- •Содержание
- •6 Краткая спецификация оо 97
- •7 Утверждения о соответствии пз 100
- •8 Логическое обоснование требований безопасности 101
- •Перечень сокращений
- •1 Введение зб
- •1.1 Идентификация зб
- •1.2 Аннотация зб
- •1.3 Соответствие ок
- •1.4 Термины и определения
- •1.4 Организация зб
- •Раздел 1 «Введение зб» содержит информацию управления документооборотом и описательную информацию, необходимые для идентификации зб и оо, к которому оно относится.
- •2 Описание оо
- •2.1 Назначение системы
- •3 Среда безопасности оо
- •3.1 Предположения безопасности
- •3.1.1 Предположения безопасности относительно предопределённого использования оо
- •3.1.2 Предположения безопасности относительно среды функционирования оо
- •3.1.2.1 Предположения безопасности, связанные с физической защитой
- •3.1.2.2 Предположения безопасности, связанные с персоналом
- •3.2 Угрозы
- •3.2.1 Актуальные угрозы
- •3.2.2 Неактуальные угрозы
- •3.3 Политика безопасности организации
- •4 Цели безопасности
- •4.1 Цели безопасности для оо
- •4.2 Цели безопасности для среды функционирования оо
- •5 Требования безопасности ит
- •5.1 Функциональные требования безопасности оо
- •5.1.1 Класс fcs – Криптографические функции
- •5.1.2 Класс fia – Идентификация и аутентификация
- •5.1.3 Класс fdp – Поток данных пользователя
- •5.1.4 Класс fpt – Защита функций безопасности
- •5.1.5 Класс fta – Доверенный маршрут/канал
- •5.2 Требования доверия к безопасности (тбд)
- •5.3 Требования безопасности для среды ит
- •6 Краткая спецификация оо
- •6.1 Функции безопасности оо
- •6.2 Меры доверия к безопасности
- •8.1.2 Логическое обоснование для среды
- •8.2 Логическое обоснование требований безопасности
- •8.2.1 Логическое обоснование функциональных требований безопасности
- •8.2.2 Логическое обоснование требований доверия
- •8.2.3 Логическое обоснование зависимости требований
- •8.3 Логическое обоснование требований к стойкости функций безопасности
5.1.5 Класс fta – Доверенный маршрут/канал
FTA_SSL.1 – Этот компонент предполагает автоматическое завершение сеанса при выявлении подозрительной активности. В системе реализована блокировка сеанса пользователя при множестве неудачных попыток входа, что предотвращает попытки перебора паролей. После истечения временного лимита пользователь может снова попытаться войти.
FTA_SSL.2 – Компонент требует возможности завершения сеанса по инициативе пользователя. В приложении реализована кнопка выхода («Выход»), которая приводит к завершению текущей сессии, очистке временных данных и возврату к окну авторизации. Это позволяет пользователю контролировать своё присутствие в системе и предотвращает несанкционированный доступ со стороны третьих лиц.
FTA_TAB.1 – Данный компонент требует, чтобы доступ к системе предоставлялся только после прохождения процедуры идентификации и аутентификации. В приложении «Сортировка расчёской» пользователь сразу после запуска программы направляется на экран регистрации или авторизации, где он должен ввести свои учетные данные. Без этого дальнейший доступ к функционалу системы невозможен, что полностью соответствует данному требованию.
5.2 Требования доверия к безопасности (тбд)
Требования доверия к безопасности объекта оценки (ОО), которые представлены в таблице 5.2, взяты из части 3 общих критериев (ОК) и реализуют уровень доверия ОУД1 (основной уровень доверия). Они направлены на обеспечение надежности, целостности и защищенности системы на этапах разработки, тестирования, документирования и доставки.
Таблица 5.2 – Требования доверия к безопасности (ТДБ)
Класс |
Компонент |
Описание |
ACM |
ACM_CAP.1 |
Управление конфигурацией, контроль версий и изменений |
ADO |
ADO_IGS.1 |
Безопасность установки, генерации и запуска программы |
ADV |
ADV_FSP.1 |
Неформальная функциональная спецификация |
ADV |
ADV_RCR.1 |
Неформальное соответствие требованиям |
AGD |
AGD_ADM.1 |
Руководство администратора |
AGD |
AGD_USR.1 |
Руководство пользователя |
ALC |
ALC_CMC.1 |
Маркировка ОО (например, версия 1.0) |
ALC |
ALC_CMS.1 |
Список элементов конфигурации (код, файл БД) |
ALC |
ALC_DEL.1 |
Процедуры доставки программного обеспечения |
Продолжение таблицы 5.2
ASE |
ASE_CCL.1 |
Утверждения о соответствии стандартам |
ASE |
ASE_INT.1 |
Введение в ЗБ, включая идентификацию |
ASE |
ASE_OBJ.1 |
Определение целей безопасности |
ASE |
ASE_REQ.1 |
Формулировка требований безопасности |
ASE |
ASE_TSS.1 |
Краткая спецификация ФБО и ТДБ |
ATE |
ATE_IND.1 |
Независимое тестирование |
AVA |
AVA_SOF.1 |
Оценка стойкости функции безопасности |
Класс ACM – Управление конфигурацией
Этот класс включает требования по контролю состава системы и её компонентов.
ACM_CAP.1 – Возможности управления конфигурацией
В процессе разработки обеспечивается контроль версий программного обеспечения и его компонентов. Используется система контроля версий (например, GitHub), позволяющая отслеживать изменения в коде, а также сохранять историю модификаций и обеспечивать целостность сборок.
Класс ADO – Доставка и эксплуатация
Класс содержит требования к безопасному распространению и установке программного обеспечения.
ADO_IGS.1 – Безопасность установки, генерации и запуска
Приложение «Сортировка расчёской» распространяется в виде готовой установочной сборки или исполняемого файла (.exe). Все файлы доставляются в защищённом формате, исключающем возможность их несанкционированного изменения до момента установки или запуска на стороне пользователя.
Класс ADV – Разработка
Этот класс объединяет требования к документированию архитектуры и функциональных возможностей системы.
ADV_FSP.1 – Неформальная функциональная спецификация
Архитектура приложения и его основные модули описаны в проектной документации: UML-диаграммы, блок-схемы алгоритма сортировки, описание подсистем (GUI, авторизация, сортировка, БД).
ADV_RCR.1 – Неформальное соответствие требованиям
Реализация всех функций выполнена в соответствии с техническим заданием. Проведено сравнение между заявленными требованиями и фактической реализацией, подтверждающее их полное выполнение.
Класс AGD – Руководства
Класс включает требования к наличию и качеству документации для пользователей и администраторов.
AGD_ADM.1 – Руководство администратора
Подготовлено руководство, содержащее информацию по настройке и обслуживанию системы, описание структуры базы данных, рекомендации по обновлению и масштабированию.
AGD_USR.1 – Руководство пользователя
Создано пошаговое руководство пользователя, включающее инструкции по регистрации, авторизации, вводу массива, выполнению сортировки и просмотру истории.
Класс ALC – Поддержка жизненного цикла
Этот класс охватывает процессы маркировки, доставки и управления элементами конфигурации.
ALC_CMC.1 – Маркировка ОО
Программный продукт имеет четко обозначенную версию (например, версия 1.0), что позволяет однозначно идентифицировать текущую сборку.
ALC_CMS.1 – Список элементов конфигурации
Для проекта ведётся список компонентов системы: исходный код на C#, файлы графического интерфейса, файл базы данных SQLite, ресурсы приложения.
ALC_DEL.1 – Процедуры доставки программного обеспечения
Финальная сборка приложения предоставляется через защищённый репозиторий (GitHub), где осуществляется проверка целостности и подлинности передаваемых файлов.
Класс ASE – Заявления о безопасности
Этот класс включает требования к формулированию и утверждению заявлений о безопасности.
ASE_CCL.1 – Утверждения о соответствии стандартам
Разработаны утверждения о соответствии системы требованиям безопасности, включая защиту учетных данных, шифрование паролей и защиту от SQL-инъекций.
ASE_INT.1 – Введение в ЗБ, включая идентификацию
В пояснительной записке представлено введение в защиту информации, описаны ключевые компоненты системы, её назначение и область применения.
ASE_OBJ.1 – Определение целей безопасности
Цели безопасности определены как обеспечение конфиденциальности учетных данных, целостности данных пользователя и доступности приложения.
ASE_REQ.1 – Формулировка требований безопасности
В техническом задании и пояснительной записке сформулированы конкретные требования безопасности: защита от несанкционированного доступа, хранение паролей в зашифрованном виде, ограничение попыток входа.
ASE_TSS.1 – Краткая спецификация ФБО и ТДБ
Представлена краткая спецификация функций безопасности объекта и требований доверия к безопасности, включая описание компонентов FCS_COP.1, FIA_AFL.1 и других.
Класс ATE – Тестирование
Класс включает требования к проверке корректности реализации функций безопасности.
ATE_IND.1 – Независимое тестирование
Все функции безопасности были протестированы на различных этапах разработки. Проведено тестирование регистрации, авторизации, шифрования паролей, защиты от SQL-инъекций и работы с числовыми массивами. Результаты тестирования оформлены в отчёте.
Класс AVA – Оценка уязвимостей
Этот класс связан с анализом устойчивости системы к потенциальным угрозам.
AVA_SOF.1 – Оценка стойкости функции безопасности
Проведён анализ уязвимостей системы. Проверены такие аспекты, как защита паролей, ограничение количества попыток входа, защита от SQL-инъекций и корректная обработка ошибок. Выявленные слабые места исправлены, что позволило повысить уровень доверия к системе.