Товары в корзине: 0 шт Оформить заказ
Стр. 1
 

166 страниц

912.00 ₽

Купить ГОСТ Р ИСО/МЭК 15408-2-2002 — официальный бумажный документ с голограммой и синими печатями. подробнее

Официально распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль".

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

Настоящий стандарт распространяется на функциональные компоненты безопасности, являющиеся основой для функциональных требований безопасности информационных технологий (ИТ) объекта оценки (ОО), излагаемых в профиле защиты (ПЗ) или в задании по безопасности (ЗБ). Требования описывают желательный безопасный режим функционирования ОО и предназначены для достижения целей безопасности, установленных в ПЗ или ЗБ. Требования описывают также свойства безопасности, которые пользователи могут обнаружить при непосредственном взаимодействии с ОО (т.е. при входе и выходе) или при реакции ОО на запросы

  Скачать PDF

Данные о замене опубликованы в ИУС 5-2009

Действие завершено 01.10.2009

Оглавление

1 Область применения

1.1 Расширение и сопровождение функциональных требований

1.2 Структура

1.3 Парадигма функциональных требований

2 Функциональные компоненты безопасности

2.1 Краткий обзор

2.2 Каталог компонентов

3 Класс FAU. Аудит безопасности

3.1 Автоматическая реакция аудита безопасности (FAU_АRР)

3.2 Генерация данных аудита безопасности (FAU_GEN)

3.3 Анализ аудита безопасности (FAU_SАА)

3.4 Просмотр аудита безопасности (FAU_SАR)

3.5 Выбор событий аудита безопасности (FAU_SEL)

3.6 Хранение данных аудита безопасности (FAU_STG)

4 Класс FСО. Связь

4.1 Неотказуемость отправления (FСО_NRО)

4.2 Неотказуемость получения (FСО_NRR)

5 Класс FCS. Криптографическая поддержка

5.1 Управление криптографическими ключами (FCS_СКМ)

5.2 Криптографические операции (FCS_CОР)

6 Класс FDР. Защита данных пользователя

6.1 Политика управления доступом (FDР_АСС)

6.2 Функции управления доступом (FDР_АСР)

6.3 Аутентификация данных (FDР_DAU)

6.4 Экспорт данных за пределы действия ФБО ((FDР_ЕТС)

6.5 Политика управления информационными потоками (FDР_IFC)

6.6 Функции управления информационными потоками (FDР_IFF)

6.7 Импорт данных из-за пределов действия ФБО (FDР_ITC)

6.8 Передача в пределах ОО (FDР_ITT)

6.9 Защита остаточной информации (FDР_RIР)

6.10 Oткат(FDР_ROL)

6.11 Целостность хранимых данных (FDР_SDD)

6.12 Защита конфиденциальности данных пользователя при передаче между ФБО (FDP_UСТ)

6.13 Защита целостности данных пользователя при передаче между ФБО (FDP_UIT)

7 Класс FIА. Идентификация и аутентификация

7.1 Отказы аутентификации (FIA_АFL)

7.2 Определение атрибутов пользователя (FIA_АТD)

7.3 Спецификация секретов (FIA_ SOS)

7.4 Аутентификация пользователя (FIA_UAU)

7.5 Идентификация пользователя (FIA_UID)

7.6 Связывание пользователь-cубъект (FIA_USB)

8 Класс РМТ. Управление безопасностью

8.1 Управление отдельными функциями ФБО (FМТ_МОF)

8.2 Управление атрибутами безопасности (FМТ_МSА)

8.3 Управление данными ФБО (FМТ_МТD)

8.4 Отмена (FМТ_REV)

8.5 Срок действия атрибута безопасности (FМТ_SАЕ)

8.6 Роли управления безопасностью (FМТ_SМR)

9 Класс FРR. Приватность

9.1 Анонимность (FРR_ANO)

9.2 Псевдонимность (FРR_PSЕ)

9.3 Невозможность ассоциации (FРR_UNL)

9.4 Скрытность (FРR_UNО)

10 Класс РРТ. Защита ФБО

10.1 Тестирование базовой абстрактной машины (FРТ_АМТ)

10.2 Безопасность при сбое (FРТ_FLS)

10.3 Доступность экспортируемых данных ФБО (FРТ_IТА)

10.4 Конфиденциальность экспортируемых данных ФБО (FРТ_IТС)

10.5 Целостность экспортируемых данных ФБО (FРТ_IТI)

10.6 Передача данных ФБО в пределах ОО (FРТ_IТТ)

10.7 Физическая защита ФБО (FРТ_РНР)

10.8 Надежное восстановление (FРТ_RCV)

10.9 Обнаружение повторного использования (FРТ_RPL)

10.10 Посредничество при обращениях (FРТ_RVМ)

10.11 Разделение домена (FРТ_SЕР)

10.12 Протокол синхронизации состояний (FРТ_SSР)

10.13 Метки времени (FРТ_SТМ)

10.14 Согласованность данных ФБО между ФБО (FРТ_TDС)

10.15 Согласованность данных ФБО при дублировании в пределах ОО (FРТ_ТRС)

10.16 Самотестирование ФБО (FРТ_ТSТ)

11 Класс FRU. Использование ресурсов

11.1 Отказоустойчивость (FRU_FLT)

11.2 Приоритет обслуживания (FRU_РRS)

11.3 Распределение ресурсов (FRU_RSА)

12 Класс FТА. Доступ к ОО

12.1 Ограничение области выбираемых атрибутов (FТА_LSА)

12.2 Ограничение на параллельные сеансы (FТА_МСS)

12.3 Блокирование сеанса (FТА_SSL)

12.4 Предупреждения перед предоставлением доступа к ОО (FТА_ТАВ)

12.5 История доступа к ОО (FТА_TАН)

12.6 Открытие сеанса с ОО (FТА_TSЕ)

13 Класс РТР. Доверенный маршрут/канал

13.1 Доверенный канал передачи между ФБО (FТР_IТС)

13.2 Доверенный маршрут (FTP_TRР)

Приложение А Замечания по применению функциональных требований безопасности

А.1 Структура замечаний

А.2 Таблица зависимостей

Приложение Б Функциональные классы, семейства и компоненты

Приложение В Аудит безопасности (FAU)

В.1 Автоматическая реакция аудита безопасности (FAU_АRР)

В.2 Генерация данных аудита безопасности (FAU_GEN)

В.3 Анализ аудита безопасности (FAU_SАА)

В.4 Просмотр аудита безопасности (FAU_SАR)

В.5 Выбор событий аудита безопасности (FAU_SEL)

В.6 Хранение данных аудита безопасности (FAU_STG)

Приложение Г Связь (FСО)

Г.1 Неотказуемость отправления (FСО_NRО)

Г.2 Неотказуемость получения (FСО_NRR)

Приложение Д Криптографическая поддержка (FCS)

Д.1 Управление криптографическими ключами (FCS_СКМ)

Д.2 Криптографические операции (FCS_СОР)

Приложение Е Защита данных пользователя (FDР)

Е.1 Политика управления доступом (FDP_АСС)

Е.2 Функции управления доступом (FDP_АСF)

Е.З Аутентификация данных (FDP_DAU)

Е.4 Экспорт данных за пределы действия ФБО (FDР_ЕТС)

Е.5 Политика управления информационными потоками (FDР_IFС)

Е.6 Функции управления информационными потоками (FDР_IFF)

Е.7 Импорт данных из-за пределов действия ФБО (FDР_IТС)

Е.8 Передача в пределах ОО (FDР_IТТ)

Е.9 Защита остаточной информации (FDР_IRIР)

Е.10 Откат (FDР_ROL)

Е.11 Целостность хранимых данных (FDР_SDI)

Е.12 Защита конфиденциальности данных пользователя при передаче между ФБО (FDР_UCТ)

Е.13 Защита целостности данных пользователя при передаче между ФБО (FDР_UIТ)

Приложение Ж Идентификация и аутентификация (FIА)

Ж.1 Отказы аутентификации (FIА_АFL)

Ж.2 Определение атрибутов пользователя (FIА_АТD)

Ж.3 Спецификация секретов (FIА_SOS)

Ж.4 Аутентификация пользователя (FIА_UAU)

Ж.5 Идентификация пользователя (FIА_UID)

Ж.6 Связывание пользователь-субъект (FIА_USВ)

Приложение И Управление безопасностью (FМТ)

И.1 Управление отдельными функциями ФБО (FМТ_MOF)

И.2 Управление атрибутами безопасности (FМТ_MSА)

И.3 Управление данными ФБО (FМТ_МТD)

И.4 0тмена(FМТ_REV)

И.5 Срок действия атрибутов безопасности (FМТ_SАЕ)

И.6 Роли управления безопасностью (FМТ_SMR)

Приложение К Приватность (FРR)

К.1 Анонимность (FРR_АNО)

К.2 Псевдонимность (FРR_РSЕ)

К.3 Невозможность ассоциации (FРR_UNL)

К.4 Скрытность (FРR_UNО)

Приложение Л Защита ФБО (FРТ)

Л.1 Тестирование базовой абстрактной машины (FРТ_АМТ)

Л.2 Безопасность при сбое (FРТ_FLS)

Л.3 Доступность экспортируемых данных ФБО (FРТ_IТА)

Л.4 Конфиденциальность экспортируемых данных ФБО (FРТ_IТС)

Л.5 Целостность экспортируемых данных ФБО (FРТ_ITI)

Л.6 Передача данных ФБО в пределах ОО (FРТ_IТТ)

Л.7 Физическая защита ФБО (FРТ_РНР)

Л.8 Надежное восстановление (FРТ_RCV)

Л.9 Обнаружение повторного использования (FРТ_RPL)

Л.10 Посредничество при обращениях (FРТ_RVМ)

Л.11 Разделение домена (FРТ_SЕР)

Л.12 Протокол синхронизации состояний (FРТ_SSР)

Л.13 Метки времени (FРТ_SТМ)

Л.14 Согласованность данных ФБО между ФБО (FРТ_TDС)

Л.15 Согласованность данных ФБО при дублировании в пределах ОО (FРТ_TRС)

Л.16 Самотестирование ФБО (FРТ_TSТ)

Приложение М Использование ресурсов (FRU)

М.1 Отказоустойчивость (FRU_FLТ)

М.2 Приоритет обслуживания (FRU_PRS)

М.3 Распределение ресурсов (FRU_RSА)

Приложение Н Доступ к ОО (FTA)

Н.1 Ограничение области выбираемых атрибутов (FTA_LSА)

Н.2 Ограничение на параллельные сеансы (FTA_MCS)

Н.3 Блокирование сеанса (FTA_SSL)

H.4 Предупреждения перед предоставлением доступа к ОО (FTA_ТАВ)

Н.5 История доступа к ОО (FTA_TАН)

Н.6 Открытие сеанса с ОО (FTA_TSЕ)

Приложение П Доверенный маршрут/канал (FТР)

П.1 Доверенный канал передачи между ФБО (FТР_IТС)

П.2 Доверенный маршрут (FТР_TRР)

Показать даты введения Admin

Страница 1

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Часть 2

Функциональные требования безопасности

И мание официальное

Страница 2

Предисловие

1    РАЗРАБОТАН Центром безопасности информации. 4 ЦНИИ Министерства обороны РФ. Центром «Атомзашитаинформ». ЦНИИАТОМИНФОРМ, ВНИИстандарт при участии экспертов Международной рабочей группы по Общим критериям

ВНЕСЕН Гостехкомиссией России. Техническими комитетами по стандартизации ТК 362Р «Зашита информации» и ТК 22 «Информационные технологии*

2    ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от4апрсля 2(Ю2 г. № 133-ст

3    Настоящий стандарт содержит полный аутентичный текст международного стандарта ИСО/МЭК 15408-2—99 «Информационная технология. Методы и средства обеспечения безопасности. Критерии опенки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»

4    ВВЕДЕН ВПЕРВЫЕ

<: ИПК Издательство стандартов. 2002

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Госстандарта России

Страница 3

ГОСТ Р ИСО/МЭК 15408-2-2002

Содержание

1    Обласп» применения.................................... 1

1.1    Расширение и сопровождение функциональных требований............... 1

1.2    Структура....................................... 2

1.3 Парадигма функциональных требований.......................... 2

2    Функциональные компоненты безопасности......................... 6

2.1    Краткий обзор..................................... 6

2.2    Каталог компонентов................................... 10

3    Класс FAU. Аудит безопасности............................... II

3.1    Автоматическая реакция аудита безопасности (FAU ARP)................ 12

3.2    Генерация данных аудита безопасности (FAU_GEN)................... 13

3.3 Анализ аудита безопасности (FAU_SAA)........................ 14

3.4 П росмотр аудита бе юпасносги (FAU_SA R)....................... 16

3.5    Выбор событий аудита безопасности (FAU_SEL).................... 17

3.6    Хранение данных аудита безопасности (FAU_STG)................... 17

4    Класс FCO. Связь.................................... 19

4.1    Неотказусмость отправления (FCO_NRO)....................... 19

4.2    Нсотказусмость получения (FCO NRR)........................20

5    Класс FCS. Криптографическая поддержка.........................22

5.1    Управление криптографическими ключами (FCS_CKM).................22

5.2    Криптографические операции (FCS_COP)....................... 24

6    Класс FDP. Зашита данных пользователя .........................24

6.1    Политика управления доступом (FDP_ACC)......................26

6.2    Функции управления доступом (FDP_ACF)......................27

6.3    Аутентификация данных (FDP DAU).........................28

6.4    Экспорт данных за пределы действия ФБО (FDP_ETC).................29

6.5 Политика управления информационными потоками (FDPJFC).............30

6.6 Функции управления информационными потоками (FDP_IFF).............31

6.7    Импорт данных из-за пределов действия ФБО (FDPJTQ..............34

6.8    Передача в пределах ОО (FDP_ITT)..........................35

6.9    Зашита остаточной информации (FDP_R1P)......................37

6.10OrKaT(FDP_ROL)..................................38

6.11 Целостность хранимых данных (FDPjSDI).......................38

6.12    Защита конфиденциальности данных пользователя при передаче между ФБО (FDP UCT) 40

6.13 Защита целостности данных пользователя при передаче между ФБО (FDP_U1T).....40

7    Класс FIA. Идентификация и аутентификация.......................42

7.1    Отказы аутентификации (FIA_AFL)..........................43

7.2    Определение атрибутов пользователя (FIA_ATD)....................43

7.3    Спецификация секретов (FIA_SOS)..........................44

7.4    Аутентификация пользователя (FIA_UAU)........................45

7.5    Идентификация пользователя (FIA_UID)........................47

7.6    Свя зывание пользователь—субъект (FIA_USB).....................48

8 Класс FMT. Управление бс зопасиостью..........................49

8.1 Управление отдельными функциями ФБО (FMT_MOF).................50

8.2    Управление атрибутами бе зопасности (FMT_MSA)....................50

8.3    Управление данными ФБО (FMT_MTD)........................51

8.4    Отмена (FMT_REV)..................................53

8.5    Срок действия атрибута безопасности (FMT_SAE)....................53

8.6    Роли управления безопасностью (FMT_SM R).......................54

9    Класс FPR. Приватность..................................55

9.1    Анонимность (FPR_ANO)...............................56

9.2    nceBTOHHMHocTb(FPR PSE)..............................56

9.3    Невозможность ассоциации (FPR_UNL).........................57

9.4    Скрытность (FPR_UNO)...............................58

Страница 4

ГОСТ Р ИСО/МЭК 15408-2-2002

10    Класс FPT. Зашита ФБО....................................

10.1    Тестирование ба юной абстрактной машины < FPT AMT)..................

10.2 Безопасность при сбое (FPT_FLS)..........................62

10.3 Доступность экспортируемых данных ФБО (FPT_ ITA).................62

10.4 Конфиденциальность экспортируемых данных ФБО (FPT_rTC)............63

10.5    Целостность экспортируемых ланных ФБО (FPT_ITI).................63

10.6 Передача данных ФБО в пределах (Ю (FPT ITT)...................64

10.7    Физическая зашита ФБО (FPT РНР).........................65

10.8    Надежное восстановление (FPT_RCV).........................67

10.9    Обнаружение повторного использования (FPTRPL)..................69

10.10 Посредничество при обращениях (FPT RVVI).....................69

10.11    Разделение домена (FPT_SEP)..............................

10.12    Протокат синхронизации состояний (FPT_SSP)......................

10.13    Метки времени (FPT_STM)...............................

10.14    Согласованность ланных ФБО между ФБО (FPT ТЕХ. )..................

10.15 Согласованность ланных ФБО при дублировании в пределах 00(FPT TRC)......73

10.16    Самотестирование ФБО (FPT TST)..........................74

11    Класс FRU. Использование ресурсов............................74

11.1    Отказоустойчивость (FRU_FLT)...........................75

11.2    Приоритет обслуживания (FRU_PRS).........................75

11.3 Распределен не ресурсов (F R U_ RSA)..........................76

12    Класс FTA. Доступ к ОО..................................77

12.1    Ограничение области выбираемых атрибутов (FTALSA)................78

12.2 Ограничение на параллельные сеансы (FTA_MCS)...................78

12.3    Блокирование сеанса (FTA_SSL)...........................79

12.4 Предупреждения перед предоставлением досту па к ОО (FTA_TAB)...........80

12.5 История досту па к ОО (FTA_TAH)..........................81

12.6    Открытие сеанса с 00(FTA_TSE)..........................81

13    Класс FTP. Доверенный маршрут/канал.......................... 82

13.1 Доверенный канал передачи между ФБО (FTP_ITC)..................82

13.2    Доверенный маршрут (FTP TRP) ..........................83

Приложение А Замечания по применению функциональных требований безопасности....... 84

А. I Структура замечаний..................................84

A. 2 Таблица зависимостей................................. 85

Приложение Б Функциональные классы, семейства и компоненты................90

Приложение В Аудит безопасности (FAU)...........................90

B.    1 Автоматическая реакция аудита безопасности (FAU_ARP)................90

В.2 Генерация данных аудита безопасности (FAU_GEN)...................91

В.З Анализ аудита безопасности (FAU_SAA).........................93

В.4 Просмотр аудита бе зопасности (FAU SAR).......................95

В.5 Выбор событий аудита бе (опасности (FAUSEL).....................96

В.6 Хранение ланных аудита безопасности (FAUSTG)...................97

Приложение Г Связь (РСО).................................98

Г. 1 Неотказуемость отправления (FCO_NRO)........................98

Г.2 Неотка зуемоегь получения (FCO_NRR).........................100

Приложение Д Криптографическая поддержка (FCS)......................101

Д. 1 Управление криптографическими ключами (FCS_CKM).................102

Д.2 Криптографические операции (FCS СОР)........................103

Приложение Е Зашита ланных пользователя (FDP).......................104

E.I Политика управления доступом (FDP ACC)......................106

Е.2 Функции управления доступом (FDP_ACF).......................107

Е.З Аутентификация данных (FDP_DAU)..........................109

Е.4 Экспорт данных за пределы действия ФБО (FDPETC) ...............109

Е.5 Политика управления информационными потоками (FDPJFC).............110

Е.6 Функции управления информационными потоками (FDP IFF)..............112

IV

Страница 5

Г(ХТ Р ИСО/МЭК 15408-2-2002

Е.7 Импорт данных из-за пределов действия ФБО (FDP_ITC)..............И    5

Е.8 Передача в пределах ОС) (FDP JTT).........................N    6

Е.9 Защита остаточной информации (FDP_RIP) .....................118

Е. 10 Откат (FDP.ROL).................................N9

Е. 11 Целостность хранимых данных (FDP_SDI)......................N9

Е. 12 Зашита конфиденциальности данных пользователя при передаче между ФБО (FI)P_UCT) 120

Е. 13 Зашита целостности данных пользователя при передаче между ФБО (FDP_U IT).....120

Приложение Ж Идентификация и аутентификация (FIA)....................121

Ж. 1 Отказы аутентификации (FIA_AFL)..........................122

Ж.2 Определение атрибутов пользователя (FIA ATD)....................123

Ж.З Спецификация секретов (FIA SOS)..........................123

Ж.4 Аутентификация пользователя (FIA UAU).......................124

Ж.5 Идентификация пользователя (FIA_UID).......................126

Ж.6 Связывание пользователь-субъект (FIA_USB).....................126

Приложение И Управление безопасностью (FMT).......................127

И.1 Управление отдельными функциями ФБО (FMT_MOF)................127

И.2 Управление атрибутами безопасности (FMT_MSA)...................128

И.З Управление данными ФБО (FMT VITD)........................129

И .4 Отмена (FMT_REV).................................130

И.5 Срок действия атрибутов беюласности (FMT_SAE)...................130

И.6 Роли управления безопасностью (FMT_SMR).....................130

Приложение К Приватность (FPR)..............................131

К. I Анонимность (FPR ANO) ..............................132

К.2 Псеааонимность(ЕРК_Р5Е).............................133

К.З Невозможность ассоциации (FPR_UNL)........................136

К.4 Скрытность (FPR_U NO)...............................137

Приложение Л Зашита ФБО (FPT)..............................139

Л.I Тестирование ба ювойабстрактной машины (FPT АМТ)................140

Л.2 Безопасность при сбое (FPT FLS)...........................142

Л .3 Доступность экспортируемых данных ФБО (FPT ITA).................142

Л.4 Конфиденциальность экспортируемых данных ФБО (FPTJTC)............142

Л .5 Целостность экспортируемых данных ФБО (FPT ITI)..................143

Л.6 Передача данных ФБО в пределах 00(FPT ITT)...................143

Л.7 Физическая зашита ФБО (FPT_PHР).........................144

Л.8 Надежное восстановление (FPT_RCV).........................145

Л.9 Обнаружение повторного использования (FPT_RPL).................147

Л. 10 Посредничество при обращениях (FPT RVM) ....................147

Л. II Разделение домена (FPT_SEP)............................148

Л.12 Протокол синхронизации состояний (FPT SSP) ...................149

Л. 13 Метки времени (FPT.STM).............................149

Л. 14 Согласованность данных ФБО между ФБО < FPT_TDC)................150

Л. 15 Согласованность данных ФБО при дублировании в пределах ОО (FPTTRC)......150

Л. 16 Самотестирование ФБО (FPT_TST).........................150

Приложение М Использование ресу рсов (FRU)........................151

М.1 Отказоустойчивость (FRU_FLT) ...........................151

М.2 Приоритет обслуживания (FRU_PRS).........................152

М.З Распределение ресурсов (FRU_RSA)..........................153

Приложение Н Доступ к ОО (FTA).............................154

Н.1 Ограничение области выбираемых атрибутов (FTA_LSA)................155

Н.2 Ограничение на параллельные сеансы (FTA_MCS)...................155

Н.З Блокирование сеанса (FTA_SSL) ...........................155

Н.4 Предупреждения перед предоставлением доступа к ОО (FTA_TAВ)...........156

Н.5 История доступа к ОО (FTA_TAH) ..........................157

Н.6 Открытие сеанса с ОО (FTA_TSE) ..........................157

Приложение П Доверенный маршрут/канал (FTP)......................158

П. I Доверенный канал передачи между ФБО (FTPJTC) ..................158

П.2 Доверенный маршрут (FTP TRP) ..........................158

V

Страница 6

Введение

Проблема обеспечения бе «опасности информационных технологий «анимаег все более значительное место в реали «лини компьютерных систем и сетей по мере того, как возрастает их роль в информатизации общества. Обеспечение безопасности информационных технологий (ИТ) представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулировании применения ИТ. совершенствования методов и средств их разработки, развития системы сертификации. обеспечения соответствующих органи «анионно-технических условий эксплуатации. Ключевым аспектом решения проблемы бе «опасности ИТ является выработка системы требований, критериев и показателей для опенки уровня безопасности ИТ.

ГОСТ Г ИСО/МЭК 15408 содержит обшие критерии оценки безопасности информационных технологий.

ГОСТ Р ИСО/МЭК 15408-1 устанавливает общий подход к формированию требований копенке безопасности (функциональные и доверия), основные конструкции (профиль зашиты, задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ. Требования безопасности объекта опенки (ОО) по методологии Общих критериев определяются исходя и з целей бе «опасности, которые, в свою очередь, основываются на анализе назначения ОО и условий среды его использования (угроз, предположений, политики безопасности).

ГОСТ Р ИСО/МЭК 15408-2 содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детали «апии и расширения но orIределенным правилам.

ГОСТ Р ИСО/МЭК 15408-3 включает в себя системати знрованный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жн «пенного никла продукта или системы ИТ ятя обеспечения уверенности в том, что они удовлетворяют предъявленных) к ним функциональным требованиям. Здесь же содержатся оценочные уровни доверия, определяющие шкалу требований. которые позволяют с возрастающей степенью полноты и строгости оценить проектную, тестовую и эксплуатационную документацию, правильность реали заики функций безопасности ОО. уя «вимости продукта или системы ИТ. стойкость механи змов «вши гы и сделать заключение об уровне доверия к безопасности объекта опенки.

VI

Страница 7

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Часть 2 Функциональные iреновация безопасности

Information technology. Security techniques. Evaluation criteria for IT security. Part 2.

Security functional requirements

Дата введения 2004 — 01—01

I Область применения

Настоящий стандарт распространяется на функциональные компоненты безопасности, являю-щисся основой для функциональных требований безопасности информационных технологий (ИТ) объекта опенки (ОО). излагаемых в профиле защиты < П3) или в цианин по безопасности (ЗБ). Требования описывают желательный безопасный режим функционирования ОО и предназначены для достижения целей беюпасности. установленных в ПЗ или ЗБ. Требования описывают также свойства безопасности, которые пользователи могут обнаружить при непосредственном взаимодействии с ОО (т. е. при входе и выходе) или при реакции ОО на запросы.

Функциональные компоненты безопасности выражают требования безопасности, направленные на противостояние угрозам в предлагаемой среде эксплуатации ОО и/или охватывающие любую идентифицированную политику безопасности организации и предположения.

Настоящий стандарт предназначен для потребителей, разработчиков, а также оценщиков безопасных систем и продуктов ИТ. Дополнительная информация о потенциальных пользователях ГОСТ Р ИСО/МЭК 15408. а также о применении критериев указанными группами пользователей представлена в разделе 3 ГОСТ Р ИСО/МЭК 15408-1. Эти группы могут использовать настоящий стандарт следующим образом.

Потребители — при выборе компонентов для выражения функциональных требований, позволяющих удовлетворить пели безопасности, выраженные в ПЗ или ЗБ. Болес подробная информация о взаимосвязях требований бе зопасности и целей безопасности приведена в подразделе 4.3 ГОСТ Р ИСО/МЭК 15408-1.

Разработчики, несущие ответственность кз выполнение существующих или предполагаемых требований беюпасносги потребителя при разработке ОО. — для реализации стандартизованного метода понимания этих требований, используя содержание настоящего стандарта как основу для дальнейшего определения функций и механизмов беюпасносги ОО. которые соответствовали бы этим требованиям.

Опенщики — применяя функциональные требования, определенные в настоящем стандарте, при верификации того, что функциональные требования ОО. выраженные в ПЗ или ЗБ. удовлетворяют целям безопасности ИТ, а также для учета зависимостей этих требований tt показа удовлетворения этих зависимостей. Кроме того, оленщикам следует использовать настоящий стандарт при определении того, удовлетворяет ли данный ОО предъявленным требованиям.

1.1 Расширение и сопровождение функциональных требований

ГОСТ Р ИСО/МЭК 15408 и соответствующие функциональные требования безопасности, описанные ниже, не предназначены для окончательного решения всех задач безопасности ИТ. Скорее, настоящий стандарт предлагает совокупность хорошо продуманных функциональных требований безопасности. которые могут применяться при создании доверенных продуктов или систем ИТ. отвечаю-

II здание официальное

1-2-1523

Страница 8

тих потребностям рынка. Эти функциональные требования безопасности представляют современный уровень спецификации требований и опенки.

В настоящий стандарт не предполагалось включать все возможные функциональные требования безопасности, а только те из них. которые на дату издания стандарта были известны и одобрены его разработчиками.

Так как знания и потребности пользователей могут изменяться, функциональные требования настоящего стандарта нуждаются в дальнейшем сопровожден и и. Предполагается, что некоторые разра-бопики ПЗ/ЗБ могут иметь потребности в безопасности, не охваченные в настоящее время компонентами функциональных требований настоящего стандарта. В атом случае разработчик ПЗ/ЗБ может предпочесть использование нестандартных функциональных требований (гак называемую -расширяемость»), как объяснено в приложениях Б и В ГОСТ Р ИСО/МЭК 15408-1.

1.2    Структура

Раздел I содержит введение.

Раздел 2 представляет каталог функциональных компонентов.

В разделах 3—13 приведено описание функциональных классов.

Приложение Л содержит дополнительную информацию, прсдста&зяюшую интерес для потенциальных пользователей функциональных компонентов, включая полную таблицу перекрестных ссылок зависимостей функциональных компонентов.

Приложения Б— Г1 представляют замечания по применению функциональных классов. В них сосредоточены материалы информационной поддержки для пользователей настоящего стандарта, которые помогут им применять только допустимые операции и выбирать необходимую информацию для аудита и документирования.

ГОСТ Р ИСО/МЭК 15408-1 содержит следующую информацию, необходимую разработчикам ПЗ или ЗБ:

—    термины, используемые в стандарте, определены в разделе 2 ГОСТ Р ИСО/МЭК 15408-1;

—    структура ПЗ приведена в приложении Б к ГОСТ Р ИСО/МЭК 15408-1;

—    структура ЗБ приведена в приложении В к ГОСТ Р ИСО/МЭК 15408-1.

1.3    Парадигма функциональных требований

На рисунках 1.1 и 1.2 показаны некоторые ключевые понятия парадигмы. Описаны и другие, не показанные на рисунках, ключевые понятия. Рассматриваемые ключевые понятия

2

Рисунок 1.1 — Ключевые понятия функциональных требований безопасности (единый ОО)

Страница 9

ГОСТ Р НСО/МЭК 15408-2-2002

Локальный пользователь    Локальный    (внутренний    для    ОО)    доверенный    маршрут

вылелены полужирным курсивом. Определения терминов, приведенные в словаре в разделе 2 ГОСТ Р ИСО/МЭК 15408-1. в этом подразделе не изменяются и не переопределяются.

Настоящий стандарт содержит каталог функциональных требований безопасности, которые могут быть предъявлены к объекту оценки (ОО). ОО — это продукт или система ИТ (вместе с руководством администратора и пользователя), содержащие ресурсы типа электронных носителей данных (таких, как лиски), периферийных устройств (таких, как принтеры) и вычислительных возможностей (таких, как процессорное время), которые могут использоваться для обработки и хранения информации и являются предметом оценки.

Оценка, прежде всего, подтверждает, что в отношении ресурсов ОО осуществляется определенная тиитика бе(опасности ОО (НПО). П БС) определяет правила, по которым ОС) управляет доступом к своим ресурсам и. таким образом, ко всей информации и сервисам, контролируемым ОО.

ПБО. в свою очередь, состоит из различных политик функций безопасности (ПФБ). Каждая ПФБ имеет свою область действия, определяющую субъекты, объекты и операции, на которые распространяется ПФБ. ПФБ реализуется функцией безопасности (ФБ), чьи механизмы осуществляют политику и предоставляют необходимые возможности.

Совокупность всех функций безопасности ОО. которые направлены на осуществление ПБО. определяется как функции безонасности объекта оценки (ФБО). ФБО объединяют функциональные возможности всех аппаратных, программных и программно-аппаратных средств ОО. на которые как непосредственно, гак и косвенно возложено обеспечение безопасности.

Монитор обращений — это концепция абстрактной машины, которая осуществляет политику управления доступом ОО. Механизм проверки правомочности обращений — реализация концепции 1-2*

3

Страница 10

монитора обращений, обладающая следующими свойствами: защищенностью от проникновения; постоянной готовностью; простотой, достаточной для проведения исчерпывающего анализа и тестирования. ФБО могут состоять и з механи »ма проверки правомочности обращений и/или других функций безопасности, необходимых для эксплуатации ОС).

СЮ может быть единым продуктом, включающим аппаратные, программно-аппаратные и программные средства.

В ином случае СЮ может быть распределенным, состоящим из нескольких разделенных частей. Каждая часть СЮ обеспечивает выполнение конкретного сервиса для ОО и в заимолсйствует с другими частями ОО чере з внутренний каши евнш. Этот канал может быть всего лишь шиной процессора, а может являться внутренней сетью для СЮ.

Если ОС) состоит из нескольких частей, то каждая часть может иметь собственное подмножество ФБО. которое обменивается данными ФБО и пользователей через внутренние каналы связи с Другими подмножествами ФБО. Это взаимодействие называется внутренней передачей ОО. В этом случае части ФБО формируют объединенные ФБО. которые осуществляют ПБО для этого ОС).

Интерфейсы СЮ могут быть локализованы в конкретном ОО или же могут допускать взаимодействие с другими продуктами ИТ по внешни.и кана.шм связи. Внешние взаимодействия с другими продуктами ИТ могут принимать две формы:

а)    Политика бе юпасности «удаленного доверенного продукта ИТ* и ПВО рассматриваемого ОО скоординированы и оценены в административном порядке. Обмен информацией в этом случае назван передачей между ФИО. поскольку он осуществляется между ФБО ра зличных доверенных продуктов.

б)    Удаленный продукт ИТ. обозначенный на рисунке 1.2 как «нсловсрснныЙ продукт ИТ*, не был оценен, поэтому его политика безопасности неизвестна. Обмен информацией в этом случае назван передачей за пределы области действии ФБО. так как этот удаленный продукт ИТ не имеет ФБО (или характеристики его политики безопасности нейзвсстны).

Совоку пность взаимодействий, которые могут происходить с СЮ или в пределах ОС) и подчинены правилам ПВО. относится к области действии функций бе юпасности (ОДФ). ОДФ включает в себя определенную совокупность взаимодействий между субъектами, объектами и операциями в пределах ОС), но не предполагает охвата всех ресурсов ОС).

Совокупность интерфейсов как интерактивных (человеко-машинный интерфейс), так и программных (интерфейс программных приложений), через которые могут быть получены доступ к ресурсам при посредничестве ФБО или информация от ФБО. называется интерфейсом ФБО(ИФБО). ИФБО определяет границы возможностей функций ОС), которые предоставлены для осуществления ПБО.

Пользователи не включаются в состав ОО; поэтому они находятся вне ОДФ. Однако пользователи взаимодействуют с СЮ через ИФБО при запросе услуг, которые будут выполняться ОС). Существует два типа пользователей, учитываемых в функциональных требованиях безопасности настоящего стандарта: человек-пользователь и внешний объект ИТ. Для человека-поль зова геля различают локального человека-пазьзователи. взаимодействующего непосредственно с СЮ чере з устройства СЮ (такие, как рабочие станции). 3i удаленного человека-полыователи. взаимодействующего с СЮ через другой продукт ИТ.

Период взаимодействия между пользователем и ФБО называется сеансам полыователи. Открытие сеансов пользователей может контролироваться на основе ряда условий, таких как аутентификация пользователя, время суток, метод доступа к СЮ. число параллельных сеансов, ра зрешенных пользователю. и т. д.

В настоящем стандарте используется термин уполномоченный для обозначения пользователя, который обладает правами и/или привилегиями, необходимыми для выполнения операций. Поэтому термин уполномоченный пользователь указывает, что пользователю разрешается выполнять данную операцию в соответствии с ПБО.

Для выражения требований разделения административных обя занностсй соответствующие функциональные компоненты безопасности (из семейства FMT SMR). приведенные в настоящем стандарте. явно устанавливают обя зательность административных ролей Роль — это заранее определенная совокупность правил, устанавливающих допустимые взаимодействия между пользователем и ОО. ОО может поддерживать определение произвольного числа ролей. Например, роли, свя занные с операциями безопасности ОО. могут включать в себя роли «Администратор аудита* и «Администратор учета пользователей».

Страница 11

ГОСТ Р ИСО/МЭК 15408-2- 2002

ОО содержит ресурсы, которые могут использоваться для обработки и хранения информации. Основной целью ФБО является полное и правильное осуществление ПВО для ресурсов и информации. которыми управляет ОО.

Ресурсы ОО могут иметь рахличную структуру и испольюваться различными способами. Тем не менее в настоящем стандарте проводится специальное разграничение, позволяющее специфицировать желательные свойства безопасности. Все сущности, которые могут быть созданы на основе ресурсов, характсри зуются одним из двух способов. Сущности могут быть активными, т. е. являться причиной действий, которые происходят в пределах ОО. и инициировать операции, выполняемые с информацией. Напротив, сущности могут быть пассивными, т. с. являться источником или местом хранения информации.

Активные сущности названы субъектами. В пределах ОО могут существовать несколько типов субъектов:

в)    действующие от имени уполномоченного пользователя н подчиненные всем правилам ПВО (например, процессы UNIX);

г)    действующие как особый функциональный процесс, который может, в свою очередь, действовать от имени многих пользователей (например, функции, которые характерны для архитектуры клиент/сервер);

д)    действующие как часть собственно ОО (например, доверенные процессы).

В настоящем стандарте рассматривается осуществление ПВО для субъектов всех типов, перечисленных выше.

Пассивные сущности (т. е. хранилища информации) на званы объектами в функциональных требованиях бе юпасности настоящего стандарта. Объекты являются предметом операций, которые могут выполняться субъектами. В случае, когда субъект (активная сущность) сам является предметом операции (например, при установлении связи между процессами), нал субъектом могут производиться действия, как над объектом.

Объекты могут содержать информацию '-)то понятие требуется, чтобы специфицировать политику управления информационными потоками в соответствии с классом FDP.

Пользователи, субъекты, информация и объекты обладают определенными атрибутами. которые содержат информацию, позволяющую ОО функционировать правильно. Некоторые атрибуты, такие как имена файлов, могут предназначаться только для информирования, в то время как другие, например различные параметры управления доступом. — исключительно для осуществления ПВО. Эти последние обобщенно названы •атрибутами См?(опасности«. В дальнейшем слово «атрибут» используется в настоящем стандарте как сокращение для словосочетания «атрибут безопасности», если иное не оговорено. Вместе с тем. независимо от предназначения информации атрибута, могут потребоваться средства управления этим атрибутом в соответствии с ПВО.

В ОО содержатся данные пользователей и данные ФБО. На рисунке 1.3 показана их взаимосвязь. Данные no.ibjoeame.icii — это информация, содержащаяся в ресу рсах ОО. которая может применяться пользователями в соответствии с ПВО и не предназначена специально для ФВО. Например, содержание сообщения электронной почты является данными пользователя. Данные ФБО — это информация.

ДАННЫЕ ОО

ДАННЫЕ

ПОЛЬЗОВАТЕЛЕЙ

ДАННЫЕ ФБО

Аулешифика-ционные данные

Атрибуты безопасности ( Атрибуты пользователей J

(    Атрибут объектов    J

(    Атрибуты субъект оо    )

с

Атрибуты информации

Рисунок 1.3 — Связь между данными пользователей и данными ФБО

5

Страница 12

используемая ФБО при осуществлении ПБО. Допустимо воздействие пользователей на данные ФБО. сети это предусмотрено ПБО. Примерами данных ФБО яазяются атрибуты бе «опасности, аутентификационные данные, списки упраазения доступом.

Выделяются ПФБ. которые применяются при защите данных, такие как ПФБ управления доступом и ПФИ упрощения информационными потоками. Действия механизмов, реализующих ПФБ управления доступом, основаны на атрибутах субъектов, объектов и операций в пределах области действия. Эти атрибуты используются в совокупности правил, управляющих операциями, которые субъектам ра «решено выполнять на объектах.

Функционирование механизмов, реализующих ПФБ упраазения информационными потоками, основано на атрибутах субъектов и информации в пределах области действия и совокупности правил, по которым выполняются операции субъектов над информацией. Атрибуты информации, которые могут быть ассоциированы с атрибутами места хранения (или не ассоциированы с ними, например в случае многоу ровневой базы данных), остаются с информацией при ее перемещении.

Два специфических типа данных ФБО. рассматриваемых в настоящем стандарте, могут, хотя и необязательно, совпадать. Это аутентификационные данные и секреты

Аутентификационные данные используются, чтобы верифицировать заявленный идентификатор пользователя, обращающегося к ОО за услугами. Самая распространенная форма аутентификационных данных — пароль, который необходимо хранить в секрете, чтобы мехами «м бе «опасности был эффективен. Однако в секрете необходимо хранить не все формы аутентификационных данных. Биометрические опознавательные устройства (такие, как считыватели отпечатка пальма или сканеры сетчатки глаза) основываются не на предположении, что аутентификационные данные хранятся в секрете, а на том. что эти данные яазяются неотъемлемым свойством пользователя, которое невозможно подделать.

Термин «секрет». используемый в функциональных требованиях настоящего стандарта по отношению к аутентификационным данным, применим и к данным других типов, которые необходимо хранить в тайне при осузцестазснии определенной ПФБ. Например, стойкость мсхаии «ма доверенного каната, в котором применена криптография для сохранения конфиденциальности передаваемой через канат информации, зависит от надежности способа сохранения в секрете криптографических ключей от несанкционированного раскрытия.

Следовательно, некоторые, но не все аутентификационные данные необходимо хранить в секрете. и некоторые, но не все секреты используют как аутентификационные данные. Рисунок 1.4 покалывает эту взаимосвязь секретов и аутентификационных .чанных. На этом рисунке указаны типы данных, которые часто относят к аутентификационным данным и секретам.

Аутентификационные данные

А

Миоме фи я Кредитные карточки

Г

Пароли

Л

Криптографические

переменные

Секреты

V____/

Рисунок 1.4 — Связь между понятиями •аутентификационные данные» и «секреты»

2 Функциональные компоненты безопасности

2.1 Краткий обзор

Этот раздел определяет содержание и форму представления функциональных требований настоящего стандарта и представляет руководство по органи киши требований для новых компонентов, включаемых в ЗБ. Функциональные требовании объединены в классы, семейства и компоненты.

(>

Страница 13

ГОСТ Р ИСО/МЭК 15408-2-2002

2.1.1 С т р у к т у р а класса

Структура функционального класса приведена на рисунке 2.1. Каждый функциональный класс содержит имя класса, представление класса и одно или несколько функциональных семейств.

Рисунок 2.1 — Структура функционального класса

2.1.1.1    Имя класса

Имя класса содержит информацию, необходимую для идентификации функционального класса и отнесения его к определенной категории. Каждый функциональный класс имеет уникальное имя. Информация о категории предоставлена кратким именем, состоящим и ггрех букв латинского алфавита. Краткое имя класса используют при задании кратких имен семейства этого класса.

2.1.1.2    Представление класса

Представление класса обобщает участие семейства класса в достижении целей безопасности. Определение функциональных классов не отражает никакую формальную таксономию в спецификации требований.

Представление класса содержит рисунок, показывающий все семейства этого класса и иерархию компонентов в каждом семействе, как указано в 2.2.

2.1.2    Структура семейств а

Структура функционального семейства приведена на рисунке 2.2.

2.1.2.1 Имя семейства

Имя семейства содержит описательную информацию. необходимую, чтобы идентифицировать и категорировать функциональное семейство. Каждое функциональное семейство имеет уникальное имя. Информация о категории состоит из краткого имени, включающего в себя семь символов.

Первые три символа ндентмч-ны краткому имени класса, далее следуют символ подчеркивания и краткое имя семейства в виде XXX YYY.

Уникальная краткая форма имени семейства предоставляет основное имя ссылки для компонентов.

7

Рисунок 2.2 — Структура функционального семейства

Страница 14

2.1.2.2    Характеристика семейства

Характеристика семейства — это описание функционального семейства, в котором налагаются его пели бе (опасности и общее описание функциональных требований. Более детально они описаны ниже:

а)    цели безопасности семейства характеризуют задачу безопасности, которая может быть решена с помощью компонентов этого семейства:

б)    описание функииона гьных требований обобщает все требования, которые включены в компонентеты). Описание ориентировано на разработчиков П3. ЗБ и функциональных пакетов, которые хотели бы определить, соответствует ли семейство их конкретным требованиям.

2.1.2.3    Ранжирование компонентов

Функциональные семейства содержат один или несколько компонентов, каждый из которых может быть выбран для включения в ПЗ. ЗБ и функциональные пакеты. Цель ранжирования компонентов — предоставить пользователям информацию для выбора подходящего функционального компонента. если семейство идентифицировано пользователем как необходимая или полезная часть требовании безопасности.

Далее перечисляются имеющиеся компоненты и приводится их логическое обоснование. Детализация компонентов производится в описании каждого компонента.

Свя зи между компонентами в пределах функционального семейства могут быть иерархическими и неиерархическими. Компонент иерархичен (т. е. расположен выше по иерархии) по отношению к другому компоненту, если предлагает большую безопасность.

Описания семейств содержат графическое представление иерархии компонентов, рассмотренное

в 2.2.

2.1.2.4    Улра&ленис

Требования упрощения содержат информацию для ра зработчиков ПЗ/ЗБ. учитываемую при определении действий по управлению ятя данного компонента. Требования управления леталитированы в компонентах класса «Управление безопасностью» (FY1T).

Разработчик ПЗ/ЗБ может выбрать какие-либо из имеющихся требований управления ззлз1 включить новые, не указанные в настоящем стандарте. В последнем случае следует представить необходимую информацию.

2.1.2.5    Аудит

Требования аудита содержат события, потенциально подвергаемые аудиту. для их отбора ра зра-ботчиками ПЗ/ЗБ при условии включения в ПЗ/ЗБ требований ззз класса FAU «Аудитбезопасности». Эти требования включают в себя события, относящиеся к безопасности, применительно к ра зличным уровням детали занизь поддерживаемым компонентами семейства FAUGEN «Генерация данных аудита бе (опасности*. Например, запись аудита какого-либо механизма безопасности может включать в себя на ра зных уровнях детализации действия, которые раскрываются в следующих терминах.

Минимальный — успешное использование механизма безопасности.

Базовый — любое использование механизма безопасности, а также информация о текущих значениях агрззбугов безопасности.

Детализированный — любые и зменения конфигурации механизма безопасности, включая параметры конфигурации до з( после изменения.

Рисунок 2.3 — Структура функционального компонента

Следует учесть, что категорирование событий, поте н н 3! а л ь н о п од в с р га е м ы х аудиту, всегда иерархично. Например, если выбрана базовая генерация данных аудита. то все события, идентифицированные как потенциально подвергаемые аудиту и поэтому входящие как в минимальную. так и в ба зовую запись, следует включить в П'З/'ЗБ с помощью соответствующей операции назначе-

х

Страница 15

ГОСТ Р ИСО/МЭК 15408-2- 2002

пня. за исключением случая, когда событие более высокого уровня имеет более высокий уровень детализации, чем событие более низкого уровня, и может просто заменить его. Когда желательна легализированная генерация данных аудита, все идентифицированные события, потенциально подвергаемые аудиту (для минимального, базового и детализированного уровней), следует включить в ПЗ/ЗБ.

Правила управления аудитом более подробно объяснены в классе FAU.

2.1.3 С т р у к т у р а компонента

Структура функционального компонента показана на рисунке 2.3.

2.1.3.1    Идентификация компонента

Идентификация компонента включает в себя описательную информацию, необходимую для идентификации, категорирования, записи и реализации перекрестных ссылок компонента. Для каждого функционального компонента представляется следующее:

—    уника!ыюе ими. отражающее предназначение компонента:

—    краткое ими. применяемое как основное имя ссылки для категорирования, записи и реал и за-пии перекрестных ссылок компонента и уникально отражающее класс и семейство, которым компонент принадлежит, а также номер компонента в семействе;

—    список иерархических сетей, содержащий имена других компонентов, для которых этот компонент иерархичен и вместо которых может использоваться при удовлетворении зависимостей от перечисленных компонентов.

2.1.3.2    Функциональные элементы

Каждый компонент включает в себя набор зле ментов. Каждый элемент определяется отдельно и я влястся самодостаточн м м.

Функциональный элемент — это функциональное требование бе юпасности. дальнейшее ра целение которого не меняет значимо результат опенки. Является наименьшим функциональным требованием безопасности, идентифицируемым и признаваемым в ГОСТ Р ИСО/МЭК 15408.

При формировании ПЗ. ЗБ и/или пакетов не разрешается выбирать только часть элементов компонента. Для включения в ПЗ. ЗБ или пакет необходимо выбирать всю совокупность элементов компонента.

Вводится уникальная краткая форма имени функционального элемента. Например, имя FDPJFF.4.2 читается следующим образом: F — функциональное требование. DP — класс «Зашита данных пользователя». _lFF — семейство «Функции управления информационными потоками». .4 — четвертый компонент «Частичное устранение неразрешенных информационных потоков*. .2 — второй элемент компонента.

2.1.3.3    Зависимости

Зависимости среди функциональных компонентов возникают, когда компонент не самодостаточен и нуждается либо в функциональных возможностях другого компонента, либо во взаимодействии с ним для поддержки собственного выполнения.

Каждый функциональный компонент содержит полный список зависимостей от других функциональных компонентов и компонентов доверия. Для некоторых компонентов указано, что зависимости отсутствуют. Компоненты из списка могут, в свою очередь, иметь зависимости от других компонентов. Список, приведенный в компоненте, показывает прямые зависимости, т. е. содержит ссылки только на функциональные компоненты, заведомо необходимые для обеспечения выполнения рассматриваемого компонента. Косвенные зависимости, определяемые собственными зависимостями компонентов и з списка, показаны в приложении А. В некоторых случаях зависимость выбирают из нескольких предлагаемых функциональных компонентов, причем каждый из них достаточен для удовлетворения зависимости (см., например. FDP_U1T.I).

Список зависимостей идентифицирует минимум функциональных компонентов или компонентов доверия. необходимых для удовлетворения требований безопасности, ассоциированных с данным компонентом. Компоненты, которые нсрархичны по отношению к компоненту из списка, также могут быть использованы для удовлетворения зависимости.

Зависимости между компонентами, указанные в настоящем стандарте, обязательны. Их необходимо удоалстворить н ПЗ/ЗБ. В некоторых, особых случаях эти зависимости удовлетворить невозможно. Разработчик ПЗ/ЗБ. обязательно обоснован, почему данная зависимость неприменима, может не включать соответствующий компонент в пакет. ПЗ или ЗБ.

9

Страница 16

2.1.4 Р а з р с ш с н н ы с о п с р а и и и с ф у и к и и о н а л ь н ы м и компоне н-т а м и

При определении требований в ПЗ. ЗБ или функциональном пакете функциональные компоненты могут либо использоваться полностью в соответствии с разделами 3—13 настоящего стандарта, либо быть дополнительно конкретизированы для достижения специфической пели безопасности. Однако отбор и конкрети зания этих функциональных компонентов усложнены тем обстоятельством, что необходимо учитывать имеющиеся зависимости между компонентами. Поэтому такая конкретизация строго ограничена принятым набором операций.

К каждому функциональному компоненту могут быть применены ра «решенные операции. Не все операции разрешены на всех функциональных компонентах.

К разрешенным операциям относятся:

—    итерация — позволяет несколько раз использовать компонент с различным выполнением операций:

—    назначение — позволяет специфицировать заданный параметр;

—    выбор — позволяет специфицировать один или несколько элементов из списка;

—    уточнение — позволяет добавить летали.

2.1.4.1    Итерация

Там. где необходимо охватить различные аспекты одного и того же требования (например, идентифицировать несколько типов пользователей), разрешается повторное использование одного и того же функционального компонента, позволяющее охватить каждый аспект.

2.1.4.2    Назначение

Некоторые элементы функциональных компонентов содержат параметры или переменные, которые лают возможность разработчику ПЗ/ЗБ специфицировать политику или совокупность величин для включения в ПЗ/ЗБ. чтобы выполнить специфическую цель безопасности. Эти элементы однозначно идентифицируют каждый такой параметр и ограничения на значения, которые может принимать этот параметр.

Любой аспект элемента, допустимые значения которого могут быть однозначно описаны или перечислены, может быть представлен параметром. Параметр может быть атрибутом или правилом, сводящим требование к определенному значению или диапазону значений. Например, элемент функционального компонента, направленный на достижение определенной цели безопасности, может установить, что некоторую операцию следует выполнять неоднократно. В этом случае назначение установит число возможных повторений (или диапазон для него), которое будет использоваться для данного параметра.

2.1.4.3    Выбор

Операция заключается в ограничении области применения элемента функционального компонента посредством выбора одного или нескольких вариантов из списка, приведенного в элементе.

2.1.4.4    Уточнение

Для всех элементов функционального компонента разработчику ПЗ/ЗБ разрешается ограничить множество допустимых реал и заний путем определения дополнительных деталей для достижения целен безопасности. Уточнение элемента заключается в добавлении этих специфических деталей.

Например, если для конкретного ОО требуется объяснение смысла терминов «субъект» и «объект» в рамках ЗБ. то эти термины подвергают операции уточнения.

Подобно другим операциям, уточнение не налагает абсолютно новых требований. Исходя из целей безопасности, уточнение предполагает проработку деталей, интерпретацию или развитие требований. правил, значений или условий. Уточнение должно лишь ограничивать совокупность возможных функций или механи змов для реализации требования, но никогда не расширять ее. Уточнение не позволяет создать новые требования 3i поэтому не увеличивает список зависимостей, связанных с компонентом. Ра «работнику ПЗ/ЗБ необходимо быть внимательным, чтобы существующие зависимости прочих требований от уточняемого требования были по-прежнему удовлетворены.

2.2 Каталог компонентов

Расположение компонентов в настоящем стандарте не отражает какую-либо формальную таксономию.

Настоящий стандарт содержит классы, состоящие из семейств и компонентов, которые приблизительно сгруппированы на основе обшей функции и предназначения. Классы и семейства представлс-

10

Страница 17

Г(КТ Р ИСО/МЭК 15408-2- 2002

ны в алфавитном (по-латински) порядке. В начале каждого класса имеется рисунок, показывающий таксономию лого класса, перечисляя семейства в этом классе и компоненты в каждом семействе. Рисунок также иллюстрирует иерархию компонентов внутри каждого семейства.

В описании каждого функционального компонента приведены его зависимости от других компонентов.

Пример представления таксономии класса и иерархии компонентов в его семействах приведен на рисунке 2.4. Здесь первое семейство содержит три иерархических компонента, где компоненты 2 и 3 могут быть применены для выполнения зависимостей вместо компонента I. Компонент 3 иерархичен к компоненту 2 и может применяться для выполнения зависимостей вместо компонента 2.

Рисунок 2.4 — Пример лекомпошнии класса

В семействе 2 имеются три компонента, не все из которых иерархически связаны. Компоненты 1 и 2 не иерархичны к другим компонентам. Компонент 3 иерархичен к компоненту 2 и может применяться для удовлетворения зависимостей вместо компонента 2. но не вместо компонента I.

В семействе 3 компоненты 2—4 иерархичны к компоненту I. Компоненты 2 и 3 иерархичны к компоненту!, но несопоставимы по иерархии между собой. Компонент 4 иерархичен к компонентам 2 и 3.

Подобные рисунки дополняют текст описания семейств и делают проще идентификацию отношений их компонентов. Они не заменяют пункт «Иерархический для» в описании каждого компонента. который устанавливает обя зательные утверждения иерархии для каждого компонента.

2.2.1 В ы д е л е н и е и з м е н е н и й в компонент е

В заимосвя зь компонентов в пределах семейства показана с использованием полужирного шрифта. Все новые требования в тексте компонентов выделены полужирным шрифтом. Для иерархически связанных компонентов требования и/нли зависимости выделены, когда они расширены или модифицированы по сравнению с требованиями предыдущего компонента. Кроме того, любые новые или расширенные по сравнению с предыдущим компонентом ра {решенные операции также выделены полужирным шрифтом.

3 Класс FAU. Аудит безопасности

Аудит безопасности включает в себя распознавание, запись, хранение и анализ информации, связанной с действиями, относящимися к безопасности (например, с действиями, контролируемыми ПВО). Записи аудита, получаемые в результате, могут быть проанализированы, чтобы определить, какие действия, относящиеся к безопасности, происходили и кто из пользователей за них отвечает.

II

Страница 18

Декомпозиция класса на составляющие его компоненты показана на рисунке 3.1.

Рисунок 3.1 — Декомпозиция класса «Аудит безопасности»

3.1 Автоматическая реакция аудита безопасности (FAU_ARP)

Характеристика семейства

Семейство FAU ARP определяет реакцию на обнаружение событий, указываюпшх на возможное нарушение бе юпасности.

Ранжирование компонентов

FAU ARP Автоматическая реакция

1

аудита безопасности

В FAU ARP. 1 «Сигналы нарушения безопасности» ФБО должны предпринимать действия в случае обнаружения возможного нарушения безопасности.

Управление: FAU_ARP.I

Для функций управления и» класса FV1T может рассматриваться следующее действие,

а) Управление действиями (добавление, удаление или модификация).

12

Страница 19

Г(ХТ P ИСО/МЭК 15408-2- 2002

Аудит. FAU ARP. I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*. то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий (событий) параметров.

а) Минимальный: действия, предпринимаемые в ответ на ожидаемые нарушения безопасности.

FAU_ARP.I С игналы нарушения безопасности

Иерархический для: Нет подчиненных компонентов.

FAU_ARP.1.I ФБО должны предпринять (назначение: список наименеера {рушительных действий] при обнаружении возможного нарушения безопасности.

Зависимости: FAU_SA\.I Анализ потенциального нарушения

3.2 Генерация данных аудита безопасности (FAU_GEN)

Характеристика семейства

Семейство FAU GEN определяет требования по регистрации возникновения событий, относящихся к безопасности, которые подконтрольны ФБО. Эго семейство идентифицирует уровень аудита. перечисляет типы событий, которые потенциально латжны подвергаться аудиту с использованием ФБО. и определяет минимальный объем связанной с аудитом информации, которую следует представлять в записях аудита ра зличного типа.

Ранжирование компонентов

FAUGEN.1 «Генерация данных аудита* определяет уровень событий, потенциально подвергаемых аудиту, и состав данных, которые должны быть зарегистрированы в каждой записи.

В FAU CiEN.2 «Ассоциация идентификатора пользователя* ФБО должны ассоциировать события, потенциально подвергаемые аудиту, пличные идентификаторы пользователей.

Управление: FAU.GEN.l. FAU_GEN.2

Действия по управлению не предусмотрены.

Аудит: FAU.GEN.I. FAU_GEN.2

Нет идентифицированных дсйствий/событнй/парамегров. для которых следует предусмотреть возможность аудита.

FAU_GEN.l Генерация данных аудита

Иерархический для: Нет подчиненных компонентов.

FAU.GEN.I.1 ФБО должны быть способны генерировать запись аудита для следующих событий, потенциально подвергаемых аудиту:

а)    запуск и завершение выполнения функций аудита;

б)    все события, потенциально подвергаемые аудиту, на | выбор: минимальный, па юный, demaium-рованный, неопределенный| уровне аудита;

в)    (назначение: другие специально определенные ам)ытия, потенциально подвергаемые аудитуJ. FAU_GEN.I,2 ФБО должны регистрировать в каждой записи аудита, по меныней мере, следующую информацию:

а)    дата и время события, тип события, идентификатор субъекта и результат события (успешный или неуспешный);

б)    для каждого тина событий, потенциально подвергаемых аудиту, из числа определенных в функциональных компонентах, которые включены в ПЗ/ЗБ, [назначение: другая относящаяся к аудиту информация \.

Зависимости: FPT_STM. 1 Надежные метки времени FAU_GEN.2 Ассоциация идентификатора пользователя Иерархический для: Нет подчиненных компонентов.

FAU_GEN.2.1 ФБО должны быть способны ассоциировать кажюе событие, потенциально подвергаемое аудиту, с идентификатором пользователя, который был инициатором этого события.

2-1—1523    В

Страница 20

Зависимости: FAU_GEN.l Генерация данных аудита

I IЛ IJID.I Ныбор момента идентификации

3.3 Анализ аудита Г>е {опасности (FAU_SAA)

Характеристика семейства

Семейство FAU SAA определяет требования для автомат зированных средств, которые анализи-руют показатели функционирования системы и данные аудита в нолях поиска возможных или реальных нарушений безопасности. Этот анализ может использоваться для поддержки как обнаружения проникновения, так и автоматической реакции на ожидаемое нарушение безопасности.

Действия, предпринимаемые при обнаружении нарушений, могут быть при необходимости определены с использованием семейства FAU_ARP.

Ранжирование компонентов

В FAU SAA.I «Анализ потенциального нарушения» требуется базовый порог обнаружения на основе установленного набор:! правил.

В FAU SAA.2 «Выявление аномалии, основанное на профиле» ФБО поддерживают отдельные п/нн/наи использования системы, где профиль представляет собой шаблоны предыстории использования. выполнявшиеся участниками цаквой группы профигя. Целевая группа профиля может включать в себя одного или нескольких участников (например, отдельный пользователь: пользователи, совместно использующие общий идентификатор или общие учетные данные: пользователи, которым назначена одна роль; все пользователи системы или сетевого узла), которые взаимодействуют с ФБО. Каждому участнику целевой группы профиля назначается индивидуальный рейтинг подозрительной активности, который показывает, насколько текущие показатсли действий участника соответствуют установленным шаблонам использования, представленным в профиле. Этот анализ может выполняться во время функционирования 00 или при анали зе данных аудита в пакетном режиме.

В FAU_SAA.3 «Простая эвристика атаки» ФБО должны быть способны обнаружить возникновение характерных событий, которые свидетельствуют о значительной угрозе осуществлению ПБО. Этот поиск характерных событий может происходить в режиме реального времени или при анализе данных аудита в пакетном режиме.

В FAU SAA.4 «Сложная эвристика атаки» ФБО должны быть способны задать и обнаружить многошаговые сценарии проникновения. Здесь ФБО способны сравнить события в системе (во зможно, выполняемые несколькими участниками) с последовательностями событий, и звестными как полные сценарии проникновения. ФБО должны быть способны указать на обнаружение характерного события или последовательности событий, свидетельствующих о возможном нарушении ПБО.

Управление: FAU SAA. I

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Сопровождение (добавление, модификация, удаление) правил из набора правил.

Управление: FAU SAA.2

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Сопровождение (удаление, модификация, добавление) группы пользователей в целевой группе профиля.

Управление: FAU_SAA.3

Дзя функций управления и { класса F.MT может рассматриваться следующее действие.

а) Сопровождение (удаление, модификация, добавление) подмножества событий системы.

Управление: FAU SAA.4

Дзя функций управления из класса FMT могут рассматриваться следующие действия.

а)    Сопровождение (удаление, модификация, добавление) подмножества событий системы.

б)    Сопровождение (удаление, модификация, добавление) набора последовательностей событий системы.

14