9.2 Спецификация целей безопасности для объекта оценки
Цели безопасности ОО должны установить (в заданном разработчиком ПЗ и ЗБ объеме) возлагаемую на ОО ответственность за противостояние угрозам и следование ПБОр. Цели безопасности ОО (см. рисунок 2) можно рассматривать как промежуточный этап формирования требований безопасности ИТ, исходя из идентифицированных аспектов среды безопасности ОО, что необходимо всегда учитывать при спецификации целей безопасности для ОО.
Учитывая центральную роль, которую играют цели безопасности в ПЗ и ЗБ, важным является вопрос о наиболее приемлемом уровне детализации при изложении (целей безопасности). Требование краткого изложения целей безопасности предполагает достижение следующего определенного равновесия между двумя следующими аспектами:
a) с одной стороны, цели безопасности должны помочь пользователю ПЗ и ЗБ без углубленного изучения деталей реализации понять объем решения объектом оценки проблемы безопасности (степень учета аспектов среды безопасности ОО). В идеале цели безопасности для ОО должны быть независимы от реализации. Таким образом, основное внимание необходимо сосредоточить на том, какое решение предпочтительнее, а не на том, как это решение достигается;
b) в то же время необходимо, чтобы формулировка целей безопасности не являлась простым повторением, хотя и в несколько иной форме, информации, содержащейся в описании угроз и ПБОр.
Окончательную проверку правильности выбора уровня детализации формулировки целей безопасности проводят на этапе обоснования целей безопасности и требований безопасности ИТ. Если какой-либо из шагов на этапе обоснования (обоснование целей безопасности или обоснование требований безопасности) является несложным, в то время как другой вызывает значительные затруднения, то вероятнее всего формулировка целей безопасности является слишком детализированной либо слишком абстрактной.
Сформированный надлежащим образом набор целей безопасности для ОО дает определенную уверенность в том, что формулируемые на его основе требования безопасности ИТ не будут избыточными (в части ФТБ см. 10.1.1; в части ТДБ см. 10.2.1), что в свою очередь служит основой для минимизации средств и времени, затрачиваемых на оценку ОО.
С точки зрения противостояния идентифицированным угрозам существует три типа целей безопасности для ОО:
1) цели предупредительного характера, направленные на предотвращение реализации угроз либо на перекрытие возможных путей реализации данных угроз;
2) цели обнаружения, определяющие способы обнаружения и постоянного мониторинга событий, оказывающих влияние на безопасное функционирование ОО;
3) цели реагирования, определяющие необходимость каких-либо действий ОО в ответ на потенциальные нарушения безопасности или другие нежелательные события с целью сохранения или возврата ОО в безопасное состояние и/или ограничения размера причиненного ущерба.
Примером цели безопасности предупредительного характера может служить следующая цель, которая определяет необходимость идентификации и аутентификации пользователей ОО:
объект оценки должен уникально идентифицировать каждого пользователя и выполнять процедуру аутентификации идентифицированного пользователя до предоставления ему доступа к функциональным возможностям ОО.
Цели безопасности, связанные с управлением доступом и информационными потоками, также относят к категории целей предупредительного характера. Если ОО должен реализовывать более одной политики управления доступом и информационными потоками, то рекомендуется для каждой политики идентифицировать отдельные цели безопасности. Такой подход способствует упрощению процесса обоснования требований безопасности.
Примером цели обнаружения может служить следующая цель, определяющая необходимость обеспечения ОО невозможности отказа контрагентов от факта передачи или приема сообщения:
объект оценки должен включать в себя средства, позволяющие получателю информации подготовить свидетельство, доказывающее происхождение этой информации.
Примером цели реагирования может служить следующая цель, определяющая необходимость ответной реакции ОО на обнаруженные вторжения:
при обнаружении событий, свидетельствующих о предстоящем нарушении безопасности, ОО должен принимать необходимые меры для противостояния данному нападению с минимальным снижением качества обслуживания пользователей ОО.
Там, где это возможно, при формулировании целей безопасности целесообразно количественно определять минимальные значения некоторых частных показателей эффективности обеспечения безопасности, таким образом в основном снимая неопределенность относительно уровня эффективности, который должен быть обоснован в разделе ПЗ и ЗБ "Обоснование".
Количественная оценка может быть сформулирована как в относительных, так и в абсолютных числовых значениях. Очевидно, что применение абсолютных числовых значений для количественной оценки является более предпочтительным, но в то же время и более трудным вариантом.
Если ПЗ и ЗБ разрабатывается после определения функциональных требований безопасности, то каждую цель безопасности целесообразно формулировать, исходя из соответствия конкретной группе функциональных требований безопасности, которые предполагается включить в ПЗ и ЗБ. Основное преимущество данного подхода заключается в простоте построения обоснования требований безопасности. При этом необходимо контролировать полное соответствие определенных таким образом целей безопасности изложенным в данном разделе требованиям и рекомендациям по их формулированию. В частности, необходимо убедиться в том, что цели безопасности не содержат лишних деталей реализации.
Примеры формулировок целей безопасности приведены в приложении B.
Соответствие целей безопасности для ОО угрозам и ПБОр достигается с учетом:
a) каждой идентифицированной угрозы, направленной против ОО, по крайней мере, одной целью безопасности для ОО;
b) каждого правила идентифицированной ПБОр, которому должен соответствовать ОО, по крайней мере, одной целью безопасности для ОО.
Наглядность такого соответствия может быть достигнута, например, за счет использования перекрестных ссылок или отображения рассматриваемого соответствия в форме таблицы. Несмотря на то, что демонстрация соответствия целей безопасности угрозам и ПБОр будет приведена в разделе "Обоснование" (см. разделы 12 и 13), для пользователя ПЗ и ЗБ было бы полезно отображение такого соответствия уже в разделе "Цели безопасности". В случае, если цель безопасности предполагает реализацию какого-либо правила ПБОр, предпочтительнее в раздел "Цели безопасности" включить ссылку на соответствующее правило ПБОр, а не повторять установленные ПБОр правила, подлежащие реализации (см. пример цели безопасности O.DAC, приведенный в приложении B).
Цели безопасности для ОО должны быть уникально маркированы. Маркировка может быть основана на последовательной нумерации (например, Ц1, Ц2, Ц3 и т.д.) либо на использовании значащих меток (см. примеры, приведенные в приложении B).