8 Оценка профиля защиты
8.1 Введение
Настоящий раздел описывает оценку ПЗ. Требования и методология оценки ПЗ идентичны для каждой оценки ПЗ независимо от ОУД (или другой совокупности критериев доверия), заявленного в ПЗ. В то время как последующие разделы настоящего стандарта ориентированы на проведение оценки по конкретным ОУД, настоящий раздел применим к любому оцениваемому ПЗ.
Методология оценки в настоящем разделе основана на требованиях к ПЗ, определенных в ИСО/МЭК 15408-1, приложение А и классе АРЕ "Оценка профиля защиты" ИСО/МЭК 15408-3.
8.2 Организация оценки ПЗ
Виды деятельности по проведению полной оценки ПЗ охватывают следующее:
a) задачу получения исходных данных для оценки (раздел 7);
b) вид деятельности по оценке ПЗ, включающий в себя следующие подвиды деятельности:
1) оценку раздела "Описание ОО" (8.3.1);
2) оценку раздела "Среда безопасности ОО" (8.3.2);
3) оценку раздела "Введение ПЗ" (8.3.3);
4) оценку раздела "Цели безопасности" (8.3.4);
5) оценку раздела "Требования безопасности ИТ" (8.3.5);
Комментарий ГАРАНТа
Нумерация приводится в соответствии с источником
7) оценку сформулированных в явном виде требований безопасности ИТ (8.3.6);
c) задачу оформления результатов оценки (раздел 7).
Задачи получения исходных данных для оценки и оформления результатов оценки описаны в разделе 7. Подвиды деятельности по оценке вытекают из требований доверия класса АРЕ, содержащихся в ИСО/МЭК 15408-3.
В настоящем разделе описаны подвиды деятельности, включенные в оценку ПЗ. Хотя подвиды деятельности могут начинаться более или менее случайно, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком. Руководство по учету зависимостей см. в А.4 "Зависимости" (приложение А).
Подвид деятельности по оценке сформулированных в явном виде требований безопасности ИТ выполняют только тогда, когда в состав требований безопасности ИТ включены требования безопасности, взятые не из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3.
8.3 Вид деятельности "Оценка профиля защиты"
8.3.1 Оценка раздела "Описание ОО" (APE_DES.1)
8.3.1.1 Цели
Цель данного подвида деятельности - сделать заключение, содержит ли "Описание ОО" соответствующую для понимания назначения ОО и его функциональных возможностей информацию, а также является ли описание ОО полным и непротиворечивым.
8.3.1.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
8.3.1.3 Действие APE_DES.1.1E
8.3.1.3.1 Шаг оценивания APE_DES.1-1
ИСО/МЭК 15408-3 APE_DES.1.1С: Описание ОО должно включать в себя тип продукта и общие свойства ИТ, присущие ОО.
Оценщик должен исследовать раздел "Описание ОО", чтобы сделать заключение, описан ли в нем тип продукта или системы для ОО.
Оценщик делает заключение, достаточно ли "Описание ОО" для общего понимания предполагаемого использования продукта или системы и обеспечивает ли, таким образом, контекст оценки. Примерами некоторых типов продуктов и систем являются: межсетевой экран, смарт-карта, криптомодем, веб-сервер, интрасеть.
Существуют ситуации, когда является очевидным, что у ОО ожидается наличие некоторых функциональных возможностей, определяемых типом продукта или системы. Если эти функциональные возможности отсутствуют, то оценщик делает заключение, адекватно ли это отсутствие рассмотрено в разделе "Описание ОО". Примером этого является ОО типа "межсетевой экран", в "Описании ОО" которого изложено, что он не может быть подключен к сетям.
8.3.1.3.2 Шаг оценивания APE_DES.1-2
Оценщик должен исследовать раздел "Описание ОО", чтобы сделать заключение, описаны ли в нем в общих чертах ИТ-характеристики ОО.
Оценщик делает заключение, рассмотрены ли в разделе "Описание ОО" ИТ-характеристики и в особенности характеристики безопасности, предоставляемые ОО, на таком уровне детализации, который достаточен для общего понимания этих характеристик.
8.3.1.4 Действие APE_DES.1.2E
8.3.1.4.1 Шаг оценивания APE_DES.1-3
Оценщик должен исследовать ПЗ, чтобы сделать заключение, является ли "Описание ОО" логически упорядоченным.
Изложение раздела "Описание ОО" является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. разработчикам, оценщикам и потребителям).
8.3.1.4.2 Шаг оценивания APE_DES.1-4
Оценщик должен исследовать ПЗ, чтобы сделать заключение, является ли "Описание ОО" внутренне непротиворечивым.
Оценщику необходимо иметь в виду, что данный раздел ПЗ предназначен только для того, чтобы определить общее назначение ОО.
Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
8.3.1.5 Действие APE_DES.1.ЗЕ
8.3.1.5.1 Шаг оценивания APE_DES.1-5
Оценщик должен исследовать ПЗ, чтобы сделать заключение, согласовано ли "Описание ОО" с другими частями ПЗ.
Оценщик делает заключение, в частности, что в разделе "Описание ОО" не описаны угрозы, характеристики безопасности или конфигурации ОО, которые не рассмотрены в каком-либо другом месте ПЗ.
Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
8.3.2 Оценка раздела "Среда безопасности ОО" (APE_ENV.1)
8.3.2.1 Цели
Цель данного подвида деятельности - сделать заключение, обеспечивает ли изложение раздела "Среда безопасности ОО" в ПЗ четкое и непротиворечивое определение проблемы безопасности, решение которой возложено на ОО и его среду.
8.3.2.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
8.3.2.3 Действие APE_ENV.1.1Е
8.3.2.3.1 Шаг оценивания APE_ENV.1-1
ИСО/МЭК 15408-3 APE_ENV.1.1С: Изложение среды безопасности ОО должно идентифицировать и объяснить каждое предположение о предполагаемом применении ОО и среде использования ОО.
Оценщик должен исследовать изложение раздела "Среда безопасности ОО", чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо предположения.
Предположения могут быть разделены на предположения относительно использования ОО и предположения относительно среды использования ОО.
Оценщик делает заключение, учитывают ли предположения относительно использования ОО такие аспекты, как предполагаемое применение ОО, потенциальная ценность активов, требующих защиты со стороны ОО, и возможные ограничения использования ОО.
Оценщик делает заключение, достаточно ли подробно разъяснено каждое предположение относительно использования ОО для того, чтобы дать возможность потребителям решить, соответствует ли предполагаемое использование ими ОО сделанным предположениям. Если предположения не являются четкими и понятными, то это может, в конечном счете, привести к тому, что потребители будут использовать ОО в среде, для которой он не предназначен.
Оценщик делает заключение, охватывают ли предположения относительно среды использования ОО аспекты физической среды, персонала и внешних связей:
a) Физические аспекты включают в себя предположения, которые необходимо сделать относительно физического расположения ОО или подключенных периферийных устройств для того, чтобы ОО функционировал безопасным образом. Несколько примеров:
- предполагают, что консоли администраторов находятся в некоторой зоне, доступ в которую ограничен только персоналом/являющимся администраторами;
- предполагают, что хранение всех файлов для ОО осуществляется на той рабочей станции, на которой функционирует ОО.
b) Аспекты, имеющие отношение к персоналу, включают в себя предположения, которые необходимо сделать относительно пользователей и администраторов ОО или других лиц (включая потенциальные источники угроз) внутри среды ОО для того, чтобы ОО функционировал безопасным образом. Несколько примеров:
- предполагают, что пользователи имеют конкретные навыки или специальные знания;
- предполагают, что пользователи имеют определенный минимальный допуск;
- предполагают, что администраторы обновляют антивирусную базу данных ежемесячно.
c) Аспекты внешних связей включают в себя предположения, которые необходимо сделать относительно связей между ОО и другими внешними по отношению к ОО системами или продуктами ИТ (аппаратными, программными и программно-аппаратными средствами или их комбинацией) для того, чтобы ОО функционировал безопасным образом. Несколько примеров:
- предполагают, что для хранения файлов регистрации, генерируемых ОО, доступным является, по крайней мере, 100 Мб внешнего дискового пространства;
- предполагают, что ОО является единственным приложением, не относящимся к операционной системе, выполняемым на отдельной рабочей станции;
- предполагают, что дисковод ОО для накопителей на гибком магнитном диске отключен;
- предполагают, что ОО не будет подключен к недоверенной сети.
Оценщик делает заключение, достаточно ли подробно разъяснено каждое предположение относительно среды использования ОО для того, чтобы предоставить возможность потребителям решить, соответствует ли их предполагаемая среда сделанным предположениям о среде ОО. Если предположения не являются четкими и понятными, то это может, в конечном счете, привести к тому, что ОО будет использован в среде, в которой он не будет функционировать безопасным образом.
8.3.2.3.2 Шаг оценивания APE_ENV.1-2
ИСО/МЭК 15408-3 APE_ENV.1.2C: Изложение среды безопасности ОО должно идентифицировать и объяснить каждую известную или предполагаемую угрозу активам, от которой будет требоваться защита посредством ОО или его среды.
Оценщик должен исследовать изложение раздела "Среда безопасности ОО", чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо угрозы.
Если цели безопасности для ОО и его среды получены только на основе предположений и политики безопасности организации, то изложение угроз в ПЗ не потребуется. В таком случае данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Оценщик делает заключение, все ли идентифицированные угрозы ясно разъяснены в терминах идентифицированного источника угрозы, нападения и актива, являющегося объектом нападения.
Оценщик также делает заключение, охарактеризованы ли источники угроз (нарушители) через их компетентность, ресурсы и мотивацию, а нападения - через методы нападения, какие-либо используемые уязвимости и возможность нападения.
8.3.2.3.3 Шаг оценивания APE_ENV.1-3
ИСО/МЭК 15408-3 APE_ENV.1.3C: Изложение среды безопасности ОО должно идентифицировать и объяснить каждую политику безопасности организации, соответствие которой для ОО необходимо.
Оценщик должен исследовать изложение раздела "Среда безопасности ОО", чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо политики безопасности организации.
Если цели безопасности для ОО и его среды получены только на основе предположений и угроз, то нет необходимости в том, чтобы политика безопасности организации была представлена в ПЗ. В таком случае данный шаг оценивания не применяют и поэтому считают удовлетворенным.
Оценщик делает заключение, изложена ли политика безопасности организации в виде правил, практических приемов или руководств, установленных организацией, контролирующей среду использования ОО, которым должен следовать ОО или его среда. Примером политики безопасности организации является требование генерации и шифрования паролей в соответствии с национальным стандартом.
Оценщик делает заключение, достаточно ли подробно разъяснена и/или интерпретирована каждая политика безопасности организации для того, чтобы она была ясной для понимания; ясное представление формулировок политик является необходимым для того, чтобы дать возможность проследить цели безопасности по отношению к ним.
8.3.2.4 Действие APE_ENV.1.2E
8.3.2.4.1 Шаг оценивания APE_ENV.1-4
Оценщик должен исследовать изложение раздела "Среда безопасности ОО", чтобы сделать заключение, является ли оно логически упорядоченным.
Изложение раздела "Среда безопасности ОО" является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
8.3.2.4.2 Шаг оценивания APE_ENV.1-5
Оценщик должен исследовать изложение раздела "Среда безопасности ОО", чтобы сделать заключение, является ли оно внутренне непротиворечивым.
Примерами внутренне противоречивого изложения раздела "Среда безопасности ОО" являются:
a) изложение раздела "Среда безопасности ОО", которое содержит угрозу, метод нападения для которой не может быть реализован источником угрозы;
b) изложение раздела "Среда безопасности ОО", которое содержит правило политики безопасности организации "ОО не должен быть подключен к Интернету" и угрозу, источником которой является злоумышленник из Интернета.
Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
8.3.3 Оценка раздела "Введение ПЗ" (APE_INT.1)
8.3.3.1 Цели
Цель данного подвида деятельности - сделать заключение, является ли раздел "Введение ПЗ" полным и согласованным со всеми другими частями ПЗ и правильно ли в нем идентифицирован ПЗ.
8.3.3.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
8.3.3.3 Действие APE_INT.1.1Е
8.3.3.3.1 Шаг оценивания APE_INT.1-1
ИСО/МЭК 15408-3 APE_INT.1.1C: Введение ПЗ должно содержать данные идентификации ПЗ, которые предоставляют маркировку и описательную информацию, необходимые для идентификации, каталогизации, регистрации ПЗ и ссылок на него.
Оценщик должен проверить, представлена ли в разделе "Введение ПЗ" идентификационная информация, необходимая для идентификации, каталогизации, регистрации и перекрестной ссылки на ПЗ.
Оценщик делает заключение, включает ли в себя идентификационная информация ПЗ:
a) информацию, необходимую для контроля и уникальной идентификации ПЗ (например, наименование ПЗ, номер версии, дату публикации, авторов, организацию-заявителя);
b) указание версии ИСО/МЭК 15408, использованной при разработке ПЗ;
c) регистрационную информацию, если перед оценкой ПЗ был зарегистрирован;
d) перекрестные ссылки, если ПЗ сопоставляется с другим (другими) ПЗ;
e) дополнительную информацию в соответствии с требованиями системы оценки.
8.3.3.3.2 Шаг оценивания APE_INT.1-2
ИСО/МЭК 15408-3 APE_INT.1.2C: Введение ПЗ должно содержать аннотацию ПЗ с общей характеристикой ПЗ в описательной форме.
Оценщик должен проверить, представлена ли в разделе "Введение ПЗ" "Аннотация ПЗ" в повествовательной форме.
"Аннотация ПЗ" предназначена для того, чтобы предоставить краткое резюме содержания ПЗ (более детальное описание приведено в разделе "Описание ОО"), которое является достаточно подробным, чтобы позволить потенциальному пользователю ПЗ сделать заключение, представляет ли для него интерес данный ПЗ.
8.3.3.4 Действие APE_INT.1.2Е
8.3.3.4.1 Шаг оценивания APE_INT.1-3
Оценщик должен исследовать "Введение ПЗ", чтобы сделать заключение, является ли оно логически упорядоченным.
"Введение ПЗ" является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. разработчикам, оценщикам и потребителям).
8.3.3.4.2 Шаг оценивания APE_INT.1-4
Оценщик должен исследовать "Введение ПЗ", чтобы сделать заключение, является ли оно внутренне непротиворечивым.
Анализ внутренней непротиворечивости, естественно, опирается на краткий обзор ПЗ, представляющий собой резюме содержания ПЗ.
Руководство по анализу непротиворечивости см. в |
