Статус документа
Статус документа

ГОСТ Р ИСО/МЭК ТО 15446-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности

     10.3 Спецификация в профилях защиты или заданиях по безопасности требований доверия к безопасности

10.3.1 Выбор требований доверия к безопасности

Выбор требований доверия к безопасности зависит от следующих факторов:

a) ценности активов, подлежащих защите, и риска их компрометации;

b) технической реализуемости;

c) стоимости разработки и оценки;

d) требуемого времени для разработки и оценки ОО;

e) требований рынка (для продуктов ИТ);

f) зависимостей функциональных компонентов и компонентов доверия к безопасности.

Чем выше ценность активов, подлежащих защите, и больше риск компрометации этих активов, тем выше требуется уровень доверия к безопасности для функций безопасности, используемых для защиты рассматриваемых активов, что следует отразить при формировании целей безопасности. Организации могут устанавливать собственные правила определения уровня доверия к безопасности, который требуется для снижения риска для этих активов до приемлемого уровня. Это, в свою очередь, определяет требуемый уровень доверия к безопасности продуктов ИТ, которые предполагается использовать в этой организации.

Другие факторы, такие как "стоимость" и "затраты времени", целесообразно рассматривать как ограничения уровня доверия к безопасности, который является практически достижимым. Техническая реализуемость рассматривается в случае, если считается практически нецелесообразной подготовка свидетельства, требуемого конкретными компонентами доверия к безопасности, что актуально также для наследуемых систем (в случаях, если конструкторская документация недоступна), а также если в идеальном случае требуется высокий уровень доверия к безопасности, но технически невозможно за приемлемое время подготовить требуемое формальное либо полуформальное свидетельство. В случаях, если имеются ограничения для практически достижимого уровня доверия к безопасности, целесообразно согласиться с тем, что максимально достижимый уровень доверия к безопасности меньше, чем теоретически возможный. Такое принятие риска должно быть отражено и при изложении целей безопасности.

Изложение целей безопасности может также указывать на то, какие конкретные требования доверия к безопасности должны быть включены в набор ТДБ, например:

a) цели безопасности для ОО могут устанавливать, что ОО должен быть стойким к нарушителям с высоким потенциалом нападения;

b) цели безопасности могут требовать анализа скрытых каналов, что однозначно определяет включение в ПЗ и ЗБ компонента из семейства AVA_CCA "Анализ скрытых каналов", требующего проведения анализа скрытых каналов;

c) при формулировке целей безопасности может быть отмечено, что безопасность ОО серьезно зависит от безопасности среды разработки. В этом случае настоятельно рекомендуется включить в набор ТДБ компонент из семейства ALC_DVS "Безопасность разработки", содержащий требование анализа безопасности среды разработки.

Выбор ТДБ относительно несложен, если требуется просто выбрать подходящий пакет доверия к безопасности (см. раздел 15), например, ОУД, определенный в стандартах серии ИСО/МЭК 15408. Для того, чтобы выбрать подходящий с точки зрения сформулированных целей безопасности пакет доверия к безопасности, необходимо изучить его описание (например, при выборе ОУД см. раздел 6 ИСО/МЭК 15408-3).

Возможны случаи, когда пакет доверия к безопасности соответствует требуемому уровню доверия, но в нем отсутствуют требования, связанные с некоторыми целями безопасности. В этих случаях целесообразно включать в ТДБ дополнительные (по отношению к пакету) требования доверия к безопасности для того, чтобы учесть все цели безопасности.

Если в ПЗ включены расширенные требования доверия к безопасности, то необходимо удовлетворить все зависимости компонентов доверия к безопасности, содержащих эти дополнительные требования. Например, если в ПЗ пакет ОУД3 расширен путем использования компонента AVA_VLA.2 "Независимый анализ уязвимостей", то в ПЗ также необходимо включить компоненты ADV_LLD.1 "Описательный проект нижнего уровня" и ADV_IMP.1 "Подмножество реализации ФБО".

10.3.2 Выполнение операций над требованиями доверия к безопасности

В отличие от функциональных компонентов, к компонентам доверия к безопасности неприменимы операции "назначение" и "выбор". Однако возможны следующие операции:

a) "итерация", допускающая многократное использование одного и того же компонента доверия к безопасности;

b) "уточнение", позволяющее добавить детали к требованию доверия к безопасности.

На практике выполнение операции "итерация" может потребоваться в тех случаях, когда требуются разные "уточнения" для того же компонента доверия к безопасности, который используется для разных частей ОО, либо, если в ПЗ и ЗБ определены различные наборы ТДБ для разных компонентов составного ОО (см. 14.2.4). В последнем случае итерация требуется для компонентов доверия к безопасности (уточненных или нет), которые используются для более чем одного компонента составного ОО. Применение операции "уточнение" к ТДБ может быть выполнены:

a) предписания разработчику использовать конкретные инструментальные средства разработки, методики, модели жизненного цикла, методы анализа, системы обозначений, определенные стандарты и т.д.;

b) предписания действий оценщика, например:

1) компонент ADV_IMP.1 определяет, какие части представления реализации ОО должны быть оценены,

2) компонент ADV_IMP.1 идентифицирует известные уязвимости, которые необходимо рассматривать как "явные" уязвимости в контексте данного ОО.

10.3.3 Спецификация в профиле защиты требований доверия к безопасности, не включенных в ИСО/МЭК 15408-3

Если в ПЗ включается ТДБ, для которого в стандартах серии ИСО/МЭК 15408 нет соответствующего компонента доверия к безопасности, то рассматриваемое ТДБ должно быть определено в стиле компонентов из стандартов серии ИСО/МЭК 15408.