ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ГОСТ Р исо/мэк 15408-3—

2008

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.

КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Часть 3

Требования доверия к безопасности

ISO/IEC 15408-3:2005 Information technology — Security techniques —

Evaluation criteria for IT security — Part 3: Security assurance requirements

(IDT)

Издание официальное

Москва

Стандартинформ

2009

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации — ГОСТ Р1.0—2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Центр безопасности информации» (ООО «ЦБИ»), Федеральным государственным учреждением «4 Центральный научно-исследовательский институт Министерства обороны России» (ФГУ «4 ЦНИИ Минобороны России»), Федеральным государственным унитарным предприятием «Научно-технический и сертификационный центр по комплексной защите информации» ФГУП Центр «Атомзащитаинформ», Федеральным государственным унитарным предприятием «Центральный научно-исследовательский институт управления, экономики и информации Росатома» (ФГУП «ЦНИИАТОМИНФОРМ») при участии экспертов Международной рабочей группы по Общим критериям на основе собственного аутентичного перевода стандарта, указанного в пункте 4

2    ВНЕСЕН техническим комитетом по стандартизации ТК 362 «Защита информации»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 № 521-ст

4    Настоящий стандарт идентичен международному стандарту ИСО/МЭК 15408-3:2005 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности» (ISO/IEC 15408-3:2005 «Information technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance requirements»).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении С

5    ВЗАМЕН ГОСТ Р ИСО/МЭК 15408-3—2002

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты». а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация. уведомления и тексты размещаются также в информационной системе общего пользования —на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

©Стандартинформ, 2009

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ Р ИСО/МЭК 15408-3 — 2008

Содержание

1    Область применения........................................ 1

2    Нормативные ссылки........................................ 1

3    Термины, определения, обозначения и сокращения........................ 1

4    Краткий обзор........................................... 1

4.1    Структура данной части ИСО/МЭК 15408 ............................ 1

5    Парадигма доверия ИСО/МЭК 15408 ................................ 2

5.1    Основные принципы ИСО/МЭК 15408 .............................. 2

5.2    Подход к доверию....................................... 2

5.3    Шкала оценки доверия в ИСО/МЭК 15408 ............................ 3

6    Требования доверия к безопасности................................ 3

6.1    Структуры............................................ 3

6.2    Классификация компонентов.................................. 8

6.3    Структура класса критериев оценки профиля защиты и задания по безопасности........ 9

6.4    Использование терминов в настоящем стандарте........................ 9

6.5    Классификация доверия....................................10

6.6    Краткий обзор классов и семейств доверия...........................11

7    Критерии оценки профиля защиты и задания по безопасности....................14

7.1    Краткий обзор..........................................14

7.2    Краткий обзор критериев профиля защиты...........................14

7.3    Краткий обзор критериев задания по безопасности.......................15

8    Класс АРЕ. Оценка профиля защиты................................16

8.1    Описание 00(APE_DES)....................................17

8.2    Среда безопасности (APE_ENV)................................17

8.3    Введение ПЗ (APE JNT).....................................18

8.4    Цели безопасности (APE_OBJ).................................18

8.5    Требования безопасности ИТ (APE_REQ)............................19

8.6    Требования безопасности ИТ, сформулированные в явном виде (APE_SRE)..........21

9    Класс ASE. Оценка задания по безопасности............................22

9.1    Описание ОО (ASE_DES)....................................23

9.2    Среда безопасности (ASE_ENV)................................23

9.3    Введение ЗБ (ASE JNT).....................................24

9.4    Цели безопасности (ASE_OBJ).................................24

9.5    Утверждения о соответствии ПЗ (ASE_PPC)...........................25

9.6    Требования безопасности ИТ (ASE_REQ)............................26

9.7    Требования безопасности ИТ, сформулированные в явном виде (ASE_SRE)..........27

9.8    Краткая спецификация ОО (ASE_TSS)..............................29

10    Оценочные уровни доверия.....................................30

10.1    Краткий обзор оценочных уровней доверия..........................30

10.2    Детализация оценочных уровней доверия...........................31

10.3    Оценочный уровень доверия 1 (ОУД1), предусматривающий функциональное тестирование . . 31

10.4    Оценочный уровень доверия 2 (ОУД2), предусматривающий структурное тестирование .... 32

10.5    Оценочный уровень доверия 3 (ОУДЗ), предусматривающий методическое тестирование и

проверку...........................................33

10.6    Оценочный уровень доверия 4 (ОУД4), предусматривающий методическое проектирование,

тестирование и углубленную проверку.............................34

10.7    Оценочный уровень доверия 5 (ОУД5), предусматривающий полуформальное проектирование

и тестирование........................................35

10.8    Оценочный уровень доверия 6 (ОУД6), предусматривающий полуформальную верификацию

проекта и тестирование....................................36

10.9    Оценочный уровень доверия 7 (ОУД7), предусматривающий формальную верификацию

проекта и тестирование....................................38

11    Классы, семейства и компоненты доверия.............................39

12    Класс ACM. Управление конфигурацией..............................39

ГОСТ Р ИСО/МЭК 15408-3 — 2008

12.1    Автоматизация УК (ACM_AUT)..........................

12.2    Возможности УК (АСМ_САР).......................

12.3    Область УК (ACM_SCP).......................

13    Класс ADO. Поставка и эксплуатация......................

13.1    Поставка (ADO_DEL)................................

13.2    Установка, генерация и запуск (ADOJGS)..................

14    Класс ADV. Разработка...............................

14.1    Функциональная спецификация (ADV_FSP)..................

14.2    Проект верхнего уровня (ADV_HLD)......................

14.3    Представление реализации (ADVJMP)...................

14.4    Внутренняя структура ФБО (ADVJNT)....................

14.5    Проект нижнего уровня (ADV_LLD)....................

14.6    Соответствие представлений (ADV_RCR)...................

14.7    Моделирование политики безопасности (ADV SPM).............

15    Класс AGD. Руководства................................

15.1    Руководство администратора (AGD_ADM)....................

15.2    Руководство пользователя (AGD_USR)........................

16    Класс ALC. Поддержка жизненного цикла.........................

16.1    Безопасность разработки (ALC_DVS)...........................

16.2    Устранение недостатков (ALC_FLR).............................

16.3    Определение жизненного цикла (ALC_LCD)...........................

16.4    Инструментальные средства и методы (ALC_TAT).......................

17    Класс АТЕ. Тестирование......................................

17.1    Покрытие (ATE_COV)......................................

17.2    Глубина (ATE_DPT).......................................

17.3    Функциональное тестирование (ATE FUN)...........................

17.4    Независимое тестирование (ATEJND).............................

18    Класс AVA. Оценка уязвимостей..................................

18.1    Анализ скрытых каналов (AVA_CCA)..............................

18.2    Неправильное применение (AVA_MSU).............................

18.3    Стойкость функций безопасности 00 (AVA_SOF)........................

18.4    Анализ уязвимостей (AVA_VLA)................................

Приложение А (справочное) Перекрестные ссылки между компонентами доверия...........

Приложение В (справочное) Перекрестные ссылки ОУД и компонентов доверия............

Приложение С (справочное) Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам......................

ГОСТ Р ИСО/МЭК 15408-3 — 2008

Введение

Международный стандарт ИСО/МЭК 15408:2005 подготовлен Совместным техническим комитетом ИСО/МЭК СТК1 «Информационные технологии», Подкомитетом ПК27 «Методы и средства обеспечения безопасности ИТ». Идентичный стандарту ИСО/МЭК 15408:2005 текст опубликован организациями-спонсо-рами проекта «Общие критерии» как «Общие критерии оценки безопасности информационных технологий», версия 2.3 (ОК, версия 2.3).

Второе издание стандарта (ИСО/МЭК 15408:2005) отменяет и заменяет первое издание (ИСО/МЭК 15408:1999), которое подверглось технической переработке.

ИСО/МЭК 15408 под общим наименованием «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» состоит из следую-щихчастей:

-    часть 1. Введение и общая модель;

-    часть 2. Функциональные требования безопасности;

-    часть 3. Требования доверия к безопасности.

Если имеют в виду все три части стандарта, используют обозначение ИСО/МЭК 15408.

Компоненты доверия к безопасности, определенные в данной части ИСО/МЭК 15408, являются основой для выражения требований доверия к безопасности в профиле защиты (ПЗ) или задании по безопасности (ЗБ).

Данные требования устанавливают стандартный способ выражения требований доверия для объекта оценки (ОО). Данная часть ИСО/МЭК 15408 каталогизирует наборы компонентов, семейств и классов доверия. Данная часть ИСО/МЭК 15408 также определяет критерии для оценки ПЗ и ЗБ и представляет оценочные уровни доверия, которые определяют предопределенную ИСО/МЭК 15408 шкалу для рейтинга доверия к ОО, называемую «оценочными уровнями доверия» (ОУД).

Аудитория для этой части ИСО/МЭК 15408 включает в себя потребителей, разработчиков и оценщиков безопасных ИТ-систем и продуктов. Дополнительная информация о потенциальных пользователях ИСО/МЭК 15408 и использовании ИСО/МЭК 15408 группами, которые включают в себя потенциальных пользователей, представлена в ИСО/МЭК 15408-1, раздел 4. Эти группы могут использовать данную часть ИСО/МЭК 15408 следующим образом:

a)    потребители используют данную часть ИСО/МЭК 15408, выбирая компоненты, чтобы сформулировать требования доверия для удовлетворения целей безопасности, приведенных в ПЗ или ЗБ, определяя требуемые уровни доверия к безопасности ОО. Более подробная информация о взаимосвязях требований безопасности и целей безопасности приведена в ИСО/МЭК 15408-1, подраздел 5.3;

b)    разработчики, несущие ответственность за выполнение существующих или предполагаемых требований безопасности потребителя при разработке ОО, ссылаются на данную часть ИСО/МЭК 15408, интерпретируя утверждения требований доверия и определяя подходы доверия к ОО;

c)    оценщики используют требования доверия, определенные в данной части ИСО/МЭК 15408, как обязательное утверждение критериев оценки, которые определяют доверие к ОО и оценивание ПЗ и ЗБ.

V

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Часть 3

Требования доверия к безопасности

Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance

requirements

Дата введения — 2009—10—01

1    Область применения

Настоящий стандарт устанавливает требования доверия ИСО/МЭК 15408 и включает в себя оценочные уровни доверия (ОУД), определяющие шкалу для измерения доверия, собственно компоненты доверия, из которых составлены уровни доверия, и критерии для оценки ПЗ и ЗБ.

2    Нормативные ссылки

В настоящем стандарте использована ссылка на следующий международный стандарт:

ИСО/МЭК 15408-1:2005 Информационная технология — Методы и средства обеспечения безопасности — Критерии оценки безопасности ИТ — Часть 1: Введение и общая модель

3    Термины, определения, обозначения и сокращения

В настоящем стандарте применены термины, определения, обозначения и сокращения по ИСО/МЭК 15408-1.

4    Краткий обзор

4.1 Структура данной части ИСО/МЭК 15408

В разделе 5 приведено описание парадигмы, используемой в требованиях доверия к безопасности настоящего стандарта.

В разделе 6 приведена структура представления классов, семейств и компонентов доверия, оценочных уровней доверия и их взаимосвязь, а также дана характеристика классам и семействам доверия, представленным в разделах 12—18.

В разделах 7,8 и 9 приведено краткое введение в критерии оценки ПЗ и ЗБ, сопровождаемое подробными объяснениями семейств и компонентов, применяемых для этих оценок.

В разделе 10 приведены детализированные определения оценочных уровней доверия.

В разделе 11 приведено краткое введение в классы доверия, за которым следуют разделы с 12 по 18, содержащие детализированные определения этих классов доверия.

В приложении А приведена сводка зависимостей между компонентами доверия.

В приложении В приведены перекрестные ссылки между ОУД и компонентами доверия.

Издание официальное

5 Парадигма доверия ИСО/МЭК 15408

Цель данного раздела состоит в изложении основных принципов и подходов к установлению доверия к безопасности. Данный раздел позволит читателю понять логику построения требований доверия в настоящем стандарте.

5.1    Основные принципы ИСО/МЭК 15408

Основные принципы ИСО/МЭК 15408 состоят в том, что следует четко сформулировать угрозы безопасности и положения политики безопасности организации, а достаточность предложенных мер безопасности должна быть продемонстрирована.

Более того, следует принять меры по уменьшению вероятности наличия уязвимостей, возможности их проявления (то есть преднамеренного использования или непреднамеренной активизации), а также степени ущерба, который может явиться следствием проявления уязвимостей. Дополнительно следует предпринять меры по облегчению последующей идентификации уязвимостей, а также их устранению, ослаблению и/или оповещению об их использовании или активизации.

5.2    Подход к доверию

Основная концепция ИСО/МЭК 15408 — обеспечение доверия, основанное на оценке (активном исследовании) продукта или системы ИТ. которые должны соответствовать определенным критериям безопасности. Оценка была традиционным способом обеспечения доверия и являлась основой предшествующих критериев оценки. Для согласования с существующими подходами в ИСО/МЭК 15408 принят тот же основной принцип. В ИСО/МЭК 15408 предполагается, что проверку правильности документации и разработанного продукта или системы ИТ будут проводить опытные оценщики, уделяя особое внимание области, глубине и строгости оценки.

ИСО/МЭК 15408 не отрицает и не комментирует относительные достоинства других способов получения доверия. Продолжаются исследования альтернативных путей достижения доверия. Если в результате этих исследований будут выявлены другие отработанные альтернативные подходы, то они могут в дальнейшем быть включены в ИСО/МЭК 15408, который структурно организован так, что предусматривает такую возможность.

5.2.1    Значимость уязвимостей

Предполагается, что существуют нарушители, которые будут пытаться активно использовать возможности нарушения политики безопасности как для получения незаконной выгоды, так и для незлонамеренных, но, тем не менее, опасных действий. Нарушители могут также случайно активизировать уязвимости безопасности, причиняя вред организации. При необходимости обрабатывать чувствительную информацию и отсутствии в достаточной степени доверенных продуктов или систем имеется значительный риск из-за отказов ИТ. Поэтому нарушения безопасности ИТ могут вызвать значительные потери.

Нарушения безопасности ИТ возникают вследствие преднамеренного использования или случайной активизации уязвимостей при применении ИТ по назначению.

Следует предпринять ряд шагов для предотвращения уязвимостей, возникающих в продуктах и системах ИТ. По возможности уязвимости должны быть:

a)    устранены, то есть следует предпринять активные действия для выявления, а затем удаления или нейтрализации всех уязвимостей, которые могут проявиться:

b)    минимизированы, то есть следует предпринять активные действия для снижения до допустимого остаточного уровня возможного ущерба от любого проявления уязвимостей:

c)    отслежены, то есть следует предпринять активные действия для обнаружения любой попытки использовать оставшиеся уязвимости с тем, чтобы ограничить ущерб.

5.2.2    Причины уязвимостей

Уязвимости могут возникать из-за недостатков:

a)    требований, то есть продукт или система ИТ могут обладать требуемыми от них функциями и свойствами, но содержать уязвимости, которые делают их непригодными или неэффективными в части безопасности:

b)    проектирования, то есть продукт или система ИТ не отвечают спецификации, и/или уязвимости являются следствием некачественных стандартов проектирования или неправильных проектных решений;

c)    эксплуатации, то есть продукт или система ИТ разработаны в полном соответствии с корректными спецификациями, но уязвимости возникают как результат неадекватного управления при эксплуатации.

2

ГОСТ Р ИСО/МЭК 15408-3 — 2008

5.2.3    Доверие в ИСО/МЭК 15408

Доверие — основа для уверенности в том. что продукт или система ИТ отвечают целям безопасности. Доверие могло бы быть получено путем обращения к таким источникам, как бездоказательное утверждение, предшествующий аналогичный опыт или специфический опыт. Однако ИСО/МЭК 15408 обеспечивает доверие с использованием активного исследования. Активное исследование — это оценка продукта или системы ИТ для определения его свойств безопасности.

5.2.4    Доверие через оценку

Оценка является традиционным способом достижения доверия, и она положена в основу ИСО/МЭК 15408. Методы оценки могут, в частности, включать в себя:

a)    анализ и проверку процессов и процедур:

b)    проверку того, что процессы и процедуры действительно применяются;

c)    анализ соответствия между представлениями проекта ОО;

d)    анализ соответствия каждого представления проекта ОО требованиям:

e)    верификацию доказательств;

f)    анализ руководств;

д) анализ разработанных функциональных тестов и полученных результатов:

h)    независимое функциональное тестирование;

i)    анализ уязвимостей, включающий в себя предположения о недостатках;

j)    тестирование проникновения.

5.3 Шкала оценки доверия в ИСО/МЭК 15408

Основные принципы ИСО/МЭК 15408 содержат утверждение, что большее доверие является результатом приложения больших усилий при оценке и что цель состоит в применении минимальных усилий, требуемых для обеспечения необходимого уровня доверия. Повышение уровня усилий может быть основано на:

a)    области охвата, то есть увеличении рассматриваемой части продукта или системы ИТ;

b)    глубине, то есть детализации рассматриваемых проектных материалов и реализации;

c)    строгости, то есть применении более структурированного и формального подхода.

6 Требования доверия к безопасности

6.1    Структуры

Следующие пункты описывают конструкции, используемые в представлении классов, семейств и компонентов доверия, оценочных уровней доверия, и их взаимосвязь.

Требования доверия, определенные в настоящем стандарте, показаны на рисунке 1. Наиболее общую совокупность требований доверия называют «классом». Каждый класс содержит «семейства» доверия, которые разделены на «компоненты» доверия, содержащие, в свою очередь, «элементы» доверия. Классы и семейства используют для обеспечения таксономии классифицируемых требований доверия, в то время как компоненты применяют непосредственно для спецификации требований доверия в ПЗ/ЗБ.

6.1.1    Структура класса

Структура класса доверия показана на рисунке 1.

6.1.1.1    Имя класса

Каждому классу доверия присвоено уникальное имя. Это имя указывает на тематические разделы, на которые распространяется данный класс доверия.

В настоящем стандарте предусмотрена также уникальная краткая форма имени класса доверия. Она является основным средством для ссылки на класс доверия и включает в себя латинскую букву «А», за которой следуют еще две буквы латинского алфавита, относящиеся к имени класса.

6.1.1.2    Представление класса

Каждый класс доверия имеет вводный подраздел, в котором изложены состав и назначение класса.

6.1.1.3    Семейства доверия

Каждый класс доверия содержит, по меньшей мере, одно семейство доверия. Структура семейств доверия описана в 6.1.2.

3

ГОСТ Р ИСО/МЭК 15408-3 — 2008

6.1.2.2    Цели

Пункт целей семейства доверия представляет назначение семейства доверия.

В нем изложены цели, для достижения которых предназначено семейство, особенно связанные с парадигмой доверия ИСО/МЭК 15408. Описание целей для семейства доверия представлено в общем виде. Любые конкретные подробности, требуемые для достижения целей, включены в конкретный компонент доверия.

6.1.2.3    Ранжирование компонентов

Каждое семейство доверия содержит один или несколько компонентов доверия. Этот пункт семейства доверия содержит описание имеющихся компонентов и объяснение их отличительных признаков. Его основная цель состоит в указании различий между компонентами при принятии решения о том, что семейство является необходимой или полезной частью требований доверия для ПЗ/ЗБ.

В семействах доверия, содержащих более одного компонента, выполнено ранжирование компонентов и приведено его обоснование. Это обоснование сформулировано в терминах области применения, глубины и/или строгости.

6.1.2.4    Замечания по применению

Необязательный пункт замечаний по применению семейства доверия содержит дополнительную информацию о семействе. Эта информация предназначена непосредственно для пользователей семейства доверия (например, разработчиков ПЗ и ЗБ, проектировщиков 00. оценщиков). Представление неформально и включает в себя, например предупреждения об ограничениях использования или областях, требующих особого внимания.

6.1.2.5    Компоненты доверия

Каждое семейство содержит как минимум один компонент доверия. Структура компонентов доверия представлена в 6.1.3.

6.1.3 Структура компонента доверия

Структура компонента доверия показана на рисунке 2.

Отношения между компонентами в пределах семейства показаны в настоящем стандарте с использованием выделения шрифтом. Те части требований, которые являются новыми, расширенными или модифицированными по сравнению с требованиями предыдущего по иерархии компонента, выделены полужирным шрифтом.

6.1.3.1 Идентификация компонента

Пункт идентификации компонента содержит описательную информацию, необходимую для идентификации, категорирования, регистрации и ссылок на компонент.

Каждому компоненту доверия присвоено уникальное имя. Это имя содержит информацию о тематических разделах, на которые распространяется компонент доверия. Каждый компонент доверия входит в состав конкретного семейства доверия, с которым имеет общую цель безопасности.

В настоящем стандарте предусмотрена также уникальная краткая форма имени компонента доверия. Она является основным средством для ссылки на компонент доверия и включает в себя краткую форму имени семейства, после которой ставится точка, а затем — цифра. Цифры для компонентов в пределах каждого семейства назначены последовательно, начиная с единицы.

5