ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ГОСТ Р исо/мэк 15408-3—

2013

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.

КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Часть 3

Компоненты доверия к безопасности

ISO/IEC 15408-3:2008 Information technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance components (IDT)

Издание официальное

Москва Стандарти нформ 2014

Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Центр безопасности информации» (ООО «ЦБИ»), Федеральным автономным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФАУ «ГНИИИ ПТЗИ ФСТЭК России»), Федеральным государственным унитарным предприятием «Ситуационно-кризисный центр Федерального агентства по атомной энергии» (ФГУП «СКЦ Росатома»)

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 г. №1340-ст

4    Настоящий стандарт идентичен международному стандарту ИСО/МЭК 15408-3:2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности» (ISO/IEC 15408-3:2008 «Information technology — Security techniques — Evaluation criteria for IT security — Part 3. Security assurance components».

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВЗАМЕН ГОСТ Р ИСО/МЭК 15408-3—2008

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

© Стандартинформ, 2014

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

6.1.3.2    Цели

Необязательный подраздел «Цели» компонента доверия содержит конкретные цели для данного компонента. Для компонентов доверия, которые имеют этот подраздел, он включает в себя конкретное назначение данного компонента и более подробное разъяснение целей.

6.1.3.3    Замечания по применению

Необязательный подраздел компонента доверия «Замечания по применению», при его наличии, содержит дополнительную информацию для облегчения использования компонента.

6.1.3.4    Зависимости

Зависимости среди компонентов доверия возникают, когда компонент не самодостаточен, а зависит от наличия другого компонента.

Для каждого компонента доверия приведен полный список зависимостей от других компонентов доверия. При отсутствии у компонента идентифицированных зависимостей вместо списка может указываться: «Зависимости отсутствуют». Компоненты из списка могут, в свою очередь, иметь зависимости от других компонентов.

Список зависимостей определяет минимальный набор компонентов доверия, на которые следует полагаться. Компоненты, которые иерархичны по отношению к компоненту из списка зависимостей, также могут использоваться для удовлетворения зависимости.

В отдельных ситуациях обозначенные зависимости могут быть неприменимы. Разработчик ПЗ/ЗБ может отказаться от удовлетворения зависимости, представив обоснование, почему данная зависимость неприменима.

6.1.3.5    Элементы доверия

Каждый компонент доверия содержит набор элементов доверия. Элемент доверия представляет собой требование безопасности, при дальнейшем разделении которого не изменяется значимый результат оценки. Он является наименьшим требованием безопасности, распознаваемым в ИСО/МЭК 15408-3.

Каждый элемент доверия принадлежит к одному из трех типов:

a)    Элементы действий разработчика, определяющие действия, которые должны выполняться разработчиком. Этот набор действий далее уточняется доказательным материалом, упоминаемым в последующем наборе элементов. Требования к действиям разработчика обозначены буквой «D» после номера элемента.

b)    Элементы содержания и представления свидетельств, определяющие требуемые свидетельства и отражаемую в них информацию. Требования к содержанию и представлению свидетельств обозначены буквой «С» после номера элемента.

c)    Элементы действий оценщика, определяющие действия, которые должны выполняться оценщиком. Этот набор действий непосредственно включает в себя подтверждение того, что требования, предписанные элементами содержания и представления свидетельств, выполнены, а также явные действия и анализ, которые должны выполняться в дополнение к уже проведенным разработчиком. Должны также выполняться неуказанные явно действия оценщика, необходимые вследствие элементов действий разработчика, но не охваченные в требованиях к содержанию и представлению свидетельств. Требования к действиям оценщика обозначаются буквой «Е» после номера элемента.

Действия разработчика, содержание и представление свидетельств определяют требования доверия, которые предъявляются к разработчику при демонстрации доверия к тому, что ОО удовлетворяет ФТБ из ПЗ или ЗБ.

Действия оценщика определяют его ответственность по двум аспектам оценки. Первый аспект состоит в проверке правильности ПЗ/ЗБ в соответствии с требованиями классов АРЕ «Оценка профиля защиты» и ASE «Оценка задания по безопасности». Второй аспект состоит в верификации соответствия ОО его функциональным требованиям и требованиям доверия. Демонстрируя, что ПЗ/ЗБ правильны и их требования выполняются ОО, оценщик может предоставить основание для уверенности в том, что ОО будет отвечать поставленным целям безопасности.

Элементы действий разработчика, элементы содержания и представления свидетельств и элементы явных действий оценщика определяют уровень его усилий, которые должны быть приложены при верификации утверждений о безопасности, сформулированных в ЗБ конкретного ОО.

6.1.4 Элементы доверия

Каждый элемент представляет собой обязательное для выполнения требование. Формулировки этих требований должны быть четкими, краткими и однозначными. Поэтому в требованиях отсутствуют составные предложения. Каждое требование изложено как отдельный элемент.

6

ГОСТ Р ИСО/МЭК 15408-3—2013

6.1.5 Классификация компонентов

В ИСО/МЭК 15408-3 содержатся классы семейств и компонентов, которые сгруппированы на основе, связанной с доверием. В начале каждого класса представлена диаграмма, на которой указываются семейства в классе и компоненты в каждом семействе.

На рисунке 3 показан класс, содержащий одно семейство. Семейство содержит три компонента, которые являются линейно иерархичными (т. е. компонент 2 содержит более высокие требования, чем компонент 1, к конкретным действиям, приводимым свидетельствам или строгости действий и/или свидетельств). Все семейства доверия в ИСО/МЭК 15408-3 — линейно иерархичные, хотя линейность необязательна для семейств доверия, которые могут быть добавлены в дальнейшем.

Рисунок 3 — Образец декомпозиции класса

6.2 Структура ОУД

Рисунок 4 иллюстрирует ОУД и их структуру, определенную в ИСО/МЭК 15408-3. Компоненты доверия, содержание которых показано на рисунке, включены в ОУД посредством ссылок на компоненты, приведенные в ИСО/МЭК 15408-3.

Уровни доверия Оценочный уровень доверия    "1_

Рисунок 4 — Структура ОУД

7

6.2.1    Имя ОУД

Каждому ОУД присвоено уникальное имя. Имя представляет описательную информацию о назначении ОУД.

Представлена также уникальная краткая форма имени ОУД. Она является основным средством ссылки на ОУД.

6.2.2    Цели

В подразделе «Цели» ОУД приведено назначение ОУД.

6.2.3    Замечания по применению

Необязательный подраздел ОУД «Замечания по применению» содержит информацию, представляющую интерес для пользователей ОУД (например, для разработчиков ПЗ и ЗБ, проектировщиков ОО, планирующих использование этого ОУД, оценщиков). Представление неформально и включает в себя, например, предупреждения об ограничениях использования или областях, требующих особого внимания.

6.2.4    Компоненты доверия

Для каждого ОУД выбран набор компонентов требований доверия.

Более высокий уровень доверия, чем предоставляемый конкретным ОУД, может быть достигнут:

a)    включением дополнительных компонентов требований доверия из других семейств доверия или

b)    заменой компонента требований доверия иерархичным компонентом из этого же семейства требований доверия.

6.2.5    Взаимосвязь между требованиями и уровнями доверия

Рисунок 5 иллюстрирует взаимосвязь между требованиями доверия и уровнями доверия, определенными в ИСО/МЭК 15408-3. Компоненты доверия состоят из элементов, но на последние в отдельности не могут ссылаться оценочные уровни доверия. Стрелка на рисунке отображает ссылку в ОУД на компонент требований доверия внутри класса, в котором он определен.

8

ГОСТ Р ИСО/МЭК 15408-3—2013

6.3.4    Компоненты доверия

Набор компонентов доверия установлен для каждого СоПД.

Некоторые зависимости определяют действия, выполняемые в процессе оценки конкретного зависимого компонента, на которые опираются действия по оценке составного ОО. В случае, если явно не определено наличие зависимости от действий по оценке зависимого компонента, зависимость относится к другому действию по оценке составного ОО.

Более высокий уровень доверия по сравнению с конкретным СоПД достигается путем:

a)    добавления компонентов доверия из других семейств доверия;

b)    замены компонента доверия на более высокий по иерархии компонент из того же семейства доверия.

Компоненты класса АСО «Композиция», включенные в СоПД, не следует использовать в качестве усиления при оценке ОО-компонента, поскольку это не обеспечит значимого доверия к этому ОО-компоненту.

6.3.5    Взаимосвязь между требованиями доверия и составными пакетами доверия

На рисунке 7 показана взаимосвязь между требованиями доверия к безопасности и составными пакетами доверия, определенными в ИСО/МЭК 15408. Компоненты доверия состоят из элементов, но на последние не могут в отдельности ссылаться пакеты требований доверия. Стрелка на рисунке отображает ссылку от СоПД на компонент доверия внутри класса, в котором он определен.

11

ГОСТ Р ИСО/МЭК 15408-3—2013

Рисунок 7 — Взаимосвязь между требованиями доверия и составными пакетами доверия

7 Оценочные уровни доверия

Оценочные уровни доверия (ОУД) образуют возрастающую шкалу, которая позволяет соотнести получаемый уровень доверия со стоимостью и возможностью достижения этой степени доверия. В подходе ИСО/МЭК 15408 определяются отдельные понятия для доверия к ОО после завершения оценки и по поддержанию доверия во время эксплуатации ОО.

Важно обратить внимание, что не все семейства и компоненты ИСО/МЭК 15408 включены в оценочные уровни доверия. Это не означает, что они не обеспечивают значимое и ожидаемое доверие. Напротив, ожидается, что эти семейства и их компоненты будут использоваться для усиления ОУД в тех ПЗ и ЗБ, для которых они полезны.

ГОСТ Р ИСО/МЭК 15408-3—2013

7.1 Краткий обзор оценочных уровней доверия (ОУД)

В таблице 1 представлено сводное описание ОУД. Столбцы таблицы представляют иерархически упорядоченный набор ОУД, а строки — семейства доверия. Каждый номер в образованной ими матрице идентифицирует конкретный компонент доверия, применяемый в данном случае.

Как показано в следующем подразделе, в ИСО/МЭК 15408 определены семь иерархически упорядоченных оценочных уровней доверия для оценки уровня доверия к ОО. Каждый последующий ОУД представляет более высокое доверие, чем любой из предыдущих. Увеличение доверия от предыдущего ОУД к последующему достигается заменой какого-либо компонента доверия иерархичным компонентом из того же семейства доверия (т. е. увеличением строгости, области охвата и/или глубины оценки) и добавлением компонентов из других семейств доверия (т. е. добавлением новых требований).

ОУД состоят из определенной комбинации компонентов доверия, как описано в разделе 6. Точнее, каждый ОУД включает в себя не более одного компонента каждого семейства доверия, при этом учитываются все зависимости каждого компонента доверия.

Хотя в ИСО/МЭК 15408-3 определены именно ОУД, можно представлять другие комбинации компонентов доверия. Специально введенное понятие «усиление» («augmentation») допускает добавление (из семейств доверия, не включенных в ОУД) или замену компонентов доверия в ОУД (другими, иерар-хичными компонентами из того же самого семейства доверия). Из конструкций установления доверия, определенных в ИСО/МЭК 15408, только ОУД могут быть усилены. Понятие «ОУД за исключением какого-либо составляющего его компонента доверия» не признано в ИСО/МЭК 15408 как допустимое. Вводящий усиление должен логически обосновать полезность и дополнительную ценность добавляемого к ОУД компонента доверия. ОУД может быть также расширен требованиями доверия, сформулированными в явном виде.

Таблица 1 — Обзор оценочных уровней доверия

Класс доверия Семейство доверия Компоненты доверия из оценочного уровня доверия ОУД1 ОУД2 ОУДЗ ОУД4 ОУД5 ОУД6 ОУД7 Разработка ADV_ARC 1 1 1 1 1 1 ADV_FSP 1 2 3 4 5 5 6 ADVJMP 1 1 2 2 ADVJNT 2 3 3 ADV_SPM 1 1 ADV_TDS 1 2 3 4 5 6 Руководства AGDJDPE 1 1 1 1 1 1 1 AGD_PRE 1 1 1 1 1 1 1 Поддержка жизненного цикла ALC_CMC 1 2 3 4 4 5 5 ALC_CMS 1 2 3 4 5 5 5 ALC_DEL 1 1 1 1 1 1 ALC_DVS 1 1 1 2 2 ALC_FLR ALC_LCD 1 1 1 1 2 ALC_TAT 1 2 3 3

13

Окончание таблицы 1

Класс доверия Семейство доверия Компоненты доверия из оценочного уровня доверия ОУД1 ОУД2 ОУДЗ ОУД4 ОУД5 ОУД6 ОУД7 Оценка задания по безопасности ASE_CCL 1 1 1 1 1 1 1 ASE_ECD 1 1 1 1 1 1 1 ASEJNT 1 1 1 1 1 1 1 ASE_OBJ 1 2 2 2 2 2 2 ASE_REQ 1 2 2 2 2 2 2 ASE_SPD 1 1 1 1 1 1 ASE_TSS 1 1 1 1 1 1 1 Тестирование ATE_COV 1 2 2 2 3 3 ATE_DPT 1 2 3 3 4 ATE_FUN 1 1 1 1 2 2 ATEJND 1 2 2 2 2 2 3 Оценка уязвимостей AVA_VAN 1 2 2 3 4 5 5

7.2    Детализация оценочных уровней доверия

Следующие подразделы содержат определения ОУД с использованием полужирного шрифта для выделения новых требований и их описания.

7.3    Оценочный уровень доверия 1 (ОУД1), предусматривающий функциональное

тестирование

7.3.1    Цели

ОУД1 применим, когда требуется некоторая уверенность в правильном функционировании ОО, а угрозы безопасности не рассматривают как серьезные. Он будет полезен там, где требуется независимо полученное доверие утверждению, что было уделено должное внимание защите информации с низким уровнем значимости.

Для ОУД1 требуется только ЗБ с сокращенным содержанием. Можно не определять функциональные требования путем изучения угроз, ПБОр и предположений о целях безопасности; достаточно просто изложить, каким функциональным требованиям должен отвечать ОО.

ОУД1 обеспечивает оценку ОО в том виде, в каком он доступен потребителю, путем независимого тестирования на соответствие спецификации и экспертизы представленной документации руководств. Предполагается, что оценка по ОУД1 может успешно проводиться без помощи разработчика ОО и с минимальными затратами.

При оценке на этом уровне следует предоставить свидетельство, что ОО функционирует в соответствии с его документацией.

7.3.2    Компоненты доверия

ОУД1 (см. таблицу 2) предоставляет базовый уровень доверия посредством ЗБ с сокращенным содержанием и анализ ФТБ в этом ЗБ с использованием функциональной спецификации, спецификации интерфейсов и руководств для понимания режима безопасности.

Анализ поддержан поиском потенциальных уязвимостей (путем изучения общедоступной информации) с проведением независимого тестирования (функционального и тестирования проникновения) ФБО.

Также ОУД1 обеспечивает доверие благодаря уникальной идентификации ОО и документации по оценке.

Этот ОУД обеспечивает значимое увеличение доверия по сравнению с продуктом ИТ, не подвергавшимся оценке.

Таблица 2 — ОЦЕНОЧНЫЙ УРОВЕНЬ ДОВЕРИЯ 1

Класс доверия Компоненты доверия ADV: Разработка ADV_FSP1 Базовая функциональная спецификация AGD: Руководства AGD_OPE.1 Руководство пользователя по эксплуатации AGD_PRE.1 Подготовительные процедуры ALC: Поддержка жизненного цикла ALC_CMC.1 Маркировка ОО ALC_CMS.1 Охват УК объекта оценки ASE: Оценка задания по безопасности ASE_CCL.1 Утверждения о соответствии ASE_ECD.1 Определение расширенных компонентов ASEJNT.1 Введение ЗБ ASE_OBJ.1 Цели безопасности для среды функционирования ASE_REQ.1 Установленные требования безопасности ASE_TSS.1 Краткая спецификация ОО АТЕ: Тестирование ATEJND.1 Независимое тестирование на соответствие AVA: Оценка уязвимостей AVA_VAN.1 Обзор уязвимостей

7.4 Оценочный уровень доверия 2 (ОУД2), предусматривающий структурное тестирование

7.4.1    Цели

ОУД2 содержит требование сотрудничества с разработчиком для получения информации о проекте и результатах тестирования, но при этом не следует требовать от разработчика усилий, превышающих обычную коммерческую практику. Следовательно, не требуется существенного увеличения стоимости или затрат времени.

Поэтому ОУД2 применим, когда разработчикам или пользователям требуется независимо подтверждаемый уровень доверия от невысокого до умеренного при отсутствии доступа к полной документации по разработке. Такая ситуация может возникать при обеспечении безопасности разработанных ранее (наследуемых) систем или при ограниченной доступности разработчика.

7.4.2    Компоненты доверия

ОУД2 (см. таблицу 3) обеспечивает доверие посредством ЗБ с полным содержанием и посредством анализа выполнения ФТБ из данного ЗБ с использованием функциональной спецификации, спецификации интерфейсов, руководств, а также базового описания архитектуры 00 для понимания режима безопасности.

Анализ поддержан независимым тестированием ФБО, свидетельством разработчика о тестировании, основанном на функциональной спецификации, выборочным независимым подтверждением результатов тестирования разработчиком, и анализом уязвимостей (основанным на функциональной спецификации, проекте 00, описании архитектуры системы безопасности и документации руководств), демонстрирующим противостояние попыткам проникновения нарушителей, обладающим Базовым потенциалом нападения.

0УД2 также обеспечивает доверие посредством использования системы управления конфигурацией 00 и свидетельства безопасных процедур поставки.

ОУД2 представляет значимое увеличение доверия по сравнению с ОУД1, требуя тестирование ОО и анализ уязвимостей разработчиком (помимо изучения общедоступных источников информации), а также независимое тестирование, основанное на более детализированных спецификациях 00.

15

ГОСТ Р ИСО/МЭК 15408-3—2013

Содержание

1    Область применения..................................................................1

2    Нормативные ссылки..................................................................1

3    Термины, определения, обозначения и сокращения........................................1

4    Краткий обзор........................................................................1

4.1    Структура данной части ИСО/МЭК 15408 .............................................1

5    Парадигма доверия ИСО/МЭК 15408 ....................................................2

5.1    Основные принципы ИСО/МЭК 15408 ................................................2

5.2    Подход к доверию.................................................................2

5.3    Шкала оценки доверия в ИСО/МЭК 15408.............................................3

6    Требования доверия к безопасности.....................................................3

6.1    Структура классов, семейств и компонентов доверия к безопасности......................3

6.2    Структура ОУД...................................................................7

6.3    Структура СоПД..................................................................9

7    Оценочные уровни доверия...........................................................12

7.1 Краткий обзор оценочных уровней доверия (ОУД).....................................13

7.2    Детализация оценочных уровней доверия............................................14

7.3    Оценочный уровень доверия 1 (ОУД1), предусматривающий функциональное тестирование. .14

7.4    Оценочный уровень доверия 2 (ОУД2), предусматривающий структурное тестирование......15

7.5    Оценочный уровень доверия 3 (ОУДЗ), предусматривающий методическое тестирование

и проверку.....................................................................16

7.6    Оценочный уровень доверия 4 (ОУД4), предусматривающий методическое проектирование,

тестирование и углубленную проверку..............................................17

7.7    Оценочный уровень доверия 5 (ОУД5), предусматривающий полуформальное

проектирование и тестирование...................................................19

7.8    Оценочный уровень доверия 6 (ОУД6), предусматривающий полуформальную

верификацию и тестирование проекта..............................................20

7.9    Оценочный уровень доверия 7 (ОУД7), предусматривающий формальную верификацию

проекта и тестирование..........................................................21

8    Составные пакеты доверия............................................................23

8.1    Обзор составных пакетов доверия (СоПД)............................................23

8.2    Детализация составных пакетов доверия............................................24

8.3    Составной уровень доверия А (СоПД-A), предусматривающий структурную композицию.....24

8.4    Составной уровень доверия В (СоПД-В), предусматривающий методическую композицию... .25

8.5    Составной уровень доверия С (СоПД-С), предусматривающий методическую композицию, те

стирование и проверку...........................................................26

9    Класс АРЕ: Оценка профиля защиты....................................................27

9.1    Введение ПЗ (APEJNT)...........................................................28

9.2    Утверждения о соответствии (АРЕ_СС1_).............................................29

9.3    Определение проблемы безопасности (APE_SPD).....................................30

9.4    Цели безопасности (APEJDBJ).....................................................30

9.5    Определение расширенных компонентов (APE_ECD)..................................31

9.6    Требования безопасности (APE_REQ)...............................................32

10    Класс ASE: Оценка задания по безопасности............................................33

10.1    Введение ЗБ (ASEJNT)..........................................................34

10.2    Утверждения о соответствии (ASE_CCL)............................................35

10.3    Определение проблемы безопасности (ASE_SPD)....................................36

10.4    Цели безопасности (ASE_OBJ)....................................................36

10.5    Определение расширенных компонентов (ASE_ECD).................................37

10.6    Требования безопасности (ASE_REQ)..............................................38

10.7    Краткая спецификация ОО (ASE_TSS)..............................................39

11    Класс ADV: Разработка..............................................................40

11.1    Архитектура безопасности (ADV_ARC)..............................................45

11.2    Функциональная спецификация (ADV_FSP)..........................................47

11.3    Представление реализации (ADVJMP).............................................54

Таблица 3 — ОЦЕНОЧНЫЙ УРОВЕНЬ ДОВЕРИЯ 2

Класс доверия Компоненты доверия ADV: Разработка ADV_ARC.1 Описание архитектуры безопасности ADV_FSP.2 Детализация вопросов безопасности в функциональной спецификации ADV_TDS.1 Базовый проект AGD: Руководства AGD_OPE.1 Руководство пользователя по эксплуатации AGD_PRE.1 Подготовительные процедуры ALC: Поддержка жизненного цикла А1_С_СМС.2 Использование системы УК ALC_CMS.2 Охват УК частей ОО ALC_DEL.1 Процедуры поставки ASE: Оценка задания по безопасности ASE_CCL.1 Утверждения о соответствии ASE_ECD.1 Определение расширенных компонентов ASEJNT.1 Введение ЗБ ASEJDBJ.2 Цели безопасности ASE_REQ.2 Производные требования безопасности ASE_SPD.1 Определение проблемы безопасности ASE_TSS.1 Краткая спецификация ОО АТЕ: Тестирование ATE_COV.1 Свидетельство покрытия ATE_FUN.1 Функциональное тестирование ATEJND.2 Выборочное независимое тестирование AVA: Оценка уязвимостей AVA_VAN.2 Анализ уязвимостей

7.5 Оценочный уровень доверия 3 (ОУДЗ), предусматривающий методическое

тестирование и проверку

7.5.1    Цели

ОУДЗ позволяет добросовестному разработчику достичь максимального доверия путем применения надлежащего проектирования безопасности на стадии разработки проекта без значительного изменения существующей практики качественной разработки.

ОУДЗ применим, когда разработчикам или пользователям требуется независимо подтвержденный умеренный уровень доверия на основе всестороннего исследования ОО и процесса его разработки без существенных затрат на изменение технологии проектирования.

7.5.2    Компоненты доверия

ОУДЗ (см. таблицу 4) обеспечивает доверие посредством ЗБ с полным содержанием и посредством анализа выполнения ФТБ из данного ЗБ с использованием функциональной спецификации, спецификации интерфейсов, руководств и архитектурного описания проекта ОО для понимания режима безопасности.

Анализ поддержан независимым тестированием ФБО, свидетельством разработчика о тестировании, основанном на функциональной спецификации и проекте ОО, выборочным независимым подтверждением результатов тестирования разработчиком и анализом уязвимостей (основанным на представленных свидетельствах по функциональной спецификации, проекту ОО, описанию архитектуры безопасности и руководствам), демонстрирующим противостояние попыткам проникновения нарушителей, обладающим Базовым потенциалом нападения.

16

11.4    Внутренняя структура ФБО (ADVJNT)..............................................56

11.5    Моделирование политики безопасности (ADV_SPM)..................................59

11.6    Проект ОО (ADV_TDS)...........................................................61

12    Класс AGD: Руководства.............................................................67

12.1    Руководство пользователя по эксплуатации (AGD_OPE)...............................67

12.2    Подготовительные процедуры (AGD_PRE)..........................................69

13    Класс ALC: Поддержка жизненного цикла...............................................70

13.1    Возможности УК (А1_С_СМС)......................................................71

13.2    Область УК (ALC_CMS)..........................................................77

13.3    Поставка (ALC_DEL).............................................................80

13.4    Безопасность разработки (ALC_DVS)...............................................81

13.5    Устранение недостатков (ALC_FLR)................................................82

13.6    Определение жизненного цикла (ALC_LCD).........................................85

13.7    Инструментальные средства и методы (А1_С_ТАТ)....................................87

14    Класс АТЕ: Тестирование............................................................89

14.1    Покрытие (ATE_COV)............................................................90

14.2    Глубина (ATE_DPT)..............................................................91

14.3    Функциональное тестирование (ATE_FUN)..........................................94

14.4    Независимое тестирование (ATEJND)..............................................96

15    Класс AVA: Оценка уязвимостей.......................................................98

15.1    Замечания по применению.......................................................99

15.2    Анализ уязвимостей (AVA_VAN)...................................................99

16    Класс АСО: Композиция............................................................103

16.1    Обоснование композиции (ACO_COR).............................................106

16.2    Свидетельство разработки (ACO_DEV)............................................106

16.3    Зависимости зависимых компонентов (ACO_REL)...................................108

16.4    Тестирование составного ОО (АСО_СТТ)..........................................110

16.5    Анализ уязвимостей композиции (ACO_VUL).......................................112

Приложение А (справочное) Разработка (ADV).............................................115

Приложение В (справочное) Композиция (АСО)............................................129

Приложение С (справочное) Перекрестные ссылки между компонентами доверия...............136

Приложение D (справочное) Перекрестные ссылки типов ПЗ и компонентов доверия............140

Приложение Е (справочное) Перекрестные ссылки ОУД и компонентов доверия................141

Приложение F (справочное) Перекрестные ссылки между СоПД и компонентами доверия........142

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

ссылочным национальным стандартам Российской Федерации................143

Библиография.......................................................................144

IV

ГОСТ Р ИСО/МЭК 15408-3—2013

Введение

Международный стандарт ISO/IEC 15408:2008 был подготовлен Совместным техническим комитетом ISO/IEC JTC 1 «Информационные технологии», Подкомитетом SC 27 «Методы и средства обеспечения безопасности ИТ». Идентичный ISO/IEC 15408:2008 текст опубликован организациями-спонсорами проекта «Общие критерии» как «Общие критерии оценки безопасности информационных технологий».

Третья редакция стандарта отменяет и заменяет вторую редакцию (ISO/IEC 15408:2005), которая подверглась технической переработке.

ИСО/МЭК 15408, идентичный ISO/IEC 15408:2008, состоит из следующих частей под общим заголовком «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»:

Часть 1: Введение и общая модель;

Часть 2: Функциональные компоненты безопасности;

Часть 3: Компоненты доверия к безопасности.

Компоненты доверия к безопасности, которые определены в ИСО/МЭК 15408-3, являются основой для требований доверия к безопасности, отражаемых в профиле защиты (ПЗ) или в задании по безопасности (ЗБ).

Эти требования устанавливают стандартный способ выражения требований доверия для 00. ИСО/МЭК 15408-3 представляет собой каталог компонентов, семейств и классов доверия. В ИСО/МЭК 15408-3 также определены критерии оценки для ПЗ и ЗБ и представлены оценочные уровни доверия для предопределенной в ИСО/МЭК 15408 шкалы доверия к ОО, которая называется Оценочные уровни доверия (ОУД).

Потенциальные пользователи данного международного стандарта включают потребителей, разработчиков и оценщиков безопасных продуктов ИТ. В ИСО/МЭК 15408-1 предоставлена дополнительная информация о целевой аудитории ИСО/МЭК 15408 (здесь и далее, если не указывается конкретная часть стандарта, то ссылка относится ко всем частям ИСО/МЭК 15408), а также по использованию ИСО/МЭК 15408 отдельными группами лиц, составляющими целевую аудиторию. Эти группы могут использовать данную часть ИСО/МЭК 15408 следующим образом:

a)    Потребители могут использовать данную часть ИСО/МЭК 15408 при выборе компонентов для выражения требований доверия, чтобы удовлетворить цели безопасности, отраженные в ПЗ или ЗБ, и при определении требуемых уровней доверия к безопасности ОО;

b)    Разработчики, которые при производстве ОО учитывают существующие или предполагаемые требования безопасности потребителей, могут обратиться к ИСО/МЭК 15408-3 при интерпретации изложения требований доверия и при определении подходов к обеспечению доверия к ОО;

c)    Оценщики могут использовать требования доверия, определенные в ИСО/МЭК 15408-3, как обязательное изложение критериев оценки при определении доверия к ОО, а также при оценке ПЗ и ЗБ.

V

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Часть 3

Компоненты доверия к безопасности

Information technology. Security techniques. Evaluation criteria for IT security.

Part 3. Security assurance requirements

Дата введения — 2014—09—01

1    Область применения

Данная часть ИСО/МЭК 15408 определяет требования доверия ИСО/МЭК 15408 и включает оценочные уровни доверия (ОУД), определяющие шкалу для измерения доверия для ОО-компонентов, составные пакеты доверия (СоПД), определяющие шкалу для измерения доверия для составных ОО, отдельные компоненты доверия, из которых составлены уровни и пакеты доверия, а также критерии для оценки ПЗ и ЗБ.

2    Нормативные ссылки

Указанные в данном разделе документы являются необходимыми для применения настоящего стандарта. Для датированных ссылок используют только указанное издание. Для недатированных ссылок— последнее издание со всеми изменениями и дополнениями.

ИСО/МЭК 15408-1, Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1: Введение и общая модель.

ИСО/МЭК 15408-2, Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2: Функциональные компоненты безопасности.

3    Термины, определения, обозначения и сокращения

В настоящем стандарте применяются термины, определения, обозначения и сокращения, приведенные в ИСО/МЭК 15408-1.

4    Краткий обзор

4.1 Структура данной части ИСО/МЭК 15408

В разделе 5 дается описание парадигмы, используемой в требованиях доверия к безопасности в ИСО/МЭК 15408-3.

В разделе 6 описывается структура представления классов, семейств и компонентов доверия, оценочных уровней доверия и их взаимосвязь, структура составных пакетов доверия. Также дается характеристика классов и семейств доверия, представленных в разделах с 9 по 16.

В разделе 7 содержится подробное описание оценочных уровней доверия (ОУД).

В разделе 8 содержится подробное описание составных пакетов доверия (СоПД).

В разделах с 9 по 16 содержится подробное описание классов доверия ИСО/МЭК 15408-3.

Издание официальное

Приложение А содержит дальнейшие пояснения и примеры понятий, связанных с классом «Разработка».

Приложение В содержит пояснение понятий, связанных с оценкой составного ОО и классом «Композиция».

Приложение С содержит краткое описание зависимостей между компонентами доверия.

Приложение D содержит перекрестные ссылки между ПЗ, семействами и компонентами класса «Оценка профиля защиты» (АРЕ).

Приложение Е содержит перекрестные ссылки между ОУД и компонентами доверия.

Приложение F содержит перекрестные ссылки между составными пакетами доверия (СоПД) и компонентами доверия.

Приложение ДА содержит сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации.

5 Парадигма доверия ИСО/МЭК 15408

Цель данного раздела состоит в изложении основных принципов и подходов к установлению доверия к безопасности. Данный раздел позволит понять логику построения требований доверия в ИСО/МЭК 15408-3.

5.1    Основные принципы ИСО/МЭК 15408

Основные принципы ИСО/МЭК 15408 состоят в том, что следует четко сформулировать угрозы безопасности и положения политики безопасности организации, а достаточность предложенных мер безопасности должна быть продемонстрирована.

Более того, следует принять меры по уменьшению вероятности наличия уязвимостей, возможности их проявления (т. е. преднамеренного использования или непреднамеренной активизации), а также степени ущерба, который может явиться следствием проявления уязвимости. Дополнительно следует предпринять меры для облегчения последующей идентификации уязвимостей, а также по их устранению, ослаблению и/или оповещению об их использовании или активизации.

5.2    Подход к доверию

Основная концепция ИСО/МЭК 15408 — обеспечение доверия, основанное на оценке (активном исследовании) продукта ИТ, который должен соответствовать определенным критериям безопасности. Оценка была традиционным способом обеспечения доверия и являлась основой предшествующих критериев оценки. Для согласования с существующими подходами в ИСО/МЭК 15408 принят тот же самый основной принцип. В ИСО/МЭК 15408 предполагается, что проверку правильности документации и разработанного продукта ИТ будут проводить опытные оценщики, уделяя особое внимание области, глубине и строгости оценки.

В ИСО/МЭК 15408 не отрицаются и не комментируются относительные достоинства других способов получения доверия. Продолжаются исследования альтернативных путей достижения доверия. Если в результате этих исследований будут выявлены другие отработанные альтернативные подходы, то они могут в дальнейшем быть включены в ИСО/МЭК 15408, который структурно организован так, что предусматривает такую возможность.

5.2.1 Значимость уязвимостей

Предполагается, что имеются нарушители, которые будут стремиться активно использовать возможности нарушения политики безопасности как для получения незаконной выгоды, так и для выполнения незлонамеренных, но, тем не менее, опасных действий. Нарушители могут также случайно активизировать уязвимости безопасности, нанося вред организации. При необходимости обрабатывать чувствительную информацию и отсутствии в достаточной степени доверенных продуктов имеется значительный риск из-за отказов ИТ. Поэтому нарушения безопасности ИТ могут вызвать значительные потери.

Нарушения безопасности ИТ возникают вследствие преднамеренного использования или непреднамеренной активации уязвимостей при применении ИТ по назначению.

Следует предпринять ряд шагов для предотвращения уязвимостей, возникающих в продуктах ИТ. По возможности уязвимости следует:

a)    устранить, т.е. следует предпринять активные действия для выявления, а затем удаления или нейтрализации всех уязвимостей, которые могут проявиться;

b)    минимизировать, т. е. следует предпринять активные действия для уменьшения до допустимого остаточного уровня возможного ущерба от любого проявления уязвимостей;

2

ГОСТ Р ИСО/МЭК 15408-3—2013

с) отслеживать, т.е. следует предпринять активные действия для обнаружения любой попытки использовать остаточные уязвимости с тем, чтобы ограничить ущерб.

5.2.2    Причины уязвимостей

Уязвимости могут возникать из-за недостатков:

a)    требований, т.е. продукт ИТ может обладать требуемыми от него функциями и свойствами, но все же содержать уязвимости, которые делают его непригодным или неэффективным в части безопасности;

b)    проектирования, т.е. продукт ИТ не отвечает спецификации, и/или уязвимости являются следствием некачественных стандартов проектирования или неправильных проектных решений;

c)    эксплуатации, т.е. продукт ИТ разработан в полном соответствии с корректной спецификацией, но уязвимости возникают как результат неадекватного управления при эксплуатации.

5.2.3    Доверие в ИСО/МЭК 15408

Доверие — основа для уверенности в том, что продукт ИТ отвечает целям безопасности. Доверие могло бы быть получено путем обращения к таким источникам, как бездоказательное утверждение, предшествующий аналогичный опыт или специфический опыт. Однако ИСО/МЭК 15408 обеспечивает доверие с использованием активного исследования. Активное исследование — это оценка продукта ИТ для определения его свойств безопасности.

5.2.4    Доверие через оценку

Оценка является традиционным способом достижения доверия, и она положена в основу ИСО/МЭК 15408. Методы оценки могут, в частности, включать в себя:

a)    анализ и проверку процесса (процессов) и процедуры (процедур);

b)    проверку того, что процесс (процессы) и процедура (процедуры) действительно применяются;

c)    анализ соответствия между представлениями проекта ОО;

d)    анализ соответствия каждого представления проекта ОО требованиям;

e)    верификацию доказательств;

f)    анализ руководств;

д) анализ разработанных функциональных тестов и предоставленных результатов;

h)    независимое функциональное тестирование;

i)    анализ уязвимостей, включающий предположения о недостатках;

j) тестирование проникновения.

5.3 Шкала оценки доверия в ИСО/МЭК 15408

Основные принципы ИСО/МЭК 15408 содержат утверждение, что большее доверие является результатом приложения больших усилий при оценке, и что цель состоит в применении минимальных усилий, требуемых для обеспечения необходимого уровня доверия. Повышение уровня усилий может быть основано на

a)    области охвата, т.е. увеличении рассматриваемой части продукта ИТ;

b)    глубине, т.е. детализации рассматриваемых проектных материалов и реализации;

c)    строгости, т.е. применении более структурированного и формального подхода.

6 Требования доверия к безопасности

6.1    Структура классов, семейств и компонентов доверия к безопасности

Следующие пункты описывают конструкции, используемые в представлении классов, семейств и компонентов доверия.

На рисунке 1 показаны требования доверия, определенные в ИСО/МЭК 15408-3. Наиболее обобщенная совокупность требований доверия называется классом. Каждый класс содержит семейства доверия, которые разделены на компоненты доверия, содержащие, в свою очередь, элементы доверия. Классы и семейства используются для обеспечения систематизации классифицируемых требований доверия, в то время как компоненты применяются для спецификации требований доверия в ПЗ/ЗБ.

6.1.1    Структура класса

Рисунок 1 иллюстрирует структуру класса доверия.

6.1.1.1    Имя класса

Каждому классу доверия присвоено уникальное имя. Имя указывает на тематические разделы, на которые распространяется данный класс доверия.

Представлена также уникальная краткая форма имени класса доверия. Она является основным средством для ссылки на класс доверия. Принятое условное обозначение включает в себя букву «А», за которой следуют еще две буквы латинского алфавита, относящиеся к имени класса.

3

6.1.1.2    Представление класса

Каждый класс доверия имеет вводный подраздел, в котором описаны состав и назначение класса.

6.1.1.3    Семейства доверия

Каждый класс доверия содержит, по меньшей мере, одно семейство доверия. Структура семейств доверия описана в следующем пункте.

6.1.2 Структура семейства

Рисунок 1 иллюстрирует структуру семейства доверия.

Требования доверия Класс доверия

I Рисунок 1 — Иерархическая структура представления требований доверия: класс-семейство-компонент-элемент. 6.1.2.1 Имя семейства Каждому семейству доверия присвоено уникальное имя. Имя содержит описательную информацию по тематическим разделам, на которые распространяется данное семейство доверия. Каждое семейство доверия размещено в пределах класса доверия, который содержит другие семейства той же направленности. 4

ГОСТ Р ИСО/МЭК 15408-3—2013

Представлена также уникальная краткая форма имени семейства доверия. Она является основным средством для ссылки на семейство доверия. Принятое условное обозначение включает в себя краткую форму имени класса и символ подчеркивания, за которым следуют три буквы латинского алфавита, относящиеся к имени семейства.

6.1.2.2    Цели

Подраздел «Цели» семейства доверия представляет назначение семейства доверия.

В нем описаны цели, для достижения которых предназначено семейство, особенно связанные с парадигмой доверия ИСО/МЭК 15408. Описание целей для семейства доверия представлено в общем виде. Любые конкретные подробности, требуемые для достижения целей, включены в конкретный компонент доверия.

6.1.2.3    Ранжирование компонентов

Каждое семейство доверия содержит один или несколько компонентов доверия. Этот подраздел семейства доверия содержит описание имеющихся компонентов и объяснение их отличительных признаков. Его основная цель состоит в указании различий между компонентами при принятии решения о том, что семейство является необходимой или полезной частью требований доверия для ПЗ/ЗБ.

В семействах доверия, содержащих более одного компонента, выполнено ранжирование компонентов и приведено его обоснование. Это обоснование сформулировано в терминах области охвата, глубины и/или строгости.

6.1.2.4    Замечания по применению

Необязательный подраздел семейства доверия «Замечания по применению» содержит дополнительную информацию о семействе. Эта информация предназначена непосредственно для пользователей семейства доверия (например, для разработчиков ПЗ и ЗБ, проектировщиков ОО, оценщиков). Представление информации неформально и включает в себя, например, предупреждения об ограничениях использования или областях, требующих особого внимания.

6.1.2.5    Компоненты доверия

Каждое семейство содержит хотя бы один компонент доверия. Структура компонентов доверия представлена в следующем пункте.

6.1.3 Структура компонента

На рисунке 2 представлена структура компонента доверия.

Рисунок 2 — Структура компонента доверия

Связи между компонентами внутри семейства показаны жирными линиями. Для частей требований, которые являются новыми, расширенными или модифицированными по сравнению с требованиями предыдущего по иерархии компонента, применен полужирный шрифт.

6.1.3.1 Идентификация компонента

Подраздел «Идентификация компонента» содержит описательную информацию, необходимую для идентификации, категорирования, регистрации и ссылок на компонент.

Каждому компоненту доверия присвоено уникальное имя. Имя содержит информацию о тематических разделах, на которые распространяется компонент доверия. Каждый компонент входит в состав конкретного семейства доверия, с которым имеет общую цель безопасности.

Представлена также уникальная краткая форма имени компонента доверия как основной способ ссылки на компонент. Принято, что за краткой формой имени семейства ставится точка, а затем цифра. Цифры для компонентов внутри каждого семейства назначены последовательно, начиная с единицы.

5