Процесс оценки может происходить одновременно с разработкой ОО или следовать за ней. Основным исходным материалом для оценки является ЗБ, описывающее функции безопасности ОО, которое, в свою очередь, может ссылаться на один или несколько ПЗ, соответствие с которыми заявляется. Ниже определен подход к описанию в ПЗ и ЗБ функциональных возможностей безопасности ОО. Профиль защиты ПЗ описывает независимые от реализации наборы требований безопасности для определенных категорий ОО и формулирует проблему безопасности, для решения которой предназначен соответствующий продукт. В ПЗ указываются компоненты функциональных требований и требований доверия, включая ОУД, и представляется логическое обоснование для выбранных компонентов. В ПЗ выделяются следующие разделы. Введение Содержит информацию, необходимую при использовании реестра ПЗ. К ней относятся маркировка и аннотация, которая может применяться отдельно. Описание ОО Устанавливает контекст оценки. Поскольку рассматривается определенная категория ОО, могут быть указаны совокупность предположений и условия применения ОО этой категории. Среда безопасности В повествовательной форме приводится формулировка проблемы безопасности, решаемой ОО. Описываются аспекты безопасности среды, в которой предполагается применение ОО. Описание включает:
Цели безопасности Отражают заявленное намерение противостоять идентифицированным угрозам и/или соответствовать политике безопасности организации. Включают цели, относящиеся как к ОО, так и к его среде; все они должны быть сопоставлены с конкретными угрозами, политикой или предположениями. Требования безопасности ИТ Описывают функциональные требования и требования доверия для ОО. Функциональные требования обычно берутся из части 2 ОК. Требования доверия входят в состав компонентов из части 3 ОК и могут иметь вид предопределенного пакета (например, ОУД), дополнительно усиленного другими компонентами требований доверия из части 3. В некоторых случаях требования могут быть расширены включением компонентов требований, не входящих в ОК, с необходимым обоснованием. Дополнительно может быть включено описание требований безопасности для среды ИТ. (Последнее может быть опущено, если объектом оценки являются самодостаточные ФБО, не связанные с какими-либо утверждениями о среде ИТ). Обоснование Состоит из двух подразделов. Обоснование целей демонстрирует, что цели безопасности охватывают все выявленные аспекты среды, обеспечивая их полное покрытие. Обоснование требований демонстрирует пригодность требований безопасности для достижения целей безопасности. Задание по безопасности ЗБ является основой для соглашения между разработчиками, потребителями, оценщиками и органами оценки по безопасности, предоставляемой ОО, и области применения оценки. Круг лиц, заинтересованных в ЗБ, может также включать ответственных за управление, маркетинг, продажу, инсталляцию, конфигурирование, функционирование и применение ОО. ЗБ включает следующие разделы: Введение Содержит маркировку ЗБ (и ОО, для которого оно разработано), аннотацию ЗБ и утверждение о соответствии ОК. Аннотация предназначена для потенциального пользователя ОО и пригодна для включения в перечни оцененных продуктов. Утверждение о соответствии ОК устанавливает некоторое оцениваемое утверждение о соответствии ОО Общим критериям и может включать ссылки на профили защиты или оценочный уровень доверия. При необходимости может быть указан минимальный уровень стойкости функций безопасности. Описание ОО Устанавливает контекст оценки. Способствует пониманию требований безопасности ОО и дает представление о типе ОО, его предполагаемом применении и основных характеристиках безопасности. Среда безопасности Как и для ПЗ, содержит описание угроз, политики безопасности организации, которой ОО должен соответствовать, а также аспектов безопасности среды, в которой предполагается применение ОО (предположений). Цели безопасности Включают цели безопасности как для ОО, так и для поддерживающей его среды. Эти цели направлены на противостояние идентифицированным угрозам и соответствуют политике безопасности организации и предположениям. Требования безопасности ИТ Приводятся требования безопасности ИТ ОО, включая конкретизированные функциональные требования и требования доверия. Там, где это необходимо, указываются требования безопасности для среды ИТ. Требования, выражаемые ссылкой на ПЗ, не обязательно повторяются в ЗБ. При необходимости также следует указать минимальный уровень стойкости функций безопасности. Утверждения о соответствии ПЗ Если в ЗБ заявлено о соответствии ОО требованиям одного или нескольких ПЗ, то требуются пояснения, мотивировка и прочие вспомогательные материалы. Здесь содержится ссылка на ПЗ, описание уточнений ПЗ и описание дополнений к ПЗ. Краткая спецификация ОО Обеспечивает высокоуровневое определение функций безопасности, заявленных для выполнения функциональных требований, и мер безопасности, предпринимаемых для выполнения требований доверия. При необходимости для отдельных функций безопасности может быть заявлена стойкость функций. Обоснование Демонстрирует, что ЗБ содержит полную и взаимосвязанную совокупность пригодных для использования и эффективных контрмер. Оценка Оценкой называется проверка продукта или системы ИТ по определенным критериям. Оценка по ОК использует ОК как основу для оценивания характеристик безопасности ИТ. Оценки по единому стандарту повышают сопоставимость итоговых результатов оценок. Чтобы далее повышать сопоставимость результатов оценок, они должны быть выполнены в рамках полномочной системы оценки, в которой установлены стандарты и постоянно контролируется качество оценок. Такие системы существуют в настоящее время во многих странах. Определены различные стадии оценки, соответствующие основным уровням представления ОО.
Тестирование, проверка проекта и проверка реализации вносят значительный вклад в снижение риска наличия нежелательного поведения ОО. ОК представляют структуру проведения экспертного анализа (оценки) в указанных областях. Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |
