LINEBURG


<< Пред. стр.

страница 21
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>

В случае уязвимости, которая уже идентифицирована и информация о которой
827

общедоступна, идентифицируемые значения для нарушителя следует выбирать, исходя из
раскрытия этой уязвимости в общедоступных источниках, а не из начальной ее
идентификации нарушителем.
Затем для получения рейтинга уязвимости следует использовать таблицу 9.4.
828

Таблица 9.4 – Рейтинг уязвимостей
ОО противостоит
Диапазон нарушителю с
значений потенциалом нападения:
< 10 Нет рейтинга
10-17 Низкий
18-24 Умеренный
> 25 Высокий
Подобный подход не позволяет учесть все обстоятельства и факторы, но должен давать
829

лучшее указание на уровень противодействия нападениям, требуемый для достижения
рейтингов, приведенных в таблице 9.4. Другие факторы, такие, как расчет на малую
вероятность случайных воздействий или вероятность обнаружения атаки до того, как она
может быть завершена, не включены в базовую модель, но могут использоваться

144
оценщиком как строгое обоснование для рейтинга иного, чем тот, на который может
указывать базовая модель.
В случаях, когда, например, определяется рейтинг механизма пароля, а реализация ОО
830

такова, что допускается очень мало попыток до ограничения нападения, рейтинг стойкости
становится почти полностью связанным с вероятностью правильного отгадывания в
течение этих немногочисленных попыток. Такие меры ограничения обычно
рассматриваются как часть функции управления доступом, и в то время как сам механизм
пароля может получить, например, только рейтинг «средняя СФБ», для функции
управления доступом может быть вынесено суждение о рейтинге «высокая СФБ».
Следует отметить, что в то время как ряд уязвимостей, оцененных по отдельности, могут
831

указывать на высокое противодействие нападениям, наличие других уязвимостей может
изменять табличные значения так, что комбинация уязвимостей будет свидетельствовать о
применимости более низкого общего рейтинга. Другими словами, наличие одной
уязвимости может упростить использование другой. Предполагается, что такая оценка
является частью анализа уязвимостей разработчиком и оценщиком.
9.3.3 Пример анализа стойкости функции
Ниже представлен анализ СФБ для гипотетического механизма цифрового пароля.
832

Информация, полученная из ЗБ и свидетельств проекта, показывает, что идентификация и
833

аутентификация предоставляют основу для управления доступом к сетевым ресурсам с
терминалов, расположенных далеко друг от друга. Управление физическим доступом к
терминалам каким-либо эффективным способом не осуществляется. Управление
продолжительностью доступа к терминалу каким-либо эффективным способом не
осуществляется. Уполномоченные пользователи системы подбирают себе свои
собственные цифровые пароли для входа в систему во время начальной авторизации
использования системы и в дальнейшем – по запросу пользователя. Система содержит
следующие ограничения на цифровые пароли, выбираемые пользователем:
а) цифровой пароль должен быть не менее четырех и не более шести цифр длиной;
б) последовательные числовые ряды (типа 7,6,5,4,3) не допускаются;
в) повторение цифр не допускается (каждая цифра должна быть уникальной).
Руководство, предоставляемое пользователям на момент выбора цифрового пароля,
834

является таковым, чтобы цифровые пароли были случайны, насколько это возможно, и не
связаны каким-либо способом с конкретным пользователем, например, с датой рождения.
Число возможных значений цифровых паролей рассчитывается следующим образом:
835

а) Шаблоны, используемые людьми, являются важным обстоятельством, которое может
влиять на подход к поиску возможных значений цифровых паролей и таким образом влиять
на СФБ. Допуская самый плохой вариант сценария, когда пользователь выбирает число,
состоящее только из четырех цифр, число перестановок цифрового пароля, предполагая,
что каждая цифра уникальна, равно:
7(8)(9)(10) = 5040
б) Число возможных увеличивающихся рядов – семь, как и число убывающих рядов. После
отбрасывания этих рядов число возможных значений цифровых паролей равно:
5040 – 14 = 5026
Основываясь на дополнительной информации, полученной из свидетельств проекта, в
836

механизме цифрового пароля спроектирована характеристика блокировки терминала.

145
После шестой подряд неудачной попытки аутентификации терминал блокируется на один
час. Счетчик неудачной аутентификации сбрасывается через пять минут; таким образом,
нарушитель в лучшем случае может осуществить пять попыток ввода цифрового пароля
каждые пять минут или 60 вводов цифрового пароля в час.
В среднем нарушитель должен был бы ввести 2513 цифровых паролей более чем за 2513
837

минуты до ввода правильного цифрового пароля. Как результат, в среднем, успешное
нападение произошло бы чуть меньше, чем за:
2513 мин
? 42 часа
мин
60
час
Используя подход, описанный в предыдущем подразделе, следует выбирать значения
838

факторов при идентификации, минимальные из каждой категории (все 0), так как
существование уязвимости в такой функции очевидно. Основываясь на приведенных выше
вычислениях, для непрофессионала является возможным нанести поражение механизму в
пределах дней (при получении доступа к ОО) без использования какого-либо оборудования
и без знания ОО, что по таблице 9.3 (для использования уязвимостей) дает значение 11.
Получив результирующую сумму – 11, потенциал нападения, требуемый для
осуществления успешной атаки, определяется, по меньшей мере, как умеренный.
Уровни СФБ определены в терминах потенциала нападения в Глоссарии (подраздел 2.3
839

части 1 ОК). Поскольку для того, чтобы утверждать о базовой СФБ, механизм должен
противодействовать нарушителю с низким потенциалом нападения, и поскольку механизм
цифрового пароля является стойким к нарушителю с низким потенциалом, то этот
механизм цифрового пароля, в лучшем случае, соответствует уровню «базовая СФБ».

9.4 Оценка неправильного применения
9.4.1 Подвид деятельности AVA_MSU.1
9.4.1.1 Цели
Цель данного подвида деятельности – сделать заключение, не являются ли руководства
840

вводящими в заблуждение, необоснованными или противоречивыми, были ли учтены
процедуры безопасности для всех режимов функционирования, и будет ли использование
руководств способствовать предотвращению и обнаружению небезопасных состояний ОО.
9.4.1.2 Замечания по применению
Использование термина руководства в этом подвиде деятельности относится к руководству
841

пользователя, руководству администратора и процедурам безопасной инсталляции,
генерации и запуска. Здесь к процедурам инсталляции, генерации и запуска относятся все
процедуры перевода ОО из состояния при поставке в состояние функционирования,
ответственным за выполнение которых является администратор.
9.4.1.3 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
842

а) ЗБ;
б) функциональная спецификация;
в) руководство пользователя;
г) руководство администратора;
д) процедуры безопасной инсталляции, генерации и запуска.
9.4.1.4 Действия оценщика

146
Этот подвид деятельности включает три элемента действий оценщика из части 3 ОК:
843

а) AVA_MSU.1.1E;
б) AVA_MSU.1.2E;
в) AVA_MSU.1.3E.
9.4.1.4.1 Действие AVA_MSU.1.1E
AVA_MSU.1.1C
AVA_MSU.1-1 Оценщик должен исследовать руководства и другие свидетельства оценки,
чтобы сделать заключение, идентифицированы ли в руководствах все возможные
режимы эксплуатации ОО (включая, если применимо, функционирование после
сбоя или ошибки в работе), их последствия и значение для поддержания
безопасной эксплуатации.
Другие свидетельства оценки, в особенности функциональная спецификация, представляют
844

источник информации, который оценщику следует использовать, чтобы сделать
заключение, содержат ли руководства достаточную руководящую информацию.
Если в пакет доверия включена тестовая документация, то информация, представленная в
845

этом свидетельстве, может также быть использована, чтобы сделать заключение, содержат
ли руководства достаточную руководящую информацию. Детали, представленные в
описании шагов тестирования, могут быть использованы для подтверждения того,
достаточны ли предоставленные руководства для использования и администрирования ОО.
Оценщику следует сосредоточиться одновременно на одной функции безопасности,
846

сопоставляя руководства для безопасного использования данной функции безопасности с
другими свидетельствами оценки, чтобы сделать заключение, достаточны ли руководства в
части, относящейся к данной функции безопасности, для ее безопасного использования
(т.е., согласовано ли оно с ПБО). Оценщику следует также рассмотреть соотношения между
функциями, осуществляя поиск потенциальных конфликтов.

AVA_MSU.1.2C
AVA_MSU.1-2 Оценщик должен исследовать руководства, чтобы сделать заключение,
являются ли они понятными и внутренне непротиворечивыми.
Руководства являются непонятными, если они так или иначе могут быть неправильно
847

истолкованы администратором или пользователем и использоваться путем, причиняющим
ущерб ОО или безопасности, обеспечиваемой ОО.
Руководство по анализу непротиворечивости см. в подразделе 10.3.
848

AVA_MSU.1-3 Оценщик должен исследовать руководства и другие свидетельства оценки,
чтобы сделать заключение, являются ли руководства полными и обоснованными.
Оценщику следует использовать знакомство с ОО, приобретенное при выполнении других
849

видов деятельности по оценке, чтобы сделать заключение, являются ли руководства
полными.
В частности, оценщику следует рассмотреть функциональную спецификацию и краткую
850

спецификацию ОО. Предполагается, что все функции безопасности, описанные в этих
документах, описываются в руководствах надлежащим образом, чтобы дать возможность
их безопасного администрирования и использования. Оценщик может в качестве
вспомогательного средства подготовить неформальное отображение между руководствами



147
и этими документами. Какие-либо пропуски в этом отображении могут указывать на
неполноту.
Руководства являются необоснованными, если они содержат требования к использованию
851

ОО или среде функционирования, которые противоречат ЗБ или являются чрезмерно
обременительными для поддержания безопасности.
Оценщику следует обратить внимание, что результаты, полученные в процессе выполнения
852

шагов оценивания подвида деятельности AGD_ADM, предоставят полезные исходные
данные для этого исследования.

AVA_MSU.1.3C
AVA_MSU.1-4 Оценщик должен исследовать руководства, чтобы сделать заключение, все ли
предположения относительно предопределенной среды четко сформулированы.
Оценщик анализирует предположения ЗБ относительно предопределенной среды
853

безопасности ОО и сравнивает их с руководствами, чтобы удостовериться, все ли
предположения из ЗБ относительно предопределенной среды безопасности ОО, которые
имеют отношение к администратору или пользователю, соответствующим образом
описаны в руководствах.

AVA_MSU.1.4C
AVA_MSU.1-5 Оценщик должен исследовать руководства, чтобы сделать заключение, все ли
требования для внешних мер безопасности четко сформулированы.
Оценщик анализирует руководства, чтобы удостовериться, перечислены ли в них все
854

внешние процедурные меры, меры физической защиты, управления персоналом и
связностью. Цели безопасности в ЗБ для не-ИТ среды указывают на то, что требуется.
9.4.1.4.2 Действие AVA_MSU.1.2E
AVA_MSU.1-6 Оценщик должен выполнить все процедуры администратора и пользователя
(если применимо), необходимые для конфигурирования и установки ОО, чтобы
сделать заключение, может ли ОО быть безопасно сконфигурирован и
использован с применением только представленных руководств.
Конфигурация и инсталляция требуют, чтобы оценщик перевел ОО из состояния при
855

поставке в состояние, в котором ОО функционирует и осуществляет ПБО, согласованную с
целями безопасности, специфицированными в ЗБ.
Оценщику необходимо следовать только процедурам разработчика, задокументированным
856

в руководствах пользователя и администратора, которые обычно поставляются
потребителю ОО. Любые встретившиеся трудности в процессе такого применения
процедур могут указывать на неполноту, непонятность, противоречивость или
необоснованность руководств.
Обратите внимание, что работа, выполненная для удовлетворения данного шага
857

оценивания, может также способствовать удовлетворению действия оценщика
ADO_IGS.1.2E.
9.4.1.4.3 Действие AVA_MSU.1.3E
AVA_MSU.1-7 Оценщик должен исследовать руководства, чтобы сделать заключение,
предоставлены ли потребителю руководства, достаточные, чтобы эффективно
администрировать и использовать функции безопасности ОО, а также
обнаруживать небезопасные состояния.

148
ОО могут использовать разнообразные способы содействия потребителю в эффективном, с
858

точки зрения безопасности, использовании ОО. Один ОО может использовать
функциональные возможности (характеристики), чтобы предупредить потребителя, когда
ОО находится в небезопасном состоянии, в то время как другие ОО могут поставляться с
расширенными руководствами, содержащими предложения, советы, процедуры и т.д. по
наиболее эффективному использованию существующих характеристик безопасности;
например, с руководством по использованию характеристики аудита как вспомогательного
средства при обнаружении небезопасных состояний.
Чтобы вынести вердикт для этого шага оценивания, оценщик рассматривает
859

функциональные возможности ОО, его назначение и предопределенную среду, а также
предположения о его использовании или о пользователях. Оценщику следует прийти к
заключению, что, если возможен переход ОО в небезопасное состояние, то имеется ли
обоснованное ожидание, что использование руководства позволит своевременно
обнаружить небезопасное состояние. Заключение о потенциальной возможности перехода
ОО в небезопасные состояния может быть сделано с использованием поставляемых для
оценки материалов, таких как ЗБ, функциональная спецификация и какие-либо другие
представления проекта, предоставленные в качестве свидетельств для компонентов,
включенных в пакет доверия для ОО (например, проект верхнего уровня ФБО, если в пакет
доверия включен компонент из семейства ADV_HLD).
9.4.2 Подвид деятельности AVA_MSU.2
9.4.2.1 Цели
Цель данного подвида деятельности – сделать заключение, не являются ли руководства
860

вводящими в заблуждение, необоснованными или противоречивыми, были ли учтены
процедуры безопасности для всех режимов функционирования, и будет ли использование
руководств способствовать предотвращению и обнаружению небезопасных состояний ОО.
9.4.2.2 Замечания по применению
Использование термина руководства в этом подвиде деятельности относится к руководству
861

пользователя, руководству администратора и процедурам безопасной инсталляции,
генерации и запуска. Здесь к процедурам инсталляции, генерации и запуска относятся все
процедуры перевода ОО из состояния при поставке в состояние функционирования,
ответственным за выполнение которых является администратор.
Этот компонент включает требование к анализу, выполняемому разработчиком, которое не
862

присутствует в AVA_MSU.1. Проверку правильности этого анализа не следует
использовать как замену собственного исследования оценщиком руководств, но следует
использовать, чтобы предоставить свидетельство, что разработчик также явным образом
учел проблему неправильного применения.
9.4.2.3 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
863

а) ЗБ;
б) функциональная спецификация;
в) руководство пользователя;
г) руководство администратора;
д) процедуры безопасной инсталляции, генерации и запуска;
е) материалы анализа неправильного применения руководств;

149
9.4.2.4 Действия оценщика
Этот подвид деятельности включает четыре элемента действий оценщика из части 3 ОК:
864

а) AVA_MSU.2.1E;
б) AVA_MSU.2.2E;
в) AVA_MSU.2.3E;
г) AVA_MSU.2.4E.
9.4.2.4.1 Действие AVA_MSU.2.1E
AVA_MSU.2.1C
AVA_MSU.2-1 Оценщик должен исследовать руководства и другие свидетельства оценки,
чтобы сделать заключение, идентифицированы ли в руководствах все возможные
режимы эксплуатации ОО (включая, если применимо, функционирование после
сбоя или ошибки в работе), их последствия и значение для поддержания
безопасной эксплуатации.
Другие свидетельства оценки, в особенности функциональная спецификация, представляют
865

источник информации, который оценщику следует использовать, чтобы сделать
заключение, содержат ли руководства достаточную руководящую информацию.
Если в пакет доверия включена тестовая документация, то информация, представленная в
866

этом свидетельстве, может также быть использована, чтобы сделать заключение, содержат
ли руководства достаточную руководящую информацию. Детали, представленные в
описании шагов тестирования, могут быть использованы для подтверждения того,
достаточны ли предоставленные руководства для использования и администрирования ОО.
Оценщику следует сосредоточиться одновременно на одной функции безопасности,
867

сопоставляя руководство для безопасного использования данной функции безопасности с
другими свидетельствами оценки, чтобы сделать заключение, достаточны ли руководства в
части, относящейся к данной функции безопасности, для ее безопасного использования
(т.е., согласовано ли оно с ПБО). Оценщику следует также рассмотреть соотношения между
функциями, осуществляя поиск потенциальных конфликтов.

AVA_MSU.2.2C
AVA_MSU.2-2 Оценщик должен исследовать руководства, чтобы сделать заключение,
являются ли они понятными и внутренне непротиворечивыми.
Руководства являются непонятными, если они так или иначе могут быть неправильно
868

истолкованы администратором или пользователем и использоваться путем, причиняющим
ущерб ОО или безопасности, обеспечиваемой ОО.
Руководство по анализу непротиворечивости см. в подразделе 10.3.
869

AVA_MSU.2-3 Оценщик должен исследовать руководства и другие свидетельства оценки,
чтобы сделать заключение, являются ли руководства полными и обоснованными.
Оценщику следует использовать знакомство с ОО, приобретенное при выполнении других
870

видов деятельности по оценке, чтобы сделать заключение, являются ли руководства
полными.
В частности, оценщику следует рассмотреть функциональную спецификацию и краткую
871

спецификацию ОО. Предполагается, что все функции безопасности, описанные в этих
документах, описываются в руководствах надлежащим образом, чтобы дать возможность
их безопасного администрирования и использования. Оценщик может в качестве
вспомогательного средства подготовить неформальное отображение между руководствами
150
и этими документами. Какие-либо пропуски в этом отображении могут указывать на
неполноту.
Руководства являются необоснованными, если они содержат требования к использованию
872

ОО или среде функционирования, которые противоречат ЗБ или являются чрезмерно
обременительными для поддержания безопасности.
Оценщику следует обратить внимание, что результаты, полученные в процессе выполнения
873

<< Пред. стр.

страница 21
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign