Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     10.3 Архитектура безопасности (ADV_ARC)

10.3.1 Подвид деятельности по оценке (ADV_ARC.1)

10.3.1.1 Цели

Цель этого подвида деятельности состоит в том, чтобы сделать заключение о том, структурированы ли ФБО таким образом, что в них нельзя вмешаться или их обойти, и изолируют ли ФБО, предоставляющие домены безопасности, эти домены друг от друга.

10.3.1.2 Исходные данные

Свидетельством оценки для этого подвида деятельности являются:

a) ЗБ;

b) функциональная спецификация;

c) проект ОО;

d) описание архитектуры безопасности;

e) представление реализации (при наличии);

f) руководство пользователя по эксплуатации.

10.3.1.3 Замечания по применению

Понятия обеспечения собственной защиты, разделения доменов и невозможности обхода функциональных возможностей безопасности отличаются от функций безопасности, выраженных в ФТБ второй части стандарта ИСО/МЭК 15408, потому что в большинстве случаев ФБО не предоставляют непосредственно видимый интерфейс для обеспечения собственной защиты и невозможности обхода функциональных возможностей безопасности. Скорее, они являются свойствами ФБО, которые достигаются посредством проекта ОО и осуществляются правильной реализацией этого проекта. Кроме того, оценка этих свойств проводится менее целенаправленно, чем оценка механизмов; труднее проверить отсутствие функциональных возможностей, чем их наличие. Однако заключение о том, что эти свойства удовлетворены, так же критически важно, как и вынесение заключения о том, что механизмы реализованы правильно.

Общий подход состоит в том, что разработчик предоставляет ФБО, которые соответствуют вышеупомянутым свойствам, и документальные свидетельства, которые могут быть проанализированы, чтобы показать, что свойства действительно реализованы. Оценщик несет ответственность за просмотр свидетельств и вынесение на основе этих и других полученных для ОО свидетельств заключения о том, что свойства реализованы. Шаги оценивания могут быть охарактеризованы как те, которые детализируют вопросы того, какая информация должна быть предоставлена, и те, которые относятся к фактическому анализу, выполняемому оценщиком.

В "Описании архитектуры безопасности" представлена информация о том, как определены домены и каким образом ФБО обеспечивают их разделение. Представлено и описание механизмов, которые препятствуют изменению ФБО недоверяемыми процессами, а также тех, которые обеспечивают адекватную защиту ресурсов под контролем ФБО и выполнения ФБО роли промежуточного звена при осуществлении всех действий, связанных с ФТБ. Также объясняется роль среды функционирования в каком-либо из этих процессов (например, если предполагается, что среда функционирования правильно вызывается базовой средой, то каким образом приводятся в действие функции безопасности). По сути, в "Описании архитектуры безопасности" приводится объяснение того, каким образом предполагается, что ОО предоставляет тот или иной сервис безопасности.

Исследования, которые выполняет оценщик, должны быть выполнены на основании всех предоставленных по ОО свидетельств разработки, с учетом уровня детализации представленных свидетельств. На более низких уровнях доверия не следует ожидать, что, например проведен полный анализ собственной защиты ФБО, потому что оценщику будут доступны только представления проекта верхнего уровня. Оценщику следует быть уверенным в том, что он при выполнении оценки свойств, исследуемых на последующих шагах оценки, использует информацию, собранную при проведении других частей анализа (например, при анализе проекта ОО).

10.3.1.4 Действие ADV_ARC.1.1E

ИСО/МЭК 15408-3 ADV_ARC.1.1C: Уровень детализации "Описания архитектуры безопасности" должен соответствовать представленному в проектной документации по ОО описанию абстракций (элементов представления ОО), осуществляющих выполнение ФТБ.

10.3.1.4.1 Шаг оценивания ADV_ARC.1-1

Оценщик должен исследовать "Описание архитектуры безопасности", чтобы сделать заключение о том, что информация, предоставленная в свидетельствах, представлена на уровне детализации, соразмерном с описаниями осуществляющих выполнение ФТБ обобщений, содержащихся в функциональной спецификации и в документированном проекте ОО.

Относительно функциональной спецификации оценщику следует удостовериться, что описанные в ней функции собственной защиты охватывают те эффекты, которые явно представлены в ИФБО. Такое описание может включать защиту исполняемых образов ФБО и защиту объектов (например, файлов, используемых ФБО). Оценщик удостоверяется также в том, что функции, которые можно вызвать через ИФБО, описаны.

Если в оценку включается Подвид деятельности по оценке (ADV_TDS.1) или Подвид деятельности по оценке (ADV_TDS.2), оценщик удостоверяется в том, что "Описание архитектуры безопасности" содержит информацию о том, как функционируют подсистемы, которые способствуют разделению доменов ФБО.

Если в оценку включается Подвид деятельности по оценке (ADV_TDS.3) или выше, оценщик удостоверяется в том, что "Описание архитектуры безопасности" также содержит информацию, зависящую от реализации. Например, такое описание может содержать информацию, имеющую отношение к стандартам оформления кода для проверки параметра, предотвращающего компрометацию ФБО (например, переполнение буфера), а также информацию об управлении стеком для операций вызова и возврата. Оценщик проверяет описания механизмов, чтобы удостовериться, что уровень детализации таков, что не допускает возникновения двусмысленности между описаниями механизмов в "Описании архитектуры безопасности" и в представлении реализации.

По действию оценщика, связанному с этим шагом оценивания, выносится отрицательный вердикт, если в "Описании архитектуры безопасности" упоминается какой-либо модуль, подсистема или интерфейс, которые не описаны в функциональной спецификации или "Проекте ОО".

ИСО/МЭК 15408-3 ADV_ARC.1.2C: В "Описании архитектуры безопасности" должно быть включено описание доменов безопасности, обеспеченных согласованностью ФБО с ФТБ.

10.3.1.4.2 Шаг оценивания ADV_ARC.1-2

Оценщик должен исследовать "Описание архитектуры безопасности", чтобы сделать заключение о том, что в ней описаны домены безопасности, обеспеченные ФБО.

Домены безопасности относятся к средам, предоставляемым ФБО для использования потенциально опасными сущностями: например, типовая операционная система в защищенном исполнении поставляет набор ресурсов (адресное пространство, переменные окружения процесса) для использования процессами с ограниченными правами доступа и свойствами безопасности. Оценщик делает заключение о том, что описание разработчиком доменов безопасности учитывает все ФТБ, заявленные для ОО.