Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 57628-2017 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 25 августа 2017 г. N 967-ст)
- 10. Спецификация раздела "Цели безопасности"
10. Спецификация раздела "Цели безопасности"
10 Спецификация раздела "Цели безопасности"
10.1 Введение
Данный раздел содержит рекомендации по идентификации и определению целей безопасности в ПЗ или ЗБ, требования к которым приведены в ГОСТ Р ИСО/МЭК 15408-1, подразделы А.7 и В.7 соответственно. Как и в случае с определением проблемы безопасности, подраздел В.7 состоит только из ссылки на подраздел А.7, что в явном виде указывает на то, что содержание этих разделов идентично. Как и в случае с определением проблемы безопасности, приведенные в ГОСТ Р ИСО/МЭК 15408-3 требования подтверждения правильности спецификации целей безопасности в обоих случаях идентичны.
Цели безопасности представляют собой краткое изложение предполагаемой реакции на проблему безопасности (см. ГОСТ Р ИСО/МЭК 15408-3, пункты 9.4.1 и 10.4.1). При этом не следует неправильно интерпретировать это утверждение, так как в действительности описание реакции является спецификацией функциональных требований безопасности (см. раздел 11). Лучше, когда цели безопасности выражают в виде аннотации и описания структуры требуемых функциональных возможностей безопасности, что обеспечивает связь между детализацией ФТБ и абстрактным определением проблемы безопасности. Иными словами, указав в определении проблемы безопасности, в чем состоят проблемы безопасности, следует указать и каким образом они будут решаться объектом оценки и его средой функционирования.
Согласно ГОСТ Р ИСО/МЭК 15408 требуются два различных типа целей безопасности, которые подлежат спецификации:
а) цели безопасности для ОО, которые должны достигаться путем применения технических (ИТ) мер защиты информации, реализуемых ОО;
б) цели безопасности для среды, которые должны достигаться путем применения технических мер, реализуемых ИТ-средой, или не-ИТ-мер (например, организационных, процедурных мер).
Указанные типы целей безопасности приведены на рисунке 2.
Рисунок 2 - Роль целей безопасности
Во всех ПЗ и ЗБ необходимо специфицировать цели безопасности для среды функционирования ОО. В ПЗ и ЗБ для низких уровней доверия (см. раздел 15) не требуется специфицировать цели безопасности для ОО, а цели безопасности для среды функционирования ОО принимаются как не требующие доказательства, то есть не требуется их прослеживание к определению проблемы безопасности.
В дальнейшем в данном разделе предполагается, что требуются оба типа целей безопасности, и они прослеживаются к определению проблемы безопасности.
Цели безопасности должны быть сформулированы в виде требований. Они должны представлять собой краткие и четкие формулировки, в совокупности определяющие решение верхнего уровня для проблемы безопасности, идентифицированной в соответствующем определении проблемы безопасности. При формулировании целей целесообразно использовать глагол "должен".
ГОСТ Р ИСО/МЭК 15408 не предполагает и не предписывает использование какого-либо конкретного процесса или методического подхода для разработки целей безопасности; можно выбрать любой подходящий метод. Это представляет определенные трудности для лиц, не обладающих опытом разработки ПЗ и ЗБ. Поэтому в данном разделе содержится подробное описание простого методического подхода, который был опробован и испытан на практике, и эффективность которого была подтверждена применением в различных организациях и средах функционирования. Он основан на выполнении последовательности следующих шагов:
а) структурирование перечня всех угроз, политик и предположений, которые должны охватываться целями безопасности;
б) идентификация целей безопасности для не-ИТ-среды функционирования;
в) идентификация целей безопасности для ИТ-среды функционирования;
г) идентификация целей безопасности для ОО;
д) разработка обоснования целей безопасности посредством обратного сопоставления целей безопасности и идентифицированных угроз, политики предположений.
Каждый из этих шагов описан в последующих подразделах. В большинстве случаев эти шаги целесообразно выполнять в указанной выше последовательности.
Это всего лишь один из возможных подходов к идентификации целей безопасности. В некоторых конкретных случаях предложенный методический подход может быть не самым простым в реализации или требующим существенных затрат времени. Существуют и другие применимые подходы.
Учитывая центральную роль, которую играют цели безопасности в ПЗ и ЗБ, большое значение имеет вопрос о наиболее приемлемом уровне детализации при их (целей безопасности) изложении. Требование краткого изложения целей безопасности предполагает достижение равновесия между двумя следующими аспектами:
а) с одной стороны, цели безопасности должны помочь пользователю ПЗ или ЗБ без углубленного изучения деталей реализации (за исключением случаев, когда такая детализация предписана в определенной проблеме безопасности) понять, как аспекты проблемы безопасности, идентифицированные в определенной проблеме безопасности, решаются объектом оценки. В идеале цели безопасности для ОО должны быть независимы от реализации. Таким образом, основное внимание необходимо сосредоточить на том, какое решение предпочтительнее, а не на том, каким образом это решение достигается;
б) в то же время необходимо, чтобы формулировка целей безопасности не являлась простым повторением, хотя и в несколько другой форме, информации, содержащейся в описании угроз и ПБОр.
Одним из критериев правильности выбора уровня детализации формулировки целей безопасности, применяемым на этапах обоснования целей безопасности и требований безопасности, является следующий. Если обоснование одной цели безопасности (или требования) является слишком тривиальным, а другое обоснование - слишком объемным, сложным и трудным для понимания, то существует вероятность того, что формулировка целей безопасности является либо слишком детализированной, либо слишком абстрактной.
Сформированный соответствующим образом набор целей безопасности для ОО будет способствовать тому, что выбранные для удовлетворения целей функциональные требования безопасности не будут избыточными. Это, в свою очередь, позволит минимизировать стоимость и затраты времени на оценку (сертификационные испытания) ОО.
10.2 Структурирование угроз, политик и предположений
Первоочередной задачей является структурирование полного перечня всех применимых угроз, политик и предположений из определения проблемы безопасности.
Следует учитывать, что некоторые угрозы могут иметь отношение к ОО, но в результате анализа рисков или изучения среды функционирования может быть принято решение о том, что некоторые угрозы могут быть исключены из рассмотрения. При использовании рекомендуемого в настоящем стандарте методического подхода следует включить такие угрозы в определение проблемы безопасности, а также сформулировать предположения, в которых указывается, что они не являются применимыми. Такие угрозы не порождают целей безопасности, поэтому первый шаг состоит в том, чтобы идентифицировать их и связанные с ними предположения, а также исключить эти угрозы и предположения из дальнейшего рассмотрения. Следует убедиться в том, что из определения проблемы безопасности очевидно, что эти угрозы были исключены именно таким образом.
Остальные угрозы, политики и предположения следует затем разделить по следующим типам:
- относящиеся к не-ИТ-среде функционирования;
- относящиеся к ИТ-среде функционирования;
- относящиеся к функциональным возможностям ОО.
Обычно процесс такой классификации не представляет сложностей: политика, требующая применения средств физической защиты, может быть применима только к не-ИТ-среде функционирования; угроза, представляющая собой потенциально возможную атаку непосредственно на ОО, относится к функциональным возможностям ОО. Следует заметить, что предположения могут быть применимы только к элементам среды функционирования. В том случае, когда обнаруживается, что политика или угроза охватывают несколько вопросов, следует разделить их и поставить в соответствие каждому вопросу одну политику или угрозу.
Например, некоторую угрозу можно разделить на две части:
- часть угрозы, относящаяся к ИТ-среде функционирования;
- часть угрозы, относящаяся к функциональным возможностям ОО.
В случае сомнений следует разделить политику или соответствующую угрозу на несколько частей. Невостребованные элементы можно будет легко исключить в дальнейшем. При этом упущение каких-либо аспектов может привести к упущению целей безопасности, а эту проблему будет гораздо труднее обнаружить в ходе проверки правильности ПЗ или ЗБ.
10.3 Идентификация целей безопасности для не-ИТ-среды функционирования
Цели для среды функционирования определить легче, чем цели для ОО, а цели для не-ИТ-среды функционирования - легче, чем цели для ИТ-среды. Поэтому имеет смысл рассмотреть сначала цели для не-ИТ-среды функционирования.
Первым шагом в идентификации этих целей является рассмотрение всех предположений, определенных для не-ИТ-среды функционирования, и перефразирование их по принципу "один к одному" в соответствующие цели (далее в этом разделе приведено руководство по выполнению этого шага). Цели для среды не анализируются в дальнейшем в ПЗ и ЗБ или в процессе оценки, поэтому нет смысла в выявлении их совместимости, общности, перекрытии и т.д. в случае, если цели безопасности сформулированы ясно и четко.
Затем разрабатываются и добавляются любые другие цели, необходимые для учета аспектов угроз и политик, определенных для не-ИТ-среды функционирования, путем переформулирования этих угроз и политик в цели, но без детализации или пояснений. Определение соответствующих формулировок обычно также не представляет трудностей. В противном случае могут быть использованы методы категорирования, используемые для более сложной задачи - определение целей безопасности для ОО. Эти методы описаны в 10.5.
Иные цели безопасности для не-ИТ-среды могут включать:
а) цели, связанные с разработкой и реализацией процедур, обеспечивающих эксплуатацию ОО в безопасных режимах (в частности, соблюдаются все предположения о среде);
б) цели, связанные с обучением и подготовкой администраторов и пользователей по практическим вопросам обеспечения информационной безопасности.
На данной стадии эти цели может быть труднее идентифицировать, так как они поддерживают цели безопасности для ОО. Если они очевидны, то следует включить их на этой стадии. В ином случае на последующих стадиях предлагаемого методического подхода цели безопасности для среды могут быть пересмотрены и дополнены.
Целям для среды функционирования часто присваиваются идентификационные имена, помогающие отличать их от целей безопасности для ОО. В рассмотренных целях должно быть четко указано, что они достигаются организационными (процедурными) или физическими мерами; при необходимости в описании цели следует явно указать на "не-ИТ-среду функционирования".
Цели для среды функционирования, полученные на основе предположений, целесообразнее формулировать аналогично предположениям, то есть как констатацию фактов. Например:
"При окончательном выводе из эксплуатации магнитные машинные носители информации размагничиваются или измельчаются".
Цели, полученные на основе угроз и политик, должны быть сформулированы в виде требований. Например:
"Ответственный за эксплуатацию персонал должен через регулярные интервалы времени просматривать записи аудита с целью обнаружения недопустимой и необычной деятельности".
Большинство целей для не-ИТ-среды функционирования формулируют на основе предположений.
Ниже приведены примеры изложения целей безопасности для ОО на базе профиля защиты ФСТЭК России для средств контроля подключения съемных машинных носителей информации:
"Цель для среды функционирования ОО-1
Совместимость
Объект оценки должен быть совместим с СВТ (ИС), в котором (которой) он функционирует.
Цель для среды функционирования ОО-3
Физическая защита ОО
Должна быть обеспечена защита от осуществления действий, направленных на нарушение физической целостности СВТ, доступ к которым контролируется с применением СКН.
Цель для среды функционирования ОО-8
Требования к персоналу
Персонал, ответственный за функционирование объекта оценки, должен обеспечивать требуемое функционирование объекта оценки, руководствуясь эксплуатационной документацией".
Приведенные примеры целей безопасности для среды функционирования получены на основе примеров предположений, изложенных в 9.5.
Цели, полученные только на основе анализа угроз, могут свидетельствовать о том, что в определении проблемы безопасности пропущены соответствующие предположения. В этом случае следует проверить и при необходимости пересмотреть определение проблемы безопасности.
Для удобства могут быть определены отдельные цели, охватывающие несколько взаимосвязанных предположений, или предположение и связанные с ним угрозы, или политики и связанные с ними угрозы. Такие элементы полезно сочетать, если это позволит получить более понятный общий результат.
Ответственность за достижение целей для не-ИТ-среды функционирования возлагается на организацию, которая использует рассматриваемый продукт ИТ. На данной стадии определения целей очень важно убедиться в том, что сформулированные цели являются реалистичными и достижимыми. Лучше узнать об имеющихся проблемах на данной стадии, так как на данной стадии цели могут еще быть изменены или угрозы и политики могут быть учтены иными способами.
10.4 Идентификация целей безопасности для ИТ-среды функционирования
Методы, используемые для идентификации и определения целей для ИТ-среды функционирования, идентичны методам, описанным в 10.3 в отношении целей для не-ИТ-среды. Однако важно, чтобы цели для ИТ-среды излагались отдельно от целей для не-ИТ-среды, так как цели для ИТ-среды могут стать целями для ОО в случае последующего изменения границ ОО в процессе спецификации и проектирования ОО.
Поэтому в цели для ИТ-среды функционирования целесообразно включать текст "ИТ-среда функционирования" либо каким-то иным образом пояснять, что эти цели будут реализовываться программно-техническими средствами, находящимися за пределами границ ОО.
Ниже также приведены примеры изложения целей безопасности для ИТ-среды функционирования ОО на базе профиля защиты ФСТЭК России для средств контроля подключения съемных машинных носителей информации:
"Цель для среды функционирования ОО-4
Поддержка аудита
Должны быть обеспечены поддержка средств аудита, используемых в ОО (расширенные возможности по хранению и анализу информации аудита безопасности), и предоставление для них соответствующего источника меток времени.
Цель для среды функционирования ОО-5
Идентификация и аутентификация
Должна быть обеспечена возможность идентификации и аутентификации администратора СКН до предоставления ему возможности по управлению ОО, просмотру аудита безопасности и выполнения иных действий по администрированию ОО".
В предыдущих редакциях ГОСТ Р ИСО/МЭК 15408 допускалось специфицировать требования безопасности для удовлетворения целей для ИТ-среды, чтобы определить и объяснить, каким образом предполагается их достичь. В действующей редакции ГОСТ Р ИСО/МЭК 15408 это не допускается. Однако имеются и другие методы, например использование замечаний по применению, которые могут использоваться для указания ограничений по реализации целей.
В составном продукте цели для ИТ-среды одной части продукта становятся целями для ОО других частей. Такие цели следует формулировать очень тщательно для упрощения установления соответствия.
10.5 Идентификация целей безопасности для ОО
Цели безопасности для ОО являются наиболее важными и при этом их сложнее всего сформулировать достаточно полно и правильно. В отличие от целей для среды функционирования, они используются как обоснование функциональных требований безопасности. Поэтому важно, чтобы они были четко сформулированы с указанием их назначения и обеспечением хорошей прослеживаемости между детализированными требованиями безопасности и проблемой безопасности. При этом недостаточно только переформулировать проблему безопасности или перечислить конкретные требования безопасности.
Методический подход, предложенный в данном разделе, предполагает систематизацию цели для ОО на базе четких областей функциональных возможностей безопасности, выбранных для четкого сопоставления со структурой организации функциональных компонентов в семействах и классах в ГОСТ Р ИСО/МЭК 15408-2. Широта и глубина изложения целей в рамках каждой области функциональных возможностей связаны с использованием концепции основных и вспомогательных целей. Каждая основная цель устанавливает общую стратегию относительно рассмотрения аспекта безопасности ("лучшую практику"). Вспомогательные цели детализируют конкретные специфичные вопросы, которые имеются в изложении любой проблемы безопасности.
При использовании этого методического подхода первый шаг определения целей для ОО состоит в переупорядочивании перечня применимых угроз, а также политик, назначенных для функциональных возможностей ОО с целью совместного группирования соответствующих угроз и политик. При этом не должно быть каких-либо предположений относительно функциональных возможностей ОО, так как предположения делаются только относительно среды функционирования. Если какие-либо предположения были сделаны для конкретной рубрики, их следует изучить и откорректировать.
Способ группирования для конкретных ПЗ и ЗБ зависит от вида (типа) рассматриваемого ОО. В любом случае для формирования функциональных требований безопасности будет полезно, чтобы проведенное группирование было связано с внутренней структурой ГОСТ Р ИСО/МЭК 15408-2.
Методический подход, предлагаемый в данном разделе, предполагает семь рубрик, под которыми группируются все угрозы и политики. Этот подход был опробован и протестирован на практике и оказался работоспособным для многих типов ОО.
Такими рубриками являются:
а) управление доступом (объекты, атрибуты, операции, правила доступа);
б) управление пользователями (типы пользователей, идентификация, аутентификация);
в) собственная защита ОО (обнаружение сбоев, доверенное восстановление и т.д.);
г) безопасное взаимодействие (установление соединений, свойства соединений, правила);
д) аудит (ведение журналов аудита, реагирование, управление инцидентами, анализ);
е) требования к архитектуре (требуемые свойства и ограничения);
ж) другие функции [сюда относится все, не попадающее очевидным образом под рубрики а)-е) - например, доверенный источник времени].
Существует тесная взаимосвязь между предложенными рубриками и предложенной в разделе 12 структурой для идентификации и спецификации функциональных требований безопасности.
Хотя у целей безопасности может быть любая структура и для их систематизации может использоваться любой метод, в общем случае предложенное выше группирование упростит процесс создания перекрестных ссылок и формирования аргументов для последующего обоснования полноты и непротиворечивости. Могут существовать такие конкретные ОО, для которых в дальнейшем будет целесообразнее и проще использовать другой подход группирования. То есть важно обдумать структуру и выбрать подходящий подход.
Следующий шаг при определении целей для ОО состоит в том, чтобы привести простое определение типов сервисов безопасности или функций безопасности, требуемых для каждой из выбранных областей для удовлетворения всех потребностей, вытекающих из проблемы безопасности. Вместо того чтобы пытаться анализировать и обобщать определение проблемы безопасности, целесообразнее вернуться к неформализованному требованию безопасности, на основе которого было получено определение проблемы безопасности. Из неформализованного требования безопасности обычно очевидно, какие основные функции безопасности должны быть реализованы для каждой из областей. Некоторые области могут не упоминаться либо могут быть указаны как не значимые. На данном шаге эти области следует не рассматривать.
Полученный перечень сервисов (функций) затем следует сопоставить с систематизированным списком угроз и политик. Для каждого сервиса следует решить, к каким угрозам и политикам он относится. Все остальные угрозы и политики следует отнести к рубрике - "другие функции (сервисы)".
Затем следует разделить угрозы и политики, связанные с каждым сервисом, на общие и специфические требования. К общим следует относить требования, которые предъявляются ко всем аспектам определения сервиса, а специфические требования предъявляются к конкретным аспектам.
Далее следует переформулировать определение сервиса в утвердительное высказывание, в котором рассматривается общее требование. Оно станет основной целью для этого сервиса. Следует переформулировать все специфические требования в связанные, но отдельные вспомогательные цели для этого сервиса.
Ниже приведен пример изложения цели безопасности для ОО, направленной на противостояние угрозе, приведенной в качестве примера (Угроза-1) в 9.3.5:
"Цель безопасности-5
Контроль устройств
Объект оценки должен обеспечивать контроль типов подключаемых внешних программно-аппаратных устройств, а также конкретных съемных машинных носителей информации".
На противостояние угрозам может быть направлена цель, которая предотвращает реализацию угрозы путем устранения или блокирования одного из ее необходимых компонентов: например, исключение возможности со стороны источника угрозы осуществить негативное воздействие; перемещение, изменение либо защита актива таким образом, что негативное воздействие становится неприменимым, устранение источника угрозы (например, путем определения цели для среды функционирования относительно мер контроля физического доступа). Угрозы могут также предотвращаться косвенным образом: например, реализация подотчетности через аудит, повышение уровня профессиональной подготовки с целью предотвращения ошибок пользователей, частое выполнение резервного копирования для упрощения восстановления утраченных либо поврежденных активов.
Таким образом, не от всех угроз можно обеспечить защиту. Иногда целесообразнее обнаружить связанный с угрозой инцидент и сгенерировать оповещение или запись в журнале аудита. Решение о такой обработке угроз необходимо принять на этапе проектирования. Если в качестве ответной реакции выбрано обнаружение, то это порождает потребность в сервисе аудита для реагирования на инциденты. Ниже приводится пример:
"Цель безопасности-6
Аудит безопасности СКН
Объект оценки должен обеспечивать соответствующие механизмы регистрации и предупреждения (сигнализации) о событиях, относящихся к возможным нарушениям безопасности. Механизмы регистрации должны предоставлять уполномоченным лицам с учетом их ролей возможность полного или выборочного ознакомления с информацией о произошедших событиях".
В ходе процесса спецификации целей безопасности для ОО может возникнуть потребность в переопределении угроз и политик. В результате более четкого определения сервисов конкретные угрозы или политики могут быть сопоставлены со вспомогательной, а не с основной целью или наоборот либо они будут больше подходить для рассмотрения в рамках другого сервиса. В ходе процесса спецификации целей безопасности для ОО часто идентифицируются соответствующие цели для среды функционирования, которые ранее были пропущены. Например, если в качестве реагирования на конкретные угрозы выбрано оповещение, то от администраторов потребуется реагировать на эти оповещения. В некоторых случаях в результате принятых проектных решений конкретные угрозы или политики могут даже полностью перейти из рубрики целей для ОО под рубрику целей для среды функционирования или наоборот. Такие изменения возможны, поэтому необходимо проводить несколько итераций, пока не будет получен четкий список целей, покрывающий все рубрики.
Политики помимо выражения общих требований безопасности (сопоставляемых непосредственно с основной целью) иногда используются и для ограничения характеристик соответствующего технического решения. Такой тип ограничений должен быть выражен в виде вспомогательной цели, связанной с общим требованием.
Некоторые угрозы будут непосредственно сопоставимы с конкретной вспомогательной целью, которая направлена на противостояние только этой угрозе. В этом случае следует сформировать цель таким образом, чтобы она соответствовала первопричине. В дальнейшем это упростит прослеживание - в обосновании при сопоставлении целей с определением проблемы безопасности и для понимания ПЗ или ЗБ.
Вспомогательная цель может быть направлена на учет нескольких угроз и политик. Например, во многих ПЗ и ЗБ имеется цель, связанная с повторным использованием объекта, как вспомогательная цель для области управления ресурсами. Правильнее отделить ее от других аспектов управления ресурсами, так как у них обычно существует мало общего с точки зрения учитываемых угроз. Однако нет никакой необходимости в дальнейшем разбиении цели по различным типам ресурсов, хотя различные типы ресурсов могут обрабатываться разными способами, например, некоторые угрозы для оперативной памяти (RAM) не применимы к магнитным носителям. Различие становится ясным на стадии спецификации требований безопасности, когда в качестве механизмов для различных ресурсов будут выбираться различные ФТБ.
Еще одним важным различием в определении вспомогательных целей является тип требуемых мер обеспечения безопасности. Меры могут быть предупредительными (предотвращающими возникновение инцидента), обнаруживающими (распознающим факт возникновения инцидента) или корректирующим (устраняющим последствия инцидента). Если противостояние угрозам либо осуществление политик требует реализации более чем одного из этих типов реагирования, то целесообразно наличие различных вспомогательных целей для каждого такого типа. Подобная ситуация часто связана со случаем, когда описание проблемы безопасности требует глубокой защиты либо когда основная цель для сервиса будет состоять только в том, чтобы снизить или смягчить последствия реализации угрозы, а не блокировать ее.
Примером цели безопасности предупредительного характера может служить следующая цель, которая определяет необходимость идентификации и аутентификации пользователей ОО:
"Объект оценки должен уникально идентифицировать каждого пользователя и выполнять процедуру аутентификации идентифицированного пользователя до предоставления ему доступа к функциональным возможностям ОО".
Цели безопасности, связанные с управлением доступом и информационными потоками, также попадают в категорию целей предупредительного характера. Если ОО должен реализовывать более одной политики управления доступом и информационными потоками, то рекомендуется для каждой политики идентифицировать отдельные цели безопасности. Такой подход способствует упрощению процесса обоснования требований безопасности.
Примером цели обнаружения может служить цель, которая определяет необходимость обеспечения ОО невозможности отказа контрагентов от факта передачи или приема сообщения:
"Объект оценки должен включать средства, позволяющие получателю информации подготовить свидетельство, доказывающее происхождение этой информации".
Примером корректирующей цели (цели реагирования) может служить следующая цель, определяющая необходимость ответной реакции ОО на обнаруженные вторжения:
"При обнаружении событий, свидетельствующих о предстоящем нарушении безопасности, ОО должен принимать необходимые меры для противостояния данному нападению с минимальным снижением качества обслуживания пользователей ОО".
На данном этапе необходимо будет вернуться к формулировке целей безопасности для среды функционирования, чтобы проверить, не нужно ли добавить цели безопасности, связанные с действиями по управлению, чтобы обеспечить эффективность сервисов безопасности, предоставляемых ОО. В некоторых случаях требуемые действия по управлению очевидны и сразу могут быть выражены в виде (не-ИТ) цели безопасности. В других случаях требуемые действия по управлению могут зависеть от детализированных требований безопасности, используемых для реализации целей безопасности для ОО. Например, связанная с "идентификацией и аутентификацией" пользователей цель безопасности могла бы быть реализована с помощью механизма паролей пользователей. Это будет предполагать наличие требования к пользователям не раскрывать своих паролей другим лицам. Такое требование может быть явно выражено как требование безопасности для не-ИТ-среды функционирования. На данной стадии, однако, допустимо, если неявное требование такого типа будет пропущено. Оно обнаружится при определении ФТБ, тогда можно будет уточнить изложение целей безопасности.
Там, где это возможно, при формулировании целей безопасности целесообразно неформально количественно определять ожидаемые минимальные значения эффективности, в основном снимая таким образом неопределенность относительно уровня эффективности, который должен быть обоснован в разделе ПЗ или ЗБ "Обоснование".
Количественная оценка может быть выражена:
а) в относительных величинах, например, по отношению к условиям среды функционирования или предыдущей ситуации;
б) в абсолютных числовых величинах.
Очевидно, что применение абсолютных числовых значений для количественной оценки является более предпочтительным, но в то же время и более трудным вариантом.
Не следует ожидать взаимно однозначного соответствия между целями и угрозами или политиками. Часто основная цель, требуемая для отработки политики, будет также противостоять и многим угрозам, связанным с этим сервисом. Кроме того, угрозы и политики, возможно, придется учитывать отдельно для разных типов активов и может возникнуть потребность в различных вспомогательных целях для каждого типа активов.
Существуют и другие методы, которые могут быть использованы для идентификации целей безопасности. Простой подход, который может быть эффективен при разработке коротких определений проблем безопасности, состоит в создании для каждой угрозы или политики одной цели, отражающей их изложение с указанием конкретных активов, источников угроз и т.д., если они неясны из изложения соответствующей угрозы или политики в определении проблемы безопасности.
Целям для ОО необходимо присваивать идентификационные наименования, отличающие их от целей для среды функционирования. Цели для ОО следует изложить ясно и четко и указать на то, что меры, реализующие цель, будут являться частью ОО и осуществляться ОО.
Изложение целей для ОО иногда начинается со слов "ФБО должны" или "система должна". ФБО являются той частью ОО, которая реализует ФТБ. Такое разграничение делается из практических соображений, чтобы уменьшить область ОО, подлежащую рассмотрению в ходе оценки. Поэтому использование термина "ФБО" является правильным; для любой цели та часть ОО, которая ее реализует, должна быть частью ФБО. Однако это в некоторой степени приводит к цикличности и сбивает с толку, так как такие цели обычно называются "целями безопасности для ОО", а не "целями безопасности для ФБО". Формулировка "система" также запутывает. Она может истолковываться так, что будет включать цели, реализуемые средой функционирования. Если так и предполагается, предпочтительнее использовать формулировку "ОО или его среда функционирования". Следует заметить, что в проектных решениях такие цели должны быть разделены на цели для ОО и на цели для среды функционирования ОО до окончательного утверждения целей.
10.6 Разработка обоснования целей безопасности
Заключительным шагом в определении целей безопасности является формирование обоснования, прослеживающего цели к угрозам, политикам и предположениям из определения проблемы безопасности, чтобы продемонстрировать, что все цели являются необходимыми, а также что цели охватывают все аспекты всех угроз, политик и предположений из определения проблемы безопасности. Это обоснование требуется согласно ГОСТ Р ИСО/МЭК 15408 во всех случаях (кроме ПЗ или ЗБ для низкого уровня доверия) и проверяется при оценке ПЗ или ЗБ.
Простой способ формирования обоснования состоит в подготовке таблиц взаимосвязи между элементами определения проблемы безопасности и целями безопасности и наоборот, а также в проверке на предмет наличия каких-либо противоречий, пропусков либо дублирования. В случае, когда угрозы, политики или предположения учитываются несколькими целями, обычно имеется простой способ разделения, который можно применить к элементу определения проблемы безопасности для демонстрации того, на какие части элемента направлены какие цели (см. пример из 10.2). Включение соответствующей информации в таблицу сделает прослеживание намного более четким и доступным для понимания.
Если предположить, что каждая цель безопасности может быть прослежена хотя бы к одной угрозе, политике или предположению, то в таблице следует продемонстрировать, что каждая цель безопасности является необходимой. Это не гарантирует отсутствия каких-либо избыточных целей безопасности, так как другие цели безопасности также могут быть прослежены к этим угрозам, политикам и предположениям, уже предоставляя должное покрытие. Однако это может быть обеспечено в рамках реализации второго требования проверки - достаточности.
Достаточность должна быть продемонстрирована путем предоставления неформализованных аргументов в дополнение к информации о перекрестных ссылках. Для каждой принимаемой во внимание угрозы необходимо пояснить, почему соответствующие цели безопасности совместно обеспечат эффективное противостояние данной угрозе. Следует отметить, что риск атак, проводимых как реализация угроз, не обязательно должен быть устранен полностью; может оказаться достаточным обеспечить обнаружение атаки, или восстановление системы после успешных атак, либо снижение вероятности атаки до приемлемого уровня. Таким образом, требуется эффективная контрмера (мера защиты информации) в контексте определения проблемы безопасности.
Аналогично для каждой идентифицированной ПБОр или предположения относительно среды функционирования необходимо посредством предоставления неформализованных аргументов обосновать, что соответствующие цели безопасности достаточны для обеспечения полного охвата ПБОр или для поддержки предположения.
Следует учитывать, что предположения, включенные в определение проблемы безопасности для идентификации угроз, которые можно считать несущественными или исключить из рассмотрения, не порождают целей безопасности и, следовательно, не должны появляться в обосновании целей.
Ниже в качестве примера приведен фрагмент обоснования целей на базе утвержденного ФСТЭК России профиля защиты.
"В таблице 1 приведено отображение целей безопасности для ОО на угрозы и политику безопасности организации.
Таблица 1 - Отображение целей безопасности для ОО на угрозы и политику безопасности организации
|
|
Цель безопасности-1 |
Цель безопасности-2 |
Цель безопасности-3 |
Цель безопасности-4 |
Цель безопасности-5 |
Цель безопасности-6 |
|
Угроза-1 |
|
|
|
|
X |
|
|
Угроза-2 |
X |
X |
|
|
|
|
|
Политика безопасности-1 |
X |
|
|
|
|
|
|
Политика безопасности-2 |
|
X |
|
|
|
|
|
Политика безопасности-3 |
|
|
X |
|
|
|
|
Политика безопасности-4 |
|
|
|
X |
|
|
|
Политика безопасности-5 |
|
|
|
|
X |
|
|
Политика безопасности-6 |
|
|
|
|
|
X |
...
Цель безопасности-4
Достижение этой цели безопасности необходимо в связи с реализацией политики безопасности Политика безопасности-4, так как обеспечивает возможность контроля интерфейсов ввода (вывода) в СВТ.
Цель безопасности-5
Достижение этой цели безопасности необходимо в связи с противостоянием угрозе Угроза-1 и реализацией политики безопасности Политика безопасности-5, так как обеспечивает возможность контроля подключаемых типов внешних программно-аппаратных устройств, а также конкретных съемных машинных носителей информации.
..."
Если в ПЗ или ЗБ утверждается о соответствии другим ПЗ, то в обосновании необходимо продемонстрировать, что цели безопасности для ОО согласуются с изложениями целей безопасности в ПЗ, о соответствии которым утверждается. Если эти цели безопасности изложены схожим образом, то это можно продемонстрировать посредством прямого прослеживания, демонстрирующего, что цели в этих ПЗ не вступают в противоречие и охватывают все цели рассматриваемого ПЗ. В случае если ПЗ требует строгого соответствия, формулировки должны быть идентичными, и оценщики не будут принимать во внимание утверждения, представленные в обосновании.
Однако вполне возможно, что цели из ПЗ, о соответствии которому утверждается, могут быть структурированы или сформулированы совсем по-иному, так что простое соответствие отсутствует. В этом случае следует продемонстрировать, что цели безопасности для рассматриваемого ОО удовлетворяют требованиям разделов определения проблемы безопасности в профилях защиты, о соответствии которым утверждается. Исходя из этого, можно утверждать, что цели предоставляют такое же покрытие, что и цели из ПЗ, о соответствии которым утверждается, и таким образом обеспечивается согласованность.
Может оказаться невозможным привести убедительные доводы относительно достаточности, если в ПЗ или ЗБ утверждается о соответствии другим ПЗ, а в определении проблем безопасности из ПЗ, о соответствии которым утверждается, явно не охвачены все угрозы из определения проблемы безопасности рассматриваемого ПЗ. Решения для этой проблемы не существует - готовые к использованию продукты, соответствующие ПЗ, о соответствии которому утверждается, могут в точности соответствовать целям заказчика, однако в утверждении о соответствии ПЗ нет доказательств этому. Можно установить, что такие продукты действительно удовлетворяют требованиям заказчика, рассмотрев разделы ЗБ, связанные с угрозами, и приняв решение о том, что в них действительно рассмотрены и охвачены все применимые для заказчика угрозы.