Приложение 1. Резюме. Руководящий документ "Руководство по разработке профилей защиты и заданий по безопасности" (Гостехкомиссия России, 2003 год)

Приложение 1

Резюме

Данное приложение содержит описание ключевых вопросов, изложенных в главах 7-13 настоящего Руководства.

П1.1. Введение ПЗ/ЗБ

В раздел "Введение ПЗ/ЗБ" необходимо включить обзор проблемы безопасности, которая подлежит решению в ПЗ/ЗБ, а также краткий обзор того, каким образом ПЗ/ЗБ способствует решению проблемы безопасности. При этом необходимо обеспечить их соответствие содержанию ПЗ/ЗБ.

П1.2. Описание ОО

В раздел ПЗ/ЗБ "Описание ОО" необходимо включить описание всех функциональных возможностей ОО, а не только характеристик безопасности (если, конечно, обеспечение безопасности не является единственным предназначением ОО).

В раздел ПЗ "Описание ОО" описание "границ ОО" может не включаться. Описание "границ ОО" - это описание того, что включает и что не включает в себя ОО.

В раздел ЗБ "Описание ОО" описание "границ ОО" включается обязательно. "Границы ОО" должны быть определены как в части аппаратных и программных компонентов (физические границы), так и в части функциональных характеристик безопасности ОО.

Необходимо обеспечить соответствие раздела "Описание ОО" содержанию ПЗ/ЗБ.

П1.3. Среда безопасности ОО

П1.3.1. Предположения безопасности

Идентификация

В подраздел "Предположения безопасности" необходимо включить перечень предположений относительно среды безопасности ОО, связанных с вопросами физической защиты, персоналом и вопросами связности среды и ОО.

Спецификация

Необходимо, по возможности, при формулировании предположений безопасности избегать включения любых деталей, касающихся функций безопасности ОО.

Представление

Для упрощения ссылок необходимо, чтобы каждое предположение безопасности было пронумеровано или имело уникальную метку.

П1.3.2. Угрозы

Идентификация

При идентификации угроз необходимо описать активы ИТ, подлежащие защите, методы нападений и другие нежелательные события, которые необходимо учитывать при защите, и источники угроз.

Спецификация

При спецификации необходимо обеспечить четкое описание угроз путем представления детальной информации относительно источника угрозы, активов ИТ, подверженных нападению, и метода нападения.

При этом необходимо обеспечить краткость в описании каждой отдельной угрозы с тем, чтобы минимизировать перекрытие описания различных угроз.

Описание угроз должно затрагивать только те потенциальные события, которые непосредственно могут привести к компрометации активов, подлежащих защите. В ПЗ/ЗБ не рекомендуется включать описание угроз, связанных с недостатками в реализации ОО.

Представление

Для упрощения ссылок необходимо, чтобы каждая угроза имела уникальную метку.

П1.3.3. Политика безопасности организации

Идентификация

Как правила ПБОр необходимо трактовать любые требования политики безопасности, которые не могут быть сформулированы исключительно на основе анализа угроз.

Спецификация

Необходимо определить ПБОр в виде совокупности правил, предназначенных для реализации ОО и/или его средой (например, правила управления доступом).

Представление

Для упрощения ссылок необходимо, чтобы каждое правило ПБОр имело уникальную метку.

П1.4. Цели безопасности

Идентификация

Если функциональные требования безопасности уже определены, то для каждого основного ФТБ (или группы ФТБ) необходимо поставить в соответствие некоторую цель безопасности для ОО.

Необходимо идентифицировать цели безопасности, ответственность за достижение которых возложено на ИТ-среду (например, на ОС, под управлением которой работает ОО, или на некоторую другую платформу, на базе которой работает ОО), как цели безопасности для среды.

Необходимо идентифицировать процедуры, связанные с использованием контрмер ОО, как цели безопасности для среды.

Спецификация

При изложении целей безопасности для ОО необходимо установить (в заданном разработчиком ПЗ/ЗБ объеме) возлагаемую на ОО ответственность за противостояние угрозам и следование ПБОр. При этом следует избегать того, чтобы формулировка целей безопасности являлась бы простым повторением, хотя и в несколько другой форме, информации, содержащейся в описании угроз и ПБОр, а также - деталей реализации.

Изложение целей безопасности для ОО, направленных на противостояние угрозам, должно ясно свидетельствовать, к какому типу (цели предупредительного характера, цели обнаружения или цели реагирования) принадлежит каждая цель безопасности.

Представление

Для упрощения ссылок необходимо, чтобы каждая цель безопасности имела уникальную метку.

П1.5. Требования безопасности ИТ

П1.5.1. Функциональные требования безопасности ОО

Идентификация

В первую очередь необходимо идентифицировать основные ФТБ, которые непосредственно удовлетворяют конкретным целям безопасности для ОО. Далее необходимо сформировать полную совокупность поддерживающих ФТБ, которые играют поддерживающую (по отношению к основным ФТБ) роль в достижении целей безопасности для ОО.

Формирование полной совокупности поддерживающих ФТБ предусматривает учет зависимостей функциональных компонентов, определенных в части 2 ОК. Некоторые зависимости могут быть оставлены неудовлетворенными. При этом необходимо дать объяснение, почему соответствующие ФТБ не используются для удовлетворения целей безопасности.

Спецификация

Необходимо осуществить выбор уровня аудита безопасности, исходя из следующих основных факторов:

- значимости аудита безопасности для достижения целей безопасности;

- технической реализуемости.

Необходимо использовать операцию "итерация" в случае необходимости неоднократного использования функционального компонента, определенного в части 2 ОК.

В ПЗ необходимо осуществить полное либо частичное выполнение операций "назначение" и "выбор" над функциональными компонентами, направленное на недопущение выбора разработчиком ЗБ таких решений, которые бы противоречили целям безопасности для ОО.

Рекомендуется использовать операцию "уточнение" в тех случаях, когда замена общего термина (например, атрибут безопасности) на специфический для рассматриваемого ОО термин делает соответствующие ФТБ более читабельными и понятными.

Представление

Рекомендуется в ПЗ/ЗБ результаты выполнения операций выделять курсивом (либо каким-либо другим способом).

Целесообразно объединить ФТБ в группы и озаглавить данные группы ФТБ, исходя из контекста ПЗ. Заголовки групп ФТБ могут отличаться от заголовков классов, семейств и компонентов, определенных в части 2 ОК.

Для маркировки ФТБ в ПЗ/ЗБ совсем не обязательно использовать систему маркировки компонентов, принятую в части 2 ОК. Для этих целей разработчик ПЗ/ЗБ может использовать свою собственную систему маркировки ФТБ (например, на основе более информативных меток). При использовании собственной системы маркировки ФТБ разработчик ПЗ/ЗБ должен представить (например, в приложении к ПЗ/ЗБ) отображение представленных в ПЗ/ЗБ ФТБ на соответствующие функциональные компоненты, определенные в части 2 ОК.

П1.5.2. Требования доверия к безопасности ОО

Идентификация

Выбор требований доверия к безопасности необходимо осуществлять с учетом следующих основных факторов:

а) ценности активов, подлежащих защите, и осознаваемого риска их компрометации;

б) технической реализуемости;

в) стоимости разработки и оценки;

г) требуемого времени для разработки и оценки ОО.

П1.5.3. Требования безопасности для ИТ-среды

Идентификация

Для удовлетворения целей безопасности для среды необходимо сформулировать требования безопасности для ИТ-среды.

Требования безопасности для ИТ-среды могут быть сформулированы в процессе удовлетворения зависимостей ФТБ ОО, которые не удовлетворены ОО и для которых не представлено обоснование отсутствия необходимости в их удовлетворении (для достижения целей безопасности).

Спецификация

Формулировать требования безопасности для ИТ-среды необходимо на некотором приемлемом уровне абстракции. При этом необходимо учитывать, что определение в ПЗ требований безопасности для ИТ-среды на уровне абстракции, соответствующем уровню представления ФТБ, может оказаться слишком детальным с точки зрения их реализации.

П1.6. Краткая спецификация ОО (только для ЗБ)

П1.6.1. Функции безопасности ОО

Идентификация

Необходимо идентифицировать функции безопасности ИТ на основе ранее сформулированных ФТБ. Функции безопасности ИТ должны быть изложены таким образом, чтобы максимально точно соответствовать документации ОО и наглядно отображаться на соответствующие ФТБ.

Спецификация

Необходимо специфицировать функции безопасности ИТ путем использования специфических для ОО терминологии и деталей. При этом нельзя упустить ни одну из существенных деталей, содержащихся в ФТБ.

П1.6.2. Меры доверия к безопасности

Идентификация

При идентификации мер доверия к безопасности необходимо продемонстрировать, что они охватывают все требования доверия к безопасности.

Для низких уровней доверия к безопасности (не требующих использования специальных методов и способов) раздел ЗБ "Краткая спецификация ОО" не должен содержать значительного объема дополнительной информации, кроме общих утверждений о том, что используются (или будут использоваться) необходимые для удовлетворения требований доверия к безопасности меры доверия к безопасности.

На более высоких уровнях доверия к безопасности (ОУД 5 и выше) необходима большая детализация (идентификация конкретных детализированных мер доверия к безопасности), например, ссылки на конкретные инструментальные средства, методы или подходы, которые должен использовать разработчик для удовлетворения требований доверия к безопасности.

П1.7. Обоснование ПЗ

П1.7.1. Логическое обоснование целей безопасности

Необходимо продемонстрировать (табличным или другим способом), что цели безопасности охватывают все установленные в разделе ПЗ "Среда безопасности ОО" аспекты среды безопасности ОО (угрозы, ПБОр и предположения безопасности).

Таблицу соответствия целей безопасности и аспектов среды безопасности ОО целесообразно дополнить неформальным объяснением пригодности целей безопасности для учета угроз, ПБОр и предположений безопасности.

П1.7.2. Логическое обоснование требований безопасности

Необходимо продемонстрировать (табличным или другим способом), что каждая цель безопасности для ОО учтена, по крайней мере, одним ФТБ. Табличное представление должно быть дополнено неформальным объяснением достаточности ФТБ для удовлетворения каждой цели безопасности.

Необходимо продемонстрировать взаимную поддержку ФТБ следующим образом:

а) показать, что, где необходимо, зависимости компонентов требований безопасности удовлетворены;

б) показать, что ФТБ являются согласованными (не противоречат друг другу);

в) показать, что, где необходимо, включены поддерживающие ФТБ, предназначенные для защиты механизмов безопасности, реализующих другие ФТБ, от нападений типа "обход", "несанкционированное изменение" и "деактивация".

П1.8. Обоснование ЗБ

П1.8.1. Логическое обоснование целей и требований безопасности

Формирование данных подразделов "Обоснования" в ЗБ аналогично формированию соответствующих подразделов "Обоснования" в ПЗ (см. п. П1.7).

Если ЗБ требует согласования с одним или более ПЗ, то раздел ПЗ "Обоснование" наследуется ЗБ. При этом в разделе ЗБ "Обоснование" основное внимание должно акцентироваться на дополнительных (по отношению к ПЗ) деталях, введенных в цели безопасности и требования безопасности ИТ.

П1.8.2. Логическое обоснование краткой спецификации ОО

Необходимо продемонстрировать (табличным или другим способом), что функции безопасности ИТ охватывают все ФТБ, а меры доверия к безопасности - все ТДБ. При этом необходимо показать, что каждое ФТБ или ТДБ учтено, по крайней мере, одной функцией безопасности ИТ или мерой доверия к безопасности соответственно.