13. Разделы "Обоснование" профилей защиты и заданий по безопасности. Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 15446-2008 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности" (утв. введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 526-ст) (утратил силу)

13 Разделы "Обоснование" профилей защиты и заданий по безопасности

13.1 Введение

Настоящий раздел представляет собой руководство по формированию раздела ПЗ "Обоснование".

Назначение раздела ПЗ "Обоснование" заключается в том, чтобы показать, как соответствующий профилю защиты ОО обеспечивает эффективный набор контрмер безопасности ИТ в пределах среды безопасности. В частности, раздел ПЗ "Обоснование" показывает, что требования безопасности ИТ удовлетворяют целям безопасности, которые, в свою очередь, учитывают все аспекты среды безопасности ОО. Раздел ПЗ "Обоснование" представляет наибольший интерес для оценщика ПЗ и в то же время может быть полезен для других пользователей ПЗ.

Требования к разделу ПЗ "Обоснование" представлены на рисунке 6.

Дополнительно раздел "Обоснование ПЗ" должен показать, что:

a) формулировка требований доверия к безопасности является надлежащей;

b) неудовлетворенные зависимости требований безопасности ИТ, включенных в ПЗ, не являются необходимыми.

В разделе "Обоснование ПЗ" настоятельно рекомендуется использовать таблицы, сопровождаемые, где необходимо, необязательным объяснением, что делает раздел более кратким и упрощает его использование.

13.2 Представление в профилях защиты и заданиях по безопасности обоснования целей безопасности

Обоснование целей безопасности должно показывать, что изложенные цели безопасности охватывают все установленные в разделе ПЗ "Среда безопасности ОО" аспекты среды безопасности ОО. При этом должно быть показано не только то, что цели безопасности охватывают все аспекты среды безопасности ОО, но и необходимость достижения этих целей.

Данные цели могут быть достигнуты следующим образом.

Во-первых, перекрестные ссылки: угрозы, ПБОр, предположения - цели безопасности, охватывающие аспекты среды безопасности ОО, целесообразно представить в форме таблиц.

При этом пользователю ПЗ при изучении этих таблиц должно быть наглядно показано, что:

a) каждая цель безопасности охватывает, по крайней мере, одну угрозу, правило ПБОр или предположение безопасности;

b) каждая угроза, правило ПБОр и предположение безопасности охвачены, по крайней мере, одной целью безопасности.

Во-вторых, необходимо показать, что цели безопасности достаточны для учета всех аспектов среды безопасности ОО. Для этого таблицу соответствия целей безопасности и аспектов среды безопасности ОО целесообразно дополнить следующими необязательными объяснениями:

a) для каждой угрозы - относительно того, что изложенные цели безопасности предусматривают эффективные контрмеры по отношению к угрозам, то есть цели безопасности показывают, что событие, указанное в спецификации угрозы, будет:

- обнаружено, и его последствия компенсированы (или ущерб от его наступления ограничен), либо

- предотвращено (или снижена до приемлемого уровня вероятность его наступления);

b) для ПБОр и всех предположений безопасности - относительно того, каким образом изложенные цели безопасности обеспечивают охват ПБОр и учитывают предположения безопасности.

Объяснение должно показать:

a) роль каждой цели безопасности в противостоянии угрозе или удовлетворении ПБОр;

b) как при помощи целей безопасности для среды безопасности ОО осуществляется поддержка целей безопасности для ОО.

Данный раздел нельзя рассматривать как раздел анализа риска. В то же время при положительной оценке ПЗ и ЗБ он может быть использован как основа для анализа риска организации.

13.3 Представление в профилях защиты и заданиях по безопасности обоснования требований безопасности

13.3.1 Демонстрация пригодности требований безопасности

Назначение этой части раздела ПЗ "Обоснование" заключается в том, чтобы показать, как сформулированные требования безопасности ИТ (в частности, ФТБ) подходят для удовлетворения целей безопасности. При этом необходимо показать, что требования безопасности ИТ являются необходимыми и достаточными. Данная задача может решаться следующим образом.

Во-первых, необходимо разработать таблицу, в которой сопоставить каждую цель безопасности с ФТБ, которое соответствует данной цели. В таблице должно быть показано, что:

a) каждая ФТБ учитывает, по крайней мере, одну цель безопасности;

b) каждая цель безопасности связана, по крайней мере, с одним ФТБ.

Пункта b) будет достаточно для обоснования необходимости каждого ФТБ (то есть будут исключены избыточные ФТБ).

Во-вторых, разработанная таблица должна сопровождаться неформальным объяснением достаточности ФТБ. Данное объяснение должно показать достаточность ФТБ для удовлетворения каждой цели безопасности. Данное объяснение должно охватывать все ФТБ, включенные в ПЗ, в том числе непосредственно удовлетворяющие цели безопасности (основные ФТБ), и предназначенные для их поддержки (поддерживающие ФТБ).

При формировании объяснения необходимо рассмотреть:

a) как и для чего были использованы операции выбора, назначения, итерации и уточнения;

b) как требования безопасности для ОО согласуются с требованиями безопасности для ИТ-среды.

Рекомендуется, но не обязательно, включать в ПЗ объяснение роли включенных в ПЗ требований безопасности для не ИТ-среды.

В следующем разделе приведены рекомендации по представлению обоснования пригодности ТДБ.

13.3.2 Демонстрация пригодности требований доверия к безопасности

Назначение данной части раздела "Обоснование ПЗ" - показать, что требования доверия к безопасности являются надлежащими для рассматриваемого ОО. В этой связи необходимо дать строгое обоснование того, почему набор ТДБ:

а) достаточен для удовлетворения целей безопасности. Например, если ОО должен обеспечивать защиту от нарушителя, обладающего высоким потенциалом нападения (что следует из анализа угроз и целей безопасности), то нецелесообразно в качестве набора требований доверия к безопасности использовать ОУД1, так как требования данного ОУД не предусматривают анализ уязвимостей, которые могут использоваться нарушителями с высоким потенциалом (в частности, ОУД1 не содержит требования семейств AVA_VLA или AVA_SOF);

b) не является избыточным по отношению к среде безопасности и сформулированным целям безопасности;

c) является достижимым, то есть для данного типа ОО сформулированные требования доверия к безопасности являются технически выполнимыми (с точки зрения стоимости и затрат времени на оценку безопасности ОО).

13.3.3 Демонстрация пригодности требований к стойкости функций безопасности

В разделе "Обоснование ПЗ" необходимо показать, что требования к минимальной стойкости функций безопасности и требования к стойкости функций безопасности, заданные в явном виде, согласуются со сформулированными целями безопасности.

Практически это означает, что необходимо представить соответствующее обоснование, принимающее во внимание:

a) присутствующие в формулировках целей безопасности для ОО в явном и неявном видах требования к стойкости функций безопасности;

b) присутствующую в формулировках целей безопасности или в описании среды безопасности информацию о технической компетенции, ресурсах и мотивации нарушителей.

Если данные аспекты уже были учтены при обосновании пригодности требований безопасности, то учитывать их еще раз нет необходимости.

13.3.4 Демонстрация взаимной поддержки требований безопасности

13.3.4.1 Краткий обзор

Назначение данной части раздела "Обоснование ПЗ" заключается в том, чтобы показать, что требования безопасности ИТ (и, в частности, ФТБ) полны и внутренне непротиворечивы, что достигается демонстрацией их взаимной поддержки, а также того, что они представляют собой "интегрированное и эффективное целое". В этих целях рекомендуется следующий подход:

a) демонстрация того, что там, где необходимо, зависимости компонентов функциональных требований и требований доверия к безопасности удовлетворены;

b) демонстрация внутренней непротиворечивости (согласованности) между требованиями безопасности ИТ;

c) демонстрация того, что там, где необходимо, включены поддерживающие ФТБ, предназначенные для защиты механизмов безопасности, реализующих другие ФТБ, от таких нападений как "обход" и "несанкционированное изменение".

Далее рассмотрим каждый из перечисленных аспектов взаимной поддержки.

13.3.4.2 Анализ зависимостей компонентов

Данный анализ наиболее эффективно может быть представлен в форме таблицы или древовидной схемы. Если требования доверия к безопасности целиком базируется на ОУД либо на другом пакете доверия к безопасности, то анализ зависимостей сводится к анализу только зависимостей ФТБ (так как в пакетах доверия зависимости компонентов удовлетворены изначально).

Анализ зависимостей компонентов должен включать в себя:

a) демонстрацию на уровне ФТБ удовлетворения зависимостей для каждой итерации функционального компонента;

b) идентификацию каждой неудовлетворенной зависимости и обоснование отсутствия необходимости в ее удовлетворении.

Необходимость проведения анализа зависимостей на уровне ФТБ обусловлена тем, что, если компонент включают в ПЗ неоднократно путем выполнения операции итерации, то может возникнуть необходимость выполнения операции итерации над компонентами, от которых зависит рассматриваемый компонент. Например, компонент FMT_MSA.3 "Инициализация статических атрибутов" зависит от компонента FMT_MSA.1 "Управление атрибутами безопасности". Если компонент FMT_MSA.3 включают в ПЗ неоднократно в целях инициализации различных атрибутов безопасности, то, вероятно, и FMT_MSA.1 необходимо включить в ПЗ то же число раз в целях управления каждым из рассматриваемых атрибутов. В этом случае вывод о том, что зависимость компонента FMT_MSA.3 надлежащим образом удовлетворена в силу того, что функциональный компонент FMT_MSA.1 включен в ПЗ, будет не полон, так как ФТБ компонента FMT_MSA.1 могут не охватывать все атрибуты безопасности, упомянутые в ФТБ компонента FMT_MSA.3.

Удовлетворение зависимости может не потребоваться, если зависимость не соответствует ОО или не является необходимой, исходя из цели безопасности. Кроме того, зависимость может быть удовлетворена ИТ-средой или каким-либо не ИТ-средством.

Анализ зависимостей должен сопровождаться разработкой таблицы, которая:

a) включает в себя одну или несколько строк (по числу вхождений компонента в ПЗ) для каждого функционального компонента, включенного в ПЗ;

b) назначает уникальную метку или номер каждой строке с тем, чтобы каждое ФТБ было идентифицировано уникальным образом;

c) идентифицирует функциональный компонент, ассоциированный с каждой строкой;

d) для каждого функционального компонента формирует список зависимостей от других компонентов в соответствии со стандартами серии ИСО/МЭК 15408;

e) для каждой идентифицированной зависимости определяет в качестве ссылки метку или номер строки, в которой зависимость удовлетворяется либо объясняет, почему нет необходимости в удовлетворении зависимости.

Демонстрация удовлетворения зависимостей компонентов доверия к безопасности должна быть относительно простой.

Если в ПЗ используется какой-либо пакет доверия к безопасности (например, ОУД, соответствующий требованиям стандартов серии ИСО/МЭК 15408), то в разделе "Обоснование ПЗ" можно констатировать, что все зависимости компонентов доверия к безопасности удовлетворены.

Если в ПЗ включены расширенные требования доверия к безопасности, то в разделе "Обоснование ПЗ" должно быть показано, что все дополнительные зависимости удовлетворены. В стандартах серии ИСО/МЭК 15408 определено лишь небольшое число зависимостей "функциональные требования - требования доверия". Данные зависимости также могут быть представлены в описанной выше таблице. Например, если ПЗ включает FPT_RCV.1, который имеет зависимость от AGD_ADM.1, а заданный оценочный уровень доверия к безопасности - ОУД4, тогда запись в такой таблице должна быть ОУД4.

Анализ зависимостей некоторым образом демонстрирует взаимную поддержку требований безопасности. Так, если функциональный компонент А зависит от функционального компонента В, то компонент В является поддерживающим для компонента А.

13.3.4.3 Внутренняя непротиворечивость

Демонстрацию внутренней непротиворечивости требований безопасности ИТ рассмотрим на примере ФТБ. Так, если ПЗ включает в себя требования к подотчетности и, в то же время, анонимности действий пользователя, то в разделе "Обоснование ПЗ" должно быть показано, что эти требования не противоречат друг другу. В данном случае требуется показать, что в качестве событий аудита, требующих подотчетности пользователя, не рассматриваются те, для которых требуется анонимность.

13.3.4.4 Защита от атак на механизмы, реализующие ФТБ

Рассмотрение данного аспекта взаимной поддержки требований целесообразно только для ФТБ, так как демонстрация взаимной поддержки требований, имеющей отношение к требованиям доверия к безопасности, тривиальна:

a) по умолчанию ТДБ поддерживают ФТБ, так как они обеспечивают уверенность в том, что функциональные требования удовлетворены;

b) имеется незначительное число случаев, когда ФТБ поддерживают ТДБ, и это должно быть учтено при формировании "Обоснования ПЗ". Например:

компоненты семейства FPT_SEP "Разделение домена" поддерживают компоненты семейства ADV_HLD "Проект верхнего уровня", способствуя проведению соответствующего разбиения;

c) можно утверждать, что ТДБ являются взаимно поддерживающими и все их зависимости удовлетворены.

В соответствии с 10.2.1, поддерживающие ФТБ могут способствовать защите механизмов, реализующих основные ФТБ, от нападений, связанных со скрытыми мотивами нарушителя, способствующими возрастанию одной или нескольких угроз, которым должны противостоять механизмы, реализующие основные ФТБ. Взаимная поддержка охватывает как этот аспект взаимной поддержки, так и аспект поддержки, связанный с зависимостями требований безопасности, определенными в стандартах серии ИСО/МЭК 15408.

Рассмотрение взаимной поддержки между ФТБ, не охваченными анализом зависимостей, должно включать в себя рассмотрение:

а) ФТБ, направленных на предотвращение обхода механизмов, реализующих другие ФТБ;

b) ФТБ, направленных на предотвращение несанкционированного воздействия на механизмы, реализующие другие ФТБ (включая атрибуты безопасности и другие данные, целостность которых является критичной для ФТБ);

c) ФТБ, препятствующих несанкционированному отключению механизмов, реализующих другие ФТБ;

d) ФТБ, предназначенных как для обнаружения неправильной настройки механизмов, реализующих другие ФТБ, так и направленных на них нападений.

Для предотвращения обхода механизмов, реализующих ФТБ, в ПЗ обычно включают компонент FPT_RVM "Невозможность обхода ПБО". Если реализация функциональных требований безопасности включает в себя идентификацию пользователя, то требования аутентификации пользователя (использование компонентов семейства FIA_UAU) должны быть также направлены на предотвращение обхода механизмов, реализующих рассматриваемые ФТБ. Необходимо отметить, что для предотвращения обхода не все ФТБ нуждаются в поддержке со стороны других ФТБ. Приведем несколько таких случаев:

a) выдача разрешения на вызов функции возлагается не на ФБО, а на пользователя или администратора, например, при использовании ФТБ, базирующихся на компонентах семейства FDP_DAU "Аутентификация данных";

b) формулировка ФТБ предусматривает вызов функции всегда, когда это необходимо, следовательно, ФТБ не может быть обойдено, если ФБО удовлетворяет ФТБ, например, если речь идет о ФТБ, базирующемся на компонентах семейства FDP_RIP "Защита остаточной информации".

Несанкционированное воздействие, в принципе, возможно для всех механизмов, реализующих ФТБ. Подобное воздействие может быть предотвращено посредством выполнения:

a) ФТБ на основе компонентов семейства FPT_SEP "Разделение домена", направленных на предотвращение вмешательства посторонних или воздействия недоверенных субъектов;

b) ФТБ на основе компонентов семейства FPT_PHP "Физическая защита ФБО", направленных на обнаружение и противодействие физическому вмешательству;

c) ФТБ, базирующихся на компонентах управления безопасностью, таких как FMT_MSA.1 "Управление атрибутами безопасности", ограничивающих возможность изменения данных конфигурации или атрибутов безопасности;

d) ФТБ, базирующихся на таких компонентах, как FMT_MTD.1 "Управление данными ФБО" или FAU_STG.1 "Защищенное хранение данных аудита", направленных на защиту целостности критичных по безопасности данных;

e) компонентов семейства FPT_TRP "Доверенный маршрут", направленных на предотвращение воздействий, основанных на обмане ФБО (например, путем использования программ захвата паролей).

Деактивация возможна по отношению не ко всем механизмам, реализующим ФТБ, которые определены в ПЗ. Деактивация возможна в случае проведения аудита безопасности; семейство FAU_STG "Хранение событий аудита безопасности" включает в себя требования, направленные на предотвращение возможности деактивации функций аудита безопасности, связанных с заполнением журнала аудита. ФТБ, основанные на использовании компонента FMT_MOF.1 "Управление поведением (режимом выполнения) функций безопасности", также могут быть направлены на предотвращение деактивации некоторых функций безопасности.

Функции обнаружения, также, как и аудит безопасности, обеспечивают поддержку других ФТБ, способствуя обнаружению атак или неправильной конфигурации, которая делает ОО уязвимым для атак. Другие функции обнаружения включают в себя компоненты семейств FDP_SDI "Целостность хранимых данных" и FPT_PHP "Физическая защита ФБО".

13.3.5 Демонстрация соответствия мер доверия к безопасности требованиям доверия к безопасности

Назначение данной части "Обоснования ЗБ" заключается в том, чтобы показать, как изложенные меры доверия к безопасности надлежащим образом отвечают требованиям доверия к безопасности. Предлагаемый подход к решению данной задачи предусматривает представление соответствия мер доверия к безопасности требованиям доверия к безопасности, с целью показать, что каждое требование доверия к безопасности учтено. Если конкретные меры доверия к безопасности идентифицированы (см. 11.4), то рассматриваемое соответствие лучше всего может быть представлено в виде таблицы. Эта таблица должна сопровождаться кратким пояснением того, как предполагается выполнять требования доверия к безопасности. Следует отметить, что окончательный вывод о пригодности мер доверия к безопасности может быть сделан только в ходе оценки безопасности ОО. Поэтому в ЗБ нет необходимости представлять детальное обоснование приемлемости мер доверия к безопасности.

Особое внимание этой части "Обоснования ЗБ" будет уделяться в случае, если ЗБ включает в себя ТДБ, которые требуют применения конкретных методов, предполагающих высокий уровень доверия к безопасности (например, анализ скрытых каналов или использование формальных методов).

13.3.6 Демонстрация соответствия задания по безопасности профилям защиты

В данной части "Обоснования ЗБ" необходимо идентифицировать профили защиты, соответствие которым требуется для ЗБ, и показать, что:

a) все цели безопасности, сформулированные в профилях защиты, включены в задание по безопасности, а все уточнения целей безопасности обоснованы;

b) все требования безопасности, сформулированные в профилях защиты, включены в задание по безопасности, а все уточнения или другие операции над требованиями безопасности из ПЗ обоснованы;

c) требования безопасности, включенные в ЗБ, не противоречат требованиям безопасности, включенным в ПЗ.

Если ЗБ включает только требования безопасности из профилей защиты (дословно или в виде ссылки), то проведение дальнейшего анализа не требуется. Анализ необходим, если ЗБ включает в себя дополнительные детали. В этом случае необходимо показать, что эти детали обоснованы и не противоречат содержанию ПЗ.

Кроме того, если профили защиты содержат незавершенные операции над требованиями безопасности, предусматривая выполнения операций назначения и выбора разработчиком ЗБ, то из анализа ЗБ должно следовать, что все незавершенные в ПЗ операции завершены.

13.3.7 Демонстрация того, что функции безопасности удовлетворяют функциональным требованиям безопасности

Назначение данной части "Обоснования ЗБ" заключается в том, чтобы показать, что функции безопасности ИТ пригодны для удовлетворения всех ФТБ, включенных в ЗБ (а не только тех ФТБ, которые встречаются в профилях защиты, на которые ссылается ЗБ).

Отображение функций безопасности ИТ на ФТБ целесообразно представить в форме таблицы. Из таблицы должно следовать, что:

a) каждое ФТБ отображено, по крайней мере, на одну функцию безопасности ИТ;

b) каждая функция безопасности ИТ отображена, по крайней мере, на одно ФТБ.

В дополнение к таблице целесообразно пояснить, как удовлетворяются некоторые конкретные ФТБ. Такое пояснение может потребоваться, например, если сразу несколько функций безопасности ИТ отображаются на одно ФТБ.