Рівень напівформальних методів розробки та тестування

[EAL5 — semiformally verified design and tested] — п'ятий рівень гарантій, призначений для використання в тих випадках, коли розробники або користувачі вимагають високого ступеню неза­лежного підтвердження гарантій засобів захисту, а також стро­гого застосування певних технологій розробки ІТ-продукту, але без надмірних витрат.

Відповідає наступним вимогам гарантій безпеки.

У класі БГБ: управління проектом:

• у розділі ВГБ: засоби управління проектом — застосування
автоматизованих засобів управління проектом;

• у розділі ВГБ: управління версіями — авторизація розробни­
ків при поновленні версій;

• у розділі ВГБ: конфігурація проекту — включення до складу
конфігурації проекту інструментальних засобів розробки.

У класі ВГБ: дистрибуція:

• у розділі ВГБ: поставка — виявлення спотворень у процесі
поставки;

• у розділі ВГБ: установка, настройка, запуск — регламентовані
процедури установки, настройки, запуску.

У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — напів­
формальні специфікації для засобів захисту;

• у розділі ВГБ: архітектура захисту — напівформальний опис
архітектури захисту;

• у розділі ВГБ: форма надання продукту на сертифікацію —
повний опис реалізації усіх засобів захисту;

• у розділі ВГБ: структура засобів захисту — модульність;

• у розділі ВГБ: часткові специфікації засобів захисту — не­
формальні часткові специфікації засобів захисту;

• у розділі ВГБ: відповідність описів різного рівня — напівфор-
мальне підтвердження відповідності;

• у розділі ВГБ: політика безпеки — формальна модель політи­
ки безпеки.

Розділ 8. Критерії безпеки інформаційних технологій

У класі ВГБ: документація:

• у розділі ВГБ: керівництво адміністратора — адмініструван­
ня засобів захисту;

• у розділі ВГБ: керівництво користувача — використання за­
собів захисту.

У класі ВГБ: процес розробки:

• у розділі ВГБ: безпека середовища розробки — застосування
заходів безпеки в ході розробки;

• у розділі ВГБ технологія розробки — стандартизована техно­
логія розробки;

• у розділі ВГБ: засоби розробки — використання основних за­
собів розробки, що відповідають певним стандартам.

У класі ВГБ: тестування:

• у розділі ВГБ: повнота тестування — обґрунтування повноти
тестування;

• у розділі ВГБ: глибина тестування — функціональні специфі­
кації;

• у розділі ВГБ: методика тестування — функціональне тесту­
вання й протоколювання результатів тестів;

• у розділі ВГБ: незалежне тестування — вибіркове незалежне
тестування.

У класі ВГБ: оцінка захисту:

• у розділі ВГБ: аналіз схованих каналів — пошук і документу­
вання схованих каналів;

• у розділі ВГБ: аналіз можливостей неправильного вико­
ристання засобів захисту — підтвердження повноти керів­
ництв із адміністрування й безпеки їхнього застосування;

• у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій­
кості засобів захисту;

• у розділі ВГБ: аналіз продукту на наявність уразливостей —
систематичний аналіз уразливостей на основі заданих ме­
тодик.

Цей рівень вимагає від розробника застосування певних тех­нологій та методів розробки, проте, їхнє використання може об­межуватися проектуванням та реалізацією засобів захисту.

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

На відміну від попередніх рівнів аналізу піддаються всі за­соби захисту без виключення. Крім того, необхідна наявність формальної моделі політики безпеки та напівформальне пред­ставлення функціональних специфікацій та архітектури захисту, а також напів-формальна демонстрація їхньої взаємної відповід­ності. Архітектура ІТ-продукту повинна відповідати вимогам модульності.

Додатково до попередніх рівнів для підтвердження резуль­татів аналізу необхідне тестування розробником часткових спе­цифікацій, а аналіз уразливостей повинен демонструвати стій­кість проти атак помірної сили, крім того, необхідна незалежна перевірка проведеного розробником аналізу схованих каналів.

Вимоги до процесу розробки доповнюються необхідністю розширення складу конфігурації продукту, керованої за допомо­гою автоматичних засобів.

Таким чином, цей рівень посилює вимоги попереднього в частині напівформального опису процесу проектування та ре­алізації, більш структурованої архітектури захисту, більш ре­тельного аналізу схованих каналів, більш повного контролю в процесі розробки.

Напівформольні методи верифікації розробки та тестування

Рівень напівформальних методів верифікації розробки та тестування [EAL6 — semiformally verified design andtested] — шостий рівень гарантій, призначений для використання в ситу­аціях із високим ступенем ризику, де цінність інформації, що за­хищається, виправдовує високі додаткові витрати.

Відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: управління проектом:

• у розділі ВГБ: засоби управління проектом — повна автома­
тизація управління проектом і контролю версій;

• у розділі ВГБ: управління версіями — контроль цілісності й
автентичності дистрибутиву системи;

• у розділі ВГБ: конфігурація проекту — включення до складу
конфігурації проекту інструментальних засобів розробки.

Розділ 8. Критерії безпеки інформаційних технологій

У класі ВГБ: дистрибуція:

• у розділі ВГБ: поставка — виявлення спотворень у процесі
поставки;

. у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску. У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — напів-
формальні специфікації для засобів захисту;

• у розділі ВГБ: архітектура захисту — відповідність напівфор-
мального опису архітектури захисту політиці безпеки;

• у розділі ВГБ: форма надання продукту на сертифікацію —
стру-ктурований опис реалізації усіх засобів захисту;

• у розділі структура засобів захисту — ієрархічність;

• у розділі ВГБ: часткові специфікації засобів захисту — напів-
фор-мальні часткові специфікації засобів захисту;

• у розділі ВГБ: відповідність описів різного рівня — напівфор-
мальний доказ відповідності;

• у розділі ВГБ: політика безпеки —формальна модель політики
безпеки.

У класі ВГБ: документація:

• у розділі ВГБ: керівництво адміністратора — адмініструван­
ня засобів захисту;

• у розділі ВГБ: керівництво користувача — використання за­
собів захисту.

У класі ВГБ: процес розробки:

• у розділі ВГБ: безпека середовища розробки —підтвердження
заходів безпеки в ході розробки;

• у розділі ВГБ: технологія розробки — стандартизована техно­
логія розробки;

• у розділі ВГБ: засоби розробки — використання тільки за­
собів розробки, що відповідають певним стандартам.

У класі ВГБ: тестування:

• у розділі ВГБ: повнота тестування — строгий аналіз повноти
тестування;

• у розділі ВГБ: глибина тестування — функціональні специфі­
кації;

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• у розділі ВГБ: методика тестування — тестування у відповід­
ності з певною методикою;

• у розділі ВГБ: незалежне тестування — вибіркове незалежне
тестування.

У класі ВГБ: оцінка захисту:

• у розділі ВГБ: аналіз схованих каналів — пошук схованих ка­
налів на основі певних методів;

• у розділі ВГБ: аналіз можливостей неправильного вико­
ристання засобів захисту — незалежний аналіз можливостей
неправильного використання засобів захисту;

• у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій­
кості засобів захисту;

• у розділі ВГБ: аналіз продукту на наявність уразливостей —
вичерпний аналіз уразливостей.

Даний рівень вимагає строгого та послідовного застосування певних методів проектування та розробки, які дозволяють забез­печувати гарантії захисту при експлуатації в умовах підвищено­го ризику.

Вимоги цього рівня доповнюють попередні необхідністю структурного опису реалізації продукту та напівформального подання часткових специфікацій, а також вимогою багаторівне­вої архітектури.

Для підтвердження результатів аналізу крім заході, передба­чених п'ятим рівнем, аналіз уразливостей повинен демонструва­ти стійкість системи проти сильних атак, а повинні бути одер­жані незалежні підтвердження проведення розробником систе­матичного пошуку схованих каналів.

Вимоги до процесу розробки розширюються необхідністю стру-ктурування цього процесу та повної автоматизації керу­вання конфігурацією проекту.

Рівень розширює вимоги попереднього застосуванням більш глибокого аналізу, структуризацією представлення ІТ-продукту, багаторівневою архітектурою, посиленням аналізу уразливос­тей, застосуванням систематичного пошуку схованих каналів, а також удосконаленням керування конфігурацією та середовища розробки.

Розділе. Критерії безпеки інформаційних технологій

формальні методи верифікації розробки та тестування

Рівень формальних методів верифікації розробки та тес­тування [EAL7 — formally verified design and tested] — сьомий рівень гарантій, призначений для використання в ситуаціях із виключно високим ступенем ризику, і (або) там, де цінність об'єктів, які захищаються, виправдовує високі додаткові витра­ти. Практичне застосування цього рівня на даний час обмежене компактними ІТ-продуктами, в яких сконцентровані засоби за­хисту, і які легко піддаються формальному аналізу.

Сьомий рівень гарантій відповідає наступним вимогам га­рантій безпеки.

У класі ВГБ: управління проектом:

• у розділі ВГБ: засоби управління проектом — повна автома­
тизація управління проектом і контролю версій;

• у розділі ВГБ: управління версіями — контроль цілісності й
автентичності дистрибутива системи;

• у розділі ВГБ: конфігурація проекту — включення до складу
конфігурації проекту інструментальних засобів розробки.

У класі ВГБ: дистрибуція:

• у розділі ВГБ: поставка — захист від спотворень у процесі
поставки;

• у розділі ВГБ: установка, настройка, запуск — регламентовані
процедури установки, настройки, запуску.

У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — фор­
мальні специфікації для засобів захисту;

• у розділі ВГБ: архітектура захисту — формальний опис архі­
тектури захисту й доказ її відповідності політиці безпеки;

• у розділі ВГБ: форма надання продукту на сертифікацію —
структурований опис реалізації усіх засобів захисту;

• у розділі ВГБ: структура засобів захисту — мінімізація склад­
ності;

• у розділі ВГБ: часткові специфікації засобів захисту — напів-
фор-мальні часткові специфікації засобів захисту;

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

• у розділі ВГБ: відповідність описів різного рівня — формаль­
ний доказ відповідності;

¹ у розділі ВГБ: політика безпеки — формальна модель політи­ки безпеки. У класі ВГБ: документація:

• у розділі ВГБ: керівництво адміністратора — адмініструван­
ня засобів захисту;

¹ у розділі ВГБ: керівництво користувача — використання за­собів захисту. У класі ВГБ: процес розробки:

■у розділі ВГБ: безпека середовища розробки — підтверджен­
ня заходів безпеки в ході розробки;

■у розділі ВГБ: технологія розробки — технологія розробки,
яка дозволяє оцінювати продукт, що розроблюється;

■у розділі ВГБ: засоби розробки — використання тільки за­
собів розробки, що відповідають певним стандартам.

У класі ВГБ: тестування:

¹ у розділі повнота тестування — строгий аналіз повноти тес­тування;

■ у розділі ВГБ: глибина тестування — реалізація;

• у розділі ВГБ: методика тестування — тестування у відповід­
ності з певною методикою;

у розділі ВГБ: незалежне тестування — повне незалежне тес­тування.

У класі ВГБ: оцінка захисту:

у розділі ВГБ: аналіз схованих каналів — пошук схованих ка­налів на основі певних методів;

у розділі ВГБ: аналіз можливостей неправильного вико­ристання засобів захисту — незалежний аналіз можливостей неправильного використання засобів захисту; у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій­кості засобів захисту;

у розділі ВГБ: аналіз продукту на наявність уразливостей — вичерпний аналіз уразливостей.

Розділ 8. Критерії безпеки інформаційних технологій

На відміну від попередніх рівнів необхідне формальне подан­ня функціональних специфікацій та архітектури захисту, а також формальна та напівформальна демонстрація відповідності між ними. Архітектура системи повинна бути не тільки модульною, але й простою та зрозумілою.

Додатково до попередніх рівнів результати аналізу вимагають підтвердження тестуванням форми реалізації, а також обґрунто­ваним незалежним підтвердженням усіх результатів проведених розробником випробувань.

Таким чином, цей рівень підсилює вимоги попереднього за ра­хунок більш послідовного аналізу з використанням формального опису системи на різних рівнях подання та формального доказу взаємної відповідності цих описів, а також всеохоплюючого тес­тування.

8.5. ШЛЯХИ І ПЕРСПЕКТИВИ ЗАСТОСУВАННЯ ЗАГАЛЬНИХ КРИТЕРІЇВ

Загальні критерії розроблені в розрахунку на три групи спе­ціалістів: виробників і розробників, рядових споживачів (масо­вих користувачів), а також експертів кваліфікаційного аналізу захищених систем.

Споживачі можуть розглядати декларування рівня безпеки ІТ-продукту як метод визначення відповідності ІТ-продукту до своїх запитів. Ці запити складаються на основі результаті про­ведення аналізу ризику і вибраної політики безпеки. Загальні критерії відіграють суттєву роль в процесі формування запитів споживачів, так як містять механізми, що дозволяють сформу­вати ці запити у вигляді набору стандартизованих вимог (функ­ціональності і адекватності). Це дозволяє споживачам прийняти обґрунтоване рішення про варіанти використання тих чи інших ІТ-продуктів. Крім того, Загальні критерії представляють спожи­вачам механізм профілів і проектів захисту, за допомогою яких вони можуть сформулювати специфічні для них вимоги, не тур­буючись про механізми їх реалізації.

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Виробники (розробники) можуть використовувати рекомен­дації Загальних критеріїв в ході проектування ІТ-продуктів, а також при підготовці до кваліфікаційного аналізу і сертифікації Цей документ надає їм можливість на основі запитів споживачів визначити набір вимог, яким повинен задовольняти ІТ-продукт, що розроблюється. Загальні критерії пропонують виробникам спеціальний механізм проекту захисту. Він доповнює профіль захисту і дозволяє з'єднати опис механізмів реалізації засобів за­хисту і вимог, на які орієнтувався розробник.

Експерти кваліфікаційного аналізу можуть використати поло­ження цього документу як критерії для визначення відповідності між ІТ-продуктом і пред'явленими до нього вимогами. Стандарт «Загальних критеріїв» описує тільки загальну схему проведення кваліфікаційного аналізу і сертифікації, але не регламентує про­цедуру їх здійснення. Питаннями методології кваліфікаційного аналізу і сертифікації присвячений окремий документ авторів Загальних критеріїв — Загальна методологія оцінки безпеки ін­формаційних технологій [82], який є додатком до стандарту.

Враховуючи перспективність та міжнародний характер За­гальних критеріїв, доцільно використати їхні основні положення та конструкції при розробці нормативних документів, методич­ного та інструментального забезпечення оцінки безпеки продук­тів та систем інформаційних технологій. Зокрема, пропонується розробка комплексу нормативних документів системи технічно­го захисту:

• Безпека інформаційних технологій. Терміни та визначення;

• Концепція оцінки безпеки інформаційних технологій;

• Загальні критерії безпеки інформаційних. Функціональні ви­
моги та вимоги гарантій безпеки;

• Профіль захисту. Керівництво з розробки та реєстрації;

• Завдання з безпеки. Керівництво з розробки та оформлення;

• Керівництво з проектування та експлуатації автоматизованих
систем, які відповідають вимогам інформаційної безпеки;

• Керівництво з сертифікації продуктів і систем інформаційних
технологій з вимог безпеки і т.ін.

Розділ 8. Критерії безпеки інформаційних технологій

До прийняття Загальних критеріїв як міжнародних стандар­тів та прийняття відповідних державних стандартів доцільно при формуванні вимог та оцінки безпеки продуктів і систем ін­формаційних технологій керуватися не тільки вимогами діючих нормативних документів, але й додаткових вимог, сформованих на основі Загальних критеріїв з урахуванням специфіки конк­ретного об'єкта оцінки.

Доцільно також на основі матеріалів Загальних критеріїв вес­ти розробку профілів захисту і вимог технічного завдання із за­безпечення безпеки для нових типів продуктів (систем) і нових інформаційних технологій.

■ЯІМІІІН

Поиск по сайту: