Вимоги гарантій засобів захисту 8.4.1 Загальна характеристика вимог гарантій безпеки

Вимоги гарантій безпеки (ВГБ) [security assurance requi­rements] — вимоги безпеки, які в "Загальних критеріях" представля­ють собою характеристику ІТ-продукту, що показує, наскільки ефе­ктивно забезпечується заявлений рівень безпеки, а також; ступінь коректності реалізації засобів захисту. Як і функціональні вимоги безпеки, ВГБ детально структурировані та регламентують усі етапи проектування, створення та експлуатації ІТ-продукту дуже деталь­но. Структура вимог гарантій аналогічна функціональним вимогам.

Клас ВГБ [assurance class] — верхній рівень формальної стру­ктури вимог гарантій безпеки. Містить наступні елементи:

• назву класу [class name];

Частина, II Основи безпеки інформаційних технологій

• опис класу [class introduction];

• розділи вимог гарантій безпеки [assurance family]. Вимоги розподілені на 7 класів ВГБ (рис. 8.7):

• керування проектом;

• дистрибуція;

• розробка;

• документація;

• процес розробки;

• тестування;

• аналіз захисту.

Розділ ВГБ [assurance family] — складова частина класу ВГБ. Структура розділу містить наступні елементи:

• назва та позначення розділу [family name];

• мета [objectives];

• ранжирування вимог [component levelling];

• опис застосування [application notes];

• вимоги [assurance component].

Кожний розділ має свою унікальну назву і семисимвольний іден­тифікатор, який складається з трибуквеного ідентифікатора класу, знаку підкреслення і трибуквеного позначення розділу. Ранжирува­ння стандартних вимог представлене у вигляді впорядкованих спи­сків.

Структура ВГБ складається з наступних елементів:

• назва вимоги [component identification];

• мета [objectives];

• опис застосування [application notes];

• сполучені вимоги [dependencies];

• елементи вимоги [assurance element].

Вимоги гарантій використовуються в ході кваліфікаційного ана­лізу ІТ-продукту відповідного рівня гарантій.

8.4.2 Класи вимог гарантій безпеки

Керування проектом

Клас ВГБ: керування проектом [class ACM: Configuration Management] включає наступні розділи ВГБ:

• засоби керування проектом;

• керування версіями;

• конфігурація проекту.

Частина, II Основи безпеки інформаційних технологій

Розділ ВГБ: засоби керування проектом [Configuration Management AUTomation (ACM_AUT)] включає наступні вимоги га­рантій безпеки:

• застосування автоматизованих засобів керування проектом [partial configuration management automation (ACM_AUT.l)];

• повна автоматизації керування проектом і контролю версій [complete configuration management automation (ACM_AUT.2)]. Розділ ВГБ: керування версіями [Configuration Management

CAPabilities (ACM_CAP)] включає наступні вимоги гарантій безпе­ки:

• нумерація версій [version numbers (ACM_CAP.l)];

• ідентифікація компонентів [configuration items (ACM_CAP.2)];

• контроль цілісності версій [authorisation controls (ACM_CAP.3)];

• авторизація розробників при поновленні версій [generation support and acceptance procedures (ACM_CAP.4)];

• контроль цілісності й автентичності дистрибутива системи [advanced support (ACM_CAP.5)].

Розділ ВГБ: конфігурація проекту [Configuration Management SCoPe (ACM_SCP)] включає наступні вимоги га­рантій безпеки:

• основні компоненти проекту (алгоритми, вихідні тексти, тексти, документація) [TOE management automation coverage (ASM_SCP.l)];

• включення до складу конфігурації об'єкта виявлених помилок і уразливостей [problem tracking management automation coverage (ASM_SCP.2)];

• включення до складу конфігурації проекту інструментальних засобів розробки [development tools management automation coverage (ASM_SCP.3)].

Дистрибуція

Клас ВГБ: дистрибуція [class ADO: Delivery and Operation] включає наступні розділи ВГБ:

• постачання;

• установка, настройка, запуск.

Розділ ВГБ: поставка [DELivery (ADO_DEL)] включає насту­пні вимоги гарантій безпеки:

• регламентована процедура поставки [delivery procedures (ADO_DEL.l)];

Розділ 8 Критерії безпеки інформаційних технологій

• виявлення спотворень у процесі поставки [detection of modification (ADO_DEL.2)];

• захист від спотворень у процесі поставки [prevention of modification (ADO_DEL.3)].

Розділ ВГБ: установка, настройка, запуск [Installation, Generation, and Start-up (ADO_IGS)] включає наступні вимоги га­рантій безпеки:

• регламентовані процедури установки, настройки, запуску [installation, generation, and start-up procedures (ADO_IGS.l)];

• протоколювання процесу установки, настройки, запуску [generati- on log (ADO_IGS.2)].

Розробка

Клас ВГБ: розробка [class ADV: Development] включає насту­пні розділи ВГБ:

• загальні функціональні специфікації;

• архітектура захисту;

• форма подання продукту на сертифікацію;

• структура засобів захисту;

• часткові специфікації засобів захисту;

• відповідність описів різного рівня;

• політика безпеки.

Розділ ВГБ: загальні функціональні специфікації [Functi­onal Specification (ADV_FSP)] включає наступні вимоги гарантій безпеки:

• неформальні специфікації для засобів захисту [informal functional specification (ADV_FSP.l)j;

• неформальні специфікації для усіх інтерфейсів засобів захисту [fully defined external interfaces (ADV_FSP.2)];

• напівформальні специфікації для засобів захисту [semiformal functional specification (ADV_FSP.3)];

• формальні специфікації для засобів захисту [formal functional specification (ADV_FSP.4)].

Розділ ВГБ: архітектура захисту [High-Level Design (ADV_HLD)] включає наступні вимоги гарантій безпеки:

• опис архітектури захисту [descriptive high-level design (ADV_HLD.l)];

• відповідність архітектури захисту політиці безпеки [security enforcing high-level design (ADV_HLD).2j;

Частина, II Основи безпеки інформаційних технологій

• напівформальний опис архітектури захисту [semiformal high-level design (ADV_HLD.3)];

• відповідність напівформального опису архітектури захисту політиці безпеки [semiformal high-level explanation (ADV_HLD.4)];

• формальний опис архітектури захисту й доказ її відповідності політиці безпеки [formal high-level design (ADV_HLD.5)]. Розділ ВГБ: форма надання продукту на сертифікацію

[IMPlementation representation (ADV_IMP)] включає наступні вимо­ги гарантій безпеки:

• опис реалізації обмеженої підмножини засобів захисту [subset of the implementation of the TSF (ADV_IMP.l)];

• повний опис реалізації усіх засобів захисту [implementation of the TSF (ADV_IMP.2)];

• структурований опис реалізації усіх засобів захисту [structured implementation of the TSF (ADV_IMP.3)].

Розділ ВГБ: структура засобів захисту [TSF INTernals (ADV_INT)] включає наступні вимоги гарантій безпеки:

• модульність [modularity (ADV_INT.l)];

• ієрархічність [reduction of complexity (ADV_INT.2)];

• мінімізація складності [minimization of complexity (ADV_INT.3)]. Розділ ВГБ: часткові специфікації засобів захисту [Low- Level Design (ADV_LLD)] включає наступні вимоги гарантій безпеки:

• неформальні часткові специфікації засобів захисту [descriptive low-level design (ADV_LLD.l)];

• напівформальні часткові специфікації засобів захисту [semiformal low-level design (ADV_LLD.2)];

• формальні часткові специфікації засобів захисту [formal low-level design (ADV_LLD.3)].

Розділ ВГБ: відповідність описів різного рівня [Representation CorRespondente (ADV_RCR)] включає наступні вимоги гарантій безпеки:

• неформальне підтвердження відповідності [informal correspondence demonstration (ADV_RCR.l)];

• напівформальне підтвердження відповідності [semiformal correspondence demonstration (ADV_RCR.2)];

• формальний доказ відповідності [formal correspondence demonstration (ADV_RCR.3)].

Розділ ВГБ: політика безпеки [Security Policy Modeling (ADV_SPM)] включає наступні вимоги гарантій безпеки:

Розділ 8 Критерії безпеки інформаційних технологій

• неформальний опис політики безпеки [informal TOE security policy model (ADV_SPM.l)];

• напівформальний опис політики безпеки [semiformal TOE security policy model (ADV_SPM.2)];

• формальна модель політики безпеки [formal TOE security policy model (ADV_SPM.3)].

Документація

Клас ВГБ: документація [class AGD: Guidance Documents] включає наступні розділи ВГБ:

• керівництво адміністратора;

• керівництво користувача.

Розділ ВГБ: керівництво адміністратора [ADMinistrator guidance (AGD _ADM)] включає вимогу гарантій безпеки — адмі­ністрування засобів захисту [administrator guidance (AGD_ADM.l)].

Розділ ВГБ: керівництво користувача [USeR guidance (AGD_USR)] включає вимогу гарантій безпеки — використання за­собів захисту [user guidance (AGD_USR.l)].

Процес розробки

Клас ВГБ: процес розробки [class ALC: Life Cycle support] включає наступні розділи ВГБ:

• безпека середовища розробки;

• виправлення помилок і ліквідація уразливостей;

• технологія розробки;

• засоби розробки.

Розділ ВГБ: безпека середовища розробки [Development Security (ALC_DVS)] включає наступні вимоги гарантій безпеки:

• застосування заходів безпеки в ході розробки [identification of security measures (ALC_DVS.l)];

• підтвердження заходів безпеки в ході розробки [sufficiency of security measures (ALC_DVS.2)].

Розділ ВГБ: виправлення помилок і ліквідація уразли­востей [FLaw Remediation (ALC_FLR)] включає наступні вимоги гарантій безпеки:

• виправлення виявлених помилок і ліквідація уразливостей [basic flaw remediation (ALC_FLR.l)];

Частина, II Основи безпеки інформаційних технологій

• регулярне виправлення помилок і ліквідація уразливостей [flaw reporting procedures (ALC_FLR.2)];

• гарантоване виправлення виявлених помилок і ліквідація виявлених уразливостей [systematic flaw remediation (ALC_FLR.2)]. Розділ ВГБ: технологія розробки [Life Cycle Definition

(ALC_LCD)] включає наступні вимоги гарантій безпеки:

• визначена розробником технологія розробки [developer defined life-cycle model (ALC_LCD.l)];

• стандартизована технологія розробки [standardised life-cycle model (ALC_LCD.2)];

• технологія розробки, яка дозволяє оцінювати продукт, що розроблюється [measurable life-cycle model (ALC_LCD.3)].

Розділ ВГБ: засоби розробки [Tools And Techniques (ALC_TAT)] включає наступні вимоги гарантій безпеки:

• використання певного набору засобів розробки [well-defined development tools (ALC_TAT.l)];

• використання основних засобів розробки, що відповідають певним стандартам [compliance with implementation standards (ALC_TAT.2)];

• використання тільки засобів розробки, що відповідають певним стандартам [compliance with implementation standards - all parts (ALC_TAT.3)].

Тестування

Клас ВГБ: тестування [class ATE: TEsts] включає наступні розділи ВГБ:

• повнота тестування;

• глибина тестування;

• методика тестування;

• незалежне тестування.

Розділ ВГБ: повнота тестування [COVerage (ATE_COV)] включає наступні вимоги гарантій безпеки:

• обґрунтування повноти тестування [evidence of coverage (ATE_COV.l)];

• аналіз повноти тестування [analysis of coverage (ATE_COV.2)];

• строгий аналіз повноти тестування [rigorous analysis of coverage (ATE_COV.3)].

Розділ ВГБ: глибина тестування [DePTh (ATE_DPT)] вклю­чає наступні вимоги гарантій безпеки:

Розділ 8 Критерії безпеки інформаційних технологій

• архітектура [testing: high-level design (ALC_DPT.l)];

• функціональні специфікації [testing: low-level design (ALC_DPT.2)];

• реалізація [testing: implementation representation (ALC_DPT.3)]. Розділ ВГБ: методика тестування [FUNctional tests

(ATE_FUN)] включає наступні вимоги гарантій безпеки:

• функціональне тестування й протоколювання результатів тестів [functional testing (ALC_FUN.l)];

• тестування у відповідності з певною методикою [ordered functional testing (ALC_FUN.2)].

Розділ ВГБ: незалежне тестування [INDependent testing (ATE_IND)] включає наступні вимоги гарантій безпеки:

• готовність продукту до незалежного тестування [independent testing - conformance (ALC_IND.l)];

• вибіркове незалежне тестування [independent testing - sample (ALC_IND.2)];

• повне незалежне тестування [independent testing - complete (ALC_IND.3)].

Аналіз захисту

Клас ВГБ: аналіз захисту [class AVA: Vulnerability Assessment] включає наступні розділи ВГБ:

• аналіз прихованих каналів;

• аналіз можливостей неправильного використання засобів захисту;

• аналіз стійкості засобів захисту;

• аналіз продукту на наявність уразливостей.

Розділ ВГБ: аналіз прихованих каналів [Covert Channel Analysis (AVA_CCA)] включає наступні вимоги гарантій безпеки:

• пошук і документування прихованих каналів [covert channel analysis (AVA_CCA.l)];

• пошук прихованих каналів на основі певних методик [systematic covert channel analysis (AVA_CCA.2)];

• вичерпний пошук прихованих каналів [exhaustive covert channel analysis (AVA_CCA.3)].

Розділ ВГБ: аналіз можливостей неправильного викори­стання засобів захисту [MiSUse (AVA_MSU)] включає наступні вимоги гарантій безпеки:

Частина, II Основи безпеки інформаційних технологій

• аналіз керівництв з адміністрування [examination of guidance (AVA_MSU.l)];

• підтвердження повноти керівництв з адміністрування та безпеки їхнього застосування [validation of analysis (AVA_MSU.2)];

• незалежний аналіз можливостей неправильного використання засобів захисту [analysis and testing for insecure states (AVA_MSU.3)].

Розділ ВГБ: аналіз стійкості засобів захисту [Strength Of TOE security Functions (AVA_SOF)] включає вимогу гарантій без­пеки — оцінка стійкості засобів захисту [strength of TOE security function evaluation (AVA_SOF.l)].

Розділ ВГБ: аналіз продукту на наявність уразливостей [VuLnerability Analysis (AVA_VLA)] включає наступні вимоги гаран­тій безпеки:

• виявлення уразливостей розробником продукту [developer vulnerability analysis (AVA_VLA.l)];

• незалежний аналіз уразливостей [independent vulnerability analysis (AVA_VLA.2)];

• систематичний незалежний аналіз уразливостей на основі заданих методик [(AVA_VLA.3)];

• вичерпний аналіз уразливостей [moderately resistant (AVA_VLA.4)].