АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Загальні критерії безпеки інформаційних технологій

Читайте также:
  1. I. Мета, завдання та загальні вимоги до виконання курсової роботи
  2. The United States Department of Homeland Security (DHS) – Міністерство внутрішньої безпеки СШA.
  3. АКАДЕМІЯ ПОЖЕЖНОЇ БЕЗПЕКИ ІМЕНІ ГЕРОЇВ ЧОРНОБИЛЯ
  4. Аналіз існуючих теоретико-практичних розробок створення інформаційних систем для вирішення обраної проблеми.
  5. Аналіз факторів та критеріїв сегментації
  6. Апаратура, загальні вказівки по виконанню процедур
  7. Апаратура, загальні вказівки по виконанню процедур
  8. Базові закони у сфері інформації та інформатизації. Закони, що врегульовують певні види інформаційних відносин (видове законодавство).
  9. Бездіяльність слідчого або прокурора при застосуванні заходів безпеки.
  10. Біологічні фактори небезпеки
  11. Вжити необхідних заходів для забезпечення безпеки особи згідно із законодавством.
  12. Використання розширеного фільтру в середовищі EXEL,типи критеріїв.

ICommon Criteria for Information Technology Security Evaluation (лЛЛ-TSE)] — стандарт інформаційної безпеки [81], що узагаль-Ює Зміст і досвід використання «Помаранчевої книги».


В ньому розвинені «Європейські критерії», втілена в реальні структури концепція типових профілів захисту «Федеральних критеріїв» США і відповідно до «Канадських критеріїв» пред­ставлена однакова основа для формулювання розробниками, ко­ристувачами та оцінювачами інформаційних технологій (експер­тами з кваліфікації) вимог, метрик і гарантій безпеки.

Версія 2.1 цього стандарту затверджена Міжнародною органі­зацією із стандартизації (ISO) в 1999 р. як міжнародний стандарт інформаційної безпеки ISO/IES 15408.

Матеріали стандарту являють собою енциклопедію вимог і гарантій з інформаційної безпеки, які можуть відбиратися та ре алізовуватися у функціональні стандарти (профілі захисту) забез­печення інформаційної безпеки для конкретних систем, мереж і засобів як користувачами (по відношенню до того, що вони хочуть одержати в продукті, який пропонується), так і розробниками й операторами мереж (по відношенню до того, що вони гарантують у продукті, який реалізується).

До складу Загальних критеріїв входять три основні частини (рис. 8.1):

• частина 1 —«Уявлення та загальна модель» [Part I: Introduction
and general model];

• частина 2 — «Вимоги до функцій безпеки» [Part I: Security
functional requirements];

• частина 3 — «Вимоги гарантій безпеки» [Part I: Security
assurance requirements].

За межі стандарту винесена частина 4 — «Напередвизначені профілі захисту», із-за необхідності постійного поповнення ката­логу профілів захисту.

Основними компонентами безпеки Загальних критеріїв є:

• потенційні загрози безпеці та завдання захисту;

• політика безпеки;

• продукт інформаційних технологій;

• профіль захисту;

• проект захисту;

• функціональні вимоги безпеки;



 


вимоги гарантій безпеки;

• рівні гарантій.

Стандарт Загальних критеріїв описує тільки загальну схе­му проведення кваліфікаційного аналізу та сертифікації, але не регламентує процедуру їх здійснення. Питаннями методології кваліфікаційного аналізу та сертифікації присвячений окре­мий документ авторів Загальних критеріїв — Загальна мето­дологія оцінки безпеки інформаційних технологій [Common Methodology for Information Technology Security Evaluation (CMITSE)], який є додатком до стандарту.

Кваліфікаційний аналіз [evaluation] — це аналіз обчис­лювальної системи з метою визначення рівня її захищеності та відповідності вимогам безпеки на основі критеріїв стандарту ін­формаційної безпеки. Інша назва кваліфікування рівня безпеки (Рис. 8.2).


Розділ 8. Критерії безпеки інформаційних технологій

Згідно з Загальними критеріями кваліфікаційний аналіз може здійснюватися як паралельно з розробленням ІТ-продукту, так і після її завершення.

Для проведення кваліфікаційного аналізу розробникпродукту повинен надати наступні матеріали:

• профіль захисту;

• проект захисту;

• різноманітні обґрунтування і підтвердження властивостей та
можливостей ІТ-продукту, одержані розробником;

• сам ІТ-продукт;

• додаткові відомості, одержані шляхом проведення різнома­
нітних незалежних експертиз.

Процес кваліфікаційного аналізу включає три стадії:

• аналіз профілю захисту на предмет його повноти, несу-
перечності, реалізованості та можливості використання у виг­
ляді набору вимог для продукту, що аналізується;

• аналіз проекту захисту на предмет його відповідності вимогам
профілю захисту, а також повноти, несуперечності, реалізова­
ності і можливості використання у вигляді еталона при аналізі
ІТ-продукту;

• аналіз ІТ-продукту на предмет відповідності проекту захисту.
Результатом кваліфікаційного аналізу є висновок про те, що

підданий аналізу ІТ-продукт відповідає представленому проекту захисту.

8.2.2. Потенційні загрози безпеці та типові завдання захисту

Загрози безпеці обчислювальної системи — впливи на об­числювальну систему, які прямо або побічно можуть нанести шкоду її безпеці. Розробники вимог безпеки та засобів захисту виділяють три види загроз:

• загрози порушення конфіденційності інформації;

• загрози порушення цілісності інформації;

• загрози порушення працездатності системи (відмови в об­
слуговуванні).


Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Загрози порушення конфіденційності — загрози безпеці обчислювальної системи, спрямовані на розголошення інформа­ції з обмеженим доступом.

Загрози порушення цілісності — загрози безпеці обчислю­вальної системи, що полягають у спотворенні або зміні неавтори-зованим користувачем інформації, що зберігається або передаєть­ся. Цілісність інформації може бути порушена як зловмисником, так і в результаті об'єктивних впливів із сторони середовища експлуатації системи. Найбільш актуальна ця загроза для систем передавання інформації — комп'ютерних мереж і систем телеко­мунікації.

Загрози порушення працездатності — загрози безпеці об­числювальної системи, спрямовані на створення ситуацій, коли в результаті навмисних дій понижується працездатність обчислю­вальної системи, або її ресурси стають недоступними.

Завдання захисту в Загальних критеріях декларуються на­ступним чином:

• захист від загроз порушення конфіденційності (несанкціоно­
ваного одержання) інформації з усіх каналів її витоку, особ­
ливо за рахунок каналів ПЕМВН і прихованих (таємних) ка­
налів зв'язку;

• захист від загроз порушення цілісності (несанкціонованого
змінювання інформації);

• захист від загроз порушення доступності інформації (не­
санкціонованого або випадкового обмеження інформації та
ресурсів самої системи);

• захист від загроз аудитові системи (наприклад, загрози не­
санкціонованих вторгнень у систему, маніпуляцій з прото­
колами обміну та аудиту, і загальносистемним програмним
забезпеченням).

8.2.3. Політика безпеки

Політика безпеки [security policy] — сукупність законів, норм і правил, що регламентують порядок оброблення, захисту і поширення інформації комп'ютерної системи.


Розділ 8. Критерії безпеки інформаційних технологій

В системах зв'язку політика безпеки є частиною загальної політики безпеки оператора зв'язку і може включати, зокрема, положення державної політики у галузі захисту інформації.

Для кожної системи (підсистеми) зв'язку політика безпеки може бути індивідуальною і може залежати від технології пере­давання, оброблення та зберігання інформації, що реалізуєть­ся, особливостей системи зв'язку, середовища експлуатації і від багатьох інших факторів. Політика повинна визначати ресурси системи зв'язку, які потребують захисту, зокрема встановлюва­ти категорії інформації, яка передається, оброблюється та збері­гається в системі. Мають бути сформульовані основні загрози для системи зв'язку, персоналу, інформації різних категорій і ви­моги до захисту від цих загроз.

Складовими частинами загальної політики безпеки в системі зв'язку мають бути політики забезпечення конфіденційності, цілісності і доступності інформації, що передається, оброб­люється і зберігається. Відповідальність персоналу за виконання положень політики безпеки має бути персоніфікована.

Частина політики безпеки, яка регламентує правила доступу користувачів і процесів системи зв'язку, складає правила розме­жування доступу.

8.2.4. Продукт інформаційних технологій

Продукт інформаційних технологій (ІТ-продукт) — сукуп­ність апаратних і (або) програмних засобів, яка поставляється кінцевому споживачеві як готовий до використання засіб оброб­лення інформації. Сукупність ІТ-продуктів об'єднується в функ­ціонально закінчений комплекс (продукт) для вирішення конк­ретного прикладного завдання в системі оброблення інформації.

Принциповою відмінністю між ІТ-продуктом і системою об­роблення інформації є наступне. ІТ-продукт звичайно розроб­ляється для використання в багатьох системах оброблення ін­формації, тому його розробник орієнтується тільки на найза-гальніші вимоги до середовища його експлуатації (умови його застосування і потенційні загрози інформації).


Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

Навпаки, система оброблення інформації розроблюється вузь­ко спеціалізованою для вирішення конкретних прикладних зав­дань і під конкретні вимоги споживачів, що дозволяє у повній мірі враховувати специфіку впливу зі сторони конкретного середови­ща експлуатації. Саме тому ІТ-продукт, а не система оброблення інформації, декларується в стандарті як універсальний компонент безпеки.

8.2.5. Профіль захисту

Профіль захисту [Protection Profile (PP)] — спеціальний нор­мативний документ, що регламентує сукупність завдань захисту, функціональних вимог безпеки, вимог гарантій безпеки та їхнє обґрунтування. Профіль захисту визначає вимоги безпеки до певної категорії ІТ-продуктів, не уточнюючи методи і засоби їх реалізації. За допомогою профілю захисту споживачі формують свої вимоги до розробників ІТ-продуктів.

Профіль захисту містить вступ, опис ІТ-продукту, середови­ще експлуатації, завдання захисту, вимоги безпеки, додаткові ві­домості, обґрунтування (рис. 8.3).

Профіль захисту: вступ [PP introduction] — розділ профілю захисту, який містить всю інформацію для пошуку профілю за­хисту в бібліотеці профілів. Вступ складається з ідентифікатора профілю захисту та огляду змісту. Ідентифікатор профілю захис­ту являє собою унікальне ім'я для його пошуку серед подібних йому профілів і позначення посилань на нього.

Огляд змісту профілю захисту містить коротку анотацію профілю захисту, на основі якої споживач може зробити висно­вок про придатність даного профілю захисту.

Профіль захисту: опис ІТ-продукту [TOE description] — роз­діл профілю захисту, який містить коротку характеристику ІТ-продукту, призначення, принцип роботи, методи використання і т. ін. Ця інформація не підлягає кваліфікаційному аналізові та сертифікації, але подається розробникам і експертам для пояс­нення вимог безпеки і визначення їхньої відповідності до за­вдань, що вирішуються за допомогою ІТ-продукту.


Профіль захисту: середовище експлуатації [TOE security ;nvironment] — розділ профілю захисту, що містить опис усіх аспектів функціонування ІТ-продукту, пов'язаних з безпекою.


Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

В середовищі експлуатації описуються умови експлуатації, за­грози безпеці, політика безпеки.

Опис умов експлуатації ІТ-продукту повинен містити вичерп­ну характеристику середовища його експлуатації з точки зору безпеки, в тому числі обмеження на умови його застосування.

Опис загроз безпеці, що діють у середовищі експлуатації, яким повинен протистояти захист ІТ-продукту. Для кожної за­грози повинно бути вказане її джерело, метод і об'єкт впливу.

Опис політики безпеки повинен визначати і, при необхід­ності, пояснювати правила політики безпеки, яка повинна бути реалізована в ІТ-продукті.

Профіль захисту: завдання захисту [security objectives] — розділ профілю захисту, що відображає потреби користувачів у протидії потенційним загрозам безпеці і (або) реалізації політи­ки безпеки. До складу завдань захисту входять завдання захисту ІТ-продукту та інші завдання захисту.

Завдання захисту ІТ-продукту повинні визначати та регла­ментувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки.

Інші завдання захисту повинні регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації полі­тики безпеки інших компонент комп'ютерної системи, що не від­носяться до сфери інформаційних технологій.

Профіль захисту: вимоги безпеки [IT security requirements] — розділ профілю захисту, що містить вимоги, яким повинен задо­вольняти ІТ-продукт для вирішення завдань захисту (типових, спеціальних і т. ін.). В розділі виставляються функціональні ви­моги безпеки, вимоги гарантій безпеки, вимоги до середовища експлуатації.

Функціональні вимоги повинні містити тільки типові вимо­ги, передбачені тільки відповідними розділами Загальних кри­теріїв. Необхідно забезпечити такий рівень деталізації вимог, який дозволяє продемонструвати їх відповідність до завдань за­хисту. Функціональні вимоги можуть дозволяти або забороняти використання конкретних методів і засобів захисту.


Розділ 8. Критерії безпеки інформаційних технологій

Вимоги гарантій містять посилання на типові вимоги рівнів гарантій Загальних критеріїв, проте допускають і визначення до­даткових вимог гарантій.

Вимоги до середовища експлуатації є необов'язковими і мо­жуть містити функціональні вимоги та вимоги гарантій, яким повинні задовольняти компоненти інформаційних технологій, що складають середовище експлуатації ІТ-продукту. На відміну від попередніх розділів, використання типових вимог «Загаль­них критеріїв» є бажаними, але не обов'язковими.

Профіль захисту: додаткові відомості [РР application notes] — необов'язковий розділ профілю захисту, що містить будь-яку додаткову інформацію, корисну для проектування, розробки, кваліфікаційного аналізу та сертифікації ІТ-продукту.

Профіль захисту: обґрунтування [rationale] — розділ профі­лю захисту, який повинен демонструвати, що профіль захисту містить повну й зв'язну множину вимог і що ІТ-продукт, який задовольняє їм, буде протистояти загрозам безпеці середовища експлуатації. Розділ складається з обґрунтування завдань захис­ту та обґрунтування вимог безпеки.

Обґрунтування завдань захисту повинно демонструвати, що завдання, які пропонуються у профілі, відповідають параметрам середовища експлуатації, а їх вирішення дозволить ефективно протистояти загрозам безпеці і реалізувати політику безпеки.

Обґрунтування вимог безпеки показує, що вимоги безпеки дозволяють ефективно вирішувати завдання захисту, оскільки:

• сукупність цілей окремих функціональних вимог безпеки
відповідають встановленим завданням захисту;

• вимоги безпеки є пов'язаними, тобто не суперечать, а взаєм­
но підсилюються; вибір вимог є виправданим (особливо це
стосується додаткових вимог);

• вибраний набір функціональних вимог і рівень гарантій від­
повідають завданням захисту.

Профіль захисту служить керівництвом для виробника та розробника ІТ-продукту, які повинні на його основі і технічних рекомендацій, що запропоновані ним, розробити проект захис-


Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

ту, який служить керівництвом для кваліфікаційного аналізу та сертифікації ІТ-продукту.

8.2.6. Проект захисту

Проект захисту [Security Target (ST)] — нормативний доку­мент, який включає вимоги та завдання захисту ІТ-продукту, а також описує рівень функціональних можливостей, реалізова­них у ньому засобів захисту, їх обґрунтування і підтвердження ступеню їхніх гарантій. Профіль захисту, з однієї сторони є від­правною точкою для розробника системи, а з іншої являє собою еталон системи в ході кваліфікаційного аналізу.

Профіль захисту містить вступ, опис ІТ-продукту, середови­ще експлуатації, завдання захисту, вимоги безпеки, загальні спе­цифікації ІТ-продукту, заявку на відповідність профілю захисту, обґрунтування (рис. 8.4). Багато розділів проекту захисту збіга­ються із однойменними розділами профілю захисту.

Проект захисту: вступ [ST introduction] — розділ проекту захисту, який містить інформацію, необхідну для ідентифікації проекту захисту, визначення призначення, а також огляд його змісту та заявку на відповідність вимогам Загальних критеріїв.

Ідентифікатор проекту захисту — унікальне ім'я проекту захисту для його пошуку та ідентифікації, а також відповідного ІТ-продукту.

Огляд змісту проекту захисту — достатньо докладна анота­ція проекту захисту, що дозволяє споживачам визначати придат­ність ІТ-продукту для вирішення завдань.

Заявка на відповідність Загальним критеріям — опис усіх властивостей ІТ-продукту, що підлягають кваліфікаційному аналізу на основі Загальних критеріїв.

Проект захисту: опис ІТ-продукту [TOE description] — розділ проекту захисту, який містить коротку характеристику ІТ-про­дукту, призначення, принцип роботи, методи використання і т. ін. Ця інформація не підлягає кваліфікаційному аналізові та сер­тифікації, але подається розробникам і експертам для пояснення



 


Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

вимог безпеки і визначення їхньої відповідності завданням, що вирішуються за допомогою ІТ-продукту.

Проект захисту: середовище експлуатації [TOE security environment] — розділ проекту захисту, що містить опис усіх ас­пектів функціонування ІТ-продукту, зв'язаних з безпекою. В се­редовищі експлуатації описуються умови експлуатації, загрози безпеці, політика безпеки.

Опис умов експлуатації ІТ-продукту повинен містити вичер­пну характеристику середовища його експлуатації з точки зору безпеки, в тому числі обмеження на умови його застосування.

Опис загроз безпеці, що діють у середовищі експлуатації, яким повинен протистояти захист ІТ-продукту. Для кожної за­грози повинно бути вказане її джерело, метод і об'єкт впливу.

Опис політики безпеки повинен визначати і, в разі необхід­ності, пояснювати правила політики безпеки, яка повинна бути реалізована в ІТ-продукті.

Проект захисту: завдання захисту [security objectives] — роз­діл проекту захисту, що відображає потреби користувачів у протидії потенційним загрозам безпеці і (або) реалізації політи­ки безпеки. До складу задач захисту входять завдання захисту ІТ-продукту та інші завдання захисту.

Завдання захисту ІТ-продукту повинні визначати і регламен­тувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки.

Інші завдання захисту повинні регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації полі­тики безпеки інших компонент комп'ютерної системи, що не на­лежить до сфери інформаційних технологій.

Проект захисту: вимоги безпеки [IT security requirements] — розділ проекту захисту, що містить вимоги безпеки до ІТ-про­дукту, якими керувався виробник у ході його розроблення. Цей розділ дещо відрізняється від аналогічного розділу профілю за­хисту.

Розділ функціональних вимог безпеки до ІТ-продукту на від­міну від відповідного розділу профілю захисту допускає вико­ристання крім типових вимог Загальних критеріїв і інших, спе-


Розділ 8. Критерії безпеки інформаційних технологій

цифічних для даного продукту та середовища його експлуатації. При описі таких спеціальних вимог необхідно зберігати стиль Загальних критеріїв і забезпечувати властиву їм ступінь деталі­зації.

Розділ вимог гарантій безпеки може включати рівні гарантій, не передбачені в Загальних критеріях. В даному випадку опис рів­ня гарантій повинен бути чітким, несуперечливим і мати ступінь деталізації, що допускає його використання в ході кваліфікацій­ного аналізу. При цьому бажано використати стиль і деталізації опису рівнів гарантій, прийняті в Загальних критеріях.

Проект захисту: загальні специфікації.-ІТ-продукту [TOE summary specification] — розділ проекту захисту, який описує механізми реалізації завдань захисту за допомогою визначення багаторівневих специфікацій засобів захисту у відповідності до функціональних вимог безпеки та вимог гарантій безпеки, що пред'являються. Складаються зі специфікацій функцій захисту та специфікацій рівня гарантій.

Проект захисту: заявка на відповідність профілю захисту [РР claims] — необов'язковий розділ проекту захисту, який містить матеріали, необхідні для підтвердження заявки. Для кожного профілю захисту, на реалізацію якого претендує проект захисту, цей розділ повинен містити посилання на профіль захисту, від­повідність профілю захисту, вдосконалення профілю захисту.

Посилання на профіль захисту однозначно ідентифікує про­філь захисту, на реалізацію якого претендує проект захисту, із зазначенням випадків, в яких рівень захисту, що забезпечується, перевершує вимоги профілю з коректною реалізацією усіх його вимог без виключення. Відповідність профілю захисту визначає можливості ІТ-продукту, які реалізують завдання захисту і ви­моги, що містяться в профілі захисту.

Удосконалення профілю захисту відображає можливості ІТ-продукту, які виходять за рамки завдань захисту та вимог, вста­новлених у профілі захисту.

Проект захисту: обґрунтування [rationale] — розділ проекту захисту, який повинен показувати, що проект захисту містить повну і зв'язну множину вимог, що ІТ-продукт, який реалізує їх,


Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

ефективно протистоятиме загрозам безпеці. Крім того, обґрун­тування містить підтвердження заявленої відповідності профі­лю захисту. Розділ деталізується у наступному.

Обґрунтування завдань захисту повинно демонструвати, що завдання захисту, заявлені в проекті захисту, відповідають влас­тивостям середовища експлуатації, тобто їх вирішення дозво­лить ефективно протидіяти загрозам безпеці і реалізувати виб­рану під них політику безпеки.

Обґрунтування вимог безпеки показує, що виконання цих вимог дозволяє вирішити завдання захисту, оскільки:

• сукупність функціональних вимог безпеки та вимог гарантій
безпеки, а також умов експлуатації ІТ-продукту відповідають
завданням захисту;

• усі вимоги безпеки є несуперечливими і взаємно підсилюють
одна одну;

• вибір вимог є оправданим;

• рівень функціональних можливостей засобів захисту від­
повідає завданням захисту.

Обґрунтування загальних специфікацій ІТ-продукту повинно демонструвати, що засоби захисту та методи забезпечення їхніх гарантій відповідають вимогам, що пред'являються, оскільки:

• сукупність засобів захисту задовольняє функціональним ви­
могам;

• необхідний рівень безпеки та надійності захисту забезпе­
чується засобами, що запропоновані;

• заходи, спрямовані на забезпечення гарантій реалізації фун­
кціональних вимог, відповідають вимогам гарантій.
Обґрунтування відповідності профілю захисту показує, що

вимоги проекту захисту підтримують всі вимоги профілю захис­ту. Для цього повинно бути показано, що:

• усі вдосконалення завдань захисту порівняно з профілем за­
хисту реалізовані коректно і в напрямку їхнього розвитку та
конкретизації;

• усі вдосконалення вимог безпеки порівняно з профілем за­
хисту реалізовані коректно і в напрямку їхнього розвитку та
конкретизації;


Розділ 8. Критерії безпеки інформаційних технологій

всі завдання захисту профілю захисту успішно реалізовані і всі вимоги профілю захисту вдоволені;

ніякі додатково введені в проект захисту спеціальні завдання захисту та вимоги безпеки не суперечать профілю захисту.

8.3. ФУНКЦІОНАЛЬНІ ВИМОГИ ДО ЗАСОБІВ ЗАХИСТУ 8.3.1. Загальна характеристика ФВБ

Функціональні вимоги безпеки (ФВБ) [security functional requirements] — вимоги безпеки, які в Загальних критеріях рег­ламентують функціонування компонентів ІТ-продукту, що за­безпечують безпеку, і визначають можливості засобів захисту. ФВБ декларуються у вигляді добре розробленої формальної структури. Набір ФВБ узагальнює усі існуючі раніше стандарти інформаційної безпеки і відрізняється всеосяжною повнотою і найдокладнішою деталізацією. ФВБ розділені на 11 класів функ­ціональних вимог безпеки і 67 розділів функціональних вимог.

Опис кожної вимоги будується за наступною схемою (рис. 8.5):

• назва [component identification], що містить унікальну назву
вимоги, яка використовується для посилань на неї із профілю
і проекту захисту;

• зміст вимоги [functional elements], де проводиться основна
думка про те, що функціональний склад вимоги Загальні
критерії дозволяють використовувати тільки без змін, що за­
безпечує їх стандартизацію;

• сполучені вимоги [dependencies], що є необов'язковим пунк­
том, який містить список вимог різних розділів і класів, вико­
нання яких розглядається як необхідна попередня умова для
реалізації даної вимоги.

Клас ФВБ [functional class] в Загальних критеріях — верхній рівень формальної структури функціональних вимог безпеки. Містить наступні елементи:

• назву класу [class name];

• опис класу [class introduction];

• розділи ФВБ [functional families].



 


Функціональні вимоги розподілені на 11 класів ФВБ (рис. 8.6):

• аудит;

• причетність до приймання/передавання;

• криптографія;

• захист інформації;


Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОПЙ

ідентифікація та автентифікація;

• управління безпекою;

• конфіденційність роботи в системі;

• надійність засобів захисту;

• контроль за використанням ресурсів;

• контроль доступу до системи;

• пряма взаємодія.

Зміст класів ФВБ відрізняється своєю всеохоплюючою повно­тою і багаторівневим підходом до забезпечення безпеки. Окремі класи вимог спрямовані на забезпечення безпеки самих засобів захисту, контролю за експлуатацією системи, забезпечення кон­фіденційності сеансів доступу до системи та організації обміну інформацією.

Вимоги конфіденційності, цілісності та управління доступом об'єднані в один клас захисту інформації, що виглядає цілком логічно і повністю відповідає їх призначенню. Слід відзначити наявність, крім політики управління доступом, також політики керування інформаційними потоками, а також відділення вимог до політики безпеки від вимог до засобів реалізації.

Клас вимог до безпеки самих засобів захисту є найбільш об'ємним, що визначається високим ступенем деталізації вклю­чених до нього вимог до методів і засобів забезпечення нормаль­ного функціонування засобів захисту.

Особлива увага приділяється контролю за доступом до сис­теми і конфіденційності сеансів роботи з нею. Вимоги до органі­зації інформаційного обміну обмежуються неможливістю учас­ників взаємодії ухилятися від відповідальності.

Розділ ФВБ [assurance family] — складова частина класу ФВБ. Структура розділу містить наступні елементи:

• назва та позначення розділу [family name];

• опис розділу [family behaviour];

• ранжирування вимог [component levelling];

• керовані параметри [management];

• об'єкти реєстрації та обліку [audit];

• вимоги [components].


Розділ 8. Критерїї безпеки інформаційних технологій

Кожний розділ має свою унікальну назву і семисимвольний ідентифікатор, який складається з трибуквеного ідентифікатора класу, знаку підкреслення і трибуквеного позначення розділу.

Набір вимог представляє собою ієрархічну структуру, в якій підсилення вимог здійснюється монотонно, але при цьому не є лінійним упорядкованим списком.

Вимоги, які стоять в ієрархії вище інших включають у себе ниж-честоящі вимоги. Це означає, що у профілі захисту необхід­но використати тільки одну з таких вимог.

Вимоги, не пов'язані відносинами ієрархічності, є незалежни­ми і можуть використовуватися одночасно.

Ранжирування функціональних вимог здійснюється не за єди­ною універсальною шкалою безпеки, як в інших критеріях, а за множиною часткових критеріїв (більше 280). Набір цих критеріїв являє собою ієрархічну структуру у вигляді невпорядкованого списку порівнянних і непорівнянних вимог, в якому підсилення вимог здійснюється монотонно від нижчих рівнів до вищих. Ця структура має вигляд спрямованого графа — підсилення вимог безпеки здійснюється при рухові по його ребрах.

8.3.2. Класи функціональних вимог безпеки

Аудит

Клас ФВБ: аудит [с. FAU: security AUdit] включає наступні розділи ФВБ:

• автоматичне реагування на спроби порушення безпеки;

• реєстрація та облік подій;

• аналіз протоколу аудита;

• доступ до протоколу аудита;

• відбір подій для реєстрації й обліку;

• протокол аудита.

Розділ ФВБ: [security audit Automatic ResPonse (FAU_ARP)] включає вимогу — засоби захисту повинні реагувати на спроби порушення безпеки [security alarms (FAU_ARP.l)].


Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Розділ ФВБ: реєстрація й облік подій [security audit data GENeration (FAU_GEN)| включає незалежні функціональні ви­моги безпеки:

• реєстрація заданої множини подій і задавання облікової інфор­
мації для подій кожного типу [audit data generation (FAU_GENJ)];

• реєстрація, облік подій та реєстрація користувачів, які ініцію­
вали події [user identity association (FAU_GEN.2)].

Розділ ФВБ: аналіз протоколу аудита [Security Audit Analysis (FAU_SAA)] включає функціональну вимогу безпеки — виявлен­ня потенційно небезпечних подій на основі контролю за діапазо­нами параметрів обліку на основі фіксованої множини правил [potential violation analysis (FAU_SAA.l)], яка підсилюється двома незалежними вимогами:

• статистичне розпізнавання вторгнень на основі аналізу про­
філів роботи користувачів [profile based anomaly detection
(FAU_SAA.2)];

• динамічне розпізнавання сигнатур елементарних атак на ос­
нові простих евристик [simple attack heuristics (FAU_SAA.3)].
Вимога FAU_SAA.3 підсилюється вимогою — розпізнавання

комплексних атак на основі складних евристик [complex attack heuristics (FAU_SAA.4)].'

Розділ ФВБ: доступ до протоколу аудита [Security Audit Review (FAU_SAR)] включає незалежні функціональні вимоги безпеки:

• надання доступу до протоколу аудита для обмеженого набо­
ру авторизованих користувачів [audit review (FAU_SAR.l)];

• захист протоколу аудита від неавторизованих користувачів
[restricted audit review (FAU_SAR.2)];

• вибіркове керування доступом до протоколу аудита [selectable
audit review (FAU_SAR.3)].

Розділ ФВБ: відбір подій для реєстрації та обліку [security audit event SELection (FAU_SEL)] включає вимогу безпеки — виз­начення множини властивих аудитові подій на основі заданого набору атрибутів [selective audit (FAU_SEL.l)].

Розділ ФВБ: протокол аудита [security audit event SToraGe (FAU_STG)] включає дві незалежні функціональні вимоги безпеки:


Розділ 8. Критерії безпеки інформаційних технологій

виділення ресурсів під протокол аудита, захист протоколів
від неавторизованої модифікації або видалення [protected
audit trail storage (FAU_STG.l)];

• попередження втрати записів протоколу аудита у випадку
зменшення об'єму ресурсів, які відведені під протокол аудита
до певної межі [action in case of possible audit data loss (FAU_
STG.3)]. Кожна з незалежних вимог підсилюється відповідно
вимогами:

• гарантована доступність протоколу аудита [guarantees of
audit data availability (FAU_STG.2)];

• попередження втрат записів аудита у випадку вичерпання ре­
сурсів, які відведені під протокол аудита [prevention of audit
dataloss(FAU_STG.4)].

Захист інформації

Клас ФВБ: захист інформації [с. FDP: user Data Protection] включає наступні розділи ФВБ:

• політики управління доступом;

• засоби управління доступом;

• автентифікація інформації;

• експорт інформації із системи;

• політики управління інформаційними потоками;

• засоби управління інформаційними потоками;

• імпорт інформації;

• захист інформації при передаванні внутрішніми каналами;

• знищення залишкової інформації;

• відкіт;

• контроль цілісності інформації у процесі зберігання;

• захист внутрішньосистемного передавання інформації при
використанні зовнішніх каналів;

• цілісність внутрішньосистемного передавання інформації
при використанні зовнішніх каналів.

Розділ ФВБ: політики управління доступом [ACcess Control policy (FDP_ACC) включає ієрархічно залежні вимоги безпеки:


Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

управління доступом для обмеженої множини операцій і
об'єктів [subset access control (FDP_ACC.l)];

• управління доступом для повної множини об'єктів, суб'єктів
і операцій. Будь-яка операція, яка здійснюється будь-яким
об'єктом, повинна контролюватися принаймні одною полі­
тикою управління доступом [complete access control (FDP_
ACC2)].

Розділ ФВБ: засоби управління доступом [Access Control Functions (FDP_ACF)] включає вимогу безпеки — управління доступом на основі атрибутів безпеки або іменованих груп атри­бутів із явним дозволом або відмовою в доступі [security attribute based access control (FDP_ACF.l)].

Розділ ФВБ: автентифікація інформації [Data AUtentificati-on (FDP_DAU)] включає ієрархічно залежні функціональні ви­моги безпеки:

• автентифікація інформації, що міститься в об'єкті доступу
[basic data authentication (FDP_DAU.l)];

• автентифікація інформації, що міститься в об'єкті доступу з
ідентифікацією суб'єкта, який здійснює автентифікацію [data
authentication with identity of guarantor (FDP_DAU.2)].
Розділ ФВБ: експорт інформації із системи
[Export to outside

TSF Control (FDP_ETC)] включає незалежні функціональні ви­моги безпеки:

• експорт інформації без атрибутів безпеки [export of user data
without security attributes (FDP_ETC.l)];

• експорт інформації разом з атрибутами безпеки [export of
user data with security attributes (FDP_ETC2)].

Розділ ФВБ: політики управління інформаційними пото­ками [Information Flow Control policy (FDP_IFC)] включає ієрар­хічно залежні функціональні вимоги безпеки:

• управління інформаційними потоками для обмеженої мно­
жини операцій і потоків [subset information flow control (FDP_
IFC.1)];

• управління доступом до повної множини потоків, суб'єктів
і операцій. Будь-яка політика керування потоками повин-


Розділ 8. Критерії безпеки інформаційних технологій

на контролювати всі операції у системі. Усі потоки інфор­мації в системі повинні контролюватися принаймні однією політикою управління інформаційними потоками [complete information flow control (FDP_IFC2)].

Розділ ФВБ: засоби управління інформаційними потока­ми [Information Flow control Functions (FDP_IFF)] включає неза­лежні функціональні вимоги безпеки:

• управління інформаційними потоками на основі атрибутів
безпеки інформації й суб'єктів, між якими здійснюється об­
мін інформацією [simple security attributes (FDP_IFF.l)];

• контроль схованих інформаційних потоків [limited illicit
information flows (FDPJFF.3)];

моніторинг схованих інформаційних потоків і обмеження їхньої пропускної здатності [illicit information flow monitoring (FDPJFF.6)].

Вимога FDP_IFF.l підсилюється вимогою — управління ін­формаційними потоками на основі ієрархічно впорядкованих атрибутів безпеки, що присвоєні усім інформаційним потокам і утворюють грати [hierarchical security attributes (FDP_IFF.2)].

Вимога FDP_IFF.3 підсилюється ієрархічно залежними вимо­гами:

часткова заборона схованих інформаційних потоків [partial elimination of illicit information flows (FDP_IFF.4)];

повна заборона схованих інформаційних потоків [no illicit information flows (FDPJFF.5)].

Розділ ФВБ: імпорт інформації [Import from outside TSF Control (FDP_ITC)] включає незалежні функціональні вимоги безпеки:

імпорт інформації без атрибутів безпеки [import of user data without security attributes (FDPJTC.l)];

імпорт інформації разом з атрибутами безпеки [import of user data with security attributes (FDPJTC2)].

Розділ ФВБ: захист інформації при передаванні внутріш­німи каналами [Internal TOE Transfer (FDPJTT)] включає неза­лежні функціональні вимоги безпеки:


Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

базові засоби захисту інформації, що передається [basic
internal transfer protection (FDP_ITT.l)];

• контроль цілісності інформації, що передається [integrity
monitoring (FDPJTT.3)].

Ці вимоги відповідно підсилюються вимогами:

• передавання даних із різними атрибутами безпеки окремими
каналами [transmission separation by attribute (FDP_ITT.2)];

• застосування різноманітних методів контролю цілісності
в залежності від атрибутів безпеки [attribute-based integrity
monitoring(FDP_ITT.4)].

Розділ ФВБ: знищення залишкової інформації [Residual Information Protection (FDP_RIP)] включає ієрархічно залежні вимоги безпеки функціональні:

• знищення залишкової інформації для певної підмножини
об'єктів при їхньому створенні й вилученні [subset residual
information protection (FDP_RIP.l)];

• знищення залишкової інформації для всіх об'єктів при їх
створенні або вилученні [full residual information protection
(FDP_RIR2)].

Розділ ФВБ: відкіт [ROLlback (FDP_ROL)] включає незалеж­ні функціональні вимоги безпеки:

• обмеження можливості здійснення відкоту для певної підмно­
жини операцій на задане число кроків [basic rollback (FDP_ROL.

1)];

• розширення можливостей здійснення відкоту для всіх опера­
цій на задане число кроків [advanced rollback (FDPJRO1.2)].
Розділ ФВБ: контроль цілісності інформації у процесі збе­
рігання
[Stored Data Integrity (FDP_SDI)] включає ієрархічно за­
лежні функціональні вимоги безпеки:

• виявлення порушень цілісності інформації у процесі збері­
гання [stored data integrity monitoring (FDP_SDI.l)];

• виявлення порушень цілісності інформації у процесі збері­
гання і визначення реакції на виявлені помилки [stored data
integrity monitoring and action (FDP_SDL2)].

Розділ ФВБ: захист внутрішньосистемного передавання інформації при використанні зовнішніх каналів [inter-TSF User data Confidentiality Transfer protection (FDP_UCT)] включає


Розділ 8. Критерії безпеки інформаційнихтехнологій

' функціональну вимогу безпеки — захист інформації при спря­муванні її у зовнішній канал [basic data exchange confidentiality (FDPJJCT.1)].

Розділ ФВБ: цілісність внутрішньосистемного передаван­ня інформації при використанні зовнішніх каналів [inter-TSF User data integrity Transfer protection (FDP_UIT)] включає неза­лежні функціональні вимоги безпеки — виявлення порушень цілісності при передаванні інформації [data exchange integrity (FDP_UIT.l)] і відновлення інформації одержувачем [source data exchange recovery (FDP_UIT.2)], яка підсилюється вимогою — повторне передавання інформації [destination data exchange recovery (FDP_UIT.3)].

Ідентифікація та автентифікація

Клас ФВБ: ідентифікація та автентифікація включає на­ступні розділи ФВБ:

• реакція на невдалі спроби автентифікації;

• атрибути безпеки користувачів;

• автентифікаційні параметри;

• автентифікація користувачів;

• ідентифікація користувачів;

• відповідність користувачів і суб'єктів.

Розділ ФВБ: реакція на невдалі спроби автентифікації [Authentication FaiLures (FIA_AFL)] включає вимогу безпеки — засоби ідентифікації й автентифікації повинні припиняти спро­би встановлення сеансів роботи із системою після встановленого числа невдалих спроб автентифікації і призупиняти обслугову­вання засобів, що задіяні в ході цих спроб [authentication failure handling (FIA_AFL.l)].

Розділ ФВБ: атрибути безпеки користувачів [user ATtri-bute Definition (FIA_ ATD)] включає вимогу безпеки — індивідуаль­не призначення атрибутів безпеки користувачів [user attribute definition (FIA_ATD.l)].

Розділ ФВБ: автентифікаційні параметри [Specification Of Secrets (FIA_SOS)] включає незалежні функціональні вимоги безпеки:


Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНШЕХНОЛОГІЙ

перевірка якості автентифікаційних параметрів відповідно
до заданих критеріїв [verification of secrets (FIA_SOS.l)];

• автоматична генерація автентифікаційних параметрів і пе­
ревірка їхньої якості відповідно до заданих критеріїв [TSF
generation of secrets (FIA_SOS.2)].

Розділ ФВБ: автентифікація користувачів [User Authentication (FIA_UAU)] включає незалежні функціональні вимоги безпеки:

• обов'язковість автентифікації користувачів [timing of
authentication (FIAJUAU.l)];

• механізм автентифікації повинен розпізнавати та поперед­
жувати використання підроблених автентифікаційних пара­
метрів або їхніх дублікатів [unforgeable authentication (FIA_
UAU.3)];

• використання одноразових автентифікаційних параметрів
[single-use authentication mechanisms (FIAJLJAU.4)];

• використання множини механізмів автентифікації, що ви­
користовується залежно від ситуації [multiple authentication
mechanisms (FIA_UAU.5)];

• застосування механізмів повторної автентифікації для ви­
конання встановленої множини операцій [re-authenticating
(FIAJJAU.6)];

• мінімізація інформації, що надається користувачеві в про­
цесі проходження процедури автентифікації [protected
authentication feedback (FIA_UAU.7)].

Вимога FIA_UAU.l підсилюється вимогою — неможливість здійснення дій, що контролюються засобами захисту, без успіш­ного проходження процедури автентифікації [user authentication before any action (FIA_UAU.2)].

Розділ ФВБ: ідентифікація користувачів [User IDentificati-on (FIA_UID)] включає ієрархічно залежні функціональні вимо­ги безпеки:

• обов'язковість ідентифікації користувачів [timing of
identification (FIA\_UID.l)];

• неможливість здійсненні дій, що контролюються засобами
захисту, без успішного проходження процедури ідентифіка­
ції [user identification before any action (FIA_UID.2)].


Розділв. Критерії безпеки інформаційних технологій

Розділ ФВБ: відповідність користувачів і суб'єктів [User-Subject Binding (FIA_USB)] включає вимогу безпеки — присвоєн­ня суб'єктам, що діють від імені користувача, його атрибутів без­пеки [user-subject binding (FIA_USB.l)].

Управління безпекою

Клас ФВБ: управління безпекою [с. FMT: security Manege-men T] включає наступні розділи ФВБ:

• управління засобами захисту;

• управління атрибутами безпеки;

• управління параметрами та конфігурацією засобів захисту;

• відкликання атрибутів безпеки;

• обмеження строку дії атрибутів безпеки;

• адміністративні ролі.

Розділ ФВБ: управління засобами захисту [Management Of Functions in TSF (FMT_MOF)] включає вимогу безпеки — уп­равління авторизованими користувачами засобами захисту [management of security functions behaviour (FMT_MOF.l)].

Розділ ФВБ: управління атрибутами безпеки [Management of Security Attributes (FMT_MSA)] включає незалежні функціо­нальні вимоги безпеки:

• управління авторизованими користувачами атрибутами без­
пеки [management of security attributes (FMT_MSA.l)];

• контроль коректності значень атрибутів безпеки [secure
security attributes (FMT_MSF2)];

• коректна ініціалізація атрибутів безпеки визначеними зна­
ченнями [static attribute initialization (FMT_MSA.3)].
Розділ ФВБ: управління параметрами та конфігурацією

засобів захисту [Management of TSF Data (FMT_MTD)j включає незалежні функціональні вимоги безпеки:

• управління параметрами та конфігурацією засобів захис­
ту авторизованими користувачами [management of TSF data
(FMT_MTD.l)];


Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

виконання заданих дій у разі виходу параметрів функціону­
вання засобів захисту за встановлені межі [management of
limits on TSF data (FMT_MTD.2)];

• автоматичний контроль коректності конфігурації й парамет­
рів засобів захисту [secure TSF data (FMT_MTD.3)].

Розділ ФВБ: відкликання атрибутів безпеки [REVolocation (FMT_REV)] включає вимогу безпеки — відкликання атрибутів безпеки відповідно до встановлених правил [revocation (FMT_ REV.1)].

Розділ ФВБ: обмеження строку дії атрибутів безпеки [Security Attribute Expiration (FMT_SAE)] включає вимогу безпе­ки — визначення строку дії атрибутів безпеки авторизованими користувачами [time-limited authorization (FMT_SAE.l)].

Розділ ФВБ: адміністративні ролі [Security Management Roles (FMT_SMR)] включає наступні функціональні вимоги безпеки:

• використання адміністративних ролей для управління безпе­
кою [security roles (FMT_SMR.l)];

• надання ролевих повноважень за запитом користувача
[assuming roles (FMT_SMR.3)].

Вимога FMT_SMR.l підсилюється вимогою — використання впорядкованого набору адміністративних ролей для управління безпекою [restrictions on security roles (FMT_SMR.2)];.

Контроль доступу до системи

Клас ФВБ: контроль доступу до системи [с. FTA: TOE Access] включає наступні розділи ФВБ:

• обмеження на використання атрибутів безпеки;

• обмеження числа одночасних сеансів;

• блокування сеансу роботи із системою;

• об'яви, попередження, запрошення та підказки;

• протокол сеансів роботи із системою;

• управління сеансами роботи із системою.

Розділ ФВБ: обмеження на використання атрибутів безпе­ки [Limitation on scope of Selectable Attributes (FTA_LSA)] включає


Розділ 8. Критерії безпеки інформаційних технологій

вимогу безпеки — обмеження множини атрибутів безпеки, які використовуються користувачем у межах однієї сесії [limitation on scope of selectable attributes (FTA_LSA.l)].

Розділ ФВБ: обмеження числа одночасних сеансів [limitation on Multiple Concurrent Sessions (FTAJVtCS)] включає ієрархічно залежні функціональні вимоги безпеки:

• обмеження числа одночасних сеансів [basic limitation on
multiple concurrent sessions (FTA_MCS.l)];

• обмеження числа одночасних сеансів у залежності від атри­
бутів безпеки користувачів [per user attribute limitation on
multiple concurrent sessions (FTA_MCS.2)].

Розділ ФВБ: блокування сеансу роботи із системою [SeSsi-on Locking (FTA_SSL)] включає незалежні функціональні вимоги безпеки:

• автоматичне блокування сеансу роботи після вказаного пе­
ріоду неактивності [TSF-initiated session locking (FTA_SSL.l)];

• блокування сеансу користувачем [user-initiated locking (FTA_
SSL.2)];

• автоматичне завершення сеансу роботи після закінчення за­
дано го періоду неактивності [TSF-initiated termination (FTA_
SSL.3)].

Розділ ФВБ: об'яви, попередження, запрошення та підказ­ки [TOE Assess Banners (FTA_TAB)] включає вимогу безпеки — демонстрація об'яв, попереджень, запрошень і підказок перед початком сеансу роботи із системою [default TOE access banners (FTA_TAB.l)].

Розділ ФВБ: протокол сеансів роботи із системою [TOE Assess History (FTA_TAH)] включає вимогу безпеки — реєстра­ція й демонстрація користувачам протоколу сеансів їхньої робо­ти й спроб входу в систему [TOE access history (FTAJTAH.l)].

Розділ ФВБ: управління сеансами роботи із системою [TOE Session Establishment (FTA_TSE)] включає вимогу безпеки — за­борона встановлення сеансу роботи із системою на основі зада­ної множини правил [TOE session establishment (FTAJTSE.l)].


Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Контроль за використанням ресурсів

Клас ФВБ: контроль за використанням ресурсів [с. FRU: Resource Utilisation] включає наступні розділи ФВБ:

• стійкість до відмов;

• розподіл ресурсів на основі пріоритетів;

• квотування ресурсів.

Розділ ФВБ: стійкість до відмов [FauLt Tolerance (FRU _ FLT)] включає ієрархічно залежні функціональні вимоги безпеки:

• забезпечення працездатності системи на заданому рів­
ні у випадку виникнення вказаних збоїв [degraded fault
tolerance(FRU_FLT.l)];

• забезпечення нормальної роботи системи у випадку виник­
нення вказаних збоїв [limited fault tolerance (FRU_FLT.2)].
Розділ ФВБ: розподіл ресурсів на основі пріоритетів [PRi-

ority of Service(FRU_PRS)] включає ієрархічно залежні функціо­нальні вимоги безпеки:

• розподіл обмеженої підмножини ресурсів системи на основі
пріоритетів [limited priority of service (FRU_PRS.l)];

• розподіл усіх ресурсів на основі пріоритетів [full priority of
service (FRU_PRS.2)].

Розділ ФВБ: квотування ресурсів [ReSource Allocation (FRU_RSA)] включає ієрархічно залежні функціональні вимоги безпеки:

• обмеження на споживання користувачами ресурсів системи
за допомогою квот [maximum quotas (FRU_RSA.l)];

• обмеження на споживання користувачами ресурсів системи
за допомогою квот і резервування для споживача гарантова­
ної множини ресурсів [minimum and maximum quotas (FRU_
RSA.2)].

Конфіденційність роботи в системі

Клас ФВБ: конфіденційність роботи в системі [с. FPR: PRivacy] включає наступні розділи ФВБ:

• анонімність користувачів;

• використання псевдонімів;


Розділ 8. Критерії безпеки інформаційних технологій

анонімність сеансів роботи із системою;

• захист від моніторингу сеансів роботи із системою.

Розділ ФВБ: анонімність користувачів [ANOnymity (FPR_ ANO)] включає ієрархічно залежні функціональні вимоги без­пеки:

• анонімність суб'єктів, які представляють інтереси користува­
чів [anonymity (FPR_ANO.l)];

• анонімність ідентифікаторів користувачів для середовища за­
хисту [anonymity without soliciting information (FPR_AN0.2)].
Розділ ФВБ: використання псевдонімів [PSEudonymity
(FPR_PSE)] включає вимогу безпеки — контроль дій анонім­
них користувачів за допомогою псевдонімів [pseudonymity (FPR_
Р5Е.1)],яка підсилюється незалежними вимогами:

• встановлення особистості користувача за псевдонімом
[reversible pseudonymity (FPR_PSE.2)];

• призначення псевдонімів відповідно до заданих правил [alias
pseudonymity (FPR_PSE.3)].

Розділ ФВБ: анонімність сеансів роботи із системою [UNLinkability (FPR_UNL)] включає вимогу безпеки — немож­ливість встановлення ініціатора операцій, що здійснюються в системі [unlinkability (FPRJJNL.l)j.

Розділ ФВБ: захист від моніторингу сеансів роботи із сис­темою [UNObservability (FPR_UNO)] включає незалежні функ­ціональні вимоги безпеки:

• захист операцій, що відбуваються в системі, від моніторингу
[unobservability (FPRJJNO.1)];

• заборона засобам захисту запитувати у користувача кон­
фіденційну інформацію [unobservability without soliciting
information (FPRJUN0.3)];

• моніторинг роботи системи та використання ресурсів тільки
авторизованими користувачами [authorised user observability
(FPR_UN0.4)].

Вимога FPR_UNO.l підсилюється вимогою — розосереджен­ня критичної інформації між різними компонентами засобів захисту [allocation of information impacting unobservability (FPR_ UN0.2)].


Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Криптографія

Клас ФВБ: криптографія [с. FCS: Cryptographic Support] включає наступні розділи ФВБ:

• управління ключами;

• криптографічні засоби.

Розділ ФВБ: управління ключами [Cryptographic Key Management (FCO_CKM)] включає незалежні функціональні ви­моги безпеки:

• генерація ключів заданого розміру за певними алгоритма­
ми у відповідності до певних стандартів [cryptographic key
generation (FCO_CKM.l)];

• розподіл ключів способами, визначеними в спеціальних стан­
дартах [cryptographic key distribution (FCO_CKM.2)];

• здійснення доступу до ключів із використанням методів, ви­
значених у спеціальних стандартах [(FCO_CKM.3)];

• знищення ключів із використанням методів, визначених у
спеціальних стандартах [cryptographic key destruction (FCO_
CKM.4)].

Розділ ФВБ: криптографічні засоби [Cryptographic OPeration (FCO_COP)] включає вимогу безпеки — виконання криптогра­фічних операцій з використанням ключів заданого розміру і ви­значених алгоритмів у відповідності до спеціальних стандартів [cryptographic operation (FCO_COP.l)].

Надійність засобів захисту

Клас ФВБ: надійність засобів захисту [с. FPT: Protection of the TSF] включає наступні розділи ФВБ:

• тестування апаратно-програмної платформи;

• захист від збоїв;

• готовність засобів захисту до обслуговування віддалених
клієнтів;

• конфіденційність інформації, що передається, при роботі з
віддаленими клієнтами;

• цілісність інформації, що передається, при роботі з віддале­
ними клієнтами;


Розділ 8. Критерії безпеки інформаційних технологій

захист внутрішніх каналів інформаційного обміну між засо­
бами захисту;

• фізичний захист;

• безпечне відновлення після збоїв;

• розпізнавання повторного передавання інформації та іміта­
ція подій;

• моніторинг взаємодій;

• розподіл доменів;

• синхронізація;

• час;

• погодженість обміну інформацією між засобами захисту;

• реплікація інформації, що використовується засобами за­
хисту;

• самотестування засобів захисту.

Розділ ФВБ: безпечне відновлення після збоїв [trusted ReCoVery (FPT_RCV)] включає незалежні функціональні вимоги безпеки:

• ручне відновлення після збоїв [manual recovery (FPT_RCV.l)];

• відновлення після збоїв шляхом здійсненні відкоту в безпеч­
ний стан [function recovery (FPT_RCV.4)].

Вимога FPT_RCV.l підсилюється ієрархічно залежними вимо­гами:

• автоматичне відновлення після збоїв [automated recovery(FPT_
"':1 RCV.2)];

• автоматичне відновлення після збоїв із мінімізацією втрат
інформації [automated recovery without undue loss (FPT_

;; RCV.3)].

u Розділ ФВБ: готовність засобів захисту до обслуговування віддалених клієнтів [availability of exported TSF data (FPTJTA)] включає вимогу безпеки — забезпечення готовності засобів за­хисту до обслуговування віддалених клієнтів із заданою ймовір­ністю [inter-TSF availability within a defined availability metric (FPT_ ITA.1)].

Розділ ФВБ: захист від збоїв [FaiL Secure (FPTFLS)] включає вимогу безпеки — збереження безпечного стану у разі виникнен­ня збоїв [failure with preservation of secure state (FPT_FLS.l)].


ЧастинаII.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

Розділ ФВБ: захист внутрішніх каналів інформаційного обміну між засобами захисту [Internal TOE TSF data transfer (ГРТ_ІТТ)]включає вимогу безпеки — базові засоби захисту ін­формаційного обміну між засобами захисту [basic internal TSF data transfer protection (FPT_ITT.l)], яка підсилюється незалеж­ними вимогами:


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73 | 74 | 75 | 76 | 77 | 78 | 79 | 80 | 81 | 82 | 83 | 84 | 85 | 86 | 87 | 88 | 89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 105 | 106 | 107 | 108 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.104 сек.)