- •Часть 1 Введение и общая модель
- •1 Область применения 1
- •2 Нормативные ссылки 2
- •3 Термины и определения 2
- •Область применения
- •Нормативные ссылки
- •Термины и определения
- •Термины и определения, общие для всего ок
- •Термины и определения, относящиеся к классу adv
- •Термины и определения, относящиеся к классу agd
- •Термины и определения, относящиеся к классу alc
- •Термины и определения, относящиеся к классу ava
- •Термины и определения, относящиеся к классу aco
- •Сокращения
- •Краткий обзор
- •Общая информация
- •Объект оценки
- •Различные представления оо
- •Различные конфигурации оо
- •Пользователи ок
- •Потребители
- •Разработчики
- •Оценщики
- •Части ок
- •Контекст оценки
- •Общая модель
- •Введение к общей модели
- •Активы и контрмеры
- •Достаточность контрмер
- •Корректность оо
- •Корректность среды функционирования
- •Доработка требований безопасности для конкретного применения
- •Операции
- •Операция ”итерация”
- •Операция ”назначение”
- •Операция ”выбор”
- •Операция ”уточнение”
- •Зависимости между компонентами
- •Расширенные компоненты
- •Профили защиты и пакеты
- •Введение
- •Профили защиты
- •Использование пз и пакетов
- •Многократное использование профилей защиты
- •Результаты оценки
- •Введение
- •Результаты оценки пз
- •Результаты оценки зб/оо
- •Утверждение о соответствии
- •Использование результатов оценки зб/оо
- •Целями безопасности и требованиями безопасности
- •Приложение e Библиография
Достаточность контрмер
При оценке достаточность контрмер анализируется через конструкцию, называемую Заданием по безопасности. В данном пункте представлено общее описание этой конструкции: более детальное и полное описание можно найти в Приложении А.
Задание по безопасности начинается с описания активов и угроз этим активам. Затем в Задании по безопасности описываются контрмеры (в форме целей безопасности) и демонстрируется, что данные контрмеры являются достаточными, чтобы противостоять описанным угрозам: если контрмерами осуществляется то, что сформулировано в целях безопасности, то обеспечено противостояние угрозам.
Далее в Задании по безопасности контрмеры делятся на две группы:
a) цели безопасности для ОО: они описывают контрмеры, корректность которых будет определяться при оценке;
b) цели безопасности для среды функционирования: они описывают контрмеры, корректность которых не будет определяться при оценке.
Причинами данного разделения являются:
ОК применим только для оценивания корректности контрмер ИТ. Следовательно, не-ИТ контрмеры (например, сотрудники службы безопасности, процедуры) всегда относят к среде функционирования;
оценивание корректности контрмер требует затрат времени и денег, возможно делая неосуществимой оценку корректности всех контрмер ИТ;
корректность некоторых контрмер ИТ может быть уже оценена в ходе другой оценки. Следовательно, экономически неэффективно проводить их повторную оценку.
В Задании по безопасности для ОО (корректность контрмер ИТ которого будут оценивать в течение оценки) требуется дальнейшая детализация целей безопасности для ОО в функциональных требованиях безопасности (ФТБ). Эти ФТБ формулируют на стандартном языке (описанном в ОК-2), чтобы обеспечить точность и облегчить сопоставимость.
Таким образом, Задание по безопасности демонстрирует, что:
ФТБ удовлетворяют целям безопасности для ОО;
цели безопасности для ОО и цели безопасности для среды функционирования противостоят угрозам;
и, следовательно, ФТБ и цели безопасности для среды функционирования противостоят угрозам.
Из этого следует, что корректный ОО (удовлетворяющий ФТБ) в сочетании с корректной средой функционирования (удовлетворяющей целям безопасности для среды функционирования) будет противостоять угрозам. В следующих двух пунктах корректность ОО и корректность среды функционирования рассматриваются раздельно.
Корректность оо
Объект оценки может быть некорректно спроектирован и реализован и может, таким образом, содержать ошибки, которые ведут к уязвимостям. Посредством использования этих уязвимостей, нарушители могут причинить ущерб и/или несанкционированно использовать активы.
Эти уязвимости могут являться результатом случайных ошибок, сделанных в течение разработки, ненадлежащего проектирования, преднамеренного внедрения вредоносного кода, ненадлежащего тестирования и др.
Для определения корректности ОО могут выполняться различные виды деятельности, такие как:
тестирование ОО;
исследование различных проектных представлений ОО;
исследование физической безопасности среды разработки ОО.
Задание по безопасности обеспечивает структурированное описание этих видов деятельности для определения корректности в форме требований доверия к безопасности (ТДБ). Эти ТДБ формулируются на стандартном языке (описанном в ОК-3), чтобы обеспечить точность и облегчить сопоставимость.
Если ТДБ удовлетворяются, то существует доверие к корректности ОО, и, таким образом, меньше вероятность, что ОО содержит уязвимости, которые могут быть использованы нарушителем. Величина доверия, которое существует по отношению к корректности ОО, определяется самими ТДБ: несколько ”слабых“ ТДБ приведут к малому доверию, большое число ”сильных“ ТДБ приведет к большему доверию.