, соответствующая цель безопасности должна повторяться в каждой категории:

a) цели безопасности для ОО должны быть четко изложены и сопоставлены с аспектами установленных угроз, которым необходимо противостоять средствами ОО, и/или с политикой безопасности организации, которой должен удовлетворять ОО;

b) цели безопасности для среды ОО должны быть четко изложены и сопоставлены с аспектами установленных угроз, которым не полностью противостоит ОО, и/или с политикой безопасности организации и предположениями, не полностью удовлетворяемыми ОО.

Цели безопасности для среды могут частично или полностью повторять некоторые предположения, сделанные при изложении среды безопасности ОО.

В.2.6 Требования безопасности ИТ

В данной части ЗБ подробно определяются требования безопасности ИТ, которые должны удовлетворяться ОО или его средой. Требования безопасности ОО должны быть изложены следующим образом:

a) если необходимо охватить различные аспекты одного и того же требования (например, при идентификации более чем одного типа пользователя), то допускается повторное использование (то есть применение операции итерации) одного и того же компонента из ИСО/МЭК 15408-2 с тем, чтобы охватить каждый аспект. При изложении требований безопасности ОО должны быть определены функциональные требования и требования доверия, которым должны удовлетворять ОО и свидетельства поддержки его оценки для достижения целей безопасности ОО. Требования безопасности ОО должны быть изложены следующим образом:

1) При изложении функциональных требований безопасности ОО следует определять функциональные требования к ОО, где это возможно, в виде функциональных компонентов из ИСО/МЭК 15408-2.

Если требования доверия к ОО включают в себя компонент AVA_SОF.1 (например 0УД2 и выше), то при изложении функциональных требований безопасности ОО должен быть установлен минимальный уровень стойкости функций безопасности, реализуемых с помощью вероятностного или перестановочного механизма (например, пароля или хэш-функции). Все подобные функции должны соответствовать этому минимальному уровню. Уровень должен быть одним из следующих: базовая СФБ, средняя СФБ и высокая СФБ. Уровень должен выбираться в соответствии с установленными целями безопасности ОО. Для достижения некоторых целей безопасности ОО могут быть определены специальные метрики стойкости функций для выбранных функциональных требований.

В качестве составной части оценки стойкости функций безопасности ОО (AVA_SОF.1) оценивают и утверждения стойкости, сделанные для отдельных функций безопасности ОО, и минимальный уровень стойкости для ОО в целом,

2) при изложении требований доверия к безопасности ОО следует определять их как один из ОУД, возможно, усиленный другими компонентами доверия из ИСО/МЭК 15408-3. Расширение ОУД в ЗБ может осуществляться за счет явного включения дополнительных компонентов доверия, не содержащихся в ИСО/МЭК 15408-3;

b) необязательное изложение требований безопасности для среды ИТ должно определять требования безопасности ИТ, которым должна соответствовать среда ИТ данного ОО. Требования для данной части ПЗ могут быть взяты из ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3 и в этом случае должна быть изменена их формулировка с тем, чтобы четко показать, что данному требованию должна отвечать среда ИТ, а не ОО. Подобное изменение формулировки является особым случаем уточнения и не является предметом требований оценки, связанных с модифицированными компонентами ИСО/МЭК 15408. Если безопасность ОО не зависит от среды ИТ, то данная часть ЗБ может быть опущена;

c) перечисленные ниже общие условия в равной степени относятся к выражению функциональных требований и требований доверия как для ОО, так и для его среды ИТ:

1) если применимо, все требования безопасности ИТ следует устанавливать ссылкой на компоненты требований безопасности из ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3. Если при формировании всех либо части требований не применимы компоненты из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3, то в ЗБ допускается сформулировать необходимые требования безопасности явным образом, без ссылки на ИСО/МЭК 15408,

2) любые функциональные требования и требования доверия к ОО, сформулированные явным образом, должны быть четко и однозначно выражены с тем, чтобы были возможны оценка и демонстрация соответствия данным требованиям. Уровень детализации и способ выражения функциональных требований и требований доверия, принятые в ИСО/МЭК 15408, должны использоваться как образец,

3) любые требуемые операции для раскрытия требований до уровня детализации, необходимого для демонстрации достижения целей безопасности, должны быть использованы. Все специфицированные операции в компонентах требований должны быть завершены,

4) все зависимости между требованиями безопасности ИТ должны быть удовлетворены. Зависимости могут быть удовлетворены включением необходимых требований в состав требований безопасности ОО или требований к среде.

В.2.7 Краткая спецификация ОО

Краткая спецификация ОО должна определить отображение требований безопасности для ОО. Данная спецификация должна предоставить описание функций безопасности и мер доверия к ОО, отвечающих требованиям безопасности ОО. Следует отметить, что информация о функциях безопасности, являющаяся частью краткой спецификации ОО, в некоторых случаях может быть идентична информации, предоставляемой для ОО частью требований семейства ADV_FSP.

Краткая спецификация ОО включает в себя:

а) изложение функций безопасности ОО, которое должно охватывать все функции безопасности ИТ и определять соответствие этих функций функциональным требованиям безопасности ОО. Изложение должно включать в себя сопоставление функций и требований с четким указанием, в удовлетворении каких требований участвует каждая функция, и что все требования удовлетворены. Каждая функция безопасности должна участвовать в удовлетворении, по меньшей мере, одного функционального требования безопасности ОО. При изложении функций безопасности:

1) функции безопасности ИТ должны быть определены неформальным образом на уровне детализации, необходимом для понимания их предназначения,

2) все ссылки на механизмы безопасности, включенные в ЗБ, должны быть сопоставлены с соответствующими функциями безопасности так, чтобы было видно, какие механизмы безопасности используются при реализации каждой функции,

3) если в состав требований доверия к ОО включен компонент AVA_SОF.1, то должны быть идентифицированы все функции безопасности ИТ, реализованные с помощью вероятностного или перестановочного механизма (например, пароля или хэш-функции). Возможность нарушения механизмов таких функций посредством преднамеренного или случайного воздействия имеет непосредственное отношение к безопасности ОО. Должен быть проведен анализ стойкости всех этих функций. Стойкость каждой идентифицированной функции должна быть определена и заявлена как базовая СФБ, средняя СФБ или высокая СФБ либо с применением дополнительно введенной метрики стойкости. Свидетельство, приводимое в отношении стойкости функции безопасности, должно быть достаточным, чтобы позволить оценщикам провести свою независимую оценку и подтвердить, что утверждения о стойкости адекватны и корректны;

b) Изложение мер доверия, которое должно специфицировать меры доверия к ОО, заявленные для удовлетворения изложенных требований доверия. Меры доверия должны быть сопоставлены с требованиями так, чтобы было понятно, какие меры в удовлетворении каких требований участвуют.

Там, где это возможно, меры доверия разрешается определять ссылкой на соответствующие планы обеспечения качества, жизненного цикла или управления.

В.2.8 Утверждения о соответствии ПЗ

ЗБ может содержать утверждения о соответствии требованиям одного или нескольких ПЗ. Для каждого из имеющихся утверждений ЗБ должно включать в себя изложение утверждения о соответствии ПЗ, содержащее объяснение, логическое обоснование и другие вспомогательные материалы, необходимые для подкрепления данного утверждения.

Содержание и представление в ЗБ целей и требований для ОО может зависеть от того, делаются ли для ОО утверждения о соответствии ПЗ. Влияние на содержание ЗБ утверждения о соответствии ПЗ может быть сведено в итоге к одному из следующих вариантов:

a) если утверждений о соответствии ПЗ нет, то приводят полное описание целей и требований безопасности ОО в соответствии с настоящим приложением. При этом данный раздел ЗБ опускается;

b) если ЗБ содержит утверждение о соответствии требованиям какого-либо ПЗ без необходимости их дальнейшего уточнения, то ссылки на ПЗ достаточно для определения и логического обоснования целей и требований безопасности ОО. Повторное изложение содержания ПЗ не является обязательным;

c) если ЗБ содержит утверждение о соответствии требованиям какого-либо ПЗ и требования этого ПЗ нуждаются в дальнейшем уточнении, то в ЗБ должно быть показано, что требования по уточнению ПЗ удовлетворены. Такая ситуация обычно возникает, если ПЗ содержит незавершенные операции. В этом случае в ЗБ допускается ссылка на эти требования, но при этом следует завершить операции в пределах ЗБ. В некоторых случаях, если завершение операций приводит к существенным изменениям, может быть предпочтительным повторно изложить содержание ПЗ в составе ЗБ;

d) если ЗБ содержит утверждение о соответствии требованиям какого-либо ПЗ, но последний расширяется добавлением дополнительных целей и требований, то в ЗБ должны быть определены эти дополнения с учетом того, что ссылки на ПЗ может быть достаточно для определения целей и требований безопасности ПЗ. В случаях, если дополнения к ПЗ существенны, может быть предпочтительным повторно изложить содержание ПЗ в составе ЗБ;

e) вариант, когда в ЗБ утверждается о частичном соответствии ПЗ, неприемлем для оценки по ИСО/МЭК 15408.

ИСО/МЭК 15408 не предписывает выбор ссылки на ПЗ или повторение изложения его целей и требований. Основным является требование, чтобы содержание ЗБ было полным, ясным и однозначным настолько, чтобы оценка ЗБ была возможной, а само ЗБ являлось приемлемой основой для оценки ОО и четко прослеживалось соответствие каждому заявленному ПЗ.

Если сделано утверждение о соответствии какому-либо ПЗ, то изложение утверждений о соответствии должно содержать для каждого ПЗ:

a) ссылку на ПЗ, идентифицирующую ПЗ, соответствие которому утверждается, и любые дополнительные материалы, которые необходимы для данного утверждения. Обоснованное утверждение о соответствии подразумевает, что ОО удовлетворяет всем требованиям ПЗ;

b) конкретизацию ПЗ, идентифицирующую требования безопасности ИТ, в которых выполняются операции, разрешенные в ПЗ, или дополнительно уточняются требования ПЗ;

c) дополнение ПЗ, идентифицирующее цели и требования безопасности ОО, которые дополняют цели и требования ПЗ.

В.2.9 Замечания по применению

Данная часть ЗБ не является обязательной и может содержать дополнительную информацию, которая считается необходимой или полезной для понимания ЗБ. Необходимо отметить, что если ЗБ содержит утверждение о соответствии требованиям ПЗ, то может быть уместным, чтобы определенная информация, содержащаяся в потенциальном подразделе ПЗ "Замечания по применению", была отражена в других подразделах ЗБ. Например, информацию о конструкции ОО более уместно представить в краткой спецификации ОО или в разделе ЗБ "Обоснование", чем в подразделе ЗБ "Замечания по применению". Для упрощения оценки ЗБ замечания по применению, содержащие необходимый для оценки материал, следует помещать в тот подраздел ЗБ, который предоставляет свидетельство для соответствующего аспекта оценки.

В.2.10 Обоснование

В данной части ЗБ представляется свидетельство, используемое при оценке ЗБ. Данное свидетельство поддерживает утверждения, что ЗБ является полной и взаимосвязанной совокупностью требований и соответствующий ему ОО обеспечит эффективный набор контрмер безопасности ИТ в определенной среде безопасности, а краткая спецификация ОО согласуется с требованиями безопасности. Обоснование также демонстрирует, что все утверждения о соответствии ПЗ справедливы. Обоснование должно включать в себя:

a) обоснование целей безопасности, демонстрирующее, что изложенные цели безопасности сопоставлены со всеми идентифицированными аспектами среды безопасности ОО и пригодны для их охвата;

b) обоснование требований безопасности, демонстрирующее, что совокупность требований безопасности (ОО и его среды) пригодна для достижения целей безопасности и сопоставлена с ними. Должно быть продемонстрировано, что:

1) сочетание отдельных компонентов функциональных требований и требований доверия для ОО и его среды ИТ в совокупности соответствует изложенным целям безопасности,

2) данный набор требований безопасности образует единое и внутренне непротиворечивое целое,

3) выбор требований безопасности логически обоснован. Должны быть логически обоснованы:

- выбор требований, не содержащихся в ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3;

- выбор требований доверия, не включенных в какой-либо ОУД;

- случаи неудовлетворения зависимостей,

4) выбранный для ЗБ уровень стойкости функций и заявленная в явном виде стойкость функций согласуются с целями безопасности ОО;

c) обоснование краткой спецификации ОО, показывающее, что функции безопасности и меры доверия к ОО пригодны для того, чтобы соответствовать требованиям безопасности ОО. Должно быть продемонстрировано, что:

1) сочетание специфицированных для ОО функций безопасности ИТ при совместном использовании удовлетворяет функциональным требованиям безопасности ОО,

2) сделанные утверждения о стойкости функций безопасности ОО либо заявление, что в таких утверждениях нет необходимости, справедливы,

3) утверждение о соответствии изложенных мер доверия требованиям доверия логически обосновано. Уровень детализации обоснования должен соответствовать уровню детализации определения функций безопасности;

d) обоснование утверждений о соответствии ПЗ, объясняющее любые различия между целями и требованиями безопасности ЗБ и любого ПЗ, соответствие которому утверждается. Данная часть ЗБ может быть опущена, если ЗБ не содержит утверждений о соответствии ПЗ или цели и требования безопасности ЗБ и каждого ПЗ, соответствие которому утверждается, полностью совпадают.

Данный потенциально объемный материал допускается распространять отдельно, поскольку он необходим или полезен не для всех пользователей ЗБ.