Из ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

ГОСТ Р ИСО/МЭК 15408–1–2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model. УДК 681.324:006.354 ОКС 35.040 П85 ОКСТУ 4002. Редакция от 16.12.2023.

7.1 Операции ГОСТ Р ИСО/МЭК 15408-1-2012

Функциональные компоненты и компоненты доверия из ИСО/МЭК 15408 можно использовать точно так, как они сформулированы в ИСО/МЭК 15408–2 и ИСО/МЭК 15408–3, или же можно их конкретизировать, применяя разрешенные операции. При использовании операций разработчик ПЗ/ЗБ должен также отследить, чтобы зависимости других требований, которые зависят от данного требования, были удовлетворены. Разрешенные операции выбирают из следующей совокупности:

  1. итерация (iteration): позволяет неоднократно использовать компонент при различном выполнении в нем операций;
  2. назначение (assignment): позволяет определять параметры;
  3. выбор (selection): позволяет выбирать один или более пунктов из перечня;
  4. уточнение (refinement): позволяет осуществлять детализацию.

Операции «назначение» и «выбор» разрешены только в тех местах компонента, где они специально обозначены. Операции «назначение» и «выбор» разрешены для всех компонентов. Ниже операции описаны более детально.

Приложения ИСО/МЭК 15408–2 предоставляют руководство по допустимому выполнению операций выбора и назначения. Это руководство предоставляет нормативные инструкции по тому, как выполнять операции, и этим инструкциям необходимо следовать, если разработчик ПЗ/ЗБ логически не обоснует отклонение от этих инструкций:

  1. «Нет» допускается как вариант выполнения выбора только если он явным образом предусмотрен. Списки, предусмотренные для выполнения операций выбора, не должны быть пустыми. Если выбран вариант «Нет», не могут быть выбраны никакие другие дополнительные варианты. Если «Нет» не предусмотрено в качестве варианта выбора, допускается сочетание вариантов в операции выбора с союзами «и» и «или», если в операции выбора в явном виде не определено «выбрать одно из». Операции выбора при необходимости можно сочетать с итерацией. В этом случае применение выбранного варианта для каждой итерации не должно пересекаться с предметом другой итерации выбора, так как они должны быть уникальными.
  2. По отношению к выполнению операций назначения необходимо обратиться к приложениям ИСО/МЭК 15408–2, чтобы определить, когда «Нет» является допустимым выполнением.

[из 7.1 Операции ГОСТ Р ИСО/МЭК 15408–1–2012]

    7.1.1 Операция «итерация» ГОСТ Р ИСО/МЭК 15408-1-2012

    Операция «итерация» может быть выполнена по отношению к любому компоненту. Разработчик ПЗ/ЗБ выполняет операцию «итерация» путем включения в ПЗ/ЗБ нескольких требований, основанных на одном и том же компоненте. Каждая итерация компонента должна отличаться от всех других итераций этого компонента, что реализуется завершением по–другому операций «назначение» и «выбор» или применением по–другому операции «уточнение».

    Различные итерации следует уникально идентифицировать, чтобы обеспечить четкое обоснование и прослеживаемость от или к этим требованиям.

    В ряде случаев операция «итерация» может быть выполнена по отношению к компоненту, для которого вместо его итерации можно было бы выполнить операцию «назначение», указав диапазон или список значений. В этом случае разработчик ПЗ/ЗБ может выбрать наиболее подходящую альтернативу, решив с учетом всех обстоятельств, есть ли потребность предоставления единого обоснования для всего диапазона значений или необходимо иметь отдельное обоснование для каждого из значений. Разработчику также следует обратить внимание на то, требуется ли отдельное прослеживание для этих значений [из 7.1.1 Операция «итерация» ГОСТ Р ИСО/МЭК 15408–1–2012]

      7.1.2 Операция «назначение» ГОСТ Р ИСО/МЭК 15408-1-2012

      Операцию «назначение» осуществляют тогда, когда рассматриваемый компонент включает элемент с некоторым параметром, значение которого может быть установлено разработчиком ПЗ/ЗБ. Параметром может быть ничем не ограниченная переменная или правило, которое ограничивает переменную конкретным диапазоном значений.

      Каждый раз, когда элемент в ПЗ предусматривает операцию «назначение», разработчик ПЗ должен выполнить одно из четырех действий:

      1. оставить операцию «назначение» полностью невыполненной. Разработчик ПЗ, например, мог бы включить в ПЗ FIA_AFL.1.2 «При достижении или превышении определенного числа неуспешных попыток аутентификации ФБО должны выполнить [назначение: список действий]»;
      2. полностью выполнить операцию «назначение». Например, разработчик ПЗ мог бы включить в ПЗ FIA_AFL.1.2 «При достижении или превышении определенного числа неуспешных попыток аутентификации ФБО должны предотвращать в дальнейшем привязку соответствующей внешней сущности (Внешняя сущность (external entity) по ГОСТ Р ИСО/МЭК 15408–1–2012, Внешняя сущность (external entity) по ГОСТ Р ИСО/МЭК 15408-1-2012, /46611) к какому–либо субъекту»;
      3. ограничить операцию «назначение», чтобы в дальнейшем ограничить диапазон допустимых значений. Например, разработчик ПЗ мог бы включить в ПЗ FIA_AFL.1.1 «ФБО должны обнаружить, когда произойдет [назначение: положительное целое число от 4 до 9] неуспешных попыток аутентификации ...»;
      4. преобразовать «назначение» в «выбор», ограничивая таким образом «назначение». Например, разработчик ПЗ мог бы включить в ПЗ FIA_AFL.1.2 «При достижении или превышении определенного числа неуспешных попыток аутентификации ФБО должны [выбор: предотвращать в дальнейшем привязку соответствующего пользователя к какому–либо субъекту, уведомлять администратора]».

      Каждый раз, когда элемент в ЗБ предусматривает операцию «назначение», разработчик ЗБ должен завершить выполнение этой операции «назначение», как указано выше в варианте b). Варианты а), с) и d) для ЗБ не допускаются.

      Значения, определенные в вариантах b), с) и d), должны соответствовать указанному типу значений, требуемому для данного «назначения».

      Когда «назначение» должно быть завершено определением некоторой совокупности, например субъектов, в «назначении» можно перечислить совокупность этих субъектов, но также можно привести некоторое описание этой совокупности, на основе которого могут быть определены элементы совокупности, такое как:

      • все субъекты;
      • все субъекты типа X;
      • все субъекты, кроме субъекта А, при условии, что понятно, какие субъекты имеются в виду.

      [из 7.1.2 Операция «назначение» ГОСТ Р ИСО/МЭК 15408–1–2012]

        7.1.3 Операция «выбор» ГОСТ Р ИСО/МЭК 15408-1-2012

        Операцию «выбор» осуществляют тогда, когда рассматриваемый компонент включает элемент, в котором разработчиком ПЗ/ЗБ должен быть сделан выбор из нескольких пунктов.

        Каждый раз, когда элемент в ПЗ предусматривает операцию «выбор», разработчик ПЗ может выполнить одно из трех действий:

        1. оставить операцию «выбор» полностью невыполненной;
        2. полностью выполнить операцию «выбор» путем выбора одного или более пунктов;
        3. ограничить операцию «выбор», удалив некоторые из вариантов, но оставив два или более.

        Каждый раз, когда элемент в ЗБ предусматривает операцию «выбор», разработчик ЗБ должен завершить выполнение этой операции «выбор», как указано выше в варианте b). Варианты а) и с) для ЗБ не допускаются.

        Пункт или пункты, выбранные при выполнении действий по вариантам b) и с), должны быть взяты из пунктов, предоставленных для выбора [из 7.1.3 Операция «выбор» ГОСТ Р ИСО/МЭК 15408–1–2012]

          7.1.4 Операция «уточнение» ГОСТ Р ИСО/МЭК 15408-1-2012

          Операция «уточнение» может быть выполнена по отношению к любому требованию. Разработчик ПЗ/ЗБ выполняет уточнение путем изменения требования. Первое правило по отношению к уточнению состоит в том, чтобы ОО, удовлетворяющий уточненному требованию, также удовлетворял неуточненному требованию в контексте ПЗ/ЗБ (т. е. уточненное требование должно быть «более строгим», чем исходное требование). Если уточнение не удовлетворяет этому правилу, то результирующее уточненное требование считается расширенным требованием и будет рассматриваться как таковое.

          Единственное исключение из этого правила состоит в том, что допускается, чтобы разработчик ПЗ/ЗБ уточнил ФТБ для его применения по отношению к некоторым, но не ко всем субъектам, объектам, операциям, атрибутам безопасности и (или) внешним сущностям (Внешняя сущность (external entity) по ГОСТ Р ИСО/МЭК 15408–1–2012, Внешняя сущность (external entity) по ГОСТ Р ИСО/МЭК 15408-1-2012, /46611).

          Однако это исключение не относится к уточнению ФТБ, которые взяты из ПЗ, о соответствии которым заявлено; эти ФТБ не могут быть уточнены таким образом, чтобы относиться к меньшему количеству субъектов, объектов, операций, атрибутов безопасности и (или) внешних сущностей, чем ФТБ в ПЗ.

          Второе правило по отношению к уточнению состоит в том, что уточнение должно быть связано с исходным компонентом.

          Особым случаем уточнения является редакционное уточнение, когда в требование вносят небольшие изменения, такие как перефразирование предложения, чтобы сделать его более понятным читателю. Не допускается, чтобы эти изменения каким–либо образом изменяли смысл требования [из 7.1.4 Операция «уточнение» ГОСТ Р ИСО/МЭК 15408–1–2012]

            7.2 Зависимости между компонентами ГОСТ Р ИСО/МЭК 15408-1-2012

            Между компонентами могут существовать зависимости. Зависимости возникают, когда компонент не самодостаточен и предполагает наличие другого компонента для обеспечения функциональных возможностей безопасности или доверия к безопасности.

            Функциональные компоненты в ИСО/МЭК 15408–2 обычно имеют зависимости от других функциональных компонентов, также как некоторые компоненты доверия в ИСО/МЭК 15408–3 могут иметь зависимости от других компонентов ИСО/МЭК 15408–3. Могут быть также определены зависимости компонентов из ИСО/МЭК 15408–2 от компонентов из ИСО/МЭК 15408–3. Не исключено также наличие зависимостей расширенных функциональных компонентов от компонентов доверия или наоборот.

            Описание зависимостей компонентов определяется с учетом определений компонентов в ИСО/МЭК 15408–2 и ИСО/МЭК 15408–3. Чтобы обеспечить полноту требований к ОО, следует удовлетворить зависимости компонентов при включении в ПЗ и ЗБ требований, основанных на компонентах, имеющих зависимости. Зависимости следует также учитывать при формировании пакетов.

            Другими словами, если компонент А имеет зависимость от компонента Б, это означает, что когда ПЗ/ЗБ содержит требование безопасности, основанное на компоненте А, ПЗ/ЗБ должен также содержать одно из следующего:

            1. требование безопасности, основанное на компоненте Б;
            2. требование безопасности, основанное на компоненте, более высоком по иерархии по отношению к Б;
            3. обоснование, почему ПЗ/ЗБ не содержит требования безопасности, основанного на компоненте Б.

            В случаях а) и б), когда требование безопасности включено вследствие наличия зависимости, может быть необходимым выполнить операции (назначение, итерация, уточнение, выбор) по отношению к этому требованию безопасности таким образом, чтобы обеспечить уверенность в том, что оно действительно удовлетворяет зависимость.

            В случае с) в обосновании невключения требования следует отражать:

            • либо почему нет необходимости в зависимости;
            • либо, что зависимость учтена средой функционирования ОО; в данном случае в обосновании следует описать, каким образом в целях безопасности для среды функционирования учтена эта зависимость;
            • либо, что зависимость учтена другими ФТБ некоторым другим способом (расширенные ФТБ, сочетание ФТБ и др.).

            [из 7.2 Зависимости между компонентами ГОСТ Р ИСО/МЭК 15408–1–2012]

              7.3 Расширенные компоненты ГОСТ Р ИСО/МЭК 15408-1-2012

              Согласно ИСО/МЭК 15408 необходимо, чтобы требования основывались на компонентах из ИСО/МЭК 15408–2 или ИСО/МЭК 15408–3 с двумя исключениями:

              1. существуют цели безопасности для ОО, которые не могут быть преобразованы в ФТБ из ИСО/МЭК 15408–2, или существуют требования «третьей стороны» (например, законы, стандарты), которые не могут быть преобразованы в ТДБ из ИСО/МЭК 15408–3 (например, относящиеся к оценке криптографии);
              2. цели безопасности могут быть выражены на основе компонентов из ИСО/МЭК 15408–2 и (или) ИСО/МЭК 15408–3, но только с большими трудностями и (или) сложностями.

              В обоих случаях от разработчика ПЗ/ЗБ требуется определить собственные компоненты. Эти вновь определенные компоненты называются расширенными компонентами. Точно определенный расширенный компонент необходим для обеспечения контекста и значения расширенных ФТБ или ТДБ, основанных на этом компоненте.

              После корректного определения новых компонентов разработчик ПЗ/ЗБ может затем базировать одно или более ФТБ или ТДБ на этих вновь определенных расширенных компонентах и использовать ихтаким же образом, как и другие ФТБ и ТДБ. С этого момента не существует каких–либо различий между ФТБ и ТДБ, основанными на ИСО/МЭК 15408, и ФТБ и ТДБ, основанными на расширенных компонентах. Дополнительные требования к расширенным компонентам изложены в семействах «Определение расширенных компонентов» (APE_ECD) и «Определение расширенных компонентов» (ASE_ECD) ИСО/МЭК 15408–3 [из 7.3 Расширенные компоненты ГОСТ Р ИСО/МЭК 15408–1–2012]

                8.1 Введение ГОСТ Р ИСО/МЭК 15408-1-2012

                Чтобы дать возможность заинтересованным группам или сообществам потребителей выражать свои потребности безопасности и облегчить разработку ЗБ, данная часть ИСО/МЭК 15408 предоставляет две специальные конструкции: пакеты и профили защиты (ПЗ). В 8.2 и 8.3 эти конструкции описаны более подробно. В 8.4 объясняется, как эти конструкции могут быть использованы [из 8.1 Введение ГОСТ Р ИСО/МЭК 15408–1–2012]

                  8.2 Пакеты ГОСТ Р ИСО/МЭК 15408-1-2012

                  Пакет — это именованный набор требований безопасности. Пакеты делятся на:

                  Смешанные пакеты, включающие как ФТБ, так и ТДБ, не допустимы.

                  Пакет может быть определен какой–либо стороной и предназначен для многократного использования. Для этой цели он должен включать требования, которые в сочетании являются полезными и эффективными.

                  Пакеты могут использоваться при создании более крупных пакетов, ПЗ и ЗБ. В настоящее время не существует критериев оценки пакетов, поэтому любой набор ФТБ или ТДБ может быть пакетом.

                  Примерами пакетов доверия являются оценочные уровни доверия (ОУД), определенные в ИСО/МЭК 15408–3 [из 8.2 Пакеты ГОСТ Р ИСО/МЭК 15408–1–2012]

                    Страницы

                    Подписка на Из ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель