Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 57628-2017 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 25 августа 2017 г. N 967-ст)
- 11. Спецификация раздела "Определение расширенных компонентов"
11. Спецификация раздела "Определение расширенных компонентов"
11 Спецификация раздела "Определение расширенных компонентов"
В ряде случаев разработчик ПЗ или ЗБ не сможет специфицировать (изложить) функциональные требования безопасности и (или) требования доверия путем конкретизации существующих компонентов из ГОСТ Р ИСО/МЭК 15408-2 и ГОСТ Р ИСО/МЭК 15408-3. В этих случаях ГОСТ Р ИСО/МЭК 15408 допускает определение расширенных (сформулированных в явном виде) компонентов. В данном разделе настоящего стандарта приведены некоторые рекомендации по спецификации расширенных компонентов.
При разработке ПЗ или ЗБ вместо использования расширенных компонентов следует сначала попытаться использовать существующие компоненты из ГОСТ Р ИСО/МЭК 15408 с соответствующим выполнением операций конкретизации (в частности, операции "уточнение"), а расширенные компоненты следует использовать только в тех случаях, когда это невозможно.
Конкретизация довольно часто позволяет решить проблему в том случае, когда с использованием компонента из ГОСТ Р ИСО/МЭК 15408 нельзя выразить конкретное требование, которое разработчик планирует изложить в ПЗ или ЗБ. Например, когда для разных типов пользователей различаются требования к аутентификации, это легко можно выразить с помощью уточнения компонентов класса FIA, которые отражают конкретные требования, посредством уточнений для характеристик типов пользователей, по отношению к которым применяются конкретные требования, и последующего использования совокупности компонентов для полного охвата всех типов пользователей. Аналогичным образом с помощью уточнений возможно изложить требования к управлению различными типами пользователей, субъектов, объектов или атрибутов безопасности.
В ГОСТ Р ИСО/МЭК 15408-1 приведены некоторые примеры уточнения требований, указывается, каким образом можно их использовать для более точной формулировки требований, а также даны рекомендации относительно определения расширенных компонентов. В настоящем стандарте приведены более подробные рекомендации.
До определения расширенного компонента необходимо исследовать опубликованные и прошедшие оценку ПЗ или ЗБ на предмет наличия определения расширенного компонента, который можно было бы использовать при определении функционального требования безопасности или требования доверия к безопасности, которое планирует включить разработчик. Использование уже определенного расширенного компонента из прошедшего оценку ПЗ или ЗБ имеет преимущество, состоящее в том, что компонент уже проверен на непротиворечивость и соответствие требованиям ГОСТ Р ИСО/МЭК 15408 в рамках проведения оценки ПЗ или ЗБ, содержащих этот компонент.
В ГОСТ Р ИСО/МЭК 15408-1 требуется, чтобы при спецификации расширенных компонентов они были определены по аналогии с существующими компонентами ГОСТ Р ИСО/МЭК 15408 (с использованием предложенной в ГОСТ Р ИСО/МЭК 15408 структуры в качестве модели представления). Это относится к наименованию и обозначению расширенного компонента, способу изложения и уровню детализации. Что касается наименования расширенного компонента, необходимо определить, подходит ли компонент под один из классов или одно из семейств, уже определенных в ГОСТ Р ИСО/МЭК 15408, и выбрать обозначение, используя имя класса и (по возможности) имя семейства, добавив в идентификатор указание на то, что данный компонент является расширенным. По возможности компонент должен быть изложен в общем виде, допускающем применение операций назначения и (или) выбора. Это обеспечит разработчикам других ПЗ или ЗБ возможность использования расширенного компонента таким образом, чтобы он подходил для описания и их требований.
Описание расширенного компонента ФТБ с использованием функциональных компонентов ГОСТ Р ИСО/МЭК 15408 в качестве модели представления должно включать:
а) определение расширенного ФТБ на том же уровне абстракции, что и функциональные компоненты ГОСТ Р ИСО/МЭК 15408-2;
б) использование стиля и фразеологии (языка) функциональных компонентов ГОСТ Р ИСО/МЭК 15408-2;
в) использование подхода к топологии и номенклатуре компонентов в соответствии с ГОСТ Р ИСО/МЭК 15408-2.
Понимание того, что новый компонент ФТБ подобен другим компонентам, которые уже включены в состав существующего в ГОСТ Р ИСО/МЭК 15408 класса или семейства, способствует ограничению его новизны и использованию специфических для данного класса или семейства формулировок и понятий.
Стиль представления функциональных компонентов ГОСТ Р ИСО/МЭК 15408-2 предусматривает следующее:
а) большинство функциональных компонентов начинается фразой "ФБО должны", далее идет одно из следующих слов: предоставлять возможность, обнаруживать, осуществлять, обеспечивать, ограничивать, контролировать, разрешать, предотвращать, защищать, предоставлять;
б) используются устоявшиеся термины, такие как "атрибуты безопасности" и "уполномоченный пользователь";
в) каждый элемент требований должен быть самостоятельным и понятным без каких-либо ссылок на другие элементы требований;
г) для каждого требования безопасности должна существовать возможность оценки, то есть должна существовать возможность сделать заключение о том, удовлетворяет ли ОО рассматриваемому требованию.
При формировании расширенного компонента ФТБ в явном виде необходимо также решить:
а) будут ли над ФТБ совершаться операции "выбор" и "назначение", подлежащие выполнению разработчиком ПЗ или ЗБ;
б) предполагает ли ФТБ какие-либо зависимости от других ФТБ, которые должны быть удовлетворены в ПЗ или ЗБ;
в) будет ли ФТБ требовать аудита каких-либо событий и, если будет, то какая информация о событиях подлежит регистрации;
г) будет ли ФТБ включать параметры безопасности, подлежащие управлению, например, зависеть от атрибутов безопасности, которые подлежат управлению.
Следует отметить, что для формулируемых в явном виде ФТБ нет необходимости определять операции, описанные в ГОСТ Р ИСО/МЭК 15408 ("назначение", "выбор"), если не предполагается их повторное использование в ПЗ, ЗБ или функциональных пакетах.
Примечание - При разработке профилей защиты ФСТЭК России широко используются расширенные компоненты ФТБ с определенными для них операциями "назначение" и "выбор". Определение таких операций позволяет путем различного их выполнения определять различные ФТБ на основе одних и тех же компонентов требований:
- для усиления требований при переходе к ПЗ для старших классов защиты средств защиты информации одного вида или типа;
- для задания альтернативных ФТБ в ПЗ для разных типов средств защиты информации одного вида.
В качестве примера выполнения операций "назначение" и "выбор" для усиления требований при переходе к ПЗ для старших классов защиты рассмотрим расширенный (специальный) компонент ФТБ, используемый в ПЗ для средств контроля подключения съемных машинных носителей информации, утвержденных ФСТЭК России [3], [4].
Исходный расширенный компонент:
"FDP_IFF_EXT.7 Функции управления использованием подключаемых съемных машинных носителей информации
Иерархический для: нет подчиненных компонентов.
FDP_IFF_EXT.7.1 Функции безопасности средства контроля съемных машинных носителей информации должны осуществлять [назначение: Политика управления использованием подключаемых съемных машинных носителей информации], основанную на следующих типах данных функций безопасности средства контроля съемных машинных носителей информации: [выбор: интерфейсы ввода (вывода) средств вычислительной техники, типы подключаемых внешних программно-аппаратных устройств, конкретные съемные машинные носители информации, список пользователей [назначение: другие типы данных функций безопасности средства контроля съемных машинных носителей информации, используемых для реализации политики управления использованием подключаемых съемных машинных носителей информации]].
Зависимости: FDP_IFC_EXT.3 Политика управления использованием подключаемых съемных машинных носителей информации".
ФТБ на основе компонента FDP_IFF_EXT.7, используемые в профиле защиты для пятого класса защиты средств контроля подключения съемных машинный носителей информации:
"FDP_IFF_EXT.7 Функции управления использованием подключаемых съемных машинных носителей информации
FDP_IFF_EXT.7.1 ФБО должны осуществлять [назначение: Политика управления использованием подключаемых съемных машинных носителей информации], основанную на следующих типах данных ФБО: интерфейсы ввода (вывода) средств вычислительной техники, типы подключаемых внешних программно-аппаратных устройств [назначение: другие типы данных ФБО, используемых для реализации Политики управления использованием подключаемых съемных машинных носителей информации].
Зависимости: FDP_IFC_EXT.3 Политика управления использованием подключаемых съемных машинных носителей информации".
ФТБ на основе компонента FDP_IFF_EXT.7, используемые в профиле защиты для четвертого класса защиты средств контроля подключения съемных машинный носителей информации:
"FDP_IFF_EXT.7 Функции управления использованием подключаемых съемных машинных носителей информации
FDP_IFF_EXT.7.1 ФБО должны осуществлять [назначение: Политика управления использованием подключаемых съемных машинных носителей информации], основанную на следующих типах данных ФБО: интерфейсы ввода (вывода) средств вычислительной техники, типы подключаемых внешних программно-аппаратных устройств, конкретные съемные носители информации [назначение: другие типы данных ФБО, используемых для реализации Политики управления использованием подключаемых съемных машинных носителей информации].
Зависимости: FDP_IFC_EXT.3 Политика управления использованием подключаемых съемных машинных носителей информации".
В качестве примера выполнения операций "назначение" и "выбор" для задания альтернативных ФТБ в ПЗ для разных типов средств защиты информации одного вида рассмотрим расширенный (специальный) компонент ФТБ, используемый в утвержденных ФСТЭК России профиле защиты для средств контроля подключения съемных машинный носителей информации и профиле защиты для средств контроля отчуждения (переноса) информации со съемных машинных носителей информации.
Исходный расширенный компонент:
"FDP_IFC_EXT.3 Политика управления использованием подключаемых съемных машинных носителей информации
Иерархический для: нет подчиненных компонентов.
FDP_IFC_EXT.3.1 Функции безопасности средства контроля съемных машинных носителей информации должны осуществлять [назначение: Политика управления использованием подключаемых съемных машинных носителей информации] для [выбор: съемных машинных носителей информации, специализированных съемных машинных носителей информации, используемых для хранения информации ограниченного доступа [назначение: другие типы подключаемых программно-аппаратных устройств]].
Зависимости: [FDP_IFF_EXT.7 Функции управления использованием подключаемых съемных машинных носителей информации или FDP_IFF_EXT.8 Функции управления использованием специализированных съемных машинных носителей информации]".
ФТБ на основе компонента FDP_IFC_EXT.3, используемые в профиле защиты для средств контроля подключения съемных машинных носителей информации:
"FDP_IFC_EXT.3 Политика управления использованием подключаемых съемных машинных носителей информации
FDP_IFC_EXT.3.1 ФБО должны осуществлять [назначение: Политика управления использованием подключаемых съемных машинных носителей информации] для подключаемых произвольных съемных машинных носителей информации [назначение: другие типы подключаемых программно-аппаратных устройств].
Зависимости: [FDP_IFF_EXT.7 Функции управления использованием подключаемых съемных машинных носителей информации или FDP_IFF_EXT.8 Функции управления использованием специализированных съемных машинных носителей информации]".
ФТБ на основе компонента FDP_IFC_EXT.3, используемые в профиле защиты для средств контроля отчуждения (переноса) информации со съемных машинных носителей информации:
"FDP_IFC_EXT.3 Политика управления использованием подключаемых съемных машинных носителей информации
FDP_IFC_EXT.3.1 ФБО должны осуществлять [назначение: Политика управления использованием специализированных съемных машинных носителей информации] для специализированных съемных машинных носителей информации, используемых для хранения информации ограниченного доступа [назначение: другие типы подключаемых программно-аппаратных устройств].
Зависимости: [FDP_IFF_EXT.7 Функции управления использованием подключаемых съемных машинных носителей информации или FDP_IFF_EXT.8 Функции управления использованием специализированных съемных машинных носителей информации]".
Наименование расширенного ФТБ, не включенного в ГОСТ Р ИСО/МЭК 15408-2, должно осуществляться в стиле, принятом для компонентов из ГОСТ Р ИСО/МЭК 15408-2, с использованием аналогичного подхода и принятых соглашений о наименовании. Для расширенных функциональных компонентов безопасности следует использовать букву "F" в наименовании для указания на то, что компонент функциональный, затем обозначение соответствующего класса и семейства, а затем номер компонента. Расширенный компонент, основанный на существующем классе, может быть размещен в соответствующем месте в рамках этого класса. Если расширенный компонент не связан с существующими классами, то для указания уже в наименовании на то, что он является новым, допустимо, например, создать класс компонентов ("ЕХТ") или добавить буквы ("ЕХТ") в конец имени компонента. Способ обозначения расширенного компонента можно указать в замечании по применению ПЗ или ЗБ. Следует следить за тем, чтобы соглашения по обозначению не противоречили при этом ГОСТ Р ИСО/МЭК 15408-2.
В приложении А приведены пример расширенного компонента и пояснение, по аналогии с тем, как это делается для компонентов ГОСТ Р ИСО/МЭК 15408-2. Это позволяет оценщику трактовать расширенный компонент по аналогии с компонентами, определенными в ГОСТ Р ИСО/МЭК 15408-2 при проведении оценки ПЗ или ЗБ, в которых определяется расширенный компонент.
Способом, аналогичным приведенному в примере из приложения А для расширенного функционального компонента безопасности, можно также определить расширенный компонент доверия к безопасности. Это имеет смысл, когда для типа продукта, описываемого в ЗБ или ПЗ, характерна определенная деятельность по обеспечению доверия, которая не охватывается существующими компонентами доверия к безопасности из ГОСТ Р ИСО/МЭК 15408-3. Помимо определения компонента доверия к безопасности в стиле, аналогичном используемому в ГОСТ Р ИСО/МЭК 15408-3, для расширенного компонента доверия к безопасности требуется также определить методику оценки, которая описывает деятельность оценщика по проверке соответствия продукта расширенному компоненту доверия к безопасности. Действия оценщика должны быть определены с использованием структуры и уровня детализации, определенных в ГОСТ Р ИСО/МЭК 18045 для проведения оценки компонентов из ГОСТ Р ИСО/МЭК 15408-3.
В расширенных компонентах доверия к безопасности следует предоставить определение следующих элементов (подробнее см. ГОСТ Р ИСО/МЭК 15408-1, подраздел С.3):
а) действий разработчика (заявителя, производителя);
В ПЗ, утвержденных ФСТЭК России, элементы действий разработчика названы как "элементы действий заявителя". Этим подчеркивается, что именно заявитель ответственен за предоставление свидетельств (документированных материалов) вместе с ОО для проведения сертификации по требованиям безопасности информации.
б) требований к содержанию и представлению свидетельств (документированных материалов), которые должен представить разработчик (заявитель, производитель);
В ПЗ, утвержденных ФСТЭК России, элементы содержания и представления свидетельств названы как "элементы содержания и представления документированных материалов". Данное уточнение сделано с целью исключения неоднозначности толкования термина "свидетельство" в русском языке.
в) действий оценщика (испытательной лаборатории).
В ПЗ, утвержденных ФСТЭК России, элементы действий оценщика названы как "элементы действий испытательной лаборатории". Данное уточнение сделано по причине того, что в системе сертификации ФСТЭК России в качестве оценщика выступает испытательная лаборатория.
В ГОСТ Р ИСО/МЭК 15408-3 продемонстрировано, что элементы, связанные с компонентами доверия, характеризуются следующим образом:
а) элементы действий разработчика предназначены для изложения действий, которые должен выполнить разработчик (обычно это представление свидетельств оценки);
б) элементы содержания и представления свидетельств предназначены для предъявления требований к содержанию и "качеству" свидетельств оценки, которые должен представить разработчик;
в) элементы действий оценщика включают в себя два типа элементов:
1) первым действием оценщика, связанным с компонентом доверия к безопасности, как правило, должно быть следующее:
"Оценщик должен подтвердить, что представленная информация отвечает всем требованиям к содержанию и представлению свидетельств";
2) любой другой элемент действий оценщика обычно принимает вид изложения независимого шага оценивания и принятия решения оценщиком.
Следовательно, все требования к содержанию и представлению свидетельств должны быть не только ясно и понятно сформулированы, в них следует избегать (насколько возможно) требований субъективной оценки со стороны оценщика. Расширенное требование доверия к безопасности (ТДБ) должно определять ясные объективные критерии, на основе которых оценщик может сделать свое заключение. Для пояснения ТДБ целесообразно использовать операцию "уточнение" либо сформулировать "замечания по применению". Представление пояснения ТДБ способствует проведению оценки.
Целесообразно излагать расширенные ТДБ в стиле изложения компонентов доверия к безопасности, определенных в ГОСТ Р ИСО/МЭК 15408-3. Поэтому каждое отдельное требование необходимо оформлять в виде отдельного элемента требований. При этом необходимо при описании расширенного ТДБ обращаться к ГОСТ Р ИСО/МЭК 15408-1 (раздел 3) и использовать приведенную там терминологию, которая также используется и в ГОСТ Р ИСО/МЭК 15408-3.
Информацию об обозначении расширенных компонентов, использованных в ПЗ или ЗБ, рекомендуется включать в подраздел (или пункт), устанавливающий соглашения, например, в тот же, где изложены соглашения о стилях отображения результатов операций над компонентами.
Ниже представлен фрагмент такого подраздела на примере подраздела "Соглашения" ПЗ, утвержденных ФСТЭК России.
"... В настоящий ПЗ включен ряд требований безопасности, сформулированных в явном виде. Краткая форма имен компонентов требований, сформулированных в явном виде, содержит текст (ЕХТ)".
После определения расширенного компонента ТДБ необходимо также определить шаги оценивания, которые необходимо выполнить оценщику для того, чтобы удостовериться в соответствии расширенному компоненту ТДБ. При этом в качестве примера следует использовать шаги оценивания из ГОСТ Р ИСО/МЭК 18045. Шаги оценивания должны охватывать все аспекты расширенного компонента ТДБ и давать оценщику четкие рекомендации по проведению оценки.