- •Предметный указатель
- •Лекция 1 (15.02.2013)
- •Требования к ас и свт
- •Классификация ас
- •Безопасность в Общих критериях
- •Понятие безопасности и их взаимосвязь
- •История создания ок и регламентирующие документы в России и Мире.
- •Цели Общих Критериев и их использование
- •Ключевые понятия Общих критериев
- •Структура проекта защиты и задания по безопасности
- •Лекция 2 (01.03.2013)
- •Краткое изложение концепции ок
- •Механизм использования требований по безопасности
- •Ключевые понятия функциональных требований безопасности (единый оо)
- •Структура требований ок
- •Функциональные классы безопасности
- •Классы требований доверия
- •Сертификационные испытания (оценка) на соответствие
- •Выдержки из гост р исо/мэк 15408-1 (проект)
- •Лекция 3 (15.03.2013)
- •Представление оо
- •Конфигурация оо
- •Активы и контрмеры
- •Достаточность контрмер
- •Корректность оо
- •Корректность среды функционирования
- •Оценка зб и оо
Корректность оо
ОО может содержать ошибки, ведущие к уязвимостям. Для выявления ошибок могут выполняться:
Тестирование ОО
Исследование различных проектных представлений (спецификация (ЗБ, ТП, рабочий проект) и представления реализации – исходные коды для программ и схемы для аппаратных средств.)
Исследование физической безопасности среды разработки ОО
Возникает понятие требования доверия безопасности, что дает возможность оценить корректность (если требование доверия выполняется, то корректность повышается). Несколько слабых требований доверия ведут к слабой корректности ОО, сильные требования доверия – к сильной корректности ОО.
Корректность среды функционирования
Возникают ошибки при построении среды функционирования, однако в ОК среда функционирования не оценивается. При оценке ОО считается, что среда функционирования корректна на 100%. Предполагается, что эта задача ложиться на плечи потребителя.
Оценка
ОК признают 2 типа оценки:
Оценка ЗБ и ОО в два этапа:
Оценка ЗБ: определяется полнота описания ОО и среды функционирования
Оценка ОО: определение корректности ОО без оценки среды функционирования
Оценка ПЗ
Оценка зб и оо
Оценка ЗБ выполняется путем применения критериев оценки по безопасности (раздел ASE ОК-3). Конкретный способ применения критериев ASE определяется используемой методологией оценки.
Оценка ОО более сложная. Основные исходные данные для оценки ОО: свидетельства для оценки, которые включают ОО и ЗБ, а так же, как правило – исходные данные, получаемые из среды разработки, такие как проектная документация или результаты тестирования разработчиками.
Оценка ОО заключается в том, чтобы используя свидетельства, представленные для оценки, проверить выполнение ТДБ (из задания по безопасности). Конкретный способ применения конкретного ТДБ определяется используемой методологией оценки.
Результатом ОО:
Либо утверждение, что не все ТДБ были удовлетворены, и поэтому не достигнут заданный уровень доверия к тому, что ОО удовлетворяет ФТБ, изложенным ы ЗБ
Либо утверждение, что все ТДБ были удовлетворены, и поэтому не достигнут заданный уровень доверия к тому, что ОО удовлетворяет ФТБ, изложенным ы ЗБ
Оценка ОО может быть выполнена после завершения разработки ОО или параллельно.
Доработка требований безопасности для конкретного применения.