Требования гарантии безопасности

Область применения

Разд. Требования гарантии безопасности ОК определяет требования гарантии. Она включает критерии для оценки Профиля Защиты и Задания по Безопасности, классы, семейства и компоненты гарантии, а также уровни гарантии оценки ОО.

Согласно концепции ОК необходимо определить меру гарантии, основанную на оценке изделия или системы ИТ, с которой оценке можно доверять. ОК не исключают, и при этом не комментируют, относительные достоинства других средств получения гарантии.

Оценка была традиционным средством получения гарантии и основой для предшествующих документов критериев оценки. Для выравнивания существующих подходов ОК принимают ту же концепцию, но так структурированы, чтобы позволить существование альтернативных подходов.

ОК предлагают измерение гарантии, основанное на активном исследовании изделия ИТ опытными оценщиками с увеличивающимся акцентом на возможностях, глубине и строгости методов оценки.

Методы оценки могут включать:

анализ и проверку процесса (ов) и процедуры ();
проверку процесса (ов) и процедуры (), который является прикладным;
анализ соответствия между уровнями представления проекта ОО;
анализ соответствия представленного проекта ОО требованиям;
проверку математических доказательств;
анализ руководящих документов;
анализ проведенных функциональных испытаний и полученных результатов;
независимое функциональное испытание;
анализ уязвимости (включая гипотезу недостатка);
испытание проникновения.

Подход ОК предполагает, что большая гарантия следует из применения больших усилий при проведении оценки. Увеличение усилия оценки основано на:

возможностях, которые заключаются в оценке большей пропорции содержания системы или изделия ИТ;
глубине, которая заключается в оценке большего числа проектов и деталей выполнения;
строгости, которая заключается в применении большего количества инструментов поиска и методов, призванных обнаружить менее очевидные недостатки или уменьшить вероятность их наличия.

Структура требований гарантии

Структура требований гарантии аналогична структуре функциональных требований и включает классы, семейства, компоненты и элементы гарантии, а также уровни гарантии.

В отличие от функциональных требований, семейства гарантии - все линейно иерархические, то есть при наличии более чем одного компонента, компонент 2 требует больше, чем компонент 1, в терминах определенных действий, определенного доказательства или строгости действий или доказательств.

В отличие от функциональных требований, каждый элемент гарантии идентифицирован по принадлежности к одному из трех наборов элементов гарантии:

Элементы действия Разработчика. Этот набор действий обязательно включает поставку демонстрационного материала, упомянутого в следующем наборе элементов. Требования для действий разработчика идентифицированы путем добавления к номеру элемента в конце буквы "D".
Элементы представления и содержания свидетельства (требуемое свидетельство, что свидетельство должно демонстрировать, какую информацию свидетельство должно передать). Требования по содержанию и представлению свидетельств идентифицированы путем добавления к номеру элемента в конце буквы "C".
Элементы действия Оценщика. Этот набор действий обязательно включает подтверждение того, что свидетельство выполняет требования, предписанные в предыдущем наборе элементов, и может включать действия или анализ, которые должны быть выполнены в дополнение к тому, что уже сделано разработчиком. Требования для действий оценщика идентифицированы путем добавления к номеру элемента в конце буквы "E".

Критерии оценки профиля защиты и задания по безопасности

Эти критерии — первые требования, представленные в Разд. Требования гарантии безопасности ОК, так как оценка ПЗ и ЗБ обычно выполняется перед оценкой ОО.

Хотя эти критерии оценки несколько отличаются от других требований гарантии, они представлены аналогичным способом, потому что действия разработчика и оценщика сопоставимы при оценке ПЗ/ЗБ и оценке ОО.

Классы оценки Профиля Защиты и Задания по Безопасности отличаются от других классов требований гарантии тем, что все требования в соответствующем классе должны учитываться при оценке ПЗ или ЗБ, а требования гарантии оценки ОО позволяют сделать выбор.

Все семейства классов оценки ПЗ и ЗБ включают только по одному компоненту.

Класс АРЕ (оценка профиля защиты)

Цель оценки ПЗ состоит в том, чтобы показать, что ПЗ полон, последователен, технически грамотен и, следовательно, приемлем для использования как выражение требований для возможной оценки ОО. Такой ПЗ может иметь право на включение в регистр ПЗ.

Класс APE состоит из трех семейств, отражающих структуру и основное содержание ПЗ:

Семейство APE_ENV (Профиль Защиты, Безопасность Окружающей среды);
Семейство APE_OBJ (Профиль Защиты, Цели Безопасности);
Семейство APE_REQ (Профиль Защиты, Требования Безопасности ОО).

Класс ASE (оценка задания по безопасности)

Цель оценки ЗБ состоит в том, чтобы показать, что ЗБ полно, последовательно, технически грамотно и, следовательно, приемлемо для использования как основание для соответствующей оценки ОО.

Класс ASE состоит из пяти семейств, отражающих структуру и основное содержание ЗБ:

Семейство ASE_ENV (Задание по Безопасности, Безопасность Окружающей Среды);
Семейство ASE_OBJ (Задание по Безопасности, Цели Безопасности);
Семейство ASE_PPC (Задание по Безопасности, Требования ПЗ);
Семейство ASE_REQ (Задание по Безопасности, Требования Безопасности ОО);
Семейство ASE_TSS (Задание по Безопасности, Общая Спецификация ОО).

Общая Спецификация ОО обеспечивает определение функций безопасности и мер гарантии для выполнения соответствующих требований. Общая спецификация должна отражать соотношение функций безопасности и мер гарантии к требованиям безопасности так, чтобы было ясно, какие функции безопасности и меры гарантии ОО удовлетворяют каким требованиям и что каждая функция безопасности вносит вклад в удовлетворение по крайней мере одного требования безопасности. Функции безопасности ИТ ОО должны быть определены в степени детализации, необходимой для понимания намерения и поведения функции. Любые ссылки на механизмы безопасности и методы, включенные в ЗБ, должны быть прослежены к соответствующим функциям безопасности так, чтобы было видно, какие механизмы или методы используются при выполнении каждой функции.

Общая Спецификация ОО должна демонстрировать, что функции безопасности и меры гарантии ОО выполняют все функциональные требования и требования гарантии к ОО. Общая Спецификация ОО должна демонстрировать, что комбинация определенных функций безопасности ОО в комплексе способна удовлетворить цели безопасности ИТ.

Краткий обзор классов и семейств гарантии

Всего в разделе "Требования гарантии оценки ОО" семь классов, 25 семейств, 72 компонента.

Класс ACM . (Управление Конфигурацией) состоит из трех семейств и определяет требования дисциплины и контроля в процессе отработки и модификации ОО. Системы УК призваны гарантировать целостность изделий при конфигурации, которой они управляют, используя метод прослеживания конфигурируемых изделий и гарантируя, что только уполномоченные пользователи способны к их изменению. Управление конфигурацией обеспечивает доверие к тому, что ОО и документация подготовлены к распространению.

Класс ADO . (Поставка и Действие) состоит из двух семейств и определяет требования для мер, процедур и стандартов, связанных с безопасной поставкой, установкой и эксплуатацией ОО, гарантируя, что безопасность ОО не будет поставлена под угрозу в процессе его передачи, установки, запуска и функционирования.

Класс ADV . (Разработка) состоит из шести семейств и определяет требования для пошаговой отработки ФБ от краткой спецификации ОО в ЗБ до фактического выполнения. Каждое из заканчивающихся представлений ФБ обеспечивает информацию, помогающую оценщику определить, были ли функциональные требования к ОО выполнены.

Класс AGD . (Документы Руководства) состоит из двух семейств и определяет требования, направленные на способность понимания, охват и законченность эксплуатационной документации, представленной разработчиком. Эта документация, которая содержит две категории информации, для конечных пользователей и для администраторов, является важным фактором безопасной эксплуатации ОО.

Класс ALC . (Поддержка Жизненного Цикла) состоит из четырех семейств и определяет требования гарантии, обеспечивающие безопасность ОО путем принятия хорошо определенной модели жизненного цикла для всех этапов разработки ОО, включая политику и процедуры устранения недостатков, правильное использование инструментов и методов, а также меры безопасности для защиты среды разработки.

Класс ATE . (Тестирование) состоит из четырех семейств и формулирует требования для объема, глубины и вида тестирования, которые демонстрируют, что ФБ удовлетворяет по крайней мере функциональным требованиям безопасности.

Класс AVA . (Оценка Уязвимости) состоит из четырех семейств и определяет требования, направленные на идентификацию уязвимых мест. Он адресован тем уязвимостям, которые имеют место при проектировании, функционировании, неправильном использовании или неправильной конфигурации ОО. Анализ тайных каналов направлен на вскрытие и анализ непредусмотренных каналов коммуникаций, которые могут использоваться, чтобы нарушить предписанную ПФБ. Для некоторых функций безопасности предусмотрено требование к силе (мощности). Например, механизм пароля не может предотвращать отгадывание неизвестных паролей, но сила его может быть увеличена при увеличении длины или уменьшении интервала между изменениями (заменами) пароля, эффективно делая пароли менее вероятными для раскрытия.

Оценка силы функций безопасности ОО выполняется на уровне механизма безопасности, но результаты обеспечивают знание относительной способности соответствующей функции безопасности противостоять идентифицированным угрозам.

Сила функции оценивается как "базовая", если анализ показывает, что функция обеспечивает адекватную защиту против непреднамеренного или случайного нарушения безопасности ОО нападавшими, обладающими низким потенциалом нападения.

Сила функции оценивается как "средняя", если анализ показывает, что функция обеспечивает адекватную защиту против нападавших, обладающих умеренным потенциалом нападения.

Сила функции оценивается как "высокая", если анализ показывает, что функция обеспечивает адекватную защиту против нападавших, обладающих высоким потенциалом нападения.

Потенциал нападения определяется путем экспертизы возможностей, ресурсов и побуждения нападавшего.

Каталог требований гарантии оценки с детализацией до уровня компонентов приведен в Таб. I-2 Приложения.

Уровни гарантии

Уровни Гарантии Оценки обеспечивают однородно увеличивающийся масштаб, который балансирует полученный уровень гарантии со стоимостью приобретения и выполнимостью этой степени гарантии.

В Таб. 1 представлена сводка УГО. Колонки представляют иерархический набор УГО, а ряды - семейства гарантии. В каждой клетке полученной матрицы приведен номер компонента гарантии соответствующего семейства, который используется в УГО.

Таблица 1. Сводка уровней гарантии оценки

Класс гарантии	Семейство гарантии	Компоненты гарантии в уровне гарантии
		УГО 1	УГО 2	УГО 3	УГО 4	УГО 5	УГО 6	УГО 7
		Управление конфигурацией (АСМ)	ACM_AUT	═	═	═	1	1	2	2
ACM_CAP	1		1	2	3	3	4	4
ACM_SCP	═		═	1	2	3	3	3
Поставка и действие (АDO)	ADO_DEL
	ADO_IGS	═	1	1	1	1	1	1
	Разработка (АDV)	ADV_FSP	1	1	1	2	4	5	6
ADV_HLD		═	1	2	2	3	4	5
ADV_IMP		═	═	═	1	2	3	3
ADV_INT		═	═	═	═	1	2	3
ADV_LLD		═	═	═	1	1	2	2
ADV_RCR		1	1	1	1	2	2	3
Pуководящие документы (AGD)		AGD_ADM	1	1	1	1	1	1	1
	AGD_USR	1	1	1	1	1	1	1
	Поддержка жизенененого цикла (ALC)	ALC_DVS	═	═	1	1	1	2	2
ALC_FLR
ALC_LCD		═	═	═	1	2	2	3
ALC_TAT		═	═	═	1	2	3	3
Тестирование (ATE)		ATE_COV	═	1	2	2	2	3	3
	ATE_DPT	═	1	2	2	3	3	4
	ATE_FUN	═	1	1	1	1	1	1
	ATE_IND	1	1	2	2	2	2	3
	Оценка уязвимости (AVA)	AVA_CCA	═	═	═	═	1	2	2
AVA_MSU		═	═	1	2	2	2	2
AVA_SOF		═	1	1	1	1	1	1
AVA_VLA		═	1	1	2	3	4	4

В ОК определено семь уровней гарантии оценки. Они следуют в иерархическом порядке, поскольку каждый УГО предоставляет большую гарантию, чем все более низкие УГО. Увеличение гарантии от УГО к УГО выполнено иерархической заменой более высоким компонентом гарантии из того же самого семейства гарантии (то есть, увеличивая строгость, возможности и/или глубину оценки) и дополнением компонентов гарантии из других семейств гарантии (то есть, добавляя новые требования).

УГО состоят из соответствующей комбинации компонентов гарантии. Более точно, каждый УГО включает не более одного компонента каждого семейства гарантии и все зависимости каждого компонента гарантии учтены.

Несмотря на то, что УГО определены в ОК, возможно представление и других комбинаций гарантии. Понятие "увеличение" позволяет дополнять компоненты гарантии (из семейств гарантии, не включенных в УГО) или заменять компоненты гарантии (на другие более высокие по иерархии компоненты гарантии из того же самого семейства гарантии). Но УГО может быть изменен только в сторону увеличения. При этом увеличение несет с собой обязательство со стороны претендента оправдать полезность и добавленную ценность дополнительных компонентов гарантии в УГО.

Краткий обзор уровней гарантии оценки

Ниже дана характеристика УГО, где различия между уровнями гарантии подчеркнуты путем выделения жирным шрифтом новых требований.

Уровень Гарантии Оценки 1 ( УГО1 ) - функционально проверенный проект.

УГО1 — самый низкий уровень гарантий, для которого оценка является значащей и экономически оправданной. УГО1 предназначен для обнаружения очевидных ошибок при минимальных издержках.

Компоненты УГО1 обеспечивают минимальный уровень гарантии путем анализа функций безопасности, использующих функциональную и интерфейсную спецификацию ОО. Анализ проводится по результатам независимого тестирования каждой из функций безопасности.

Уровень Гарантии Оценки 2 ( УГО2 ) - структурно проверенный проект.

УГО2 применим, когда разработчики или пользователи требуют умеренно низкий уровень независимо гарантированной безопасности при отсутствии полного отчета о разработке.

Компоненты УГО2 обеспечивают гарантию путем анализа функций безопасности и проекта высокого уровня подсистем ОО. Анализ поддержан независимым тестированием каждой из функций безопасности, актом тестирования разработчиком " черного ящика " и свидетельством поиска разработчиком явных уязвимых мест (например, в общедоступной области).

Этот УГО представляет значительное увеличение гарантии по сравнению с УГО1, поскольку требует тестирование разработчиком, анализ уязвимых мест и независимое тестирование, основанные на более детальных спецификациях ОО.

Уровень Гарантии Оценки 3 ( УГО3 ) - методически проверенный и оттестированный проект.

УГО3 позволяет добросовестному разработчику получить максимальную гарантию безопасности на стадии разработки проекта без существенного изменения обычных методов разработки. Поэтому УГО3 применим, когда разработчики или пользователи требуют умеренного уровня независимо гарантированной безопасности и полного исследования изделия и процесса разработки без существенных технических затрат.

Компоненты УГО3 обеспечивают гарантию путем анализа функций безопасности и проекта высокого уровня подсистем ОО. Анализ поддержан независимым тестированием функций безопасности, актом тестирования разработчиком " серого ящика ", независимым подтверждением выборочных результатов тестирования разработчиком и свидетельством поиска разработчиком явных уязвимых мест. УГО3 обеспечивает также дополнительную гарантию путем включения средств контроля окружающей среды разработки и управления конфигурацией ОО.

Этот УГО представляет значимое увеличение гарантии по сравнению с УГО2, поскольку требует более полного охвата тестированием функций безопасности и механизмов и/или процедур, которые обеспечивают некоторую уверенность в том, что ОО не был подделан в процессе разработки.

Уровень Гарантии Оценки 4 ( УГО4 ) - методически разработанный и проверенный проект.

УГО4 позволяет разработчику получать максимальную гарантию безопасности при проектировании, основанном на хороших коммерческих методах разработки. УГО4 — самый высокий уровень, который, вероятно, будет экономически целесообразен для ориентировки на существующие типы изделий. Поэтому УГО4 применим, когда разработчики или пользователи требуют умеренно-высокий уровень независимо гарантированной безопасности в обычных товарных изделиях и готовы нести определенные технические затраты для дополнительной безопасности.

Компоненты УГО4 обеспечивает гарантию путем анализа функций безопасности, проекта высокого уровня подсистем, проекта низкого уровня модулей ОО и поднабора выполнения . Анализ поддержан независимым тестированием функций безопасности, актом тестирования разработчиком "серого ящика", независимым подтверждением выборочных результатов тестирования разработчиком, свидетельством поиска разработчиком явных уязвимых мест и независимым поиском явных уязвимых мест . УГО4 также обеспечивает гарантию путем использования средств контроля окружающей среды разработки и дополнительных средств управления конфигурацией ОО, включая средства автоматизации этого процесса.

Этот УГО представляет значимое увеличение гарантии по сравнению с УГО3, требуя более детального описания проекта, поднабора выполнения и улучшенных механизмов и/или процедур, которые обеспечивают уверенность в том, что ОО не был подделан в процессе разработки.

Уровень Гарантии Оценки 5 ( УГО5 ) - полуформально разработанный и проверенный проект.

УГО5 позволяет разработчику получить максимальную гарантию безопасности при проектировании, основанном на строгих коммерческих методах разработки, поддержанных умеренным использованием специальных технических методов обеспечения безопасности. Поэтому УГО5 применим, когда разработчики или пользователи требуют высокого уровня независимо — гарантированной безопасности и строгого подхода к разработке без существенных дополнительных затрат, относящихся к специалистам по техническим методам обеспечения безопасности.

Компоненты УГО5 обеспечивают гарантию путем анализа функций безопасности, проекта высокого уровня подсистем, проекта низкого уровня модулей ОО и всего выполнения. Дополнительная гарантия получена за счет формальной модели и полуформального представления функциональной спецификации и проекта высокого уровня и полуформальной демонстрации соответствия между ними . Анализ поддержан независимым тестированием функций безопасности, актом тестирования разработчиком "серого ящика", независимым подтверждением выборочных результатов тестирования разработчиком, свидетельством поиска разработчиком явных уязвимых мест и независимым поиском уязвимых мест, гарантирующим относительное сопротивление нападению проникновения . Анализ также включает поиск тайных каналов и поддержан требованием модульного проекта ОО . УГО5 также обеспечивает гарантию с помощью средств контроля окружающей среды разработки и всестороннего управления конфигурацией ОО, включая автоматизацию.

Этот УГО представляет значимое увеличение гарантии по сравнению с УГО4, требуя полуформальное описание проекта, полное выполнение, более структурированную (и, следовательно, анализируемую) архитектуру, анализ тайных каналов и улучшенные механизмы и/или процедуры, которые обеспечивают уверенность в том, что в ОО не будут несанкционированно вмешиваться в процессе разработки.

Уровень Гарантии Оценки 6 ( УГО6 ) - полуформально верифицированный и проверенный проект.

УГО6 позволяет разработчикам получать высокую гарантию за счет применения технических методов обеспечения безопасности в условиях сложной окружающей среды. Поэтому УГО6 применим при разработке специальных изделий для использования в ситуациях высокого риска, где ценность защищаемых активов оправдывает дополнительные затраты.

Компоненты УГО6 обеспечивают гарантию путем анализа функций безопасности, проекта высокого уровня подсистем, проекта низкого уровня модулей ОО и структурированного представления выполнения. Дополнительная гарантия получается за счет формальной модели, полуформального представления функциональной спецификации, проекта высокого уровня и проекта низкого уровня , а также полуформальной демонстрации соответствия между ними. Анализ поддержан независимым тестированием функций безопасности, актом тестирования разработчиком "серого ящика", независимым подтверждением выборочных результатов тестирования разработчиком, свидетельством поиска разработчиком явных уязвимых мест и независимым поиском уязвимых мест, гарантирующим высокое сопротивление нападению проникновения. Анализ также включает систематический поиск тайных каналов и поддержан требованием модульного и иерархического проекта ОО. УГО6 также обеспечивает гарантию за счет структурированного процесса разработки , средств контроля окружающей среды разработки и всестороннего управления конфигурацией ОО, включая полную автоматизацию.

Этот УГО представляет значимое увеличение гарантии по сравнению с УГО5, требуя всесторонний анализ проекта, структурированное представление выполнения, более стройную архитектуру (например, иерархическое представление), всесторонний независимый анализ уязвимых мест, систематическую идентификацию тайных каналов, улучшенное управление конфигурацией ОО и улучшенные средства контроля окружающей среды разработки.

Уровень Гарантии Оценки 7 ( УГО7 ) - формально верифицированный и проверенный проект.

УГО7 представляет верхний достижимый предел гарантии оценки для фактически полезных изделий и рассматривается только для экспериментального применения ко всем изделиям, кроме концептуально простых и хорошо понятных. Поэтому УГО7 применим при разработке специальных изделий для применения в ситуациях чрезвычайно высокого риска и/или где высокая ценность активов оправдывает более высокие затраты. Практическое применение УГО7 в настоящее время ограничено изделиями с сосредоточенными функциональными возможностями обеспечения безопасности, поддающимися формальному анализу.

Компоненты УГО7 обеспечивают гарантию путем анализа функций безопасности, проекта высокого уровня подсистем, проекта низкого уровня модулей ОО и структурированного представления выполнения. Дополнительная гарантия обеспечивается за счет формальной модели, формального представления функциональной спецификации и проекта высокого уровня , полуформального представления проекта низкого уровня, формальной и полуформальной демонстрации соответствия между ними. Анализ поддержан независимым тестированием функций безопасности, актом тестирования разработчиком " белого ящика", независимым подтверждением всех результатов тестирования разработчиком, свидетельством поиска разработчиком явных уязвимостей и независимым поиском уязвимых мест, гарантирующим высокое сопротивление нападению проникновения. Анализ также включает систематический поиск тайных каналов и поддержан требованием модульного, иерархического и простого проекта ОО. УГО7 также обеспечивает гарантию за счет структурированного процесса разработки, средств контроля окружающей среды разработки и всестороннего управления конфигурацией ОО, включая полную автоматизацию.

Этот УГО представляет значимое увеличение гарантии по сравнению с УГО6, требуя всесторонний анализ проекта, формальное представление и формальное соответствие, всестороннее тестирование и исчерпывающий анализ тайных каналов.


Требования к функциям безопасности	Содержание	Предопределенные профили защиты