Загальні критерії безпеки інформаційних технологій

ICommon Criteria for Information Technology Security Evaluation (лЛЛ-TSE)] — стандарт інформаційної безпеки [81], що узагаль-^{Ює З}міст і досвід використання «Помаранчевої книги».

В ньому розвинені «Європейські критерії», втілена в реальні структури концепція типових профілів захисту «Федеральних критеріїв» США і відповідно до «Канадських критеріїв» пред­ставлена однакова основа для формулювання розробниками, ко­ристувачами та оцінювачами інформаційних технологій (експер­тами з кваліфікації) вимог, метрик і гарантій безпеки.

Версія 2.1 цього стандарту затверджена Міжнародною органі­зацією із стандартизації (ISO) в 1999 р. як міжнародний стандарт інформаційної безпеки ISO/IES 15408.

Матеріали стандарту являють собою енциклопедію вимог і гарантій з інформаційної безпеки, які можуть відбиратися та ре алізовуватися у функціональні стандарти (профілі захисту) забез­печення інформаційної безпеки для конкретних систем, мереж і засобів як користувачами (по відношенню до того, що вони хочуть одержати в продукті, який пропонується), так і розробниками й операторами мереж (по відношенню до того, що вони гарантують у продукті, який реалізується).

До складу Загальних критеріїв входять три основні частини (рис. 8.1):

• частина 1 —«Уявлення та загальна модель» [Part I: Introduction
and general model];

• частина 2 — «Вимоги до функцій безпеки» [Part I: Security
functional requirements];

• частина 3 — «Вимоги гарантій безпеки» [Part I: Security
assurance requirements].

За межі стандарту винесена частина 4 — «Напередвизначені профілі захисту», із-за необхідності постійного поповнення ката­логу профілів захисту.

Основними компонентами безпеки Загальних критеріїв є:

• потенційні загрози безпеці та завдання захисту;

• політика безпеки;

• продукт інформаційних технологій;

• профіль захисту;

• проект захисту;

• функціональні вимоги безпеки;

• вимоги гарантій безпеки;

• рівні гарантій.

Стандарт Загальних критеріїв описує тільки загальну схе­му проведення кваліфікаційного аналізу та сертифікації, але не регламентує процедуру їх здійснення. Питаннями методології кваліфікаційного аналізу та сертифікації присвячений окре­мий документ авторів Загальних критеріїв — Загальна мето­дологія оцінки безпеки інформаційних технологій [Common Methodology for Information Technology Security Evaluation (CMITSE)], який є додатком до стандарту.

Кваліфікаційний аналіз [evaluation] — це аналіз обчис­лювальної системи з метою визначення рівня її захищеності та відповідності вимогам безпеки на основі критеріїв стандарту ін­формаційної безпеки. Інша назва кваліфікування рівня безпеки (Рис. 8.2).

Розділ 8. Критерії безпеки інформаційних технологій

Згідно з Загальними критеріями кваліфікаційний аналіз може здійснюватися як паралельно з розробленням ІТ-продукту, так і після її завершення.

Для проведення кваліфікаційного аналізу розробникпродукту повинен надати наступні матеріали:

• профіль захисту;

• проект захисту;

• різноманітні обґрунтування і підтвердження властивостей та
можливостей ІТ-продукту, одержані розробником;

• сам ІТ-продукт;

• додаткові відомості, одержані шляхом проведення різнома­
нітних незалежних експертиз.

Процес кваліфікаційного аналізу включає три стадії:

• аналіз профілю захисту на предмет його повноти, несу-
перечності, реалізованості та можливості використання у виг­
ляді набору вимог для продукту, що аналізується;

• аналіз проекту захисту на предмет його відповідності вимогам
профілю захисту, а також повноти, несуперечності, реалізова­
ності і можливості використання у вигляді еталона при аналізі
ІТ-продукту;

• аналіз ІТ-продукту на предмет відповідності проекту захисту.
Результатом кваліфікаційного аналізу є висновок про те, що

підданий аналізу ІТ-продукт відповідає представленому проекту захисту.

8.2.2. Потенційні загрози безпеці та типові завдання захисту

Загрози безпеці обчислювальної системи — впливи на об­числювальну систему, які прямо або побічно можуть нанести шкоду її безпеці. Розробники вимог безпеки та засобів захисту виділяють три види загроз:

• загрози порушення конфіденційності інформації;

• загрози порушення цілісності інформації;

• загрози порушення працездатності системи (відмови в об­
слуговуванні).

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Загрози порушення конфіденційності — загрози безпеці обчислювальної системи, спрямовані на розголошення інформа­ції з обмеженим доступом.

Загрози порушення цілісності — загрози безпеці обчислю­вальної системи, що полягають у спотворенні або зміні неавтори-зованим користувачем інформації, що зберігається або передаєть­ся. Цілісність інформації може бути порушена як зловмисником, так і в результаті об'єктивних впливів із сторони середовища експлуатації системи. Найбільш актуальна ця загроза для систем передавання інформації — комп'ютерних мереж і систем телеко­мунікації.

Загрози порушення працездатності — загрози безпеці об­числювальної системи, спрямовані на створення ситуацій, коли в результаті навмисних дій понижується працездатність обчислю­вальної системи, або її ресурси стають недоступними.

Завдання захисту в Загальних критеріях декларуються на­ступним чином:

• захист від загроз порушення конфіденційності (несанкціоно­
ваного одержання) інформації з усіх каналів її витоку, особ­
ливо за рахунок каналів ПЕМВН і прихованих (таємних) ка­
налів зв'язку;

• захист від загроз порушення цілісності (несанкціонованого
змінювання інформації);

• захист від загроз порушення доступності інформації (не­
санкціонованого або випадкового обмеження інформації та
ресурсів самої системи);

• захист від загроз аудитові системи (наприклад, загрози не­
санкціонованих вторгнень у систему, маніпуляцій з прото­
колами обміну та аудиту, і загальносистемним програмним
забезпеченням).

8.2.3. Політика безпеки

Політика безпеки [security policy] — сукупність законів, норм і правил, що регламентують порядок оброблення, захисту і поширення інформації комп'ютерної системи.

Розділ 8. Критерії безпеки інформаційних технологій

В системах зв'язку політика безпеки є частиною загальної політики безпеки оператора зв'язку і може включати, зокрема, положення державної політики у галузі захисту інформації.

Для кожної системи (підсистеми) зв'язку політика безпеки може бути індивідуальною і може залежати від технології пере­давання, оброблення та зберігання інформації, що реалізуєть­ся, особливостей системи зв'язку, середовища експлуатації і від багатьох інших факторів. Політика повинна визначати ресурси системи зв'язку, які потребують захисту, зокрема встановлюва­ти категорії інформації, яка передається, оброблюється та збері­гається в системі. Мають бути сформульовані основні загрози для системи зв'язку, персоналу, інформації різних категорій і ви­моги до захисту від цих загроз.

Складовими частинами загальної політики безпеки в системі зв'язку мають бути політики забезпечення конфіденційності, цілісності і доступності інформації, що передається, оброб­люється і зберігається. Відповідальність персоналу за виконання положень політики безпеки має бути персоніфікована.

Частина політики безпеки, яка регламентує правила доступу користувачів і процесів системи зв'язку, складає правила розме­жування доступу.

8.2.4. Продукт інформаційних технологій

Продукт інформаційних технологій (ІТ-продукт) — сукуп­ність апаратних і (або) програмних засобів, яка поставляється кінцевому споживачеві як готовий до використання засіб оброб­лення інформації. Сукупність ІТ-продуктів об'єднується в функ­ціонально закінчений комплекс (продукт) для вирішення конк­ретного прикладного завдання в системі оброблення інформації.

Принциповою відмінністю між ІТ-продуктом і системою об­роблення інформації є наступне. ІТ-продукт звичайно розроб­ляється для використання в багатьох системах оброблення ін­формації, тому його розробник орієнтується тільки на найза-гальніші вимоги до середовища його експлуатації (умови його застосування і потенційні загрози інформації).

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

Навпаки, система оброблення інформації розроблюється вузь­ко спеціалізованою для вирішення конкретних прикладних зав­дань і під конкретні вимоги споживачів, що дозволяє у повній мірі враховувати специфіку впливу зі сторони конкретного середови­ща експлуатації. Саме тому ІТ-продукт, а не система оброблення інформації, декларується в стандарті як універсальний компонент безпеки.

8.2.5. Профіль захисту

Профіль захисту [Protection Profile (PP)] — спеціальний нор­мативний документ, що регламентує сукупність завдань захисту, функціональних вимог безпеки, вимог гарантій безпеки та їхнє обґрунтування. Профіль захисту визначає вимоги безпеки до певної категорії ІТ-продуктів, не уточнюючи методи і засоби їх реалізації. За допомогою профілю захисту споживачі формують свої вимоги до розробників ІТ-продуктів.

Профіль захисту містить вступ, опис ІТ-продукту, середови­ще експлуатації, завдання захисту, вимоги безпеки, додаткові ві­домості, обґрунтування (рис. 8.3).

Профіль захисту: вступ [PP introduction] — розділ профілю захисту, який містить всю інформацію для пошуку профілю за­хисту в бібліотеці профілів. Вступ складається з ідентифікатора профілю захисту та огляду змісту. Ідентифікатор профілю захис­ту являє собою унікальне ім'я для його пошуку серед подібних йому профілів і позначення посилань на нього.

Огляд змісту профілю захисту містить коротку анотацію профілю захисту, на основі якої споживач може зробити висно­вок про придатність даного профілю захисту.

Профіль захисту: опис ІТ-продукту [TOE description] — роз­діл профілю захисту, який містить коротку характеристику ІТ-продукту, призначення, принцип роботи, методи використання і т. ін. Ця інформація не підлягає кваліфікаційному аналізові та сертифікації, але подається розробникам і експертам для пояс­нення вимог безпеки і визначення їхньої відповідності до за­вдань, що вирішуються за допомогою ІТ-продукту.

Профіль захисту: середовище експлуатації [TOE security ^;nvironment] — розділ профілю захисту, що містить опис усіх аспектів функціонування ІТ-продукту, пов'язаних з безпекою.

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

В середовищі експлуатації описуються умови експлуатації, за­грози безпеці, політика безпеки.

Опис умов експлуатації ІТ-продукту повинен містити вичерп­ну характеристику середовища його експлуатації з точки зору безпеки, в тому числі обмеження на умови його застосування.

Опис загроз безпеці, що діють у середовищі експлуатації, яким повинен протистояти захист ІТ-продукту. Для кожної за­грози повинно бути вказане її джерело, метод і об'єкт впливу.

Опис політики безпеки повинен визначати і, при необхід­ності, пояснювати правила політики безпеки, яка повинна бути реалізована в ІТ-продукті.

Профіль захисту: завдання захисту [security objectives] — розділ профілю захисту, що відображає потреби користувачів у протидії потенційним загрозам безпеці і (або) реалізації політи­ки безпеки. До складу завдань захисту входять завдання захисту ІТ-продукту та інші завдання захисту.

Завдання захисту ІТ-продукту повинні визначати та регла­ментувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки.

Інші завдання захисту повинні регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації полі­тики безпеки інших компонент комп'ютерної системи, що не від­носяться до сфери інформаційних технологій.

Профіль захисту: вимоги безпеки [IT security requirements] — розділ профілю захисту, що містить вимоги, яким повинен задо­вольняти ІТ-продукт для вирішення завдань захисту (типових, спеціальних і т. ін.). В розділі виставляються функціональні ви­моги безпеки, вимоги гарантій безпеки, вимоги до середовища експлуатації.

Функціональні вимоги повинні містити тільки типові вимо­ги, передбачені тільки відповідними розділами Загальних кри­теріїв. Необхідно забезпечити такий рівень деталізації вимог, який дозволяє продемонструвати їх відповідність до завдань за­хисту. Функціональні вимоги можуть дозволяти або забороняти використання конкретних методів і засобів захисту.

Розділ 8. Критерії безпеки інформаційних технологій

Вимоги гарантій містять посилання на типові вимоги рівнів гарантій Загальних критеріїв, проте допускають і визначення до­даткових вимог гарантій.

Вимоги до середовища експлуатації є необов'язковими і мо­жуть містити функціональні вимоги та вимоги гарантій, яким повинні задовольняти компоненти інформаційних технологій, що складають середовище експлуатації ІТ-продукту. На відміну від попередніх розділів, використання типових вимог «Загаль­них критеріїв» є бажаними, але не обов'язковими.

Профіль захисту: додаткові відомості [РР application notes] — необов'язковий розділ профілю захисту, що містить будь-яку додаткову інформацію, корисну для проектування, розробки, кваліфікаційного аналізу та сертифікації ІТ-продукту.

Профіль захисту: обґрунтування [rationale] — розділ профі­лю захисту, який повинен демонструвати, що профіль захисту містить повну й зв'язну множину вимог і що ІТ-продукт, який задовольняє їм, буде протистояти загрозам безпеці середовища експлуатації. Розділ складається з обґрунтування завдань захис­ту та обґрунтування вимог безпеки.

Обґрунтування завдань захисту повинно демонструвати, що завдання, які пропонуються у профілі, відповідають параметрам середовища експлуатації, а їх вирішення дозволить ефективно протистояти загрозам безпеці і реалізувати політику безпеки.

Обґрунтування вимог безпеки показує, що вимоги безпеки дозволяють ефективно вирішувати завдання захисту, оскільки:

• сукупність цілей окремих функціональних вимог безпеки
відповідають встановленим завданням захисту;

• вимоги безпеки є пов'язаними, тобто не суперечать, а взаєм­
но підсилюються; вибір вимог є виправданим (особливо це
стосується додаткових вимог);

• вибраний набір функціональних вимог і рівень гарантій від­
повідають завданням захисту.

Профіль захисту служить керівництвом для виробника та розробника ІТ-продукту, які повинні на його основі і технічних рекомендацій, що запропоновані ним, розробити проект захис-

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

ту, який служить керівництвом для кваліфікаційного аналізу та сертифікації ІТ-продукту.

8.2.6. Проект захисту

Проект захисту [Security Target (ST)] — нормативний доку­мент, який включає вимоги та завдання захисту ІТ-продукту, а також описує рівень функціональних можливостей, реалізова­них у ньому засобів захисту, їх обґрунтування і підтвердження ступеню їхніх гарантій. Профіль захисту, з однієї сторони є від­правною точкою для розробника системи, а з іншої являє собою еталон системи в ході кваліфікаційного аналізу.

Профіль захисту містить вступ, опис ІТ-продукту, середови­ще експлуатації, завдання захисту, вимоги безпеки, загальні спе­цифікації ІТ-продукту, заявку на відповідність профілю захисту, обґрунтування (рис. 8.4). Багато розділів проекту захисту збіга­ються із однойменними розділами профілю захисту.

Проект захисту: вступ [ST introduction] — розділ проекту захисту, який містить інформацію, необхідну для ідентифікації проекту захисту, визначення призначення, а також огляд його змісту та заявку на відповідність вимогам Загальних критеріїв.

Ідентифікатор проекту захисту — унікальне ім'я проекту захисту для його пошуку та ідентифікації, а також відповідного ІТ-продукту.

Огляд змісту проекту захисту — достатньо докладна анота­ція проекту захисту, що дозволяє споживачам визначати придат­ність ІТ-продукту для вирішення завдань.

Заявка на відповідність Загальним критеріям — опис усіх властивостей ІТ-продукту, що підлягають кваліфікаційному аналізу на основі Загальних критеріїв.

Проект захисту: опис ІТ-продукту [TOE description] — розділ проекту захисту, який містить коротку характеристику ІТ-про­дукту, призначення, принцип роботи, методи використання і т. ін. Ця інформація не підлягає кваліфікаційному аналізові та сер­тифікації, але подається розробникам і експертам для пояснення

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

вимог безпеки і визначення їхньої відповідності завданням, що вирішуються за допомогою ІТ-продукту.

Проект захисту: середовище експлуатації [TOE security environment] — розділ проекту захисту, що містить опис усіх ас­пектів функціонування ІТ-продукту, зв'язаних з безпекою. В се­редовищі експлуатації описуються умови експлуатації, загрози безпеці, політика безпеки.

Опис умов експлуатації ІТ-продукту повинен містити вичер­пну характеристику середовища його експлуатації з точки зору безпеки, в тому числі обмеження на умови його застосування.

Опис загроз безпеці, що діють у середовищі експлуатації, яким повинен протистояти захист ІТ-продукту. Для кожної за­грози повинно бути вказане її джерело, метод і об'єкт впливу.

Опис політики безпеки повинен визначати і, в разі необхід­ності, пояснювати правила політики безпеки, яка повинна бути реалізована в ІТ-продукті.

Проект захисту: завдання захисту [security objectives] — роз­діл проекту захисту, що відображає потреби користувачів у протидії потенційним загрозам безпеці і (або) реалізації політи­ки безпеки. До складу задач захисту входять завдання захисту ІТ-продукту та інші завдання захисту.

Завдання захисту ІТ-продукту повинні визначати і регламен­тувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки.

Інші завдання захисту повинні регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації полі­тики безпеки інших компонент комп'ютерної системи, що не на­лежить до сфери інформаційних технологій.

Проект захисту: вимоги безпеки [IT security requirements] — розділ проекту захисту, що містить вимоги безпеки до ІТ-про­дукту, якими керувався виробник у ході його розроблення. Цей розділ дещо відрізняється від аналогічного розділу профілю за­хисту.

Розділ функціональних вимог безпеки до ІТ-продукту на від­міну від відповідного розділу профілю захисту допускає вико­ристання крім типових вимог Загальних критеріїв і інших, спе-

Розділ 8. Критерії безпеки інформаційних технологій

цифічних для даного продукту та середовища його експлуатації. При описі таких спеціальних вимог необхідно зберігати стиль Загальних критеріїв і забезпечувати властиву їм ступінь деталі­зації.

Розділ вимог гарантій безпеки може включати рівні гарантій, не передбачені в Загальних критеріях. В даному випадку опис рів­ня гарантій повинен бути чітким, несуперечливим і мати ступінь деталізації, що допускає його використання в ході кваліфікацій­ного аналізу. При цьому бажано використати стиль і деталізації опису рівнів гарантій, прийняті в Загальних критеріях.

Проект захисту: загальні специфікації.-ІТ-продукту [TOE summary specification] — розділ проекту захисту, який описує механізми реалізації завдань захисту за допомогою визначення багаторівневих специфікацій засобів захисту у відповідності до функціональних вимог безпеки та вимог гарантій безпеки, що пред'являються. Складаються зі специфікацій функцій захисту та специфікацій рівня гарантій.

Проект захисту: заявка на відповідність профілю захисту [РР claims] — необов'язковий розділ проекту захисту, який містить матеріали, необхідні для підтвердження заявки. Для кожного профілю захисту, на реалізацію якого претендує проект захисту, цей розділ повинен містити посилання на профіль захисту, від­повідність профілю захисту, вдосконалення профілю захисту.

Посилання на профіль захисту однозначно ідентифікує про­філь захисту, на реалізацію якого претендує проект захисту, із зазначенням випадків, в яких рівень захисту, що забезпечується, перевершує вимоги профілю з коректною реалізацією усіх його вимог без виключення. Відповідність профілю захисту визначає можливості ІТ-продукту, які реалізують завдання захисту і ви­моги, що містяться в профілі захисту.

Удосконалення профілю захисту відображає можливості ІТ-продукту, які виходять за рамки завдань захисту та вимог, вста­новлених у профілі захисту.

Проект захисту: обґрунтування [rationale] — розділ проекту захисту, який повинен показувати, що проект захисту містить повну і зв'язну множину вимог, що ІТ-продукт, який реалізує їх,

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

ефективно протистоятиме загрозам безпеці. Крім того, обґрун­тування містить підтвердження заявленої відповідності профі­лю захисту. Розділ деталізується у наступному.

Обґрунтування завдань захисту повинно демонструвати, що завдання захисту, заявлені в проекті захисту, відповідають влас­тивостям середовища експлуатації, тобто їх вирішення дозво­лить ефективно протидіяти загрозам безпеці і реалізувати виб­рану під них політику безпеки.

Обґрунтування вимог безпеки показує, що виконання цих вимог дозволяє вирішити завдання захисту, оскільки:

• сукупність функціональних вимог безпеки та вимог гарантій
безпеки, а також умов експлуатації ІТ-продукту відповідають
завданням захисту;

• усі вимоги безпеки є несуперечливими і взаємно підсилюють
одна одну;

• вибір вимог є оправданим;

• рівень функціональних можливостей засобів захисту від­
повідає завданням захисту.

Обґрунтування загальних специфікацій ІТ-продукту повинно демонструвати, що засоби захисту та методи забезпечення їхніх гарантій відповідають вимогам, що пред'являються, оскільки:

• сукупність засобів захисту задовольняє функціональним ви­
могам;

• необхідний рівень безпеки та надійності захисту забезпе­
чується засобами, що запропоновані;

• заходи, спрямовані на забезпечення гарантій реалізації фун­
кціональних вимог, відповідають вимогам гарантій.
Обґрунтування відповідності профілю захисту показує, що

вимоги проекту захисту підтримують всі вимоги профілю захис­ту. Для цього повинно бути показано, що:

• усі вдосконалення завдань захисту порівняно з профілем за­
хисту реалізовані коректно і в напрямку їхнього розвитку та
конкретизації;

• усі вдосконалення вимог безпеки порівняно з профілем за­
хисту реалізовані коректно і в напрямку їхнього розвитку та
конкретизації;

Розділ 8. Критерії безпеки інформаційних технологій

всі завдання захисту профілю захисту успішно реалізовані і всі вимоги профілю захисту вдоволені;

ніякі додатково введені в проект захисту спеціальні завдання захисту та вимоги безпеки не суперечать профілю захисту.

8.3. ФУНКЦІОНАЛЬНІ ВИМОГИ ДО ЗАСОБІВ ЗАХИСТУ 8.3.1. Загальна характеристика ФВБ

Функціональні вимоги безпеки (ФВБ) [security functional requirements] — вимоги безпеки, які в Загальних критеріях рег­ламентують функціонування компонентів ІТ-продукту, що за­безпечують безпеку, і визначають можливості засобів захисту. ФВБ декларуються у вигляді добре розробленої формальної структури. Набір ФВБ узагальнює усі існуючі раніше стандарти інформаційної безпеки і відрізняється всеосяжною повнотою і найдокладнішою деталізацією. ФВБ розділені на 11 класів функ­ціональних вимог безпеки і 67 розділів функціональних вимог.

Опис кожної вимоги будується за наступною схемою (рис. 8.5):

• назва [component identification], що містить унікальну назву
вимоги, яка використовується для посилань на неї із профілю
і проекту захисту;

• зміст вимоги [functional elements], де проводиться основна
думка про те, що функціональний склад вимоги Загальні
критерії дозволяють використовувати тільки без змін, що за­
безпечує їх стандартизацію;

• сполучені вимоги [dependencies], що є необов'язковим пунк­
том, який містить список вимог різних розділів і класів, вико­
нання яких розглядається як необхідна попередня умова для
реалізації даної вимоги.

Клас ФВБ [functional class] в Загальних критеріях — верхній рівень формальної структури функціональних вимог безпеки. Містить наступні елементи:

• назву класу [class name];

• опис класу [class introduction];

• розділи ФВБ [functional families].

Функціональні вимоги розподілені на 11 класів ФВБ (рис. 8.6):

• аудит;

• причетність до приймання/передавання;

• криптографія;

• захист інформації;

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ

• ідентифікація та автентифікація;

• управління безпекою;

• конфіденційність роботи в системі;

• надійність засобів захисту;

• контроль за використанням ресурсів;

• контроль доступу до системи;

• пряма взаємодія.

Зміст класів ФВБ відрізняється своєю всеохоплюючою повно­тою і багаторівневим підходом до забезпечення безпеки. Окремі класи вимог спрямовані на забезпечення безпеки самих засобів захисту, контролю за експлуатацією системи, забезпечення кон­фіденційності сеансів доступу до системи та організації обміну інформацією.

Вимоги конфіденційності, цілісності та управління доступом об'єднані в один клас захисту інформації, що виглядає цілком логічно і повністю відповідає їх призначенню. Слід відзначити наявність, крім політики управління доступом, також політики керування інформаційними потоками, а також відділення вимог до політики безпеки від вимог до засобів реалізації.

Клас вимог до безпеки самих засобів захисту є найбільш об'ємним, що визначається високим ступенем деталізації вклю­чених до нього вимог до методів і засобів забезпечення нормаль­ного функціонування засобів захисту.

Особлива увага приділяється контролю за доступом до сис­теми і конфіденційності сеансів роботи з нею. Вимоги до органі­зації інформаційного обміну обмежуються неможливістю учас­ників взаємодії ухилятися від відповідальності.

Розділ ФВБ [assurance family] — складова частина класу ФВБ. Структура розділу містить наступні елементи:

• назва та позначення розділу [family name];

• опис розділу [family behaviour];

• ранжирування вимог [component levelling];

• керовані параметри [management];

• об'єкти реєстрації та обліку [audit];

• вимоги [components].

Розділ 8. Критерїї безпеки інформаційних технологій

Кожний розділ має свою унікальну назву і семисимвольний ідентифікатор, який складається з трибуквеного ідентифікатора класу, знаку підкреслення і трибуквеного позначення розділу.

Набір вимог представляє собою ієрархічну структуру, в якій підсилення вимог здійснюється монотонно, але при цьому не є лінійним упорядкованим списком.

Вимоги, які стоять в ієрархії вище інших включають у себе ниж-честоящі вимоги. Це означає, що у профілі захисту необхід­но використати тільки одну з таких вимог.

Вимоги, не пов'язані відносинами ієрархічності, є незалежни­ми і можуть використовуватися одночасно.

Ранжирування функціональних вимог здійснюється не за єди­ною універсальною шкалою безпеки, як в інших критеріях, а за множиною часткових критеріїв (більше 280). Набір цих критеріїв являє собою ієрархічну структуру у вигляді невпорядкованого списку порівнянних і непорівнянних вимог, в якому підсилення вимог здійснюється монотонно від нижчих рівнів до вищих. Ця структура має вигляд спрямованого графа — підсилення вимог безпеки здійснюється при рухові по його ребрах.

8.3.2. Класи функціональних вимог безпеки

Аудит

Клас ФВБ: аудит [с. FAU: security AUdit] включає наступні розділи ФВБ:

• автоматичне реагування на спроби порушення безпеки;

• реєстрація та облік подій;

• аналіз протоколу аудита;

• доступ до протоколу аудита;

• відбір подій для реєстрації й обліку;

• протокол аудита.

Розділ ФВБ: [security audit Automatic ResPonse (FAU_ARP)] включає вимогу — засоби захисту повинні реагувати на спроби порушення безпеки [security alarms (FAU_ARP.l)].

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Розділ ФВБ: реєстрація й облік подій [security audit data GENeration (FAU_GEN)| включає незалежні функціональні ви­моги безпеки:

• реєстрація заданої множини подій і задавання облікової інфор­
мації для подій кожного типу [audit data generation (FAU_GENJ)];

• реєстрація, облік подій та реєстрація користувачів, які ініцію­
вали події [user identity association (FAU_GEN.2)].

Розділ ФВБ: аналіз протоколу аудита [Security Audit Analysis (FAU_SAA)] включає функціональну вимогу безпеки — виявлен­ня потенційно небезпечних подій на основі контролю за діапазо­нами параметрів обліку на основі фіксованої множини правил [potential violation analysis (FAU_SAA.l)], яка підсилюється двома незалежними вимогами:

• статистичне розпізнавання вторгнень на основі аналізу про­
філів роботи користувачів [profile based anomaly detection
(FAU_SAA.2)];

• динамічне розпізнавання сигнатур елементарних атак на ос­
нові простих евристик [simple attack heuristics (FAU_SAA.3)].
Вимога FAU_SAA.3 підсилюється вимогою — розпізнавання

комплексних атак на основі складних евристик [complex attack heuristics (FAU_SAA.4)].'

Розділ ФВБ: доступ до протоколу аудита [Security Audit Review (FAU_SAR)] включає незалежні функціональні вимоги безпеки:

• надання доступу до протоколу аудита для обмеженого набо­
ру авторизованих користувачів [audit review (FAU_SAR.l)];

• захист протоколу аудита від неавторизованих користувачів
[restricted audit review (FAU_SAR.2)];

• вибіркове керування доступом до протоколу аудита [selectable
audit review (FAU_SAR.3)].

Розділ ФВБ: відбір подій для реєстрації та обліку [security audit event SELection (FAU_SEL)] включає вимогу безпеки — виз­начення множини властивих аудитові подій на основі заданого набору атрибутів [selective audit (FAU_SEL.l)].

Розділ ФВБ: протокол аудита [security audit event SToraGe (FAU_STG)] включає дві незалежні функціональні вимоги безпеки:

Розділ 8. Критерії безпеки інформаційних технологій

• виділення ресурсів під протокол аудита, захист протоколів
від неавторизованої модифікації або видалення [protected
audit trail storage (FAU_STG.l)];

• попередження втрати записів протоколу аудита у випадку
зменшення об'єму ресурсів, які відведені під протокол аудита
до певної межі [action in case of possible audit data loss (FAU_
STG.3)]. Кожна з незалежних вимог підсилюється відповідно
вимогами:

• гарантована доступність протоколу аудита [guarantees of
audit data availability (FAU_STG.2)];

• попередження втрат записів аудита у випадку вичерпання ре­
сурсів, які відведені під протокол аудита [prevention of audit
dataloss(FAU_STG.4)].

Захист інформації

Клас ФВБ: захист інформації [с. FDP: user Data Protection] включає наступні розділи ФВБ:

• політики управління доступом;

• засоби управління доступом;

• автентифікація інформації;

• експорт інформації із системи;

• політики управління інформаційними потоками;

• засоби управління інформаційними потоками;

• імпорт інформації;

• захист інформації при передаванні внутрішніми каналами;

• знищення залишкової інформації;

• відкіт;

• контроль цілісності інформації у процесі зберігання;

• захист внутрішньосистемного передавання інформації при
використанні зовнішніх каналів;

• цілісність внутрішньосистемного передавання інформації
при використанні зовнішніх каналів.

Розділ ФВБ: політики управління доступом [ACcess Control policy (FDP_ACC) включає ієрархічно залежні вимоги безпеки:

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• управління доступом для обмеженої множини операцій і
об'єктів [subset access control (FDP_ACC.l)];

• управління доступом для повної множини об'єктів, суб'єктів
і операцій. Будь-яка операція, яка здійснюється будь-яким
об'єктом, повинна контролюватися принаймні одною полі­
тикою управління доступом [complete access control (FDP_
ACC2)].

Розділ ФВБ: засоби управління доступом [Access Control Functions (FDP_ACF)] включає вимогу безпеки — управління доступом на основі атрибутів безпеки або іменованих груп атри­бутів із явним дозволом або відмовою в доступі [security attribute based access control (FDP_ACF.l)].

Розділ ФВБ: автентифікація інформації [Data AUtentificati-on (FDP_DAU)] включає ієрархічно залежні функціональні ви­моги безпеки:

• автентифікація інформації, що міститься в об'єкті доступу
[basic data authentication (FDP_DAU.l)];

• автентифікація інформації, що міститься в об'єкті доступу з
ідентифікацією суб'єкта, який здійснює автентифікацію [data
authentication with identity of guarantor (FDP_DAU.2)].
Розділ ФВБ: експорт інформації із системи [Export to outside

TSF Control (FDP_ETC)] включає незалежні функціональні ви­моги безпеки:

• експорт інформації без атрибутів безпеки [export of user data
without security attributes (FDP_ETC.l)];

• експорт інформації разом з атрибутами безпеки [export of
user data with security attributes (FDP_ETC2)].

Розділ ФВБ: політики управління інформаційними пото­ками [Information Flow Control policy (FDP_IFC)] включає ієрар­хічно залежні функціональні вимоги безпеки:

• управління інформаційними потоками для обмеженої мно­
жини операцій і потоків [subset information flow control (FDP_
IFC.1)];

• управління доступом до повної множини потоків, суб'єктів
і операцій. Будь-яка політика керування потоками повин-

Розділ 8. Критерії безпеки інформаційних технологій

на контролювати всі операції у системі. Усі потоки інфор­мації в системі повинні контролюватися принаймні однією політикою управління інформаційними потоками [complete information flow control (FDP_IFC2)].

Розділ ФВБ: засоби управління інформаційними потока­ми [Information Flow control Functions (FDP_IFF)] включає неза­лежні функціональні вимоги безпеки:

• управління інформаційними потоками на основі атрибутів
безпеки інформації й суб'єктів, між якими здійснюється об­
мін інформацією [simple security attributes (FDP_IFF.l)];

• контроль схованих інформаційних потоків [limited illicit
information flows (FDPJFF.3)];

моніторинг схованих інформаційних потоків і обмеження їхньої пропускної здатності [illicit information flow monitoring (FDPJFF.6)].

Вимога FDP_IFF.l підсилюється вимогою — управління ін­формаційними потоками на основі ієрархічно впорядкованих атрибутів безпеки, що присвоєні усім інформаційним потокам і утворюють грати [hierarchical security attributes (FDP_IFF.2)].

Вимога FDP_IFF.3 підсилюється ієрархічно залежними вимо­гами:

часткова заборона схованих інформаційних потоків [partial elimination of illicit information flows (FDP_IFF.4)];

повна заборона схованих інформаційних потоків [no illicit information flows (FDPJFF.5)].

Розділ ФВБ: імпорт інформації [Import from outside TSF Control (FDP_ITC)] включає незалежні функціональні вимоги безпеки:

імпорт інформації без атрибутів безпеки [import of user data without security attributes (FDPJTC.l)];

імпорт інформації разом з атрибутами безпеки [import of user data with security attributes (FDPJTC2)].

Розділ ФВБ: захист інформації при передаванні внутріш­німи каналами [Internal TOE Transfer (FDPJTT)] включає неза­лежні функціональні вимоги безпеки:

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

• базові засоби захисту інформації, що передається [basic
internal transfer protection (FDP_ITT.l)];

• контроль цілісності інформації, що передається [integrity
monitoring (FDPJTT.3)].

Ці вимоги відповідно підсилюються вимогами:

• передавання даних із різними атрибутами безпеки окремими
каналами [transmission separation by attribute (FDP_ITT.2)];

• застосування різноманітних методів контролю цілісності
в залежності від атрибутів безпеки [attribute-based integrity
monitoring(FDP_ITT.4)].

Розділ ФВБ: знищення залишкової інформації [Residual Information Protection (FDP_RIP)] включає ієрархічно залежні вимоги безпеки функціональні:

• знищення залишкової інформації для певної підмножини
об'єктів при їхньому створенні й вилученні [subset residual
information protection (FDP_RIP.l)];

• знищення залишкової інформації для всіх об'єктів при їх
створенні або вилученні [full residual information protection
(FDP_RIR2)].

Розділ ФВБ: відкіт [ROLlback (FDP_ROL)] включає незалеж­ні функціональні вимоги безпеки:

• обмеження можливості здійснення відкоту для певної підмно­
жини операцій на задане число кроків [basic rollback (FDP_ROL.

1)];

• розширення можливостей здійснення відкоту для всіх опера­
цій на задане число кроків [advanced rollback (FDPJRO1.2)].
Розділ ФВБ: контроль цілісності інформації у процесі збе­
рігання [Stored Data Integrity (FDP_SDI)] включає ієрархічно за­
лежні функціональні вимоги безпеки:

• виявлення порушень цілісності інформації у процесі збері­
гання [stored data integrity monitoring (FDP_SDI.l)];

• виявлення порушень цілісності інформації у процесі збері­
гання і визначення реакції на виявлені помилки [stored data
integrity monitoring and action (FDP_SDL2)].

Розділ ФВБ: захист внутрішньосистемного передавання інформації при використанні зовнішніх каналів [inter-TSF User data Confidentiality Transfer protection (FDP_UCT)] включає

Розділ 8. Критерії безпеки інформаційнихтехнологій

' функціональну вимогу безпеки — захист інформації при спря­муванні її у зовнішній канал [basic data exchange confidentiality (FDPJJCT.1)].

Розділ ФВБ: цілісність внутрішньосистемного передаван­ня інформації при використанні зовнішніх каналів [inter-TSF User data integrity Transfer protection (FDP_UIT)] включає неза­лежні функціональні вимоги безпеки — виявлення порушень цілісності при передаванні інформації [data exchange integrity (FDP_UIT.l)] і відновлення інформації одержувачем [source data exchange recovery (FDP_UIT.2)], яка підсилюється вимогою — повторне передавання інформації [destination data exchange recovery (FDP_UIT.3)].

Ідентифікація та автентифікація

Клас ФВБ: ідентифікація та автентифікація включає на­ступні розділи ФВБ:

• реакція на невдалі спроби автентифікації;

• атрибути безпеки користувачів;

• автентифікаційні параметри;

• автентифікація користувачів;

• ідентифікація користувачів;

• відповідність користувачів і суб'єктів.

Розділ ФВБ: реакція на невдалі спроби автентифікації [Authentication FaiLures (FIA_AFL)] включає вимогу безпеки — засоби ідентифікації й автентифікації повинні припиняти спро­би встановлення сеансів роботи із системою після встановленого числа невдалих спроб автентифікації і призупиняти обслугову­вання засобів, що задіяні в ході цих спроб [authentication failure handling (FIA_AFL.l)].

Розділ ФВБ: атрибути безпеки користувачів [user ATtri-bute Definition (FIA_ ATD)] включає вимогу безпеки — індивідуаль­не призначення атрибутів безпеки користувачів [user attribute definition (FIA_ATD.l)].

Розділ ФВБ: автентифікаційні параметри [Specification Of Secrets (FIA_SOS)] включає незалежні функціональні вимоги безпеки:

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНШЕХНОЛОГІЙ

• перевірка якості автентифікаційних параметрів відповідно
до заданих критеріїв [verification of secrets (FIA_SOS.l)];

• автоматична генерація автентифікаційних параметрів і пе­
ревірка їхньої якості відповідно до заданих критеріїв [TSF
generation of secrets (FIA_SOS.2)].

Розділ ФВБ: автентифікація користувачів [User Authentication (FIA_UAU)] включає незалежні функціональні вимоги безпеки:

• обов'язковість автентифікації користувачів [timing of
authentication (FIAJUAU.l)];

• механізм автентифікації повинен розпізнавати та поперед­
жувати використання підроблених автентифікаційних пара­
метрів або їхніх дублікатів [unforgeable authentication (FIA_
UAU.3)];

• використання одноразових автентифікаційних параметрів
[single-use authentication mechanisms (FIAJLJAU.4)];

• використання множини механізмів автентифікації, що ви­
користовується залежно від ситуації [multiple authentication
mechanisms (FIA_UAU.5)];

• застосування механізмів повторної автентифікації для ви­
конання встановленої множини операцій [re-authenticating
(FIAJJAU.6)];

• мінімізація інформації, що надається користувачеві в про­
цесі проходження процедури автентифікації [protected
authentication feedback (FIA_UAU.7)].

Вимога FIA_UAU.l підсилюється вимогою — неможливість здійснення дій, що контролюються засобами захисту, без успіш­ного проходження процедури автентифікації [user authentication before any action (FIA_UAU.2)].

Розділ ФВБ: ідентифікація користувачів [User IDentificati-on (FIA_UID)] включає ієрархічно залежні функціональні вимо­ги безпеки:

• обов'язковість ідентифікації користувачів [timing of
identification (FIA\_UID.l)];

• неможливість здійсненні дій, що контролюються засобами
захисту, без успішного проходження процедури ідентифіка­
ції [user identification before any action (FIA_UID.2)].

Розділв. Критерії безпеки інформаційних технологій

Розділ ФВБ: відповідність користувачів і суб'єктів [User-Subject Binding (FIA_USB)] включає вимогу безпеки — присвоєн­ня суб'єктам, що діють від імені користувача, його атрибутів без­пеки [user-subject binding (FIA_USB.l)].

Управління безпекою

Клас ФВБ: управління безпекою [с. FMT: security Manege-men T] включає наступні розділи ФВБ:

• управління засобами захисту;

• управління атрибутами безпеки;

• управління параметрами та конфігурацією засобів захисту;

• відкликання атрибутів безпеки;

• обмеження строку дії атрибутів безпеки;

• адміністративні ролі.

Розділ ФВБ: управління засобами захисту [Management Of Functions in TSF (FMT_MOF)] включає вимогу безпеки — уп­равління авторизованими користувачами засобами захисту [management of security functions behaviour (FMT_MOF.l)].

Розділ ФВБ: управління атрибутами безпеки [Management of Security Attributes (FMT_MSA)] включає незалежні функціо­нальні вимоги безпеки:

• управління авторизованими користувачами атрибутами без­
пеки [management of security attributes (FMT_MSA.l)];

• контроль коректності значень атрибутів безпеки [secure
security attributes (FMT_MSF2)];

• коректна ініціалізація атрибутів безпеки визначеними зна­
ченнями [static attribute initialization (FMT_MSA.3)].
Розділ ФВБ: управління параметрами та конфігурацією

засобів захисту [Management of TSF Data (FMT_MTD)j включає незалежні функціональні вимоги безпеки:

• управління параметрами та конфігурацією засобів захис­
ту авторизованими користувачами [management of TSF data
(FMT_MTD.l)];

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• виконання заданих дій у разі виходу параметрів функціону­
вання засобів захисту за встановлені межі [management of
limits on TSF data (FMT_MTD.2)];

• автоматичний контроль коректності конфігурації й парамет­
рів засобів захисту [secure TSF data (FMT_MTD.3)].

Розділ ФВБ: відкликання атрибутів безпеки [REVolocation (FMT_REV)] включає вимогу безпеки — відкликання атрибутів безпеки відповідно до встановлених правил [revocation (FMT_ REV.1)].

Розділ ФВБ: обмеження строку дії атрибутів безпеки [Security Attribute Expiration (FMT_SAE)] включає вимогу безпе­ки — визначення строку дії атрибутів безпеки авторизованими користувачами [time-limited authorization (FMT_SAE.l)].

Розділ ФВБ: адміністративні ролі [Security Management Roles (FMT_SMR)] включає наступні функціональні вимоги безпеки:

• використання адміністративних ролей для управління безпе­
кою [security roles (FMT_SMR.l)];

• надання ролевих повноважень за запитом користувача
[assuming roles (FMT_SMR.3)].

Вимога FMT_SMR.l підсилюється вимогою — використання впорядкованого набору адміністративних ролей для управління безпекою [restrictions on security roles (FMT_SMR.2)];.

Контроль доступу до системи

Клас ФВБ: контроль доступу до системи [с. FTA: TOE Access] включає наступні розділи ФВБ:

• обмеження на використання атрибутів безпеки;

• обмеження числа одночасних сеансів;

• блокування сеансу роботи із системою;

• об'яви, попередження, запрошення та підказки;

• протокол сеансів роботи із системою;

• управління сеансами роботи із системою.

Розділ ФВБ: обмеження на використання атрибутів безпе­ки [Limitation on scope of Selectable Attributes (FTA_LSA)] включає

Розділ 8. Критерії безпеки інформаційних технологій

вимогу безпеки — обмеження множини атрибутів безпеки, які використовуються користувачем у межах однієї сесії [limitation on scope of selectable attributes (FTA_LSA.l)].

Розділ ФВБ: обмеження числа одночасних сеансів [limitation on Multiple Concurrent Sessions (FTAJVtCS)] включає ієрархічно залежні функціональні вимоги безпеки:

• обмеження числа одночасних сеансів [basic limitation on
multiple concurrent sessions (FTA_MCS.l)];

• обмеження числа одночасних сеансів у залежності від атри­
бутів безпеки користувачів [per user attribute limitation on
multiple concurrent sessions (FTA_MCS.2)].

Розділ ФВБ: блокування сеансу роботи із системою [SeSsi-on Locking (FTA_SSL)] включає незалежні функціональні вимоги безпеки:

• автоматичне блокування сеансу роботи після вказаного пе­
ріоду неактивності [TSF-initiated session locking (FTA_SSL.l)];

• блокування сеансу користувачем [user-initiated locking (FTA_
SSL.2)];

• автоматичне завершення сеансу роботи після закінчення за­
дано го періоду неактивності [TSF-initiated termination (FTA_
SSL.3)].

Розділ ФВБ: об'яви, попередження, запрошення та підказ­ки [TOE Assess Banners (FTA_TAB)] включає вимогу безпеки — демонстрація об'яв, попереджень, запрошень і підказок перед початком сеансу роботи із системою [default TOE access banners (FTA_TAB.l)].

Розділ ФВБ: протокол сеансів роботи із системою [TOE Assess History (FTA_TAH)] включає вимогу безпеки — реєстра­ція й демонстрація користувачам протоколу сеансів їхньої робо­ти й спроб входу в систему [TOE access history (FTAJTAH.l)].

Розділ ФВБ: управління сеансами роботи із системою [TOE Session Establishment (FTA_TSE)] включає вимогу безпеки — за­борона встановлення сеансу роботи із системою на основі зада­ної множини правил [TOE session establishment (FTAJTSE.l)].

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Контроль за використанням ресурсів

Клас ФВБ: контроль за використанням ресурсів [с. FRU: Resource Utilisation] включає наступні розділи ФВБ:

• стійкість до відмов;

• розподіл ресурсів на основі пріоритетів;

• квотування ресурсів.

Розділ ФВБ: стійкість до відмов [FauLt Tolerance (FRU _ FLT)] включає ієрархічно залежні функціональні вимоги безпеки:

• забезпечення працездатності системи на заданому рів­
ні у випадку виникнення вказаних збоїв [degraded fault
tolerance(FRU_FLT.l)];

• забезпечення нормальної роботи системи у випадку виник­
нення вказаних збоїв [limited fault tolerance (FRU_FLT.2)].
Розділ ФВБ: розподіл ресурсів на основі пріоритетів [PRi-

ority of Service(FRU_PRS)] включає ієрархічно залежні функціо­нальні вимоги безпеки:

• розподіл обмеженої підмножини ресурсів системи на основі
пріоритетів [limited priority of service (FRU_PRS.l)];

• розподіл усіх ресурсів на основі пріоритетів [full priority of
service (FRU_PRS.2)].

Розділ ФВБ: квотування ресурсів [ReSource Allocation (FRU_RSA)] включає ієрархічно залежні функціональні вимоги безпеки:

• обмеження на споживання користувачами ресурсів системи
за допомогою квот [maximum quotas (FRU_RSA.l)];

• обмеження на споживання користувачами ресурсів системи
за допомогою квот і резервування для споживача гарантова­
ної множини ресурсів [minimum and maximum quotas (FRU_
RSA.2)].

Конфіденційність роботи в системі

Клас ФВБ: конфіденційність роботи в системі [с. FPR: PRivacy] включає наступні розділи ФВБ:

• анонімність користувачів;

• використання псевдонімів;

Розділ 8. Критерії безпеки інформаційних технологій

• анонімність сеансів роботи із системою;

• захист від моніторингу сеансів роботи із системою.

Розділ ФВБ: анонімність користувачів [ANOnymity (FPR_ ANO)] включає ієрархічно залежні функціональні вимоги без­пеки:

• анонімність суб'єктів, які представляють інтереси користува­
чів [anonymity (FPR_ANO.l)];

• анонімність ідентифікаторів користувачів для середовища за­
хисту [anonymity without soliciting information (FPR_AN0.2)].
Розділ ФВБ: використання псевдонімів [PSEudonymity
(FPR_PSE)] включає вимогу безпеки — контроль дій анонім­
них користувачів за допомогою псевдонімів [pseudonymity (FPR_
Р5Е.1)],яка підсилюється незалежними вимогами:

• встановлення особистості користувача за псевдонімом
[reversible pseudonymity (FPR_PSE.2)];

• призначення псевдонімів відповідно до заданих правил [alias
pseudonymity (FPR_PSE.3)].

Розділ ФВБ: анонімність сеансів роботи із системою [UNLinkability (FPR_UNL)] включає вимогу безпеки — немож­ливість встановлення ініціатора операцій, що здійснюються в системі [unlinkability (FPRJJNL.l)j.

Розділ ФВБ: захист від моніторингу сеансів роботи із сис­темою [UNObservability (FPR_UNO)] включає незалежні функ­ціональні вимоги безпеки:

• захист операцій, що відбуваються в системі, від моніторингу
[unobservability (FPRJJNO.1)];

• заборона засобам захисту запитувати у користувача кон­
фіденційну інформацію [unobservability without soliciting
information (FPRJUN0.3)];

• моніторинг роботи системи та використання ресурсів тільки
авторизованими користувачами [authorised user observability
(FPR_UN0.4)].

Вимога FPR_UNO.l підсилюється вимогою — розосереджен­ня критичної інформації між різними компонентами засобів захисту [allocation of information impacting unobservability (FPR_ UN0.2)].

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Криптографія

Клас ФВБ: криптографія [с. FCS: Cryptographic Support] включає наступні розділи ФВБ:

• управління ключами;

• криптографічні засоби.

Розділ ФВБ: управління ключами [Cryptographic Key Management (FCO_CKM)] включає незалежні функціональні ви­моги безпеки:

• генерація ключів заданого розміру за певними алгоритма­
ми у відповідності до певних стандартів [cryptographic key
generation (FCO_CKM.l)];

• розподіл ключів способами, визначеними в спеціальних стан­
дартах [cryptographic key distribution (FCO_CKM.2)];

• здійснення доступу до ключів із використанням методів, ви­
значених у спеціальних стандартах [(FCO_CKM.3)];

• знищення ключів із використанням методів, визначених у
спеціальних стандартах [cryptographic key destruction (FCO_
CKM.4)].

Розділ ФВБ: криптографічні засоби [Cryptographic OPeration (FCO_COP)] включає вимогу безпеки — виконання криптогра­фічних операцій з використанням ключів заданого розміру і ви­значених алгоритмів у відповідності до спеціальних стандартів [cryptographic operation (FCO_COP.l)].

Надійність засобів захисту

Клас ФВБ: надійність засобів захисту [с. FPT: Protection of the TSF] включає наступні розділи ФВБ:

• тестування апаратно-програмної платформи;

• захист від збоїв;

• готовність засобів захисту до обслуговування віддалених
клієнтів;

• конфіденційність інформації, що передається, при роботі з
віддаленими клієнтами;

• цілісність інформації, що передається, при роботі з віддале­
ними клієнтами;

Розділ 8. Критерії безпеки інформаційних технологій

• захист внутрішніх каналів інформаційного обміну між засо­
бами захисту;

• фізичний захист;

• безпечне відновлення після збоїв;

• розпізнавання повторного передавання інформації та іміта­
ція подій;

• моніторинг взаємодій;

• розподіл доменів;

• синхронізація;

• час;

• погодженість обміну інформацією між засобами захисту;

• реплікація інформації, що використовується засобами за­
хисту;

• самотестування засобів захисту.

Розділ ФВБ: безпечне відновлення після збоїв [trusted ReCoVery (FPT_RCV)] включає незалежні функціональні вимоги безпеки:

• ручне відновлення після збоїв [manual recovery (FPT_RCV.l)];

• відновлення після збоїв шляхом здійсненні відкоту в безпеч­
ний стан [function recovery (FPT_RCV.4)].

Вимога FPT_RCV.l підсилюється ієрархічно залежними вимо­гами:

• автоматичне відновлення після збоїв [automated recovery(FPT_
"'^:1 RCV.2)];

• автоматичне відновлення після збоїв із мінімізацією втрат
інформації [automated recovery without undue loss (FPT_

•^;; RCV.3)].

_u Розділ ФВБ: готовність засобів захисту до обслуговування віддалених клієнтів [availability of exported TSF data (FPTJTA)] включає вимогу безпеки — забезпечення готовності засобів за­хисту до обслуговування віддалених клієнтів із заданою ймовір­ністю [inter-TSF availability within a defined availability metric (FPT_ ITA.1)].

Розділ ФВБ: захист від збоїв [FaiL Secure (FPTFLS)] включає вимогу безпеки — збереження безпечного стану у разі виникнен­ня збоїв [failure with preservation of secure state (FPT_FLS.l)].

ЧастинаII.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

Розділ ФВБ: захист внутрішніх каналів інформаційного обміну між засобами захисту [Internal TOE TSF data transfer (ГРТ_ІТТ)]включає вимогу безпеки — базові засоби захисту ін­формаційного обміну між засобами захисту [basic internal TSF data transfer protection (FPT_ITT.l)], яка підсилюється незалеж­ними вимогами:

Поиск по сайту: