Общие критерии оценки безопасности информационных технологий, версия 3.1, часть 1 (называемая CC 3.1 или CC) [1] определяет цель безопасности ( ST ) как «зависящее от реализации заявление о потребностях в безопасности для конкретной идентифицированной цели оценки ( TOE )» . Другими словами, ЗБ определяет границы и детализирует ОО. В процессе оценки продукта в соответствии с CC документ ST предоставляется поставщиком продукта.
ЗБ определяет безопасность информации и функциональные требования для данного продукта информационной системы, который называется целью оценки (ОО). ЗБ - это полное и строгое описание проблемы безопасности с точки зрения описания ОО, угроз, предположений, целей безопасности, функциональных требований безопасности (SFR), требований обеспечения безопасности (SAR) и обоснований. SAR обычно даются в виде цифр от 1 до 7, называемых уровнем гарантии оценки (EAL), что указывает на глубину и строгость оценки безопасности, обычно в форме подтверждающей документации и тестирования, что продукт соответствует требованиям SFR.
ЗБ содержит некоторую (но не очень подробную) информацию, относящуюся к реализации, которая демонстрирует, как продукт соответствует требованиям безопасности. Он может относиться к одному или нескольким профилям защиты (PP). В таком случае ЗБ должно отвечать общим требованиям безопасности, приведенным в каждом из этих ПЗ, и может определять дополнительные требования.
Схема цели безопасности
1. Введение - обзор того, что делает ОО, включая ключевые функции и цель.
- Ссылка ST
- Ссылка на ОО
- Обзор ОО
- Описание ОО
2. Заявления о соответствии - идентифицирует заявления о соответствии для оценки ОО.
- Заявления о соответствии версии CC
- Заявление о соответствии требованиям CC Часть 2
- Заявление о соответствии требованиям CC Часть 3
- Заявления о соответствии ПП - строгое соответствие или доказуемое соответствие
3. Определение проблемы безопасности - описывает угрозы и предположения об операционной среде. Цель - продемонстрировать проблему безопасности, которую должен решать ОО и его операционная среда.
- Угрозы - неблагоприятное действие, выполняемое агентом угрозы в отношении актива. Агенты угроз описываются такими аспектами, как опыт, ресурсы, возможности и мотивация.
- Политики безопасности организации (OSP) - OSP - это набор правил, процедур или руководств безопасности, налагаемых организацией в операционной среде ОО.
- Предположения - сделаны только об операционной среде поведения ОО.
4. Цели безопасности - краткое и абстрактное изложение предполагаемого решения проблемы, указанной в определении проблемы безопасности. Каждая цель безопасности должна быть связана как минимум с одной угрозой или OSP.
1) аспект безопасности, которого необходимо достичь, является целью и задачей использования определенных мер по смягчению последствий, таких как конфиденциальность, целостность, доступность, аутентичность пользователя, авторизация доступа, подотчетность.
2) конфиденциальность, целостность или доступность, необходимые для поддержки применимых основополагающих требований.- [1]
- Цели безопасности для ОО
- Цели безопасности для операционной среды
- Обоснование целей безопасности - набор обоснований, показывающих, что все угрозы и предположения эффективно устраняются целями безопасности.
5. Определение расширенных компонентов - расширенные компоненты должны состоять из измеримых и объективных элементов, соответствие которым может быть продемонстрировано.
6. Требования безопасности - определяет и описывает SFR из части 2 CC и SAR из части 3 CC.
- Функциональные требования безопасности - SFR образуют ясное, недвусмысленное и четко определенное описание ожидаемого поведения безопасности ОО.
- Требования доверия к безопасности - SARs формируют четкое, недвусмысленное и установленное описание ожидаемых действий, которые будут предприняты для получения уверенности в ОО.
- Обоснование требований безопасности - обоснование цели безопасности для ОО демонстрирует, что ФТБ достаточны и необходимы.
7. Краткие спецификации ОО - позволяют оценщикам и потенциальным потребителям получить общее представление о том, как реализован ОО.
- Функции безопасности - функция зоны или тракта для предотвращения несанкционированного электронного вмешательства, которое может повлиять или повлиять на нормальное функционирование устройств и систем в зоне или тракте. Краткая спецификация ОО должна описывать, как ОО соответствует каждому ФТБ.
- Спецификации безопасности ОО - общее представление о том, как разработчик намеревается удовлетворить каждый ФТБ.
Смотрите также
Рекомендации
- ^ Портал общих критериев - http://www.commoncriteriaportal.org/cc/