Профиль защиты для многоуровневых операционных систем в средах, требующих среднюю робастность



страница19/19
Дата05.03.2019
Размер1.38 Mb.
ТипРеферат
1   ...   11   12   13   14   15   16   17   18   19

7.3Обоснование требований


Каждая из целей безопасности, указанных в разделах 7.1 и 7.2, удовлетворяется совокупностью требований безопасности. В таблице, приведенной ниже, представлена взаимосвязь между целями и требованиями. Далее дано объяснение представленной взаимосвязи.

Цели, вытекающие из политик/угроз

Требования, удовлетворяющие целям

O.ACCESS

FDP_ACC.2, FDP_ACF.1, FDP_ETC.2, FIA_AFL.1, FIA_UAU.1, FIA_UID.1, FMT_MOF.1, FMT_MSA.1, FMT_MTD.1, FMT_REV.1, FMT_SAE.1, FPT_RVM.1, FTA_SSL.1, FTA_SSL.2, FTA_TAB.1

O.ACCESS_HISTORY

FTA_TAH.1

O.AUDIT_GENERATION

FAU_ARP.1, FAU_GEN.1, FAU_SAA.1, FAU_SEL.1, FDP_ETC.2, FIA_USB.1, FMT_MOF.1, FPT_STM.1, ADV_FSP.2, ADV_HLD.2, ADV­_LLD.1, ADV_SPM.1

O.AUDIT_PROTECTION

FAU_SAR.2, FAU_STG.1, FMT_MOF.1, FMT_MTD.1, ADV_SPM.1

O.AUDIT_REVIEW

FAU_ARP.1, FAU_SAR.1, FPT_STM.1, ADV_FSP.2, ADV_HLD.2, ADV_SPM.1

O.CONFIG_MGMT

ACM_AUT.1, ACM_CAP.4, ACM_SCP.2, ALC_DVS.1, ALC_FLR.2, ALC_LCD.1, ALC_TAT.1

O.DISCRETIONARY_ACCESS

FDP_ACC.2, FDP_ACF.1, FDP_ETC.2, EXT-FDP_ITC.1, FDP_ITC.2, FDP_ITT.1, FIA_USB.1, FMT_MSA.1, FMT_MSA.3, FMT_MTD.1, FMT_REV.1, FPT_RVM.1, ADV_FSP.2, ADV_HLD.2, ADV_LLD.1, ADV_SPM.1

O.DISCRETIONARY_USER_CONTROL

FDP_ACF.1

O.DISPLAY_BANNERS

FIA_UAU.1, FIA_UID.1, FTA_SSL.1, FTA_SSL.2, FTA_TAB.1

O.ENCRYPTED_CHANNEL

FCS_COP.1, FPT_ITT.1, FTP_TRP.1

O.ENCRYPTION_SERVICES

FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4, EXT-FCS_CKM.5, FCS_COP.1, EXT-FCS_COP.2, FIA_USB.1, FMT_MTD.1, FPT_ITT.1, FPT_ITT.3, EXT-FPT_CTST.1,

ADV_FSP.2, ADV_HLD.2, ADV_IMP.2, ADV_INT.1, ADV_LLD.1, ADV_SPM.1



O.INSTALL

ADO_DEL.2, ADO_IGS.1

O.MANAGE

FAU_ARP.1, FAU_GEN.1, FAU_GEN.2, FAU_SAA.1, FAU_SAR.1, FAU_SAR.3, FAU_STG.4, FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, EXT-FCS_CKM.5, FCS_COP.1, EXT-FCS_COP.2, FDP_ETC.2, FDP_ITC.2,

FMT_MOF.1, FMT_MSA.1, FMT_MSA.2, FMT_MSA.3, FMT_MTD.1, FMT_SAE.1, FPT_TST.1, EXT-FPT_CTST.1, ADO_DEL.2, ADO_IGS.1, AGD_ADM.1



O.PENETRATION_TEST

ATE_IND.2, EXT-AVA_CCA.1, AVA_MSU.1, AVA_SOF.1, AVA_VLA.3

O.PROTECT

FDP_ACF.1, FDP_ITC.2, FDP_ITT.1, FDP_RIP.2, FIA_SOS.1, FIA_UAU.1, FIA_UAU.7, FIA_UID.1, FMT_MSA.1, FMT_REV.1, FPT_RVM.1,

FPT_SEP.1, FTA_SSL.1, FTA_SSL.2



O.RECOVERY

FPT_RCV.1, FPT_STM.1, FPT_TRC.1

O.RESIDUAL_INFORMATION

FCS_CKM.4, EXT-FCS_CKM.5, FDP_RIP.2,

FPT_RCV.1, FTA_SSL.1, FTA_SSL.2



O.RESOURCE_SHARING

FRU.RSA.1

O.SELF_PROTECTION

FAU_SAR.2, FAU_STG.1, FDP_ACF.1, FDP_RIP.2, FIA_UAU.1, FIA_UID.1, FMT_MOF.1, FMT_MSA.2, FMT_MTD.1, FMT_REV.1,

FMT_SMR.1, FPT_AMT.1, FPT_ITT.1, FPT_ITT.3, FPT_RCV.1, FPT_RVM.1, FPT_SEP.1, FPT_TDC.1, FPT_TST.1, EXT-FPT_CTST.1



O.SOUND_DESIGN

EXT-FPT_CTST.1, ALC_DVS.1, ALC_FLR.2, ALC_LCD.1, ALC_TAT.1, EXT-AVA_CCA.1, AVA_MSU.1, AVA_SOF.1, AVA_VLA.3, ADV_FSP.2,

ADV_HLD.2, ADV_LLD.1, ADV_RCR.1, ADV_SPM.1



O.SOUND_IMPLEMENTATION

EXT-FPT_CTST.1, ALC_DVS.1, ALC_FLR.2, ALC_LCD.1, ALC_TAT.1, ATE_COV.1, ATE_DPT.2, ATE_FUN.1, ATE_IND.2, EXT-AVA_CCA.1, AVA_MSU.1, AVA_SOF.1, AVA_VLA.3, ADV_FSP.2, ADV_HLD.2, ADV_IMP.2, ADV_INT.1, ADV_LLD.1, ADV_RCR.1

O.TESTING

EXT-FPT_CTST.1, ATE_COV.2, ATE_DPT.2, ATE_FUN.1, ATE_IND.2

O.TRAINED_ ADMIN

FAU_ARP.1, FAU_SAA.1, FAU_SAR.1, FAU_SAR.3, FAU_STG.4, FCS_CKM.1, FCS_CKM.2, FCS_CKM.3,

EXT-FCS_CKM.5, EXT-FCS_COP.2, FDP_ACF.1, FDP_ETC.2, FIA_AFL.1, FMT_MOF.1, FMT_MSA.1, FMT_MSA.2, FMT_MSA.3, FMT_MTD.1, FMT_REV.1, FMT_SAE.1, FPT_TST.1, EXT-FPT_CTST.1, ADO_DEL.2, ADO_IGS.1, AGD_ADM.1



O.TRAINED_USERS

EXT-FCS_CKM.5, FCS_COP.1, FDP_ACF.1,

FDP_ETC.2, FMT_MOF.1, FMT_MSA.1, FMT_MSA.2, FMT_MTD.1, FMT_REV.1, FTA_SSL.1, FTA_SSL.2, FTA_TAB.1, FTA_TAH.1, FTP_TRP.1, AGD_USR.1



O.TRUSTED_PATH

FTP_TRP.1

O.TRUSTED_SYSTEM_OPERATION

EXT-FCS_COP.2. FDP_ITC.2, FIA_AFL.1, FIA_UAU.1, FIA_UAU.7, FIA_UID.1, FMT_SAE.1, FPT_AMT.1, FPT_RCV.1, FPT_STM.1, FPT_TDC.1, FPT_TRC.1,

FPT_TST.1, EXT-FPT_CTST.1, FTA_TAH.1,

FTP_TRP.1, ADO_DEL.2, ADO_IGS.1, AGD_ADM.1


O.TSF_CRYPTOGRAPHIC_INTEGRITY

FCS_CKM.1, EXT-FCS_CKM.5, FCS_COP.1,

FDP_ETC.2, FDP_ITC.2, FPT_ITT.3, FPT_STM.1, FPT_TDC.1, FPT_TRC.1, FTP_TRP.1



O.USER_AUTHENTICATION

FIA_SOS.1, FIA_UAU.1, FMT_MOF.1, FMT_MSA.2, FMT_MTD.1, FMT_SAE.1, FTA_SSL.1, FTA_SSL.2, FTP_TRP.1

ADV_FSP.2, ADV_HLD.2, ADV_LLD.1, ADV_SPM.1



O.USER_IDENTIFICATION

FIA_ATD.1, FIA_UID.1, FIA_USB.1, FMT_SAE.1, FMT_SMR.1, FMT_SMR.3, FTP_TRP.1, ADV_FSP.2, ADV_HLD.2, ADV_LLD.1, ADV_SPM.1

O.VULNERABILITY_ANALYSIS

FMT_MSA.3, EXT-AVA_CCA.1, AVA_MSU.1, AVA_SOF.1, AVA_VLA.3


O.ACCESS. Операционная система должна обеспечивать, чтобы только уполномоченные пользователи получали доступ к ней и к ресурсам, которыми она управляет.

Система позволяет получить доступ к себе и к своим ресурсам только [FPT_RVM.1] в соответствии с политиками управления доступом [FDP_ACC.2, FDP_ACF.1]. При осуществлении этих политик происходит сравнение атрибутов пользователей [FIA_UAU.1, FIA_UID.1] и объектов, находящихся под их управлением, а также объектов, экспортируемых под управлением пользователей [FDP_ETC.2]. При доступе пользователя к системе требуется уведомление о том, что ранее система использовалась надлежащем образом [FTA_TAB.1], и требуется повторная аутентификация [FTA_SSL.2], когда подключение к системе длится слишком долго [FTA_SSL.1]. Только администраторы [FIA_AFL.1] могут получать доступ к административным ресурсам [FMT_MOF.1, FMT_MSA.1] и административным данным [FMT_MTD.1]. Доступ длится до тех пор, пока его не отменили [FMT_REV.1] или пока атрибуты, используемые для определения доступа, не изменяются [FMT_SAE.1].



O.ACCESS_HISTORY. Система должна отображать информацию, связанную с предыдущими попытками установить сеанс.

Информация о предыдущих сеансах отображается для пользователя.



O.AUDIT_GENERATION. Операционная система должна предоставлять возможность обнаруживать и регистрировать значимые для безопасности события, ассоциированные с индивидуальными пользователями.

Значимые для безопасности действия должны быть определены, возможны для аудита [FAU_GEN.1] и способны ассоциироваться с индивидуальными пользователями [FIA_USB.1]. Записи аудита должны быть сгенерированы в соответствии с атрибутами [FAU_SEL.1], выбранными администратором [FMT_MOF.1]. Ассоциированная метка времени должна быть надежной [FPT_STM.1]. Система аудита должна обнаруживать возможные нарушения безопасности [FAU_SAA.1] и предупреждать администратора, когда они происходят [FAU_ARP.1]. Должна генерироваться запись аудита всякий раз, когда устройства, используемые для экспорта данных, изменяют свое состояние (между возможностью экспорта данных с атрибутами безопасности и возможностью экспорта данных без атрибутов безопасности) [FDP_ETC.2].

Механизм аудита описан в терминах его предназначения [ADV_FSP.2] c его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Также определена политика аудита [ADV_SPM.1].

O. AUDIT_PROTECTION. Операционная система должна предоставлять возможность защитить информацию аудита, ассоциированную с индивидуальными пользователями.

Журнал аудита должен быть защищен так, чтобы только уполномоченные пользователи могли получать к нему доступ [FAU_SAR.2]. Для этого должны быть доступны административные функции [FMT_MOF.1, FMT_MTD.1]. Журнал аудита должен быть совершенным [FAU_STG.1]. Политика аудита [ADV_SPM.1] включает описание защиты данных аудита.



O. AUDIT_REVIEW. Операционная система должна предоставлять возможность выборочного просмотра информации аудита, ассоциированной с индивидуальными пользователями.

Уполномоченный администратор должен быть способен просматривать содержимое [FAU_SAR.1] записей аудита и предупреждения о нарушениях [FAU_ARP.1]. При генерации записи должны сортироваться [FPT_STM.1] таким образом, чтобы по записям могли быть воссозданы события.

Политика аудита [ADV_SPM.1] включает описание доступных средств [ADV_HLD.2], необходимых для того, чтобы делать обзор данных аудита [ADV_FSP.2].

O.CONFIG_MGMT. Все изменения в операционной системе и свидетельствах ее разработки должны сопровождаться и контролироваться.

Версии ОО должны отслеживаться [ACM_SCP.2] для того, чтобы предотвратить некорректные изменения в их представлении в течение разработки. Автоматизированная система [ACM_AUT.1] должна сопровождать ОО и ассоциированную с ним документацию [ACM_CAP.4] и отслеживать любые недостатки в безопасности, которые обнаружены в течение разработки. ОО разрабатывается в соответствии с моделью жизненного цикла [ALC_LCD.1]. Меры безопасности, используемые в процессе разработки и сопровождения ОО [ALC_DVS.1], будут документированы наряду с инструментальными средствами, используемыми в течение разработки [ALC_TAT.1], и процедурами для коррекции недостатков, обнаруженных в процессе сопровождения [ALC_FLR.2].



O.DISCRETIONARY_ACCESS. Операционная система должна управлять доступом к ресурсам, основанным на идентификаторах пользователей или групп пользователей.

Дискреционное управление доступом должно иметь определенную область применения [FDP_ACC.2]. Правила политики DAC должны быть определены [FDP_ACF.1]. Атрибуты безопасности объектов [FMT_MTD.1] и субъектов [FIA_USB.1], используемые для осуществления политики DAC [FPT_RVM.1], должны быть определены. Это управление доступом применяется для объектов, экспортируемых в ОДФ [FDP_ETC.2] и импортированных из-за пределов ОДФ [EXT-FDP_ITC.1, FDP_ITC.2] или к и от удаленных ОО [FDP_ITT.1]. Уполномоченные пользователи могут управлять доступом тех лиц, которые имеют доступ к объектам [FMT_MSA.1], и возможность отменять этот доступ [FMT_REV.1]. Защита названных объектов должна быть непрерывна, начиная с момента создания объекта [FMT_MSA.3].

Механизм дискреционного управления доступом описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Определена также политика дискреционного управления доступом [ADV_SPM.1].

O.DISCRETIONARY_USER_CONTROL. Операционная система должна предоставлять возможность уполномоченным пользователям определять, к каким ресурсам может быть получен доступ посредством каких пользователей или групп пользователей.

Владельцы объектов и администраторы [FDP_ACF.1] могут изменять атрибуты объекта, используемые для осуществления дискреционной политики управления доступом.



O.DISPLAY_BANNERS. Система должна отображать информацию, предупреждающую относительно использования ОО.

Прежде чем пользователи будут идентифицированы [FIA_UID.1] и аутентифицированы [FIA_UAU.1] в системе, для них предоставляется сообщение, описывающее правильное использование системы [FTA_TAB.1]. Это сообщение может также отображаться в других случаях, когда пользователи аутентифицируются [FTA_SSL.1, FTA_SSL.2].



O.ENCRYPTED_CHANNEL. Должно использоваться шифрование, чтобы обеспечить конфиденциальность данных ФБО при передаче к разделенным частям ОО.

Операции шифрования [FCS_COP.1] поддерживают безопасную передачу данных ФБО между физически раздельными частями ОО [FPT_ITT.1]. Такой же вид канала может использоваться для реализации коммуникационного маршрута между пользователями и ОО [FTP_TRP.1].



O.ENCRYPTION_SERVICES. Операционная система должна предоставлять доступ к сервисам шифрования уполномоченным пользователям и/или приложениям пользователя.

Криптографические операции [FCS_COP.1, EXT-FCS_COP.2] и сервисы управления ключом [FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4, EXT-FCS_CKM.5] используются для того, чтобы обеспечить сервисы шифрования. Ключи ассоциированы с пользователями [FIA_USB.1] и управляются администратором по криптографии [FMT_MTD.1]. Криптографический модуль, поддерживающий эти сервисы, периодически тестируется [EXT-FPT_CTST.1] для того, чтобы убедиться, что он работает правильно. Данные ФБО должны быть защищены в транзите [FPT_ITT.1, FPT_ITT.3].

Криптографический модуль описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Описание архитектуры [ADV_IMP.2] включает, кроме представления различных модулей, представление криптографического модуля, который должен быть разработан так, чтобы его функционирование осуществлялось в домене, отделенном от других модулей [ADV_INT.1]. Любая политика шифрования должна быть описана [ADV_SPM.1].

O.INSTALL. Операционная система должна быть поставлена и инсталлирована таким способом, который поддерживает безопасность ИТ.

Процедуры безопасной поставки [ADO_DEL.2] и инсталляции [ADO_IGS.1] ОО должны быть документированы.



O.MANAGE. Операционная система должна предоставлять все необходимые функции и возможности для поддержки уполномоченных администраторов при управлении безопасностью системы ИТ.

Процедуры администратора для безопасной поставки [ADO_DEL.2], инсталляции [ADO_IGS.1] и администрирования [AGD_ADM.1] ОО должны быть документированы.

Должно быть средство для осуществления аудита значимых для безопасности событий [FAU_GEN.1, FAU_GEN.2], средства для обзора всех записей аудита [FAU_SAR.1] или выборочных записей [FAU_SAR.3] и средства управления заполнением журнала аудита [FAU_STG.4]. Должны быть в наличии средства для предупреждения администраторов о возможных нарушениях безопасности [FAU_ARP.1] и способ установления правил для определения того, что составляет нарушение безопасности [FAU_SAA.1]. Должны быть средства самотестирования ОО [FPT_TST.1] и криптографического модуля [EXT-FPT_CTST.1].

Должны быть средства управления криптографическими сервисами [FCS_COP.1, EXT-FCS_COP.2] и управления ключами [FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, EXT-FCS_CKM.5]. Должны быть средства, связанные с управлением данных, импортируемых в ОО [FDP_ITC.2] или экспортируемых из ОО [FDP_ETC.2]. Должны быть средства управления функциями безопасности [FMT_MOF.1], данными ФБО [FMT_MTD.1] и атрибутами безопасности [FMT_MSA.1, FMT_MSA.2, FMT_MSA.3], а также средства, адресованные вопросам, связанным с истечением срока действия атрибутов безопасности [FMT_SAE.1].



O.PENETRATION_TEST. Должно быть предоставлено свидетельство, адекватности проектирования и тестирования системы.

ОО должен подвергнуться независимому тестированию [ATE_IND.2], основанному на анализе уязвимостей. Этот анализ обеспечивает поиск скрытых каналов в криптографическом модуле [EXT-AVA_CCA.1] и любых уязвимостей, которые могли бы быть вызваны неясной документацией [AVA_MSU.1]. Данный анализ уязвимостей должен быть систематическим и показывать, что ОО является стойким к нарушителям с умеренным потенциалом нападения [AVA_VLA.3]. Тестирование должно также поддерживать любое утверждение стойкости функций [AVA_SOF.1].



O.PROTECT. Операционная система должна предоставлять средства для защиты данных пользователя и ресурсов.

Данные пользователя защищены политиками дискреционного управления доступом [FDP_ACF.1]. Эта защита предоставляет разделение данных пользователя [FPT_SEP.1], основанное на атрибутах, управляемых администратором [FMT_MSA.1] и включающих идентификаторы [FIA_UID.1] аутентифицированных пользователей [FIA_UAU.1, FIA_UAU.7]. Степень защиты основана на защищенности секретов [FIA_SOS.1]. Учетные записи пользователя защищаются путем повторной аутентификации для неактивных сеансов [FTA_SSL.1, FTA_SSL.2]. Данные пользователя не оставляют остаточной информации после использования их в ресурсах, которые последовательно совместно используются пользователями [FDP_RIP.2]. Доступ разрешен только до тех пор, пока он не отменен [FMT_REV.1]. Данные пользователя могут также быть импортированы из-за пределов ОО [FDP_ITC.2] или ими могут обмениваться между собой отдельные части распределенного ОО [FDP_ITT.1]. Все формы защиты всегда реализуются [FPT_RVM.1].



O.RECOVERY. Процедуры и/или механизмы должны предоставлять уверенность в том, что после системного сбоя или другого прерывания произойдет восстановление без компромисса с защитой.

Безопасное восстановление включает не только восстановление к безопасному состоянию [FPT_RCV.1], но также и точное дублирование данных ФБО [FPT_TRC.1] для распределенных частей ОО, которые могут стать разделенными друг то друга, в этом случае необходимо иметь возможность установить, какие данные являются наиболее актуальными [FPT_STM.1].



O.RESIDUAL_INFORMATION. Операционная система должна обеспечивать, чтобы любая информация, содержащаяся в защищаемом ресурсе, не раскрывалась при перераспределении ресурса.

Данные пользователя не оставляют остаточной информации после использования их в ресурсах, которые последовательно совместно используются пользователями [FDP_RIP.2]. Такие меры также должны быть применены к ресурсам, используемым для хранения криптографических данных [FCS_CKM.4, EXT-FCS_CKM.5]. Эти ресурсы очищаются в системе при ее восстановлении после сбоя [FPT_RCV.1]. Раскрытие информации повторной аутентификации также предотвращено [FTA_SSL.1, FTA_SSL.2].



O.RESOURCE_SHARING. Никакой пользователь не должен блокировать других пользователей при обращении их к ресурсам.

Если нет такого пользователя, который может получить монопольный доступ ко всем ресурсам, то пользователь не может блокировать других пользователей от доступа к этим ресурсам [FRU.RSA.1].



O.SELF_PROTECTION. Операционная система должна поддерживать область для своего собственного выполнения, что защитит домен и его ресурсы от внешней взаимозависимости, повреждения или несанкционированного раскрытия.

Защита ФБО состоит из защиты данных ФБО при их передаче [FPT_ITT.1, FPT_ITT.3] и поддержания согласованности данных [FPT_TDC.1]. Данные ФБО включают записи аудита [FAU_SAR.2, FAU_STG.1]. Функции безопасности защищены от доступа к ним неуполномоченных лиц [FMT_MOF.1, FMT_MSA.2, FMT_MTD.1]. Тестирование используемого оборудования [FPT_AMT.1], самотестирование ОО [FPT_TST.1] и тестирование криптографического модуля [EXT-FPT_CTST.1] вносит свой вклад в защиту.

Защита ресурсов, управляемых ФБО, состоит из осуществления политик дискреционного управления доступом [FDP_ACF.1], которые разрешают доступ [FMT_SMR.1], основанный на атрибутах безопасности [FMT_REV.1]. Эта защита также относится к ресурсам, используемым недоверенными субъектами [FDP_RIP.2]. Дискреционная политика управления доступом основана на подтвержденных [FIA_UAU.1] идентификаторах пользователя [FIA_UID.1].

Разделение [FPT_SEP.1] всегда реализуется [FPT_RVM.1]. Самозащита также включает предотвращение от перехода системы в опасное состояния после сбоя ее функционирования [FPT_RCV.1].



O.SOUND_DESIGN. Проект операционной системы должен быть результатом соответствующих принципов проектирования и методов, которые точно документированы.

Правильность проекта зависит от его внимательной разработки [ALC_DVS.1] с использованием четко определенной модели жизненного цикла [ALC_LCD.1]. Это включает весь спектр работ – от идентификации используемых инструментальных средств разработки [ALC_TAT.1] до исправления любых недостатков, обнаруженных в процессе сопровождения [ALC_FLR.2].

Соответствие документации разработки [ADV_FSP.2, ADV_HLD.2, ADV_LLD.1, ADV_SPM.1] должно быть документировано [ADV_RCR.1]. Проблемы применения криптографического модуля могут быть обнаружены при его самотестировании [EXT-FPT_CTST.1], а также при анализе скрытых каналов [EXT-AVA_CCA.1]. Проблемы системного уровня в проекте могут быть обнаружены путем анализа уязвимостей, которые могли быть результатом неясностей документации [AVA_MSU.1]. Этот анализ уязвимостей должен быть систематическим и показывать, что ОО является стойким к нарушителям с умеренным потенциалом нападения [AVA_VLA.3]. Также должен производиться анализ стойкости функций [AVA_SOF.1].

O.SOUND_IMPLEMENTATION. Реализация операционной системы должна быть точным отражением ее проекта.

Правильность реализации зависит от внимательной разработки [ALC_DVS.1] с использованием четко определенной модели жизненного цикла [ALC_LCD.1]. Это включает весь спектр работ – от идентификации используемых инструментальных средств разработки [ALC_TAT.1] до исправления любых недостатков, обнаруженных в процессе сопровождения [ALC_FLR.2].

Соответствие документации разработки [ADV_FSP.2, ADV_HLD.2, ADV_LLD.1, ADV_IMP.2, ADV_INT.1] должно быть документировано [ADV_RCR.1]. Проблемы применения криптографического модуля могут быть обнаружены при его самотестировании [EXT-FPT_CTST.1], а также при анализе скрытых каналов [EXT-AVA_CCA.1]. Проблемы системного уровня в проекте могут быть обнаружены путем анализа уязвимостей, которые могли быть результатом неясностей документации [AVA_MSU.1]. Этот анализ уязвимостей должен быть систематическим и показывать, что ОО является стойким к нарушителям с умеренным потенциалом нападения [AVA_VLA.3]. Также должен производиться анализ стойкости функций [AVA_SOF.1]. Тестирование выполненное разработчиком [ATE_COV.1, ATE_DPT.2, ATE_FUN.1], так же как и независимое тестирование уязвимостей [ATE_IND.2], способствуют уменьшению недостатков реализации.

O.TESTING. Операционная система должна подвергаться независимому тестированию, основанному, по крайней мере частично, на независимом анализе уязвимостей и включающему сценарии тестирования и результаты.

ОО должен подвергнуться независимому тестированию [ATE_IND.2], основанному на тестировании разработчиком [ATE_FUN.1]. Тестирование разработчиком должно показать адекватность покрытия [ATE_COV.2] и глубины [ATE_DPT.2] тестирования для того, чтобы демонстрировать свою полноту. Отельное внимание должно быть уделено тестированию правильности функционирования криптографического модуля [EXT-FPT_CTST.1].



O.TRAINED_ADMIN. Уполномоченные администраторы и все, кто уполномочен на доступ к системе ИТ, должны быть соответственно обучены.

Администратор должен знать, как просматривать все [FAU_SAR.1] или выборочно [FAU_SAR.3] записи аудита. Администратор также должен знать о предупреждениях, касающихся возможных нарушений при заполнении журнала аудита [FAU_STG.4]. Администраторы должны знать о предупреждениях, сообщающих им о возможных нарушениях безопасности [FAU_ARP.1], а также должны знать, как устанавливать правила для определения нарушений безопасности [FAU_SAA.1]. Администраторы также должны знать, как интерпретировать результаты самотестирования ОО [FPT_TST.1] и криптографического модуля [EXT-FPT_CTST.1].

Администратор по криптографии должен знать, как управлять криптографическими сервисами [EXT-FCS_COP.2] и ключами [FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, EXT-FCS_CKM.5].

Администратору необходимо знать, как защищаются ресурсы, находящиеся под защитой политик дискреционного управления доступом [FDP_ACF.1]. Это относится и к управлению данными, экспортируемыми из ОО [FDP_ETC.2].

Если учетные данные пользователя закрыты, администратор должен знать, как вновь получить к ним доступ [FIA_AFL.1]. Администраторы должны знать, как управлять функциями безопасности [FMT_MOF.1], данными ФБО [FMT_MTD.1] и атрибутами безопасности [FMT_MSA.1, FMT_MSA.2, FMT_MSA.3], как отменять эти атрибуты [FMT_REV.1], а также проблемы, связанные с истечением срока действия атрибутов безопасности [FMT_SAE.1].

Процедуры администратора для безопасной поставки [ADO_DEL.2], инсталляции [ADO_IGS.1] и администрирования [AGD_ADM.1] ОО должны быть документированы.



O.TRAINED_USERS. Пользователи, уполномоченные на доступ к операционной системе, должны быть соответственно обучены.

Пользователи должны быть обучены обязанностям при работе с доступными криптографическими сервисами [FCS_COP.1], а также ролям при управлении своими криптографическими ключами [EXT-FCS_CKM.5]. Они должны знать свои обязанности по правильной установке атрибутов объекта [FMT_MSA.1, FMT_MSA.2], чтобы политика дискреционного управления доступом [FDP_ACF.1] защитила их объекты соответствующим образом [FMT_REV.1]. Пользователи должны быть обучены своим обязанностям при экспорте объектов из ОО [FDP_ETC.2]. Пользователи должны также быть обучены использованию механизма аутентификации, использованию значений предварительного сообщения перед предоставлением доступа [FTA_TAB.1], важным аспектам верификации хронологии доступа [FTA_TAH.1], как вызывать доверенный маршрут к ОО [FTP_TRP.1] и как изменять свои данные аутентификации [FMT_MOF.1, FMT_MTD.1]. Пользователи также должны знать режим функционирования системы при неактивных сеансах [FTA_SSL.1, FTA_SSL.2].

Процедуры пользователя для безопасного использования ОО [AGD_USR.1] должны быть документированы.

O.TRUSTED_PATH. Операционная система должна предоставлять средства, предотвращающие связь пользователя с некоторой сущностью, выдающей себя за операционную систему, но не являющейся таковой.

Доверенный маршрут к ОО должен быть доступным [FTP_TRP.1].



O.TRUSTED_SYSTEM_OPERATION. Операционная система должна функционировать, поддерживая безопасность ИТ.

Поддержание безопасности достигается также периодическим самотестированием ОО [FPT_TST.1], используемых аппаратных средств [FPT_AMT.1] и, главным образом, с помощью использования криптографического модуля [EXT-FPT_CTST.1]. Надежное функционирование заключается не только в восстановлении безопасного состояния [FPT_RCV.1] при обнаружении тестами ошибки, но также и в точном дублировании данных ФБО для всего ОО [FPT_TRC.1] или между ОО [FPT_TDC.1]. В случаях, когда обнаружена несогласованность, необходимо определить, какие данные являются наиболее актуальными [FPT_STM.1].

Предоставление доверенного маршрута [FTP_TRP.1] пользователям помогает обеспечить для них надежную идентификацию [FIA_UID.1] и аутентификацию [FIA_UAU.1, FIA_UAU.7] в ОО, повторная неправильная аутентификация закрывает учетную запись [FIA_AFL.1]. Пользователям также нужно предоставлять их хронологию доступа [FTA_TAH.1] так, чтобы они могли знать о любой возможной компрометации своих учетных записей.

Безопасное функционирование требует, чтобы импортируемые данные, имеющие атрибуты безопасности, ассоциировались с ними [FDP_ITC.2]. Правильное функционирование криптографического модуля зависит от генерации случайных чисел [EXT-FCS_COP.2]. Любые атрибуты данных, которые могли потерять свою актуальность, должны управляться только тем персоналом, который уполномочен, чтобы управлять ими [FMT_SAE.1].

Процедуры для безопасной поставки [ADO_DEL.2], инсталляции [ADO_IGS.1] и администрирования [AGD_ADM.1] ОО должны быть документированы.

O.TSF_CRYPTOGRAPHIC_INTEGRITY. Операционная система должна предоставлять криптографические механизмы обеспечения целостности данных ФБО при их передаче к удаленным частям ОО.

Криптография может использоваться для того, чтобы связывать атрибуты с их объектами во время передачи под управление ОО [FDP_ITC.2] или из-под управления ОО [FDP_ETC.2]. Криптография также может использоваться для того, чтобы защищать данные ФБО, поскольку они хранятся в ОО [FPT_TRC.1], передаются между частями физически распределенного ОО [FPT_ITT.3] или между ОО [FPT_TDC.1]. Криптография также используется для того, чтобы реализовать доверенный маршрут для пользователя [FTP_TRP.1] или защищать метки доступа при передаче [FPT_STM.1]. Правильное функционирование криптографии [FCS_COP.1] включает безопасную генерацию ключей [FCS_CKM.1] и поддержание целостности ключей во время их хранения [EXT-FCS_CKM.5].



O.USER_AUTHENTICATION. Операционная система должна верифицировать заявленный идентификатор пользователя.

Пользователи должны подтвердить подлинность [FIA_UAU.1] своих заявленных идентификаторов (см. O.USER_IDENTIFICATION) в ОО через доверенный маршрут [FTP_TRP.1]. Информация аутентификации должна показывать некоторые характеристики [FIA_SOS.1] как определено администратором [FMT_MOF.1, FMT_MSA.2], который управляет ими [FMT_MTD.1]. У администратора должна быть возможность определить срок действия информации аутентификации, после истечения которого информация должна быть изменена [FMT_SAE.1]. Пользователю необходима эта информация для того, чтобы активировать неактивные сеансы [FTA_SSL.1, FTA_SSL.2].

Механизм аутентификации описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Определена также политика аутентификации [ADV_SPM.1].

O.USER_IDENTIFICATION. В операционной системе пользователи должны идентифицироваться однозначно.

Пользователи, уполномоченные на доступ к ОО, идентифицируют себя в ОО [FIA_UID.1] через доверенный маршрут [FTP_TRP.1] и затем подтверждают подлинность этого заявленного идентификатора (см. O.USER_AUTHENTICATION). Идентифицированные пользователи имеют атрибуты [FIA_ATD.1], ассоциированные с ними [FIA_USB.1], которые могут быть связанными с одной или несколькими ролями, предоставляемыми ОО [FMT_SMR.1, FMT_SMR.3]. Сроки актуальности этих атрибутов могут истекать [FMT_SAE.1]

Механизм идентификации описан в терминах его предназначения [ADV_FSP.2] с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Также определена политика идентификации [ADV_SPM.1].

O.VULNERABILITY_ANALYSIS. Система должна подвергаться анализу на уязвимости.

Рассматриваемые уязвимости включают возможность манипуляции атрибутами безопасности [FMT_MSA.3]. Анализ уязвимостей, который осуществляет поиск скрытых каналов в криптографическом модуле [EXT-AVA_CCA.1], должен быть документирован. Также должен проводиться анализ для любых уязвимостей, которые могли бы быть вызваны неясностями документации [AVA_MSU.1]. Этот анализ уязвимостей должен быть систематическим и показывать, что ОО является стойким к нарушителям с умеренным потенциалом нападения [AVA_VLA.3]. Должен также проводиться анализ стойкости функций [AVA_SOF.1].


7.4Обоснование дополнительных требований


В этот профиль защиты были включены представленные ниже дополнительные требования, потому что требования Общих критериев оказались недостаточными. К требованиям добавлен либо компонент, либо элемент с расширенным именем:

7.4.1Дополнительные функциональные требования безопасности


FCS_CKM_EXP.1 введены требования на генерацию криптографического ключа.

FCS_CKM_EXP.5 введены требования на внутреннюю обработку и хранение криптографического ключа.

FCS_COP_EXP.2 введены требования на генерацию случайного числа.

FDP_ITC_EXP.1 введено понятие источников данных, заслуживающих доверия.

FDP_RIP_EXP.2 ресурсы, используемые для обработки криптографической информации, очищаются при их совместном использовании пользователями.

FMT_MSA_EXP.1 определены правила, имеющие отношение к модификации прав доступа.

FPT_SEP_EXP.1 криптографический модуль отделен от других частей ФБО.

FPT_CTST_EXP.1 у криптографического модуля есть свой набор средств самотестирования.

FTP_TRP_EXP.1 от ФБО к криптографическому модулю предоставляется доверенный маршрут.

7.4.2Дополнительные требования доверия к безопасности


ADV_HLD_EXP.2.9C проект верхнего уровня включает идентификацию криптографических границ.

ADV_INT_EXP.1.1D проект и структура криптографического модуля предусматривают его отделение от других частей ФБО.

ADV_LLD_EXP.1.5C проект нижнего уровня включает описание изменений состояния криптографического модуля.

ADV_LLD_EXP.1.7C проект нижнего уровня включает идентификацию портов криптографического модуля.

ADV_LLD_EXP.1.10C проект нижнего уровня включает идентификацию криптографических границ.

AVA_CCA_EXP.1 анализ скрытых каналов выполняется только на криптографическом модуле; осуществляется скорей поиск утечки критичных параметров безопасности, чем нарушений политики управления информацией.




Каталог: wp-content -> uploads -> 2010
2010 -> Принципы доказательной медицины как основа разработки метода и аппаратуры для
2010 -> Два подземных этажа
2010 -> Методическое пособие по сердечно легочной и церебральной реанимации Утвержденное: Российской академией медицинских наук Учреждением Российской академии медицинских наук
2010 -> Здесь представлена подборка заметок и коротеньких статей Нины Рубштейн, очень интересных и важных, на мой взгляд, для специали
2010 -> Уильям Сирс и Марта Сирс
2010 -> Слабое использование в работе адм
2010 -> Б цилиарное тело
2010 -> Российская федерация федеральный закон


Поделитесь с Вашими друзьями:
1   ...   11   12   13   14   15   16   17   18   19


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница