А.6 Границы объекта оценки
Идентификатор объекта оценки помещают в ТОО, в сертификат, в ЗБ и в перечень оцененных продуктов. Хотя предметом купли-продажи обычно являются продукты, оценке подвергают ОО.
Нижеследующие материалы были положены в основу определений, используемых в настоящем стандарте, наряду с их взаимосвязями и влиянием на оценку и сертификацию.
А.6.1 Продукт и система
Продукт - это пригодная для использования совокупность аппаратных средств и/или программного обеспечения. Некоторые поставщики имеют возможность объединять совокупность продуктов (например, текстовый процессор, электронную таблицу и графическое приложение), получая, таким образом, уже иной продукт (например, систему автоматизации делопроизводства). Но результирующую совокупность считают продуктом только при условии, что она общедоступна или пригодна для использования либо другими изготовителями, либо ограниченным кругом потребителей.
Система состоит из одного или нескольких продуктов, в известной среде эксплуатации. Основное различие между оценкой продукта и оценкой системы заключается в том, что при оценке системы оценщик принимает во внимание реально существующие условия эксплуатации, а не теоретически предполагаемые условия, как это делается при оценке продукта.
А.6.2 Объект оценки
ОО представляет собой сущность, которая оценивается в соответствии с ЗБ. Хотя в некоторых случаях ОО может представлять собой единый продукт, в общем случае это не так. ОО может быть продуктом, частью продукта, набором продуктов, уникальной технологией, которая никогда не реализовывалась в виде продукта, или комбинацией всего перечисленного в конкретной конфигурации или в нескольких конфигурациях. Эта конкретная конфигурация или совокупность конфигураций называется оцениваемой конфигурацией. ЗБ четко описывает соотношение между ОО и любыми связанными с ним продуктами.
Эта оцениваемая конфигурация идентифицируется достаточно подробно, чтобы различать аппаратные средства, включенные в оцениваемую конфигурацию, от аппаратных средств, которые не включены в нее, несмотря на то, что последние могут являться частью продукта, на котором базируется ОО. Данная идентификация делает очевидным для потенциальных потребителей, какой продукт должен быть приобретен и какие опции конфигурации должны использоваться для того, чтобы ОО работал в безопасном режиме.
А.6.3 Функции безопасности объекта оценки
ФБО представляют собой совокупность тех функций ОО, которые обеспечивают поддержание безопасности ОО в соответствии с ЗБ. Возможно существование таких функций ОО, которые в соответствии с ЗБ не вносят вклада в поддержание безопасности ОО; следовательно, такие функции не являются частью ФБО.
Элементы аппаратных средств ФБО описывают на уровне детализации, соответствующем требованиям доверия, связанным с документацией разработки (функциональная спецификация, проект высокого уровня, проект низкого уровня) и тестовой документацией. Уровень идентификации аппаратных средств определяется влиянием, оказываемым со стороны характеристик данных аппаратных средств на заявленные функции безопасности и меры доверия.
А.6.4 Оценка
Для всех оценок неявно допускается, что ОО является (по определению) продуктом или системой в ее оцениваемой конфигурации; прямое включение этого предположения в перечень предположений при оценке не обязательно. В ходе проведения оценки ОО подвергают тщательному исследованию: анализ выполняют только в рамках оцениваемой конфигурации, тестирование выполняют для этой же оцениваемой конфигурации, пригодные для использования уязвимости выявляют также в рамках оцениваемой конфигурации, а предположения имеют отношение также только к этой же оцениваемой конфигурации. Легкость, с которой конкретная конфигурация ОО может быть нарушена, важна и ее необходимо учитывать при обращении к требованиям семейства AVA_MSU "Неправильное применение". В нем рассматривают стабильность конфигурации ОО и последствия любых случайных или преднамеренных отклонений от нее, которые могут остаться необнаруженными.
Следующий пример представляет три ОО, все они основаны на одном и том же продукте - межсетевом экране виртуальной частной сети (ВЧС), но приводят к различным результатам оценки из-за различий в заданиях по безопасности.
1) Межсетевой экран ВЧС, который конфигурирован таким образом, что функциональные возможности ВЧС отключены. В ЗБ все угрозы связаны с доступом к защищаемой сети из незащищенной сети.
Объектом оценки является межсетевой экран ВЧС, конфигурированный таким образом, что функциональные возможности ВЧС отключены. Если администратор конфигурирует межсетевой экран таким образом, что некоторые или все функции ВЧС будут включены, то продукт окажется не в оцениваемой конфигурации; поэтому его будут считать неоцененным и, таким образом, о его безопасности ничего нельзя будет утверждать.
2) Межсетевой экран ВЧС, в ЗБ которого все угрозы связаны с доступом к защищаемой сети из незащищенной сети.
Объектом оценки является весь межсетевой экран ВЧС целиком. Функции ВЧС являются частью ОО, поэтому одним из вопросов, которые подлежат решению в ходе проведения оценки, является следующий: имеется ли способ получения доступа к защищаемой сети из незащищенной сети через функции ВЧС.
3) Межсетевой экран ВЧС, в ЗБ которого все угрозы связаны либо с доступом к защищаемой сети из незащищенной сети, либо с конфиденциальностью трафика в незащищенной сети.
Объектом оценки является весь межсетевой экран ВЧС целиком. Функции ВЧС являются частью ОО, поэтому одним из вопросов, которые подлежат решению в ходе проведения оценки, является следующий: допускают ли функции ВЧС возможность реализации какой-либо из угроз, описанных в ЗБ.
|
