КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
А.11 Вопросы, на которые можно ответить с помощью ЗБ
|
|
|
|
Целями безопасности и требованиями безопасности
В разделе ЗБ ”Требования безопасности“ цели безопасности для ОО преобразуются в ФТБ и предоставляется обоснование требований безопасности, показывающее, что, если все ФТБ установлены, то все цели безопасности для ОО достигнуты.
Кроме того, здесь приводится совокупность ТДБ, чтобы показать, каким образом оценивается ОО, а также – пояснение выбора этих ТДБ.
Все вышеупомянутое может быть объединено в рамках следующего утверждения: Если все ФТБ и ТДБ установлены и все цели безопасности для среды функционирования достигнуты, то имеется доверие к тому, что проблема безопасности, определенная в соответствии с ASE_SPD, решена: всем угрозам обеспечено противостояние, все ПБОр осуществлены и все предположения реализованы. Данное утверждение проиллюстрировано на рисунке А.3.
Степень полученного доверия определяется ТДБ, а достаточность этой степени доверия определяется пояснением выбора ТДБ.
A.10 Краткая спецификация ОО (ASE_TSS)
Цель ”Краткой спецификации ОО“ – предоставить потенциальным потребителям ОО описание того, каким образом в ОО выполняются все ФТБ. В разделе ”Краткая спецификация ОО“ следует привести описание основных технических механизмов, используемых ОО с этой целью. Уровня детализации данного описания должен быть достаточным, чтобы позволить потенциальным потребителям понять основной облик и реализацию ОО.
Например, если ОО является ПК, подключенным к Интернет, и ФТБ включают компонент FIA_UAU.1 для определения аутентификации, то в краткой спецификации ОО следует указать, каким образом выполняется аутентификация: посредством пароля, токена, сканирования радужной оболочки глаза и т.д.
Может быть также приведен больший объем информации, такой, например, как указание применимых стандартов, используемых в ОО для удовлетворения ФТБ, или более детальное описание.
По окончании оценки ЗБ определяет ”что было оценено“. В этой роли ЗБ служит основой для соглашения между разработчиком или поставщиком ОО и потенциальным потребителем ОО. Поэтому с помощью ЗБ можно ответить на следующие (а также и на другие) вопросы:
a) Как найти необходимые ЗБ/ОО из множества существующих ЗБ/ОО? Этот вопрос обращен к ”Аннотации ОО“, в которой дается краткое (несколько параграфов) описание ОО;
b) Согласован ли ОО с существующей инфраструктурой ИТ? Этот вопрос обращен к ”Аннотации ОО“, в которой идентифицируются основные элементы аппаратных средств/программно-аппаратных средств/программного обеспечения, под управлением которых должен функционировать ОО;
c) Согласован ли ОО с существующей средой функционирования? Этот вопрос обращен к ”Целям безопасности для среды функционирования“, где определяются все ограничения на размещение ОО в среде функционирования;
d) Что делает (возможности) ОО (заинтересованный пользователь)? Этот вопрос обращен к ”Аннотации ОО“, в которой дается краткое (несколько параграфов) описание ОО;
e) Что делает ОО (потенциальный потребитель)? Этот вопрос обращен к ”Описанию ОО“, в котором дается более подробное, чем в ”Аннотации ОО“ описание ОО (на несколько страниц);
f) Что делает ОО (технический специалист)? Этот вопрос обращен к ”Краткой спецификации ОО“, в которой приводится высокоуровневое описание механизмов, использованных в ОО;
g) Что делает ОО (эксперт)? Этот вопрос обращен к ФТБ, которые обеспечивают достаточно абстрактное техническое описание, и к ”Краткой спецификации ОО“, в которой приводятся дополнительные подробности;
h) Решает ли ОО проблему с учетом требований государства/организации? Если государство/организация определили пакеты и/или ПЗ, чтобы определить решение, то ответ на указанный вопрос может быть найден в разделе ЗБ ”Утверждения о соответствии“, в котором перечисляются все пакеты и ПЗ, которым соответствует ЗБ;
i) Отвечает ли ОО конкретной проблеме безопасности (эксперт)? Каким угрозам противостоит ОО? Какую политику безопасности организации реализует ОО? Какие предположения сделаны относительно среды функционирования? На эти вопросы отвечает ” Описание проблемы безопасности”;
j) Каков объем доверия к ОО? Ответ на этот вопрос может быть найден в ТДБ в разделе ЗБ ”Требования безопасности“, в котором определен уровень доверия, использованный при оценке ОО, а следовательно – объем доверия к корректности ОО, обеспечиваемый в результате оценки.
А.12 Задания по безопасности для низкого уровня доверия
Написание ЗБ является нетривиальной задачей и может, особенно при оценках для низких уровней доверия, составлять основную часть общих усилий, затрачиваемых разработчиком и оценщиком в течение всей оценки. Поэтому приемлемо также разрабатывать упрощенное ЗБ для низкого уровня доверия.
ОК допускает использование упрощенного ЗБ для оценки по ОУД1, но не по ОУД2 и выше. В ЗБ для низкого уровня доверия может быть заявлено соответствие ПЗ для низкого уровня доверия (см. Приложение B). В обычном ЗБ (то есть, ЗБ с полным содержанием) может быть заявлено соответствие ПЗ для низкого уровня доверия.
ЗБ для низкого уровня доверия имеет значительно сокращенное содержание по сравнению с обычным ЗБ:
· не требуется приводить определение проблемы безопасности;
· не требуется излагать цели безопасности для ОО. Но при этом цели безопасности для среды функционирования должны быть изложены;
· не требуется приводить обоснование целей безопасности, поскольку в ЗБ не приводится определение проблемы безопасности;
· в обосновании требований безопасности необходимо привести только обоснование неудовлетворения зависимостей, поскольку в ЗБ не приводятся цели безопасности для ОО.
Все, что остается в таком ЗБ, включает:
a) ссылки на ОО и ЗБ;
b) утверждение о соответствии;
c) различные описательные материалы:
1) аннотация ОО;
2) описание ОО;
3) краткая спецификации ОО;
d) цели безопасности для среды функционирования;
e) ФТБ и ТДБ (включая определение расширенных компонентов) и обоснование требований безопасности (только если конкретные зависимости не удовлетворены).
Сокращенное содержание ЗБ для низкого уровня доверия приведено на рисунке 4.
Рисунок А.4 – Содержание задания по безопасности для низкого уровня доверия
|
|
|
|
Дата добавления: 2014-01-15; Просмотров: 871; Нарушение авторских прав?; Мы поможем в написании вашей работы!