ГОСТ Р ИСО МЭК 15408-1 2007 (1027762), страница 11
Текст из файла (страница 11)
Должныбыть идентифицированы категории целей безопасности, приведенные ниже. Если при этом противостояние угрозе или проведение политики безопасности частично возлагается на ОО, а частичнона его среду, соответствующая цель безопасности должна повторяться в каждой категории.a) Цели безопасности для ОО должны быть четко изложены и сопоставлены с аспектамиустановленных угроз, которым необходимо противостоять средствами ОО, и/или с политикойбезопасности организации, которой должен отвечать ОО/b) Цели безопасности для среды ОО должны быть четко изложены и сопоставлены с аспектами установленных угроз, которым не полностью противостоит ОО, и/или с политикой безопасности организации и предположениями, не полностью удовлетворяемыми ОО.Необходимо отметить, что цели безопасности для среды могут повторять, частично или полностью, некоторые предположения, сделанные при изложении среды безопасности ОО.В.2.6 Требования безопасности ИТВ этой части ЗБ подробно определяются требования безопасности ИТ, которые должныудовлетворяться ОО или его средой.
Требования безопасности ОО должны быть изложены следующим образом.a) Если необходимо охватить различные аспекты одного и того же требования (например,при идентификации более, чем одного типа пользователя), то возможно повторное использование(то есть, применение операции итерации) одного и того же компонента ГОСТ Р ИСО/МЭК 15408-2,чтобы охватить каждый аспект. При изложении требований безопасности ОО должны быть определены функциональные требования и требования доверия, которым должны удовлетворятьОО и свидетельства поддержки его оценки для достижения целей безопасности ОО. Требованиябезопасности ОО должны излагаться следующим образом.1) При изложении функциональных требований безопасности ОО следует определять функциональные требования к ОО, где это возможно, в виде функциональныхкомпонентов, взятых из ГОСТ Р ИСО/МЭК 15408-2/Если требуется охватить различные аспекты одного и того же требования (например,при идентификации пользователей нескольких типов), то возможно повторение использования одного и того же компонента из ГОСТ Р ИСО/МЭК 15408-2 (т.е.
применение к нему операции итерации), чтобы охватить каждый аспект.Если требования доверия к ОО включают компонент AVA_SOF.1 (например, ОУД2 ивыше), то при изложении функциональных требований безопасности ОО должен устанавливаться минимальный уровень стойкости для функций безопасности, реализуемых с помощью вероятностного или перестановочного механизма (например, пароляили хэш-функции). Все подобные функции должны удовлетворять этому минимальному уровню.
Уровень должен быть одним из следующих: базовая СФБ, средняя СФБ ивысокая СФБ. Уровень должен выбираться в соответствии с установленными целямибезопасности ОО. Для достижения некоторых целей безопасности ОО могут быть определены специальные метрики стойкости функций для выбранных функциональныхтребований.Как составная часть оценки стойкости функций безопасности ОО (AVA_SOF.1) будутоценены и утверждения стойкости, сделанные для отдельных функций безопасностиОО, и минимальный уровень стойкости для ОО в целом.39ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)2) При изложении требований доверия к безопасности ОО следует определять их какодин из ОУД, возможно, усиленный другими компонентами доверия из ГОСТ РИСО/МЭК 15408-3.
Расширение ОУД в ЗБ может осуществляться за счет явного включения дополнительных компонентов доверия, не содержащихся в ГОСТ Р ИСО/МЭК15408-3.b) Необязательное изложение требований безопасности для среды ИТ должно определять требования безопасности ИТ, которым должна отвечать среда ИТ этого ОО.
Требования вэтой части ПЗ могут быть взяты из ГОСТ Р ИСО/МЭК 15408-2 и ГОСТ Р ИСО/МЭК 15408-3 и, еслитак, то должна быть изменена их формулировка, чтобы четко показать, что среда ИТ, а не ОО,должна отвечать требованию. Подобное изменение формулировки является особым случаемуточнения и не является предметом требований оценки, связанных с модифицированными компонентами ГОСТ Р ИСО/МЭК 15408. Если безопасность ОО не зависит от среды ИТ, то эта часть ЗБможет быть опущена.Отметим, что хотя требования безопасности среды, не относящиеся к ИТ, часто бываютполезны на практике, не требуется, чтобы они являлись формальной частью ЗБ, поскольку они несвязаны непосредственно с реализацией ОО.c) Перечисленные ниже общие условия в равной степени относятся к выражению функциональных требований и требований доверия как для ОО, так и для его среды ИТ.1) Когда это применимо, все требования безопасности ИТ следует вводить ссылкой накомпоненты требований безопасности из ГОСТ Р ИСО/МЭК 15408-2 и ГОСТ РИСО/МЭК 15408-3.
Если при формировании всех либо части требований не применимы компоненты из ГОСТ Р ИСО/МЭК 15408-2 или ГОСТ Р ИСО/МЭК 15408-3, то в ЗБдопускается необходимые требования безопасности сформулировать явным образом,без ссылки на содержание ГОСТ Р ИСО/МЭК 15408.2) Все функциональные требования и требования доверия к ОО, сформулированные явным образом, должны быть четко и однозначно выражены, чтобы были возможныоценка и демонстрация соответствия им. Уровень детализации и способ выраженияфункциональных требований и требований доверия, принятый в ГОСТ Р ИСО/МЭК15408, должен использоваться как образец.3) Должны быть использованы все требуемые операции для раскрытия требований доуровня детализации, необходимого для демонстрации достижения целей безопасности.
Все специфицированные операции в компонентах требований должны быть завершены.4) Следует удовлетворить все зависимости между требованиями безопасности ИТ. Зависимости могут быть удовлетворены включением необходимых требований в составтребований безопасности ОО или требований к среде.В.2.7 Краткая спецификация ООКраткая спецификация ОО должна определить отображение требований безопасности дляОО. Эта спецификация должна предоставить описание функций безопасности и мер доверия кОО, которые отвечают требованиям безопасности ОО.
Следует отметить, что информация офункциях безопасности, являющаяся частью краткой спецификации ОО, в некоторых случаях может быть идентична информации, предоставляемой для ОО частью требований семействаADV_FSP.Краткая спецификация ОО включает следующее.a) Изложение функций безопасности ОО, которое должно охватывать все функции безопасности ИТ и определять, каким образом эти функции удовлетворяют функциональным требованиям безопасности ОО. Изложение должно включать в себя двунаправленное сопоставлениефункций и требований с четким указанием, в удовлетворении каких требований участвует каждаяфункция, и что при этом удовлетворены все требования. Каждая функция безопасности должнаучаствовать в удовлетворении, по меньшей мере, одного функционального требования безопасности ОО.1) Функции безопасности ИТ должны быть определены неформальным образом на уровне детализации, необходимом для понимания их предназначения.40ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)2) Все ссылки в ЗБ на механизмы безопасности должны быть сопоставлены с соответствующими функциями безопасности таким образом, чтобы было видно, какие механизмы безопасности используются при реализации каждой функции.3) Если в состав требований доверия к ОО включен компонент AVA_SOF.1, то должныбыть идентифицированы все функции безопасности ИТ, реализованные с помощьювероятностного или перестановочного механизма (например, пароля или хэшфункции).
Возможность нарушения механизмов таких функций посредством преднамеренного или случайного воздействия имеет непосредственное отношение к безопасности ОО. Должен быть проведен анализ стойкости всех этих функций. Стойкостькаждой идентифицированной функции должна быть определена и заявлена либо какбазовая СФБ, средняя СФБ или высокая СФБ, либо с применением дополнительновведенной метрики стойкости. Свидетельство, приводимое в отношении стойкостифункции безопасности, должно быть достаточным, чтобы позволить оценщикам сделать свою независимую оценку и подтвердить, что утверждения о стойкости адекватныи корректны.b) Изложение мер доверия, которое должно специфицировать меры доверия к ОО, заявленные для удовлетворения изложенных требований доверия.
Меры доверия должны быть сопоставлены с требованиями таким образом, чтобы было понятно, какие меры в удовлетворении какихтребований участвуют.Там, где это возможно, меры доверия разрешается определить путем ссылки на соответствующие планы обеспечения качества, жизненного цикла или управления.В.2.8 Утверждения о соответствии ПЗВ ЗБ могут быть утверждения, что ОО соответствует требованиям одного или, возможно, нескольких ПЗ. Для каждого из имеющихся утверждений ЗБ должно включать изложение утверждения о соответствии ПЗ, содержащее объяснение, логическое обоснование и любые другиевспомогательные материалы, необходимые для подкрепления данного утверждения.Содержание и представление в ЗБ целей и требований для ОО может зависеть от того, делаются ли для ОО утверждения о соответствии ПЗ. Влияние на ЗБ утверждения о соответствии ПЗможет быть сведено в итоге к одному из следующих вариантов.a) Если утверждений о соответствии ПЗ нет, то следует привести полное описание целей итребований безопасности ОО, как определено в данном приложении.
При этом данный раздел ЗБопускается.b) Если в ЗБ утверждается только о соответствии требованиям какого-либо ПЗ без необходимости их дальнейшего уточнения, то ссылки на ПЗ достаточно, чтобы определить и логическиобосновать цели и требования безопасности ОО. Повторное изложение содержания ПЗ не является обязательным.c) Если в ЗБ утверждается о соответствии требованиям какого-либо ПЗ, и требования этогоПЗ нуждаются в дальнейшем уточнении, то в ЗБ должно быть показано, что требования по уточнению ПЗ удовлетворены. Такая ситуация обычно возникает, если ПЗ содержит незавершенныеоперации. При такой ситуации в ЗБ разрешается сослаться на эти требования, но при этом завершить операции в пределах ЗБ.
В некоторых случаях, когда завершение операций приводит к существенным изменениям, может оказаться предпочтительным для ясности повторно изложить содержание ПЗ в составе ЗБ.d) Если в ЗБ утверждается о соответствии требованиям какого-либо ПЗ, но последний расширяется путем добавления дополнительных целей и требований, то в ЗБ должны быть определены эти дополнения с учетом того, что ссылки на ПЗ может быть достаточно для определенияцелей и требований безопасности ПЗ.














