Общие критерии оценки безопасности информационных технологий

Выбор - это выбор одного или большего количества пунктов из списка с целью конкретизации возможностей элемента.

Обработка позволяет включить дополнительные детали в элемент и предполагает интерпретацию требования, правила, константы или условия, основанную на целях безопасности. Обработка должна только ограничить набор возможных приемлемых функций или механизмов, чтобы осуществить требования, но не увеличивать их. Обработка не позволяет создавать новые требования или удалять существующие и не влияет на список зависимостей, связанных с компонентом.

ОК определяют также набор структур, которые объединяют компоненты требований безопасности.

Промежуточная комбинация компонентов названа пакетом. Пакет включает набор требований, которые обеспечивают выполнение поднабора идентифицированных целей безопасности. Пакет включает набор требований, которые обеспечивают выполнение многократно используемого поднабора целей безопасности.

Уровни гарантии оценки - это предопределенные пакеты требований гарантированности.

Одной из основных структур ОК является Профиль защиты (ПЗ), определенный как набор требований, который состоит из компонентов или пакетов функциональных требований ОК и одного из уровней гарантии, при необходимости усиленного дополнительными компонентами гарантии из ОК. Профиль защиты предназначен для многократного использования и определяет совокупность требований безопасности, которые являются необходимыми и достаточными для достижения поставленных целей безопасности.

Требования Профиля защиты могут быть конкретизированы и дополнены в другой структуре ОК - Задании по безопасности. Задание по безопасности (ЗБ) содержит набор требований, которые могут быть представлены одним из Профилей защиты или сформулированы в явном виде. Задание по Безопасности определяет набор требований безопасности для конкретного объекта оценки. Оно включает также спецификацию объекта оценки в виде функций безопасности (ФБ), которые должны обеспечить выполнение требований безопасности и мер гарантии оценки.

В Задании по безопасности предусматривается возможность включения функциональных требований и требований гарантированности, не содержащихся в ОК. Однако при включении новых компонентов в ЗБ необходимо учитывать, что при этом не только требуется соответствие структуре и правилам ОК, но и не гарантируется сопоставимость результатов при оценке различными специалистами.

Результатом оценки безопасности по ОК должен быть общий вывод, в котором описана степень соответствия объекта оценки функциональным требованиям и требованиям гарантированности.

После оценки продукта ИТ, предназначенного для широкого использования, результаты оценки могут быть включены в каталог оцененных продуктов, чтобы они стали доступными более широкому кругу потребителей.

7.3 ТРЕБОВАНИЯ К ФУНКЦИЯМ БЕЗОПАСНОСТИ

Классы и семейства функциональных требований сгруппированы на основе определенной функции или цели безопасности. Всего в разделе "Требования к функциям безопасности" версии 1.0 ОК 9 классов, 76 семейств, 184 компонента и 380 элементов.

Класс FAU (аудит безопасности) состоит из 12 семейств, содержащих требования к распознаванию, регистрации, хранению и анализу информации, связанной с действиями, затрагивающими безопасность объекта оценки.

Класс FCO (связь) включает 2 семейства, связанных с аутентификацией сторон, участвующих в обмене данными.

Класс FDP (защита данных пользователя) подразделяется на пять групп семейств, которые относятся к защите данных пользователя в пределах объекта оценки в процессе ввода, вывода и хранения информации.

Класс FIA (идентификация и аутентификация) включает 9 семейств. Эффективность выполнения требований других классов зависит от правильной идентификации и аутентификации пользователей.