- •Часть 3. Требования доверия к безопасности
- •Область применения
- •Структура
- •Часть 3 ок состоит из следующих разделов:
- •Парадигма доверия
- •Основные принципы ок
- •Подход к доверию
- •Шкала оценки доверия в ок
- •Требования доверия к безопасности
- •Структуры
- •Структура класса
- •Структура семейства доверия
- •Структура компонента доверия
- •Элементы доверия
- •Структура оуд
- •Р исунок 2.3 – Структура оуд
- •Связь между требованиями и уровнями доверия
- •Классификация компонентов
- •Р исунок 2.5 – Образец декомпозиции класса
- •Структура класса критериев оценки профиля защиты и задания по безопасности
- •Использование терминов в части 3 ок
- •Классификация доверия
- •Краткий обзор классов и семейств доверия
- •Класс acm: Управление конфигурацией
- •Класс agd. Руководства
- •Руководство администратора (agd_adm)
- •Руководство пользователя (agd_usr)
- •Класс alc. Поддержка жизненного цикла
- •Безопасность разработки (alc_dvs)
- •Устранение недостатков (alc_flr)
- •Определение жизненного цикла (alc_lcd)
- •Анализ уязвимостей (ava_vla)
- •Классификация поддержки
- •Краткий обзор критериев профиля защиты
- •Оценка профиля защиты
- •Соотношение с критериями оценки задания по безопасности
- •Задачи оценщика
- •Краткий обзор критериев задания по безопасности
- •Оценка задания по безопасности
- •Соотношение с другими критериями оценки из ок
- •Задачи оценщика
- •Класс ape. Оценка профиля защиты
- •Описание оо (ape_des)
- •Среда безопасности (ape_env)
- •Введение пз (ape_int)
- •Цели безопасности (ape_obj)
- •Требования безопасности ит (ape_req)
- •Требования безопасности ит, сформулированные в явном виде (ape_sre)
- •Класс ase. Оценка задания по безопасности
- •Описание оо (ase_des)
- •Среда безопасности (ase_env)
- •Введение зб (ase_int)
- •Цели безопасности (ase_obj)
- •Утверждения о соответствии пз (ase_ppc)
- •Требования безопасности ит (ase_req)
- •Требования безопасности ит, сформулированные в явном виде (ase_sre)
- •Краткая спецификация оо (ase_tss)
- •Оценочные уровни доверия
- •Краткий обзор оценочных уровней доверия (оуд)
- •Детализация оценочных уровней доверия
- •Оценочный уровень доверия 1 (оуд1) – предусматривающий функциональное тестирование
- •Оценочный уровень доверия 2 (оуд2) – предусматривающий структурное тестирование
- •Оценочный уровень доверия 3 (оуд3) – предусматривающий методическое тестирование и проверку
- •Оценочный уровень доверия 4 (оуд4) – предусматривающий методическое проектирование, тестирование и углубленную проверку
- •Оценочный уровень доверия 5 (оуд5) – предусматривающий полуформальное проектирование и тестирование
- •Оценочный уровень доверия 6 (оуд6) – предусматривающий полуформальную верификацию проекта и тестирование
- •Оценочный уровень доверия 7 (оуд7) – предусматривающий формальную верификацию проекта и тестирование
- •Классы, семейства и компоненты доверия
- •Класс acm. Управление конфигурацией
- •Автоматизация ук (acm_aut)
- •Возможности ук (acm_cap)
- •Область ук (acm_scp)
- •Класс ado. Поставка и эксплуатация
- •Поставка (ado_del)
- •Установка, генерация и запуск (ado_igs)
- •Класс adv. Разработка
- •Функциональная спецификация (adv_fsp)
- •Проект верхнего уровня (adv_hld)
- •Представление реализации (adv_imp)
- •Внутренняя структура фбо (adv_int)
- •Проект нижнего уровня (adv_lld)
- •Соответствие представлений (adv_rcr)
- •Моделирование политики безопасности (adv_spm)
- •Класс agd. Руководства
- •Руководство администратора (agd_adm)
- •Руководство пользователя (agd_usr)
- •Класс alc. Поддержка жизненного цикла
- •Безопасность разработки (alc_dvs)
- •Устранение недостатков (alc_flr)
- •Определение жизненного цикла (alc_lcd)
- •Инструментальные средства и методы (alc_tat)
- •Класс ate. Тестирование
- •Покрытие (ate_cov)
- •Глубина (ate_dpt)
- •Функциональное тестирование (ate_fun)
- •Независимое тестирование (ate_ind)
- •Класс ava. Оценка уязвимостей
- •Анализ скрытых каналов (ava_cca)
- •Неправильное применение (ava_msu)
- •Стойкость функций безопасности оо (ava_sof)
- •Анализ уязвимостей (ava_vla)
- •Парадигма поддержки доверия
- •Введение
- •Цикл поддержки доверия
- •Р исунок 15.1 – Пример цикла поддержки доверия
- •Приемка оо
- •Р исунок 15.2 – Пример подхода к приемке оо
- •Мониторинг оо
- •Переоценка
- •Класс и семейства поддержки доверия
- •План поддержки доверия
- •Отчет о категорировании компонентов оо
- •Свидетельство поддержки доверия
- •Анализ влияния на безопасность
- •Класс ama. Поддержка доверия
- •План поддержки доверия (ama_amp)
- •Отчет о категорировании компонентов оо (ama_cat)
- •Свидетельство поддержки доверия (ama_evd)
- •Анализ влияния на безопасность (ama_sia)
- •Приложение а (справочное) Перекрестные ссылки между компонентами доверия
- •Приложение б (справочное) Перекрестные ссылки оуд и компонентов доверия
Парадигма поддержки доверия
Введение
В этом разделе представлена парадигма поддержки доверия, которой посвящен класс "Поддержка доверия" (AMA). Здесь также приведена полезная информация, помогающая понять один из возможных подходов к применению требований класса AMA.
Поддержка доверия – понятие, применение которого предполагается после того, как ОО уже оценен и сертифицирован по критериям из разделов 4-5 и 8-14. Поддержка требований доверия направлена на получение уверенности в том, что ОО будет по-прежнему отвечать своему заданию по безопасности после изменений в ОО или его среде. К таким изменениям относятся: обнаружение новых угроз или уязвимостей, изменения в требованиях пользователя, исправление ошибок, обнаруженных в сертифицированном ОО, а также другие обновления функциональных возможностей ОО.
Одним из способов вынесения заключения о поддержке доверие является переоценка ОО. Термин "переоценка" здесь означает оценку новой версии ОО, учитывающую все относящиеся к безопасности изменения, произведенные в сертифицированной ранее версии ОО, при которой повторно используют результаты предыдущей оценки, оставшиеся актуальными. Однако во многих случаях вряд ли будет практично выполнять переоценку каждой новой версии ОО для дальнейшей поддержки доверия.
Поэтому главная цель класса AMA – определить совокупность требований, которые могут применяться, чтобы убедиться в поддержке установленного доверия к ОО, не требуя во всех случаях формальной переоценки новых версий ОО. Класс AMA не исключает полностью необходимость переоценки. В некоторых случаях изменения могут быть настолько значительными, что для дальнейшей поддержки доверия переоценка обязательна. Таким образом, требования этого класса имеют дополнительную цель по обеспечению, при необходимости, экономически оправданной переоценки ОО.
Следует отметить, что вполне возможна переоценка каждой новой версии ОО по критериям из разделов 4-5 и 8-14 вообще без учета требований класса AMA. Однако класс AMA включает в себя требования, которые могут быть использованы для поддержки любой такой переоценки.
Действия разработчика и оценщика по поддержке предполагается выполнять после того, как ОО был оценен и сертифицирован, хотя, как описано ниже, некоторые требования могут применяться и на стадии оценки. Примеры использования терминов в описании парадигмы:
а) сертифицированная версия ОО – версия, которая была оценена и сертифицирована;
б) текущая версия ОО – версия, которая в некотором смысле отличается от сертифицированной версии; это может быть, например:
– новый выпуск ОО,
– сертифицированная версия с обновлениями, внесенными для исправления вновь обнаруженных ошибок,
– та же самая базовая версия ОО, но на другой аппаратной или программной платформе.
Роли разработчика и оценщика в этом классе такие же, как и описанные в части 1 ОК. Однако совершенно необязательно, чтобы оценщик, упоминаемый в требованиях этого класса, ранее принимал участие в оценке сертифицированной версии ОО.
Чтобы сделать возможным продолжение поддержки доверия к ОО без обязательной формальной переоценки, требования этого класса накладывают на разработчика обязанность представить свидетельство, показывающее, что ОО по-прежнему удовлетворяет своему заданию по безопасности (например, свидетельство тестирования разработчиком).