Таблица А.4 - Рейтинг уязвимостей
Диапазон значений
|
ОО противостоит нарушителю с потенциалом нападения
|
Уровень СФБ
|
< 10
|
Нет рейтинга
|
-
|
10 - 17
|
Низкий
|
Базовый
|
18 - 24
|
Умеренный
|
Средний
|
> 24
|
Высокий
|
Высокий
|
Подобный подход не позволяет учесть все обстоятельства и факторы, но должен более точно указывать на уровень противодействия нападениям, требуемый для достижения рейтингов, приведенных в таблице А.4. Другие факторы, такие как расчет на малую вероятность случайных воздействий или вероятность обнаружения атаки до того, как она может быть завершена, не включены в базовую модель, но могут быть использованы оценщиком как логическое обоснование для рейтинга иного, чем тот, на который может указывать базовая модель.
В случаях, когда, например, определяется рейтинг механизма пароля, а реализация ОО такова, что допускается очень мало попыток до ограничения нападения, рейтинг стойкости будет почти полностью связан с вероятностью правильного угадывания пароля в течение этих немногочисленных попыток. Такие меры ограничения обычно рассматривают как часть функции управления доступом, и в то время как сам механизм пароля может получить, например, только рейтинг "средняя СФБ", для функции управления доступом может быть вынесено суждение о рейтинге "высокая СФБ".
В то время как ряд уязвимостей, оцененных по отдельности, может указывать на высокое противодействие нападениям, наличие других уязвимостей может изменять табличные значения так, что комбинация уязвимостей будет свидетельствовать о применимости более низкого общего рейтинга. Таким образом, наличие одной уязвимости может упростить использование другой. Предполагается, что такая оценка является частью анализа уязвимостей разработчиком и оценщиком.
А.8.3 Пример анализа стойкости функции
Ниже представлен анализ СФБ для гипотетического механизма цифрового пароля.
Информация, полученная из ЗБ и свидетельств проекта, показывает, что идентификация и аутентификация предоставляют основу для управления доступом к сетевым ресурсам с терминалов, расположенных далеко друг от друга. Управление физическим доступом к терминалам каким-либо эффективным способом не осуществляется. Управление продолжительностью доступа к терминалу каким-либо эффективным способом не осуществляется. Уполномоченные пользователи системы подбирают себе свои собственные цифровые пароли для входа в систему во время начальной авторизации использования системы и в дальнейшем - по запросу пользователя. Система содержит следующие ограничения на цифровые пароли, выбираемые пользователем:
a) цифровой пароль должен быть не менее четырех и не более шести цифр длиной;
b) последовательные числовые ряды (типа 7, 6, 5, 4, 3) не допускаются;
c) повторение цифр не допускается (каждая цифра должна быть уникальной).
Руководство, предоставляемое пользователям на момент выбора цифрового пароля, является таковым, чтобы цифровые пароли были случайны, насколько это возможно, и не связаны каким-либо способом с конкретным пользователем, например с датой рождения.
Число возможных значений цифровых паролей рассчитывают следующим образом:
a) Шаблоны, используемые людьми, являются важным обстоятельством, которое может влиять на подход к поиску возможных значений цифровых паролей и таким образом влиять на СФБ. Допуская самый плохой вариант сценария, когда пользователь выбирает число, состоящее только из четырех цифр, число перестановок цифрового пароля в предположении, что каждая цифра уникальна, равно:
7(8)(9)(10) = 5040.
b) Число возможных увеличивающихся рядов - семь, как и число убывающих рядов. После отбрасывания этих рядов число возможных значений цифровых паролей равно:
5040 - 14 = 5026.
На основе дополнительной информации, полученной из свидетельств проекта, в механизме цифрового пароля спроектирована характеристика блокировки терминала. После шестой подряд неудачной попытки аутентификации терминал блокируется на один час. Счетчик неудачной аутентификации сбрасывается через пять минут; таким образом, нарушитель в лучшем случае может осуществить пять попыток ввода цифрового пароля каждые пять минут или 60 вводов цифрового пароля в час.
В среднем нарушитель должен был бы ввести 2513 цифровых паролей более чем за 2513 мин до ввода правильного цифрового пароля. Как результат, в среднем, успешное нападение произошло бы чуть меньше, чем за:
Используя подход, описанный в предыдущем подразделе, при идентификации следует выбирать значения факторов, минимальные из каждой категории (все 0), так как существование уязвимости в такой функции очевидно. На основании приведенных выше вычислений для непрофессионала является возможным нанести поражение механизму в пределах нескольких суток (при получении доступа к ОО) без использования какого-либо оборудования и без знания ОО, что дает значение 11. Получив результирующую сумму - 11, потенциал нападения, требуемый для осуществления успешной атаки, определяют, по меньшей мере, как умеренный.
Уровни СФБ определены в терминах потенциала нападения в ИСО/МЭК 15408-1, раздел 2. Поскольку для того, чтобы утверждать о базовой СФБ, механизм должен противодействовать нарушителю с низким потенциалом нападения и поскольку механизм цифрового пароля является стойким к нарушителю с низким потенциалом, то этот механизм цифрового пароля, в лучшем случае, соответствует уровню "базовая СФБ".
А.9 Сфера ответственности системы оценки
Настоящий стандарт описывает минимальный объем технической работы, которую необходимо выполнить при оценках, проводимых под контролем органов оценки. Тем не менее, в нем также указаны (как явно, так и неявно) виды деятельности или методы, на которые не распространяется взаимное признание результатов оценки. Для внесения ясности и в целях уточнения границ, показывающих, где заканчивается настоящий стандарт и где начинается методология конкретной системы оценки, ниже перечислены вопросы, оставленные на усмотрение систем. В конкретной системе оценки возможно как решение всех указанных вопросов, так и оставление некоторых из них неопределенными. (Было сделано все возможное для обеспечения полноты приведенного списка; оценщикам, столкнувшимся с вопросом, не приведенным ниже и не рассмотренным в настоящем стандарте, следует проконсультироваться в своей системе оценки, чтобы выяснить, к чьей компетенции относится решение этого вопроса.)
К вопросам, которые могут быть определены в конкретной системе оценки, относятся:
a) необходимое для обеспечения достаточности оценки - каждая система имеет способ (средства) верификации работы ее оценщиков, либо требуя от оценщиков представления результатов работы органу оценки, либо требуя от органа оценки повторения работы оценщика, либо еще каким-то способом, обеспечивающим, что все органы оценки выполняют работу приемлемым образом и выдают сопоставимые результаты;
b) процесс распоряжения свидетельствами оценки после завершения оценки;
c) требования по конфиденциальности (как со стороны оценщика, так и относительно неразглашения информации, полученной в процессе оценки);
d) действия, предпринимаемые при возникновении проблем в процессе оценки (после решения проблемы процесс оценки либо возобновляется, либо немедленно прекращается и исправленный продукт необходимо заново представить для оценки);
e) конкретный (естественный) язык, на котором необходимо представить документацию;
f) документальные свидетельства, которые необходимо представить в составе ТОО; настоящий стандарт определяет минимум, который следует привести в ТОО, а в конкретных системах оценки возможно требование включения дополнительной информации;
g) дополнительные отчеты (помимо ТОО), требуемые от оценщиков, например отчеты о тестировании;
h) любые специфические СП, которые могут потребоваться в соответствии с системой, включая структуру, получателей и т.д. для таких СП;
i) структура конкретного содержания документальных сообщений (отчетов), разрабатываемых при оценке ЗБ, - система оценки может иметь установленный формат для всех сообщений (отчетов), детализирующих результаты оценки, будь это оценка ОО или ЗБ;
j) любая требуемая дополнительно информация по идентификации ПЗ/ЗБ;
k) любые виды деятельности по принятию решения о пригодности сформулированных в явном виде требований в ЗБ;
I) любые требования по подготовке свидетельства оценщика для поддержки переоценки и повторного применения свидетельств;
m) любые конкретные способы применения идентификаторов, эмблем, торговых марок и т.д. системы оценки;
n) любые конкретные указания по применению криптографии;
o) способы трактовки и применения системы оценки, национальных и международных интерпретаций;
p) перечень или описание приемлемых альтернатив тестированию там, где тестирование неосуществимо;
q) механизм, посредством которого орган оценки может определить, какие шаги оценщик предпринял при тестировании;
r) предпочтительный подход при тестировании (если таковой имеется): на внутреннем интерфейсе или на внешнем интерфейсе;
s) перечень или характеристика приемлемых способов (средств) проведения оценщиком анализа уязвимостей (например, методология гипотез о недостатках);
t) информация относительно любых уязвимостей и недостатков, которые необходимо учитывать при оценке.
Приложение В
(справочное)
Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам
Таблица В.1
Обозначение ссылочного международного стандарта
|
Обозначение и наименования соответствующего национального стандарта
|
ИСО/МЭК 15408-1:2005
|
ГОСТ Р ИСО/МЭК 15408-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
|
ИСО/МЭК 15408-2:2005
|
ГОСТ Р ИСО/МЭК 15408-2-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности
|
ИСО/МЭК 15408-3:2005
|
ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
|
ИСО 9000:2000
|
ГОСТ Р ИСО 9000-2008 Системы менеджмента качества. Основные положения и словарь
|
|
