А.9 Требования безопасности (ASE_REQ) ГОСТ Р ИСО/МЭК 15408-1-2012

Требования безопасности включают две группы требований:

  1. функциональные требования безопасности (ФТБ): перевод целей безопасности для ОО на некоторый стандартизированный язык;
  2. требования доверия к безопасности (ТДБ): описание того, каким образом должно быть получено доверие к тому, что ОО удовлетворяет ФТБ.

Эти две группы требований безопасности рассматриваются в 9.1 и 9.2 [из А.9 Требования безопасности (ASE_REQ) ГОСТ Р ИСО/МЭК 15408–1–2012]

А.9.1 Функциональные требования безопасности ГОСТ Р ИСО/МЭК 15408-1-2012

ФТБ являются результатом преобразования целей безопасности для ОО. ФТБ обычно представлены на более детальном уровне абстракции, но они должны быть полным представлением (цели безопасности должны быть полностью учтены) и быть независимыми от любого конкретного технического решения (реализации). ИСО/МЭК 15408 требует их представления на некотором стандартизированном языке по следующим причинам:

  • чтобы обеспечить точное описание того, что подлежит оценке. Поскольку цели безопасности для ОО обычно формулируются на естественном языке, перевод их на стандартизированный язык способствует более точному описанию функциональных возможностей ОО;
  • чтобы обеспечить сопоставление двух ЗБ. В то время как различные разработчики ЗБ могут использовать различную терминологию при описании целей безопасности, стандартизированный язык обеспечивает использование единой терминологии и понятий при изложении требований безопасности. Это позволяет легко сравнивать ЗБ.

ИСО/МЭК 15408 не требует перевода на стандартизированный язык целей безопасности для среды функционирования, так как среда функционирования не оценивается и поэтому не требует описания, направленного на ее оценку. См. пункты раздела «Библиография», относящиеся к оценке безопасности автоматизированных систем.

Могут быть ситуации, когда части среды функционирования оценены в процессе другой оценки, но это — вне области действия текущей оценки. Например, для ОО «ОС» может потребоваться, чтобы в его среде функционирования присутствовал межсетевой экран. Межсетевой экран может быть оценен в рамках другой оценки, но такая оценка не имеет никакого отношения к оценке ОО «ОС» [из А.9.1 Функциональные требования безопасности ГОСТ Р ИСО/МЭК 15408–1–2012]

А.9.1.1 Способы преобразования целей безопасности в требования безопасности, поддерживаемые ГОСТ Р ИСО/МЭК 15408-1-2012

ИСО/МЭК 15408 поддерживает преобразование целей безопасности в требования безопасности тремя способами:

  1. путем предоставления предопределенного «точного языка», разработанного в целях точного описания того, что подлежит оценке. Этот язык определяется как совокупность компонентов, определенных в ИСО/МЭК 15408–2. Использование этого языка для четкого преобразования целей безопасности для ОО в ФТБ является обязательным, хотя существуют некоторые исключения (см. 7.3);
  2. путем предоставления операций — механизм, который позволяет разработчику ЗБ модифицировать ФТБ, чтобы обеспечить более точный учет целей безопасности для ОО. В данной части ИСО/МЭК 15408 определены четыре допустимые операции: назначение, выбор, итерация и уточнение. Дальнейшее их рассмотрение представлено в С.2 (приложение С);
  3. путем определения зависимостей — механизм, который поддерживает более полное преобразование целей безопасности для ОО в ФТБ. На языке ИСО/МЭК 15408–2 ФТБ может иметь зависимости от других ФТБ. Это указывает, что если в ЗБ используется данное ФТБ, то в общем случае в ЗБ должны также быть использованы и ФТБ, от которых оно зависит. Это уменьшает для разработчика ЗБ возможность упустить включение в ЗБ необходимых ФТБ и таким образом улучшает полноту ЗБ. Дальнейшее рассмотрение зависимостей представлено в 7.2.

[из А.9.1.1 Способы преобразования целей безопасности в требования безопасности, поддерживаемые ГОСТ Р ИСО/МЭК 15408–1–2012]

А.9.1.2 Взаимосвязь между ФТБ и целями безопасности ГОСТ Р ИСО/МЭК 15408-1-2012

ЗБ также содержит «Обоснование требований безопасности», включающее два пункта, касающихся ФТБ:

[из А.9.1.2 Взаимосвязь между ФТБ и целями безопасности ГОСТ Р ИСО/МЭК 15408–1–2012]

А.9.1.2.1 Прослеживание ФТБ к целям безопасности для ОО ГОСТ Р ИСО/МЭК 15408-1-2012

Прослеживание показывает, каким образом ФТБ сопоставлены с целями безопасности для ОО, обеспечивая при этом следующее:

  • Отсутствие избыточных ФТБ: каждое ФТБ сопоставлено, по крайней мере, с одной целью безопасности.
  • Полнота по отношению к целям безопасности для ОО: для каждой цели безопасности для ОО имеется, по крайней мере, одно ФТБ, сопоставленное с ней.

Несколько ФТБ могут быть сопоставлены с одной и той же целью безопасности для ОО, указывая на то, что сочетание этих требований безопасности удовлетворяет данную цель безопасности для ОО [из А.9.1.2.1 Прослеживание ФТБ к целям безопасности для ОО ГОСТ Р ИСО/МЭК 15408–1–2012]

А.9.1.2.2 Предоставление логического обоснования для сопоставления ГОСТ Р ИСО/МЭК 15408-1-2012

Обоснование требований безопасности демонстрирует, что сопоставление является надлежащим: если все ФТБ, сопоставленные с конкретной целью безопасности для ОО, удовлетворены, то эта цель безопасности для ОО достигнута.

Данная демонстрация должна содержать результаты анализа эффекта от удовлетворения соответствующего ФТБ при достижении конкретной цели безопасности для ОО и приводить к заключению, что это действительно так.

В случаях, когда ФТБ являются очень близкими к изложению целей безопасности для ОО, демонстрация может быть очень простой [из А.9.1.2.2 Предоставление логического обоснования для сопоставления ГОСТ Р ИСО/МЭК 15408–1–2012]

А.9.2 Требования доверия к безопасности (ТДБ) ГОСТ Р ИСО/МЭК 15408-1-2012

ТДБ — описание того, каким образом должен быть оценен ОО. В данном описании используется стандартизированный язык по следующим причинам:

  • чтобы обеспечить точное описание того, каким образом ОО должен быть оценен. Использование стандартизированного языка способствует точному описанию и исключению неоднозначности;
  • чтобы обеспечить сопоставление двух ЗБ. В то время как различные разработчики ЗБ могут использовать различную терминологию, стандартизированный язык обеспечивает использование единой терминологии и понятий. Это позволяет легко сравнивать ЗБ.

Рассматриваемый стандартизированный язык определяется как совокупность компонентов, определенных в ИСО/МЭК 15408–3. Использование этого языка является обязательным, хотя существуют некоторые исключения. ИСО/МЭК 15408 (все части) усиливает этот язык по двум направлениям:

  1. путем предоставления операций — механизм, который позволяет разработчику ЗБ модифицировать ТДБ. В данной части ИСО/МЭК 15408 определены четыре допустимые операции: назначение, выбор, итерация и уточнение. Дальнейшее их рассмотрение представлено в С.2 (приложение С);
  2. путем определения зависимостей — механизм, который поддерживает более полное выражение ТДБ. На языке ИСО/МЭК 15408–3 ТДБ может иметь зависимости от других ТДБ. Это указывает, что если в ЗБ используется данное ТДБ, то в общем случае должны также использоваться и ТДБ, от которых оно зависит. Это уменьшает для разработчика ЗБ возможность упустить включение в ЗБ необходимых ТДБ и, таким образом, улучшает полноту ЗБ. Более подробное рассмотрение зависимостей представлено в 7.2.

[из А.9.2 Требования доверия к безопасности (ТДБ) ГОСТ Р ИСО/МЭК 15408–1–2012]

А.9.3 ТДБ и обоснование требований безопасности ГОСТ Р ИСО/МЭК 15408-1-2012

ЗБ также содержит обоснование требований безопасности, которое содержит аргументы, позволяющие считать конкретную совокупность ТДБ надлежащей. Каких–либо конкретных требований к такому обоснованию не предъявляется. Цель этого обоснования заключается в том, чтобы обеспечить пользователям ЗБ понимание причины выбора конкретной совокупности ТДБ.

Примером несогласованности является ситуация, когда в «Описании проблемы безопасности» присутствуют угрозы, источник которых (нарушитель) обладает достаточными возможностями, а в совокупность ТДБ включен младший компонент из семейства AVA_VAN или вообще не включен никакой компонент из данного семейства [из А.9.3 ТДБ и обоснование требований безопасности ГОСТ Р ИСО/МЭК 15408–1–2012]

А.9.4 Требования безопасности: заключение ГОСТ Р ИСО/МЭК 15408-1-2012

В ЗБ в «Определении проблемы безопасности» определяется проблема безопасности, которая включает угрозы, ПБОр и предположения. В разделе ЗБ «Цели безопасности» решение проблемы безопасности подразделяется на две части:

Кроме того, приводится обоснование целей безопасности, показывающее, что если все цели безопасности достигнуты, то проблема безопасности решена: всем угрозам обеспечено противостояние, все ПБОр осуществлены и все предположения реализованы.

В разделе ЗБ «Требования безопасности» цели безопасности для ОО преобразуются в ФТБ и предоставляется обоснование требований безопасности, показывающее, что если все ФТБ удовлетворены, то все цели безопасности для ОО достигнуты.

Кроме того, здесь приводится совокупность ТДБ, чтобы показать, каким образом оценивается ОО, а также — пояснение выбора этих ТДБ.

Все вышеупомянутое может быть объединено в рамках следующего утверждения. Если все ФТБ и ТДБ удовлетворены и все цели безопасности для среды функционирования достигнуты, то имеется доверие к тому, что проблема безопасности, определенная в соответствии с ASE_SPD, решена: всем угрозам обеспечено противостояние, все ПБОр осуществлены и все предположения реализованы. Данное утверждение проиллюстрировано на рисунке АЗ.

- Взаимосвязь между определением проблемы безопасности, целями безопасности и требованиями безопасности

Рисунок А.З — Взаимосвязь между определением проблемы безопасности, целями безопасности и требованиями безопасности

Объем приобретенного доверия определяется ТДБ, а достаточность этого объема доверия определяется пояснением выбора ТДБ [из А.9.4 Требования безопасности: заключение ГОСТ Р ИСО/МЭК 15408–1–2012]