LINEBURG


<< Пред. стр.

страница 25
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>

в) инструкции по установке всех предварительных начальных условий выполнения теста
проникновения;
г) инструкции по инициированию ФБО;
д) инструкции по наблюдению режима выполнения ФБО;
е) описание всех ожидаемых результатов и необходимого анализа, который выполняется по
отношению к наблюдаемому режиму выполнения ФБО для сравнения с ожидаемыми
результатами;
ж) инструкции по завершению тестирования и установке необходимого пост-тестового
состояния ОО.
Цель установления данного уровня детализации в тестовой документации – дать
973

возможность другому оценщику повторить тесты и получить эквивалентный результат.
AVA_VLA.2-12 Оценщик должен провести тестирование проникновения, основываясь на
независимом анализе уязвимостей.
Оценщик использует документацию для тестов проникновения, полученную на шаге
974

оценивания AVA_VLA.2-10, как основу для выполнения тестов проникновения по
отношению к ОО, но это не мешает оценщику выполнить дополнительные специальные
тесты проникновения. Если потребуется, оценщик может придумать новые тесты в
результате изучения информации в процессе тестирования проникновения, которые, если
выполнялись оценщиком, необходимо зафиксировать в документации для тестов
проникновения. Такие тесты могут потребоваться, чтобы разобраться с результатами или
наблюдениями, отличными от ожидаемых, или исследовать потенциальные уязвимости, о
существовании которых сделал предположение оценщик во время предварительно
запланированного тестирования.


172
Если тестирование проникновения показывает, что предполагавшаяся уязвимость не
975

существует, то оценщику следует сделать заключение, был ли корректным или не был
корректным собственный анализ оценщика, или не являются ли предоставленные для
оценки материалы некорректными или неполными.
AVA_VLA.2-13 Оценщик должен зафиксировать фактические результаты тестов проникновения.
Хотя некоторые специфические детали фактических результатов выполнения тестов могут
976

отличаться от ожидаемых (например, поля времени и даты в записи аудита), общий
результат должен быть идентичным. Любые различия следует строго обосновать.
AVA_VLA.2-14 Оценщик должен привести в ТОО информацию об усилиях оценщика по
тестированию проникновения, вкратце изложив подход к тестированию,
тестируемую конфигурацию, глубину и результаты тестирования.
Информация о тестировании проникновения, приводимая в ТОО, позволяет оценщику
977

передать общий подход к тестированию проникновения и усилия, затраченные на этот
подвид деятельности. Цель предоставления этой информации состоит в том, чтобы дать
содержательный краткий обзор усилий оценщика по тестированию проникновения. Это не
значит, что информация в ТОО относительно тестирования проникновения является
точным воспроизведением конкретных шагов тестирования или результатов отдельных
тестов. Целью является предоставить достаточные подробности, чтобы позволить другим
оценщикам и сотрудникам органа по сертификации получить некоторое понимание
выбранного подхода к тестированию проникновения, объема выполненного тестирования
проникновения, тестируемых конфигураций ОО и общих результатов действий по
тестированию проникновения.
Информация об усилиях оценщика по тестированию проникновения, которую обычно
978

можно найти в соответствующем разделе ТОО, включает:
а) тестируемые конфигурации ОО. Конкретные конфигурации ОО, которые подвергались
тестированию проникновения;
б) функции безопасности, которые подвергались тестированию проникновения. Краткий
перечень функций безопасности, на которых было сосредоточено тестирование
проникновения;
в) вердикт по данному подвиду деятельности. Общий вывод по результатам тестирования
проникновения.
Данный перечень ни в коем случае не является исчерпывающим и предназначен только для
979

того, чтобы дать некоторое представление о типе информации, касающейся тестирования
проникновения, выполненного оценщиком в процессе оценки, которую следует
представить в ТОО.
9.6.3.3.5 Действие AVA_VLA.2.5E
AVA_VLA.2-15 Оценщик должен исследовать результаты всего тестирования проникновения и
выводы по всему анализу уязвимостей, чтобы сделать заключение, является ли
ОО, находящийся в своей предопределенной среде, стойким к нарушителю,
обладающему низким потенциалом нападения.
Если результаты показывают, что ОО, находящийся в своей предопределенной среде, имеет
980

уязвимости, пригодные для использования нарушителем, обладающим меньшим, чем
умеренный, потенциалом нападения, то по данному действию оценщиком делается
отрицательное заключение.


173
AVA_VLA.2-16 Оценщик должен привести в ТОО информацию обо всех пригодных для
использования уязвимостях и остаточных уязвимостях, детализируя для каждой:
а) ее источник (например, стала известна при выполнении действий ОМО, известна
оценщику, прочитана в публикации);
б) связанную с ней функцию (функции) безопасности, не достигнутую цель (цели),
нарушенную политику (политики) безопасности организации, реализованную угрозу
(угрозы);
в) описание;
г) пригодна ли она для использования в предопределенной среде или нет (т.е., пригодная ли
для использования или является остаточной уязвимостью);
д) идентификацию участника оценки (например, разработчик, оценщик), который ее
идентифицировал.




174
10 Общие указания по оценке
10.1 Цели
Цель данного раздела состоит в том, чтобы охватить общие вопросы руководства
981

обеспечением технического подтверждения результатов оценки. Использование такого
общего руководства помогает достичь объективности, повторяемости и воспроизводимости
работы, выполненной оценщиком.

10.2 Выборка
Данный подраздел содержит общие указания по осуществлению выборки. Конкретная и
982

подробная информация дана в тех шагах оценивания, соответствующих определенным
элементам действий оценщика, где выборку необходимо выполнить.
Выборка – определенная процедура, выполняемая оценщиком, посредством которой
983

некоторое подмножество требуемой совокупности свидетельств оценки исследуется и
полагается репрезентативным (представительным) для совокупности в целом. Это
позволяет оценщику получить достаточную уверенность в правильности конкретного
свидетельства оценки без его анализа в полном объеме. Выборка производится для
экономии ресурсов при поддержании адекватного уровня доверия. Выборка из
свидетельства может приводить к двум возможным результатам.
а) На подмножестве не обнаружено никаких ошибок, что дает оценщику определенную
уверенность в том, что совокупность в целом корректна.
б) На подмножестве найдены ошибки, и поэтому правильность совокупности в целом
подвергается сомнению. Даже устранение всех обнаруженных ошибок может оказаться
недостаточным для получения оценщиком необходимой уверенности, и поэтому оценщику
придется либо увеличить размер подмножества, либо прекратить использование выборки
для этого конкретного свидетельства.
Выборка — это метод, который может использоваться для получения заслуживающих
984

доверия выводов, когда состав свидетельства относительно однороден по существу,
например, если свидетельство является результатом полностью определенного процесса.
В ОК определены следующие элементы действий оценщика, для которых заведомо
985

применима выборка:
а) ADV_RCR.3.2E: "Оценщик должен сделать независимое заключение о правильности
доказательств соответствия, избирательно верифицируя формальный анализ".
б) ATE_IND.*.2E: " Оценщик должен протестировать подмножество ФБО как
необходимо, чтобы подтвердить, что ОО функционирует в соответствии со
спецификациями".
в) ATE_IND.2.3E: "Оценщик должен выполнить выборку тестов из тестовой
документации, чтобы верифицировать результаты тестирования, полученные
разработчиком".
г) AVA_CCA.*.3E: "Оценщик должен выборочно подтвердить правильность результатов
анализа скрытых каналов, применяя тестирование".




175
д) AVA_MSU.2.2E и AVA_MSU.3.2E: "Оценщик должен повторить все процедуры
конфигурирования и установки и выборочно другие процедуры для подтверждения, что ОО
можно безопасно конфигурировать и использовать, применяя только представленные
руководства".
е) AMA_SIA.1.2E: "Оценщик должен выборочно проверить, что при анализе влияния на
безопасность изменения задокументированы на приемлемом уровне детализации вместе с
соответствующим строгим обоснованием поддержки доверия в текущей версии ОО".
Кроме того, в ADV_IMP.1.1D требуется, чтобы разработчик обеспечил представление
986

реализации только для подмножества ФБО. Выборку подмножества ему следует
согласовать с оценщиком. Предоставление разработчиком выборки представления
реализации позволяет оценщику, как оценить само предоставленное представление
реализации, так и выборочно проверить свидетельство прослеживания требований
безопасности в представлениях проекта ОО, чтобы получить уверенность в соответствии
между проектом нижнего уровня и представлением реализации.
В дополнение к выборке, предусмотренной в ОК, ОМО определяет следующие действия,
987

для которых выборка применима:
а) Действие ACM_CAP.*.1E: "Оценщик должен подтвердить, что представленная
информация удовлетворяет всем требованиям к содержанию и представлению
свидетельств".
Здесь выборка применяется для элементов содержания и представления свидетельств
ACM_CAP.3.8C и ACM_CAP.3.9C.
б) Действие ATE_FUN.1.1E: "Оценщик должен подтвердить, что представленная
информация удовлетворяет всем требованиям к содержанию и представлению
свидетельств".
Здесь выборка применяется для элементов содержания и представления свидетельств
ATE_FUN.1.3C, ATE_FUN.1.4C, и ATE_FUN.1.5C.
в) Действие ALC_DVS.1.1E: "Оценщик должен подтвердить, что представленная
информация удовлетворяет всем требованиям к содержанию и представлению
свидетельств".
Здесь выборка применяется для элементов содержания и представления свидетельств
ALC_DVS.1.2C.
Выборка в случаях, указанных в ОК или специально оговоренных в шагах оценивания
988

ОМО, признается как рентабельный подход к действиям, выполняемым оценщиком.
Выборка в других областях разрешается только в исключительных случаях, там, где
выполнение конкретного вида деятельности в целом потребовало бы усилий,
непропорциональных другим видам деятельности, и где оно не повысило бы
соответственно доверие. В таких случаях потребуется обоснование применения выборки в
этой области. Ни тот факт, что ОО является объемным и сложным, ни то, что он имеет
много функциональных требований безопасности, не является достаточным обоснованием,
так как при оценке объемных и сложных ОО как раз и могут потребоваться большие
усилия. Скорее предполагается, что это исключение ограничивается такими случаями,
когда подход к разработке ОО дает большое количество материала для конкретного
требования ОК, который обычно весь требуется проверить или исследовать, и когда не
ожидается, что такое действие повысит соответственно степень доверия.
176
Выборка нуждается в строгом обосновании, принимая во внимание возможное влияние на
989

цели безопасности и угрозы ОО. Влияние зависит от того, что может быть пропущено в
результате выборки. Необходимо также учитывать характер свидетельства, проверяемого
выборочно, и требование не игнорировать любые функции безопасности и не снижать их
роль.
Следует признать, что выборка из свидетельства, прямо связанного с реализацией ОО
990

(например, результатов теста разработчика) требует подхода, отличного от применяемого
при выборке, связанного с вынесением заключения, правильно ли выполнялся процесс. Во
многих случаях, когда от оценщика требуется определить, что процесс действительно
выполняется, рекомендуется стратегия выборки. Подход здесь отличается от того, который
применяется при выборке результатов тестирования разработчиком. Это происходит,
потому что в первом случае речь идет об уверенности в том, что процесс выполняется, а во
втором мы имеем дело с определением корректности реализации ОО. Как правило, более
объемные выборки приходится анализировать в случаях, связанных с правильной
реализацией ОО, нежели с необходимостью удостовериться, что процесс выполняется.
При выборке рекомендуется всегда придерживаться следующих принципов:
991

а) Объем выборки следует сопоставить с рентабельностью оценки, он зависит от
некоторых характеристик ОО (например, от размеров и сложности ОО, от объема
документации), но минимальный объем в 20% следует принять за норму для выборки из
материалов, относящихся к реализации ОО. Там, где выборка осуществляется для
получения свидетельства выполнения некоторого процесса (например, контроля
посетителей или анализа проекта), задание определенного процента не применяется.
Оценщику следует выбрать объем информации, достаточный для получения приемлемой
уверенности в выполнении процесса и строго обосновать объем выборки.
б) Следует, чтобы выборка была репрезентативна по всем аспектам, относящимся к
областям применения выборки. В частности, следует, чтобы выборка охватила все
разнообразие компонентов, функций безопасности, мест разработки и эксплуатации (если
их несколько) и типов аппаратных платформ (если их несколько).
в) Заявителя и разработчика не следует заблаговременно информировать о точном составе
выборки. При этом следует учитывать необходимость обеспечения своевременности
поставки выборки и вспомогательных материалов, например, комплексов тестовых
программ и оборудования оценщику в соответствии с графиком проведения оценки.
г) Следует, чтобы отбор при выборке по возможности был непредвзятым (не стоит
выбирать всегда только первый или последний номер в списке). В идеале отбор следует
поручить не оценщику, а кому-то другому.
Ошибки, найденные в выборке, могут быть отнесены к двум категориям —
992

систематические или спорадические. Если ошибка систематическая, следует устранить ее
причину и полностью выполнить новую выборку. При надлежащем объяснении
разработчика вопрос о спорадических ошибках может быть решен без необходимости
новой выборки, хотя такое объяснение следует подтвердить. Оценщику следует
руководствоваться здравым смыслом при определении, увеличить ли объем выборки или
использовать другую выборку.



177
10.3 Анализ непротиворечивости
В данном подразделе представлено общее руководство по анализу непротиворечивости.
993

Конкретная и подробная информация дана в тех шагах оценивания, соответствующих
определенным элементам действий оценщика, где анализ непротиворечивости необходимо
выполнить.
Анализ непротиворечивости — определенная процедура, выполняемая оценщиком,
994

посредством которой выбранная часть одной из поставок для оценки анализируется
автономно (на внутреннюю непротиворечивость) или сравнивается с одной или
несколькими другими поставками для оценки.
В ОК различаются несколько типов анализа непротиворечивости.
995

а) Оценщику необходимо проанализировать внутреннюю непротиворечивость поставки
для оценки. Примеры:
– ADV_FSP.1.2C: "Функциональная спецификация должна быть внутренне
непротиворечивой".
– ADV_HLD.1.2C: "Проект верхнего уровня должен быть внутренне непротиворечивым".
– ADV_IMP.1.2C: "Представление реализации должно быть внутренне
непротиворечивым".
– ADV_LLD.1.2C: "Проект нижнего уровня должен быть внутренне непротиворечивым".
При выполнении анализа внутренней непротиворечивости оценщику необходимо
удостовериться, что представленная поставка не содержит неоднозначности. Поставка для
оценки не должна содержать противоречащие формулировки в различных своих
составляющих. Например, неформальные, полуформальные или формальные представления
одного и того же свидетельства следует согласовать между собой.
Оценщику следует учесть, что составляющие поставки для оценки могут быть
представлены в нескольких документах (например, процедуры безопасной установки,
генерации и запуска могут быть описаны в трех различных документах).
б) Оценщику необходимо проанализировать, согласована ли поставка для оценки с одной
или несколькими другими поставками. Примеры:
– AGD_ADM.1.7C: "Руководство администратора должно быть согласовано со всей
другой документацией, представленной для оценки".
– AGD_USR.1.5C: "Руководство пользователя должно быть согласовано со всей другой
документацией, представленной для оценки".
При анализе непротиворечивости от оценщика требуется верифицировать согласованность
описания функций, параметров безопасности, процедур и событий, относящихся к
безопасности, в одном документе с их описанием в других документах, представленных для
оценки. Это означает, что оценщику следует учесть возможные противоречия с другими
источниками информации. Примерами являются:
– противоречия с другими указаниями по использованию функций безопасности;
– противоречия с ЗБ (например, в части угроз, предположений безопасного
использования, не-ИТ-целей безопасности или функций безопасности ИТ);
– применение параметров безопасности, противоречащее их описанию в
функциональной спецификации или в проекте нижнего уровня;


178
– описание событий, относящихся к безопасности, противоречащее информации,
содержащейся в проектах верхнего или нижнего уровня;
– несоответствие функций, осуществляющих безопасность, неформальной модели ПБО.
в) Оценщику необходимо проанализировать и то, что поставка для оценки внутренне
непротиворечива, и то, что поставка для оценки согласована с другими поставками.
Пример:
– AVA_MSU.1.2C: "Руководства должны быть полны, понятны, непротиворечивы и
обоснованы".
Здесь требуется, чтобы руководство в целом удовлетворяло требованию
непротиворечивости. Учитывая, что руководство может содержаться в одном документе
или же в нескольких отдельных документах, требование относится к непротиворечивости
всего руководства, как в пределах отдельных документов, так и между ними.
г) Оценщику необходимо проверить результаты анализа, представленные разработчиком
и требуемые для демонстрации непротиворечивости. Примеры:
– ADV_SPM.1.3C: "Модель ПБО должна включать в себя обоснование, которое
демонстрирует, что она согласована и полна относительно всех политик безопасности
организации, которые могут быть смоделированы".
– ADV_SPM.1.4C: "Демонстрация соответствия между моделью ПБО и функциональной
спецификацией должна показать, что все функции безопасности в функциональной
спецификации являются непротиворечивыми и полными относительно модели ПБО".
В указанных случаях свидетельство непротиворечивости представляется разработчиком.
Тем не менее, оценщику необходимо уяснить этот анализ и подтвердить его, возможно,
даже выполнив, при необходимости, независимый анализ.
Анализ непротиворечивости может быть выполнен посредством исследования поставки
996

(поставок) для оценки. Оценщику следует принять разумный и структурированный подход
к анализу непротиворечивости документов и, возможно, объединить его с другими видами
деятельности типа отображения или прослеживания, которые выполняются как часть
других шагов оценивания. Оценщик может разрешить любые найденные противоречия,
обращаясь к формальному описанию при его наличии. Аналогично, для уменьшения
неоднозначности в поставках возможно использование полуформальной нотации, пусть и
не столь точной, как формальная нотация.
Неоднозначность может возникать явно, например, из-за противоречивых формулировок,
997

или неявно, когда формулировки недостаточно точны. Следует отметить, что пространная
формулировка не является, сама по себе, достаточным основанием для принятия
отрицательного заключения по критерию непротиворечивости.
Проверка непротиворечивости поставок для оценки может выявить упущения, из-за
998

которых может потребоваться повторное выполнение завершенных ранее шагов
оценивания. Например, проверка непротиворечивости целей безопасности может выявить
пропуск одного или нескольких требований безопасности. В этом случае оценщику следует
проверить соответствие между целями безопасности и ФБО.

10.4 Зависимости
В общем случае выполнение требуемых видов и подвидов деятельности и действий по
999

оценке возможно в произвольном порядке или параллельно. Тем не менее, имеются

179
различные виды зависимостей, которые необходимо учитывать оценщику. Этот подраздел
представляет общее руководство по учету зависимостей между различными видами и
подвидами деятельности и действиями по оценке.
10.4.1 Зависимости между видами деятельности
В некоторых случаях для различных классов доверия может быть рекомендована или даже
1000

потребована определенная последовательность выполнения связанных с ними видов
деятельности по оценке. Конкретный пример – вид деятельности по оценке ЗБ. Вид
деятельности по оценке ЗБ начинается прежде каких-либо видов деятельности по оценке
ОО, так как ЗБ обеспечивает основу и контекст их выполнения. Однако сделать итоговое
заключение по оценке ЗБ до завершения оценки ОО может оказаться невозможным, т.к.
результаты деятельности по оценке ОО могут привести к изменениям в ЗБ.
10.4.2 Зависимости между подвидами деятельности
Оценщику необходимо учитывать зависимости между компонентами, указанные в части 3
1001

ОК. Пример такого вида зависимости – AVA_VLA.1. В этом компоненте заявлены
зависимости от ADV_FSP.1, ADV_HLD.1, AGD_ADM.1 и AGD_USR.1.
Обычно положительное заключение по подвиду деятельности можно принять только при
1002

успешном завершении всех тех подвидов деятельности, от которых зависит данный подвид
деятельности. Например, как правило, положительное заключение по AVA_VLA.1 может
быть принято, если только по подвидам деятельности, относящимся к ADV_FSP.1,
ADV_HLD.1, AGD_ADM.1 и AGD_USR.1, также принято положительное заключение.
Поэтому при определении будет ли некоторый подвид деятельности влиять на другой
1003

<< Пред. стр.

страница 25
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign