10.4.1 Требования безопасности для ИТ-среды
В ПЗ и ЗБ должны включаться требования безопасности для ИТ-среды. Ниже приведены примеры случаев, когда необходимость задания требований безопасности для ИТ-среды очевидна:
a) в целях обеспечения безопасности системы управления базами данных (СУБД) идентификация и аутентификация пользователей СУБД может быть возложена на операционную систему (ОС), под управлением которой функционирует СУБД. На ОС также может быть возложена задача защиты от обхода пользователями механизмов управления доступом СУБД при непосредственном обращении к файлам базы данных;
b) безопасность приложений, использующих смарт-карту, может зависеть в том числе от возможности ОС, под управлением которой работает смарт-карта, изолировать друг от друга отдельные приложения (так, чтобы одно приложение не могло повредить данные и код другого приложения), а также может непосредственно зависеть от характеристик стойкости платы интегральной схемы.
Требования безопасности для ИТ-среды могут быть сформулированы в процессе удовлетворения зависимостей включенных в ПЗ и ЗБ функциональных компонентов, определенных в ИСО/МЭК 15408-2, в том случае, если включаемые для удовлетворения зависимостей требования безопасности с большим успехом могут быть выполнены ИТ-средой по сравнению с ОО.
Отличия требований безопасности для ИТ-среды и предположения о среде состоят в следующем:
a) предположения не требуют доказательств (являются очевидными) при анализе;
b) требования безопасности необходимы для обеспечения достижения целей безопасности, и поэтому они должны быть верифицированы.
В отличие от требований безопасности ОО, требования безопасности для ИТ-среды не анализируются (при оценке ОО) на предмет подтверждения требуемого уровня доверия тому, что ИТ-среда обеспечивает надлежащее выполнение предписанных ей ФТБ.
При оценке ОО предполагается, что среда ОО выполняет предписанные ей ФТБ, хотя некоторые требования безопасности для ИТ-среды все же могут подлежать проверке. Поэтому требуемый уровень доверия к безопасности может быть окончательно установлен в ходе проведения отдельной оценки компонентов ИТ-среды, которые реализуют требуемые функциональные возможности безопасности.
Требования безопасности для ИТ-среды, как и требования безопасности ОО, целесообразно формировать (где это возможно) на основе функциональных компонентов и компонентов доверия к безопасности, определенных в стандартах серии ИСО/МЭК 15408. Любое отклонение от этих компонентов должно сопровождаться строгим обоснованием в ПЗ и ЗБ.
В некоторых случаях нецелесообразно формулировать функциональные требования безопасности для ИТ-среды на основе функциональных компонентов, определенных в ИСО/МЭК 15408-2. Например, может потребоваться, чтобы ФТБ были сформулированы в ПЗ на более абстрактном уровне с тем, чтобы возложить на разработчика ЗБ ответственность за определение того, каким образом будут удовлетворены эти высокоуровневые (независимо от конкретной реализации) функциональные требования безопасности.
Для разработчика ЗБ зависимости ОО и ИТ-среды должны быть известными, так как они имеют отношение к конкретному ОО и конкретной ИТ-среде. Напротив, разработчик ПЗ должен учитывать, что соответствующие профилю защиты объекты оценки могут различаться степенью зависимости от ИТ-среды. Ниже рассмотрены два основных случая, связанных с разделением ответственности между ОО и ИТ-средой:
1) разделение ответственности между ОО и ИТ-средой полностью определено. В этом случае требования безопасности для ИТ-среды должны быть специфицированы в одном или более (по числу компонентов ИТ-среды) подразделе ПЗ;
2) разделение ответственности между ОО и ИТ-средой не определено в ПЗ. В этом случае не делается различий между ФТБ для ОО и ФТБ для ИТ-среды. При этом разработчик ПЗ должен максимально исключить возможность для разработчика ЗБ утверждать о соответствии ПЗ, в то время как ОО реализует незначительное число ФТБ, а ИТ-среда - все остальные ФТБ.
Во втором из описанных случаев злоупотребления утверждением о соответствии ПЗ можно избежать, если в ПЗ заявить, что все ФТБ относятся к ОО. Тогда, если продукт ИТ удовлетворяет всем ФТБ только при поддержке ИТ-среды, то в качестве ОО, соответствующего ПЗ, может быть признан составной ОО, включающий в себя сам продукт ИТ и его ИТ-среду.
В первом из описанных случаев разработчик ПЗ должен специфицировать минимальный перечень функциональных возможностей, которые обеспечиваются ОО. Решение о разделении ответственности между ОО и ИТ-средой должно основываться на анализе технической выполнимости требований, а также функциональных возможностей продуктов ИТ, которые должны соответствовать ПЗ. Тем не менее, ПЗ должен разрешать соответствующему ОО реализовывать любые идентифицированные в ПЗ требования безопасности для ИТ-среды.
Уровень доверия к реализации ФТБ для ИТ-среды должен быть не ниже уровня доверия к реализации ФТБ объектом оценки. Например, если уровень доверия к реализации функциональных возможностей СУБД по управлению доступом должен соответствовать ОУД4, то будет считаться недостаточным уровень доверия к реализации функций идентификации и аутентификации, ответственность за реализацию которых возложена на ОС (ИТ-среду), соответствующий ОУД2.
10.4.2 Требования безопасности для не ИТ-среды
Требования безопасности для не ИТ-среды в ПЗ и ЗБ могут не включаться, вследствие того что данные требования не имеют непосредственного отношения к реализации ОО.
Необходимость во включении в ПЗ и ЗБ требований безопасности для не ИТ-среды появится в тех случаях, когда сформулированы нетривиальные, с точки зрения реализации, не ИТ-цели безопасности или когда "Обоснование" непосредственно зависит от способа реализации не ИТ-целей безопасности. Последний случай имеет место, если появляется необходимость в детальном согласовании требований безопасности ИТ в ПЗ и ЗБ и соответствующих методов управления безопасностью, с тем чтобы два вида требований (ИТ и не ИТ) находились на одинаковом уровне абстракции.
Следует также отметить, что если какие-либо требования безопасности для не ИТ-среды необходимы, но не включены в ПЗ (вследствие того что они в явном виде не вытекают из не ИТ-целей безопасности), то может стать затруднительной демонстрация пригодности требований безопасности ИТ (см. 13.3.1).
Предпочтительнее (для исключения смешивания различных уровней абстракции) представлять требования безопасности для не ИТ-среды в отдельном разделе "Требования безопасности для не ИТ-среды", а не трактовать их как цели или предположения безопасности. Раздел "Требования безопасности для не ИТ-среды" может охватывать такие аспекты как защита аутентификационных данных, используемых механизмом идентификации и аутентификации (например, пароли), а также конкретные административные требования (например, процедуры расследования обнаруженных вторжений).
Четкая идентификация в ПЗ и ЗБ требований безопасности для не ИТ-среды в дальнейшем будет способствовать включению данных требований в пользовательскую документацию (если соответствующие требования к документации из класса AGD включены в ПЗ и ЗБ).