10.3.1 Выбор требований доверия к безопасности
Выбор требований доверия к безопасности зависит от следующих факторов:
a) ценности активов, подлежащих защите, и риска их компрометации;
b) технической реализуемости;
c) стоимости разработки и оценки;
d) требуемого времени для разработки и оценки ОО;
e) требований рынка (для продуктов ИТ);
f) зависимостей функциональных компонентов и компонентов доверия к безопасности.
Чем выше ценность активов, подлежащих защите, и больше риск компрометации этих активов, тем выше требуется уровень доверия к безопасности для функций безопасности, используемых для защиты рассматриваемых активов, что следует отразить при формировании целей безопасности. Организации могут устанавливать собственные правила определения уровня доверия к безопасности, который требуется для снижения риска для этих активов до приемлемого уровня. Это, в свою очередь, определяет требуемый уровень доверия к безопасности продуктов ИТ, которые предполагается использовать в этой организации.
Другие факторы, такие как "стоимость" и "затраты времени", целесообразно рассматривать как ограничения уровня доверия к безопасности, который является практически достижимым. Техническая реализуемость рассматривается в случае, если считается практически нецелесообразной подготовка свидетельства, требуемого конкретными компонентами доверия к безопасности, что актуально также для наследуемых систем (в случаях, если конструкторская документация недоступна), а также если в идеальном случае требуется высокий уровень доверия к безопасности, но технически невозможно за приемлемое время подготовить требуемое формальное либо полуформальное свидетельство. В случаях, если имеются ограничения для практически достижимого уровня доверия к безопасности, целесообразно согласиться с тем, что максимально достижимый уровень доверия к безопасности меньше, чем теоретически возможный. Такое принятие риска должно быть отражено и при изложении целей безопасности.
Изложение целей безопасности может также указывать на то, какие конкретные требования доверия к безопасности должны быть включены в набор ТДБ, например:
a) цели безопасности для ОО могут устанавливать, что ОО должен быть стойким к нарушителям с высоким потенциалом нападения;
b) цели безопасности могут требовать анализа скрытых каналов, что однозначно определяет включение в ПЗ и ЗБ компонента из семейства AVA_CCA "Анализ скрытых каналов", требующего проведения анализа скрытых каналов;
c) при формулировке целей безопасности может быть отмечено, что безопасность ОО серьезно зависит от безопасности среды разработки. В этом случае настоятельно рекомендуется включить в набор ТДБ компонент из семейства ALC_DVS "Безопасность разработки", содержащий требование анализа безопасности среды разработки.
Выбор ТДБ относительно несложен, если требуется просто выбрать подходящий пакет доверия к безопасности (см. раздел 15), например, ОУД, определенный в стандартах серии ИСО/МЭК 15408. Для того, чтобы выбрать подходящий с точки зрения сформулированных целей безопасности пакет доверия к безопасности, необходимо изучить его описание (например, при выборе ОУД см. раздел 6 ИСО/МЭК 15408-3).
Возможны случаи, когда пакет доверия к безопасности соответствует требуемому уровню доверия, но в нем отсутствуют требования, связанные с некоторыми целями безопасности. В этих случаях целесообразно включать в ТДБ дополнительные (по отношению к пакету) требования доверия к безопасности для того, чтобы учесть все цели безопасности.
Если в ПЗ включены расширенные требования доверия к безопасности, то необходимо удовлетворить все зависимости компонентов доверия к безопасности, содержащих эти дополнительные требования. Например, если в ПЗ пакет ОУД3 расширен путем использования компонента AVA_VLA.2 "Независимый анализ уязвимостей", то в ПЗ также необходимо включить компоненты ADV_LLD.1 "Описательный проект нижнего уровня" и ADV_IMP.1 "Подмножество реализации ФБО".
10.3.2 Выполнение операций над требованиями доверия к безопасности
В отличие от функциональных компонентов, к компонентам доверия к безопасности неприменимы операции "назначение" и "выбор". Однако возможны следующие операции:
a) "итерация", допускающая многократное использование одного и того же компонента доверия к безопасности;
b) "уточнение", позволяющее добавить детали к требованию доверия к безопасности.
На практике выполнение операции "итерация" может потребоваться в тех случаях, когда требуются разные "уточнения" для того же компонента доверия к безопасности, который используется для разных частей ОО, либо, если в ПЗ и ЗБ определены различные наборы ТДБ для разных компонентов составного ОО (см. 14.2.4). В последнем случае итерация требуется для компонентов доверия к безопасности (уточненных или нет), которые используются для более чем одного компонента составного ОО. Применение операции "уточнение" к ТДБ может быть выполнены:
a) предписания разработчику использовать конкретные инструментальные средства разработки, методики, модели жизненного цикла, методы анализа, системы обозначений, определенные стандарты и т.д.;
b) предписания действий оценщика, например:
1) компонент ADV_IMP.1 определяет, какие части представления реализации ОО должны быть оценены,
2) компонент ADV_IMP.1 идентифицирует известные уязвимости, которые необходимо рассматривать как "явные" уязвимости в контексте данного ОО.
10.3.3 Спецификация в профиле защиты требований доверия к безопасности, не включенных в ИСО/МЭК 15408-3
Если в ПЗ включается ТДБ, для которого в стандартах серии ИСО/МЭК 15408 нет соответствующего компонента доверия к безопасности, то рассматриваемое ТДБ должно быть определено в стиле компонентов из стандартов серии ИСО/МЭК 15408.