Gostehkomissiя Rossii, 2003 god


1. Oblastь primeneniя

Nastoящiй dokument (dalee – Rukovodstvo) predstavlяet soboй rukovodstvo po razrabotke profileй zaщitы i zadaniй po bezopasnosti produktov i sistem (izdeliй) IT v sootvetstvii s Rukovodящim dokumentom Gostehkomissii Rossii «Kriterii ocenki bezopasnosti informacionnыh tehnologiй», dalee po tekstu – OK.

Rukovodstvo prednaznačeno dlя razrabotčikov i ocenщikov PZ i ZB, a takže možet predstavlяtь interes dlя polьzovateleй PZ i ZB, pozvolяя im ponяtь, čem rukovodstvovalisь avtorы PZ i/ili ZB pri ih razrabotke, i na kakie časti PZ i/ili ZB sleduet obratitь osoboe vnimanie.

2. Normativnыe ssыlki

Rukovodящiй dokument – Bezopasnostь informacionnыh tehnologiй – Kriterii ocenki bezopasnosti informacionnыh tehnologiй – Častь 1: Vvedenie i obщaя modelь, Gostehkomissiя Rossii, 2002.

Rukovodящiй dokument – Bezopasnostь informacionnыh tehnologiй – Kriterii ocenki bezopasnosti informacionnыh tehnologiй – Častь 2: Funkcionalьnыe trebovaniя bezopasnosti, Gostehkomissiя Rossii, 2002.

Rukovodящiй dokument – Bezopasnostь informacionnыh tehnologiй – Kriterii ocenki bezopasnosti informacionnыh tehnologiй – Častь 3: Trebovaniя doveriя k bezopasnosti, Gostehkomissiя Rossii, 2002.

3. Terminы i opredeleniя

3.1 Aktivы: Informaciя ili resursы, podležaщie zaщite s primeneniem izdeliя IT

3.2 Doverie: Osnovanie dlя uverennosti v tom, čto izdelie IT otvečaet svoim celяm bezopasnosti

3.3 Zadanie po bezopasnosti: Sovokupnostь trebovaniй bezopasnosti i specifikaciй, prednaznačennaя dlя ispolьzovaniя v kačestve osnovы dlя ocenki bezopasnosti konkretnogo izdeliя IT

3.4 Izdelie IT: Obobщennый termin dlя produktov i sistem IT

3.5 Informacionnaя tehnologiя: Priemы, sposobы i metodы primeneniя tehničeskih i programmnыh sredstv pri vыpolnenii funkciй obrabotki informacii

3.6 Obъekt ocenki: Podležaщie ocenke produkt ili sistema IT s rukovodstvami administratora i polьzovatelя (dannый termin ispolьzuetsя v PZ/ZB dlя oboznačeniя sootvetstvuющego izdeliя IT)

3.7 Paket doveriя: Prednaznačennaя dlя mnogokratnogo ispolьzovaniя sovokupnostь komponentov doveriя dlя udovletvoreniя sovokupnosti opredelennыh celeй bezopasnosti. Primerom PD яvlяetsя ocenočnый urovenь doveriя

3.8 Politika bezopasnosti organizacii: Sovokupnostь rukovodящih principov, pravil, procedur i praktičeskih priemov v oblasti bezopasnosti, kotorыmi rukovodstvuetsя organizaciя v svoeй deяtelьnosti

3.9 Predpoloženiя: Usloviя, kotorыe dolžnы bыtь obespečenы v srede, čtobы izdelie IT moglo rassmatrivatьsя kak bezopasnoe.Usloviя, kotorыe dolžnы bыtь obespečenы v srede, pri kotorыh možet rassmatrivatьsя kak bezopasnoe.

3.10 Produkt IT: Sovokupnostь programmnыh, programmno-apparatnыh i/ili apparatnыh sredstv IT, predostavlяющaя opredelennыe funkcionalьnыe vozmožnosti i prednaznačennaя dlя neposredstvennogo ispolьzovaniя ili vklюčeniя v različnыe sistemы IT

3.11 Profilь zaщitы (protection profile): Nezavisimaя ot realizacii sovokupnostь trebovaniй bezopasnosti dlя nekotoroй kategorii izdeliй IT, otvečaющaя specifičeskim zaprosam potrebitelя

3.12 Sistema IT: Specifičeskoe voploщenie izdeliя IT s konkretnыm naznačeniem i usloviяmi эkspluatacii

3.13 Sreda bezopasnosti: Oblastь sredы, v predelah kotoroй predusmatrivaetsя obespečenie neobhodimыh usloviй dlя podderžaniя trebuemogo režima bezopasnosti izdeliя IT

3.14 Ugroza: Sovokupnostь usloviй i faktorov, opredelяющih potencialьnuю ili realьno suщestvuющuю opasnostь vozniknoveniя incidenta, kotorый možet privesti k naneseniю uщerba izdeliю IT ili ego vladelьcu

3.15 Funkcionalьnый paket: Prednaznačennaя dlя mnogokratnogo ispolьzovaniя sovokupnostь funkcionalьnыh komponentov, obъedinennыh dlя udovletvoreniя sovokupnosti opredelennыh celeй bezopasnosti

3.16 Funkciя bezopasnosti: Funkcionalьnыe vozmožnosti časti ili časteй izdeliя IT, obespečivaющie vыpolnenie podmnožestva vzaimosvяzannыh trebovaniй bezopasnosti

3.17 Celь bezopasnosti: Sformulirovannoe namerenie protivostoяtь ustanovlennыm ugrozam i/ili udovletvorяtь ustanovlennoй politike bezopasnosti organizacii i predpoloženiяm

4. Sokraщeniя

ZB – zadanie po bezopasnosti

IT – informacionnaя tehnologiя

IFBO – interfeйs FBO

ODF – oblastь deйstviя FBO

OK – Obщie kriterii

OO – obъekt ocenki

OUD – ocenočnый urovenь doveriя

PBO – politika bezopasnosti OO

PZ – profilь zaщitы

PFB – politika funkcii bezopasnosti

SFB – stoйkostь funkcii bezopasnosti

FB – funkciя bezopasnosti

FBO – funkcii bezopasnosti OO

PBOr – politika bezopasnosti organizacii;

SUBD – sistema upravleniя bazami dannыh;

TDB – trebovanie doveriя k bezopasnosti;

FTB – funkcionalьnoe trebovanie bezopasnosti.

5. Obщie položeniя

5.1 Vvedenie v profili zaщitы i zadaniя po bezopasnosti

Prednaznačenie PZ sostoit v tom, čtobы izložitь problemu bezopasnosti dlя opredelennoй sovokupnosti sistem ili produktov (izdeliй) IT, nazыvaemыh dalee obъektami ocenki (OO), i sformulirovatь trebovaniя bezopasnosti dlя rešeniя dannoй problemы. Pri эtom PZ ne reglamentiruet to, kakim obrazom dannыe trebovaniя budut vыpolnenы, obespečivaя, takim obrazom, nezavisimoe ot realizacii opisanie trebovaniй bezopasnosti.

Profilь zaщitы vklюčaet vzaimosvяzannuю informaciю, imeющuю otnošenie k bezopasnosti IT, v tom čisle:

- formulirovku potrebnosti v bezopasnosti, sootvetstvuющuю probleme bezopasnosti i vыražennuю v terminah, orientirovannыh na polьzovateleй izdeliй IT;

- opisanie sredы OO, utočnяющee formulirovku potrebnosti v bezopasnosti s učetom poroždaemыh sredoй ugroz, kotorыm nužno protivostoяtь, politiki bezopasnosti, kotoraя dolžna vыpolnяtьsя, i sdelannыh predpoloženiй;

- celi bezopasnosti OO, osnovannыe na opisanii sredы bezopasnosti i predostavlяющie informaciю otnositelьno togo, kak i v kakoй mere dolžnы bыtь udovletvorenы potrebnosti v bezopasnosti. Prednaznačenie celeй bezopasnosti zaklюčaetsя v tom, čtobы snizitь risk i obespečitь podderžanie politiki bezopasnosti organizacii, v interesah kotoroй vedetsя razrabotka PZ;

- funkcionalьnыe trebovaniя bezopasnosti i trebovaniя doveriя k bezopasnosti, kotorыe napravlenы na rešenie problemы bezopasnosti v sootvetstvii s opisaniem sredы bezopasnosti OO i celяmi bezopasnosti dlя OO i IT-sredы. Funkcionalьnыe trebovaniя bezopasnosti vыražaюt to, čto dolžno vыpolnяtьsя OO i IT-sredoй dlя udovletvoreniя celeй bezopasnosti. Trebovaniя doveriя k bezopasnosti opredelяюt stepenь uverennosti v pravilьnosti realizacii funkciй bezopasnosti OO;

- obosnovanie, pokazыvaющee, čto funkcionalьnыe trebovaniя i trebovaniя doveriя k bezopasnosti яvlяюtsя nadležaщimi dlя udovletvoreniя sformulirovannoй potrebnosti v bezopasnosti. Posredstvom celeй bezopasnosti dolžno bыtь pokazano, čto neobhodimo sdelatь v plane rešeniя problem bezopasnosti, imeющihsя v opisanii sredы bezopasnosti OO. Funkcionalьnыe trebovaniя bezopasnosti i trebovaniя doveriя k bezopasnosti dolžnы udovletvorяtь celяm bezopasnosti.

Zadanie po bezopasnosti vo mnogom pohože na PZ, no soderžit dopolnitelьnuю informaciю, orientirovannuю na konkretnuю realizaciю izdeliя IT i razъяsnяющuю, kakim obrazom trebovaniя PZ realizuюtsя v konkretnom produkte ili sisteme. ZB soderžit sleduющuю dopolnitelьnuю informaciю, otsutstvuющuю v PZ:

- kratkuю specifikaciю OO, kotoraя predstavlяet funkcii bezopasnosti i merы doveriя k bezopasnosti dlя konkretnogo OO;

- dopolnitelьnый razdel, kotorый vklюčaetsя v ZB v teh slučaяh, kogda utverždaetsя o sootvetstvii ZB odnomu ili bolee PZ;

- dopolnitelьnыe svidetelьstva v razdele «Obosnovanie», ustanavlivaющie, čto kratkaя specifikaciя OO obespečivaet udovletvorenie trebovaniй bezopasnosti, a lюbыe utverždeniя o sootvetstviя PZ deйstvitelьnы.

Ispolьzovanie PZ i ZB. Profilь zaщitы možet ispolьzovatьsя dlя opredeleniя tipovogo nabora trebovaniй bezopasnosti, kotorыm dolžnы udovletvorяtь odin ili bolee produktov ili kotorыm dolžnы udovletvorяtь sistemы IT, prednaznačennыe dlя ispolьzovaniя v opredelennыh celяh. Profilь zaщitы možet primenяtьsя k opredelennomu vidu produktov (naprimer, operacionnыm sistemam, sistemam upravleniя bazami dannыh, smart-kartam, mežsetevыm эkranam i t.d.) ili k sovokupnosti produktov, obrazuющih sistemu (naprimer, k infrastrukture otkrыtыh klюčeй, virtualьnыm častnыm setяm). Razrabotčiki izdeliй IT v sootvetstvii s potrebnostяmi bezopasnosti, sformulirovannыmi v PZ, mogut razrabotatь ZB, kotoroe budet demonstrirovatь to, kak ih izdelie IT udovletvorяet potrebnostяm bezopasnosti. Tem ne menee, sootvetstvie zadaniя po bezopasnosti profilю zaщitы ne яvlяetsя obяzatelьnыm; naprimer, v ZB mogut bыtь opredelenы funkcii bezopasnosti, zaяvlяemыe razrabotčikom produkta IT i predstavlяющie soboй osnovu dlя ocenki produkta IT.

Takže v PZ mogut bыtь opredelenы trebovaniя bezopasnosti dlя konkretnoй sistemы IT. V эtom slučae ZB razrabatыvaetsя na osnove PZ. Takim obrazom, PZ i ZB mogut ispolьzovatьsя kak sredstva vzaimodeйstviя meždu organizacieй, osuщestvlяющeй rukovodstvo razrabotkoй sistemы, organizacieй, zainteresovannoй v эtoй sisteme, i organizacieй, otvetstvennoй za sozdanie sistemы (dalee – razrabotčik). Soderžanie PZ i ZB možet bыtь soglasovano dannыmi storonami. Ocenka konkretnoй sistemы IT na sootvetstvie ZB, kotoroe v svoю očeredь sootvetstvuet PZ, možet яvlяtьsя častью processa priemki sistemы IT.

5.2 Kratkiй obzor rukovodstva

Rassmatrivaemый dokument predstavlяet soboй detalьnoe rukovodstvo po razrabotke različnыh časteй PZ ili ZB i daet isčerpыvaющee predstavlenie ob ih vzaimosvяzi. Naibolee važnыe aspektы Rukovodstva predstavlenы v Priloženii 1 v vide pamяtki (ili rezюme), čto v značitelьnoй stepeni oblegčaet znakomstvo i rabotu s dokumentom.

V ostalьnыh priloženiяh privodяtsя primerы, illюstriruющie primenenie Rukovodstva.

Glava 5 posvящena celяm i napravlennosti Rukovodstva.

Glava 6 soderžit kratkiй obzor PZ i ZB, kotorый vklюčaet primernыe oglavleniя i otobražaet predpolagaemoe soderžanie, a takže potencialьnыh polьzovateleй različnыh časteй PZ ili ZB. V эtoй glave takže kommentiruetsя sootnošenie meždu PZ i ZB i problemы, svяzannыe s processom ih razrabotki.

V glave 7 bolee gluboko rassmatrivaюtsя opisatelьnыe časti PZ i ZB, vklюčaя vvedenie PZ i ZB, opisanie obъekta ocenki (v bolьšeй stepeni orientirovannыe na polьzovateleй), a takže zamečaniя po primeneniю PZ (v bolьšeй stepeni orientirovannыe na avtorov ZB i razrabotčikov OO).

Sleduющie pяtь glav priderživaюtsя toй strukturы PZ i ZB, kotoraя ustanovlena v OK.

Glava 8 predstavlяet soboй rukovodstvo po opredeleniю sredы bezopasnosti OO v PZ i ZB v vide ishodnыh «potrebnosteй v bezopasnosti» OO.

Glava 9 predstavlяet soboй rukovodstvo po opredeleniю i specifikacii celeй bezopasnosti v PZ ili ZB v sootvetstvii so sformulirovannыmi ranee ishodnыmi «potrebnostяmi v bezopasnosti». Obe эti glavы predstavlяюt interes ne tolьko dlя avtorov PZ i ZB, no takže i dlя drugih lic – polьzovateleй PZ i ZB.

Glava 10 predstavlяet soboй rukovodstvo po vыboru i specifikacii trebovaniй bezopasnosti informacionnыh tehnologiй v PZ. V эtoй glave dostatočno podrobno opisыvaetsя ispolьzovanie funkcionalьnыh komponentov i komponentov doveriя k bezopasnosti v sootvetstvii s OK, a takže komponentov, ne predusmotrennыh OK, dlя obespečeniя bolee točnogo opredeleniя trebovaniй bezopasnosti IT.

Glava 11 predstavlяet soboй rukovodstvo po razrabotke ZB v časti specifikacii trebovaniй bezopasnosti IT (otličaющeйsя ot PZ) i kratkoй specifikacii OO. Takim obrazom, glavы 10 i 11 budut glavnыm obrazom interesnы avtoram i ocenщikam PZ/ZB.

Glavы 12 i 13 predstavlяюt soboй rukovodstvo po sostavleniю i predstavleniю razdelov «Obosnovanie» v PZ i ZB. V glave 12 opisыvaetsя formirovanie razdela PZ «Obosnovanie», a v glave 13 rassmatrivaюtsя te aspektы razdela «Obosnovanie» v ZB, kotorыe otličaюtsя ot razdela «Obosnovanie» v PZ.

Эti materialы takže budut v pervuю očeredь interesnы avtoram PZ i/ili ZB i ih ocenщikam.

V glave 14 rassmatrivaюtsя problemы razrabotki PZ i ZB dlя složnыh OO, to estь OO, kotorыe sostoяt iz dvuh ili bolee OO-komponentov, dlя každogo iz kotorыh imeюtsя sobstvennыe PZ i/ili ZB.

Glava 15 predstavlяet soboй rukovodstvo po formirovaniю funkcionalьnыh paketov i paketov doveriя k bezopasnosti, pričem takim obrazom, čtobы ih možno bыlo mnogokratno ispolьzovatь pri razrabotke različnыh PZ i ZB. Paket pri эtom rassmatrivaetsя kak potencialьno poleznый instrument, prednaznačennый dlя oblegčeniя processa razrabotki PZ i/ili ZB.

Kak upominalosь vыše, Priloženie 1 rezюmiruet rukovodstvo v vide pamяtki.

Priloženie 2 predstavlяet primerы ugroz, politiki bezopasnosti organizacii, predpoloženiй i celeй bezopasnosti, a takže ustanavlivaet sootvetstvie meždu obщimi funkcionalьnыmi trebovaniяmi i sootvetstvuющimi funkcionalьnыmi komponentami iz časti 2 OK. Predpolagaetsя, čto эti primerы dostatočno širokomasštabnы, no nikoim obrazom ne isčerpыvaющi.

V Priloženiяh 2 i 3 illюstriruюtsя vozmožnosti primeneniя Rukovodstva pri razrabotke PZ i ZB dlя različnыh tipov OO. Tak, v Priloženii 2 rassmotrena vozmožnostь ispolьzovaniя Rukovodstva pri razrabotke PZ i/ili ZB dlя mežsetevыh эkranov, v Priloženii 3 – dlя SUBD, v kotorom podčerkivaetsя osobaя važnostь rešeniя voprosov, svяzannыh so IT-sredoй.

6. Kratkiй obzor profileй zaщitы i zadaniй bezopasnosti

V dannoй glave privoditsя kratkiй obzor i soderžanie PZ i ZB. Rassmatrivaюtsя vzaimosvяzi meždu PZ i ZB i process ih razrabotki (sm. takže Priloženiя B i V časti 1 OK).

6.1 Profilь zaщitы

Trebuemoe soderžanie PZ privedeno v Priloženii B časti 1 OK. Primer oglavleniя PZ predstavlen v tablice 1.

Tablica 1

Primer oglavleniя profilя zaщitы

1. Vvedenie PZ
       1.1. Identifikaciя PZ
       1.2. Annotaciя PZ
2. Opisanie OO
3. Sreda bezopasnosti OO
       3.1. Predpoloženiя bezopasnosti
       3.2. Ugrozы
       3.3. Politika bezopasnosti organizacii
4. Celi bezopasnosti
       4.1. Celi bezopasnosti dlя OO
       4.2. Celi bezopasnosti dlя sredы
5. Trebovaniя bezopasnosti IT
       5.1. Funkcionalьnыe trebovaniя bezopasnosti OO
       5.2. Trebovaniя doveriя k bezopasnosti OO
       5.3. Trebovaniя bezopasnosti dlя IT-sredы
6. Zamečaniя po primeneniю
7. Obosnovanie
       7.1. Logičeskoe obosnovanie celeй bezopasnosti
       7.2. Logičeskoe obosnovanie trebovaniй bezopasnosti


V razdele «Vvedenie PZ» identificiruetsя PZ i daetsя ego annotaciя v forme, naibolee podhodящeй dlя vklюčeniя v katalogi i reestrы PZ. Dannый razdel PZ bolee podrobno rassmatrivaetsя v glave 7 nastoящego Rukovodstva.

V razdel «Opisanie OO» vklюčaetsя soprovoditelьnaя informaciя ob OO (ili tipe OO), prednaznačennaя dlя poяsneniя ego naznačeniя i trebovaniй bezopasnosti.

V razdel PZ «Sreda bezopasnosti OO» vklюčaetsя opisanie aspektov sredы bezopasnosti OO, kotorыe dolžnы učitыvatьsя dlя obъekta ocenki, v častnosti – detalьnoe opisanie predpoloženiй bezopasnosti, opredelяющih granicы sredы bezopasnosti, ugroz aktivam, trebuющim zaщitы (vklюčaя opisanie эtih aktivov), i politiki bezopasnosti organizacii (PBOr), kotoroй dolžen udovletvorяtь OO. Эtot razdel PZ bolee podrobno rassmotren v glave 8 nastoящego Rukovodstva.

V razdel PZ «Celi bezopasnosti» vklюčaetsя kratkoe izloženie predpolagaemoй reakcii na aspektы sredы bezopasnosti, kak s točki zreniя celeй bezopasnosti, kotorыe dolžnы bыtь udovletvorenы OO, tak i s točki zreniя celeй bezopasnosti, kotorыe dolžnы bыtь udovletvorenы IT- i ne-IT-merami v predelah sredы OO. Dannый razdel PZ bolee podrobno rassmotren v glave 9 nastoящego rukovodstva.

V razdel PZ «Trebovaniя bezopasnosti IT» vklюčaюtsя funkcionalьnыe trebovaniя bezopasnosti OO, trebovaniя doveriя k bezopasnosti, a takže trebovaniя bezopasnosti programmnogo, programmno-apparatnogo i apparatnogo obespečeniя IT-sredы OO. Trebovaniя bezopasnosti IT dolžnы bыtь opredelenы putem ispolьzovaniя, gde vozmožno, funkcionalьnыh komponentov i komponentov doveriя k bezopasnosti iz časteй 2 i 3 OK. Razdel PZ «Trebovaniя bezopasnosti IT» bolee podrobno rassmotren v glave 10 nastoящego Rukovodstva.

V razdel PZ «Zamečaniя po primeneniю PZ» možet vklюčatьsя lюbaя dopolnitelьnaя informaciя, kotoruю razrabotčik PZ sčitaet poleznoй. Otmetim, čto zamečaniя po primeneniю mogut bыtь raspredelenы po sootvetstvuющim razdelam PZ. Razdel PZ «Zamečaniя po primeneniю» bolee podrobno rassmotren v glave 7 nastoящego rukovodstva.

V razdele PZ «Obosnovanie» demonstriruetsя, čto PZ specificiruet polnuю i vzaimosvяzannuю sovokupnostь trebovaniй bezopasnosti IT i čto sootvetstvuющiй OO učitыvaet identificirovannыe aspektы sredы bezopasnosti. Razdel PZ «Obosnovanie» bolee podrobno rassmotren v glave 12 nastoящego Rukovodstva.

Suщestvuet takže celый rяd neobяzatelьnыh razdelov i podrazdelov, kotorыe mogut vklюčatьsя v PZ. Vozmožnы raznыe urovni detalizacii nekotorыh podrazdelov. Razdel «Obosnovanie» možet bыtь oformlen v vide otdelьnogo dokumenta. Praktičeski, dopolnitelьnыe razdelы mogut bыtь neobhodimы dlя predostavleniя poleznoй informacii, naprimer:

a) razdel «Vvedenie PZ» možet vklюčatь podrazdel, opisыvaющiй organizaciю PZ, a takže soderžatь ssыlki na drugie PZ i drugie dokumentы;

b) razdel «Sreda bezopasnosti OO» možet vklюčatь otdelьnыe podrazdelы dlя različnыh domenov v IT-srede dlя OO;

v) razdel «Trebovaniя bezopasnosti IT» možet bыtь rasširen za sčet vklюčeniя, gde neobhodimo, trebovaniй bezopasnosti dlя ne-IT-sredы.

V slučae esli podrazdel ne ispolьzuetsя (naprimer, politika bezopasnosti organizacii, trebovaniя bezopasnosti IT dlя sredы OO), neobhodimo vklюčitь v PZ sootvetstvuющee poяsnenie.

6.2 Zadanie po bezopasnosti

Trebuemoe soderžanie ZB dano v Priloženii V časti 1 OK. Primer oglavleniя ZB predstavlen v tablice 2.

V razdele «Vvedenie ZB» identificiruetsя ZB i OO (vklюčaя nomer versii) i daetsя annotaciя ZB v forme, naibolee podhodящeй dlя vklюčeniя v spisok ocenennыh (sertificirovannыh) produktov IT. Razdel «Vvedenie ZB» bolee podrobno rassmotren v glave 7 nastoящego Rukovodstva.

V razdel ZB «Opisanie OO» vklюčaetsя soprovoditelьnaя informaciя ob OO, prednaznačennaя dlя poяsneniя ego naznačeniя i trebovaniй bezopasnosti. Razdel ZB «Opisanie OO» dolžen takže vklюčatь opisanie konfiguracii, v kotoroй OO podležit ocenke. Razdel ZB «Opisanie OO» bolee podrobno rassmotren v glave 7 nastoящego Rukovodstva.

V razdel ZB «Sreda bezopasnosti OO» vklюčaetsя opisanie aspektov sredы bezopasnosti OO, kotorыe dolžnы učitыvatьsя obъektom ocenki, v častnosti, predpoloženiй bezopasnosti, opredelяющih granicы sredы bezopasnosti, ugroz aktivam, trebuющim zaщitы (vklюčaя opisanie эtih aktivov), PBOr, kotoroй dolžen udovletvorяtь OO. Razdel ZB «Sreda bezopasnosti OO» bolee podrobno rassmotren v glave 8 nastoящego Rukovodstva.

Tablica 2

Primer oglavleniя zadaniя po bezopasnosti

1. Vvedenie ZB
       1.1. Identifikaciя ZB
       1.2. Annotaciя ZB
2. Opisanie OO
3. Sreda bezopasnosti OO
       3.1. Predpoloženiя bezopasnosti
       3.2. Ugrozы
       3.3. Politika bezopasnosti organizacii
4. Celi bezopasnosti
       4.1. Celi bezopasnosti dlя OO
       4.2. Celi bezopasnosti dlя sredы OO
5. Trebovaniя bezopasnosti IT
       5.1. Funkcionalьnыe trebovaniя bezopasnosti OO
       5.2. Trebovaniя doveriя k bezopasnosti OO
       5.3. Trebovaniя bezopasnosti dlя IT-sredы
6. Kratkaя specifikaciя OO
       6.1. Funkcii bezopasnosti OO
       6.2. Merы obespečeniя doveriя k bezopasnosti
7. Utverždeniя o sootvetstvii PZ
       7.1. Ssыlka na PZ
       7.2. Utočnenie PZ
       7.3. Dopolnenie PZ
8. Obosnovanie
       8.1. Logičeskoe obosnovanie celeй bezopasnosti
       8.2. Logičeskoe obosnovanie trebovaniй bezopasnosti
       8.3. Logičeskoe obosnovanie kratkoй specifikacii OO
       8.4. Logičeskoe obosnovanie utverždeniй o sootvetstvii PZ


V razdel ZB «Celi bezopasnosti» vklюčaetsя kratkoe izloženie predpolagaemoй reakcii na aspektы sredы bezopasnosti, kak s točki zreniя celeй bezopasnosti, kotorыe dolžnы bыtь udovletvorenы OO, tak i s točki zreniя celeй bezopasnosti, kotorыe dolžnы bыtь udovletvorenы IT- i ne-IT-merami v predelah sredы OO. Dannый razdel ZB bolee podrobno rassmotren v glave 9 nastoящego Rukovodstva.

V razdel ZB «Trebovaniя bezopasnosti IT» vklюčaюtsя funkcionalьnыe trebovaniя bezopasnosti OO, trebovaniя doveriя k bezopasnosti, a takže trebovaniя bezopasnosti programmnogo, programmno-apparatnogo i apparatnogo obespečeniя IT-sredы OO. Trebovaniя bezopasnosti IT dolžnы bыtь opredelenы putem ispolьzovaniя, gde эto vozmožno, funkcionalьnыh komponentov i komponentov doveriя k bezopasnosti časteй 2 i 3 OK. Razdel ZB «Trebovaniя bezopasnosti IT» bolee podrobno rassmotren v glave 10 nastoящego Rukovodstva.

V razdel «Kratkaя specifikaciя OO» vklюčaetsя opisanie funkciй bezopasnosti IT, realizuemыh OO i sootvetstvuющih specificirovannыm funkcionalьnыm trebovaniяm bezopasnosti, a takže lюbыh mer doveriя k bezopasnosti, sootvetstvuющih specificirovannыm trebovaniяm doveriя k bezopasnosti. Razdel ZB «Kratkaя specifikaciя OO» bolee podrobno rassmotren v glave 11 nastoящego Rukovodstva.

V razdele «Utverždeniя o sootvetstvii PZ» identificiruюtsя PZ, o sootvetstvii kotorыm zaяvlяetsя v ZB, a takže lюbыe dopolneniя ili utočneniя celeй ili trebovaniй iz эtih PZ. Razdel ZB «Utverždeniя o sootvetstvii PZ» bolee podrobno rassmotren v glave 13 nastoящego Rukovodstva.

V razdele ZB «Obosnovanie» demonstriruetsя, čto ZB specificiruet polnuю i vzaimosvяzannuю sovokupnostь trebovaniй bezopasnosti IT, čto sootvetstvuющiй OO učitыvaet opredelennыe aspektы sredы bezopasnosti IT i čto funkcii bezopasnosti IT i merы doveriя k bezopasnosti sootvetstvuюt trebovaniяm bezopasnosti OO. Razdel ZB «Obosnovanie» bolee podrobno rassmotren v glave 13 nastoящego rukovodstva.

Kak i v slučae PZ (sm. p. 6.1), pri razrabotke ZB možno otstupatь ot vыšeukazannoй strukturы putem vklюčeniя dopolnitelьnыh i isklюčeniя neobяzatelьnыh razdelov (i/ili podrazdelov) ZB.

6.3 Vzaimosvяzь meždu profilяmi zaщitы i zadaniяmi po bezopasnosti

Pri sopostavlenii soderžaniя tablic 1 i 2 očevidna vzaimosvяzь meždu PZ i ZB vsledstvie vыsokoй stepeni obщnosti dannыh dokumentov, v osobennosti razdelov «Sreda bezopasnosti OO», «Celi bezopasnosti», «Trebovaniя bezopasnosti IT» i, častično, – razdela «Obosnovanie». Esli v ZB utverždaetsя o sootvetstvii PZ i pri эtom ne specificiruюtsя dopolnitelьnыe funkcionalьnыe trebovaniя i trebovaniя doveriя k bezopasnosti, to soderžanie upomяnutыh vыše razdelov ZB možet bыtь identično soderžaniю sootvetstvuющih razdelov PZ. V takih slučaяh rekomenduetsя, čtobы ZB ssыlalosь na soderžanie PZ s dobavleniem, gde neobhodimo, detaleй, otličaющih ZB ot PZ.

Sleduющie razdelы ZB ne imeюt analogov v PZ i, takim obrazom, яvlяюtsя specifičnыmi dlя ZB:

a) razdel «Kratkaя specifikaciя OO» vklюčaet funkcii bezopasnosti IT, mehanizmы i sposobы obespečeniя bezopasnosti, a takže merы doveriя k bezopasnosti;

b) razdel «Utverždeniя o sootvetstvii PZ» motiviruet i detaliziruet trebovaniя sootvetstviя PZ;

v) podrazdelы razdela «Obosnovanie», kotorыe demonstriruюt adekvatnostь funkciй bezopasnosti IT i mer doveriя k bezopasnosti trebovaniяm bezopasnosti OO.

6.4 Učet informacionnыh potrebnosteй potencialьnыh polьzovateleй profileй zaщitы i zadaniй po bezopasnosti

V PZ i ZB neobhodimo učitыvatь informacionnыe potrebnosti potencialьnыh polьzovateleй эtih dokumentov:

- potrebiteli izdeliй IT (distributorы i pokupateli) nuždaюtsя v informacii, daющeй obщee predstavlenie o tom, kakim obrazom OO rešaet problemы bezopasnosti;

- razrabotčiki nuždaюtsя v odnoznačnom ponimanii trebovaniй bezopasnosti s tem, čtobы sozdavatь (formirovatь) sootvetstvuющie OO;

- ocenщiki nuždaюtsя v informacii, kotoraя budet motivirovatь tehničeskuю pravilьnostь i эffektivnostь PZ ili ZB.

Struktura PZ i ZB razrabotana takim obrazom, čtobы raznыe razdelы soderžali informaciю, prednaznačennuю dlя raznыh kategoriй polьzovateleй.

Razdelы «Vvedenie PZ/ZB», «Opisanie OO» i «Sreda bezopasnosti OO» prednaznačenы, prežde vsego, dlя potrebiteleй izdeliй IT. Razdel «Celi bezopasnosti» takže možet bыtь napisan v pervuю očeredь dlя potrebiteleй. Vmeste s tem sleduet pomnitь, čto i razrabotčiki OO dolžnы budut prinяtь vo vnimanie informaciю, nahodящuюsя v razdelah «Sreda bezopasnosti OO» i «Celi bezopasnosti».

Razdel PZ «Trebovaniя bezopasnosti IT» prednaznačen, prežde vsego, dlя razrabotčikov OO, hotя informaciя, soderžaщaяsя v эtom razdele, veroяtno, takže budet interesna potrebitelяm izdeliй IT. Razdel ZB «Kratkaя specifikaciя OO» prednaznačen, prežde vsego, dlя ocenщikov i potrebiteleй. Esli poslednie dva razdela ne soderžat dostatočnogo količestva informacii, to v nih neobhodimo pomestitь ssыlku na drugie razdelы (podrazdelы) PZ (naprimer, «Annotaciя PZ») i dokumentы, kotorыe neobhodimы dlя polnogo i točnogo ponimaniя predstavlennыh trebovaniй bezopasnosti IT.

V razdel «Obosnovanie» vklюčaetsя informaciя, prednaznačennaя preimuщestvenno dlя ocenщikov. V to že vremя ocenщikam celesoobrazno oznakomitьsя so vsemi razdelami PZ i ZB.

6.5 Process razrabotki PZ i ZB

Analiz priloženiй B i V časti 1 i glav 3 – 5 časti 3 OK pokazыvaet, čto razrabotka PZ/ZB osuщestvlяetsя v sleduющeй (nishodящeй) posledovatelьnosti:

- identifikaciя aspektov sredы bezopasnosti;

- opredelenie celeй bezopasnosti, učitыvaющih identificirovannыe aspektы sredы bezopasnosti;

- formirovanie trebovaniй bezopasnosti IT, napravlennыh na udovletvorenie celeй bezopasnosti.

V obщem slučae, hotя i s učetom dannoй posledovatelьnosti deйstviй, process razrabotki PZ/ZB nosit iterativnый harakter. Naprimer, formirovanie trebovaniй bezopasnosti možet sposobstvovatь korrektirovke celeй bezopasnosti ili daže potrebnosteй v bezopasnosti. V celom, možet potrebovatьsя celый rяd iteraciй dlя naibolee polnogo učeta vzaimosvяzeй meždu ugrozami, PBOr, celяmi i trebovaniяmi bezopasnosti, a takže funkciяmi bezopasnosti, v častnosti, pri formirovanii «Obosnovaniя» PZ/ZB. Pri эtom tolьko kogda vse problemы formirovaniя «Obosnovaniя» PZ/ZB rešenы, process razrabotki PZ/ZB možno sčitatь zaveršennыm.

Process razrabotki PZ/ZB možet takže vklюčatь vnesenie izmeneniй v dokument s tem, čtobы otrazitь izmeneniя usloviй primeneniя, naprimer:

- identifikaciю novыh ugroz;

- izmenenie PBOr;

- svяzannыe so stoimostnыmi i vremennыmi ograničeniяmi izmeneniя v razdelenii otvetstvennosti obespečeniя bezopasnosti, vozlagaemoй sootvetstvenno na OO i sredu OO;

- korrektirovku trebovaniй bezopasnosti IT, funkciй bezopasnosti i/ili mer doveriя k bezopasnosti, svяzannuю s izmeneniяmi v tehnologii i zatratah na razrabotku OO.

Takže vozmožno (naprimer, dlя suщestvuющego produkta IT), čto razrabotčiki PZ/ZB imeюt četkoe predstavlenie otnositelьno FTB, kotorыm udovletvorяet OO (daže esli эti trebovaniя ne bыli vыraženы v stile OK). V takih slučaяh opredelenie aspektov sredы bezopasnosti i celeй bezopasnosti budet osuщestvlяtьsя, ishodя iz эtih FTB. Process razrabotki PZ/ZB v takom slučae budet «voshodящim».

6.6 Semeйstva profileй zaщitы

Semeйstvo PZ predstavlяet soboй sovokupnostь tesno svяzannыh PZ, kotorыe obыčno otnosяtsя k odnomu i tomu že tipu produkta ili sistemы IT (naprimer, operacionnaя sistema, mežsetevoй эkran i t.d.). Razrabotka PZ možet, takim obrazom, rassmatrivatьsя kak častь processa razrabotki semeйstva PZ. Razrabotka semeйstv PZ možet idti po sleduющim napravleniяm:

- razrabotka sovokupnosti ierarhičeski svяzannыh PZ dlя odnogo i togo že tipa OO (PZ možno sčitatь ierarhičeskim po otnošeniю k drugomu PZ semeйstva, esli on vklюčaet vse trebovaniя bezopasnosti IT, specificirovannыe v poslednem);

- razrabotka sovokupnosti PZ, každый iz kotorыh otnositsя k različnыm komponentam sistemы IT, naprimer, semeйstvo «smart-kartы» moglo bы vklюčatь PZ dlя platы integralьnoй shemы, PZ dlя operacionnoй sistemы, PZ dlя priloženiя, PZ sčitыvatelя smart-kart i t.d.

Esli semeйstvo PZ otnositsя k konkretnomu tipu OO, važno čtobы bыlo četkoe različie meždu različnыmi členami semeйstva. Drugimi slovami, dolžnы bыtь četkie različiя v trebovaniяh bezopasnosti OO. Эto svяzano s tem, čto PZ dolžen, po kraйneй mere, otličatьsя celяmi bezopasnosti, kotorыe opredelяюt vыbor trebovaniй bezopasnosti IT. V kačestve primera, možno rassmotretь slučaй, kogda dva PZ specificiruюt odnu i tu že sovokupnostь FTB, no raznыe TDB. Dopuskaetsя motivirovatь bolee nizkoe trebovanie bezopasnosti vozrastaniem bezopasnosti sredы OO. Takie različiя dolžnы bыtь otraženы v celяh bezopasnosti. Tam že, gde semeйstvo PZ primenяetsя k različnыm komponentam sistemы IT (v konkretnoй ili predpolagaemoй srede), dolžnы bыtь četko opredelenы PZ, vklюčennыe v semeйstvo (sm. takže glavu 14 nastoящego Rukovodstva, v kotoroй rassmatrivaюtsя voprosы razrabotki PZ dlя komponentov sistemы IT).

7. Opisatelьnыe razdelы profileй zaщitы i zadaniй po bezopasnosti

Nastoящaя glava soderžit rekomendacii po formirovaniю sleduющih opisatelьnыh razdelov PZ i ZB:

a) «Vvedenie PZ/ZB»;

b) «Opisanie OO» v PZ/ZB;

v) «Zamečaniя po primeneniю» v PZ.

7.1 Opisatelьnыe časti profilя zaщitы

7.1.1 Razdel «Vvedenie PZ»

Podrazdel «Identifikaciя PZ»

Naznačenie dannogo podrazdela sostoit v predostavlenii informacii dlя identifikacii PZ, naprimer, v celяh posleduющeй registracii PZ. Identifikaciя, kak minimum, dolžna vklюčatь nazvanie PZ i identifikator, kotorый яvlяetsя unikalьnыm dlя dannoй versii PZ. V podrazdel «Identifikaciя PZ» takže celesoobrazno vklюčitь sleduющuю informaciю:

a) klюčevыe slova;

b) ocenočnый urovenь doveriя (OUD), esli on primenяetsя v PZ;

v) utverždenie o sootvetstvii versii OK;

g) sostoяnie ocenki PZ.

Annotaciя PZ

Soglasno OK podrazdel «Annotaciя PZ» dolžen imetь formu rezюme, ispolьzuemogo takže v reestrah i katalogah PZ. V dannый razdel neobhodimo vklюčitь vыsokourovnevый obzor problemы bezopasnosti, kotoraя podležit rešeniю v PZ. Takže želatelen kratkiй obzor togo, kakim obrazom PZ sposobstvuet rešeniю problemы bezopasnosti. Pri эtom neobhodimo obespečitь sootvetstvie soderžaniю PZ. V slučae neobhodimosti «Annotaciя PZ» možet bыtь rasširena do «Rezюme dlя rukovoditelя» ili «Rezюme dlя menedžera». Odnako esli predpolagaetsя, čto PZ budet vklюčen v reestr PZ, to sootvetstvuющiй kratkiй obzor (obыčno odin-dva paragrafa) dolžen bыtь sformirovan takim obrazom, čtobы ego možno bыlo perenesti v reestr.

Profili zaщitы, s kotorыmi svяzan rassmatrivaemый profilь, i drugie dokumentы, na kotorыe ssыlaetsя (neobяzatelьnый podrazdel)

Esli PZ svяzan (ili takaя svяzь predpolagaetsя) s odnim ili neskolьkimi drugimi PZ, rekomenduetsя, čtobы эti profili bыli identificirovanы v razdele «Vvedenie PZ». Pri эtom dlя polьzovatelя PZ predstavlяet osobый interes harakter dannoй svяzi. Pri naličii tesnoй svяzi ocenivaemogo PZ s suщestvuющim ocenennыm PZ rezulьtatы ocenki poslednego mogut bыtь ispolьzovanы dlя ocenki rassmatrivaemogo PZ. Takim obrazom, osnovnыe usiliя pri ocenke PZ neobhodimo budet skoncentrirovatь na otličiяh dvuh PZ.

Neobhodimo otmetitь, čto v dannый podrazdel vklюčaetsя informaciя, kotoraя predstavlяet interes dlя polьzovatelя PZ i uže izvestna razrabotčiku PZ. Pri эtom ot razrabotčika PZ nikakoй bolee podrobnoй informacii o suщestvuющih PZ ne trebuetsя.

Profilь zaщitы dlя bolьšoй raspredelennoй sistemы možet ssыlatьsя na rяd drugih dokumentov (predvaritelьnoe izučenie ugroz; dokumentы, soderžaщie vыsokourovnevoe opisanie OO; dokumentы, soderžaщie opisanie različnыh komponentov IT-sredы). Takie dokumentы mogut razrabatыvatьsя različnыmi organizaciяmi v raznoe vremя i protivorečitь drug drugu v terminologii, koncepcii, v opisanii sredы i celeй bezopasnosti. V takih slučaяh v PZ neobhodimo poяsnitь, čto imenno vzяto iz dokumentov, na kotorыe ssыlaetsя PZ.

Struktura i organizaciя profilя zaщitы (neobяzatelьnый podrazdel)

Dannый podrazdel prednaznačen dlя obъяsneniя strukturы i organizacii PZ polьzovatelяm, ne znakomыm s tipovoй strukturoй PZ. Niže priveden šablon rassmatrivaemogo podrazdela (tekst, zavisящiй ot strukturы i soderžaniя PZ/ZB, obramlen kvadratnыmi skobkami i vыdelen kursivom).

Profilь zaщitы vklюčaet sleduющie osnovnыe razdelы: «Opisanie OO», «Sreda bezopasnosti OO», «Trebovaniя bezopasnosti IT» i «Obosnovanie». [Esli v PZ vklюčaюtsя trebovaniя bezopasnosti dlя ne-IT-sredы, to celesoobrazno razdel PZ «Trebovaniя bezopasnosti IT» ozaglavitь – «Trebovaniя bezopasnosti».]

V razdel PZ «Opisanie OO» vklюčaetsя obщaя informaciя ob OO, prednaznačennaя dlя poяsneniя trebovaniй bezopasnosti, predъяvlяemыh k OO, i neobhodimaя dlя ocenki PZ.

V razdel «Sreda bezopasnosti OO» vklюčaetsя opisanie aspektov sredы bezopasnosti, v kotoroй predpolagaetsя ispolьzovanie OO, a takže sposob ispolьzovaniя OO. [Esli v srede OO vыdelenы neskolьko otdelьnыh domenov, celesoobrazno dopolnitelьno vklюčitь v PZ sleduющiй tekst: «Aspektы sredы bezopasnosti rassmatrivaюtsя otdelьno dlя každogo domena sredы bezopasnosti OO».] Razdel «Sreda bezopasnosti OO» soderžit opisanie:

a) predpoloženiй o prednaznačenii OO i o ego srede эkspluatacii;

b) ugroz bezopasnomu funkcionirovaniю OO;

v) PBOr, kotoroй dolžen udovletvorяtь OO.

[Pri neobhodimosti punktы b) i/ili v) možno opustitь]

Celi bezopasnosti otražaюt sformulirovannoe prednaznačenie PZ. Oni raskrыvaюt, kakim obrazom OO dolžen protivostoяtь identificirovannыm ugrozam i učitыvatь predpoloženiя i PBOr. Celi bezopasnosti delяtsя na celi bezopasnosti dlя OO i celi bezopasnosti dlя sredы [inogda celesoobrazno dopolnitelьno vklюčitь v PZ sleduющiй tekst: odna i ta že celь bezopasnosti možet bыtь klassificirovana kak celь bezopasnosti i dlя OO, i dlя sredы].
[Pervoe predloženie, svяzannoe s trebovaniяmi bezopasnosti, možet bыtь vыbrano razrabotčikami iz sleduющego spiska, ishodя iz togo, kakie trebovaniя vklюčaюtsя v PZ/ZB:

1. «Vse trebovaniя bezopasnosti v nastoящem PZ imeюt otnošenie k samomu OO» (esli zadaюtsя trebovaniя bezopasnosti tolьko dlя OO).

2. «Razdel «Trebovaniя bezopasnosti IT» soderžit v otdelьnыh podrazdelah trebovaniя dlя OO i trebovaniя dlя sredы OO» (esli zadaюtsя trebovaniя bezopasnosti dlя OO i dlя sredы OO).

3. «Razdel «Trebovaniя bezopasnosti» soderžit v otdelьnыh podrazdelah trebovaniя dlя OO i trebovaniя dlя sredы OO» (esli sreda vklюčaet ne-IT-sredu)].

Trebovaniя bezopasnosti IT delяtsя na: (a) funkcionalьnыe trebovaniя bezopasnosti OO [esli v sostav trebovaniй doveriя k bezopasnosti vklюčen komponent AVA_SOF.1, to neobhodimo vklюčitь sleduющiй tekst: «vklюčaя trebovaniя k stoйkosti funkciй bezopasnosti OO, realizuemыm veroяtnostnыmi ili perestanovočnыmi mehanizmami»] i (b) trebovaniя doveriя k bezopasnosti.

Razdel «Obosnovanie» soderžit svidetelьstvo togo, čto PZ predstavlяet soboй polnый nabor vzaimosvяzannыh trebovaniй bezopasnosti IT, i čto sootvetstvuющiй dannomu PZ obъekt ocenki nadležaщim obrazom učitыvaet vse aspektы sredы bezopasnosti.

Razdel «Obosnovanie» sostoit iz dvuh osnovnыh časteй. Pervaя – «Logičeskoe obosnovanie celeй bezopasnosti» – demonstriruet, čto celi bezopasnosti nadležaщim obrazom učitыvaюt vse aspektы sredы bezopasnosti OO. Vtoraя – «Logičeskoe obosnovanie trebovaniй bezopasnosti» – demonstriruet, čto trebovaniя bezopasnosti nadležaщim obrazom učitыvaюt vse celi bezopasnosti.

7.1.2 Razdel «Opisanie OO»

V razdel «Opisanie OO» vklюčaetsя informaciя sleduющih vidov (pervыe dva vida informacii – predpisanы OK, dva poslednih – яvlяюtsя neobяzatelьnыmi):

a) tip produkta IT;

b) osnovnыe funkcionalьnыe vozmožnosti OO;

v) granicы OO (neobяzatelьnaя informaciя);

g) sreda funkcionirovaniя OO (neobяzatelьnaя informaciя).

Opisanie «osnovnыh funkcionalьnыh vozmožnosteй OO» vklюčaet imenno opisanie funkcionalьnыh vozmožnosteй OO, a ne tolьko harakteristik bezopasnosti (esli, konečno, obespečenie bezopasnosti ne яvlяetsя edinstvennыm prednaznačeniem OO).

Opisanie «granic OO» (neobяzatelьnoe) – эto opisanie togo, čto vklюčaet i čto ne vklюčaet v sebя OO. Pri эtom PZ možet ostavlяtь nekotoruю vozmožnostь razrabotčiku sootvetstvuющego ZB ustanovitь okončatelьnыe granicы meždu OO i sredoй OO. Tem ne menee, diapazon dopustimogo vыbora takih granic dolžen bыtь v яvnom vide ustanovlen v PZ.

Opisanie «sredы funkcionirovaniя OO» (neobяzatelьnoe) – эto opisanie togo, gde funkcioniruet OO, vklюčaя važnыe predpoloženiя, ograničeniя, nakladыvaemыe processami deяtelьnosti, i drugie klюčevыe parametrы, važnыe s točki zreniя polьzovateleй PZ.

Pri formirovanii razdela «Opisanie OO» neobhodimo maksimalьno stremitьsя k tomu, čtobы isklюčitь vozmožnostь nepravilьnogo ponimaniя polьzovatelяmi PZ/ZB prednaznačeniя OO i ego vozmožnosteй po obespečeniю bezopasnosti informacii (to estь neobhodimo isklюčitь te detali opisaniя OO, kotorыe ne predstavlяюt interesa v svete predpolagaemoй ocenki OO).

7.1.3 Razdel «Zamečaniя po primeneniю»

Razdel PZ «Zamečaniя po primeneniю» яvlяetsя neobяzatelьnыm. Zamečaniя po primeneniю mogut bыtь libo oformlenы otdelьnыm razdelom PZ, libo soprovoždatь različnыe časti PZ, naprimer, otdelьnыe trebovaniя bezopasnosti OO. V zamečaniя po primeneniю celesoobrazno vklюčatь soprovoditelьnuю informaciю, kotoraя možet okazatьsя poleznoй pri proektirovanii, ocenke i эkspluatacii OO. Osnovnoe naznačenie «zamečaniй po primeneniю» – poяsnitь, kakim obrazom konkretnыe trebovaniя bezopasnosti neobhodimo interpretirovatь dlя rassmatrivaemogo OO, a takže predostavitь razrabotčikam ZB rekomendacii po vыpolneniю operaciй (vыbor, naznačenie, utočnenie) nad funkcionalьnыmi komponentami.

Esli «zamečaniя po primeneniю» raznesenы po tekstu PZ, to v эtih slučaяh neobhodimo ih odnoznačno identificirovatь. Эto nužno dlя togo, čtobы polьzovatelь PZ interpretiroval ih imenno kak «zamečaniя po primeneniю», a ne kak, naprimer, utočneniя dlя FTB i TDB.

7.2 Opisatelьnыe časti zadaniя po bezopasnosti

7.2.1 Razdel «Vvedenie ZB»

Pri formirovanii razdela «Vvedenie ZB» celesoobrazno rukovodstvovatьsя rekomendaciяmi po formirovaniю razdela «Vvedenie PZ» (sm. p. 7.1), za isklюčeniem sleduющego:

a) utverždenie o sootvetstvii OK яvlяetsя neobяzatelьnыm dlя ZB;

b) k ZB neprimenimы procedurы registracii PZ;

v) možet potrebovatьsя identifikaciя ZB, svяzannыh s rassmatrivaemыm ZB, esli OO predstavlяet soboй sostavnoй OO, libo яvlяetsя častью sostavnogo OO.

7.2.2 Razdel «Opisanie OO»

Pri formirovanii razdela «Opisanie OO» celesoobrazno rukovodstvovatьsя rekomendaciяmi po formirovaniю razdela «Vvedenie PZ» (sm. p. 7.1), za isklюčeniem togo, čto «granicы OO» dolžnы bыtь opredelenы, kak v časti apparatnыh i programmnыh komponentov (fizičeskie granicы), tak i v časti funkcionalьnыh harakteristik bezopasnosti OO.

8. Sreda bezopasnosti OO

V dannoй glave predstavlenы rekomendacii po specifikacii razdela PZ/ZB «Sreda bezopasnosti OO». Trebovaniя k soderžaniю эtogo razdela PZ/ZB opredelenы v p. B.2.4 i p. V.2.4 časti 1 OK.

Soderžanie razdela «Sreda bezopasnosti OO» v PZ i razdela «Sreda bezopasnosti OO» v ZB ne imeюt serьeznыh različiй.

Celь razdela «Sreda bezopasnosti OO» sostoit v tom, čtobы opredelitь aspektы bezopasnosti sredы OO (sm. risunok 1).


Risunok 1–Opredelenie aspektov sredы bezopasnosti OO


Poэtomu v dannom razdele predmetom rassmotreniя stanovяtsя sleduющie aspektы:

a) predpoloženiя otnositelьno sredы bezopasnosti OO;

b) aktivы, trebuющie zaщitы (obыčno informaciя ili resursы v predelah IT-sredы ili neposredstvenno OO), identificirovannыe istočniki ugroz i sami ugrozы, kotorыe oni poroždaюt dlя aktivov;

v) PBOr ili pravila, kotorыm dolžen sootvetstvovatь OO.

Posleduющie razdelы PZ i ZB pokazыvaюt, kak aspektы bezopasnosti sredы OO budut udovletvorяtьsя obъektom ocenki i ego sredoй. Imenno poэtomu važno obespečitь яsnuю i kratkuю formulirovku aspektov bezopasnosti sredы OO.

Pri opredelenii aspektov sredы bezopasnosti sleduet izbegatь, gde эto vozmožno, opisaniя togo, kakim obrazom OO učitыvaet aspektы bezopasnosti sredы. Takoй podhod pozvolяet akcentirovatь vnimanie polьzovatelя PZ/ZB na naibolee važnыh aspektah bezopasnosti sredы OO.

8.1 Identifikaciя i specifikaciя predpoloženiй bezopasnosti

V sootvetstvii s OK v razdel «Sreda bezopasnosti OO» PZ/ZB neobhodimo vklюčatь perečenь predpoloženiй otnositelьno sredы bezopasnosti OO ili predpolagaemogo ispolьzovaniя OO.

Dlя formirovaniя takogo perečnя neobhodimo opredelitьsя s harakterom predpoloženiй otnositelьno sredы bezopasnosti OO i ee granicami. Naprimer, možet potrebovatьsя formulirovanie predpoloženiй, svяzannыh s tem, čto potencialьnыe ugrozы praktičeski ne okazыvaюt vliяniя na bezopasnostь aktivov sredы OO.

V PZ/ZB celesoobrazno vklюčatь sleduющie gruppы predpoloženiй:

a) predpoloženiя otnositelьno predopredelennogo ispolьzovaniя OO;

b) predpoloženiя, svяzannыe s zaщitoй lюboй časti OO so storonы sredы (naprimer, fizičeskaя zaщita);

v) predpoloženiя svяznosti (naprimer, mežsetevoй эkran dolžen bыtь edinstvennыm setevыm soedineniem meždu častnoй (zaщiщaemoй) i vnešneй (potencialьno vraždebnoй) setью);

g) predpoloženiя, imeющie otnošenie k personalu (naprimer, predpolagaemыe polьzovatelьskie roli, osnovnыe obяzannosti (otvetstvennostь) polьzovateleй i stepenь doveriя эtim polьzovatelяm).

Krome togo, v PZ/ZB celesoobrazno vklюčatь i drugie predpoloženiя, okazыvaющie suщestvennoe vliяnie na soderžanie PZ/ZB, naprimer, predpoloženiя, opredelяющie vыbor trebovaniй doveriя k bezopasnosti. Neobhodimo pomnitь, čto vse identificirovannыe predpoloženiя bezopasnosti dolžnы bыtь učtenы pri formirovanii celeй bezopasnosti. Te predpoloženiя bezopasnosti, kotorыe po kakoй-libo pričine ne mogut bыtь učtenы pri formirovanii celeй bezopasnosti, celesoobrazno vklюčatь v PZ/ZB v kačestve soprovoditelьnoй informacii.

Čaщe vsego nevozmožno polnostью identificirovatь vse predpoloženiя s pervogo raza. Poэtomu predpoloženiя mogut bыtь dopolnitelьno identificirovanы na protяženii vsego perioda razrabotki PZ ili ZB. V častnosti, pri formirovanii razdela PZ/ZB «Obosnovanie» (naprimer, pri demonstracii prigodnosti celeй bezopasnosti dlя protivostoяniя identificirovannыm ugrozam) neobhodimo ustanovitь, bыli li sdelanы predpoloženiя, ne našedšie svoego otobraženiя v PZ/ZB.

Narяdu s ispolьzovaniem iteracionnogo podhoda k identifikacii predpoloženiй bezopasnosti, neobhodimo izbegatь vklюčeniя v razdel «Sreda bezopasnosti OO» lюbыh «predpoloženiй», svяzannыh s эffektivnыm ispolьzovaniem konkretnыh funkciй bezopasnosti OO (FBO), kotorыe identificirovanы v processe formirovaniя razdela «Obosnovanie». Sootvetstvuющuю эtim «predpoloženiяm» informaciю celesoobrazno vklюčatь v PZ/ZB v vide trebovaniй bezopasnosti dlя ne-IT-sredы (smotri p.10.5.2).

Odnako v razdel «Sreda bezopasnosti OO» celesoobrazno vklюčatь predpoloženiя, imeющie otnošenie k personalu, naprimer, sleduющego vida: «dlя OO opredelenы odin ili neskolьko administratorov, v obяzannosti kotorыh vhodit obespečenie nadležaщeй nastroйki i sootvetstvuющego ispolьzovaniя FBO».

Dlя uproщeniя ssыlok rekomenduetsя, čtobы každoe predpoloženie bыlo pronumerovano ili imelo unikalьnuю metku.

Primerы predpoloženiй danы v Priloženii 3 nastoящego Rukovodstva.

8.2 Identifikaciя i specifikaciя ugroz

Soglasno p. B.2.4 časti 1 OK neobhodimo v PZ/ZB vklюčatь opisanie vseh ugroz aktivam, podležaщim zaщite. Tem ne menee, formulirovka ugroz možet bыtь opuщena, esli celi bezopasnosti sformulirovanы, ishodя isklюčitelьno iz PBOr. To estь formulirovka ugroz možet bыtь opuщena v slučae, esli «aspektы sredы bezopasnosti OO» polnostью opredelяюtsя PBOr i predpoloženiяmi bezopasnosti.

Pri эtom vse že rekomenduetsя, čtobы formulirovka ugroz bыla vklюčena v PZ/ZB, poskolьku ona obespečivaet lučšee ponimanie aspektov sredы bezopasnosti OO, čem sootvetstvuющaя sovokupnostь pravil PBOr. Bolee togo, dostatočno opasno polagatьsя isklюčitelьno na PBOr, tak kak ona ne vsegda možet nadležaщim obrazom otrazitь tekuщie ugrozы. Esli polnaя sovokupnostь pravil PBOr uže sformulirovana, tem ne menee, яvlяetsя celesoobraznыm formulirovanie ugroz s celью maksimalьnogo oblegčeniя ispolьzovaniя PZ i otraženiя bolee glubokogo ponimaniя aspektov sredы bezopasnosti OO.

Važnыm эtapom obespečeniя bezopasnosti OO яvlяetsя analiz riskov, tak kak esli on ne vыpolnen dolžnыm obrazom, OO budet ne v sostoяnii obespečitь adekvatnuю zaщitu, v rezulьtate čego aktivы organizacii mogut ostatьsя podveržennыmi sootvetstvuющemu risku. Sleduet otmetitь, čto podrobnыe rekomendacii po organizacii processa identifikacii ugroz aktivam (яvlяющegosя odnim iz samыh trudoemkih эtapov analiza riska organizacii) v nastoящee Rukovodstvo ne vklюčenы. Tem ne menee, dalee izlagaюtsя obщie principы identifikacii ugroz.

8.2.1 Identifikaciя ugroz

Ugrozы harakterizuюtsя sleduющimi aspektami: istočnik ugrozы; predpolagaemый metod napadeniя; uяzvimosti, kotorыe mogut bыtь ispolьzovanы dlя napadeniя (realizacii ugrozы), i aktivы, podveržennыe napadeniю.

Primečanie. Narušeniя PBOr ne dolžnы traktovatьsя kak ugrozы.

V celяh identifikacii ugroz neobhodimo vыяsnitь sleduющie voprosы:

a) kakie aktivы trebuюt zaщitы;

b) kto ili čto яvlяetsя istočnikom ugrozы;

v) ot kakih metodov napadeniя ili neželatelьnыh sobыtiй aktivы dolžnы bыtь zaщiщenы.

Identifikaciя aktivov

Aktivы predstavlяюt soboй informaciю ili resursы, kotorыe dolžnы bыtь zaщiщenы sredstvami OO. Aktivы imeюt opredelennuю cennostь dlя ih vladelьcev (čeloveka ili organizacii), a takže očenь často – i dlя istočnikov ugroz. Poslednie mogut stremitьsя, vopreki želaniяm i interesam vladelьcev aktivov, skomprometirovatь ih, naprimer, putem narušeniя konfidencialьnosti, celostnosti i dostupnosti dannыh aktivov.

Aktivы, kotorыe nadležit učestь razrabotčiku PZ/ZB, mogut bыtь predstavlenы v vide pervičnыh aktivov organizacii (naprimer, denežnыe aktivы, personal i reputaciя organizacii). Pod vladelьcem aktivov ponimaюtsя subъektы, otvetstvennыe za sohrannostь aktivov v predelah sistemы IT (v kotoroй razmeщen OO). Različaюt vladelьcev pervičnыh aktivov (ih možet bыtь mnogo) i vladelьca OO, a takže vladelьcev informacii, hranimoй i obrabatыvaemoй OO. Poэtomu v PZ/ZB celesoobrazno pri opisanii aktivov identificirovatь vladelьcev pervičnыh aktivov.

V primere PZ dlя doverennogo centra (DC) infrastrukturы otkrыtыh klюčeй (sm. Priloženie 5) različnыe kriptografičeskie klюči budut imetь raznыh vladelьcev: podpisčikov doverennogo centra i vladelьca samogo DC. Drugoй primer – medicinskie sistemы IT. Hranimaя i obrabatыvaemaя v nih informaciя ne imeet kakogo-libo odnogo vladelьca, a prednaznačena dlя ispolьzovaniя vsemi zainteresovannыmi storonami v sootvetstvii s zadannыm naborom pravil ee ispolьzovaniя i kontrolя takogo ispolьzovaniя.

Aktivы obыčno vklюčaюt informaciю, kotoraя hranitsя, obrabatыvaetsя ili peredaetsя v sisteme IT. Pri эtom aktivы mogut яvlяtьsя vnešnimi po otnošeniю k samomu OO (no nahoditьsя v predelah ego IT-sredы). V kačestve primera možno privesti informaciю i resursы, zaщiщaemыe mežsetevыmi эkranami ili sistemami obnaruženiя vtorženiй.

V kačestve aktivov, podležaщih zaщite, neobhodimo identificirovatь informaciю avtorizacii i realizaciю IT, kotorыe kosvenno otnosяtsя k predmetam zadaniя trebovaniй bezopasnosti. Identifikaciю takih «aktivov» možno rassmatrivatь kak sostavlяющuю processa identifikacii kontrmer, neobhodimыh dlя zaщitы pervičnыh aktivov (ili ih predstavleniя). Necelesoobrazno na dannoй stadii razrabotki PZ/ZB identificirovatь kak «aktivы» informaciю i resursы, kotorыe svяzanы s predstavleniem samogo OO, i kotorыe tolьko kosvenno svяzanы s pervičnыmi aktivami. Takaя detalizaciя možet privesti k:

a) nečetkomu ponimaniю osnovnogo prednaznačeniя OO (obespečenie zaщitы pervičnыh aktivov ili ih predstavleniй v predelah IT-sredы);

b) sliškom rannemu (eщe do opisaniя ugroz i celeй bezopasnosti) oznakomleniю polьzovatelя PZ/ZB s detalяmi realizacii.

Identifikaciя istočnikov ugroz

Istočnikom ugroz mogut bыtь lюdi libo inыe faktorы. Pri эtom osnovnoe vnimanie obыčno udelяetsя tem ugrozam, kotorыe svяzannы so zlonamerennoй ili drugoй deяtelьnostью čeloveka.

Pri identifikacii istočnikov ugroz neobhodimo rassmotretь sleduющie aspektы:

a) kto možet bыtь po kakim-libo pričinam zainteresovan v komprometacii identificirovannыh aktivov;

b) kto, s učetom zanimaemoй dolžnosti, imeet vozmožnostь komprometacii identificirovannыh aktivov, drugimi slovami, kto možet polučitь dostup k sisteme IT, v kotoroй hranяtsя, obrabatыvaюtsя i peredaюtsя identificirovannыe aktivы;

v) kakovы predpolagaemыe urovenь tehničeskoй kompetentnosti, urovenь vozmožnosteй narušitelя, dostupnыe resursы dlя realizacii ugrozы (naprimer, avtomatičeskie instrumentalьnыe sredstva vzloma i issledovaniя seteй) i motivaciя narušitelя.

Istočniki ugroz, ne svяzannыe s deяtelьnostью čeloveka, a takže ugrozы, voznikšie v rezulьtate neumыšlennыh deйstviй čeloveka (to estь slučaйno), takže dolžnы bыtь rassmotrenы, tak kak mogut privesti k komprometacii aktivov.

Identifikaciя metodov napadeniя

Sleduющim šagom posle identifikacii aktivov, podležaщih zaщite, i istočnikov ugroz, яvlяetsя identifikaciя vozmožnыh metodov napadeniя, privodящih k komprometacii aktivov. Identifikaciя vozmožnыh metodov napadeniя osnovыvaetsя na informacii o srede bezopasnosti OO, naprimer:

a) potencialьnыe uяzvimosti aktivov, kotorыe mogut bыtь ispolьzovanы istočnikami ugroz;

b) vozmožnosti narušiteleй, imeющih dostup k srede bezopasnosti OO.

Potencialьnыe uяzvimosti aktivov organizacii mogut bыtь identificirovanы putem sootvetstvuющego analiza uяzvimosteй sredы bezopasnosti OO s učetom identificirovannыh predpoloženiй o srede. Tem ne menee, sleduet pomnitь, čto takoй analiz možet ne vыяvitь vse uяzvimosti, i poэtomu nelьzя nedoocenivatь vozmožnostь naličiя novыh i neobnaružennыh ugroz.

Vliяnie rezulьtatov analiza riskov na identifikaciю ugroz

Provedenie analiza riskov celesoobrazno na эtape identifikacii ugroz. Sootvetstvuющie metodы v nastoящem Rukovodstve ne rassmatrivaюtsя. Process analiza riskov takže neobhodim i na эtape identifikacii celeй bezopasnosti dlя OO i ego sredы (sm. glavu 8), i trebuemogo urovnя doveriя k kontrmerah, napravlennыh na protivostoяnie vozmožnыm ugrozam (sm. glavu 9). Metodы analiza riska dolžnы učitыvatь sleduющie aspektы:

a) veroяtnostь i posledstviя komprometacii aktivov s učetom:

- vozmožnosti realizacii identificirovannыh metodov napadeniя;

- veroяtnosti uspešnoй realizacii napadeniя;

- vozmožnogo uщerba (vklюčaя veličinu materialьnogo uщerba, яvivšegosя rezulьtatom uspešnogo napadeniя);

b) drugie ograničeniя, naprimer, pravovыe normы i stoimostь.

8.2.2 Specifikaciя ugroz

Sleduющim šagom posle identifikacii ugroz, kotorыe dolžen učitыvatь OO i ego sreda, яvlяetsя specifikaciя dannыh ugroz v PZ/ZB. Kak otmečalosь vыše, razdel «Sreda bezopasnosti OO» dolžen imetь četkuю i kratkuю formulirovku aspektov sredы bezopasnosti OO i, v častnosti, – kratkuю i četkuю specifikaciю ugroz.

Čtobы obespečitь četkuю specifikaciю ugroz, neobhodimo učestь sleduющie aspektы (identificirovannыe v sootvetstvii s p.8.2.1):

a) istočniki ugroz (naprimer, upolnomočennый polьzovatelь OO);

b) aktivы, podveržennыe napadeniю (naprimer, konfidencialьnыe dannыe);

v) ispolьzuemый metod napadeniя (naprimer, maskirovka pod upolnomočennogo polьzovatelя OO).

Dalee privodяtsя primerы formulirovaniя ugroz:

Ugroza 1. Narušitelь možet polučitь neupolnomočennый dostup k konfidencialьnoй informacii libo resursam ograničennogo ispolьzovaniя, vыdav sebя za upolnomočennogo polьzovatelя OO.

Ugroza 2. Upolnomočennый polьzovatelь OO možet polučitь dostup k konfidencialьnoй informacii ili resursam ograničennogo ispolьzovaniя, vыdav sebя za drugogo upolnomočennogo polьzovatelя OO.

Esli opisanie ugrozы soprovoždaetsя obъяsneniem vseh ispolьzuemыh terminov, opisaniem aktivov, podveržennыh risku komprometacii, i specifikacieй konkretnыh metodov napadeniя, to эto budet sposobstvovatь bolee glubokomu osoznaniю polьzovatelem PZ/ZB suщnosti ugrozы. Tak, v primerah ugroz, izložennыh vыše, celesoobrazno datь poяsnenie, čto aktivami, podveržennыmi risku komprometacii, яvlяюtsя informaciя i resursы, k kotorыm polьzovatelь (v tom čisle vыdavavšiй sebя za konkretnogo upolnomočennogo polьzovatelя) imeet dostup.

Dlя togo čtobы obespečitь, naskolьko эto vozmožno, kratkoe izloženie (formulirovku) ugroz, neobhodimo isklюčitь perekrыtie opisaniй ugroz. Эto pomožet izbežatь potencialьnыh nedorazumeniй pri ispolьzovanii PZ/ZB, a takže nenužnыh povtoreniй, obespečiv tem samыm bolee prostoe obosnovanie PZ/ZB.

Perekrыtiя formulirovok pri opisanii ugroz možno legko izbežatь, esli specificirovatь vse ugrozы na odinakovom urovne detalizacii. Naprimer, net neobhodimosti pri specifikacii ugrozы konkretnыm aktivam detalьno opisыvatь metod napadeniя, esli dannый scenariй napadeniя svяzan s bolee obщimi ugrozami, ranee izložennыmi v PZ ili ZB.

Každaя ugroza dolžna imetь unikalьnuю metku. Эto neobhodimo dlя uproщeniя ispolьzovaniя ssыlok (naprimer, v teh častяh razdela PZ «Obosnovanie», kotorыe pokazыvaюt svяzь izložennыh celeй bezopasnosti i ugroz). Markirovka ugroz možet osuщestvlяtьsя odnim iz perečislennыh niže sposobov:

a) posledovatelьnaя numeraciя ugroz (naprimer, U1, U2, U3 i t.d.);

b) prisvoenie unikalьnoй metki, obespečivaющeй kratkoe, no značaщee «imя» (sm. primerы v Priloženii 3).

Preimuщestvo vtorogo podhoda pered pervыm zaklюčaetsя v tom, čto unikalьnaя metka яvlяetsя bolee informativnoй, tak kak neset v sebe bolee značimuю informaciю, čem prosto čislo. Neudobstvo эtogo podhoda zaklюčaetsя v tom, čto ne vsegda udaetsя naznačitь metku s odnoznačnыm smыslom (iz-za praktičeskih ograničeniй, svяzannыh s ograničeniem čisla simvolov v metke); tak, v nekotorыh slučaяh metka možet vvesti v zabluždenie ili eй možno datь različnoe tolkovanie.

Opisanie ugroz dolžno zatragivatь tolьko te potencialьnыe sobыtiя, kotorыe neposredstvenno mogut privesti k komprometacii aktivov, trebuющih zaщitы. Poэtomu ne rekomenduetsя vklюčatь ugrozы, naprimer, sleduющego vida: «V OO mogut suщestvovatь nedostatki obespečeniя bezopasnosti OO». Takaя formulirovka ugrozы ne sposobstvuet ponimaniю polьzovatelem PZ/ZB problem bezopasnosti. Krome togo, učitыvatь sformulirovannuю takim obrazom ugrozu dolžnы ne OO i ego sreda, a razrabotčiki i ocenщiki OO.

Primenenie kontrmer dlя ugroz možet privesti k atakam drugogo vida, čto, v svoю očeredь, takže možet privesti k komprometacii aktivov (naprimer, obhod ili vmešatelьstvo v rabotu mehanizmov, realizuющih funkcii bezopasnosti OO). Pri rassmotrenii v PZ/ZB takogo roda ugroz neobhodimo stremitьsя k tomu, čtobы:

a) v rezulьtate ih vklюčeniя v razdel «Sreda bezopasnosti OO» preždevremenno ne rassmatrivalisь detali realizacii OO, narušaющie sistemnый podhod k rešeniю problem bezopasnosti;

b) oni (ugrozы) ne popadali v oblastь deйstviя suщestvuющih ugroz.

Naprimer, iz suщestvovaniя ugrozы X, napravlennoй na komprometaciю aktiva Y, sleduet, čto lюbaя popыtka obhoda kontrmer ugroze X možet privesti k komprometacii aktiva Y. Sledovatelьno, obhod kontrmer ugroze X možet rassmatrivatьsя v kačestve metoda napadeniя, kotorый uže nahoditsя v oblasti deйstviя ugrozы X i, sledovatelьno, (v celяh kratkosti formulirovki aspektov bezopasnosti OO) ne dolžen bыtь яvno opisan, kak otdelьno realizuemaя ugroza.

Pri vыbore trebovaniй bezopasnosti IT, k kotorыm (soglasno OK) v svoю očeredь predъяvlяюtsя trebovaniя vzaimnoй podderžki, suщestvuet neobhodimostь rassmotreniя atak (takih kak obhod ili vmešatelьstvo v process funkcionirovaniя), napravlennыh protiv kontrmer, realizuemыh OO. Lюbыe vozmožnыe ataki takže dolžnы bыtь raskrыtы na эtape ocenki OO. Takže dolžnы bыtь vыяvlenы vse potencialьno realizuemыe ataki, napravlennыe protiv funkciй bezopasnosti OO.

Primerы ugroz predstavlenы v Priloženii 2 dannogo rukovodstva.

8.2.3 Okončatelьnoe formulirovanie ugroz

V razdel «Sreda bezopasnosti OO» neobhodimo vklюčatь opisanie vseh vozmožnыh ugroz, vliяющih na bezopasnoe funkcionirovanie OO. Naibolьšiй interes predstavlяюt ugrozы, kotorыm dolžen protivostoяtь OO (často vmeste s organizacionnыmi i drugimi merami netehničeskogo haraktera). Odnako, v celяh polnotы opisaniя, v PZ/ZB mogut vklюčatьsя ugrozы, neposredstvenno kotorыm OO ne protivostoit.

Dalee privodяtsя primerы ugroz, kotorыe okazыvaюt vliяnie na bezopasnoe funkcionirovanie OO, no kotorыm OO možet ne protivostoяtь:

a) fizičeskoe napadenie na OO;

b) zloupotreblenie pravami so storonы privilegirovannыh polьzovateleй;

v) nepravilьnoe administrirovanie i funkcionirovanie OO, vsledstvie nenadležaщego ispolneniя obяzannosteй ili nedostatočnoй podgotovki administratorov.

Okončatelьnoe rešenie o tom, kakim ugrozam dolžen protivostoяtь OO, a kakim – sreda, možet bыtь prinяto tolьko posle zaveršeniя formirovaniя celeй bezopasnosti.

Neobhodimo otmetitь, čto sformulirovannыe predpoloženiя o srede mogut bыtь napravlenы na protivostoяnie nekotorыm ugrozam, kotorыe mogli bы povliяtь na bezopasnoe funkcionirovanie OO. Iz эtogo sleduet, čto u razrabotčika PZ/ZB imeetsя nekotoraя svoboda deйstviй v prinяtii rešeniя, kakie aspektы bezopasnosti neobhodimo rassmatrivatь pri formulirovanii predpoloženiй o srede, a kakie pri formulirovanii ugroz, kotorыm dolžna protivostoяtь sreda OO. Priemlemo lюboe rešenie, tak kak i predpoloženiя, i ugrozы v dalьneйšem otobražaюtsя na celяh bezopasnosti. Pri vыbore meždu dvumя vozmožnыmi rešeniяmi neobhodimo stremitьsя k tomu, čtobы obespečitь nailučšee ponimanie polьzovatelem PZ/ZB aspektov sredы bezopasnosti OO. Kak pravilo, konkretnыe napadeniя dolžnы traktovatьsя kak ugrozы, v to vremя kak bolee obщie formы napadeniй – učitыvatьsя pri formulirovke predpoloženiй. Pri эtom važno, čtobы každый aspekt sredы bezopasnosti bыl sformulirovan tolьko odin raz: libo v vide predpoloženiя bezopasnosti, libo v vide ugrozы.

8.3 Identifikaciя i specifikaciя politiki bezopasnosti organizacii

Razdel «Sreda bezopasnosti OO» dolžen soderžatь opisanie vseh pravil PBOr, kotorыm dolžen sledovatь OO. V tože vremя, formulirovka PBOr možet bыtь opuщena, esli celi bezopasnosti formuliruюtsя isklюčitelьno na osnove ugroz: drugimi slovami, v tom slučae, kogda «aspektы sredы bezopasnosti OO» polnostью opredelяюtsя ugrozami.

Pod PBOr ponimaetsя sovokupnostь pravil, procedur, praktičeskih priemov ili rukovodящih principov v oblasti bezopasnosti, kotorыmi rukovodstvuetsя organizaciя v svoeй deяtelьnosti. Pri neobhodimosti PBOr možet realizovыvatьsя libo OO, libo ego sredoй, libo nekotoroй ih kombinacieй.

Esli PZ/ZB specificiruet i PBOr, i ugrozы, to sleduet priderživatьsя kratkosti izloženiя v razdele «Sreda bezopasnosti OO» aspektov sredы bezopasnosti OO. Tak, naprimer, necelesoobrazno vklюčatь v PZ/ZB pravilo PBOr, яvlяющeesя prostoй pereformulirovkoй ugrozы.

Naprimer, esli identificirovana sleduющaя ugroza:

«Neupolnomočennый subъekt možet polučitь logičeskiй dostup k OO»,

to ne imeet smыsla vklюčatь v PZ/ZB sleduющee pravilo PBOr:

«Polьzovateli dolžnы bыtь identificirovanы do predostavleniя im dostupa».

Эto svяzano s tem, čto sformulirovannoe takim obrazom pravilo PBOr, ne tolьko prosto pereformuliruet ugrozu, no i zaranee opisыvaet celi bezopasnosti.

Specificirovatь sootvetstvuющie pravila PBOr imeet smыsl v teh slučaяh, esli OO predpolagaetsя ispolьzovatь v konkretnыh organizaciяh, a takže v teh slučaяh, kogda suщestvuet neobhodimostь, čtobы OO sledoval rяdu pravil, kotorыe ne яvlяюtsя očevidnыmi iz opisaniя ugroz. Dalee privedenы primerы:

a) identifikaciя primenяemыh pravil upravleniя informacionnыmi potokami;

b) identifikaciя primenяemыh pravil upravleniя dostupom;

v) opredelenie pravil PBOr dlя audita bezopasnosti;

g) rešeniя, predpisannыe organizacieй, naprimer, ispolьzovanie opredelennыh kriptografičeskih algoritmov ili sledovanie opredelennыm standartam.

Každoe pravilo PBOr dolžno imetь unikalьnuю metku.

Primerы pravil PBOr predstavlenы v Priloženii 2 nastoящego Rukovodstva.

9. Celi bezopasnosti

Dannaя glava soderžit rekomendacii po identifikacii i specifikacii celeй bezopasnosti v PZ ili ZB.

Celi bezopasnosti predstavlяюt soboй kratkuю formulirovku predpolagaemoй reakcii na problemu bezopasnosti. Kratkostь formulirovaniя celeй bezopasnosti predpolagaet otsutstvie neobhodimosti glubokogo rassmotreniя detaleй ih dostiženiя.

Pri эtom celi bezopasnosti sleduet rascenivatь kak promežutočnoe zveno, pomogaющee polьzovatelю PZ/ZB otsleditь vzaimosvяzь meždu aspektami sredы bezopasnosti OO i sootvetstvuющimi trebovaniяmi bezopasnosti (risunok 2).


Risunok 2–Rolь i mesto celeй bezopasnosti v strukture PZ/ZB


Kak sleduet iz risunka 2, v PZ/ZB neobhodimo različatь dva tipa celeй bezopasnosti:

a) celi bezopasnosti dlя OO, kotorыe dolžnы dostigatьsя putem primeneniя kontrmer, realizuemыh OO;

b) celi bezopasnosti dlя sredы OO, kotorыe dolžnы dostigatьsя putem primeneniя tehničeskih mer, realizuemыh IT-sredoй, ili ne-IT-mer (naprimer, organizacionnыh).

Delenie celeй bezopasnosti na dva tipa (dlя OO i ego sredы) pozvolяet v kontekste sredы bezopasnosti OO vkratce izložitь to, rešenie kakih aspektov problemы bezopasnosti vozlagaetsя na OO. Razdelenie otvetstvennosti za rešenie otdelьnыh aspektov problemы bezopasnosti meždu OO i ego sredoй pozvolяet v nekotoroй stepeni snizitь risk komprometacii aktivov, trebuющih zaщitы. Bolee togo, takoe razdelenie otvetstvennosti pri formulirovanii celeй bezopasnosti pozvolяet opredelitь granicы ocenki bezopasnosti OO, tak kak celi bezopasnosti dlя OO vliяюt kak na vыbor neobhodimыh funkcionalьnыh trebovaniй bezopasnosti OO, tak i na opredelenie urovnя doveriя k obespečeniю bezopasnosti OO.

9.1 Specifikaciя celeй bezopasnosti dlя OO

Celi bezopasnosti dlя OO dolžnы ustanovitь (v zadannom razrabotčikom PZ/ZB obъeme) vozlagaemuю na OO otvetstvennostь za protivostoяnie ugrozam i sledovanie PBOr. Celi bezopasnosti dlя OO (sm. risunok 2) možno rassmatrivatь kak promežutočnый эtap formirovaniя trebovaniй bezopasnosti IT, ishodя iz identificirovannыh aspektov sredы bezopasnosti OO. Эto neobhodimo vsegda učitыvatь pri specifikacii celeй bezopasnosti dlя OO.

Učitыvaя tu centralьnuю rolь, kotoruю igraюt celi bezopasnosti v PZ/ZB, važnыm яvlяetsя vopros o naibolee priemlemom urovne detalizacii pri ih (celeй bezopasnosti) izloženii. Trebovanie kratkogo izloženiя celeй bezopasnosti predpolagaet dostiženie opredelennogo ravnovesiя meždu dvumя sleduющimi aspektami:

a) s odnoй storonы, celi bezopasnosti dolžnы pomočь polьzovatelю PZ/ZB bez uglublennogo izučeniя detaleй realizacii ponяtь obъem rešeniя obъektom ocenki problemы bezopasnosti (stepenь učeta aspektov sredы bezopasnosti OO). V ideale, celi bezopasnosti dlя OO dolžnы bыtь nezavisimы ot realizacii. Takim obrazom, osnovnoe vnimanie neobhodimo sosredotočitь na tom, kakoe rešenie predpočtitelьnee, a ne kak эto rešenie dostigaetsя.

b) v to že vremя neobhodimo, čtobы formulirovka celeй bezopasnosti ne яvlяlasь bы prostыm povtoreniem, hotя i v neskolьko drugoй forme, informacii, soderžaщeйsя v opisanii ugroz i PBOr.

Okončatelьnaя proverka pravilьnosti vыbora urovnя detalizacii formulirovki celeй bezopasnosti osuщestvlяetsя na эtape obosnovaniя celeй bezopasnosti i trebovaniй bezopasnosti IT. Esli kakoй-libo iz šagov na эtape obosnovaniя (obosnovanie celeй bezopasnosti ili obosnovanie trebovaniй bezopasnosti) яvlяetsя nesložnыm, v to vremя kak drugoй vыzыvaet značitelьnыe zatrudneniя, to, veroяtnee vsego, formulirovka celeй bezopasnosti яvlяetsя libo sliškom detalizirovannoй, libo sliškom abstraktnoй.

Sformirovannый nadležaщim obrazom nabor celeй bezopasnosti dlя OO daet opredelennuю uverennostь v tom, čto formuliruemыe na ego osnove trebovaniя bezopasnosti IT ne budut izbыtočnыmi (v časti FTB sm. p. 10.1.1; v časti TDB sm. p. 10.2.1), čto, v svoю očeredь, služit osnovoй dlя minimizacii stoimosti i vremeni, zatračivaemыh na ocenku OO.

S točki zreniя protivostoяniя identificirovannыm ugrozam, suщestvuet tri tipa celeй bezopasnosti dlя OO:

a) celi predupreditelьnogo haraktera, napravlennыe libo na predotvraщenie realizacii ugroz, libo na perekrыtie vozmožnыh puteй realizacii dannыh ugroz;

b) celi obnaruženiя, opredelяющie sposobы obnaruženiя i postoяnnogo monitoringa sobыtiй, okazыvaющih vliяnie na bezopasnoe funkcionirovanie OO;

v) celi reagirovaniя, opredelяющie neobhodimostь kakih-libo deйstviй OO v otvet na potencialьnыe narušeniя bezopasnosti ili drugie neželatelьnыe sobыtiя, s celью sohraneniя ili vozvrata OO v bezopasnoe sostoяnie i/ili ograničeniя razmera pričinennogo uщerba.

Primerom celi bezopasnosti predupreditelьnogo haraktera možet služitь sleduющaя celь, kotoraя opredelяet neobhodimostь identifikacii i autentifikacii polьzovateleй OO:

Obъekt ocenki dolžen unikalьno identificirovatь každogo polьzovatelя i vыpolnяtь proceduru autentifikacii identificirovannogo polьzovatelя do predostavleniя emu dostupa k funkcionalьnыm vozmožnostяm OO.

Celi bezopasnosti, svяzannыe s upravleniem dostupom i informacionnыmi potokami, takže popadaюt v kategoriю celeй predupreditelьnogo haraktera. Esli OO dolžen realizovыvatь bolee odnoй politiki upravleniя dostupom i informacionnыmi potokami, to rekomenduetsя dlя každoй politiki identificirovatь otdelьnыe celi bezopasnosti. Takoй podhod sposobstvuet uproщeniю processa obosnovaniя trebovaniй bezopasnosti.

Primerom celi obnaruženiя možet služitь celь, kotoraя opredelяet neobhodimostь obespečeniя OO nevozmožnosti otkaza kontragentov ot fakta peredači ili priema soobщeniя:

Obъekt ocenki dolžen vklюčatь sredstva, pozvolяющie polučatelю informacii podgotovitь svidetelьstvo, dokazыvaющee proishoždenie эtoй informacii.

Primerom celi reagirovaniя možet služitь sleduющaя celь, opredelяющaя neobhodimostь otvetnoй reakcii OO na obnaružennыe vtorženiя:

Pri obnaruženii sobыtiй, svidetelьstvuющih o predstoящem narušenii bezopasnosti, OO dolžen prinimatь neobhodimыe merы dlя protivostoяniя dannomu napadeniю s minimalьnыm sniženiem kačestva obsluživaniя polьzovateleй OO.

Tam, gde эto vozmožno, pri formulirovanii celeй bezopasnosti celesoobrazno količestvenno opredelяtь minimalьnoe značeniя nekotorыh častnыh pokazateleй эffektivnosti obespečeniя bezopasnosti, v osnovnom snimaя, takim obrazom, neopredelennostь otnositelьno urovnя эffektivnosti, kotorый dolžen bыtь obosnovan v razdele PZ/ZB «Obosnovanie».

Količestvennaя ocenka možet bыtь sformulirovana kak v otnositelьnыh, tak i v absolюtnыh čislovыh značeniяh. Očevidno, čto primenenie absolюtnыh čislovыh značeniй dlя količestvennoй ocenki яvlяetsя bolee predpočtitelьnыm, no v to že vremя i bolee trudnыm variantom.

Esli PZ/ZB razrabatыvaetsя posle opredeleniя funkcionalьnыh trebovaniй bezopasnosti, to každuю celь bezopasnosti celesoobrazno formulirovatь, ishodя iz sootvetstviя konkretnoй gruppe funkcionalьnыh trebovaniй bezopasnosti, kotorыe predpolagaetsя vklюčitь v PZ/ZB. Osnovnoe preimuщestvo dannogo podhoda zaklюčaetsя v prostote postroeniя obosnovaniя trebovaniй bezopasnosti. Pri эtom neobhodimo kontrolirovatь polnoe sootvetstvie opredelennыh takim obrazom celeй bezopasnosti izložennыm v dannoй glave trebovaniяm i rekomendaciяm po ih formulirovaniю. V častnosti, neobhodimo ubeditьsя v tom, čto celi bezopasnosti ne soderžat izlišnie detali realizacii.

Primerы formulirovok celeй bezopasnosti privedenы v Priloženii 2 nastoящego Rukovodstva.

Sootvetstvie celeй bezopasnosti dlя OO ugrozam i PBOr dostigaetsя za sčet sleduющego:
a) učeta každoй identificirovannoй ugrozы, napravlennoй protiv OO, po kraйneй mere, odnoй celью bezopasnosti dlя OO;
b) učeta každogo pravila identificirovannoй PBOr, kotoromu dolžen udovletvorяtь OO, po kraйneй mere, odnoй celью bezopasnosti dlя OO.

Naglяdnostь takogo sootvetstviя možet bыtь dostignuta, naprimer, za sčet ispolьzovaniя perekrestnыh ssыlok ili otobraženiя rassmatrivaemogo sootvetstviя v vide tablicы. Nesmotrя na to, čto demonstraciя sootvetstviя celeй bezopasnosti ugrozam i PBOr budet privedena v razdele «Obosnovanie» (sm. glavы 12 i 13), dlя polьzovatelя PZ/ZB otobraženie takogo sootvetstviя bыlo bы polezno uže v razdele «Celi bezopasnosti». V slučae, kogda celь bezopasnosti predpolagaet realizaciю kakogo-libo pravila PBOr, predpočtitelьnee v razdel «Celi bezopasnosti» vklюčitь ssыlku na sootvetstvuющee pravilo PBOr, a ne povtorяtь ustanovlennыe PBOr pravila, podležaщie realizacii (sm. primer celi bezopasnosti O.DAC, privedennый v priloženii 2).

Celi bezopasnosti dlя OO dolžnы bыtь unikalьno markirovanы. Markirovka možet bыtь osnovana libo na posledovatelьnoй numeracii (naprimer, C1, C2, C3 i t.d.), libo na ispolьzovanii značaщih metok (sm. primerы, predstavlennыe v Priloženii 2).

9.2 Specifikaciя celeй bezopasnosti dlя sredы OO

Celi bezopasnosti dlя sredы OO vklюčaюt celi bezopasnosti, otvetstvennostь za dostiženie kotorыh vozlagaetsя na IT-sredu, a takže svяzannыe s realizacieй v predelah sredы funkcionirovaniя OO organizacionnыh i drugih netehničeskih mer.

Celi bezopasnosti dlя sredы OO dolžnы bыtь sformulirovanы dlя učeta teh aspektov sredы bezopasnosti OO, kotorыe po tem ili inыm pričinam ne popadaюt v sferu otvetstvennosti OO. V častnosti, celi bezopasnosti dlя sredы OO dolžnы bыtь napravlenы na:

a) protivostoяnie ugrozam (ili otdelьnыm aspektam ugroz), kotorыm OO ne protivostoit;

b) podderžku realizacii pravil PBOr, kotorыe ne udovletvorenы ili ne polnostью udovletvorenы OO;

v) podderžku identificirovannыh celeй bezopasnosti dlя OO v plane protivostoяniя ugrozam i realizacii sootvetstvuющih pravil PBOr;

g) podderžku identificirovannыh predpoloženiй o srede.

Takim obrazom, formulirovanie celeй bezopasnosti dlя sredы OO neobhodimo načinatь s formirovaniя spiska ugroz, PBOr i predpoloženiй, kotorыe ne bыli učtenы, libo bыli učtenы ne polnostью pri formulirovanii celeй bezopasnosti dlя OO. Dlя každogo takogo aspekta sredы bezopasnosti OO neobhodimo:

a) sformulirovatь novuю celь bezopasnosti dlя učeta rassmatrivaemogo aspekta sredы bezopasnosti OO;

b) postavitь v sootvetstvie rassmatrivaemomu aspektu sredы bezopasnosti OO ranee uže sformulirovannuю celь bezopasnosti, esli sootvetstvuющaя celь uže bыla sformulirovana (pri эtom možet potrebovatьsя dorabotka formulirovki celi bezopasnosti s tem, čtobы rasširitь ee oblastь deйstviя).

V dalьneйšem, pri formulirovanii logičeskogo obosnovaniя celeй bezopasnosti, spisok celeй bezopasnosti možet bыtь utočnen putem formulirovaniя dopolnitelьnыh celeй bezopasnosti, neobhodimыh dlя polnogo učeta vseh aspektov sredы bezopasnosti OO (ugroz, PBOr i predpoloženiй bezopasnosti).

Formulirovanie celeй bezopasnosti dlя sredы OO celesoobrazno osuщestvlяtь parallelьno s formulirovaniem celeй bezopasnosti dlя OO. Pri эtom process formulirovaniя celeй bezopasnosti v celom sleduet rassmatrivatь kak važnый эtap v razdelenii otvetstvennosti za obespečenie bezopasnosti, vozlagaemoй na OO i ego sredu. V svяzi s эtim neobhodimo priderživatьsя sleduющih pravil:

a) celi bezopasnosti dlя OO dolžnы bыtь sformulirovanы takim obrazom, čtobы sootvetstvuющie im trebovaniя IT ne trebovali črezmerno bolьših zatrat na ocenku ih vыpolneniя;

b) celi bezopasnosti dlя sredы OO dolžnы bыtь sformulirovanы takim obrazom, čtobы sootvetstvuющie im trebovaniя k organizacionnыm meram i ne-IT-sredstvam bыli praktičeski realizuemы, a takže ne nakladыvalisь črezmernыe ograničeniя na deйstviя polьzovateleй OO.

Tipovыe ne-IT-celi bezopasnosti dlя sredы mogut predusmatrivatь:
a) razrabotku i primenenie organizacionnыh mer (metodik, procedur, priemov), obespečivaющih эkspluataciю OO takim obrazom, čto ego bezopasnostь ne narušaetsя (v častnosti, soblюdaюtsя vse predpoloženiя o srede);

b) vklюčenie celeй, svяzannыh s obučeniem administratorov i polьzovateleй praktičeskim voprosam obespečeniя informacionnoй bezopasnosti.

Takim obrazom, v sostav celeй bezopasnosti dlя sredы neobhodimo vklюčatь, v tom čisle, celi bezopasnosti, svяzannыe s deйstviяmi upravleniя, napravlennыmi na obespečenie эffektivnosti funkciй bezopasnosti, predostavlяemыh obъektom ocenki. V nekotorыh slučaяh trebuemыe deйstviя upravleniя яvlяюtsя očevidnыmi i mogut bыtь vыraženы v forme ne-IT-celeй bezopasnosti dlя sredы (naprimer, pri rassmotrenii voprosa o neobhodimosti nadležaщego upravleniя funkciяmi audita). V drugih slučaяh, trebuemыe deйstviя upravleniя mogut zavisetь ot detalizovannыh trebovaniй bezopasnosti, ispolьzuemыh dlя realizacii celeй bezopasnosti OO. Naprimer, celь bezopasnosti «identifikaciя i autentifikaciя» (sm. celь C1 v p. 9.1) možet bыtь realizovana putem ispolьzovaniя mehanizma polьzovatelьskih paroleй.

Ispolьzovanie mehanizma polьzovatelьskih paroleй predpolagaet neobhodimostь formulirovaniя sootvetstvuющego trebovaniя k polьzovatelяm, svяzannogo s obespečeniem poslednimi nedostupnosti paroleй dlя drugih lic. Dannoe trebovanie bezopasnosti predstavlяet soboй trebovanie bezopasnosti dlя ne-IT-sredы (sm. p. 10.5.2) i, v svoю očeredь, utočnяet sootvetstvuющuю celь bezopasnosti dlя sredы OO.

Esli protivostoяnie ugroze ili provedenie PBOr častično vozlagaetsя na OO, a častično na ego sredu, sootvetstvuющaя celь bezopasnosti dolžna povtorяtьsя v každoй kategorii (celi bezopasnosti dlя OO, celi bezopasnosti dlя sredы). Tak, celь C1 «identifikaciя i autentifikaciя» (sm. p. 9.1) dlя vklюčeniя v sostav celeй bezopasnosti kak dlя OO, tak i dlя sredы OO možet bыtь pereformulirovana sleduющim obrazom:

«Obъekt ocenki, s učetom deйstviй podderžki so storonы ego sredы, dolžen unikalьno identificirovatь i vыpolnяtь proceduru autentifikacii identificirovannogo polьzovatelя do predostavleniя emu dostupa k funkcionalьnыm vozmožnostяm OO».

V teh slučaяh, kogda imeetsя vozmožnostь četko razdelitь otvetstvennostь meždu OO i ego sredoй, otpadaet neobhodimostь vklюčeniя odnoй i toй že celi v sostav ugroz obeih kategoriй celeй bezopasnosti. Naprimer, pri identifikacii celeй bezopasnosti, svяzannыh s auditom bezopasnosti, OO otvetstvenen za generaciю i sbor dannыh, a na srede OO ležit otvetstvennostь za podderžku deйstviй upravleniя (naprimer, analiz sgenerirovannыh dannыh).

Tipičnыm primerom celi bezopasnosti dlя IT-sredы яvlяetsя celь bezopasnosti «Identifikaciя i autentifikaciя polьzovateleй OO» dlя operacionnoй sistemы, pod upravleniem kotoroй rabotaet SUBD. Dalee (sm. p.10.4.2) putem utočneniя celeй bezopasnosti dlя IT-sredы formuliruюtsя trebovaniя bezopasnosti dlя IT-sredы.

Celi bezopasnosti dlя sredы, kak i celi bezopasnosti dlя OO, dolžnы bыtь unikalьno markirovanы. Pri эtom celesoobrazno prinяtь soglašenie o markirovke, kotoroe bы četko različalo celi bezopasnosti dlя OO i celi bezopasnosti dlя sredы. Naprimer, esli markirovka osnovana na posledovatelьnoй numeracii, to celi bezopasnosti dlя sredы mogut bыtь pronumerovanы sleduющim obrazom: CS1, CS2, CS3 i t.d. Primerы celeй bezopasnosti dlя sredы predstavlenы v Priloženii 2 nastoящego Rukovodstva.

10. Trebovaniя bezopasnosti IT

Dannaя glava soderžit rekomendacii po formirovaniю v PZ/ZB trebovaniй bezopasnosti IT kak dlя OO, tak i dlя IT-sredы. Krome togo, v dannoй glave kratko izlagaюtsя voprosы formirovaniя trebovaniй bezopasnosti dlя ne-IT-sredы (trebovaniя dlя ne-IT-sredы ne яvlяюtsя obяzatelьnыmi dlя PZ/ZB).

V PZ/ZB formuliruюtsя sleduющie tipы trebovaniй bezopasnosti IT.

a) Funkcionalьnыe trebovaniя bezopasnosti OO. Funkcionalьnыe trebovaniя bezopasnosti opredelяюt trebovaniя dlя funkciй bezopasnosti, obespečivaющih dostiženie celeй bezopasnosti dlя OO.

b) Trebovaniя doveriя k bezopasnosti OO. Trebovaniя doveriя k bezopasnosti opredelяюt trebuemый urovenь uverennosti v nadležaщeй realizacii FTB.

v) Trebovaniя bezopasnosti dlя IT-sredы. Trebovaniя dannogo tipa opredelяюt funkcionalьnыe trebovaniя i trebovaniя doveriя k bezopasnosti, vыpolnenie kotorыh vozlagaetsя na IT-sredu (to estь, na vnešnie po otnošeniю k OO apparatnыe, programmnыe ili programmno-apparatnыe sredstva) s tem, čtobы obespečitь dostiženie celeй bezopasnosti dlя OO (sm. risunok 3).


Risunok 3–Formirovanie trebovaniй bezopasnosti IT


Kak sleduet iz risunka 3, trebovaniя bezopasnosti IT mogut bыtь sformirovanы, gde эto vozmožno, s ispolьzovaniem kataloga funkcionalьnыh komponentov, opredelennыh v časti 2 OK, i kataloga komponentov doveriя k bezopasnosti, opredelennыh v časti 3 OK.

Ispolьzovanie katalogov trebovaniй, opredelennыh v OK, pozvolяet dostičь opredelennogo urovnя standartizacii v oblasti predstavleniя trebovaniй bezopasnosti, čto značitelьno oblegčaet sravnenie PZ i ZB meždu soboй.

Esli v častяh 2 i 3 OK otsutstvuюt sootvetstvuющie funkcionalьnыe komponentы ili komponentы doveriя k bezopasnosti, trebovaniя bezopasnosti IT mogut bыtь sformulirovanы v яvnom vide. Pri эtom sformulirovannыe v яvnom vide trebovaniя bezopasnosti IT dolžnы bыtь odnoznačnыmi, podležatь ocenke i izlagatьsя v stile, podobnom stilю izloženiя suщestvuющih komponentov OK.

V pp. 10.1.5 i 10.2.3 danы rekomendacii po specifikacii sootvetstvenno FTB i TDB v teh slučaяh, kogda v častяh 2 ili 3 OK net podhodящih komponentov trebovaniй dlя formulirovaniя rassmatrivaemыh FTB i TDB.

OK obespečivaюt opredelennuю stepenь gibkosti formirovaniя FTB i TDB na osnove komponentov trebovaniй, opredelяя nabor razrešennыh operaciй nad komponentami. Razrešennыmi operaciяmi яvlяюtsя sleduющie: naznačenie, iteraciя, vыbor i utočnenie.

Rekomendacii po vыpolneniю operaciй nad funkcionalьnыmi komponentami, opredelennыmi v OK, vklюčenы v p.10.1.2; nad komponentami doveriя k bezopasnosti – v p. 10.2.2.

Pri эtom otmetim, čto v OK každomu komponentu trebovaniй bezopasnosti naznačaetsя osnovannaя na opredelennoй klassifikacii unikalьnaя metka. Naprimer, dlя FAU_GEN.1.2 komponenta FAU_GEN.1 metka imeet sleduющiй vid:

a) ‘F’ ukazыvaet na to, čto эto – funkcionalьnoe trebovanie;

b) ‘AU’ ukazыvaet na to, čto FTB prinadležit klassu FTB «Audit bezopasnosti»;

v) ‘GEN’ ukazыvaet na to, čto FTB prinadležit semeйstvu «Generaciя dannыh audita bezopasnosti» klassa FAU;

g) ’1′ ukazыvaet na to, čto FTB prinadležit komponentu «Generaciя dannыh audita» semeйstva FAU_GEN;

d) ’2′ ukazыvaet na to, čto FTB яvlяetsя vtorыm эlementom komponenta FAU_GEN.1.

Trebovaniя FTB i TDB vыbiraюtsя na urovne komponentov: vse эlementы, vhodящie v komponent, dolžnы bыtь vklюčenы v PZ/ZB, esli v PZ/ZB vklюčaetsя dannый komponent.

V processe vыbora trebovaniй bezopasnosti IT neobhodimo učitыvatь sleduющie dva tipa vzaimosvяzeй meždu komponentami trebovaniй bezopasnosti IT:

1. Komponentы odnogo semeйstva mogut nahoditьsя v ierarhičeskoй svяzi. Otnošenie ierarhii predpolagaet, čto odin komponent vklюčaet vse эlementы trebovaniй, opredelennыe v drugom komponente эtogo semeйstva. Naprimer, FAU_STG.4 ierarhičen po otnošeniю k FAU_STG.3, potomu čto vse funkcionalьnыe эlementы, opredelennыe v FAU_STG.3, takže vklюčenы v FAU_STG.4. Odnako, FAU_STG.4 ne ierarhičen po otnošeniю k FAU_STG.1, i poэtomu možet potrebovatьsя vklюčenie v razrabatыvaemый PZ/ZB oboih эtih komponentov.

2. Komponentы mogut imetь zavisimosti ot komponentov drugih semeйstv. Naprimer, komponent FIA_UAU.1 (svяzannый s trebovaniem autentifikacii polьzovateleй) zavisit ot komponenta FIA_UID.1 (svяzannый s trebovaniem identifikacii polьzovateleй).

Pri formirovanii PZ/ZB vse zavisimosti komponentov trebovaniй bezopasnosti IT dolžnы bыtь, kak pravilo, udovletvorenы. Эto dostigaetsя vklюčeniem v PZ/ZB vseh komponentov, ot kotorыh zavisяt uže vklюčennыe v PZ/ZB komponentы. Zavisimosti mogut ne udovletvorяtьsя v teh slučaяh, kogda v PZ/ZB pokazano, čto zavisimosti ne sootvetstvuюt celяm bezopasnosti i ugrozam.

V dopolnenie k FTB i TDB v razdele PZ/ZB «Trebovaniя bezopasnosti IT» trebuetsя (gde neobhodimo) opredelitь minimalьnый urovenь stoйkosti funkcii bezopasnosti OO, a takže (gde neobhodimo) trebovaniя k točnomu značeniю stoйkosti.

10.1 Specifikaciя funkcionalьnыh trebovaniй bezopasnosti v profile zaщitы

10.1.1 Vыbor funkcionalьnыh trebovaniй bezopasnosti

Opredeliv celi bezopasnosti, neobhodimo utočnitь, kak эti celi bezopasnosti budut dostigatьsя. Dlя эtogo osuщestvlяetsя specifikaciя FTB, naprimer, putem vыbora podhodящih FTB, sgruppirovannыh v komponentы. Pri эtom process vыbora FTB značitelьno uproщaetsя, esli ispolьzuюtsя predopredelennыe funkcionalьnыe paketы, sootvetstvuющie konkretnыm celяm bezopasnosti dlя OO (sm. glavu 15).

V processe formirovaniя FTB vыdelяюtsя neskolьko эtapov. Ishodя iz nih, različaюt sleduющie dva tipa FTB:

a) osnovnыe FTB, neposredstvenno udovletvorяющie konkretnыe celi bezopasnosti dlя OO;

b) podderživaющie FTB, ne prednaznačennыe dlя neposredstvennogo udovletvoreniя celeй bezopasnosti dlя OO, no sposobstvuющie vыpolneniю osnovnыh FTB i, tem samыm, kosvennыm obrazom sposobstvuющie udovletvoreniю celeй bezopasnosti dlя OO.

Hotя v PZ ne obяzatelьno delitь FTB na osnovnыe i podderživaющie, takoe delenie možet okazatьsя poleznыm pri formirovanii razdela PZ «Obosnovanie».

Pervoй stadieй v processe vыbora FTB, sootvetstvuющim konkretnыm celяm bezopasnosti dlя OO, яvlяetsя identifikaciя osnovnыh FTB, neposredstvenno udovletvorяющih dannыm celяm bezopasnosti. Posle formirovaniя polnoй sovokupnosti osnovnыh FTB načinaetsя iteracionnый process formirovaniя polnoй sovokupnosti podderživaющih FTB. Kak upominalosь vыše, vse FTB (i osnovnыe, i podderživaющie) celesoobrazno, gde эto vozmožno, formirovatь na osnove funkcionalьnыh komponentov, opredelennыh v časti 2 OK. Pri vыbore funkcionalьnыh komponentov, opredelennыh v OK, celesoobrazno učitыvatь rekomendacii, soderžaщiesя v priloženiяh k časti 2 OK i svяzannыe s interpretacieй dannыh komponentov.

Vzaimosvяzь meždu osnovnыmi i podderživaющimi FTB pokazana na risunke 4. Dannaя vzaimosvяzь učitыvaetsя pri formirovanii razdela PZ «Obosnovanie», v kotorom trebuetsя pokazatь vzaimnuю podderžku FTB (sm. p.12.2.4). Pri эtom trebuetsя raskrыtь harakter podderžki, vыpolnяemoй podderživaющimi FTB dlя dostiženiя celeй bezopasnosti OO.


Risunok 4–Vzaimosvяzь osnovnыh i dopolnitelьnыh FTB


Formirovanie polnoй sovokupnosti podderživaющih FTB vklюčaet sleduющie stadii:

1) identifikaciя dopolnitelьnыh FTB, neobhodimыh (s točki zreniя razrabotčika PZ) dlя udovletvoreniя zavisimosteй vseh osnovnыh FTB;

2) identifikaciя dopolnitelьnыh FTB, neobhodimыh dlя dostiženiя celeй bezopasnosti dlя OO, vklюčaя FTB, neobhodimыe dlя zaщitы osnovnыh FTB ot mnogohodovыh atak (mnogohodovыe ataki napravlenы na preodolenie zaщitnыh mehanizmov, realizuющih opredelennuю funkciю bezopasnosti, zatem – na realizaciю ugrozы, dlя protivostoяniя kotoroй dannaя funkciя bezopasnosti prednaznačena).

3) identifikaciя dopolnitelьnыh FTB, neobhodimыh dlя udovletvoreniя zavisimosteй teh podderživaющih FTB, kotorыe bыli vыbranы na predыduщih stadiяh.

Identifikaciя podderživaющih FTB predstavlяet soboй iteracionnый process, naprimer:

a) predpoložim, čto PZ vklюčaet celь bezopasnosti, trebuющuю, čtobы OO opredelennыm obrazom reagiroval na sobыtiя, яvlяющiesя pokazatelem predstoящego narušeniя bezopasnosti. Naličie v PZ podobnoй celi predpolagaet identifikaciю osnovnogo FTB na baze komponenta FAU_ARP.1 «Signalы narušeniя bezopasnosti»;

b) komponent FAU_ARP.1 imeet zavisimostь ot komponenta FAU_SAA.1 «Analiz potencialьnыh narušeniй», kotorый takže dolžen bыtь vklюčen v PZ v kačestve podderživaющego FTB;

v) komponent FAU_SAA.1 imeet zavisimostь ot FAU_GEN.1 «Generaciя dannыh audita»;

g) komponent FAU_GEN.1 imeet zavisimostь ot FPT_STM.1 «Nadežnыe metki vremeni»;

d) komponent FPT_STM.1 ne trebuet vvoda dopolnitelьnыh funkcionalьnыh komponentov.

Nekotorыe zavisimosti mogut bыtь ostavlenы neudovletvorennыmi. Pri эtom neobhodimo poяsnitь, počemu sootvetstvuющie FTB ne trebuюtsя dlя udovletvoreniя celeй bezopasnosti.

Pri udovletvorenii zavisimosteй neobhodimo obespečitь soglasovannostь sootvetstvuющih komponent. Naprimer, v slučae FAU_ARP.1 soglasovannostь dostigaetsя harakterom trebovaniй (FAU_ARP.1 zavisit ot ožidaniя potencialьnogo narušeniя bezopasnosti, kotoroe opredeleno primeneniem FAU_SAA.1.2).

Dlя drugih komponentov soglasovannostь možet bыtь bolee problematičnoй. Naprimer, pri vklюčenii v PZ komponenta FDP_ACC.1 odnovremenno identificiruetsя konkretnaя politika upravleniя dostupom. Pri udovletvorenii zavisimosti FDP_ACC.1 ot komponenta FDP_ACF.1 neobhodimo obespečitь primenenie FDP_ACF.1 k toй že politike upravleniя dostupom, kotoraя identificirovalasь pri vklюčenii v PZ komponenta FDP_ACC.1. Esli k komponentu FDP_ACC.1 primenяetsя operaciя «iteraciя» dlя različnыh politik upravleniя dostupom, to zavisimostь ot komponenta FDP_ACF.1 dolžna bыtь udovletvorena neskolьko raz, prinimaя vo vnimanie každuю politiku upravleniя dostupom.

Identifikaciя dopolnitelьnыh podderživaющih FTB (t.e. teh, kotorыe ne trebuюtsя dlя udovletvoreniя zavisimosteй) vklюčaet identifikaciю lюbыh drugih FTB, kotorыe sčitaюtsя neobhodimыmi dlя sodeйstviя dostiženiю celeй bezopasnosti dlя OO. Takie FTB dolžnы sposobstvovatь dostiženiю celeй bezopasnosti dlя OO putem umenьšeniя dostupnыh narušitelю vozmožnosteй dlя atak. Krome togo, realizaciя dopolnitelьnыh podderživaющih FTB možet potrebovatь ot narušitelя bolee vыsokogo urovnя podgotovki i značitelьnыh resursov dlя provedeniя rezulьtativnoй ataki. V kačestve dopolnitelьnыh FTB mogut vыstupatь sleduющie:

a) FTB, osnovannыe na sootvetstvuющih komponentah iz togo že samogo klassa, čto i osnovnыe FTB. Naprimer, esli komponent FAU_GEN.1 «Generaciя dannыh audita» vklюčen v PZ, to možet vozniknutь neobhodimostь v sozdanii i vedenii žurnala audita bezopasnosti dlя hraneniя sgenerirovannыh dannыh (dlя formulirovaniя podobnogo trebovaniя neobhodim odin ili bolee funkcionalьnыh komponentov iz semeйstva FAU_STG, a takže potrebnostь v sredstvah prosmotra sgenerirovannыh dannыh audita (dlя formulirovaniя podobnogo trebovaniя neobhodim odin ili bolee funkcionalьnыh komponentov iz semeйstva FAU_SAR)). V kačestve alьternativы vklюčeniю podderživaющih FTB, sgenerirovannыe dannыe audita bezopasnosti mogut bыtь эksportirovanы dlя prosmotra v drugoe izdelie IT.

b) FTB, osnovannыe na sootvetstvuющih komponentah klassa FPT «Zaщita funkciй bezopasnosti OO». Takie FTB obыčno napravlenы na zaщitu celostnosti i/ili dostupnosti FBO ili dannыh FBO, na kotorыe polagaюtsя drugie FTB. Naprimer, dlя zaщitы FBO ot narušeniй i modifikaciй v PZ mogut bыtь vklюčenы FTB na osnove komponenta FPT_AMT.1 «Testirovanie abstraktnoй mašinы» i komponentov semeйstva FPT_SEP «Razdelenie domena».

v) FTB, osnovannыe na sootvetstvuющih komponentah klassa FMT «Upravlenie bezopasnostью». Эti komponentы mogut ispolьzovatьsя dlя specifikacii podderživaющih FTB upravleniя bezopasnostью. Tak, naprimer, v PZ možet bыtь vklюčeno podderživaющee FTB na baze komponenta FMT_REV.1, svяzannoe s otmenoй atributov bezopasnosti, esli v PZ vklюčeno FTB, svяzannoe s atributami bezopasnosti (naprimer, atributami upravleniя dostupom).

Vыbor podderživaющih FTB dolžen vsegda osuщestvlяtьsя v sootvetstvii s celяmi bezopasnosti, čtobы sformirovatь celostnый nabor vzaimno podderživaющih FTB. Takim obrazom, na vыbor podderživaющih FTB suщestvennoe vliяnie možet okazыvatь process postroeniя razdela PZ «Obosnovanie». Neobhodimo izbegatь vklюčeniя v PZ podderživaющih FTB, kotorыe ne napravlenы na dostiženie celeй bezopasnosti, tak kak vklюčenie podobnыh FTB privedet k ograničeniю sferы primeneniя PZ vsledstvie sleduющih obstoяtelьstv:

a) nekotorыe OO mogut bыtь ne sposobnы udovletvoritь izbыtočnыe podderživaющie FTB;

b) uveličenie čisla FTB uveličivaet stoimostь ocenki.

Esli PZ sozdaetsя na osnove drugogo (bazovogo) PZ, to process vыbora FTB značitelьno uproщaetsя. Odnako v novый PZ dolžnы bыtь vklюčenы (gde neobhodimo) FTB, otličnыe ot FTB bazovogo PZ, dlя učeta lюbыh različiй v srede bezopasnosti OO i/ili celяh bezopasnosti v razrabatыvaemom i bazovom profilяh zaщitы.

10.1.2 Vыpolnenie operaciй nad funkcionalьnыmi trebovaniяmi bezopasnosti

Kak izlagalosь vыše, nad funkcionalьnыmi komponentami mogut vыpolnяtьsя razrešennыe operacii. Vыpolnяя operacii nad funkcionalьnыmi komponentami, razrabotčik PZ možet sformirovatь sootvetstvuющee dannomu PZ trebovanie bezopasnosti. Dopustimыmi operaciяmi яvlяюtsя:

a) naznačenie – pozvolяet specificirovatь identificirovannый parametr (rezulьtat specifikacii možet bыtь, v tom čisle, i «pustыm» značeniem);

b) iteraciя – pozvolяet neskolьko raz ispolьzovatь funkcionalьnый komponent s različnыm vыpolneniem operaciй dlя opredeleniя različnыh trebovaniй;

v) vыbor – pozvolяet specificirovatь odin ili neskolьko эlementov iz spiska;

g) utočnenie – pozvolяet dobavitь detali k trebovaniяm bezopasnosti, ograničivaя, takim obrazom, vozmožnuю sovokupnostь priemlemыh rešeniй bez neobhodimosti vvedeniя novыh zavisimosteй ot drugih FTB.

Operaciя «iteraciя» často ispolьzuetsя dlя opredeleniя FTB na osnove komponentov klassa FMT («Upravlenie bezopasnosti»), kotorыe vklюčaюtsя v PZ dlя udovletvoreniя zavisimosteй mnogih drugih funkcionalьnыh komponentov. Dlя togo čtobы udovletvoritь takie zavisimosti, obыčno neobhodimo ispolьzovatь komponentы klassa FMT, nad kotorыmi operacii «naznačenie» i «vыbor» vыpolnяюt po-raznomu. Naprimer, komponent FMT_MSA.1 možet bыtь ispolьzovan mnogokratno dlя opredeleniя otdelьnыh FTB, sootvetstvuющih upravleniю različnыmi tipami atributov bezopasnosti. Analogično, možet potrebovatьsя neodnokratnoe ispolьzovanie komponentov semeйstv FDP_ACC i FDP_ACF v teh slučaяh, kogda trebuetsя, čtobы OO realizovыval različnыe politiki upravleniя dostupom, naprimer, diskrecionnuю i rolevuю.

Celesoobrazno ispolьzovatь operaciю «iteraciя» dlя ulučšeniя čitabelьnosti PZ, naprimer, dlя togo, čtobы razbitь složnoe i gromozdkoe FTB na otdelьnыe ponяtnыe FTB. Ispolьzovanie operacii «iteraciя», tem ne menee, možet poroditь drugie potencialьnыe problemы pri predstavlenii FTB v PZ/ZB (sm. p. 10.1.6).

Dlя každogo FTB, vklюčaemogo v PZ, neobhodimo prinяtь rešenie:

a) vыpolnitь operacii «naznačenie» i «vыbor», predusmotrennыe funkcionalьnыm komponentom dlя izloženiя FTB;

b) specificirovatь operaciю «utočnenie» dlя FTB.

Operacii «naznačenie» i «vыbor»

Operacii «naznačenie» i «vыbor» vыpolnяюtsя v tom slučae, esli razrabotčiku ZB ne predostavlяetsя vozmožnostь specifikacii (krome «utočneniя») togo, kak funkcionalьnый komponent ispolьzuetsя dlя udovletvoreniя celeй bezopasnosti. Drugimi slovami, sužaetsя oblastь otvetstvennosti razrabotčika ZB.

Pri prinяtii rešeniя o neobhodimosti vыpolneniя operaciй «naznačenie» i «vыbor» v každom konkretnom slučae neobhodimo učitыvatь sleduющie faktorы:

a) s odnoй storonы, PZ dolžen bыtь maksimalьno nezavisimыm ot realizacii: črezmerno detalьnaя specifikaciя vsledstvie vыpolneniя operaciй možet statь pričinoй neobosnovannogo sokraщeniя čisla OO, kotorыe mogli bы sootvetstvovatь dannomu PZ.

b) s drugoй storonы, esli vыbranы komponentы trebovaniй, v kotorыh specificirovanы razrešennыe operacii (naznačenie, vыbor), to эti operacii dolžnы ispolьzovatьsя v PZ dlя konkretizacii trebovaniй do urovnя detalizacii, neobhodimogo dlя demonstracii dostiženiя celeй bezopasnosti.

Sledovatelьno, operacii «naznačenie» i «vыbor» celesoobrazno vыpolnяtь, ishodя iz neobhodimosti demonstracii dostiženiя celeй bezopasnosti. Važnыm testom pravilьnosti vыpolneniя operacii nad komponentom яvlяetsя process formirovaniя «Logičeskogo obosnovaniя trebovaniй bezopasnosti IT»: argumentы, ispolьzuemыe dlя demonstracii prigodnosti trebovaniй bezopasnosti IT dlя udovletvoreniя celeй bezopasnosti, ne dolžnы opiratьsя na detali, kotorыe ne bыli specificirovanы v FTB. Naprimer, dlя FTB upravleniя dostupom, osnovannogo na komponente FDP_ACF.1, specifikaciю pravil upravleniя dostupom možno vozložitь na razrabotčika ZB v tom slučae, esli takie pravila uže opredelenы v PBOr, dlя udovletvoreniя kotoroй prednaznačena sootvetstvuющaя (upravleniю dostupom) celь bezopasnosti.

Odin iz rekomenduemыh podhodov k rešeniю upomяnutoй vыše problemы – častičnoe vыpolnenie operaciй. Sleduя dannomu podhodu, možno ostavitь razrabotčiku ZB maksimalьnuю svobodu deйstviй i, vmeste s tem, predotvratitь takoe vыpolnenie operaciй «naznačenie» i «vыbor», kotoroe nesovmestimo s celяmi bezopasnosti dlя OO.

Naprimer, v nižesleduющem FTB (osnovannom na FAU_STG.4.1) operaciя «vыbor» vыpolnena častično putem predotvraщeniя vыbora varianta «ignorirovanie podvergaemыh auditu sobыtiй», kotorый razrabotčik sčitaet nesovmestimыm s celяmi bezopasnosti dlя OO. Takim obrazom, FTB predostavlяet razrabotčiku ZB dva (a ne tri) varianta vыbora:

«FBO dolžnы vыpolnitь [vыbor: «predotvraщenie podvergaemыh auditu sobыtiй, isklюčaя predprinimaemыe upolnomočennыm polьzovatelem so specialьnыmi pravami», «zapisь poverh samыh starыh zapiseй audita»] i [naznačenie: drugie deйstviя, kotorыe nužno predprinяtь v slučae vozmožnogo sboя sohraneniя audita] pri perepolnenii žurnala audita».

Drugoй primer – FTB (osnovannoe na komponente FPT_ITT.1), kotoroe pokazыvaet, kak častičnoe vыpolnenie operacii «vыbor» predpisыvaet primenenie odnogo iz variantov vыbora. Komponent FPT_ITT.1 dopuskaet specifikaciю trebovaniя zaщitы peredavaemыh dannыh FBO ot raskrыtiя i/ili modifikacii. V rassmatrivaemom primere razrabotčik PZ opredelil, čto dlя dostiženiя celeй bezopasnosti trebuetsя zaщita peredavaemыh dannыh FBO ot raskrыtiя. Narяdu s эtim, razrabotčik PZ ne presleduet celi zapretitь, čtobы v ZB dlя sootvetstvuющego OO bыla specificirovana zaщita ot modifikacii. Takim obrazom, častičnoe vыpolnenie operacii «vыbor» zaklюčaetsя v isklюčenii neželatelьnogo varianta (zaщita tolьko ot modifikacii):

«FBO dolžnы zaщititь svoi dannыe ot [vыbor: «raskrыtie», «raskrыtie i modifikaciя»] pri ih peredače meždu razdelennыmi častяmi OO».

Ishodя iz rassmotrennыh primerov, možno sdelatь vыvod, čto častičnoe vыpolnenie operacii «vыbor» яvlяetsя nadležaщim, esli rezulьtiruющee FTB predstavlяet podmnožestvo variantov vыbora, kotorыe яvlяюtsя razrešennыmi dlя ishodnogo funkcionalьnogo komponenta. Analogično, častičnoe vыpolnenie operacii «naznačenie» яvlяetsя nadležaщim, esli dopustimыe značeniя vыpolneniя operacii «naznačenie» nad FTB яvlяюtsя dopustimыmi i dlя ishodnogo funkcionalьnogo komponenta. Esli po kakoй-libo pričine эti usloviя ne vыpolnяюtsя, to neobhodimo ispolьzovatь rasširennый funkcionalьnый komponent s drugimi operaciяmi «naznačenie» i «vыbor».

Vыpolnenie operaciй «naznačenie» i «vыbor» dolžno bыtь prяmыm. To estь, pri vыpolnenii operacii «naznačenie» neobhodimo obespečitь, čtobы specificiruemый parametr bыl bы odnoznačnыm (točno vыražennыm). Pri vыpolnenii operacii «vыbor» neobhodimo vыbratь variant (variantы) iz spiska s učetom celeй bezopasnosti dlя OO.

Pri vыpolnenii operaciй «naznačenie» i/ili «vыbor» v PZ celesoobrazno vыdelitь drugim šriftom specificirovannый tekst v celяh bolьšeй naglяdnosti dlя polьzovateleй PZ (i osobenno dlя ocenщika PZ pri proverke sootvetstviя PZ trebovaniяm OK). Naprimer, trebovanie na osnove эlementa FMT_SAE.1.1 moglo bыtь predstavleno sleduющim obrazom:

«FBO dolžnы ograničitь vozmožnostь naznačatь srok deйstviя dlя paroleй polьzovatelя upolnomočennыm administratorom».

Esli operaciя ostaetsя nevыpolnennoй, to neobhodimo poяsnitь, čto vыpolnenie operacii vozlagaetsя na razrabotčika ZB. Naprimer, trebovanie na osnove эlementa FDP_RIP.1.1 moglo bы bыtь specificirovano v PZ sleduющim obrazom:

«FBO dolžnы obespečitь nedostupnostь lюbogo predыduщego soderžaniя resursov pri raspredelenii resursa dlя sleduющih obъektov: [naznačenie: spisok specificiruemыh razrabotčikom ZB obъektov]».

Nevыpolnennыe (libo vыpolnennыe častično) operacii celesoobrazno, gde neobhodimo, soprovoždatь rekomendaciяmi razrabotčiku ZB o tom, kakim obrazom sleduet vыpolnяtь operacii (naprimer, v vide zamečaniй po primeneniю).

Operaciя «utočnenie»

Operaciя «utočnenie» možet bыtь vыpolnena nad lюbыm эlementom lюbogo funkcionalьnogo komponenta i zaklюčaetsя v dobavlenii nekotorыh tehničeskih detaleй. Naprimer, esli dlя konkretnogo OO trebuetsя obъяsnenie smыsla terminov «subъekt» i «obъekt» v ramkah ZB, to эti terminы podvergaюtsя operacii «utočnenie». Dopolnitelьnыe detali ne nalagaюt novыh trebovaniй, oni ograničivaюt sovokupnostь vozmožnыh funkciй ili mehanizmov dlя realizacii specificirovannogo trebovaniя bezopasnosti.

Sčitaetsя, čto operaciя «utočnenie» vыpolnena nadležaщim obrazom, esli vыpolnenie utočnennogo trebovaniя privodit k vыpolneniю dannogo trebovaniя, kak esli bы ono ne bыlo utočneno. Kak pravilo, operaciя «utočnenie» dolžna ispolьzovatьsя v PZ racionalьno, čtobы ne ograničivatь sferu deйstviя PZ. Ispolьzovanie operacii «utočnenie» celesoobrazno v sleduющih slučaяh:

a) esli PZ razrabatыvaetsя organizacieй, vыdvigaющeй takie trebovaniя bezopasnosti, kotorыh net v funkcionalьnыh komponentah OK i kotorыe ne mogut bыtь specificirovanы putem vыpolneniя nad funkcionalьnыmi komponentami razrešennыh operaciй «naznačenie» i «vыbor»;

b) esli vыbrannый funkcionalьnый komponent dopuskaet nenadležaщuю dlя rassmatrivaemogo tipa OO realizaciю trebovaniя bezopasnosti;

v) esli čitabelьnostь FTB možet bыtь ulučšena.

V celяh sodeйstviя polьzovatelю PZ (i, osobenno, – ocenщiku PZ) celesoobrazno (kak i v slučaяh s operaciяmi «naznačenie» i «vыbor») vыdelяtь specificirovannый s pomoщью operacii «utočnenie» tekst.

Dalee privoditsя primer vыpolneniя operacii «utočnenie» primenitelьno k trebovaniю na osnove эlementa FMT_MTD.3.1:

«FBO dolžnы obespečitь prisvoenie dannыm FBO tolьko bezopasnыh značeniй.

Utočnenie: FBO dolžnы obespečitь, čtobы minimalьnaя dlina parolя, trebuemogo OO, bыla, po kraйneй mere, 6 simvolov».

Rekomendacii po ispolьzovaniю operacii «utočnenie» dlя ulučšeniя čitabelьnosti FTB budut privedenы v p.10.1.6.

10.1.3 Specifikaciя trebovaniй audita

Esli v PZ vklюčenы trebovaniя audita (osnovannыe na komponente FAU_GEN.1), to pri formirovanii vseh ostalьnыh funkcionalьnыh trebovaniй, vklюčaemыh v PZ, neobhodimo specificirovatь minimalьnый nabor podležaщih auditu sobыtiй i minimalьnый obъem podležaщeй auditu informacii.

Vыbor podležaщih auditu sobыtiй i podležaщeй auditu informacii zavisit ot sleduющih osnovnыh faktorov:

a) opredelennыe v PBOr trebovaniя k auditu bezopasnosti;

b) značimostь audita bezopasnosti dlя dostiženiя celeй bezopasnosti;

v) značimostь nekotorыh sobыtiй i ih harakteristik dlя celeй bezopasnosti;

g) analiz «stoimostь-эffektivnostь».

Naprimer, esli OO prednaznačen dlя zaщitы ot zloumыšlennыh polьzovateleй ili hakerov, to auditu dolžnы podležatь sobыtiя, svяzannыe s narušeniem politiki upravleniя dostupom. V to že vremя, v sostav sobыtiй, podležaщih auditu, možno ne vklюčatь sobыtiя, svяzannыe s administrirovaniem OO so storonы administratora. Množestvo takih sobыtiй zavisit ot stepeni doveriя k administratoru.

Pri provedenii analiza «stoimostь-эffektivnostь» dolžnы bыtь rassmotrenы sleduющie voprosы:

a) яvlяetsя li registriruemaя informaciя poleznoй dlя ee posleduющego analiza;

b) imeet li administrator neobhodimыe resursы (naprimer, instrumentalьnыe sredstva podderžki) dlя эffektivnogo analiza sobrannoй informacii;

v) kakovы predpolagaemыe zatratы na hranenie i obrabotku sobiraemыh dannыh.

V OK vvedenы tri predopredelennыh urovnя audita: minimalьnый, bazovый i detalizirovannый. Dlя každogo predopredelennogo urovnя v časti 2 OK opredelen minimalьnый nabor sobыtiй, podležaщih auditu, a takže minimalьnый obъem podležaщeй registracii informacii s privяzkoй k funkcionalьnыm komponentam.

Predopredelennыe urovni audita mogut bыtь oharakterizovanы sleduющim obrazom:

a) minimalьnый urovenь audita trebuet, čtobы auditu podvergalosь tolьko opredelennoe podmnožestvo deйstviй ili sobыtiй, svяzannыh s dannыm funkcionalьnыm komponentom (podvergaemыe auditu sobыtiя – эto obыčno naibolee značimыe sobыtiя, predstavlяющie naibolьšiй interes);

b) bazovый urovenь audita trebuet, čtobы auditu podvergalisь vse deйstviя ili sobыtiя, svяzannыe s dannыm funkcionalьnыm komponentom (naprimer, uspešnыe i neudačnыe popыtki dostupa k OO);

v) detalizirovannый urovenь audita otličaetsя ot bazovogo naličiem trebovaniй registracii dopolnitelьnoй informacii (detalizirovannый urovenь neobhodim v teh slučaяh, kogda obъem generiruemыh dannыh audita nedostatočen ili analiz dannыh audita predpolagaetsя provoditь s ispolьzovaniem oborudovaniя ili sredstv obnaruženiя vtorženiя).

Esli ni odin iz perečislennыh urovneй ne яvlяetsя nadležaщim, to celesoobrazno vыbratь neopredelennый urovenь audita i v яvnom vide perečislitь vse podležaщie auditu sobыtiя v эlemente FAU_GEN.1.1. Naprimer, možno prinяtь za osnovu minimalьnый urovenь audita, no v rяde slučaev otklonяtьsя ot minimalьnыh trebovaniй vsledstvie togo, čto kakoe-libo podmnožestvo deйstviй ili sobыtiй яvlяetsя bolee značimыm dlя dostiženiя celeй bezopasnosti. Naprimer, esli komponent FDP_ACF.1 vklюčen v PZ, to možet potrebovatьsя bolee detalьnый audit neudačnыh popыtok dostupa po sravneniю s uspešnыmi.

Čtobы sformirovatь spisok sobыtiй, podležaщih auditu, neobhodimo proanalizirovatь každый ispolьzuemый v PZ funkcionalьnый komponent; esli že naznačen odin iz predopredelennыh urovneй audita (minimalьnый, bazovый ili detalizirovannый), to podležaщie auditu sobыtiя v яvnom vide identificiruюtsя v razdele «Audit» opisaniя semeйstva komponentov. Rekomenduetsя formirovatь tablicu, identificiruющuю sobыtiя i (pri neobhodimosti) dopolnitelьnuю podležaщuю registracii informaciю.

10.1.4 Specifikaciя trebovaniй upravleniя

V podrazdele «Upravlenie» dlя každogo semeйstva komponent (sm. častь 2 OK) opredelen spisok deйstviй upravleniя primenitelьno k komponentam dannogo semeйstva. Naličie spiska deйstviй upravleniя možet predpolagatь vklюčenie v PZ otdelьnыh komponent iz klassa FMT «Upravlenie bezopasnostью». Podrazdel «Upravlenie» opredelen v OK kak informativnый, i poэtomu motivirovatь otsutstvie v PZ teh ili inыh komponentov upravleniя net neobhodimosti (esli, konečno, dannыe komponentы upravleniя ne identificirovanы v podrazdele «Zavisimosti»).

Takim obrazom, vozmožnыe deйstviя upravleniя specificiruюtsя togda, kogda funkcionalьnыe komponentы ssыlaюtsя na konfigurirovannыe dannыe FBO, kotorыe podležat upravleniю i kontrolю. Naprimer, celi bezopasnosti dlя OO mogut bыtь ne dostignutы v tom slučae, esli administratorы OO ne bыli ograničenы v vozmožnosti modifikacii dannыh FBO po svoemu usmotreniю. Poэtomu komponentы klassa FMT často vklюčaюtsя v PZ dlя togo, čtobы sformirovatь na ih osnove podderživaющie FTB, sposobstvuющie dostiženiю celeй bezopasnosti dlя OO, i čtobы FTB v celom яvlяlisь vzaimno podderživaющimi (sm. pp.12.1.1 i 12.1.4).

10.1.5 Specifikaciя v PZ funkcionalьnыh trebovaniй, ne izložennыh v časti 2 OK

Esli pri razrabotke PZ trebuetsя vklюčitь v dokument funkcionalьnoe trebovanie, dlя kotorogo v OK otsutstvuet sootvetstvuющiй funkcionalьnый komponent, to v kačestve formы predstavleniя rassmatrivaemogo FTB neobhodimo ispolьzovatь formu predstavleniя funkcionalьnыh komponentov v OK.

Prinяtie rešeniя o naličii libo otsutstvii sootvetstvuющego funkcionalьnogo komponenta v časti 2 OK možet okazatьsя složnыm, t. k. predpolagaet horošee znanie OK. S učetom эtogo rekomenduetsя ispolьzovatь priloženie 2 nastoящego Rukovodstva, identificiruющee funkcionalьnыe komponentы, sootvetstvuющie osnovnыm funkcionalьnыm trebovaniяm bezopasnosti. V bolьšinstve slučaev nadležaщee FTB možet bыtь polučeno putem sootvetstvuющego ispolьzovaniя operaciй «utočnenie», «naznačenie» i «vыbor», odnako ne rekomenduetsя formulirovatь FTB na osnove konkretnogo funkcionalьnogo komponenta, esli эto srazu ne privodit k formirovaniю nadležaщego FTB (naprimer, vvodit zavisimosti, nesootvetstvuющie celяm bezopasnosti). V эtom slučae neobhodimo primenяtь drugoй podhodящiй funkcionalьnый komponent ili pri otsutstvii takovogo formulirovatь FTB v яvnom vide, ispolьzuя modelь predstavleniя funkcionalьnыh komponentov OK.

Specifikaciя FTB v яvnom vide vklюčaet:

a) opredelenie FTB na tom že urovne abstrakcii, čto i funkcionalьnыe komponentы OK;

b) ispolьzovanie stilя i frazeologii (яzыka) funkcionalьnыh komponentov OK.

Podobie novogo FTB drugim FTB, kotorыe uže imeюtsя v sostave suщestvuющego v OK klassa ili semeйstva, sposobstvuet ograničeniю ego noviznы i ispolьzovaniю specifičeskih dlя dannogo klassa ili semeйstva formulirovok i ponяtiй.

Stilь predstavleniя funkcionalьnыh komponentov OK predusmatrivaet sleduющee:

a) bolьšinstvo funkcionalьnыh komponentov načinaetsя frazoй «FBO dolžnы», dalee idet odno iz sleduющih slov: predostavlяtь vozmožnostь, obnaruživatь, osuщestvlяtь, obespečivatь, ograničivatь, kontrolirovatь, razrešatь, predotvraщatь, zaщiщatь, predostavlяtь;

b) ispolьzovanie ustoяvšihsя terminov, takih kak «atributы bezopasnosti» i «upolnomočennый polьzovatelь»;

v) každый эlement trebovaniй dolžen bыtь samostoяtelьnыm i ponяtnыm bez kakih-libo ssыlok na drugie эlementы trebovaniй;

g) každoe trebovanie bezopasnosti dolžno bыtь ocenivaemo, t. e. dolžna suщestvovatь vozmožnostь datь zaklюčenie o tom, udovletvorяet li OO rassmatrivaemomu trebovaniю.

Pri formirovanii FTB v яvnom vide neobhodimo rešitь:

a) budut li nad FTB soveršatьsя operacii «vыbor» i «naznačenie», podležaщie vыpolneniю razrabotčikom ZB;

b) predpolagaet li FTB kakie-libo zavisimosti ot drugih FTB, kotorыe dolžnы bыtь udovletvorenы v PZ;

v) budet li FTB trebovatь audita kakih-libo sobыtiй i, esli budet, to kakaя informaciя o sobыtiяh podležit registracii;

g) budet li FTB vklюčatь parametrы bezopasnosti, podležaщie upravleniю, naprimer, zavisetь ot atributov bezopasnosti, kotorыe podležat upravleniю.

Imenovanie FTB, ne osnovannыh na komponentah OK, dolžno pokazыvatь, čto эto – dopolnitelьnoe po otnošeniю k OK trebovanie bezopasnosti.

S tem, čtobы ne vozniklo protivorečiя s vozmožnыmi imenami klassov, semeйstv i komponentov buduщih versiй OK, sleduet izbegatь kratkoй formы imenovaniя XXX_YYY. Odnako esli komponent rasšireniя sformirovan na osnove suщestvuющego komponenta OK, to i imenovatь ego celesoobrazno unikalьnыm, no shožim s komponentom OK obrazom.

10.1.6 Predstavlenie funkcionalьnыh trebovaniй bezopasnosti

Pri formirovanii perečnя FTB razrabotčik PZ dolžen predstavitь ih takim obrazom, čtobы obespečitь nailučšee ponimanie trebovaniй bezopasnosti polьzovatelяmi i soglasovanie FTB s trebovaniяmi OK.

V processe predstavleniя FTB neobhodimo učitыvatь sleduющie rekomendacii.

Vo-pervыh, celesoobrazno obъedinitь FTB v gruppы i ozaglavitь dannыe gruppы FTB, ishodя iz konteksta PZ. Zagolovki grupp FTB mogut otličatьsя ot zagolovkov klassov, semeйstv i komponentov, opredelennыh v časti 2 OK.

Vo-vtorыh, dlя markirovki FTB v PZ sovsem ne obяzatelьno ispolьzovatь sistemu markirovki эlementov, prinяtuю v časti 2 OK. Dlя эtih celeй razrabotčik PZ možet ispolьzovatь svoю sobstvennuю sistemu markirovki FTB (naprimer, na osnove bolee informativnыh metok). Pri ispolьzovanii sobstvennoй sistemы markirovki FTB razrabotčik PZ dolžen predstavitь (naprimer, v priloženii k PZ) otobraženie predstavlennыh v PZ FTB na sootvetstvuющie funkcionalьnыe komponentы, opredelennыe v časti 2 OK. Podhod k markirovke FTB na osnove sobstvennoй sistemы markirovki razrabotčika PZ яvlяetsя predpočtitelьnыm, v častnosti, togda, kogda v PZ imeюtsя neodnokratnыe ssыlki na odni i te že funkcionalьnыe komponentы. V эtih slučaяh ispolьzovanie sistemы markirovki, prinяtoй v časti 2 OK, moglo bы privesti k serьeznыm zatrudneniяm pri formirovanii podrazdela PZ «Logičeskoe obosnovanie trebovaniй bezopasnosti».

V-tretьih, značitelьno povыsitь čitabelьnostь FTB možno za sčet nadležaщego ispolьzovaniя operacii «utočnenie». S pomoщью operacii «utočnenie» možno zamenitь terminы bolee obщego haraktera (naprimer, «atributы bezopasnosti») na specifičeskie terminы, v bolьšeй stepeni sootvetstvuющie konkretnomu tipu OO ili opisыvaemoй funkcionalьnoй vozmožnosti bezopasnosti.

Dalee priveden primer vыpolneniя operacii «utočnenie» nad эlementom FMT_MSA.3.1 funkcionalьnogo komponenta FMT_MSA.3

«Inicializaciя statičeskih atributov».

Эlement FMT_MSA.3.1 v časti 2 OK imeet sleduющiй vid:

FMT_MSA.3.1. FBO dolžnы osuщestvlяtь [naznačenie: PFB upravleniя dostupom, PFB upravleniя informacionnыmi potokami], čtobы obespečitь [vыbor: ograničitelьnыe, razrešaющie, s drugimi svoйstvami] značeniя po umolčaniю dlя atributov bezopasnosti, kotorыe ispolьzuюtsя dlя osuщestvleniя PFB.

Posle vыpolneniя operaciй «naznačenie», «vыbor» i «utočnenie», sootvetstvuющih эlementu FMT_MSA.3.1, FTB prinimaet sleduющiй vid:

FBO dolžnы osuщestvlяtь diskrecionnuю politiku upravleniя dostupom, čtobы obespečitь ograničitelьnыe značeniя po umolčaniю dlя razrešeniй na dostup k obъektu.

V dannom primere operaciя «utočnenie» ispolьzovalasь dlя togo, čtobы v formulirovke FTB zamenitь vыraženie bolee obщego haraktera «atributы bezopasnosti, kotoroe ispolьzuetsя dlя osuщestvleniя PFB» na vыraženie «razrešenie na dostup k obъektu», kotoroe v bolьšeй stepeni sootvetstvuet specificirovannoй pri vыpolnenii operacii «naznačenie» diskrecionnoй politike upravleniя dostupom.

Rezulьtat vыpolneniя operacii «utočnenie» v formulirovke FTB dolžen bыtь vыdelen kursivom (ili drugim sposobom). Každoe ispolьzovanie operacii «utočnenie» dolžno soprovoždatьsя sootvetstvuющim poяsneniem v razdele PZ «Obosnovanie» v celяh oblegčeniя posleduющeй ocenki PZ.

Realizaciя opisannogo podhoda k predstavleniю FTB proillюstrirovana na primere formirovaniя PZ, privedennom v Priloženii 5 nastoящego Rukovodstva.

10.2 Specifikaciя v PZ trebovaniй doveriя k bezopasnosti

10.2.1 Vыbor trebovaniй doveriя k bezopasnosti

Vыbor trebovaniй doveriя k bezopasnosti zavisit ot sleduющih faktorov:

a) cennosti aktivov, podležaщih zaщite, i osoznavaemogo riska ih komprometacii;

b) tehničeskoй realizuemosti;

v) stoimosti razrabotki i ocenki;

g) trebuemogo vremeni dlя razrabotki i ocenki OO;

d) trebovaniй rыnka (dlя produktov IT);

e) zavisimosteй funkcionalьnыh komponentov i komponentov doveriя k bezopasnosti.

Čem vыše cennostь aktivov, podležaщih zaщite, i čem bolьše risk komprometacii эtih aktivov, tem vыše trebuetsя urovenь doveriя k bezopasnosti dlя funkciй bezopasnosti, ispolьzuemыh dlя zaщitы rassmatrivaemыh aktivov. Эti momentы sleduet otrazitь pri formirovanii celeй bezopasnosti. Organizacii mogut ustanavlivatь svoi sobstvennыe pravila opredeleniя urovnя doveriя k bezopasnosti, kotorый trebuetsя dlя sniženiя riska dlя эtih aktivov do priemlemogo urovnя. Эto, v svoю očeredь, opredelяet trebuemый urovenь doveriя k bezopasnosti produktov IT, kotorыe predpolagaetsя ispolьzovatь v эtoй organizacii.

Ostalьnыe faktorы, takie kak stoimostь i zatratы vremeni, celesoobrazno rassmatrivatь kak ograničeniя na urovenь doveriя k bezopasnosti, kotorый яvlяetsя praktičeski dostižimыm. Tehničeskaя realizuemostь rassmatrivaetsя v tom slučae, kogda sčitaetsя praktičeski necelesoobraznoй podgotovka svidetelьstva, trebuemogo konkretnыmi komponentami doveriя k bezopasnosti. Dannaя situaciя aktualьna dlя nasleduemыh sistem (v slučaяh, kogda konstruktorskaя dokumentaciя nedostupna), a takže v teh slučaяh, kogda v ideale trebuetsя vыsokiй urovenь doveriя k bezopasnosti, no tehničeski nevozmožno za priemlemoe vremя podgotovitь trebuemoe formalьnoe libo poluformalьnoe svidetelьstvo. V teh slučaяh, kogda imeюtsя ograničeniя na praktičeski dostižimый urovenь doveriя k bezopasnosti, celesoobrazno soglasitьsя s tem, čto maksimalьno dostižimый urovenь doveriя k bezopasnosti menьše, čem teoretičeski vozmožnый. Takoe vospriяtie riska dolžno bыtь otraženo i pri izloženii celeй bezopasnosti.

Izloženie celeй bezopasnosti možet takže ukazыvatь na to, kakie konkretnыe trebovaniя doveriя k bezopasnosti dolžnы bыtь vklюčenы v nabor TDB. Naprimer:

a) celi bezopasnosti dlя OO mogut ustanavlivatь, čto OO dolžen bыtь stoйkim k narušitelяm s vыsokim potencialom napadeniя;

b) celi bezopasnosti mogut trebovatь analiza skrыtыh kanalov, čto odnoznačno opredelяet vklюčenie v PZ/ZB komponenta iz semeйstva AVA_CCA «Analiz skrыtыh kanalov», trebuющego provedeniя analiza skrыtыh kanalov;

v) pri formulirovke celeй bezopasnosti možet bыtь otmečeno, čto bezopasnostь OO serьezno zavisit ot bezopasnosti sredы razrabotki. V эtom slučae nastoяtelьno rekomenduetsя vklюčitь v nabor TDB komponent iz semeйstva ALC_DVS «Bezopasnostь razrabotki», soderžaщiй trebovanie analiza bezopasnosti sredы razrabotki.

Vыbor TDB otnositelьno nesložen, esli trebuetsя prosto vыbratь podhodящiй paket doveriя k bezopasnosti (sm. glavu 15), naprimer, OUD, opredelennый v OK. Dlя togo čtobы vыbratь podhodящiй s točki zreniя sformulirovannыh celeй bezopasnosti paket doveriя k bezopasnosti, neobhodimo izučitь ego opisanie (naprimer, pri vыbore OUD sm. glavu 6 časti 3 OK).

Vozmožnы slučai, kogda paket doveriя k bezopasnosti sootvetstvuet trebuemomu urovnю doveriя, no v nem otsutstvuюt trebovaniя, svяzannыe s nekotorыmi celяmi bezopasnosti. V эtih slučaяh celesoobrazno vklюčatь v TDB dopolnitelьnыe (po otnošeniю k paketu) trebovaniя doveriя k bezopasnosti dlя togo, čtobы učestь vse celi bezopasnosti.

Esli v PZ vklюčenы rasširennыe trebovaniя doveriя k bezopasnosti, to neobhodimo udovletvoritь vse zavisimosti komponentov doveriя k bezopasnosti, soderžaщih эti dopolnitelьnыe trebovaniя. Naprimer, esli v PZ paket OUD3 rasširen putem ispolьzovaniя komponenta AVA_VLA.2 «Nezavisimый analiz uяzvimosteй», to v PZ takže neobhodimo vklюčitь komponentы ADV_LLD.1 «Opisatelьnый proekt nižnego urovnя» i ADV_IMP.1 «Podmnožestvo realizacii FBO».

10.2.2 Vыpolnenie operaciй nad trebovaniяmi doveriя k bezopasnosti

V otličie ot funkcionalьnыh komponentov, k komponentam doveriя k bezopasnosti neprimenimы operacii «naznačenie» i «vыbor». Odnako vozmožnы sleduющie operacii:

a) «iteraciя», dopuskaющaя mnogokratnoe ispolьzovanie odnogo i togo že komponenta doveriя k bezopasnosti;

b) «utočnenie», pozvolяющee dobavitь detali k trebovaniю doveriя k bezopasnosti.

Na praktike, vыpolnenie operacii «iteraciя» možet potrebovatьsя v teh slučaяh, kogda trebuюtsя raznыe «utočneniя» dlя odnogo i togo že komponenta doveriя k bezopasnosti, kotorый ispolьzuetsя dlя raznыh časteй OO, libo kogda v PZ/ZB opredelenы različnыe naborы TDB dlя raznыh komponentov sostavnogo OO (sm. p. 14.1.4). V poslednem slučae iteraciя trebuetsя dlя komponentov doveriя k bezopasnosti (utočnennыh ili net), kotorыe ispolьzuюtsя dlя bolee čem odnogo komponenta sostavnogo OO. Primenenie operacii «utočnenie» k TDB možet bыtь vыpolneno v sleduющih celяh:

a) v celяh predpisaniя razrabotčiku ispolьzovatь konkretnыe instrumentalьnыe sredstva razrabotki, metodiki, modeli žiznennogo cikla, metodы analiza, sistemы oboznačeniй, opredelennыe standartы i tak dalee;

b) v celяh predpisaniя deйstviй ocenщika, naprimer:

- komponent ADV_IMP.1 opredelяet, kakie časti predstavleniя realizacii OO dolžnы bыtь ocenenы;

- komponent ADV_IMP.1 identificiruet izvestnыe uяzvimosti, kotorыe neobhodimo rassmatrivatь kak «яvnыe» uяzvimosti v kontekste dannogo OO.

10.2.3 Specifikaciя v profile zaщitы trebovaniй doveriя k bezopasnosti, ne vklюčennыh v Standart

Esli v PZ vklюčaetsя TDB, dlя kotorogo v OK net sootvetstvuющego komponenta doveriя k bezopasnosti, to rassmatrivaemoe TDB dolžno bыtь opredeleno v stile komponentov iz OK.

Sformulirovannыe v яvnom vide TDB dolžnы soderžatь opredelenie sleduющih aspektov:

a) deйstviй razrabotčika;

b) trebovaniй k soderžaniю i predstavleniю svidetelьstv, kotorыe dolžen predstavitь razrabotčik;

v) deйstviй ocenщika.

Pervыm deйstviem ocenщika, svяzannыm s komponentom doveriя k bezopasnosti, kak pravilo, dolžno bыtь sleduющee:

Ocenщik dolžen podtverditь, čto predstavlennaя informaciя otvečaet vsem trebovaniяm k soderžaniю i predstavleniю svidetelьstv.

Sledovatelьno, vse trebovaniя k soderžaniю i predstavleniю svidetelьstv dolžnы bыtь ne tolьko яsno i ponяtno sformulirovanы, v nih nado izbegatь (naskolьko vozmožno) trebovaniй subъektivnoй ocenki. Naoborot, TDB dolžno opredelяtь яsnыe obъektivnыe kriterii, na osnove kotorыh ocenщik možet sdelatь svoe zaklюčenie. Dlя poяsneniя TDB celesoobrazno ispolьzovatь operaciю «utočnenie» libo «zamečaniя po primeneniю». Predstavlenie poяsneniя TDB sposobstvuet provedeniю ocenki.

Celesoobrazno izlagatь formuliruemыe v яvnom vide TDB v stile izloženiя komponentov doveriя k bezopasnosti, opredelennыh v časti 3 OK. Poэtomu otdelьnoe trebovanie neobhodimo oformlяtь v vide otdelьnogo эlementa trebovaniй (sm. p.2.4.1 časti 3 OK). Pri эtom neobhodimo ispolьzovatь terminologiю, privedennuю v p. 2.4 časti 3 OK.

10.3 Specifikaciя trebovaniй bezopasnosti v ZB

10.3.1 Specifikaciя funkcionalьnыh trebovaniй, privedennыh v PZ

Esli v ZB zaяvleno sootvetstvie odnomu ili neskolьkim PZ, to, veroяtno, FTB uže specificirovanы v PZ. V takih slučaяh neobhodimo prinяtь rešenie – specificirovatь FTB v ZB polnostью (dlя togo, čtobы vesь tekst bыl v odnom meste) libo vklюčitь v ZB ssыlku na FTB, specificirovannыe v PZ, i specificirovatь libo te FTB, kotorыh net v PZ, libo te, kotorыe otličaюtsя ot specificirovannыh v PZ.

Predpočtitelen posledniй podhod, tak kak pri эtom uproщaetsя ZB. Polьzovateleй ZB bolьše interesuюt funkcii bezopasnosti IT, čem FTB. Эto že otnositsя i k ocenщiku OO (t. k. soderžanie svidetelьstv ocenki – proektnoй, testovoй dokumentacii, rukovodstv – v kratkoй specifikacii OO proщe privяzatь k funkciяm bezopasnosti IT, čem k FTB). Osnovnaя celь specifikacii FTB v ZB – prodemonstrirovatь sootvetstvie FTB ZB funkcionalьnыm trebovaniяm sootvetstvuющih PZ i funkcionalьnыm trebovaniяm, opredelennыm v časti 2 OK. V nekotorыh slučaяh opisanie FTB pomeщaюt v priloženii s tem, čtobы ne vvoditь polьzovatelя ZB v zabluždenie naličiem v ZB dvuh funkcionalьnыh specifikaciй bezopasnosti.

Tem ne menee, neobhodimo otmetitь, čto nekotorыe FTB v PZ mogut imetь nezaveršennыe operacii («naznačenie», «vыbor»), kotorыe dolžen vыpolnitь razrabotčik ZB. V эtom slučae neobhodimo, čtobы FTB bыli polnostью specificirovanы, operacii polnostью zaveršenы, a ih rezulьtat – vыdelen (naprimer, kursivom). Vse neobhodimыe poяsneniя dolžnы bыtь takže vыdelenы. Takoй podhod oblegčaet polьzovatelю ZB (i ocenщiku ZB v častnosti) ponяtь, kakie operacii i kakim obrazom bыli vыpolnenы, a takže oblegčaet formirovanie razdela «Obosnovanie ZB» (sm. p. 13.2.6).

10.3.2 Specifikaciя funkcionalьnыh trebovaniй, otsutstvuющih v PZ

V nekotorыh slučaяh neobhodimo specificirovatь FTB, kotorыe otsutstvuюt v sootvetstvuющem PZ. Эto možet bыt, kogda:

a) dlя OO otsutstvuet podhodящee PZ, sootvetstvie kotoromu možet bыtь zaяvleno v ZB;

b) sponsor (zakazčik) sčitaet, čto preimuщestva ot vklюčeniя trebovaniя dopolnitelьnoй po otnošeniю k PZ funkcionalьnosti opravdыvaюt dopolnitelьnыe rashodы na ocenku.

V эtih slučaяh celesoobrazno ispolьzovatь podhod k specifikacii FTB, analogičnый podhodu, opisannomu v p.10.1. Esli v ZB vklюčaюtsя dopolnitelьnыe po otnošeniю k PZ trebovaniя, to neobhodimo obespečitь otsutstvie protivorečiя meždu nimi i FTB, vklюčennыmi v PZ (v razdele ZB «Obosnovanii» neobhodimo prodemonstrirovatь otsutstvie protivorečiя).

10.3.3 Specifikaciя v zadanii po bezopasnosti funkcionalьnыh trebovaniй, ne vklюčennыh v Standart

Razrabotčik ZB možet sformulirovatь FTB v ZB v яvnom vide, to estь bez ssыlki na funkcionalьnыe komponentы, opredelennыe v časti 2 OK. Pri эtom neobhodimo sledovatь instrukciяm, predstavlennыm v p.10.1.5. Narяdu s эtim, net neobhodimosti dlя formuliruemыh v яvnom vide FTB opredelяtь operacii, opisannыe v OK («naznačenie», «vыbor»), esli ne predpolagaetsя ih povtornoe ispolьzovanie v PZ, drugih ZB, funkcionalьnыh paketah.

10.3.4 Specifikaciя v zadanii po bezopasnosti trebovaniй doveriя k bezopasnosti

Principы specifikacii TDB v ZB analogičnы principam specifikacii TDB v PZ. V bolьšinstve slučaev TDB v ZB opredelяetsя PZ, o sootvetstvii kotoromu zaяvlяetsя v ZB, a takže obщeprinяtыm paketom doveriя k bezopasnosti (naprimer, OUD iz OK).

Tem ne menee, vozmožnы slučai, kogda razrabotčik ZB specificiruet trebovaniя doveriя k bezopasnosti, kotorыe rasširяюt paket doveriя k bezopasnosti ili nabor TDB iz PZ. Rasširenie poslednih možet imetь mesto v teh slučaяh, kogda sponsor (zakazčik) ocenki sčitaet, čto polučaemыe preimuщestva opravdыvaюt dopolnitelьnыe rashodы na ocenku. V эtih slučaяh specifikaciя TDB dolžna bыtь vыpolnena s ispolьzovaniem opisannыh v p.10.2 instrukciй i sootvetstvovatь celяm bezopasnosti. Trebovaniя doveriя k bezopasnosti, kotorыe ne osnovanы na komponentah doveriя k bezopasnosti, opredelennыh v OK, mogut bыtь vklюčenы v ZB analogično tomu, kak oni vklюčaюtsя v PZ (sm. p.10.2.3).

10.4 Trebovaniя bezopasnosti dlя sredы

10.4.1 Trebovaniя bezopasnosti dlя IT-sredы

V PZ/ZB dolžnы vklюčatьsя trebovaniя bezopasnosti dlя IT-sredы. Dalee privodяtsя primerы teh slučaev, kogda neobhodimostь zadaniя trebovaniй bezopasnosti dlя IT-sredы očevidna:

a) v celяh obespečeniя bezopasnosti sistemы upravleniя bazami dannыh (SUBD) identifikaciя i autentifikaciя polьzovateleй SUBD možet bыtь vozložena na operacionnuю sistemu (OS), pod upravleniem kotoroй funkcioniruet SUBD. Na OS takže možet bыtь vozložena zadača zaщitы ot obhoda polьzovatelяmi mehanizmov upravleniя dostupom SUBD pri neposredstvennom obraщenii k faйlam bazы dannыh.

b) bezopasnostь priloženiй, ispolьzuющih smart-kartu, možet zavisetь, v tom čisle, ot vozmožnosti OS, pod upravleniem kotoroй rabotaet smart-karta, izolirovatь drug ot druga otdelьnыe priloženiя (takim obrazom, čto odno priloženie ne možet povreditь dannыe i kod drugogo priloženiя), a takže možet neposredstvenno zavisetь ot harakteristik stoйkosti platы integralьnoй shemы.

Trebovaniя bezopasnosti dlя IT-sredы mogut bыtь sformulirovanы v processe udovletvoreniя zavisimosteй vklюčennыh v PZ/ZB funkcionalьnыh komponentov, opredelennыh v časti 2 OK, v tom slučae, kogda vklюčaemыe dlя udovletvoreniя zavisimosteй trebovaniя bezopasnosti s bolьšim uspehom mogut bыtь vыpolnenы IT-sredoй po sravneniю s OO.

Trebovaniя bezopasnosti dlя IT-sredы i predpoloženiя o srede različaюtsя v sleduющem:

a) predpoloženiя ne trebuюt dokazatelьstv (яvlяюtsя očevidnыmi) pri analize;

b) trebovaniя bezopasnosti neobhodimы dlя togo, čtobы obespečitь dostiženie celeй bezopasnosti, i poэtomu oni dolžnы bыtь verificirovanы.

V otličie ot trebovaniй bezopasnosti OO, trebovaniя bezopasnosti dlя IT-sredы ne analiziruюtsя (pri ocenke OO) na predmet podtverždeniя trebuemogo urovnя doveriя tomu, čto IT-sreda obespečivaet nadležaщee vыpolnenie predpisannыh eй FTB.

Pri ocenke OO predpolagaetsя, čto sreda OO vыpolnяet predpisannыe eй FTB, hotя nekotorыe trebovaniя bezopasnosti dlя IT-sredы vse že mogut podležatь proverke. Poэtomu trebuemый urovenь doveriя k bezopasnosti možet bыtь okončatelьno ustanovlen v hode provedeniя otdelьnoй ocenki komponentov IT-sredы, kotorыe realizuюt trebuemыe funkcionalьnыe vozmožnosti bezopasnosti.

Trebovaniя bezopasnosti dlя IT-sredы, kak i trebovaniя bezopasnosti OO, celesoobrazno formirovatь (gde эto vozmožno) na osnove funkcionalьnыh komponentov i komponentov doveriя k bezopasnosti, opredelennыh v OK. Lюboe otklonenie ot эtih komponentov dolžno soprovoždatьsя strogim obosnovaniem v PZ/ZB.

V nekotorыh slučaяh necelesoobrazno formulirovatь funkcionalьnыe trebovaniя bezopasnosti dlя IT-sredы na osnove funkcionalьnыh komponentov, opredelennыh v časti 2 OK. Naprimer, možet potrebovatьsя, čtobы FTB bыli sformulirovanы v PZ na bolee abstraktnom urovne s tem, čtobы vozložitь na razrabotčika ZB otvetstvennostь za opredelenie togo, kakim obrazom budut udovletvorenы эti vыsokourovnevыe (nezavisimo ot konkretnoй realizacii) funkcionalьnыe trebovaniя bezopasnosti.

Dlя razrabotčika ZB zavisimosti OO i IT-sredы dolžnы bыtь izvestnыmi, tak kak oni imeюt otnošenie k konkretnomu OO i konkretnoй IT-srede. Naprotiv, razrabotčik PZ dolžen učitыvatь, čto sootvetstvuющie profilю zaщitы obъektы ocenki mogut različatьsя stepenью zavisimosti ot IT-sredы. Niže rassmotrenы dva osnovnыh slučaя, svяzannыh s razdeleniem otvetstvennosti meždu OO i IT-sredoй.

1. Razdelenie otvetstvennosti meždu OO i IT-sredoй polnostью opredeleno. V эtom slučae trebovaniя bezopasnosti dlя IT-sredы dolžnы bыtь specificirovanы v odnom ili bolee (po čislu komponentov IT-sredы) podrazdele PZ.

2. Razdelenie otvetstvennosti meždu OO i IT-sredoй ne opredeleno v PZ. V эtom slučae ne delaetsя različiй meždu FTB dlя OO i FTB dlя IT-sredы. Pri эtom razrabotčik PZ dolžen maksimalьno isklюčitь vozmožnostь dlя razrabotčika ZB utverždatь o sootvetstvii PZ, v to vremя kak OO realizuet neznačitelьnoe količestvo FTB, a IT-sreda – vse ostalьnыe FTB.

Vo vtorom iz opisannыh slučaev zloupotrebleniя utverždeniem o sootvetstvii PZ možno izbežatь, esli v PZ zaяvitь, čto vse FTB otnosяtsя k OO. Togda, esli produkt IT udovletvorяet vsem FTB tolьko pri podderžke IT-sredы, to v kačestve OO, sootvetstvuющego PZ, možet bыtь priznan sostavnoй OO, vklюčaющiй v sebя sam produkt IT i ego IT-sredu.

V pervom iz opisannыh slučaev razrabotčik PZ dolžen specificirovatь minimalьnый perečenь funkcionalьnыh vozmožnosteй, kotorыe obespečivaюtsя OO. Rešenie o razdelenii otvetstvennosti meždu OO i IT-sredoй dolžno osnovыvatьsя na analize tehničeskoй vыpolnimosti trebovaniй, a takže funkcionalьnыh vozmožnosteй produktov IT, kotorыe dolžnы sootvetstvovatь PZ. Tem ne menee, PZ dolžen razrešatь sootvetstvuющemu OO realizovыvatь lюbыe identificirovannыe v PZ trebovaniя bezopasnosti dlя IT-sredы.

Urovenь doveriя k realizacii FTB dlя IT-sredы dolžen bыtь ne niže urovnя doveriя k realizacii FTB obъektom ocenki. Naprimer, esli urovenь doveriя k realizacii funkcionalьnыh vozmožnosteй SUBD po upravleniю dostupom dolžen sootvetstvovatь OUD4, to budet sčitatьsя nedostatočnыm urovenь doveriя k realizacii funkciй identifikacii i autentifikacii, otvetstvennostь za realizaciю kotorыh vozložena na OS (IT-sredu), sootvetstvuющiй OUD2.

10.4.2 Trebovaniя bezopasnosti dlя ne-IT-sredы

Trebovaniя bezopasnosti dlя ne-IT-sredы v PZ/ZB mogut ne vklюčatьsя, vsledstvie togo, čto dannыe trebovaniя ne imeюt neposredstvennogo otnošeniя k realizacii OO.

Neobhodimostь vo vklюčenii v PZ/ZB trebovaniй bezopasnosti dlя ne-IT-sredы poяvitsя v teh slučaяh, kogda sformulirovanы netrivialьnыe, s točki zreniя realizacii, ne-IT-celi bezopasnosti ili, kogda «Obosnovanie» neposredstvenno zavisit ot sposoba realizacii ne-IT-celeй bezopasnosti. Vtoroй slučaй imeet mesto, esli poяvlяetsя neobhodimostь v detalьnom soglasovanii trebovaniй bezopasnosti IT v PZ/ZB i sootvetstvuющih metodov upravleniя bezopasnostью, s tem čtobы dva vida trebovaniй (IT i ne-IT) nahodilisь na odinakovom urovne abstrakcii.

Sleduet takže otmetitь, čto esli kakie-libo trebovaniя bezopasnosti dlя ne-IT-sredы neobhodimы, no ne vklюčenы v PZ (vsledstvie togo, čto oni v яvnom vide ne vыtekaюt iz ne-IT-celeй bezopasnosti), to možet statь zatrudnitelьnoй demonstraciя prigodnosti trebovaniй bezopasnosti IT (sm. p. 12.2.1).

Predpočtitelьnee (dlя isklюčeniя smešivaniя različnыh urovneй abstrakcii) predstavlяtь trebovaniя bezopasnosti dlя ne-IT-sredы v otdelьnom (pod)razdele «Trebovaniя bezopasnosti dlя ne-IT-sredы», a ne traktovatь ih kak celi ili predpoloženiя bezopasnosti. (Pod)razdel «Trebovaniя bezopasnosti dlя ne-IT-sredы» možet ohvatыvatь takie aspektы kak zaщita autentifikacionnыh dannыh, ispolьzuemыh mehanizmom identifikacii i autentifikacii (naprimer, paroli), a takže konkretnыe administrativnыe trebovaniя (naprimer, procedurы rassledovaniя obnaružennыh vtorženiй).

Četkaя identifikaciя v PZ/ZB trebovaniй bezopasnosti dlя ne-IT-sredы v dalьneйšem budet sposobstvovatь vklюčeniю dannыh trebovaniй v polьzovatelьskuю dokumentaciю (esli sootvetstvuющie trebovaniя k dokumentacii iz klassa AGD vklюčenы v PZ/ZB).

11. Kratkaя specifikaciя obъekta ocenki

Nastoящaя glava predstavlяet soboй rukovodstvo po formirovaniю razdela ZB «Kratkaя specifikaciя OO». Pri эtom neobhodimo učitыvatь, čto analogičnый razdel v PZ otsutstvuet. V razdel «Kratkaя specifikaciя OO» neobhodimo vklюčitь sleduющee:

a) opredelenie funkciй bezopasnosti IT;

b) ssыlki na mehanizmы ili metodы zaщitы, ispolьzuemыe dlя osuщestvleniя funkciй bezopasnosti IT (neobяzatelьno);

v) izloženie mer doveriя k bezopasnosti, kotorыe udovletvorяюt sformulirovannыm trebovaniяm doveriя k bezopasnosti.

Osnovnыe časti razdela «Kratkaя specifikaciя OO» predstavlenы na risunke 5:


Risunok 5–Soderžanie razdela «Kratkaя specifikaciя OO»


Osnovnoe naznačenie razdela ZB «Kratkaя specifikaciя OO» sostoit v tom, čtobы pokazatь, kak konkretnыm obъektom ocenki obespečivaetsя vыpolnenie funkciй bezopasnosti i mer doveriя k bezopasnosti dlя udovletvoreniя trebovaniй bezopasnosti IT. Ishodя iz эtogo, dolžna bыtь sformirovana kratkaя specifikaciя OO, opredelяющaя, kakim obrazom OO obespečivaet vыpolnenie trebovaniй bezopasnosti.

V razdele ZB «Kratkaя specifikaciя OO» celesoobrazno formulirovatь funkcii bezopasnosti IT takim obrazom, čtobы predstavitь funkcionalьnыe vozmožnosti bezopasnosti OO v bolee ponяtnom dlя polьzovatelя ZB vide po sravneniю s FTB. V častnosti:

a) funkcii bezopasnosti IT mogut bыtь izloženы takim obrazom, čtobы pokazatь, čto OO faktičeski delaet dlя obespečeniя bezopasnosti.

b) funkcii bezopasnosti IT mogut bыtь specificirovanы takim obrazom, čtobы bolee točno otražatь dokumentaciю OO, naprimer, putem ispolьzovaniя specifičeskoй dlя OO terminologii. Эto možet povыsitь rentabelьnostь ocenki OO, oblegčaя verifikaciю urovneй predstavleniя FBO (ZB, proektnaя dokumentaciя). Odin iz vozmožnыh podhodov zaklюčaetsя v specifikacii odnoй funkcii bezopasnosti IT, udovletvorяющeй neskolьkim FTB, esli izvestno, čto эti FTB vыpolnяюtsя temi že samыmi osnovnыmi mehanizmami pri proektirovanii i realizacii (razrabotke) OO. Dannый podhod vыgoden dlя sokraщeniя količestva dokazatelьstv sootvetstviя predstavleniя, kotoroe dolžen obespečitь razrabotčik.

v) specifičeskaя dlя konkretnogo OO terminologiя možet bыtь učtena dlя togo, čtobы opisaniя, naprimer, funkciй bezopasnosti IT lučše sootnosilisь s terminologieй proekta rukovodstva polьzovatelя ili administratora. Možet potrebovatьsя vvedenie harakternыh terminov tipa «subъekt», «obъekt» ili «rolь administratora». Poэtomu razdel «Kratkaя specifikaciя OO» možet bыtь oharakterizovan kak razvitie trebovaniй, kotorыm dolžen udovletvorяtь konkretnый OO. Pri эtom otsutstvuet neobhodimostь v opisanii detaleй realizacii OO, ego arhitekturы ili principov proektirovaniя, ili v podrobnom opisanii togo, kak, naprimer, razrabotčik provodit funkcionalьnoe testirovanie bezopasnosti OO.

11.1 Specifikaciя funkciй bezopasnosti informacionnыh tehnologiй

Kak izloženo vыše, razdel ZB «Kratkaя specifikaciя OO» dolžen vklюčatь specifikaciю funkciй bezopasnosti OO. Zadanie po bezopasnosti dolžno demonstrirovatь, čto funkcii bezopasnosti IT pokrыvaюt vse FTB, a takže to, čto každaя funkciя bezopasnosti IT otobražaetsя, po kraйneй mere, na odno FTB.

Funkcii bezopasnosti IT, kotorыe opredelяюt osnovnoe naznačenie OO s točki zreniя obespečeniя bezopasnosti informacii, dolžnы bыtь rassmotrenы bolee detalьno. Pri rassmotrenii funkciй bezopasnosti, sootvetstvuющih podderživaemыm FTB, funkciя bezopasnosti IT mogla bы bыtь izložena analogično sootvetstvuющemu FTB. Tem ne menee, tam, gde neobhodimo, celesoobrazno poяsnitь funkcionalьnuю vozmožnostь, naprimer, ispolьzuя specifičeskuю dlя OO terminologiю.

Pri neobhodimosti, funkcii bezopasnosti mogut bыtь organizovanы inače, čem sootvetstvuющie FTB, i imetь oboznačenie, otličnoe ot dannыh FTB. Эto možet bыtь napravleno na to, čtobы uprostitь specifikaciю funkcionalьnoй vozmožnosti i oblegčitь sootvetstvuющuю ocenku.

Naprimer:

a) funkciя bezopasnosti IT možet otobražatьsя bolee čem na odno FTB (эto možet imetь mesto v slučae s podderživaющimi funkciяmi); ili

b) FTB možet otobražatьsя bolee čem na odnu funkciю bezopasnosti IT (эto možet imetь mesto v slučae s funkciяmi, kotorыe opredelяюt osnovnoe naznačenie OO s točki zreniя obespečeniя bezopasnosti informacii).

Pri vыpolnenii takih preobrazovaniй neobhodimo:

a) ne poterяtь detali, soderžaщiesя v FTB;

b) ne dopustitь sliškom složnogo otobraženiя FTB na funkcii bezopasnosti IT, uveličeniя stoimosti rassmotreniя i ocenki ZB, a takže uveličeniя veroяtnosti ošibok.

11.2 Specifikaciя mehanizmov bezopasnosti

V razdele ZB «Kratkaя specifikaciя OO» dolžno bыtь pokazano sootvetstvie funkciй bezopasnosti IT mehanizmam ili metodam bezopasnosti, upominaemыh v ZB. Tipičnыe mehanizmы i metodы bezopasnosti, upominaemыe v ZB, vklюčaюt algoritmы šifrovaniя i generacii paroleй ili zaяvleniя sootvetstviя deйstvuющemu meždunarodnomu ili otečestvennomu standartu.

Neobhodimo otmetitь, čto ssыlki na mehanizmы bezopasnosti v ZB ne obяzatelьnы.

Na mehanizmы bezopasnosti celesoobrazno ssыlatьsя v sleduющih slučaяh:

a) dlя sistemы IT suщestvuet trebovanie ispolьzovaniя konkretnogo mehanizma bezopasnosti;

b) dlя produkta IT estь neobhodimostь v realizacii konkretnыh mehanizmov bezopasnosti (naprimer, s učetom rыnočnogo sprosa na takie mehanizmы i metodы).

11.3 Specifikaciя mer doveriя k bezopasnosti

V razdele ZB «Kratkaя specifikaciя OO» dolžno bыtь pokazano sootvetstvie mer doveriя k bezopasnosti i trebovaniй doveriя k bezopasnosti. Pri эtom dolžno bыtь pokazano, čto vse trebovaniя doveriя k bezopasnosti udovletvorenы.

Tam, gde эto vozmožno, merы doveriя k bezopasnosti sleduet opredelяtь putem ssыlki na sootvetstvuющie planы obespečeniя kačestva, žiznennogo cikla ili upravleniя.

Na praktike, veroяtno, dlя bolee nizkih urovneй doveriя k bezopasnosti razdel ZB «Kratkaя specifikaciя OO» ne budet soderžatь značitelьnogo obъema dopolnitelьnoй informacii, krome obщih utverždeniй o tom, čto ispolьzuюtsя (ili budut ispolьzovatьsя) neobhodimыe dlя udovletvoreniя trebovaniй doveriя k bezopasnosti merы doveriя. Odin iz rekomenduemыh podhodov zaklюčaetsя v demonstracii otobraženiя dokumentacii ili svidetelьstv razrabotčika na sootvetstvuющie trebovaniя doveriя k bezopasnosti.

Na bolee vыsokih urovnяh doveriя k bezopasnosti (OUD 5 i vыše) vozmožna bolьšaя detalizaciя, naprimer, ssыlki na konkretnыe instrumentalьnыe sredstva, metodы ili podhodы, ispolьzuemыe razrabotčikom dlя udovletvoreniя trebovaniй doveriя k bezopasnosti, takie kak:

a) oboznačeniя, kotorыe neobhodimo ispolьzovatь v trebuemыh formalьnыh specifikaciяh;

b) metodiki razrabotki i modeli žiznennogo cikla;

v) instrumentalьnыe sredstva upravleniя konfiguracieй;

g) instrumentalьnыe sredstva analiza pokrыtiя testami;

d) metodы analiza skrыtыh kanalov.

12. Obosnovanie PZ

Nastoящaя glava predstavlяet soboй rukovodstvo po formirovaniю razdela PZ «Obosnovanie».

Naznačenie razdela PZ «Obosnovanie» zaklюčaetsя v tom, čtobы pokazatь, čto sootvetstvuющiй profilю zaщitы OO obespečivaet эffektivnый nabor kontrmer bezopasnosti IT v predelah sredы bezopasnosti. V častnosti, razdel PZ «Obosnovanie» pokazыvaet, čto trebovaniя bezopasnosti IT udovletvorяюt celяm bezopasnosti, kotorыe, v svoю očeredь, učitыvaюt vse aspektы sredы bezopasnosti OO.

Razdel PZ «Obosnovanie» predstavlяet naibolьšiй interes dlя ocenщika PZ, v to že vremя on možet bыtь polezen i dlя drugih polьzovateleй PZ.

Na risunke 6 predstavlenы klюčevыe aspektы razdela PZ «Obosnovanie».


Risunok 6–Trebovaniя k razdelu PZ «Obosnovanie»

Dopolnitelьno, «Obosnovanie PZ» dolžno pokazatь, čto:

a) formulirovka trebovaniй doveriя k bezopasnosti яvlяetsя nadležaщeй;

b) neudovletvorennыe zavisimosti trebovaniй bezopasnosti IT, vklюčennыh v PZ, ne яvlяюtsя neobhodimыmi.

V razdele «Obosnovanie PZ» nastoяtelьno rekomenduetsя ispolьzovanie tablic, soprovoždaemыh, gde neobhodimo, neformalьnыm obъяsneniem, poskolьku эto delaet razdel bolee kratkim i uproщaet ego ispolьzovanie.

12.1 Predstavlenie v profile zaщitы logičeskogo obosnovaniя celeй bezopasnosti

Logičeskoe obosnovanie celeй bezopasnosti dolžno pokazыvatь, čto izložennыe celi bezopasnosti ohvatыvaюt vse ustanovlennыe v razdele PZ «Sreda bezopasnosti OO» aspektы sredы bezopasnosti OO. Pri эtom dolžno bыtь pokazano ne tolьko to, čto celi bezopasnosti ohvatыvaюt vse aspektы sredы bezopasnosti OO, no i to, čto dostiženie эtih celeй neobhodimo.

Dannaя zadača možet rešatьsя sleduющim obrazom.

Vo-pervыh, perekrestnыe ssыlki: ugrozы, PBOr, predpoloženiя – celi bezopasnosti, ohvatыvaющie aspektы sredы bezopasnosti OO, celesoobrazno oformitь v vide tablic.

Pri эtom polьzovatelю PZ pri izučenii dannыh tablic dolžno bыtь naglяdno vidno, čto:

a) každaя celь bezopasnosti ohvatыvaet, po kraйneй mere, odnu ugrozu, pravilo PBOr ili predpoloženie bezopasnosti;

b) každaя ugroza, pravilo PBOr i predpoloženie bezopasnosti ohvačenы, po kraйneй mere, odnoй celью bezopasnosti.

Vo-vtorыh, neobhodimo pokazatь, čto celi bezopasnosti dostatočnы dlя učeta vseh aspektov sredы bezopasnosti OO. Dlя эtogo tablicu sootvetstviя celeй bezopasnosti i aspektov sredы bezopasnosti OO celesoobrazno dopolnitь neformalьnыm obъяsneniem:

a) dlя každoй ugrozы – otnositelьno togo, čto izložennыe celi bezopasnosti predusmatrivaюt эffektivnыe kontrmerы po otnošeniю k ugrozam, t.e. celi bezopasnosti pokazыvaюt, čto sobыtie, ukazannoe v specifikacii ugrozы, budet:

- libo obnaruženo, i ego posledstviя kompensirovanы (ili uщerb ot ego nastupleniя ograničen),

- libo predotvraщeno (ili snižena do priemlemogo urovnя veroяtnostь ego nastupleniя);

b) dlя PBOr i vseh predpoloženiй bezopasnosti – otnositelьno togo, kakim obrazom izložennыe celi bezopasnosti obespečivaюt ohvat PBOr i učitыvaюt predpoloženiя bezopasnosti.

Obъяsnenie dolžno:

a) pokazatь rolь každoй celi bezopasnosti v protivostoяnii ugroze ili udovletvorenii PBOr;

b) pokazatь, kak pri pomoщi celeй bezopasnosti dlя sredы bezopasnosti OO osuщestvlяetsя podderžka celeй bezopasnosti dlя OO.

Dannый razdel nelьzя rassmatrivatь kak razdel analiza riskov. V to že vremя pri položitelьnoй ocenke PZ/ZB on možet bыtь ispolьzovan kak osnova dlя analiza riska organizacii.

12.2 Formirovanie logičeskogo obosnovaniя trebovaniй bezopasnosti v profile zaщitы

12.2.1 Demonstraciя prigodnosti trebovaniй bezopasnosti

Naznačenie эtoй časti razdela PZ «Obosnovanie» zaklюčaetsя v tom, čtobы pokazatь, čto sformulirovannыe trebovaniя bezopasnosti IT (v častnosti, FTB) podhodяt dlя udovletvoreniя celeй bezopasnosti. Pri эtom neobhodimo pokazatь, čto trebovaniя bezopasnosti IT яvlяюtsя neobhodimыmi i dostatočnыmi. Dannaя zadača možet rešatьsя sleduющim obrazom.

Vo-pervыh, neobhodimo sformirovatь tablicu, v kotoroй sopostavitь každuю celь bezopasnosti s FTB, kotoroe udovletvorяet dannoй celi. Tablica dolžna pokazыvatь sleduющee:

a) každaя FTB učitыvaet, po kraйneй mere, odnu celь bezopasnosti;

b) každaя celь bezopasnosti svяzana, po kraйneй mere, s odnim FTB.

Poslednego budet dostatočno dlя obosnovaniя neobhodimosti každogo FTB (t.e. budut isklюčenы izbыtočnыe FTB).

Vo-vtorыh, sformirovannaя tablica dolžna soprovoždatьsя neformalьnыm obъяsneniem dostatočnosti FTB. Dannoe obъяsnenie dolžno pokazatь dostatočnostь FTB dlя udovletvoreniя každoй celi bezopasnosti. Dannoe obъяsnenie dolžno ohvatыvatь vse FTB, vklюčennыe v PZ, to estь i te, kotorыe neposredstvenno udovletvorяюt celi bezopasnosti (osnovnыe FTB), i te, kotorыe prednaznačenы dlя ih podderžki (podderživaющie FTB).

Pri formirovanii obъяsneniя neobhodimo rassmotretь sleduющee:

a) kak i dlя čego bыli ispolьzovanы operacii vыbora, naznačeniя, iteracii i utočneniя;

b) kak trebovaniя bezopasnosti dlя OO soglasuюtsя s trebovaniяmi bezopasnosti dlя IT-sredы.

Hotя эto i ne obяzatelьno, rekomenduetsя vklюčatь v PZ obъяsnenie roli vklюčennыh v PZ trebovaniй bezopasnosti dlя ne-IT-sredы.

V sleduющem razdele privodяtsя rekomendacii po predstavleniю obosnovaniя prigodnosti TDB.

12.2.2 Demonstraciя prigodnosti trebovaniй doveriя k bezopasnosti

Naznačenie dannoй časti razdela «Obosnovanie PZ» – pokazatь, čto trebovaniя doveriя k bezopasnosti яvlяюtsя nadležaщimi dlя rassmatrivaemogo OO. V эtoй svяzi neobhodimo datь strogoe obosnovanie togo, počemu nabor TDB:

a) dostatočen dlя udovletvoreniя celeй bezopasnosti. Naprimer, esli OO dolžen obespečivatь zaщitu ot narušitelя, obladaющego vыsokim potencialom napadeniя (čto sleduet iz analiza ugroz i celeй bezopasnosti), to necelesoobrazno v kačestve nabora trebovaniй doveriя k bezopasnosti ispolьzovatь OUD1, tak kak trebovaniя dannogo OUD ne predusmatrivaюt analiz uяzvimosteй, kotorыe mogut ispolьzovatьsя narušitelяmi s vыsokim potencialom (v častnosti, OUD1 ne soderžit trebovaniя semeйstv AVA_VLA ili AVA_SOF);

b) ne яvlяetsя izbыtočnыm po otnošeniю k srede bezopasnosti i sformulirovannыm celяm bezopasnosti;

v) яvlяetsя dostižimыm, t.e. dlя dannogo tipa OO sformulirovannыe trebovaniя doveriя k bezopasnosti яvlяюtsя tehničeski vыpolnimыmi (s točki zreniя stoimosti i zatrat vremeni na ocenku bezopasnosti OO).

12.2.3 Obosnovanie trebovaniй k stoйkosti funkciй bezopasnosti

V razdele «Obosnovanie PZ» neobhodimo pokazatь, čto trebovaniя k minimalьnoй stoйkosti funkciй bezopasnosti i trebovaniя k stoйkosti funkciй bezopasnosti, zadannыe v яvnom vide, soglasuюtsя so sformulirovannыmi celяmi bezopasnosti.

Praktičeski эto označaet, čto neobhodimo predstavitь sootvetstvuющee obosnovanie, prinimaющee vo vnimanie:

a) prisutstvuющie v formulirovkah celeй bezopasnosti dlя OO v яvnom i neяvnom vide trebovaniя k stoйkosti funkciй bezopasnosti;

b) prisutstvuющuю v formulirovkah celeй bezopasnosti ili v opisanii sredы bezopasnosti informaciю o tehničeskoй kompetencii, resursah i motivacii narušiteleй.

Esli dannыe aspektы uže bыli učtenы pri obosnovanii prigodnosti trebovaniй bezopasnosti, to učitыvatь ih eщe raz net neobhodimosti.

12.2.4 Demonstraciя vzaimnoй podderžki trebovaniй bezopasnosti

Naznačenie dannoй časti razdela «Obosnovanie PZ» zaklюčaetsя v tom, čtobы pokazatь, čto trebovaniя bezopasnosti IT (i, v častnosti, FTB) polnы i vnutrenne neprotivorečivы. Эto dostigaetsя demonstracieй ih vzaimnoй podderžki, a takže togo, čto oni predstavlяюt soboй «integrirovannoe i эffektivnoe celoe». V эtih celяh rekomenduetsя sleduющiй podhod:

a) demonstraciя togo, čto, gde neobhodimo, zavisimosti komponentov funkcionalьnыh trebovaniй i trebovaniй doveriя k bezopasnosti udovletvorenы;

b) demonstraciя vnutrenneй neprotivorečivosti (soglasovannosti) meždu trebovaniяmi bezopasnosti IT;

v) demonstraciя togo, čto, gde neobhodimo, vklюčenы podderživaющie FTB, prednaznačennыe dlя zaщitы mehanizmov bezopasnosti, realizuющih drugie FTB, ot napadeniй tipa «obhod» i «nesankcionirovannoe izmenenie».

Dalee rassmotrim každый iz perečislennыh aspektov vzaimnoй podderžki.

Analiz zavisimosteй komponentov

Dannый analiz naibolee эffektivno možet bыtь predstavlen posredstvom tablicы ili drevovidnoй shemы. Esli trebovaniя doveriя k bezopasnosti celikom baziruetsя na OUD libo na drugom pakete doveriя k bezopasnosti, to analiz zavisimosteй svoditsя k analizu tolьko zavisimosteй FTB (tak kak v paketah doveriя zavisimosti komponentov udovletvorenы iznačalьno).

Analiz dolžen vklюčatь:

a) demonstraciю na urovne FTB udovletvoreniя zavisimosteй dlя každoй iteracii funkcionalьnogo komponenta;

b) identifikaciю každoй neudovletvorennoй zavisimosti i obosnovanie otsutstviя neobhodimosti v ee udovletvorenii.

Neobhodimostь provedeniя analiza zavisimosteй na urovne FTB obuslovlena tem, čto, esli komponent vklюčaetsя v PZ neodnokratno putem vыpolneniя operacii iteracii, to možet vozniknutь neobhodimostь vыpolneniя operacii iteracii nad komponentami, ot kotorыh zavisit rassmatrivaemый komponent. Naprimer, komponent FMT_MSA.3 «Inicializaciя statičeskih atributov» zavisit ot komponenta FMT_MSA.1 «Upravlenie atributami bezopasnosti». Esli komponent FMT_MSA.3 vklюčaetsя v PZ neodnokratno v celяh inicializacii različnыh atributov bezopasnosti, to, veroяtno, i FMT_MSA.1 neobhodimo vklюčitь v PZ to že samoe količestvo raz v celяh upravleniя každыm iz rassmatrivaemыh atributov. V эtom slučae vыvod o tom, čto zavisimostь komponenta FMT_MSA.3 nadležaщim obrazom udovletvorena v silu togo, čto funkcionalьnый komponent FMT_MSA.1 vklюčen v PZ, budet nepolon, tak kak FTB komponenta FMT_MSA.1 mogut ne ohvatыvatь vse atributы bezopasnosti, upomяnutыe v FTB komponenta FMT_MSA.3.

Udovletvorenie zavisimosti možet ne trebovatьsя, kogda ona ne sootvetstvuet OO ili dannaя zavisimostь ne яvlяetsя neobhodimoй, ishodя iz celi bezopasnosti. Krome togo, zavisimostь možet bыtь udovletvorena IT-sredoй ili kakim-libo ne-IT-sredstvom.

Analiz zavisimosteй dolžen soprovoždatьsя postroeniem tablicы, kotoraя:

a) vklюčaet odnu ili neskolьko strok (po čislu vhoždeniй komponenta v PZ) dlя každogo funkcionalьnogo komponenta, vklюčennogo v PZ;

b) naznačaet unikalьnuю metku ili nomer každoй stroke s tem, čtobы každoe FTB bыlo identificirovano unikalьnыm obrazom;

v) identificiruet funkcionalьnый komponent, associirovannый s každoй strokoй;

g) dlя každogo funkcionalьnogo komponenta formiruet spisok zavisimosteй ot drugih komponentov v sootvetstvii s OK;

d) dlя každoй identificirovannoй zavisimosti libo opredelяet v kačestve ssыlki metku ili nomer stroki, v kotoroй zavisimostь udovletvorяetsя, libo obъяsnяet, počemu net neobhodimosti v udovletvorenii zavisimosti.

Demonstraciя udovletvoreniя zavisimosteй komponentov doveriя k bezopasnosti dolžna bыtь otnositelьno prostoй.

Esli v PZ ispolьzuetsя kakoй-libo paket doveriя k bezopasnosti (naprimer, OUD, sootvetstvuющiй OK), to v razdele «Obosnovanie PZ» možno konstatirovatь, čto vse zavisimosti komponentov doveriя k bezopasnosti udovletvorenы.

Esli v PZ vklюčenы rasširennыe trebovaniя doveriя k bezopasnosti, to v razdele «Obosnovanie PZ» dolžno bыtь pokazano, čto vse dopolnitelьnыe zavisimosti udovletvorenы. V OK opredeleno lišь nebolьšoe čislo zavisimosteй «funkcionalьnыe trebovaniя – trebovaniя doveriя». Dannыe zavisimosti takže mogut bыtь predstavlenы v opisannoй vыše tablice. Naprimer, esli PZ vklюčaet FPT_RCV.1, kotorый imeet zavisimostь ot AGD_ADM.1, a zadannый ocenočnый urovenь doveriя k bezopasnosti – OUD4, togda zapisь v tablice dolžna bыtь OUD4.

Analiz zavisimosteй nekotorыm obrazom demonstriruet vzaimnuю podderžku trebovaniй bezopasnosti. Tak, esli funkcionalьnый komponent A zavisit ot funkcionalьnogo komponenta B, to komponent B яvlяetsя podderživaющim dlя komponenta A.

Vnutrennяя neprotivorečivostь

Demonstraciю vnutrenneй neprotivorečivosti trebovaniй bezopasnosti IT rassmotrim na primere FTB. Tak, esli PZ vklюčaet trebovaniя po podotčetnosti i, v to že vremя, po anonimnosti deйstviй polьzovatelя, to v razdele «Obosnovanie PZ» dolžno bыtь pokazano, čto эti trebovaniя ne nahodяtsя v protivorečii. V dannom slučae trebuetsя pokazatь, čto v kačestve sobыtiй audita, trebuющih podotčetnostь polьzovatelя, ne rassmatrivaюtsя te, dlя kotorыh trebuetsя anonimnostь.

Zaщita ot atak na mehanizmы, realizuющie FTB

Rassmotrenie dannogo aspekta vzaimnoй podderžki trebovaniй celesoobrazno tolьko dlя FTB, tak kak demonstraciя vzaimnoй podderžki trebovaniй, imeющeй otnošenie k trebovaniяm doveriя k bezopasnosti, trivialьna:

a) po opredeleniю, TDB podderživaюt FTB, tak kak oni obespečivaюt uverennostь v tom, čto funkcionalьnыe trebovaniя udovletvorenы;

b) imeetsя neznačitelьnoe količestvo slučaev, kogda FTB podderživaюt TDB, i эto dolžno bыtь učteno pri formirovanii «Obosnovaniя PZ». Privedem sootvetstvuющiй primer. Komponentы semeйstva FPT_SEP «Razdelenie domena» podderživaюt komponentы semeйstva ADV_HLD «Proekt verhnego urovnя», sposobstvuя provedeniю sootvetstvuющego razbieniя.

v) možno utverždatь, čto TDB яvlяюtsя vzaimno podderživaющimi i vse ih zavisimosti udovletvorenы.

Kak opisano v p. 10.1.1, podderživaющie FTB mogut sposobstvovatь zaщite mehanizmov, realizuющih osnovnыe FTB, ot napadeniй, svяzannыh so skrыtыmi motivami narušitelя, sposobstvuющimi vozrastaniю odnoй ili neskolьkih ugroz, kotorыm dolžnы protivostoяtь mehanizmы, realizuющie osnovnыe FTB. Vzaimnaя podderžka ohvatыvaet kak эtot aspekt vzaimnoй podderžki, tak i aspekt podderžki, svяzannый s zavisimostяmi trebovaniй bezopasnosti, opredelennыmi v OK.

Rassmotrenie vzaimnoй podderžki meždu FTB, ne ohvačennыmi analizom zavisimosteй, dolžno vklюčatь rassmotrenie sleduющih FTB:

a) FTB, kotorыe napravlenы na predotvraщenie obhoda mehanizmov, realizuющih drugie FTB;

b) FTB, kotorыe napravlenы na predotvraщenie nesankcionirovannogo vozdeйstviя na mehanizmы, realizuющie drugie FTB (vklюčaя atributы bezopasnosti i drugie dannыe, celostnostь kotorыh яvlяetsя kritičnoй dlя FTB);

v) FTB, kotorыe prepяtstvuюt nesankcionirovannomu otklюčeniю mehanizmov, realizuющih drugie FTB;

g) FTB, prednaznačennыe dlя obnaruženiя kak nepravilьnoй nastroйki mehanizmov, realizuющih drugie FTB, tak i napravlennыh na nih napadeniй.

Dlя predotvraщeniя obhoda mehanizmov, realizuющih FTB, v PZ obыčno vklюčaetsя komponent FPT_RVM «Nevozmožnostь obhoda PBO».

Esli realizaciя funkcionalьnыh trebovaniй bezopasnosti vklюčaet identifikaciю polьzovatelя, to trebovaniя autentifikacii polьzovatelя (ispolьzovanie komponentov semeйstva FIA_UAU) dolžnы bыtь takže napravlenы na predotvraщenie obhoda mehanizmov, realizuющih rassmatrivaemыe FTB. Neobhodimo otmetitь, čto dlя predotvraщeniя obhoda ne vse FTB nuždaюtsя v podderžke so storonы drugih FTB. Privedem neskolьko takih slučaev:

a) vыdača razrešeniя na vыzov funkcii vozlagaetsя ne na FBO, a na polьzovatelя ili administratora, naprimer, pri ispolьzovanii FTB, baziruющihsя na komponentah semeйstva FDP_DAU «Autentifikaciя dannыh»;

b) formulirovka FTB predusmatrivaet vыzov funkcii vsegda, kogda эto neobhodimo, sledovatelьno, FTB ne možet bыtь oboйdeno, esli FBO udovletvorяet FTB, naprimer, esli rečь idet o FTB, baziruющemsя na komponentah semeйstva FDP_RIP «Zaщita ostatočnoй informacii».

Nesankcionirovannoe vozdeйstvie v principe vozmožno dlя vseh mehanizmov, realizuющih FTB. Podobnыe ataki mogut bыtь predotvraщenы posredstvom vыpolneniя sleduющih FTB:

a) FTB na osnove komponentov semeйstva FPT_SEP «Razdelenie domena», kotorыe napravlenы na predotvraщenie vmešatelьstva postoronnih ili vozdeйstviя nedoverennыh subъektov;

b) FTB na osnove komponentov semeйstva FPT_PHP «Fizičeskaя zaщita FBO», kotorыe napravlenы na obnaruženie i protivodeйstvie fizičeskomu vmešatelьstvu;

v) FTB, baziruющihsя na komponentah upravleniя bezopasnostью, takih kak FMT_MSA.1 «Upravlenie atributami bezopasnosti», kotorыe ograničivaюt vozmožnostь izmeneniя dannыh konfiguracii ili atributov bezopasnosti;

g) FTB, baziruющihsя na takih komponentah, kak FMT_MTD.1 «Upravlenie dannыmi FBO» ili FAU_STG.1 «Zaщiщennoe hranenie dannыh audita», kotorыe napravlenы na zaщitu celostnosti kritičnыh po bezopasnosti dannыh;

d) komponentov semeйstva FPT_TRP «Doverennый maršrut», kotorыe napravlenы na predotvraщenie vozdeйstviй, osnovannыh na obmane FBO (naprimer, putem ispolьzovaniя programm zahvata paroleй).

Deaktivaciя vozmožna po otnošeniю ne ko vsem mehanizmam, realizuющim FTB, kotorыe opredelenы v PZ. Primer, gde vozmožna deaktivaciя – audit bezopasnosti; semeйstvo FAU_STG «Hranenie sobыtiй audita bezopasnosti» vklюčaet trebovaniя, napravlennыe na predotvraщenie vozmožnosti deaktivacii funkciй audita bezopasnosti, svяzannыh s zapolneniem žurnala audita. FTB, osnovannыe na ispolьzovanii komponenta FMT_MOF.1 «Upravlenie povedeniem (režimom vыpolneniя) funkciй bezopasnosti», takže mogut bыtь napravlenы na predotvraщenie deaktivacii nekotorыh funkciй bezopasnosti.

Funkcii obnaruženiя, tak že kak audit bezopasnosti, obespečivaюt podderžku drugih FTB, sposobstvuя obnaruženiю atak ili nepravilьnoй konfiguracii, kotoraя delaet OO uяzvimыm dlя atak. Drugie funkcii obnaruženiя vklюčaюt komponentы semeйstv FDP_SDI «Celostnostь hranimыh dannыh» i FPT_PHP «Fizičeskaя zaщita FBO».

13. Obosnovanie ZB

Nastoящaя glava predstavlяet soboй rukovodstvo po formirovaniю razdela «Obosnovanie ZB». «Obosnovanie ZB» dolžno pokazatь, čto vse aspektы sredы bezopasnosti (v sootvetstvii s razdelom «Sreda bezopasnosti OO») nadležaщim obrazom učtenы, i čto celi bezopasnosti dlя OO nadležaщim obrazom udovletvorяюtsя identificirovannыmi trebovaniяmi bezopasnosti IT, kotorыe, v svoю očeredь, nadležaщim obrazom udovletvorяюtsя funkciяmi bezopasnosti IT i merami doveriя k bezopasnosti IT. «Obosnovanie ZB» vo mnogom shože s «Obosnovaniem PZ», no dopolnitelьno vklюčaet obosnovanie soderžaniя kratkoй specifikacii OO, pokazыvaя, čto ona podhodit dlя udovletvoreniя trebovaniй bezopasnosti.

Kak i v slučae s «Obosnovaniem PZ», «Obosnovanie ZB», veroяtno, budet naibolee interesno ocenщiku ZB, hotя soderžanie «Obosnovaniя ZB» možet bыtь polezno i dlя drugih polьzovateleй ZB.

Na risunke 7–predstavlenы specifičeskie dlя ZB aspektы «Obosnovaniя ZB».


Risunok 7–Specifičeskie dlя ZB aspektы razdela «Obosnovanie»


Dopolnitelьno razdel ZB «Obosnovanie» dolžen pokazыvatь, čto vse trebovaniя soglasovannosti s PZ vыpolnяюtsя (v sootvetstvii s ASE_PPC.1).

Esli ZB trebuet soglasovaniя s odnim ili bolee PZ, to razdel PZ «Obosnovanie» nasleduetsя ZB. Pri эtom v razdele ZB «Obosnovanie» osnovnoe vnimanie dolžno akcentirovatьsя na teh aspektah, kotorыe ne bыli vklюčenы v PZ. Esli ZB ne trebuet soglasovaniя s kakim-libo PZ, to neobhodimo razrabotatь polnoe «Obosnovanie ZB» s učetom rekomendaciй iz glavы 12.

Po analogii s razdelom PZ «Obosnovanie», dlя predstavleniя razdela ZB «Obosnovanie» rekomenduetsя ispolьzovatь sootvetstvuющie tablicы, soprovoždaemыe, gde neobhodimo, neformalьnыmi obъяsneniяmi.

13.1 Predstavlenie logičeskogo obosnovaniя celeй bezopasnosti v zadanii po bezopasnosti

Dannaя častь razdela ZB «Obosnovaniя» dolžna formirovatьsя na osnove rekomendaciй, privedennыh v predыduщem razdele dlя «Obosnovaniя PZ» (sm. p. 12.1). Esli v ZB zaяvlяetsя o sootvetstvii PZ, to rassmatrivaemaя častь «Obosnovaniя ZB» dolžna učitыvatь tolьko otličiя ot PZ, demonstriruя sleduющee:

a) pri formulirovke celeй bezopasnosti učtenы vse dopolnitelьnыe ugrozы;

b) pri formulirovke celeй bezopasnosti učtenы vse dopolnitelьnыe pravila PBOr;

v) kakim obrazom dopolnitelьnыe celi bezopasnosti učitыvaюt sootvetstvuющie ugrozы i/ili pravila PBOr.

13.2 Predstavlenie logičeskogo obosnovaniя trebovaniй bezopasnosti v zadanii po bezopasnosti

Dannaя častь «Obosnovaniя ZB» dolžna formirovatьsя na osnove rekomendaciй, privedennыh v predыduщem razdele dlя «Obosnovaniя PZ» (sm. p. 12.2.1). Esli v ZB zaяvlяetsя o sootvetstvii PZ, to rassmatrivaemaя častь «Obosnovaniя ZB» dolžna učitыvatь tolьko otličiя ot PZ, demonstriruя sleduющee:

a) pri formulirovke FTB učtenы vse dopolnitelьnыe celi bezopasnosti;

b) kakim obrazom dopolnitelьnыe FTB učitыvaюt sootvetstvuющie celi bezopasnosti.

13.2.1 Demonstraciя prigodnosti trebovaniй doveriя k bezopasnosti

Dannaя častь «Obosnovaniя ZB» dolžna formirovatьsя na osnove rekomendaciй, privedennыh v predыduщem razdele dlя «Obosnovaniя PZ» (sm. p. 12.2.2). Esli v ZB zaяvlяetsя o sootvetstvii PZ, no opredelenы rasširennыe trebovaniя doveriя k bezopasnosti, to dolžna bыtь obosnovana ih neobhodimostь i prigodnostь. Pri formirovanii razdela «Obosnovanie ZB» neobhodimo učitыvatь vse izmeneniя sredы bezopasnosti i celeй bezopasnosti.

13.2.2 Demonstraciя priemlemosti trebovaniй k stoйkosti funkciй bezopasnosti

Dannaя častь «Obosnovaniя ZB» dolžna formirovatьsя na osnove rekomendaciй, privedennыh v predыduщem razdele dlя «Obosnovaniя PZ» (sm. p. 12.2.3).

13.2.3 Demonstraciя udovletvoreniя zavisimosteй trebovaniй doveriя k bezopasnosti

Dannaя častь «Obosnovaniя ZB» dolžna formirovatьsя na osnove rekomendaciй, privedennыh v predыduщem razdele dlя «Obosnovaniя PZ» (sm. p. 12.2.4). Esli v ZB zaяvlяetsя o sootvetstvii PZ, to rassmatrivaemaя častь «Obosnovaniя ZB» dolžna učitыvatь tolьko otličiя ot PZ i pokazыvatь, čto vse zavisimosti dopolnitelьnыh FTB i TDB udovletvorenы.

13.2.4 Demonstraciя vzaimnoй podderžki trebovaniй

Dannaя častь «Obosnovaniя ZB» dolžna formirovatьsя na osnove rekomendaciй, privedennыh v predыduщem razdele dlя «Obosnovaniя PZ» (sm. p. 12.2.4). Esli v ZB zaяvlяetsя o sootvetstvii PZ, to rassmatrivaemaя častь «Obosnovaniя ZB» dolžna učitыvatь tolьko otličiя ot PZ i pokazыvatь, kakim obrazom dopolnitelьnыe trebovaniя bezopasnosti:

a) podderživaюtsя drugimi trebovaniяmi bezopasnosti IT;

b) podderživaюt drugie trebovaniяmi bezopasnosti IT;

v) ne protivorečat drugim trebovaniяm bezopasnosti IT.

13.2.5 Demonstraciя sootvetstviя zadaniя po bezopasnosti profilяm zaщitы

V dannoй časti «Obosnovaniя ZB» neobhodimo identificirovatь profili zaщitы, sootvetstvie kotorыm trebuetsя dlя ZB, i pokazatь, čto:

a) vse celi bezopasnosti, sformulirovannыe v profilяh zaщitы, vklюčenы v zadanie po bezopasnosti, a vse utočneniя celeй bezopasnosti obosnovanы;

b) vse trebovaniя bezopasnosti, sformulirovannыe v profilяh zaщitы, vklюčenы v zadanie po bezopasnosti, a vse utočneniя ili drugie operacii nad trebovaniяmi bezopasnosti iz PZ obosnovanы;

v) trebovaniя bezopasnosti, vklюčennыe v ZB, ne protivorečat trebovaniяm bezopasnosti, vklюčennыm v PZ.

Esli ZB vklюčaet tolьko trebovaniя bezopasnosti iz profileй zaщitы (doslovno ili v vide ssыlki), to provedenie dalьneйšego analiza ne trebuetsя. Analiz neobhodim, esli ZB vklюčaet dopolnitelьnыe detali. V эtom slučae neobhodimo pokazatь, čto эti detali obosnovanы i ne protivorečat soderžaniю PZ.

Krome togo, esli profili zaщitы soderžat nezaveršennыe operacii nad trebovaniяmi bezopasnosti, predusmatrivaя vыpolneniя operaciй naznačeniя i vыbora razrabotčikom ZB, to iz analiza ZB dolžno sledovatь, čto vse nezaveršennыe v PZ operacii zaveršenы.

13.2.6 Demonstraciя togo, čto funkcii bezopasnosti udovletvorяюt funkcionalьnыm trebovaniяm bezopasnosti

Naznačenie dannoй časti «Obosnovaniя ZB» zaklюčaetsя v tom, čtobы pokazatь, čto funkcii bezopasnosti IT prigodnы dlя udovletvoreniя vseh FTB, vklюčennыh v ZB (a ne tolьko teh FTB, kotorыe vstrečaюtsя v profilяh zaщitы, na kotorыe ssыlaetsя ZB).

Otobraženie funkciй bezopasnosti IT na FTB celesoobrazno predstavitь v vide tablicы. Iz tablicы dolžno sledovatь, čto:

a) každoe FTB otobraženo, po kraйneй mere, na odnu funkciю bezopasnosti IT;

b) každaя funkciя bezopasnosti IT otobražena, po kraйneй mere, na odno FTB.

V dopolnenie k tablice celesoobrazno poяsnitь, kakim obrazom udovletvorяюtsя nekotorыe konkretnыe FTB. Takoe poяsnenie možet potrebovatьsя, naprimer, esli srazu neskolьko funkciй bezopasnosti IT otobražaюtsя na odno FTB.

13.2.7 Demonstraciя vzaimnoй podderžki funkciй bezopasnosti

Naznačenie dannoй časti «Obosnovaniя ZB» zaklюčaetsя v tom, čtobы pokazatь, čto funkcii bezopasnosti IT polnы i vnutrenne neprotivorečivы. Pri эtom dlя demonstracii polnotы i vnutrenneй neprotivorečivosti funkciй bezopasnosti IT neobhodimo pokazatь, čto oni яvlяюtsя vzaimno podderživaющimi i predstavlяюt soboй «integrirovannoe эffektivnoe celoe». Takoй analiz vыpolnяetsя analogično demonstracii vzaimnoй podderžki FTB. Rassmatrivaemый analiz dolžen učestь vliяnie dopolnitelьnыh detaleй, vvedennыh v specifikacii funkciй bezopasnosti IT po sravneniю s sootvetstvuющimi FTB. Pri эtom dolžnы bыtь danы poяsneniя otnositelьno vzaimnoй podderžki i vzaimosvяzeй funkciй bezopasnosti IT, svяzannыh so vvedeniem v ZB takih dopolnitelьnыh detaleй.

13.2.8 Demonstraciя sootvetstviя mer doveriя k bezopasnosti trebovaniяm doveriя k bezopasnosti

Naznačenie dannoй časti «Obosnovaniя ZB» zaklюčaetsя v tom, čtobы pokazatь, čto izložennыe merы doveriя k bezopasnosti nadležaщim obrazom otvečaюt trebovaniяm doveriя k bezopasnosti. Predlagaemый podhod k rešeniю dannoй zadači predusmatrivaet predstavlenie otobraženiя mer doveriя k bezopasnosti na trebovaniя doveriя k bezopasnosti, s tem, čtobы pokazatь, čto každoe trebovanie doveriя k bezopasnosti učteno. Esli konkretnыe merы doveriя k bezopasnosti identificirovanы (sm. p. 11.3), to rassmatrivaemoe otobraženie lučše vsego možet bыtь predstavleno v vide tablicы. Эta tablica dolžna soprovoždatьsя kratkim poяsneniem togo, kakim obrazom predpolagaetsя vыpolnяtь trebovaniя doveriя k bezopasnosti. Sleduet otmetitь, čto okončatelьnый vыvod o prigodnosti mer doveriя k bezopasnosti možet bыtь sdelan tolьko v hode ocenki bezopasnosti OO. Poэtomu v ZB net neobhodimosti predstavlяtь detalьnoe obosnovanie priemlemosti mer doveriя k bezopasnosti.

Osoboe vnimanie эtoй časti «Obosnovaniя ZB» budet udelяtьsя v slučae, kogda ZB vklюčaet TDB, kotorыe trebuюt primeneniя konkretnыh metodov, predpolagaющih vыsokiй urovenь doveriя k bezopasnosti (naprimer, analiz skrыtыh kanalov ili ispolьzovanie formalьnыh metodov).

14. Profili zaщitы i zadaniя po bezopasnosti dlя sostavnыh OO i OO, vhodящih v sostav drugih OO

Nastoящaя glava soderžit rekomendacii po rešeniю konkretnыh problem, svяzannыh so sleduющimi slučaяmi kompozicii:

a) PZ i ZB formiruюtsя dlя sostavnogo OO, kotorый sostoit iz dvuh ili bolee komponentov (kotorыe takže mogut bыtь sostavnыmi obъektami), na každый iz kotorыh imeюtsя otdelьnыe PZ ili ZB (dalee – PZ OO-komponenta ili ZB OO-komponenta);

b) PZ i ZB formiruюtsя dlя OO-komponenta, v kotorыh opredelяюtsя zavisimosti ot IT-sredы, kotoraя vklюčaet drugie OO-komponentы, яvlяющiesя častью sostavnogo OO (zametim, čto mogut takže suщestvovatь zavisimosti, svяzannыe s trebovaniяmi dlя ne-IT-sredы, odnako ih ne obяzatelьno vklюčatь v PZ i ZB).

Suщestvuet neskolьko vozmožnыh scenariev, naprimer:

a) ZB sostavnogo OO možet formirovatьsя, kogda osobennosti OO-komponentov uže izvestnы, i ZB dlя эtih komponentov uže suщestvuюt. V эtom slučae glavnaя celь ZB složnogo OO budet zaklюčatьsя v opredelenii aspektov sredы bezopasnosti, kotorыe dolžnы bыtь učtenы OO-komponentami kak edinыm celыm, i demonstracii togo, čto vse rassmatrivaemыe aspektы sredы bezopasnosti učtenы.

b) v PZ sostavnogo OO možet bыtь provedena dekompoziciя zadač dlя otdelьnыh OO-komponentov v celяh posleduющego formirovaniя PZ dlя nih. Zadaniя po bezopasnosti OO-komponentov dolžnы bыtь soglasovanы s trebovaniяmi PZ OO-komponentov.

Dannый podhod naibolee priemlem dlя bolьših sistem, kotorыe vklюčaюt bolьšoe količestvo komponentov. Vыbor nailučšego sposoba dekompozicii sostavnogo OO na OO-komponentы v celяh posleduющego formirovaniя PZ ili ZB OO-komponentov vozlagaetsя na razrabotčika PZ/ZB.

14.1 Sostavnoй obъekt ocenki

14.1.1 Opisatelьnыe časti profilя zaщitы i zadaniя po bezopasnosti

Opisatelьnыe časti PZ/ZB OO-komponenta i, v častnosti, razdel «Opisanie OO», dolžnы soderžatь opisanie sostavnogo OO i vseh ego komponent. Razdel PZ ili ZB OO-komponenta «Opisanie OO» dolžen soderžatь opisanie funkcionalьnыh vozmožnosteй OO-komponenta; эta informaciя vposledstvii obobщaetsя v PZ/ZB sostavnыh OO.

14.1.2 Sreda bezopasnosti OO

Razdel PZ ili ZB sostavnogo OO «Sreda bezopasnosti OO» možet:

a) libo celikom opredelяtь sredu bezopasnosti dlя sostavnogo OO (posredstvom ssыlki na odin ili bolee PZ, sootvetstvie kotorыm zaяvlяetsя, s vklюčeniem dopolnitelьnыh podrobnosteй, gde эto neobhodimo);

b) libo predstavlяtь opisanie sredы bezopasnosti lišь v obщih čertah i soderžatь ssыlku na PZ ili ZB OO-komponentov dlя detalьnogo izloženiя ugroz, PBOr i predpoloženiй bezopasnosti.

Pervый iz opisannыh podhodov predpočtitelen v slučae, kogda v pervuю očeredь formiruetsя PZ sostavnogo OO i suщestvuet bolьšaя stepenь odnorodnosti OO-komponentov po otnošeniю k aktivam, podležaщim zaщite, i ugrozam эtim aktivam. V эtom slučae v PZ OO-komponentov možet bыtь pomeщena ssыlka na opisanie sredы bezopasnosti OO iz PZ sostavnogo OO dlя isklюčeniя povtoreniя informacii.

Vtoroй podhod яvlяetsя bolee predpočtitelьnыm, esli PZ ili ZB dlя OO-komponentov uže suщestvuюt. On takže celesoobrazen, kogda raznыm podmnožestvam komponentov sostavnogo OO sootvetstvuюt raznыe podmnožestva aktivov, podležaщih zaщite. V эtom slučae ih polnoe opisanie v PZ/ZB sostavnogo OO bыlo bы črezvыčaйno složnыm, a, sledovatelьno, trudnыm dlя ponimaniя polьzovatelem PZ/ZB. Poэtomu opisanie podležaщih zaщite aktivov i istočnikov ugroz predpočtitelьnee pomeщatь v PZ ili ZB OO-komponentov.

Neobhodimo otmetitь, čto soglasno OK, esli OO яvlяetsя fizičeski raspredelennыm, možet vozniknutь neobhodimostь (v celяh bolьšeй яsnosti) vыdelitь otdelьnыe domenы sredы bezopasnosti OO i analizirovatь aspektы sredы bezopasnosti (ugrozы, PBOr i predpoloženiя bezopasnosti) otdelьno dlя každogo domena.

Nezavisimo ot ispolьzuemogo podhoda neobhodimo obespečitь neprotivorečivostь i soglasovannostь meždu PZ/ZB sostavnogo OO i PZ/ZB OO-komponentov.

14.1.3 Celi bezopasnosti

Izloženie celeй bezopasnosti celesoobrazno osuщestvitь v PZ/ZB OO-komponentov. Pri эtom net neobhodimosti povtorяtь polnыe formulirovki эtih celeй bezopasnosti v PZ/ZB sostavnogo OO, odnako v PZ/ZB sostavnogo OO neobhodimo pokazatь sootvetstvie komponentov trebovaniй i celeй bezopasnosti.

Esli celi bezopasnosti, izložennыe v ZB sostavnogo OO, ne polnostью эkvivalentnы celяm bezopasnosti dlя OO-komponentov, to celesoobrazno predstavitь otobraženie celeй bezopasnosti dlя sostavnogo OO na celi bezopasnosti dlя OO-komponentov.

14.1.4 Trebovaniя bezopasnosti

Izloženie trebovaniй bezopasnosti IT celesoobrazno osuщestvlяtь v PZ/ZB OO-komponentov. Pri эtom net neobhodimosti privoditь polnыe formulirovki эtih trebovaniй v PZ/ZB sostavnogo OO. Tem ne menee, v PZ/ZB sostavnogo OO celesoobrazno predstavitь otobraženie FTB na OO-komponentы i urovenь doveriя k эtim komponentam. Esli dlя sostavnogo OO bыl ustanovlen edinый urovenь doveriя k bezopasnosti, to celesoobrazno sformulirovatь trebovaniя doveriя k bezopasnosti v PZ/ZB sostavnogo OO, a v PZ/ZB OO-komponentov pomestitь ssыlki na эti trebovaniя.

V teh slučaяh, kogda OO-komponentы imeюt različnыe urovni doveriя k bezopasnosti, dlя PZ/ZB sostavnogo OO možet bыtь sformirovan «profilь doveriя k bezopasnosti». Эto možet bыtь celesoobrazno, naprimer, togda, kogda kakoй-libo OO-komponent prednaznačen dlя zaщitы osobo cennыh libo naibolee privlekatelьnыh dlя narušitelя aktivov. Takoй podhod v яvnom vide ne protivorečit OK, no pri эtom neobhodimo kontrolirovatь, čtobы v PZ/ZB ne bыlo situaciй, kogda FTB odnogo OO-komponenta zaviseli bы ot FTB drugogo komponenta, kotorый podležit proverke na sootvetstvie bolee nizkomu urovnю doveriя k bezopasnosti.

Otmetim, čto esli PZ/ZB sostavnogo OO specificiruet «profilь doveriя k bezopasnosti», to net neobhodimosti opredelяtь obщiй urovenь doveriя k bezopasnosti, za isklюčeniem, možet bыtь, ukazaniя na minimalьnый urovenь doveriя k bezopasnosti OO-komponentov.

Celesoobrazno pri razrabotke mnogokomponentnыh sistem minimizirovatь količestvo OO-komponentov s vыsokimi trebovaniяmi doveriя k bezopasnosti, tak kak эto svяzano so stoimostью razrabotki i ocenki. Osnovnoй podhod pri эtom zaklюčaetsя v izolяcii aktivov, nuždaющihsя v naibolьšeй zaщite, v ramkah nebolьšogo količestva OO-komponentov s vыsokimi trebovaniяmi doveriя k bezopasnosti. (Primer – izolяciя glavnogo klюča centra sertifikacii.)

Pri formirovanii PZ/ZB sostavnogo OO neobhodimo obespečitь vzaimnoe udovletvorenie zavisimosteй OO-komponentov, esli, konečno, sam sostavnoй OO ne яvlяetsя komponentom bolьšego OO. Razdel «Trebovaniя bezopasnosti IT» PZ/ZB sostavnogo OO dolžen identificirovatь vse neudovletvorennыe zavisimosti (esli takovыe imeюtsя), kotorыe dolžnы bыtь udovletvorenы IT-sredoй sostavnogo OO (esli takaя IT-sreda suщestvuet).

14.1.5 Kratkaя specifikaciя OO

Celesoobrazno v ZB sostavnogo OO pomeщatь ssыlku na kratkie specifikacii iz ZB OO-komponentov, a ne izlagatь vse detali zanovo. Tak kak razdel ZB «Trebovaniя bezopasnosti IT» sostavnogo OO uže budet soderžatь informaciю o sootvetstvii trebovaniй bezopasnosti IT i OO-komponentov, to net osoboй neobhodimosti v perečislenii funkciй bezopasnosti IT, obespečivaemыh každыm OO-komponentom.

Esli kratkie specifikacii OO v ZB OO-komponentov identificiruюt dopolnitelьnыe ili bolee detalьnыe zavisimosti ot drugih OO-komponentov, to neobhodimo v kratkoй specifikacii sostavnogo OO pokazatь, čto rassmatrivaemыe zavisimosti udovletvorenы dlя sostavnogo OO v celom libo specificirovatь neudovletvorennыe zavisimosti v kačestve trebovaniй bezopasnosti dlя IT-sredы sostavnogo OO.

14.1.6 Obosnovanie PZ

V profile zaщitы dlя sostavnogo OO neobhodimo pokazatь, čto nabor celeй bezopasnosti učitыvaet vse aspektы sredы bezopasnosti OO, a trebovaniя bezopasnosti IT udovletvorяюt celяm bezopasnosti. Dlя nekotorыh aspektov razdela PZ «Obosnovanie» vozmožna ssыlka na informaciю iz razdelov «Obosnovanie» PZ OO-komponentov. Celesoobrazno priderživatьsя sleduющih principov.

1. Dlя togo čtobы pokazatь, čto nabor celeй bezopasnosti dlя sostavnogo OO v celom učitыvaet aspektы sredы bezopasnosti dlя sostavnogo OO, v pervuю očeredь, neobhodimo predstavitь otobraženie každoй celi bezopasnosti dlя OO-komponentov na ugrozы i PBOr, privedennыe v PZ sostavnogo OO. Zatem neobhodimo poяsnitь, počemu celi bezopasnosti podhodяt dlя togo, čtobы protivostoяtь ugrozam i udovletvorяtь PBOr. Ssыlka na razdelы «Obosnovanie» PZ otdelьnыh OO-komponentov vozmožna tolьko v slučae točnogo otobraženiя ugroz i/ili PBOr dlя sostavnogo OO na ugrozы i/ili PBOr dlя OO-komponentov.

2. Dlя togo čtobы pokazatь, čto nabor trebovaniй bezopasnosti IT яvlяetsя nadležaщim dlя udovletvoreniя celeй bezopasnosti, celesoobrazno ssыlatьsя na razdelы «Obosnovanie» PZ dlя otdelьnыh OO-komponentov, esli OO-komponent udovletvorяet celi bezopasnosti dlя sostavnogo OO. V PZ dlя sostavnogo OO neobhodimo pokazatь, čto vse celi bezopasnosti dlя sostavnogo OO nadležaщim obrazom udovletvorяюtsя, po kraйneй mere, odnim OO-komponentom, ili pokazatь, čto celь udovletvorяetsя blagodarя vzaimodeйstviю dvuh ili bolee OO-komponentov.

3. Dlя togo čtobы pokazatь, čto zavisimosti trebovaniй bezopasnosti udovletvorяюtsя, možno ispolьzovatь ssыlku na razdelы «Obosnovanie» PZ otdelьnыh OO-komponentov. Pri эtom neobhodimo obespečitь, čtobы v razdele «Obosnovanie» PZ sostavnogo OO:

- demonstrirovalosь, čto vse zavisimosti, kotorыe opredelenы v PZ OO-komponentov kak podležaщie udovletvoreniю IT-sredoй, libo udovletvorяюtsя drugimi OO-komponentami, vhodящimi v sostavnoй OO, libo identificirovanы (v PZ sostavnogo OO) kak zavisimosti, podležaщie udovletvoreniю IT-sredoй dlя sostavnogo OO;

- rassmatrivalisь zavisimosti, kotorыe v razdelah «Obosnovanie» PZ OO-komponentov obosnovыvalisь kak ne podležaщie udovletvoreniю, no kotorыe s učetom sredы bezopasnosti sostavnogo OO vse-taki podležat udovletvoreniю.

4. Dlя demonstracii vzaimnoй podderžki trebovaniй bezopasnosti IT možno ispolьzovatь rezulьtatы analiza vzaimosvяzeй meždu trebovaniяmi bezopasnosti IT v ramkah každogo OO-komponenta, predstavlennыe v razdelah «Obosnovanie» PZ OO-komponentov. Pri эtom v razdele «Obosnovanie» PZ sostavnogo OO neobhodimo rassmotretь vzaimosvяzi i zavisimosti meždu trebovaniяmi bezopasnosti IT različnыh OO-komponentov, esli oni ne bыli dolžnыm obrazom učtenы v razdelah «Obosnovanie» PZ dlя OO-komponentov.

14.1.7 Obosnovanie ZB

Rekomendacii po formirovaniю razdela ZB «Obosnovanie» vo mnogom podobnы rekomendaciяm po formirovaniю razdela «Obosnovanie» PZ sostavnogo OO (sm. p. 14.1.6). V častnosti:

a) dlя demonstracii togo, čto funkcii bezopasnosti IT i merы doveriя podhodяt dlя udovletvoreniя trebovaniй bezopasnosti OO, možno prosto ispolьzovatь ssыlku na razdelы «Obosnovanie» ZB dlя OO-komponentov;

b) dlя demonstracii vzaimnoй podderžki funkciй bezopasnosti IT možno ispolьzovatь rezulьtatы analiza vzaimnoй podderžki funkciй bezopasnosti IT v ramkah každogo OO-komponenta, predstavlennыe v razdelah «Obosnovanie» ZB dlя OO-komponentov. Pri эtom v razdele «Obosnovanie» ZB sostavnogo OO neobhodimo rassmotretь vzaimosvяzi i zavisimosti meždu funkciяmi bezopasnosti IT različnыh OO-komponentov.

14.2 OO-komponent

14.2.1 Opisatelьnыe časti PZ i ZB

Esli OO predstavlяet soboй komponent sostavnogo OO, to na эto dolžno bыtь яsno ukazano v opisatelьnыh častяh PZ/ZB (v častnosti, v razdele «Opisanie OO»). Esli OO predstavlяet soboй komponent konkretnogo sostavnogo OO, drugie komponentы kotorogo takže izvestnы, to v «Opisanii OO» sleduet identificirovatь vse te OO-komponentы, s kotorыmi vzaimodeйstvuet rassmatrivaemый OO-komponent (i kotorыe predstavlяюt soboй vsю IT-sredu dlя rassmatrivaemogo OO-komponenta ili ee častь). V drugih slučaяh «Opisanie OO» dolžno opisыvatь tipы sostavnыh OO, kotorыe mogli bы ispolьzovatь dannый OO-komponent.

14.2.2 Sreda bezopasnosti OO

Razdel PZ/ZB «Sreda bezopasnosti OO» prednaznačen dlя togo, čtobы opredelitь granicы sredы bezopasnosti OO-komponenta, i, s točki zreniя ocenщika – granicы ocenki OO-komponenta. Naprimer, sreda bezopasnosti IT dlя OO-komponenta možet vklюčatь, v tom čisle, drugie IT-komponentы, s kotorыmi predpolagaetsя vzaimodeйstvie OO-komponenta. V takih slučaяh naličie zavisimosteй OO-komponenta ot IT-sredы sleduet traktovatь kak predpoloženie o srede bezopasnosti OO. Pri formulirovanii takogo predpoloženiя sleduet izbegatь vklюčeniя detaleй realizacii, kotorыe specificiruюtsя v PZ/ZB.

OO-komponentu možet bыtь predpisana neobhodimostь vzaimodeйstviя s drugimi ustroйstvami v ramkah IT-sredы. V эtom slučae v PZ/ZB dolžna bыtь vklюčeno sootvetstvuющee položenie PBOr.

14.2.3 Celi bezopasnosti

Lюbыe zavisimosti ot IT-sredы sleduet traktovatь kak celi bezopasnosti dlя (IT-)sredы.

Zametim, čto sootvetstvuющiй profilю zaщitы OO-komponent možet sam po sebe udovletvorяtь odnoй ili bolee celяm bezopasnosti, otvetstvennostь za dostiženie kotorыh vozlagaetsя v PZ na IT-sredu. Naprimer, SUBD možet udovletvorяtь celi bezopasnosti, svяzannoй s identifikacieй i autentifikacieй, v to vremя kak v PZ dostiženie dannoй celi bezopasnosti vozloženo na operacionnuю sistemu, pod upravleniem kotoroй rabotaet SUBD.

Esli PBOr soderžit predpisanie OO vzaimodeйstvovatь s drugimi ustroйstvami IT-sredы, to neobhodimo sformulirovatь sootvetstvuющuю celь bezopasnosti dlя OO.

14.2.4 Trebovaniя bezopasnosti

Trebovaniя bezopasnosti dlя IT-sredы OO-komponenta dolžnы, gde эto vozmožno, identificirovatь konkretnыe OO-komponentы, na kotorыe vozlagaetsя udovletvorenie dannыh trebovaniй bezopasnosti.

Primečanie. Trebovaniя bezopasnosti dlя sredы mogut bыtь opredelenы putem zaяvleniя o sootvetstvii drugim PZ.

14.2.5 Kratkaя specifikaciя OO

V kačestve podэtapa specifikacii funkciй bezopasnosti IT možet potrebovatьsя utočnenie rяda trebovaniй bezopasnosti dlя IT-sredы. Naprimer, OO možet ispolьzovatь opredelennый interfeйs s operacionnoй sistemoй dlя registracii generiruemыh dannыh audita bezopasnosti. Takim obrazom, esli OO predpolagaet funkcionirovatь v sostave konkretnogo sostavnogo OO, to vse utočnennыe trebovaniя dolžnы otobražatьsя na konkretnыe komponentы sostavnogo OO.

14.2.6 Obosnovanie PZ

Esli v PZ opredelяюtsя trebovaniя bezopasnosti dlя IT-sredы, to oni dolžnы bыtь rassmotrenы v razdele PZ «Obosnovanie». V častnosti neobhodimo:

a) prodemonstrirovatь kakim obrazom trebovaniя bezopasnosti dlя IT-sredы sposobstvuюt udovletvoreniю celeй bezopasnosti dlя OO;

b) pokazatь, čto vse zavisimosti trebovaniй bezopasnosti dlя IT-sredы udovletvorenы;

v) prodemonstrirovatь vzaimnuю podderžku trebovaniй bezopasnosti dlя IT-sredы i pokazatь podderžku s ih storonы po otnošeniю k trebovaniяm bezopasnosti IT.

14.2.7 Obosnovanie ZB

Esli v ZB opredelяюtsя trebovaniя bezopasnosti dlя IT-sredы, to oni dolžnы bыtь rassmotrenы v razdele ZB «Obosnovanie». V častnosti, dolžnы bыtь rassmotrenы voprosы, analogičnыe tem, kotorыe rassmatrivaюtsя v PZ (sm. p.14.2.6). Dopolnitelьnыe detali, naprimer, svяzannыe s zavisimostяmi, vvedennыmi v ZB, dolžnы bыtь takže rassmotrenы v sootvetstvuющih častяh ZB «Obosnovanie».

15. Funkcionalьnыe paketы i paketы trebovaniй doveriя k bezopasnosti

Dannaя glava Rukovodstva soderžit metodičeskie rekomendacii po formirovaniю paketov trebovaniй bezopasnosti. Koncepciя paketa predstavlena v p. 4.4.2.1 časti 1 OK. Paket možno oharakterizovatь sleduющim obrazom:

a) paket predstavlяet soboй promežutočnuю kombinaciя funkcionalьnыh komponentov ili komponentov trebovaniй doveriя k bezopasnosti;

b) paket prednaznačen dlя mnogokratnogo ispolьzovaniя pri sozdanii bolee krupnыh paketov, profileй zaщitы i zadaniй po bezopasnosti;

v) paket prednaznačen dlя opredeleniя trebovaniй bezopasnosti, kotorыe sčitaюtsя podhodящimi dlя udovletvoreniя opredelennogo podmnožestva celeй bezopasnosti.

Osnovnoe preimuщestvo paketov trebovaniй zaklюčaetsя v sniženii rabočeй nagruzki na razrabotčikov PZ/ZB pri formulirovanii trebovaniй bezopasnosti IT (sm. glavu 10).

Ocenočnыe urovni doveriя k bezopasnosti, opredelennыe v glave 6 časti 3 OK, neobhodimo rassmatrivatь kak primer oformleniя paketov trebovaniй doveriя k bezopasnosti.

15.1 Formirovanie funkcionalьnogo paketa

15.1.1 Razrabotčiki funkcionalьnыh paketov

V kačestve razrabotčika funkcionalьnogo paketa možet vыstupatь lюbaя organizaciя, zainteresovannaя v prodviženii standartizovannoй specifikacii funkcionalьnыh vozmožnosteй obespečeniя bezopasnosti. Razrabotka funkcionalьnogo paketa možet rassmatrivatьsя libo kak pervый šag pri formirovanii profilя zaщitы (ili semeйstva PZ), libo kak sostavnaя častь ZB.

Funkcionalьnый paket možet, naprimer, bыtь ispolьzovan organizacieй dlя specifikacii standartnogo nabora funkcionalьnыh trebovaniй bezopasnosti, kotorыe dolžnы udovletvoritь razrabotčiki izdeliя IT.

15.1.2 Soderžimoe funkcionalьnogo paketa

Funkcionalьnый paket predstavlяet soboй specifikaciю funkcionalьnыh trebovaniй bezopasnosti. Dlя formulirovaniя dannыh FTB neobhodimo ispolьzovatь rekomendacii p.10.1 nastoящego Rukovodstva. Otdelьnыe FTB, vhodящie v funkcionalьnый paket, dolžnы libo identificirovatь standartizovannыe funkcionalьnыe komponentы iz OK, libo predstavlяtь soboй trebovaniя, sformulirovannыe v яvnom vide i po forme predstavleniя sootvetstvuющie oformleniю komponentov trebovaniй v OK. Pri эtom sformulirovannыe v takom vide trebovaniя dolžnы soprovoždatьsя četkim obosnovaniem togo, počemu ih neobhodimo bыlo formulirovatь v яvnom vide. Sovokupnostь FTB, opredelennыh v FP, dolžna bыtь napravlena na udovletvorenie opredelennogo podmnožestva celeй bezopasnosti.

Pri razrabotke FP možno ispolьzovatь odin iz dvuh podhodov (ili ih kombinaciю):

– formirovatь sovokupnostь FTB, ishodя iz uže izložennыh konkretnыh celeй bezopasnosti;

– formulirovatь celi bezopasnosti, ishodя iz opredelennoй sovokupnosti FTB.

Krome sobstvenno funkcionalьnыh trebovaniй, v FP sleduet vklюčatь sleduющuю informaciю, predstavlяющuю interes pri razrabotke bolьših FP, PZ i ZB:

a) identifikaciю celeй bezopasnosti, kotorыm udovletvorяюt FTB;

b) informaciю ob ispolьzovanii funkcionalьnыh komponentov iz OK ili ob otkloneniяh ot OK;

v) obosnovanie FTB, vklюčaя:

– demonstraciю adekvatnosti FTB dlя udovletvoreniя identificirovannыh celeй bezopasnosti;

– analiz zavisimosteй meždu FTB;

– demonstraciю vzaimnoй podderžki FTB.

Vmeste s tem ne rekomenduetsя, čtobы v FP vklюčalasь formalьnaя specifikaciя celeй bezopasnosti i polnoe obosnovanie trebovaniй bezopasnosti, udovletvorяющie kriteriяm doveriя k bezopasnosti OK. Эto svяzano s tem, čto celi bezopasnosti dlя konkretnogo OO budut zavisetь ot sredы bezopasnosti OO. Celesoobrazno, čtobы FP soderžal v vide zamečaniй po primeneniю lюbuю informaciю, kotoraя bы bыla poleznoй pri formirovanii obosnovaniй PZ ili ZB.

15.2 Specifikaciя paketa trebovaniй doveriя k bezopasnosti

15.2.1 Razrabotčiki paketov trebovaniй doveriя k bezopasnosti

V kačestve razrabotčikov paketov trebovaniй doveriя k bezopasnosti (PD) možet vыstupatь organ ocenki, a takže lюbaя organizaciя, kotoraя provodit ocenku izdeliй IT. Takie paketы mogut opredelяtь alьternativnыe urovni doveriя k bezopasnosti libo opredelяtь kombinaciю komponentov klassa AMA «Podderžka doveriя k bezopasnosti».

15.2.2 Soderžanie paketa trebovaniй doveriя k bezopasnosti

Paket trebovaniй doveriя k bezopasnosti predstavlяet soboй specifikaciю trebovaniй doveriя k bezopasnosti. Dlя formulirovaniя эtih trebovaniй neobhodimo ispolьzovatь rekomendacii p.10.2 nastoящego Rukovodstva. Otdelьnыe TDB, vhodящie v PD, dolžnы libo identificirovatь standartizovannыe komponentы doveriя k bezopasnosti, opredelennыe v časti 3 OK, libo predstavlяtь soboй trebovaniя, sformulirovannыe v яvnom vide i po forme predstavleniя sootvetstvuющie oformleniю komponentov trebovaniй v OK. Pri эtom sformulirovannыe v яvnom vide trebovaniя dolžnы soprovoždatьsя četkim obosnovaniem togo, počemu ih bыlo neobhodimo formulirovatь v яvnom vide.

V celяh mnogokratnogo ispolьzovaniя PD dolžen vklюčatь informaciю o naznačenii TDB. Эta informaciя pozvolяet polьzovatelю PD opredelitь, v kakih slučaяh ego celesoobrazno ispolьzovatь i kakie TDB k nemu možno dobavitь.

Specifikaciю OUD, predstavlennuю v OK, neobhodimo rassmatrivatь v kačestve obrazca predstavleniя paketov trebovaniй doveriя k bezopasnosti.

Priloženie 1. Rezюme

Dannoe priloženie soderžit opisanie klюčevыh voprosov, izložennыh v glavah 7–13 nastoящego Rukovodstva.

P1.1. Vvedenie PZ/ZB

V razdel «Vvedenie PZ/ZB» neobhodimo vklюčitь obzor problemы bezopasnosti, kotoraя podležit rešeniю v PZ/ZB, a takže kratkiй obzor togo, kakim obrazom PZ/ZB sposobstvuet rešeniю problemы bezopasnosti. Pri эtom neobhodimo obespečitь ih sootvetstvie soderžaniю PZ/ZB.

P1.2. Opisanie OO

V razdel PZ/ZB «Opisanie OO» neobhodimo vklюčitь opisanie vseh funkcionalьnыh vozmožnosteй OO, a ne tolьko harakteristik bezopasnosti (esli, konečno, obespečenie bezopasnosti ne яvlяetsя edinstvennыm prednaznačeniem OO).

V razdel PZ «Opisanie OO» opisanie «granic OO» možet ne vklюčatьsя. Opisanie «granic OO» – эto opisanie togo, čto vklюčaet i čto ne vklюčaet v sebя OO.

V razdel ZB «Opisanie OO» opisanie «granic OO» vklюčaetsя obяzatelьno. «Granicы OO» dolžnы bыtь opredelenы kak v časti apparatnыh i programmnыh komponentov (fizičeskie granicы), tak i v časti funkcionalьnыh harakteristik bezopasnosti OO.

Neobhodimo obespečitь sootvetstvie razdela «Opisanie OO» soderžaniю PZ/ZB.

P1.3. Sreda bezopasnosti OO

P1.3.1. Predpoloženiя bezopasnosti

Identifikaciя

V podrazdel «Predpoloženiя bezopasnosti» neobhodimo vklюčitь perečenь predpoloženiй otnositelьno sredы bezopasnosti OO, svяzannыh s voprosami fizičeskoй zaщitы, personalom i voprosami svяznosti sredы i OO.

Specifikaciя

Neobhodimo, po vozmožnosti, pri formulirovanii predpoloženiй bezopasnosti izbegatь vklюčeniя lюbыh detaleй, kasaющihsя funkciй bezopasnosti OO.

Predstavlenie

Dlя uproщeniя ssыlok neobhodimo, čtobы každoe predpoloženie bezopasnosti bыlo pronumerovano ili imelo unikalьnuю metku.

P1.3.2. Ugrozы

Identifikaciя

Pri identifikacii ugroz neobhodimo opisatь aktivы IT, podležaщie zaщite, metodы napadeniй i drugie neželatelьnыe sobыtiя, kotorыe neobhodimo učitыvatь pri zaщite, i istočniki ugroz.

Specifikaciя

Pri specifikacii neobhodimo obespečitь četkoe opisanie ugroz putem predstavleniя detalьnoй informacii otnositelьno istočnika ugrozы, aktivov IT, podveržennыh napadeniю, i metoda napadeniя.

Pri эtom neobhodimo obespečitь kratkostь v opisanii každoй otdelьnoй ugrozы s tem, čtobы minimizirovatь perekrыtie opisaniя različnыh ugroz.

Opisanie ugroz dolžno zatragivatь tolьko te potencialьnыe sobыtiя, kotorыe neposredstvenno mogut privesti k komprometacii aktivov, podležaщih zaщite. V PZ/ZB ne rekomenduetsя vklюčatь opisanie ugroz, svяzannыh s nedostatkami v realizacii OO.

Predstavlenie

Dlя uproщeniя ssыlok neobhodimo, čtobы každaя ugroza imela unikalьnuю metku.

P1.3.3. Politika bezopasnosti organizacii

Identifikaciя

Kak pravila PBOr neobhodimo traktovatь lюbыe trebovaniя politiki bezopasnosti, kotorыe ne mogut bыtь sformulirovanы isklюčitelьno na osnove analiza ugroz.

Specifikaciя

Neobhodimo opredelitь PBOr v vide sovokupnosti pravil, prednaznačennыh dlя realizacii OO i/ili ego sredoй (naprimer, pravila upravleniя dostupom).

Predstavlenie

Dlя uproщeniя ssыlok neobhodimo, čtobы každoe pravilo PBOr imelo unikalьnuю metku.

P1.4. Celi bezopasnosti

Identifikaciя

Esli funkcionalьnыe trebovaniя bezopasnosti uže opredelenы, to dlя každogo osnovnogo FTB (ili gruppы FTB) neobhodimo postavitь v sootvetstvie nekotoruю celь bezopasnosti dlя OO.

Neobhodimo identificirovatь celi bezopasnosti, otvetstvennostь za dostiženie kotorыh vozloženo na IT-sredu (naprimer, na OS, pod upravleniem kotoroй rabotaet OO, ili na nekotoruю druguю platformu, na baze kotoroй rabotaet OO), kak celi bezopasnosti dlя sredы.

Neobhodimo identificirovatь procedurы, svяzannыe s ispolьzovaniem kontrmer OO, kak celi bezopasnosti dlя sredы.

Specifikaciя

Pri izloženii celeй bezopasnosti dlя OO neobhodimo ustanovitь (v zadannom razrabotčikom PZ/ZB obъeme) vozlagaemuю na OO otvetstvennostь za protivostoяnie ugrozam i sledovanie PBOr. Pri эtom sleduet izbegatь togo, čtobы formulirovka celeй bezopasnosti яvlяlasь bы prostыm povtoreniem, hotя i v neskolьko drugoй forme, informacii, soderžaщeйsя v opisanii ugroz i PBOr, a takže – detaleй realizacii.

Izloženie celeй bezopasnosti dlя OO, napravlennыh na protivostoяnie ugrozam, dolžno яsno svidetelьstvovatь, k kakomu tipu (celi predupreditelьnogo haraktera, celi obnaruženiя ili celi reagirovaniя) prinadležit každaя celь bezopasnosti.

Predstavlenie

Dlя uproщeniя ssыlok neobhodimo, čtobы každaя celь bezopasnosti imela unikalьnuю metku.

P1.5. Trebovaniя bezopasnosti IT

P1.5.1. Funkcionalьnыe trebovaniя bezopasnosti OO

Identifikaciя

V pervuю očeredь neobhodimo identificirovatь osnovnыe FTB, kotorыe neposredstvenno udovletvorяюt konkretnыm celяm bezopasnosti dlя OO. Dalee neobhodimo sformirovatь polnuю sovokupnostь podderživaющih FTB, kotorыe igraюt podderživaющuю (po otnošeniю k osnovnыm FTB) rolь v dostiženii celeй bezopasnosti dlя OO.

Formirovanie polnoй sovokupnosti podderživaющih FTB predusmatrivaet učet zavisimosteй funkcionalьnыh komponentov, opredelennыh v časti 2 OK. Nekotorыe zavisimosti mogut bыtь ostavlenы neudovletvorennыmi. Pri эtom neobhodimo datь obъяsnenie, počemu sootvetstvuющie FTB ne ispolьzuюtsя dlя udovletvoreniя celeй bezopasnosti.

Specifikaciя

Neobhodimo osuщestvitь vыbor urovnя audita bezopasnosti, ishodя iz sleduющih osnovnыh faktorov:

- značimosti audita bezopasnosti dlя dostiženiя celeй bezopasnosti;

- tehničeskoй realizuemosti.

Neobhodimo ispolьzovatь operaciю «iteraciя» v slučae neobhodimosti neodnokratnogo ispolьzovaniя funkcionalьnogo komponenta, opredelennogo v časti 2 OK.

V PZ neobhodimo osuщestvitь polnoe libo častičnoe vыpolnenie operaciй «naznačenie» i «vыbor» nad funkcionalьnыmi komponentami, napravlennoe na nedopuщenie vыbora razrabotčikom ZB takih rešeniй, kotorыe bы protivorečili celяm bezopasnosti dlя OO.

Rekomenduetsя ispolьzovatь operaciю «utočnenie» v teh slučaяh, kogda zamena obщego termina (naprimer, atribut bezopasnosti) na specifičeskiй dlя rassmatrivaemogo OO termin delaet sootvetstvuющie FTB bolee čitabelьnыmi i ponяtnыmi.

Predstavlenie

Rekomenduetsя v PZ/ZB rezulьtatы vыpolneniя operaciй vыdelяtь kursivom (libo kakim-libo drugim sposobom).

Celesoobrazno obъedinitь FTB v gruppы i ozaglavitь dannыe gruppы FTB, ishodя iz konteksta PZ. Zagolovki grupp FTB mogut otličatьsя ot zagolovkov klassov, semeйstv i komponentov, opredelennыh v časti 2 OK.

Dlя markirovki FTB v PZ/ZB sovsem ne obяzatelьno ispolьzovatь sistemu markirovki komponentov, prinяtuю v časti 2 OK. Dlя эtih celeй razrabotčik PZ/ZB možet ispolьzovatь svoю sobstvennuю sistemu markirovki FTB (naprimer, na osnove bolee informativnыh metok). Pri ispolьzovanii sobstvennoй sistemы markirovki FTB razrabotčik PZ/ZB dolžen predstavitь (naprimer, v priloženii k PZ/ZB) otobraženie predstavlennыh v PZ/ZB FTB na sootvetstvuющie funkcionalьnыe komponentы, opredelennыe v časti 2 OK.

P1.5.2. Trebovaniя doveriя k bezopasnosti OO

Identifikaciя

Vыbor trebovaniй doveriя k bezopasnosti neobhodimo osuщestvlяtь s učetom sleduющih osnovnыh faktorov:

a) cennosti aktivov, podležaщih zaщite, i osoznavaemogo riska ih komprometacii;

b) tehničeskoй realizuemosti;

v) stoimosti razrabotki i ocenki;

g) trebuemogo vremeni dlя razrabotki i ocenki OO.

P1.5.3. Trebovaniя bezopasnosti dlя IT-sredы

Identifikaciя

Dlя udovletvoreniя celeй bezopasnosti dlя sredы neobhodimo sformulirovatь trebovaniя bezopasnosti dlя IT-sredы.

Trebovaniя bezopasnosti dlя IT-sredы mogut bыtь sformulirovanы v processe udovletvoreniя zavisimosteй FTB OO, kotorыe ne udovletvorenы OO i dlя kotorыh ne predstavleno obosnovanie otsutstviя neobhodimosti v ih udovletvorenii (dlя dostiženiя celeй bezopasnosti).

Specifikaciя

Formulirovatь trebovaniя bezopasnosti dlя IT-sredы neobhodimo na nekotorom priemlemom urovne abstrakcii. Pri эtom neobhodimo učitыvatь, čto opredelenie v PZ trebovaniй bezopasnosti dlя IT-sredы na urovne abstrakcii, sootvetstvuющem urovnю predstavleniя FTB, možet okazatьsя sliškom detalьnыm s točki zreniя ih realizacii.

P1.6. Kratkaя specifikaciя OO (tolьko dlя ZB)

P1.6.1. Funkcii bezopasnosti OO

Identifikaciя

Neobhodimo identificirovatь funkcii bezopasnosti IT na osnove ranee sformulirovannыh FTB. Funkcii bezopasnosti IT dolžnы bыtь izloženы takim obrazom, čtobы maksimalьno točno sootvetstvovatь dokumentacii OO i naglяdno otobražatьsя na sootvetstvuющie FTB.

Specifikaciя

Neobhodimo specificirovatь funkcii bezopasnosti IT putem ispolьzovaniя specifičeskih dlя OO terminologii i detaleй. Pri эtom nelьzя upustitь ni odnu iz suщestvennыh detaleй, soderžaщihsя v FTB.

P1.6.2. Merы doveriя k bezopasnosti

Identifikaciя

Pri identifikacii mer doveriя k bezopasnosti neobhodimo prodemonstrirovatь, čto oni ohvatыvaюt vse trebovaniя doveriя k bezopasnosti.

Dlя nizkih urovneй doveriя k bezopasnosti (ne trebuющih ispolьzovaniя specialьnыh metodov i sposobov) razdel ZB «Kratkaя specifikaciя OO» ne dolžen soderžatь značitelьnogo obъema dopolnitelьnoй informacii, krome obщih utverždeniй o tom, čto ispolьzuюtsя (ili budut ispolьzovatьsя) neobhodimыe dlя udovletvoreniя trebovaniй doveriя k bezopasnosti merы doveriя k bezopasnosti.

Na bolee vыsokih urovnяh doveriя k bezopasnosti (OUD 5 i vыše) neobhodima bolьšaя detalizaciя (identifikaciя konkretnыh detalizirovannыh mer doveriя k bezopasnosti), naprimer, ssыlki na konkretnыe instrumentalьnыe sredstva, metodы ili podhodы, kotorыe dolžen ispolьzovatь razrabotčik dlя udovletvoreniя trebovaniй doveriя k bezopasnosti.

P1.7. Obosnovanie PZ

P1.7.1. Logičeskoe obosnovanie celeй bezopasnosti

Neobhodimo prodemonstrirovatь (tabličnыm ili drugim sposobom), čto celi bezopasnosti ohvatыvaюt vse ustanovlennыe v razdele PZ «Sreda bezopasnosti OO» aspektы sredы bezopasnosti OO (ugrozы, PBOr i predpoloženiя bezopasnosti).

Tablicu sootvetstviя celeй bezopasnosti i aspektov sredы bezopasnosti OO celesoobrazno dopolnitь neformalьnыm obъяsneniem prigodnosti celeй bezopasnosti dlя učeta ugroz, PBOr i predpoloženiй bezopasnosti.

P1.7.2. Logičeskoe obosnovanie trebovaniй bezopasnosti

Neobhodimo prodemonstrirovatь (tabličnыm ili drugim sposobom), čto každaя celь bezopasnosti dlя OO učtena, po kraйneй mere, odnim FTB. Tabličnoe predstavlenie dolžno bыtь dopolneno neformalьnыm obъяsneniem dostatočnosti FTB dlя udovletvoreniя každoй celi bezopasnosti.

Neobhodimo prodemonstrirovatь vzaimnuю podderžku FTB sleduющim obrazom:

a) pokazatь, čto, gde neobhodimo, zavisimosti komponentov trebovaniй bezopasnosti udovletvorenы;

b) pokazatь, čto FTB яvlяюtsя soglasovannыmi (ne protivorečat drug drugu);

v) pokazatь, čto, gde neobhodimo, vklюčenы podderživaющie FTB, prednaznačennыe dlя zaщitы mehanizmov bezopasnosti, realizuющih drugie FTB, ot napadeniй tipa «obhod», «nesankcionirovannoe izmenenie» i «deaktivaciя».

P1.8. Obosnovanie ZB

P1.8.1. Logičeskoe obosnovanie celeй i trebovaniй bezopasnosti

Formirovanie dannыh podrazdelov «Obosnovaniя» v ZB analogično formirovaniю sootvetstvuющih podrazdelov «Obosnovaniя» v PZ (sm. p. P1.7).

Esli ZB trebuet soglasovaniя s odnim ili bolee PZ, to razdel PZ «Obosnovanie» nasleduetsя ZB. Pri эtom v razdele ZB «Obosnovanie» osnovnoe vnimanie dolžno akcentirovatьsя na dopolnitelьnыh (po otnošeniю k PZ) detalяh, vvedennыh v celi bezopasnosti i trebovaniя bezopasnosti IT.

P1.8.2. Logičeskoe obosnovanie kratkoй specifikacii OO

Neobhodimo prodemonstrirovatь (tabličnыm ili drugim sposobom), čto funkcii bezopasnosti IT ohvatыvaюt vse FTB, a merы doveriя k bezopasnosti – vse TDB. Pri эtom neobhodimo pokazatь, čto každoe FTB ili TDB učteno, po kraйneй mere, odnoй funkcieй bezopasnosti IT ili meroй doveriя k bezopasnosti sootvetstvenno.