Цель безопасности

Часть стандарта безопасности компьютера Common Criteria

Общие критерии оценки безопасности информационных технологий, версия 3.1 Часть 1 (называемые CC 3.1 или CC) ^[1] определяют цель безопасности ( ST ) как «зависящее от реализации заявление о потребностях безопасности для определенной идентифицированной цели оценки ( TOE )». Другими словами, ST определяет границу и указывает детали TOE. В процессе оценки продукта в соответствии с CC документ ST предоставляется поставщиком продукта.

ST определяет требования к безопасности и функциональным требованиям информационной безопасности для данного продукта информационной системы, который называется Target of Evaluation (TOE). ST — это полное и строгое описание проблемы безопасности с точки зрения описания TOE, угроз, предположений, целей безопасности, функциональных требований безопасности (SFR), требований к обеспечению безопасности (SAR) и обоснований. SAR обычно задаются в виде числа от 1 до 7, называемого Evaluation Assurance Level (EAL), указывающего глубину и строгость оценки безопасности, обычно в форме подтверждающей документации и тестирования, что продукт соответствует SFR. ^{[ необходима цитата ]}

ST содержит некоторую (но не очень подробную) информацию, специфичную для реализации, которая демонстрирует, как продукт отвечает требованиям безопасности. Он может ссылаться на один или несколько профилей защиты (PP). В таком случае ST должен соответствовать общим требованиям безопасности, указанным в каждом из этих PP, и может определять дополнительные требования.

План цели безопасности

1. Введение  — обзор того, что делает TOE, включая основные характеристики и цели.
   • Ссылка ST
   • Ссылка на TOE
   • Обзор ТОЕ
   • Описание ТОЕ
2. Утверждения о соответствии  – определяет утверждения о соответствии для оценки TOE.
   • Заявления о соответствии версии CC
   • Заявления о соответствии CC Часть 2
   • Заявления о соответствии CC Часть 3
   • Заявления о соответствии ПП – строгое соответствие или демонстрируемое соответствие
3. Определение проблемы безопасности  – описывает угрозы и предположения относительно операционной среды. Цель – продемонстрировать проблему безопасности, которую должен решать TOE и его операционная среда.
   • Угрозы – неблагоприятное действие, выполняемое агентом угрозы на активе. Агенты угрозы описываются такими аспектами, как экспертиза, ресурсы, возможность и мотивация.
   • Организационная политика безопасности (OSP) — это набор правил, процедур или рекомендаций по безопасности, применяемых организацией в операционной среде TOE.
   • Предположения – делаются только относительно операционной среды поведения ОО.
4. Цели безопасности  – краткое и абстрактное изложение предполагаемого решения проблемы, указанной в определении проблемы безопасности. Каждая цель безопасности должна восходить как минимум к одной угрозе или OSP.

   1. аспект безопасности, достижение которого является целью и задачей использования определенных мер смягчения, таких как конфиденциальность, целостность, доступность, подлинность пользователя, авторизация доступа, подотчетность.
   2. конфиденциальность, целостность или доступность, необходимые для поддержки применимых основополагающих требований.-[1]

   • Цели безопасности для TOE
   • Цели безопасности для операционной среды
   • Обоснование целей безопасности — набор обоснований, показывающих, что все угрозы и предположения эффективно устраняются целями безопасности.
5. Определение расширенных компонентов  – расширенные компоненты должны состоять из измеримых и объективных элементов, соответствие которым может быть продемонстрировано.
6. Требования безопасности  – определяет и описывает SFR из CC Часть 2 и SAR из CC Часть 3.
   • Функциональные требования безопасности — ФТБ формируют четкое, недвусмысленное и четко определенное описание ожидаемого поведения безопасности ОО.
   • Требования к обеспечению безопасности — SAR представляют собой четкое, недвусмысленное и обоснованное описание ожидаемых действий, которые будут предприняты для получения гарантий безопасности TOE.
   • Обоснование требований безопасности – обоснование цели безопасности для ОО демонстрирует, что ФТБ являются достаточными и необходимыми.
7. Сводные спецификации TOE  — позволяют оценщикам и потенциальным потребителям получить общее представление о том, как реализована TOE.
   • Функции безопасности – функция зоны или канала для предотвращения несанкционированного электронного вмешательства, которое может повлиять или повлиять на нормальное функционирование устройств и систем в зоне или канале. Сводная спецификация TOE должна описывать, как TOE соответствует каждому SFR.
   • Спецификации безопасности TOE — общее представление того, как разработчик намерен удовлетворить каждому SFR.

Смотрите также

• Общие критерии
• Профиль защиты
• Уровень гарантии оценки (EAL)
• Испытательная лаборатория общих критериев

Ссылки

1. Портал общих критериев – http://www.commoncriteriaportal.org/cc/