7. Описательные разделы профилей защиты и заданий по безопасности. Руководящий документ "Руководство по разработке профилей защиты и заданий по безопасности" (Гостехкомиссия России, 2003 год)

7. Описательные разделы профилей защиты и заданий по безопасности

Настоящая глава содержит рекомендации по формированию следующих описательных разделов ПЗ и ЗБ:

а) "Введение ПЗ/ЗБ";

б) "Описание ОО" в ПЗ/ЗБ;

в) "Замечания по применению" в ПЗ.

7.1 Описательные части профиля защиты

7.1.1 Раздел "Введение ПЗ"

Подраздел "Идентификация ПЗ".

Назначение данного подраздела состоит в предоставлении информации для идентификации ПЗ, например, в целях последующей регистрации ПЗ. Идентификация, как минимум, должна включать название ПЗ и идентификатор, который является уникальным для данной версии ПЗ. В подраздел "Идентификация ПЗ" также целесообразно включить следующую информацию:

а) ключевые слова;

б) оценочный уровень доверия (ОУД), если он применяется в ПЗ;

в) утверждение о соответствии версии ОК;

г) состояние оценки ПЗ.

Аннотация ПЗ

Согласно ОК подраздел "Аннотация ПЗ" должен иметь форму резюме, используемого также в реестрах и каталогах ПЗ. В данный раздел необходимо включить высокоуровневый обзор проблемы безопасности, которая подлежит решению в ПЗ. Также желателен краткий обзор того, каким образом ПЗ способствует решению проблемы безопасности. При этом необходимо обеспечить соответствие содержанию ПЗ. В случае необходимости "Аннотация ПЗ" может быть расширена до "Резюме для руководителя" или "Резюме для менеджера". Однако если предполагается, что ПЗ будет включен в реестр ПЗ, то соответствующий краткий обзор (обычно один-два параграфа) должен быть сформирован таким образом, чтобы его можно было перенести в реестр.

Профили защиты, с которыми связан рассматриваемый профиль, и другие документы, на которые ссылается (необязательный подраздел)

Если ПЗ связан (или такая связь предполагается) с одним или несколькими другими ПЗ, рекомендуется, чтобы эти профили были идентифицированы в разделе "Введение ПЗ". При этом для пользователя ПЗ представляет особый интерес характер данной связи. При наличии тесной связи оцениваемого ПЗ с существующим оцененным ПЗ результаты оценки последнего могут быть использованы для оценки рассматриваемого ПЗ. Таким образом, основные усилия при оценке ПЗ необходимо будет сконцентрировать на отличиях двух ПЗ.

Необходимо отметить, что в данный подраздел включается информация, которая представляет интерес для пользователя ПЗ и уже известна разработчику ПЗ. При этом от разработчика ПЗ никакой более подробной информации о существующих ПЗ не требуется.

Профиль защиты для большой распределенной системы может ссылаться на ряд других документов (предварительное изучение угроз; документы, содержащие высокоуровневое описание ОО; документы, содержащие описание различных компонентов ИТ-среды). Такие документы могут разрабатываться различными организациями в разное время и противоречить друг другу в терминологии, концепции, в описании среды и целей безопасности. В таких случаях в ПЗ необходимо пояснить, что именно взято из документов, на которые ссылается ПЗ.

Структура и организация профиля защиты (необязательный подраздел)

Данный подраздел предназначен для объяснения структуры и организации ПЗ пользователям, не знакомым с типовой структурой ПЗ. Ниже приведен шаблон рассматриваемого подраздела (текст, зависящий от структуры и содержания ПЗ/ЗБ, обрамлен квадратными скобками и выделен курсивом).

Профиль защиты включает следующие основные разделы: "Описание ОО", "Среда безопасности ОО", "Требования безопасности ИТ" и "Обоснование". [Если в ПЗ включаются требования безопасности для не-ИТ-среды, то целесообразно раздел ПЗ "Требования безопасности ИТ" озаглавить - "Требования безопасности".]

В раздел ПЗ "Описание ОО" включается общая информация об ОО, предназначенная для пояснения требований безопасности, предъявляемых к ОО, и необходимая для оценки ПЗ.

В раздел "Среда безопасности ОО" включается описание аспектов среды безопасности, в которой предполагается использование ОО, а также способ использования ОО. [Если в среде ОО выделены несколько отдельных доменов, целесообразно дополнительно включить в ПЗ следующий текст: "Аспекты среды безопасности рассматриваются отдельно для каждого домена среды безопасности ОО".] Раздел "Среда безопасности ОО" содержит описание:

а) предположений о предназначении ОО и о его среде эксплуатации;

б) угроз безопасному функционированию ОО;

в) ПБОр, которой должен удовлетворять ОО.

[При необходимости пункты б) и/или в) можно опустить]

Цели безопасности отражают сформулированное предназначение ПЗ. Они раскрывают, каким образом ОО должен противостоять идентифицированным угрозам и учитывать предположения и ПБОр. Цели безопасности делятся на цели безопасности для ОО и цели безопасности для среды [иногда целесообразно дополнительно включить в ПЗ следующий текст: одна и та же цель безопасности может быть классифицирована как цель безопасности и для ОО, и для среды].

[Первое предложение, связанное с требованиями безопасности, может быть выбрано разработчиками из следующего списка, исходя из того, какие требования включаются в ПЗ/ЗБ:

1. "Все требования безопасности в настоящем ПЗ имеют отношение к самому ОО" (если задаются требования безопасности только для ОО).

2. "Раздел "Требования безопасности ИТ" содержит в отдельных подразделах требования для ОО и требования для среды ОО" (если задаются требования безопасности для ОО и для среды ОО).

3. "Раздел "Требования безопасности" содержит в отдельных подразделах требования для ОО и требования для среды ОО" (если среда включает не-ИТ-среду)].

Требования безопасности ИТ делятся на: (а) функциональные требования безопасности ОО [если в состав требований доверия к безопасности включен компонент AVA_SOF.1, то необходимо включить следующий текст: "включая требования к стойкости функций безопасности ОО, реализуемым вероятностными или перестановочными механизмами"] и (б) требования доверия к безопасности.

Раздел "Обоснование" содержит свидетельство того, что ПЗ представляет собой полный набор взаимосвязанных требований безопасности ИТ, и что соответствующий данному ПЗ объект оценки надлежащим образом учитывает все аспекты среды безопасности.

Раздел "Обоснование" состоит из двух основных частей. Первая - "Логическое обоснование целей безопасности" - демонстрирует, что цели безопасности надлежащим образом учитывают все аспекты среды безопасности ОО. Вторая - "Логическое обоснование требований безопасности" - демонстрирует, что требования безопасности надлежащим образом учитывают все цели безопасности.

7.1.2 Раздел "Описание ОО"

В раздел "Описание ОО" включается информация следующих видов (первые два вида информации - предписаны ОК, два последних - являются необязательными):

а) тип продукта ИТ;

б) основные функциональные возможности ОО;

в) границы ОО (необязательная информация);

г) среда функционирования ОО (необязательная информация).

Описание "основных функциональных возможностей ОО" включает именно описание функциональных возможностей ОО, а не только характеристик безопасности (если, конечно, обеспечение безопасности не является единственным предназначением ОО).

Описание "границ ОО" (необязательное) - это описание того, что включает и что не включает в себя ОО. При этом ПЗ может оставлять некоторую возможность разработчику соответствующего ЗБ установить окончательные границы между ОО и средой ОО. Тем не менее, диапазон допустимого выбора таких границ должен быть в явном виде установлен в ПЗ.

Описание "среды функционирования ОО" (необязательное) - это описание того, где функционирует ОО, включая важные предположения, ограничения, накладываемые процессами деятельности, и другие ключевые параметры, важные с точки зрения пользователей ПЗ.

При формировании раздела "Описание ОО" необходимо максимально стремиться к тому, чтобы исключить возможность неправильного понимания пользователями ПЗ/ЗБ предназначения ОО и его возможностей по обеспечению безопасности информации (то есть необходимо исключить те детали описания ОО, которые не представляют интереса в свете предполагаемой оценки ОО).

7.1.3 Раздел "Замечания по применению"

Раздел ПЗ "Замечания по применению" является необязательным. Замечания по применению могут быть либо оформлены отдельным разделом ПЗ, либо сопровождать различные части ПЗ, например, отдельные требования безопасности ОО. В замечания по применению целесообразно включать сопроводительную информацию, которая может оказаться полезной при проектировании, оценке и эксплуатации ОО. Основное назначение "замечаний по применению" - пояснить, каким образом конкретные требования безопасности необходимо интерпретировать для рассматриваемого ОО, а также предоставить разработчикам ЗБ рекомендации по выполнению операций (выбор, назначение, уточнение) над функциональными компонентами.

Если "замечания по применению" разнесены по тексту ПЗ, то в этих случаях необходимо их однозначно идентифицировать. Это нужно для того, чтобы пользователь ПЗ интерпретировал их именно как "замечания по применению", а не как, например, уточнения для ФТБ и ТДБ.

7.2 Описательные части задания по безопасности

7.2.1 Раздел "Введение ЗБ"

При формировании раздела "Введение ЗБ" целесообразно руководствоваться рекомендациями по формированию раздела "Введение ПЗ" (см. п. 7.1), за исключением следующего:

а) утверждение о соответствии ОК является необязательным для ЗБ;

б) к ЗБ неприменимы процедуры регистрации ПЗ;

в) может потребоваться идентификация ЗБ, связанных с рассматриваемым ЗБ, если ОО представляет собой составной ОО, либо является частью составного ОО.

7.2.2 Раздел "Описание ОО"

При формировании раздела "Описание ОО" целесообразно руководствоваться рекомендациями по формированию раздела "Введение ПЗ" (см. п. 7.1), за исключением того, что "границы ОО" должны быть определены, как в части аппаратных и программных компонентов (физические границы), так и в части функциональных характеристик безопасности ОО.