А.3 "Анализ непротиворечивости" (приложение А).
8.3.3.5 Действие APE_INT.1.3Е
8.3.3.5.1 Шаг оценивания APE_INT.1- 5
Оценщик должен исследовать ПЗ, чтобы сделать заключение, согласовано ли "Введение ПЗ" с другими частями ПЗ.
Оценщик делает заключение, предоставляет ли "Аннотация ПЗ" точную общую характеристику ОО. В частности, оценщик делает заключение, согласована ли "Аннотация ПЗ" с разделом "Описание ОО" и не предполагается ли в нем наличие характеристик безопасности, которые выходят за рамки оценки.
Оценщик также делает заключение, согласовано ли "Утверждение о соответствии ИСО/МЭК 15408" с другими частями ПЗ.
Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
8.3.4 Оценка раздела "Цели безопасности" (APE_OBJ.1)
8.3.4.1 Цели
Цель данного подвида деятельности - сделать заключение, полностью ли и согласованно описаны цели безопасности, направлены ли цели безопасности на противостояние идентифицированным угрозам, на достижение идентифицированной политики безопасности организации и согласованы ли они с приведенными предположениями.
8.3.4.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
8.3.4.3 Действие APE_OBJ.1.1Е
8.3.4.3.1 Шаг оценивания APE_OBJ.1-1
ИСО/МЭК 15408-3 APE_OBJ.1.1С: Изложение целей безопасности должно определить цели безопасности для ОО и его среды.
Оценщик должен проверить, определены ли в изложении целей безопасности цели безопасности для ОО и его среды.
Оценщик делает заключение, ясно ли определено для каждой цели безопасности, относится она к ОО, к среде или к тому и другому.
8.3.4.3.2 Шаг оценивания APE_OBJ.1-2
ИСО/МЭК 15408-3 APE_OBJ.1.2C: Цели безопасности для ОО должны быть сопоставлены с теми аспектами идентифицированных угроз, которым будет противостоять ОО, и/или с политикой безопасности организации, которая будет выполняться ОО.
Оценщик должен исследовать "Обоснование целей безопасности", чтобы сделать заключение, все ли цели безопасности для ОО прослежены к аспектам идентифицированных угроз, которым необходимо противостоять, и/или к аспектам политики безопасности организации, которой должен следовать ОО.
Оценщик делает заключение, прослежена ли каждая цель безопасности для ОО, по крайней мере, к одной угрозе или политике безопасности организации.
Неудача при попытке такого прослеживания свидетельствует о том, что либо обоснование целей безопасности является неполным, либо изложение угроз/политики безопасности организации является неполным, либо цель безопасности для ОО является бесполезной.
Поэтому угрозе полностью может соответствовать одна или более цель для среды. Крайний случай - это когда отсутствуют цели безопасности для ОО. Хотя и в этом случае использование конструкции ПЗ/ЗБ остается правомерным, определение ОО, для которого все угрозы и политики безопасности организации учитываются средой, вряд ли бы имело какой-то практический смысл, так как для такого ОО не было бы никаких функциональных требований безопасности. Решение о сертификации подобных ОО является прерогативой системы оценки.
8.3.4.3.3 Шаг оценивания APE_OBJ.1-3
ИСО/МЭК 15408-3 APE_OBJ.1.3C: Цели безопасности для среды должны быть сопоставлены с томи аспектами идентифицированных угроз, которым ОО противостоит не полностью, и/или с политикой безопасности организации или предположениями, не полностью выполняемыми ОО.
Оценщик должен исследовать "Обоснование целей безопасности", чтобы сделать заключение, прослежены ли цели безопасности для среды к тем идентифицированным угрозам, которым должна противостоять среда ОО, и/или к аспектам политики безопасности организации, которым должна удовлетворять среда ОО, и/или к предположениям, которым должна удовлетворять среда ОО.
Оценщик делает заключение, прослежена ли каждая цель безопасности для среды, по крайней мере, к одному предположению, угрозе или политике безопасности организации.
Неудача при попытке такого прослеживания свидетельствует о том, что либо обоснование целей безопасности является неполным, либо изложение предположений/угроз/политики безопасности организации является неполным, либо цель безопасности для среды является бесполезной.
8.3.4.3.4 Шаг оценивания APE_OBJ.1-4
ИСО/МЭК 15408-3 APE_OBJ.1.4C: Обоснование целей безопасности должно демонстрировать, что изложенные цели безопасности пригодны для противостояния всем идентифицированным угрозам безопасности.
Оценщик должен исследовать "Обоснование целей безопасности", чтобы сделать заключение, содержится ли в нем для каждой угрозы приемлемое логическое обоснование того, что цели безопасности пригодны для противостояния данной угрозе.
Если ни одна цель безопасности не прослежена к конкретной угрозе, то результат данного шага оценивания отрицательный.
Оценщик делает заключение, демонстрирует ли логическое обоснование для угрозы то, что, если все цели безопасности, прослеживаемые к угрозе, достигнуты, то угроза либо устранена, либо снижена до приемлемого уровня, либо последствия ее реализации в достаточной мере компенсированы.
Оценщик также делает заключение, действительно ли каждая цель безопасности, которая прослежена к угрозе, будучи достигнутой, вносит вклад в устранение, снижение или компенсацию последствий реализации данной угрозы.
Примеры устранения угрозы:
- устранение для источника угрозы (нарушителя) возможности использовать какой-либо метод нападения;
- устранение мотивации источника угрозы (нарушителя) путем применения сдерживающих факторов;
- устранение источника угрозы (например, отключение от сети машин, часто приводящих к фатальному сбою этой сети).
Примеры снижения угрозы:
- ограничение для источника угрозы возможности использования методов нападения;
- ограничение возможностей источников угрозы;
- снижение вероятности успешного результата инициированного нападения;
- повышенные требования к компетентности и ресурсам источника угрозы.
Примеры компенсации последствий реализации угрозы:
- частое создание резервных копий активов;
- наличие резервных копий ОО;
- частая смена ключей, используемых в течение сеанса связи, чтобы последствия компрометации одного ключа были относительно незначительными.
Несмотря на то, что прослеживание целей безопасности к угрозам в обосновании целей безопасности может быть частью логического обоснования, само по себе оно не является логическим обоснованием. Даже в том случае, когда цель безопасности является только заявлением, отражающим намерение предотвратить реализацию конкретной угрозы, все равно требуется логическое обоснование, хотя в данном случае оно может быть минимальным.
8.3.4.3.5 Шаг оценивания APE_OBJ.1-5
ИСО/МЭК 15408-3 APE_OBJ.1.5C: Обоснование целей безопасности должно демонстрировать, что изложенные цели безопасности пригодны для охвата всех установленных положений политики безопасности организации и предположений.
Оценщик должен исследовать "Обоснование целей безопасности", чтобы сделать заключение, содержится ли в нем для каждого аспекта политики безопасности организации приемлемое логическое обоснование того, что цели безопасности покрывают данный аспект политики безопасности организации.
Если ни одна цель безопасности не прослежена к политике безопасности организации, то результат данного шага оценивания отрицательный.
Оценщик делает заключение, демонстрирует ли логическое обоснование для политики безопасности организации то, что, если все цели безопасности, прослеженные к политике безопасности организации, достигнуты, то политика безопасности организации реализована.
Оценщик также делает заключение, действительно ли каждая цель безопасности, которая прослежена к политике безопасности организации, будучи достигнутой, вносит вклад в реализацию политики безопасности организации.
Несмотря на то, что прослеживание целей безопасности к политике безопасности организации в обосновании целей безопасности может быть частью логического обоснования, само по себе оно не является логическим обоснованием. Даже в том случае, когда цель безопасности является только заявлением, отражающим намерение реализовать конкретную политику безопасности, все равно требуется логическое обоснование, хотя в данном случае оно может быть минимальным.
8.3.4.3.6 Шаг оценивания APE_OBJ.1-6
Оценщик должен исследовать "Обоснование целей безопасности", чтобы сделать заключение, содержится ли в нем для каждого предположения приемлемое логическое обоснование того, что цели безопасности для среды пригодны для покрытия данного предположения.
Если ни одна цель безопасности для среды не прослежена к приведенному предположению, то результат данного шага оценивания отрицательный.
Предположение является или предположением относительно предполагаемого использования ОО, или предположением относительно среды использования ОО.
Оценщик делает заключение, демонстрирует ли логическое обоснование для предположения относительно предполагаемого использования ОО то, что, если все цели безопасности для среды, прослеженные к данному предположению, достигнуты, предполагаемое использование ОО поддерживается.
Оценщик также делает заключение, действительно ли каждая цель безопасности для среды, прослеживаемая к некоторому предположению относительно предполагаемого использования ОО, будучи достигнутой, вносит вклад в поддержку предполагаемого использования.
Оценщик делает заключение, демонстрирует ли логическое обоснование для предположения относительно среды использования ОО то, что, если все цели безопасности для среды, прослеженные к данному предположению, достигнуты, среда согласуется сданным предположением.
Оценщик также делает заключение, действительно ли каждая цель безопасности для среды, которая прослежена к предположению относительно среды использования ОО, будучи достигнутой, вносит вклад в достижение согласованности среды с предположением.
Несмотря на то, что прослеживание целей безопасности для среды к предположениям относительно среды использования ОО в подразделе "Обоснование целей безопасности" может быть частью логического обоснования, само по себе оно не является логическим обоснованием. Даже в том случае, когда цель безопасности представляет собой перефразированное предположение, все равно требуется логическое обоснование, хотя в данном случае оно может быть минимальным.
8.3.4.4 Действие APE_OBJ.1.2E
8.3.4.4.1 Шаг оценивания APE_OBJ.1-7
Оценщик должен исследовать изложение раздела "Цели безопасности", чтобы сделать заключение, является ли оно логически упорядоченным.
Изложение раздела "Цели безопасности" является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
8.3.4.4.2 Шаг оценивания APE_OBJ.1-8
Оценщик должен исследовать изложение раздела "Цели безопасности", чтобы сделать заключение, является ли оно полным.
Изложение раздела "Цели безопасности" является полным, если цели безопасности достаточны для противостояния всем идентифицированным угрозам и покрывают все идентифицированные политики безопасности организации и предположения. Данный шаг оценивания может быть выполнен совместно с шагами оценивания APE_OBJ.1-4, APE_OBJ.1-5 и APE_OBJ.1-6.
8.3.4.4.3 Шаг оценивания АРЕ_ОВJ.1-9
Оценщик должен исследовать изложение раздела "Цели безопасности", чтобы сделать заключение, является ли оно внутренне непротиворечивым.
Изложение раздела "Цели безопасности" является внутренне непротиворечивым, если цели безопасности не противоречат друг другу. Примером противоречия могут служить следующие две цели безопасности: "Идентификатор пользователя не подлежит раскрытию" и "Идентификатор пользователя должен быть доступен другим пользователям".
Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).
8.3.5 Оценка раздела "Требования безопасности ИТ" (APE_REQ.1)
8.3.5.1 Цели
Цель данного подвида деятельности - сделать заключение, является ли описание требований безопасности ОО (как функциональных требований безопасности ОО, так и требований доверия к безопасности ОО) и требований безопасности для среды ИТ полным и непротиворечивым и обеспечивают ли данные требования безопасности адекватную основу для разработки ОО, который бы достигал своих целей безопасности.
8.3.5.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
8.3.5.3 Действие APE_REQ.1.1Е
8.3.5.3.1 Шаг оценивания APE_REQ.1-1
ИСО/МЭК 15408-3 APE_REQ.1.1С: Изложение функциональных требований безопасности ОО должно идентифицировать функциональные требования безопасности ОО, составленные из компонентов функциональных требований ИСО/МЭК 15408-2.
Оценщик должен проверить изложение функциональных требований безопасности ОО, чтобы сделать заключение, идентифицированы ли в нем функциональные требования безопасности ОО, составленные из компонентов функциональных требований по ИСО/МЭК 15408-2.
Оценщик делает заключение, что все компоненты функциональных требований безопасности ОО, взятые из ИСО/МЭК 15408-2, идентифицированы либо путем ссылки на отдельные компоненты по ИСО/МЭК 15408-2, либо путем воспроизведения их в ПЗ.
8.3.5.3.2 Шаг оценивания APE_REQ.1-2
Оценщик должен проверить, что каждая ссылка на компонент функциональных требований безопасности ОО является правильной.
Для каждой ссылки на компонент функционального требования безопасности ОО по ИСО/МЭК 15408-2 оценщик делает заключение, существует ли упомянутый компонент в ИСО/МЭК 15408-2.
8.3.5.3.3 Шаг оценивания APE_REQ.1-3
Оценщик должен проверить, что каждый компонент функциональных требований безопасности ОО, взятый из ИСО/МЭК 15408-2 и воспроизведенный в ПЗ, воспроизведен правильно.
Оценщик делает заключение, правильно ли воспроизведены требования в подразделе "Функциональные требования безопасности ОО"; при этом исследование разрешенных операций не проводится. Исследование правильности операций над компонентами осуществляется при выполнении шага оценивания APE_REQ.1-11.
8.3.5.3.4 Шаг оценивания APE_REQ.1-4
ИСО/МЭК 15408-3 APE_REQ.1.2C: Изложение требований доверия к ОО должно идентифицировать требования доверия к ОО, составленные из компонентов требований доверия ИСО/МЭК 15408-3.
Оценщик должен проверить изложение подраздела "Требования доверия к безопасности ОО", чтобы сделать заключение, идентифицированы ли в нем требования доверия к безопасности ОО, составленные из компонентов требований доверия ИСО/МЭК 15408-3.
Оценщик делает заключение, всели компоненты требований доверия к безопасности ОО, взятые из ИСО/МЭК 15408-3, идентифицированы либо путем ссылки на некоторый ОУД, либо на отдельные компоненты из ИСО/МЭК 15408-3, либо путем их воспроизведения в ПЗ.
8.3.5.3.5 Шаг оценивания APE_REQ.1-5
Оценщик должен проверить, что каждая ссылка на компоненты требований доверия к безопасности ОО является правильной.
Для каждой ссылки на компонент требований доверия к безопасности ОО по ИСО/МЭК 15408-3 оценщик делает заключение, существует ли упомянутый компоненте ИСО/МЭК 15408-3.
8.3.5.3.6 Шаг оценивания APE_REQ.1-6
Оценщик должен проверить, что каждый компонент требований доверия к безопасности ОО, взятый из ИСО/МЭК 15408-3 и воспроизведенный в ПЗ, воспроизведен правильно.
Оценщик делает заключение, правильно ли воспроизведены требования в подразделе "Требования доверия к безопасности ОО"; при этом исследование выполнения разрешенных операций не проводится. Исследование правильности операций над компонентами осуществляется при выполнении шага оценивания |