Часть 3. Требования доверия к безопасности

Третья частьстандарта содержит систематизированный каталог функциональных требований доверия, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям. Стандарт определяет, что способом достижения доверия является оценка.

В качестве основных методов для проведения оценки используют:

анализ и проверку процессов и процедур;

проверку, что процессы и процедуры действительно применяются;

анализ соответствия между представлениями проекта ОО;

анализ соответствия каждого представления проекта ОО требованиям;

верификацию доказательств;

анализ руководств;

анализ разработанных функциональных тестов и полученных результатов;

независимое функциональное тестирование;

анализ уязвимостей, включающий предположения о недостатках;

тестирование проникновения.

Требования доверия строятся аналогично функциональным требованиям в виде иерархии:класс – семейство – компонент – элемент. Каждому классу присваивается уникальное имя, которое указывает на тематические разделы, на которые распространяется данный класс доверия. Имя начинается с буквы "А", за которой следуют ещё две буквы латинского алфавита, относящиеся к имени класса.

Помимо классов, определяющих требования доверия, ОК также описывают три класса требований по поддержке доверия, оценке профиля защиты и задания по безопасности.

Класс AMA (поддержка доверия) содержит 4 семейства:

план поддержки доверия (AMA_AMP);отчёт о категорировании компонентов ОО (AMA_CAT);свидетельство о поддержке доверия (AMA_EVD);анализ влияния на безопасность (AMA_SIA).

Класс APE (оценка профиля защиты) включает 6 семейств:

профиль защиты, введение ПЗ (APE_INT);профиль защиты, описание ОО (APE_DES);профиль защиты, среда безопасности (APE_ENV);профиль защиты, цели безопасности (APE_OBJ);профиль защиты, требования безопасности ИТ (APE_REQ);профиль защиты, требования безопасности ИТ, сформулированные в явном виде (APE_SRE).

Класс ASE (оценка задания по безопасности) включает 8 семейств:

задание по безопасности, введение ЗБ (ASE_INT);задание по безопасности, описание ОО (ASE_DES);задание по безопасности, среда безопасности (ASE_ENV);задание по безопасности, цели безопасности (ASE_OBJ);задание по безопасности, требования безопасности ИТ (ASE_REQ);задание по безопасности, утверждение о соответствии ПЗ (ASE_PPC);задание по безопасности, краткая спецификация ОО (ASE_TSS);задание по безопасности, требования безопасности ИТ, сформулированные в явном виде (ASE_SRE).

Требования для оценки профиля защиты и задания по безопасности также трактуются как классы доверия, структура которых подобна структуре других классов доверия. Отличие заключается лишь в отсутствии подраздела ранжирования компонентов в описаниях семейств. Причина в том, что каждое семейство имеет только один компонент и, следовательно, ранжирование отсутствует.

Особое внимание в 3-й части ОК уделено используемым оценочным уровням доверия (ОУД). ОУД образуют возрастающую шкалу, которая позволяет соотнести получаемый уровень доверия со стоимостью и возможностью достижения этой степени доверия.

В стандарте определены семь упорядоченных оценочных уровней доверия для ранжирования доверия к ОО. Они иерархически упорядочены, поскольку каждый ОУД представляет более высокое доверие, чем любой из предыдущих ОУД. Увеличение доверия от ОУД1 к ОУД7 достигается заменой какого-либо компонента доверия иерархически более высоким компонентом из того же семейства доверия (т.е. увеличением строгости, области и/или глубины оценки) и добавлением компонентов доверия из других семейств доверия (т.е. добавлением новых требований).

ОУД состоят из определённой комбинации компонентов доверия. Точнее, каждый ОУД включает не больше, чем один компонент каждого семейства доверия, а все зависимости каждого компонента доверия учтены.

Важно обратить внимание, что не все семейства и компоненты доверия и поддержки доверия включены в оценочные уровни доверия. Это не означает, что они не обеспечивают значимое и полезное доверие. Напротив, ожидается, что эти семейства и их компоненты будут рассматриваться для усиления ОУД в тех ПЗ и ЗБ, для которых они полезны.

Хотя в стандарте определены именно ОУД, можно представлять другие комбинации компонентов доверия. Для этого специально введено понятие "усиление" (augmentation), которое предполагает добавление компонентов доверия из семейств доверия, до этого не включённых в некоторый ОУД, или замену компонентов доверия в некотором ОУД другими, иерархически более высокими компонентами доверия из этого же самого семейства доверия. Вводящий усиление обязан строго обосновать полезность и дополнительную ценность добавленного к ОУД компонента доверия. ОУД может быть также расширен требованиями доверия, сформулированными в явном виде.

Таким образом, ОУД могут быть усилены и не могут быть ослаблены. Например, понятие "ОУД за исключением какого-либо составляющего его компонента доверия" не признаётся в стандарте как допустимое утверждение.

Методология и требования ОК не охватывают вопросов организации процессов оценки (сертификации и/или аттестации). Это является предметом ведения государственных органов. В нашей стране в сфере защиты информации деятельность такой системы регулируется ФСТЭК на основе выпускаемых ею руководящих документов.