Данная глава содержит рекомендации по формированию в ПЗ/ЗБ требований безопасности ИТ как для ОО, так и для ИТ-среды. Кроме того, в данной главе кратко излагаются вопросы формирования требований безопасности для не-ИТ-среды (требования для не-ИТ-среды не являются обязательными для ПЗ/ЗБ).
В ПЗ/ЗБ формулируются следующие типы требований безопасности ИТ.
а) Функциональные требования безопасности ОО. Функциональные требования безопасности определяют требования для функций безопасности, обеспечивающих достижение целей безопасности для ОО.
б) Требования доверия к безопасности ОО. Требования доверия к безопасности определяют требуемый уровень уверенности в надлежащей реализации ФТБ.
в) Требования безопасности для ИТ-среды. Требования данного типа определяют функциональные требования и требования доверия к безопасности, выполнение которых возлагается на ИТ-среду (то есть, на внешние по отношению к ОО аппаратные, программные или программно-аппаратные средства) с тем, чтобы обеспечить достижение целей безопасности для ОО (см. рисунок 3).
Рисунок 3 - Формирование требований безопасности ИТ
Как следует из рисунка 3, требования безопасности ИТ могут быть сформированы, где это возможно, с использованием каталога функциональных компонентов, определенных в части 2 ОК, и каталога компонентов доверия к безопасности, определенных в части 3 ОК.
Использование каталогов требований, определенных в ОК, позволяет достичь определенного уровня стандартизации в области представления требований безопасности, что значительно облегчает сравнение ПЗ и ЗБ между собой.
Если в частях 2 и 3 ОК отсутствуют соответствующие функциональные компоненты или компоненты доверия к безопасности, требования безопасности ИТ могут быть сформулированы в явном виде. При этом сформулированные в явном виде требования безопасности ИТ должны быть однозначными, подлежать оценке и излагаться в стиле, подобном стилю изложения существующих компонентов ОК.
В пп.10.1.5 и 10.2.3 даны рекомендации по спецификации соответственно ФТБ и ТДБ в тех случаях, когда в частях 2 или 3 ОК нет подходящих компонентов требований для формулирования рассматриваемых ФТБ и ТДБ.
ОК обеспечивают определенную степень гибкости формирования ФТБ и ТДБ на основе компонентов требований, определяя набор разрешенных операций над компонентами. Разрешенными операциями являются следующие: назначение, итерация, выбор и уточнение.
Рекомендации по выполнению операций над функциональными компонентами, определенными в ОК, включены в п.10.1.2; над компонентами доверия к безопасности - в п.10.2.2.
При этом отметим, что в ОК каждому компоненту требований безопасности назначается основанная на определенной классификации уникальная метка. Например, для FAU_GEN.1.2 компонента FAU_GEN.1 метка имеет следующий вид:
а) 'F' указывает на то, что это - функциональное требование;
б) 'AU' указывает на то, что ФТБ принадлежит классу ФТБ "Аудит безопасности";
в) 'GEN' указывает на то, что ФТБ принадлежит семейству "Генерация данных аудита безопасности" класса FAU;
г) '1' указывает на то, что ФТБ принадлежит компоненту "Генерация данных аудита" семейства FAU_GEN;
д) '2' указывает на то, что ФТБ является вторым элементом компонента FAU_GEN.1.
Требования ФТБ и ТДБ выбираются на уровне компонентов: все элементы, входящие в компонент, должны быть включены в ПЗ/ЗБ, если в ПЗ/ЗБ включается данный компонент.
В процессе выбора требований безопасности ИТ необходимо учитывать следующие два типа взаимосвязей между компонентами требований безопасности ИТ:
1. Компоненты одного семейства могут находиться в иерархической связи. Отношение иерархии предполагает, что один компонент включает все элементы требований, определенные в другом компоненте этого семейства. Например, FAU_STG.4 иерархичен по отношению к FAU_STG.3, потому что все функциональные элементы, определенные в FAU_STG.3, также включены в FAU_STG.4. Однако, FAU_STG.4 не иерархичен по отношению к FAU_STG.1, и поэтому может потребоваться включение в разрабатываемый ПЗ/ЗБ обоих этих компонентов.
2. Компоненты могут иметь зависимости от компонентов других семейств. Например, компонент FIA_UAU.1 (связанный с требованием аутентификации пользователей) зависит от компонента FIA_UID.1 (связанный с требованием идентификации пользователей).
При формировании ПЗ/ЗБ все зависимости компонентов требований безопасности ИТ должны быть, как правило, удовлетворены. Это достигается включением в ПЗ/ЗБ всех компонентов, от которых зависят уже включенные в ПЗ/ЗБ компоненты. Зависимости могут не удовлетворяться в тех случаях, когда в ПЗ/ЗБ показано, что зависимости не соответствуют целям безопасности и угрозам.
В дополнение к ФТБ и ТДБ в разделе ПЗ/ЗБ "Требования безопасности ИТ" требуется (где необходимо) определить минимальный уровень стойкости функции безопасности ОО, а также (где необходимо) требования к точному значению стойкости.
10.1 Спецификация функциональных требований безопасности в профиле защиты
10.1.1 Выбор функциональных требований безопасности
Определив цели безопасности, необходимо уточнить, как эти цели безопасности будут достигаться. Для этого осуществляется спецификация ФТБ, например, путем выбора подходящих ФТБ, сгруппированных в компоненты. При этом процесс выбора ФТБ значительно упрощается, если используются предопределенные функциональные пакеты, соответствующие конкретным целям безопасности для ОО (см. главу 15).