Таксономия Требования доверия к безопасности определены в части 3 ОК. Таксономия требований доверия подобна принятой для функциональных требований. Часть 3 содержит два класса, в которых приведены требования доверия для оценки ПЗ и ЗБ, семь классов, из которых можно выбирать требования доверия непосредственно для оценки ОО, а также класс, посвященный поддержанию доверия после оценки ОО. Эти десять классов аннотированы ниже. Оценка ПЗ и ЗБ Для оценки ПЗ и ЗБ предназначены классы требований доверия APE и ASE соответственно. Все требования этих классов предназначены для применения при оценке ПЗ и ЗБ. Их применение предусмотрено для выяснения того, является ли ПЗ или ЗБ значимым основанием для оценки ОО. Оценка профиля защиты (APE) Цель оценки ПЗ состоит в том, чтобы показать, что ПЗ является полным, непротиворечивым и технически грамотным. В дальнейшем применение ПЗ предусмотрено при изложении требований к оцениваемому ОО. Семейства этого класса связаны со средой безопасности, целями безопасности и требованиями безопасности ОО. Оценка задания по безопасности (ASE) Цель оценки ЗБ состоит в том, чтобы показать, что ЗБ является полным, непротиворечивым и технически грамотным, и поэтому оно пригодно в качестве основы для оценки ОО. Требования семейств этого класса связаны со средой безопасности, целями безопасности, утверждениями о соответствии ПЗ, требованиями безопасности ОО и краткой спецификацией ОО. Классы требований доверия при оценке ОО Классы перечислены по алфавиту (латинскому) Управление конфигурацией (ACM) Класс «Управление конфигурацией» содержит требования по адекватному сохранению целостности ОО. В частности, управление конфигурацией предоставляет уверенность в том, что оцениваются именно те ОО и документация, которые подготовлены к распространению. Семейства данного класса связаны с возможностями, областью и автоматизацией управления конфигурацией. Поставка и эксплуатация (ADO) Этот класс содержит семейства, связанные с мерами, процедурами и стандартами для безопасной поставки, инсталляции и эксплуатации ОО, обеспечивая, чтобы безопасность ОО не нарушалась при их выполнении. Разработка (ADV) Семейства этого класса связаны с преобразованием ФБО от спецификации до реализации и отображением в них требований вплоть до самого нижнего уровня представления. Руководства (AGD) Класс «Руководства» связан с безопасной эксплуатацией ОО пользователями и администраторами. Поддержка жизненного цикла (ALC) Требования семейств данного класса связаны с жизненным циклом ОО, включая определение жизненного цикла, инструментальные средства и методы, безопасность разработки и устранение недостатков, обнаруженных потребителями ОО. Тестирование (ATE) Этот класс связан с демонстрацией того, что ОО удовлетворяет функциональным требованиям. В его семействах рассматриваются вопросы покрытия и глубины тестирования разработчиком, а также требования к независимому тестированию при оценке. Оценка уязвимостей (AVA) Данный класс определяет требования, направленные на идентификацию уязвимостей, возможных для использования, которые могут быть внесены при проектировании, эксплуатации, неправильном применении или неправильном конфигурировании ОО. В семействах, сосредоточенных здесь, для исследования выявленных уязвимостей применяются анализ скрытых каналов, анализ конфигурации ОО, проверка стойкости механизмов функций безопасности и идентификация недостатков, внесенных при разработке ОО. Класс поддержания доверия В этом классе представлены требования, которые предназначены для применения после завершения сертификации ОО согласно ОК. Эти требования нацелены на обеспечение того, что ОО продолжает удовлетворять своему ЗБ после изменений в ОО или в его среде. Класс содержит четыре семейства. В первом рассматривается содержание плана поддержания доверия, в котором отражается сущность предполагаемых изменений, средства контроля над ними, а также условия необходимости переоценки. Второе семейство посвящено категорированию компонентов ОО по их отношению к безопасности. Третье и четвертое охватывают анализ влияния изменений на безопасность и предоставление свидетельств следования процедурам поддержки. Класс содержит необходимые материалы для построения системы поддержания доверия. Оценочные уровни доверия ОК содержат совокупность предопределенных уровней доверия, составленных из компонентов семейств доверия. Эти уровни предназначены как для достижения частичной обратной совместимости с исходными критериями, так и для обеспечения потребителя внутренне согласованными пакетами компонентов требований доверия с широкой областью применения. Иное группирование компонентов не исключается. Для достижения конкретных целей уровень доверия может быть усилен одним или несколькими дополнительными компонентами. Уровни доверия определяют шкалу для сопоставления критериев оценки, содержащихся в ПЗ и ЗБ. Оценочные уровни доверия (ОУД) составлены из компонентов требований доверия одного ранга. Каждое семейство требований доверия вносит вклад в достижение ОО заявленного уровня безопасности. ОУД образуют возрастающую шкалу, которая позволяет соотнести полученный уровень доверия со стоимостью и возможностью достижения этой степени доверия. Имеются семь иерархически упорядоченных ОУД. Повышение доверия от уровня к уровню достигается заменой какого-либо компонента требований доверия иерархически более высоким компонентом из того же семейства (компоненты в семействах доверия всегда связаны иерархически) и добавлением компонентов требований доверия из других семейств. Предопределенными ОУД являются: ОУД1 – предусматривающий функциональное тестирование;
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |
