- •Часть 3. Требования доверия к безопасности
- •Область применения
- •Структура
- •Часть 3 ок состоит из следующих разделов:
- •Парадигма доверия
- •Основные принципы ок
- •Подход к доверию
- •Шкала оценки доверия в ок
- •Требования доверия к безопасности
- •Структуры
- •Структура класса
- •Структура семейства доверия
- •Структура компонента доверия
- •Элементы доверия
- •Структура оуд
- •Р исунок 2.3 – Структура оуд
- •Связь между требованиями и уровнями доверия
- •Классификация компонентов
- •Р исунок 2.5 – Образец декомпозиции класса
- •Структура класса критериев оценки профиля защиты и задания по безопасности
- •Использование терминов в части 3 ок
- •Классификация доверия
- •Краткий обзор классов и семейств доверия
- •Класс acm: Управление конфигурацией
- •Класс agd. Руководства
- •Руководство администратора (agd_adm)
- •Руководство пользователя (agd_usr)
- •Класс alc. Поддержка жизненного цикла
- •Безопасность разработки (alc_dvs)
- •Устранение недостатков (alc_flr)
- •Определение жизненного цикла (alc_lcd)
- •Анализ уязвимостей (ava_vla)
- •Классификация поддержки
- •Краткий обзор критериев профиля защиты
- •Оценка профиля защиты
- •Соотношение с критериями оценки задания по безопасности
- •Задачи оценщика
- •Краткий обзор критериев задания по безопасности
- •Оценка задания по безопасности
- •Соотношение с другими критериями оценки из ок
- •Задачи оценщика
- •Класс ape. Оценка профиля защиты
- •Описание оо (ape_des)
- •Среда безопасности (ape_env)
- •Введение пз (ape_int)
- •Цели безопасности (ape_obj)
- •Требования безопасности ит (ape_req)
- •Требования безопасности ит, сформулированные в явном виде (ape_sre)
- •Класс ase. Оценка задания по безопасности
- •Описание оо (ase_des)
- •Среда безопасности (ase_env)
- •Введение зб (ase_int)
- •Цели безопасности (ase_obj)
- •Утверждения о соответствии пз (ase_ppc)
- •Требования безопасности ит (ase_req)
- •Требования безопасности ит, сформулированные в явном виде (ase_sre)
- •Краткая спецификация оо (ase_tss)
- •Оценочные уровни доверия
- •Краткий обзор оценочных уровней доверия (оуд)
- •Детализация оценочных уровней доверия
- •Оценочный уровень доверия 1 (оуд1) – предусматривающий функциональное тестирование
- •Оценочный уровень доверия 2 (оуд2) – предусматривающий структурное тестирование
- •Оценочный уровень доверия 3 (оуд3) – предусматривающий методическое тестирование и проверку
- •Оценочный уровень доверия 4 (оуд4) – предусматривающий методическое проектирование, тестирование и углубленную проверку
- •Оценочный уровень доверия 5 (оуд5) – предусматривающий полуформальное проектирование и тестирование
- •Оценочный уровень доверия 6 (оуд6) – предусматривающий полуформальную верификацию проекта и тестирование
- •Оценочный уровень доверия 7 (оуд7) – предусматривающий формальную верификацию проекта и тестирование
- •Классы, семейства и компоненты доверия
- •Класс acm. Управление конфигурацией
- •Автоматизация ук (acm_aut)
- •Возможности ук (acm_cap)
- •Область ук (acm_scp)
- •Класс ado. Поставка и эксплуатация
- •Поставка (ado_del)
- •Установка, генерация и запуск (ado_igs)
- •Класс adv. Разработка
- •Функциональная спецификация (adv_fsp)
- •Проект верхнего уровня (adv_hld)
- •Представление реализации (adv_imp)
- •Внутренняя структура фбо (adv_int)
- •Проект нижнего уровня (adv_lld)
- •Соответствие представлений (adv_rcr)
- •Моделирование политики безопасности (adv_spm)
- •Класс agd. Руководства
- •Руководство администратора (agd_adm)
- •Руководство пользователя (agd_usr)
- •Класс alc. Поддержка жизненного цикла
- •Безопасность разработки (alc_dvs)
- •Устранение недостатков (alc_flr)
- •Определение жизненного цикла (alc_lcd)
- •Инструментальные средства и методы (alc_tat)
- •Класс ate. Тестирование
- •Покрытие (ate_cov)
- •Глубина (ate_dpt)
- •Функциональное тестирование (ate_fun)
- •Независимое тестирование (ate_ind)
- •Класс ava. Оценка уязвимостей
- •Анализ скрытых каналов (ava_cca)
- •Неправильное применение (ava_msu)
- •Стойкость функций безопасности оо (ava_sof)
- •Анализ уязвимостей (ava_vla)
- •Парадигма поддержки доверия
- •Введение
- •Цикл поддержки доверия
- •Р исунок 15.1 – Пример цикла поддержки доверия
- •Приемка оо
- •Р исунок 15.2 – Пример подхода к приемке оо
- •Мониторинг оо
- •Переоценка
- •Класс и семейства поддержки доверия
- •План поддержки доверия
- •Отчет о категорировании компонентов оо
- •Свидетельство поддержки доверия
- •Анализ влияния на безопасность
- •Класс ama. Поддержка доверия
- •План поддержки доверия (ama_amp)
- •Отчет о категорировании компонентов оо (ama_cat)
- •Свидетельство поддержки доверия (ama_evd)
- •Анализ влияния на безопасность (ama_sia)
- •Приложение а (справочное) Перекрестные ссылки между компонентами доверия
- •Приложение б (справочное) Перекрестные ссылки оуд и компонентов доверия
Анализ влияния на безопасность
Назначение анализа влияния на безопасность состоит в том, чтобы убедиться в поддержке доверия к ОО посредством проводимого разработчиком анализа влияния на безопасность всех изменений, воздействующих на ОО после его сертификации. Эти требования могут применяться в фазе мониторинга или переоценки.
Анализ влияния на безопасность, проводимый разработчиком, основывается на отчете о категорировании компонентов ОО: изменения в осуществляющих ПБО компонентах ОО могут повлиять на доверие к тому, что ОО продолжает отвечать своему ЗБ после изменений. Поэтому все такие изменения требуют анализа их влияния на безопасность, чтобы показать, что они не нарушают доверия к ОО.
Компоненты этого семейства могут использоваться для поддержки последующего аудита ПД или для переоценки ОО.
Следует, чтобы для аудита ПД краткий обзор оценщиком анализа влияния на безопасность служил бы основой последующих действий аудита, которые, в свою очередь, предоставили бы подтверждение результатов анализа, проведенного разработчиком.
Анализ влияния на безопасность идентифицирует изменения в сертифицированной версии ОО на уровне компонентов ОО, которые или являются новыми, или были модифицированы. Оценщик проверяет точность этой информации либо во время связанного с ними аудита ПД, либо при вызванной ими переоценке ОО.
Следует, чтобы подготовка анализа влияния на безопасность для поддержки переоценки уменьшила трудозатраты оценщика, необходимые для установления требуемого уровня доверия к ОО. Применение AMA_SIA.2, который содержит требование полной экспертизы анализа влияния на безопасность, предоставит, как ожидается, максимальный выигрыш при переоценке. Детализация условий, при которых орган оценки мог бы на практике потребовать использование при переоценке анализа влияния на безопасность, находится за рамками ОК.
Класс ama. Поддержка доверия
Класс AMA содержит требования, предназначенные для применения после того, как ОО был сертифицирован на основе ОК. Эти требования имеют целью сохранить уверенность в том, что ОО продолжит отвечать своему заданию по безопасности после изменений в ОО или его среде. К таким изменениям относятся обнаружение новых угроз или уязвимостей, изменения в требованиях пользователя, а также исправление ошибок, найденных в сертифицированном ОО.
Класс включает в себя четыре семейства с иерархией компонентов в семействах, показанной на рисунке 16.1:
|
Класс AMA. Поддержка доверия |
|
|||||||
|
|
|
|||||||
|
|
AMA_AMP План поддержки доверия |
|
1 |
|
|
|||
|
|
|
|
||||||
|
|
|
|||||||
|
|
AMA_CAT Отчет о категорировании компонентов ОО |
|
1 |
|
|
|||
|
|
|
|
||||||
|
|
|
|||||||
|
|
AMA_EVD Свидетельство поддержки доверия |
|
1 |
|
|
|||
|
|
|
|
||||||
|
|
|
|||||||
|
|
AMA_SIA Анализ влияния на безопасность |
|
1 |
|
2 |
|
||
|
|
|
|
|
Рисунок 16.1 – Декомпозиция класса "Поддержка доверия"