LINEBURG


<< Пред. стр.

страница 22
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>


шагов оценивания подвида деятельности AGD_ADM, предоставят полезные исходные
данные для этого исследования.

AVA_MSU.2.3C
AVA_MSU.2-4 Оценщик должен исследовать руководства, чтобы сделать заключение, все ли
предположения относительно предопределенной среды четко сформулированы.
Оценщик анализирует предположения ЗБ относительно предопределенной среды
874

безопасности ОО и сравнивает их с руководствами, чтобы удостовериться, все ли
предположения из ЗБ относительно предопределенной среды безопасности ОО, которые
имеют отношение к администратору или пользователю, соответствующим образом
описаны в руководствах.

AVA_MSU.2.4C
AVA_MSU.2-5 Оценщик должен исследовать руководства, чтобы сделать заключение, все ли
требования для внешних мер безопасности четко сформулированы.
Оценщик анализирует руководства, чтобы удостовериться, перечислены ли в нем все
875

внешние процедурные меры, меры физической защиты, управления персоналом и
связностью. Цели безопасности в ЗБ для не-ИТ среды указывают на то, что требуется.

AVA_MSU.2.5C
AVA_MSU.2-6 Оценщик должен исследовать материалы анализа, выполненного
разработчиком, чтобы сделать заключение, предпринял ли разработчик
соответствующие меры для обеспечения полноты руководств.
Материалы анализа, выполненного разработчиком, могут включать отображения ЗБ или
876

функциональной спецификации на руководства, чтобы продемонстрировать, что
руководства являются полными. Какие бы ни были предоставлены разработчиком
свидетельства для демонстрации полноты, оценщику следует оценить материалы анализа,
выполненного разработчиком, с учетом любых недостатков, обнаруженных в ходе
выполнения шагов оценивания с AVA_MSU.2-1 по AVA_MSU.2-5, а также AVA_MSU.2-7.
9.4.2.4.2 Действие AVA_MSU.2.2E
AVA_MSU.2-7 Оценщик должен выполнить все процедуры администратора и пользователя
(если применимо), необходимые для конфигурирования и установки ОО, чтобы
сделать заключение, может ли ОО быть безопасно сконфигурирован и
использован с применением только представленных руководств.
Конфигурация и инсталляция требуют, чтобы оценщик перевел ОО из состояния при
877

поставке в состояние, в котором ОО функционирует и осуществляет ПБО, согласованную с
целями безопасности, специфицированными в ЗБ.
Оценщику необходимо следовать только процедурам разработчика, задокументированным
878

в руководствах пользователя и администратора, которые обычно поставляются
потребителю ОО. Любые встретившиеся трудности в процессе такого применения
151
процедур могут указывать на неполноту, непонятность, противоречивость или
необоснованность руководств.
Обратите внимание, что работа, выполненная для удовлетворения данного шага
879

оценивания, может также способствовать удовлетворению действия оценщика
ADO_IGS.1.2E.
AVA_MSU.2-8 Оценщик должен выполнить другие относящиеся к безопасности процедуры,
специфицированные в руководствах, чтобы сделать заключение, может ли ОО
быть безопасно сконфигурирован и использован с применением только
представленных руководств.
Оценщику необходимо следовать только процедурам разработчика, задокументированным
880

в руководствах пользователя и администратора, которые обычно поставляются
потребителю ОО.
Оценщику следует осуществить выборку при выполнении данного шага оценивания. При
881

осуществлении выборки оценщику следует принять во внимание:
а) ясность руководства. Любое потенциально непонятное руководство следует включить в
выборку;
б) руководство, которое будет использоваться наиболее часто. Редко используемое
руководство обычно не следует включать в выборку;
в) сложность руководства. Сложное руководство следует включать в выборку;
г) серьезность ошибки. Процедуры, для которых ошибка влияет очень серьезным образом
на безопасность, следует включать в выборку;
д) характер ОО. Руководство, связанное с нормальным или наиболее вероятным
использованием ОО, следует включать в выборку.
Руководство по выборке см. в подразделе 10.2.
882

9.4.2.4.3 Действие AVA_MSU.2.3E
AVA_MSU.2-9 Оценщик должен исследовать руководства, чтобы сделать заключение,
предоставлены ли потребителю руководства, достаточные, чтобы эффективно
администрировать и использовать функции безопасности ОО, а также
обнаруживать небезопасные состояния.
ОО могут использовать разнообразные способы содействия потребителю в эффективном с
883

точки зрения безопасности использовании ОО. Один ОО может использовать
функциональные возможности (характеристики), чтобы предупредить потребителя, когда
ОО находится в небезопасном состоянии, в то время как другие ОО могут поставляться с
расширенными руководствами, содержащими предложения, советы, процедуры и т.д. по
наиболее эффективному использованию существующих характеристик безопасности;
например, с руководством по использованию характеристики аудита как вспомогательного
средства при обнаружении небезопасных состояний.
Чтобы вынести вердикт для этого шага оценивания, оценщик рассматривает
884

функциональные возможности ОО, его назначение и предопределенную среду, а также
предположения о его использовании или о пользователях. Оценщику следует прийти к
заключению, что, если возможен переход ОО в небезопасное состояние, то имеется ли
обоснованное ожидание, что использование руководства позволит своевременно
обнаружить небезопасное состояние. Заключение о потенциальной возможности перехода
ОО в небезопасные состояния может быть сделано с использованием поставляемых для

152
оценки материалов, таких как ЗБ, функциональная спецификация и какие-либо другие
представления проекта, предоставленные в качестве свидетельств для компонентов,
включенных в пакет доверия для ОО (например, проект верхнего уровня ФБО, если в пакет
доверия включен компонент из семейства ADV_HLD).
9.4.2.4.4 Действие AVA_MSU.2.4E
AVA_MSU.2-10 Оценщик должен исследовать материалы анализа руководств, выполненного
разработчиком, чтобы сделать заключение, предоставлено ли руководство по
безопасному функционированию во всех режимах функционирования ОО.
Результаты действия по оценке AVA_MSU.2.1E обеспечивают основу для оценки
885

материалов анализа, выполненного разработчиком. Оценивая возможность неправильного
применения руководств, оценщику следует быть способным сделать заключение, отвечает
ли анализ неправильного применения, выполненный разработчиком, целям этого подвида
деятельности.

9.5 Оценка стойкости функций безопасности ОО
9.5.1 Подвид деятельности AVA_SOF.1
9.5.1.1 Цель оценки
Цель данного подвида деятельности – сделать заключение, сделаны ли в ЗБ утверждения о
886

СФБ для всех вероятностных или перестановочных механизмов, и поддержаны ли
утверждения о СФБ, сделанные разработчиком в ЗБ, корректным анализом.
9.5.1.2 Замечания по применению
Анализ СФБ выполняется для механизмов, которые по своей природе являются
887

вероятностными или перестановочными, таких как механизм пароля или биометрия. Хотя
криптографические механизмы по своей природе являются также вероятностными и
зачастую описываются в терминах стойкости, AVA_SOF.1 не применим к
криптографическим механизмам. Для таких механизмов оценщику следует
руководствоваться указаниями системы сертификации.
Хотя анализ СФБ выполняется на базе отдельных механизмов, общее заключение о СФБ
888

базируется на функциях. Когда для обеспечения некоторой функции безопасности
применяется более одного вероятностного или перестановочного механизма,
проанализирован должен быть каждый отдельный механизм. Способ объединения этих
механизмов для обеспечения функции безопасности определит общий уровень СФБ для
этой функции. Оценщику необходима информация о проекте, чтобы понять, как механизмы
работают вместе, чтобы обеспечить функцию, и минимальный уровень для такой
информации предоставляется через зависимость от ADV_HLD.1. Фактическая проектная
информация, доступная оценщику, определяется ОУД, и эту доступную информацию,
когда требуется, следует использовать для поддержки анализа, выполняемого оценщиком.
Обсуждение СФБ в отношении многодоменных ОО см. в п. 4.4.6.
889

9.5.1.3 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
890

а) ЗБ;
б) функциональная спецификация;
в) проект верхнего уровня;
г) материалы анализа стойкости функций безопасности ОО.
9.5.1.4 Действия оценщика
153
Этот подвид деятельности включает два элемента действий оценщика из части 3 ОК:
891

а) AVA_SOF.1.1E;
б) AVA_SOF.1.2E.
9.5.1.4.1 Действие AVA_SOF.1.1E
AVA_SOF.1.1C
AVA_SOF.1-1 Оценщик должен проверить, предоставил ли разработчик материалы анализа
СФБ для каждого механизма безопасности, для которого в ЗБ имеется
утверждение о СФБ, выраженное как уровень СФБ.
Если утверждения о СФБ выражены исключительно в метрике СФБ, то данный шаг
892

оценивания не применяется.
Уровень СФБ выражается как базовая СФБ, средняя СФБ или высокая СФБ, которые
893

определены в терминах потенциала нападения – см. Глоссарий части 1 ОК. Минимальное
общее требование СФБ, выраженное как некоторый уровень, применяется ко всем
некриптографическим вероятностным или перестановочным механизмам безопасности.
Однако для отдельных механизмов может иметься утверждение о СФБ как некотором
уровне, который превышает общее требование СФБ.
Руководство по определению потенциала нападения, необходимого для осуществления
894

нападения, и, следовательно, определению СФБ как некоторого уровня см. в п. 9.3.2.
Материалы анализа СФБ включают строгое обоснование утверждения о СФБ, сделанного в
895

ЗБ.

AVA_SOF.1.2C
AVA_SOF.1-2 Оценщик должен проверить, предоставил ли разработчик материалы анализа
СФБ для каждого механизма безопасности, для которого имеется утверждение о
СФБ в ЗБ, выраженное в некоторой метрике.
Если утверждения о СФБ выражены исключительно как уровни СФБ, то данный шаг
896

оценивания не применяется.
Минимальное общее требование СФБ, выраженное как некоторый уровень, применяется ко
897

всем некриптографическим вероятностным или перестановочным механизмам
безопасности. Однако для отдельных механизмов может иметься утверждение о СФБ в
метрике, которая удовлетворяет или превосходит общее требование СФБ.
Анализ СФБ включает строгое обоснование утверждения о СФБ, сделанного в ЗБ.
898


AVA_SOF.1.1C и AVA_SOF.1.2C
AVA_SOF.1-3 Оценщик должен исследовать материалы анализа СФБ, чтобы сделать
заключение, являются ли обоснованными любые утверждения или
предположения, поддерживающие анализ.
Например, может быть неверным предположение, что конкретная реализация генератора
899

псевдослучайных чисел будет обладать требуемой энтропией, необходимой для отбора
данного механизма безопасности в число тех, для которых уместен анализ СФБ.
Ожидается, что предположения, сопровождающие анализ СФБ, отражают самый плохой
900

случай, за исключением случая, являющегося в соответствии с ЗБ несостоятельным. Когда
существует ряд различных возможных сценариев, и они зависят от поведения человека-
пользователя или нарушителя, следует предположить сценарий, который представляет
самую низкую стойкость, если этот сценарий не был признан ранее несостоятельным.

154
Например, утверждение о стойкости, основанное на максимальной теоретически
901

возможной области значений пароля (т.е. комбинаций всех печатных символов ASCII),
обычно не является самым плохим случаем, потому что человеку свойственно использовать
пароли на естественном языке, существенно уменьшая область значений пароля и
ассоциированную с ней стойкость. Однако такое предположение может быть приемлемым,
если в конкретном ОО применяются меры ИТ, идентифицированные в ЗБ, такие как
фильтры паролей, чтобы минимизировать использование паролей на естественном языке.
AVA_SOF.1-4 Оценщик должен исследовать материалы анализа СФБ, чтобы сделать
заключение, корректны ли любые алгоритмы, принципы, характеристики и
вычисления, поддерживающие анализ.
Характер данного шага оценивания сильно зависит от типа рассматриваемого механизма. В
902

п. 9.3.3 представлен пример анализа СФБ для функции идентификации и аутентификации,
которая реализована с использованием механизма пароля; при анализе рассматривается
максимальная область значений пароля, чтобы, в конечном счете, прийти к некоторому
уровню СФБ. Для биометрии при анализе рассматривается разрешающая способность и
другие факторы, влияющие на чувствительность механизма к обману.
СФБ, выраженная как некоторый уровень, основана на минимальном потенциале
903

нападения, требуемом, чтобы нанести поражение механизму безопасности. Уровни СФБ
определены в терминах потенциала нападения в Глоссарии части 1 ОК.
Руководство по определению потенциала нападения см. в п. 9.3.1.
904

AVA_SOF.1-5 Оценщик должен исследовать материалы анализа СФБ, чтобы сделать
заключение, каждое ли утверждение о СФБ удовлетворено или превышено.
Руководство по ранжированию утверждений о СФБ см. в п. 9.3.1.
905

AVA_SOF.1-6 Оценщик должен исследовать материалы анализа СФБ, чтобы сделать
заключение, все ли функции с заявленной СФБ удовлетворяют минимальному
уровню стойкости, определенному в ЗБ.
9.5.1.4.2 Действие AVA_SOF.1.2E
AVA_SOF.1-7 Оценщик должен исследовать свидетельства проекта, представленные для
оценки, чтобы сделать заключение, для всех ли вероятностных или
перестановочных механизмов имеется утверждение о СФБ.
Идентификация разработчиком функций безопасности, которые реализованы
906

вероятностными или перестановочными механизмами, верифицируется в процессе оценки
ЗБ. Однако, поскольку краткая спецификация ОО может быть единственным
свидетельством, доступным при выполнении этих действий, идентификация таких
механизмов может быть неполной. Дополнительные свидетельства оценки, требуемые в
качестве исходных данных для этого подвида деятельности, (функциональная
спецификация и проект верхнего уровня) и какие-либо другие свидетельства (например,
проект нижнего уровня, руководства) могут идентифицировать дополнительные
вероятностные или перестановочные механизмы, ранее не идентифицированные в ЗБ. Если
это так, то ЗБ должно быть соответствующим образом обновлено, чтобы отразить
дополнительные утверждения о СФБ, а разработчику будет необходимо представить
материалы дополнительного анализа, в которых строго обосновываются утверждения о
СФБ, в качестве исходных данных для действия оценщика AVA_SOF.1.1E.


155
AVA_SOF.1-8 Оценщик должен исследовать утверждения о СФБ, чтобы сделать заключение,
являются ли они корректными.
Когда материалы анализа СФБ включают утверждения или предположения (например, о
907

возможном количестве попыток аутентификации в минуту), оценщику следует независимо
подтвердить, что они корректны. Это может быть достигнуто путем тестирования или
независимого анализа.

9.6 Оценка анализа уязвимостей
9.6.1 Замечания по применению
Использование термина руководства в этом подвиде деятельности относится к руководству
908

пользователя, руководству администратора и процедурам безопасной инсталляции,
генерации и запуска.
Рассмотрение пригодных для использования уязвимостей определяется целями
909

безопасности и функциональными требованиями в ЗБ. Например, если меры по
предотвращению обхода функций безопасности не требуются в ЗБ (FPT_PHP, FPT_RVM и
FPT_SEP отсутствуют), то уязвимости, на которых базируется обход, рассматривать не
следует.
Уязвимости могут быть или не быть идентифицированы в общедоступных источниках и
910

могут требовать или не требовать навыка для их использования. Эти два аспекта являются
связанными, но различными. Не следует предполагать, что уязвимость может быть легко
использована просто потому, что она идентифицирована в общедоступных источниках.
Следующие термины используются в данном руководстве с конкретным значением:
911

a) уязвимость – слабость в ОО, которая может быть использована, чтобы нарушить
политику безопасности в некоторой среде;
б) анализ уязвимостей – систематический поиск уязвимостей в ОО и оценка найденных
уязвимостей, чтобы сделать заключение об их значимости для предопределенной среды
ОО;
в) явная уязвимость – уязвимость, которая является открытой для использования,
требующего минимума понимания ОО, технических познаний и ресурсов;
г) потенциальная уязвимость – уязвимость, существование которой в ОО предполагается
(на основании теоретически допускаемого маршрута нападения), но не подтверждено;
д) пригодная для использования уязвимость – уязвимость ОО, которая может быть
использована в предопределенной среде;
е) непригодная для использования уязвимость – уязвимость ОО, которая не может быть
использована в предопределенной среде;
ж) остаточная уязвимость – непригодная для использования уязвимость ОО, которая могла
бы быть использована нарушителем с более высоким потенциалом нападения, чем
ожидается в предопределенной среде;
з) тестирование проникновения – тестирование, выполняемое, чтобы сделать заключение о
пригодности к использованию в предопределенной среде ОО идентифицированных
потенциальных уязвимостей ОО.
9.6.2 Подвид деятельности AVA_VLA.1
9.6.2.1 Цель


156
Цель данного подвида деятельности – сделать заключение, имеет ли ОО, находящийся в
912

своей предопределенной среде, явные уязвимости, пригодные для использования.
9.6.2.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
913

а) ЗБ;
б) функциональная спецификация;
в) проект верхнего уровня;
г) руководство пользователя;
д) руководство администратора;
е) процедуры безопасной инсталляции, генерации и запуска;
ж) материалы анализа уязвимостей;
з) ОО, пригодный для тестирования.
Дополнительным исходным материалом для данного подвида деятельности является:
914

а) текущая информация касательно явных уязвимостей (например, от органа по
сертификации).
9.6.2.3 Действия оценщика
Этот подвид деятельности включает два элемента действий оценщика из части 3 ОК:
915

а) AVA_VLA.1.1E;
б) AVA_VLA.1.2E.
9.6.2.3.1 Действие AVA_VLA.1.1E
AVA_VLA.1.1C
AVA_VLA.1-1 Оценщик должен исследовать материалы анализа уязвимостей, выполненного
разработчиком, чтобы сделать заключение, вся ли относящаяся к делу
информация рассмотрена при поиске явных уязвимостей.
Предполагается, что анализ уязвимостей, выполненный разработчиком, охватывает поиск
916

разработчиком явных уязвимостей, по меньшей мере, во всех поставляемых для оценки
материалах и общедоступных источниках информации. Оценщику следует использовать
поставляемые для оценки материалы не для выполнения независимого анализа уязвимостей
(что не требуется AVA_VLA.1), а как основу для оценки поиска разработчиком явных
уязвимостей.
Информация в общедоступных источниках является очень динамичной. Поэтому
917

возможно, что о новых уязвимостях будет сообщено в общедоступных источниках в
период между временем, когда разработчик выполняет анализ уязвимостей, и временем
завершения оценки. Моментом прекращения мониторинга информации в общедоступных
источниках является выпуск органом по сертификации результатов оценки; поэтому за
указаниями следует обращаться к органу по сертификации.
AVA_VLA.1-2 Оценщик должен исследовать материалы анализа уязвимостей, выполненного
разработчиком, чтобы сделать заключение, описана ли каждая явная уязвимость и
дано ли обоснование того, почему она является непригодной для использования в

<< Пред. стр.

страница 22
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign