Присоединяйтесь!
Зарегистрированных пользователей портала: 505 986. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

РУКОВОДЯЩИЙ ДОКУМЕНТ. РУКОВОДСТВО ПО РАЗРАБОТКЕ ПРОФИЛЕЙ ЗАЩИТЫ И ЗАДАНИЙ ПО БЕЗОПАСНОСТИ (Утв. Гостехкомиссией РФ 2003)

Дата документа01.01.2003
Статус документаДействует
МеткиИнструкция

    
 

РУКОВОДЯЩИЙ ДОКУМЕНТ РУКОВОДСТВО ПО РАЗРАБОТКЕ ПРОФИЛЕЙ ЗАЩИТЫ И ЗАДАНИЙ ПО БЕЗОПАСНОСТИ

 

Гостехкомиссия России, 2003 год

 

1. Область применения

 
    Настоящий документ (далее - Руководство) представляет собой руководство по разработке профилей защиты и заданий по безопасности продуктов и систем (изделий) ИТ в соответствии с Руководящим документом Гостехкомиссии России "Критерии оценки безопасности информационных технологий", далее по тексту - ОК.
    Руководство предназначено для разработчиков и оценщиков ПЗ и ЗБ, а также может представлять интерес для пользователей ПЗ и ЗБ, позволяя им понять, чем руководствовались авторы ПЗ и/или ЗБ при их разработке, и на какие части ПЗ и/или ЗБ следует обратить особое внимание.
 

2. Нормативные ссылки

 
    Руководящий документ - Безопасность информационных технологий - Критерии оценки безопасности информационных технологий - Часть 1: Введение и общая модель, Гостехкомиссия России, 2002.
    Руководящий документ - Безопасность информационных технологий - Критерии оценки безопасности информационных технологий - Часть 2: Функциональные требования безопасности, Гостехкомиссия России, 2002.
    Руководящий документ - Безопасность информационных технологий - Критерии оценки безопасности информационных технологий - Часть 3: Требования доверия к безопасности, Гостехкомиссия России, 2002.
 

3. Термины и определения

 
    3.1 Активы: Информация или ресурсы, подлежащие защите с применением изделия ИТ
    3.2 Доверие: Основание для уверенности в том, что изделие ИТ отвечает своим целям безопасности
    3.3 Задание по безопасности: Совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки безопасности конкретного изделия ИТ
    3.4 Изделие ИТ: Обобщенный термин для продуктов и систем ИТ
    3.5 Информационная технология: Приемы, способы и методы применения технических и программных средств при выполнении функций обработки информации
    3.6 Объект оценки: Подлежащие оценке продукт или система ИТ с руководствами администратора и пользователя (данный термин используется в ПЗ/ЗБ для обозначения соответствующего изделия ИТ)
    3.7 Пакет доверия: Предназначенная для многократного использования совокупность компонентов доверия для удовлетворения совокупности определенных целей безопасности. Примером ПД является оценочный уровень доверия
    3.8 Политика безопасности организации: Совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которыми руководствуется организация в своей деятельности
    3.9 Предположения: Условия, которые должны быть обеспечены в среде, чтобы изделие ИТ могло рассматриваться как безопасное.Условия, которые должны быть обеспечены в среде, при которых может рассматриваться как безопасное.
    3.10 Продукт ИТ: Совокупность программных, программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы ИТ
    3.11 Профиль защиты (protection profile): Независимая от реализации совокупность требований безопасности для некоторой категории изделий ИТ, отвечающая специфическим запросам потребителя
    3.12 Система ИТ: Специфическое воплощение изделия ИТ с конкретным назначением и условиями эксплуатации
    3.13 Среда безопасности: Область среды, в пределах которой предусматривается обеспечение необходимых условий для поддержания требуемого режима безопасности изделия ИТ
    3.14 Угроза: Совокупность условий и факторов, определяющих потенциальную или реально существующую опасность возникновения инцидента, который может привести к нанесению ущерба изделию ИТ или его владельцу
    3.15 Функциональный пакет: Предназначенная для многократного использования совокупность функциональных компонентов, объединенных для удовлетворения совокупности определенных целей безопасности
    3.16 Функция безопасности: Функциональные возможности части или частей изделия ИТ, обеспечивающие выполнение подмножества взаимосвязанных требований безопасности
    3.17 Цель безопасности: Сформулированное намерение противостоять установленным угрозам и/или удовлетворять установленной политике безопасности организации и предположениям
 

4. Сокращения

 
    ЗБ - задание по безопасности
    ИТ - информационная технология
    ИФБО - интерфейс ФБО
    ОДФ - область действия ФБО
    ОК - Общие критерии
    ОО - объект оценки
    ОУД - оценочный уровень доверия
    ПБО - политика безопасности ОО
    ПЗ - профиль защиты
    ПФБ - политика функции безопасности
    СФБ - стойкость функции безопасности
    ФБ - функция безопасности
    ФБО - функции безопасности ОО
    ПБОр - политика безопасности организации;
    СУБД - система управления базами данных;
    ТДБ - требование доверия к безопасности;
    ФТБ - функциональное требование безопасности.
 

5. Общие положения

 

5.1 Введение в профили защиты и задания по безопасности

 
    Предназначение ПЗ состоит в том, чтобы изложить проблему безопасности для определенной совокупности систем или продуктов (изделий) ИТ, называемых далее объектами оценки (ОО), и сформулировать требования безопасности для решения данной проблемы. При этом ПЗ не регламентирует то, каким образом данные требования будут выполнены, обеспечивая, таким образом, независимое от реализации описание требований безопасности.
    Профиль защиты включает взаимосвязанную информацию, имеющую отношение к безопасности ИТ, в том числе:
    - формулировку потребности в безопасности, соответствующую проблеме безопасности и выраженную в терминах, ориентированных на пользователей изделий ИТ;
    - описание среды ОО, уточняющее формулировку потребности в безопасности с учетом порождаемых средой угроз, которым нужно противостоять, политики безопасности, которая должна выполняться, и сделанных предположений;
    - цели безопасности ОО, основанные на описании среды безопасности и предоставляющие информацию относительно того, как и в какой мере должны быть удовлетворены потребности в безопасности. Предназначение целей безопасности заключается в том, чтобы снизить риск и обеспечить поддержание политики безопасности организации, в интересах которой ведется разработка ПЗ;
    - функциональные требования безопасности и требования доверия к безопасности, которые направлены на решение проблемы безопасности в соответствии с описанием среды безопасности ОО и целями безопасности для ОО и ИТ-среды. Функциональные требования безопасности выражают то, что должно выполняться ОО и ИТ-средой для удовлетворения целей безопасности. Требования доверия к безопасности определяют степень уверенности в правильности реализации функций безопасности ОО;
    - обоснование, показывающее, что функциональные требования и требования доверия к безопасности являются надлежащими для удовлетворения сформулированной потребности в безопасности. Посредством целей безопасности должно быть показано, что необходимо сделать в плане решения проблем безопасности, имеющихся в описании среды безопасности ОО. Функциональные требования безопасности и требования доверия к безопасности должны удовлетворять целям безопасности.
    Задание по безопасности во многом похоже на ПЗ, но содержит дополнительную информацию, ориентированную на конкретную реализацию изделия ИТ и разъясняющую, каким образом требования ПЗ реализуются в конкретном продукте или системе. ЗБ содержит следующую дополнительную информацию, отсутствующую в ПЗ:
    - краткую спецификацию ОО, которая представляет функции безопасности и меры доверия к безопасности для конкретного ОО;
    - дополнительный раздел, который включается в ЗБ в тех случаях, когда утверждается о соответствии ЗБ одному или более ПЗ;
    - дополнительные свидетельства в разделе "Обоснование", устанавливающие, что краткая спецификация ОО обеспечивает удовлетворение требований безопасности, а любые утверждения о соответствия ПЗ действительны.
    Использование ПЗ и ЗБ. Профиль защиты может использоваться для определения типового набора требований безопасности, которым должны удовлетворять один или более продуктов или которым должны удовлетворять системы ИТ, предназначенные для использования в определенных целях. Профиль защиты может применяться к определенному виду продуктов (например, операционным системам, системам управления базами данных, смарт-картам, межсетевым экранам и т.д.) или к совокупности продуктов, образующих систему (например, к инфраструктуре открытых ключей, виртуальным частным сетям). Разработчики изделий ИТ в соответствии с потребностями безопасности, сформулированными в ПЗ, могут разработать ЗБ, которое будет демонстрировать то, как их изделие ИТ удовлетворяет потребностям безопасности. Тем не менее, соответствие задания по безопасности профилю защиты не является обязательным; например, в ЗБ могут быть определены функции безопасности, заявляемые разработчиком продукта ИТ и представляющие собой основу для оценки продукта ИТ.
    Также в ПЗ могут быть определены требования безопасности для конкретной системы ИТ. В этом случае ЗБ разрабатывается на основе ПЗ. Таким образом, ПЗ и ЗБ могут использоваться как средства взаимодействия между организацией, осуществляющей руководство разработкой системы, организацией, заинтересованной в этой системе, и организацией, ответственной за создание системы (далее - разработчик). Содержание ПЗ и ЗБ может быть согласовано данными сторонами. Оценка конкретной системы ИТ на соответствие ЗБ, которое в свою очередь соответствует ПЗ, может являться частью процесса приемки системы ИТ.
 

5.2 Краткий обзор руководства

 
    Рассматриваемый документ представляет собой детальное руководство по разработке различных частей ПЗ или ЗБ и дает исчерпывающее представление об их взаимосвязи. Наиболее важные аспекты Руководства представлены в Приложении 1 в виде памятки (или резюме), что в значительной степени облегчает знакомство и работу с документом.
    В остальных приложениях приводятся примеры, иллюстрирующие применение Руководства.
    Глава 5 посвящена целям и направленности Руководства.
    Глава 6 содержит краткий обзор ПЗ и ЗБ, который включает примерные оглавления и отображает предполагаемое содержание, а также потенциальных пользователей различных частей ПЗ или ЗБ. В этой главе также комментируется соотношение между ПЗ и ЗБ и проблемы, связанные с процессом их разработки.
    В главе 7 более глубоко рассматриваются описательные части ПЗ и ЗБ, включая введение ПЗ и ЗБ, описание объекта оценки (в большей степени ориентированные на пользователей), а также замечания по применению ПЗ (в большей степени ориентированные на авторов ЗБ и разработчиков ОО).
    Следующие пять глав придерживаются той структуры ПЗ и ЗБ, которая установлена в ОК.
    Глава 8 представляет собой руководство по определению среды безопасности ОО в ПЗ и ЗБ в виде исходных "потребностей в безопасности" ОО.
    Глава 9 представляет собой руководство по определению и спецификации целей безопасности в ПЗ или ЗБ в соответствии со сформулированными ранее исходными "потребностями в безопасности". Обе эти главы представляют интерес не только для авторов ПЗ и ЗБ, но также и для других лиц - пользователей ПЗ и ЗБ.
    Глава 10 представляет собой руководство по выбору и спецификации требований безопасности информационных технологий в ПЗ. В этой главе достаточно подробно описывается использование функциональных компонентов и компонентов доверия к безопасности в соответствии с ОК, а также компонентов, не предусмотренных ОК, для обеспечения более точного определения требований безопасности ИТ.
    Глава 11 представляет собой руководство по разработке ЗБ в части спецификации требований безопасности ИТ (отличающейся от ПЗ) и краткой спецификации ОО. Таким образом, главы 10 и 11 будут главным образом интересны авторам и оценщикам ПЗ/ЗБ.
    Главы 12 и 13 представляют собой руководство по составлению и представлению разделов "Обоснование" в ПЗ и ЗБ. В главе 12 описывается формирование раздела ПЗ "Обоснование", а в главе 13 рассматриваются те аспекты раздела "Обоснование" в ЗБ, которые отличаются от раздела "Обоснование" в ПЗ.
    Эти материалы также будут в первую очередь интересны авторам ПЗ и/или ЗБ и их оценщикам.
    В главе 14 рассматриваются проблемы разработки ПЗ и ЗБ для сложных ОО, то есть ОО, которые состоят из двух или более ОО-компонентов, для каждого из которых имеются собственные ПЗ и/или ЗБ.
    Глава 15 представляет собой руководство по формированию функциональных пакетов и пакетов доверия к безопасности, причем таким образом, чтобы их можно было многократно использовать при разработке различных ПЗ и ЗБ. Пакет при этом рассматривается как потенциально полезный инструмент, предназначенный для облегчения процесса разработки ПЗ и/или ЗБ.
    Как упоминалось выше, Приложение 1 резюмирует руководство в виде памятки.
    Приложение 2 представляет примеры угроз, политики безопасности организации, предположений и целей безопасности, а также устанавливает соответствие между общими функциональными требованиями и соответствующими функциональными компонентами из части 2 ОК. Предполагается, что эти примеры достаточно широкомасштабны, но никоим образом не исчерпывающи.
    В Приложениях 2 и 3 иллюстрируются возможности применения Руководства при разработке ПЗ и ЗБ для различных типов ОО. Так, в Приложении 2 рассмотрена возможность использования Руководства при разработке ПЗ и/или ЗБ для межсетевых экранов, в Приложении 3 - для СУБД, в котором подчеркивается особая важность решения вопросов, связанных со ИТ-средой.
 

6. Краткий обзор профилей защиты и заданий безопасности

 
    В данной главе приводится краткий обзор и содержание ПЗ и ЗБ. Рассматриваются взаимосвязи между ПЗ и ЗБ и процесс их разработки (см. также Приложения Б и В части 1 ОК).
 

6.1 Профиль защиты

 
    Требуемое содержание ПЗ приведено в Приложении Б части 1 ОК. Пример оглавления ПЗ представлен в таблице 1.
 

Таблица 1
Пример оглавления профиля защиты
1. Введение ПЗ
1.1. Идентификация ПЗ
1.2. Аннотация ПЗ
2. Описание ОО
3. Среда безопасности ОО
3.1. Предположения безопасности
3.2. Угрозы
3.3. Политика безопасности организации
4. Цели безопасности
4.1. Цели безопасности для ОО
4.2. Цели безопасности для среды
5. Требования безопасности ИТ
5.1. Функциональные требования безопасности ОО
5.2. Требования доверия к безопасности ОО
5.3. Требования безопасности для ИТ-среды
6. Замечания по применению
7. Обоснование
7.1. Логическое обоснование целей безопасности
7.2. Логическое обоснование требований безопасности

 
    В разделе "Введение ПЗ" идентифицируется ПЗ и дается его аннотация в форме, наиболее подходящей для включения в каталоги и реестры ПЗ. Данный раздел ПЗ более подробно рассматривается в главе 7 настоящего Руководства.
    В раздел "Описание ОО" включается сопроводительная информация об ОО (или типе ОО), предназначенная для пояснения его назначения и требований безопасности.
    В раздел ПЗ "Среда безопасности ОО" включается описание аспектов среды безопасности ОО, которые должны учитываться для объекта оценки, в частности - детальное описание предположений безопасности, определяющих границы среды безопасности, угроз активам, требующим защиты (включая описание этих активов), и политики безопасности организации (ПБОр), которой должен удовлетворять ОО. Этот раздел ПЗ более подробно рассмотрен в главе 8 настоящего Руководства.
    В раздел ПЗ "Цели безопасности" включается краткое изложение предполагаемой реакции на аспекты среды безопасности, как с точки зрения целей безопасности, которые должны быть удовлетворены ОО, так и с точки зрения целей безопасности, которые должны быть удовлетворены ИТ- и не-ИТ-мерами в пределах среды ОО. Данный раздел ПЗ более подробно рассмотрен в главе 9 настоящего руководства.
    В раздел ПЗ "Требования безопасности ИТ" включаются функциональные требования безопасности ОО, требования доверия к безопасности, а также требования безопасности программного, программно-аппаратного и аппаратного обеспечения ИТ-среды ОО. Требования безопасности ИТ должны быть определены путем использования, где возможно, функциональных компонентов и компонентов доверия к безопасности из частей 2 и 3 ОК. Раздел ПЗ "Требования безопасности ИТ" более подробно рассмотрен в главе 10 настоящего Руководства.
    В раздел ПЗ "Замечания по применению ПЗ" может включаться любая дополнительная информация, которую разработчик ПЗ считает полезной. Отметим, что замечания по применению могут быть распределены по соответствующим разделам ПЗ. Раздел ПЗ "Замечания по применению" более подробно рассмотрен в главе 7 настоящего руководства.
    В разделе ПЗ "Обоснование" демонстрируется, что ПЗ специфицирует полную и взаимосвязанную совокупность требований безопасности ИТ и что соответствующий ОО учитывает идентифицированные аспекты среды безопасности. Раздел ПЗ "Обоснование" более подробно рассмотрен в главе 12 настоящего Руководства.
    Существует также целый ряд необязательных разделов и подразделов, которые могут включаться в ПЗ. Возможны разные уровни детализации некоторых подразделов. Раздел "Обоснование" может быть оформлен в виде отдельного документа. Практически, дополнительные разделы могут быть необходимы для предоставления полезной информации, например:
    а) раздел "Введение ПЗ" может включать подраздел, описывающий организацию ПЗ, а также содержать ссылки на другие ПЗ и другие документы;
    б) раздел "Среда безопасности ОО" может включать отдельные подразделы для различных доменов в ИТ-среде для ОО;
    в) раздел "Требования безопасности ИТ" может быть расширен за счет включения, где необходимо, требований безопасности для не-ИТ-среды.
    В случае если подраздел не используется (например, политика безопасности организации, требования безопасности ИТ для среды ОО), необходимо включить в ПЗ соответствующее пояснение.
 

6.2 Задание по безопасности

 
    Требуемое содержание ЗБ дано в Приложении В части 1 ОК. Пример оглавления ЗБ представлен в таблице 2.
    В разделе "Введение ЗБ" идентифицируется ЗБ и ОО (включая номер версии) и дается аннотация ЗБ в форме, наиболее подходящей для включения в список оцененных (сертифицированных) продуктов ИТ. Раздел "Введение ЗБ" более подробно рассмотрен в главе 7 настоящего Руководства.
    В раздел ЗБ "Описание ОО" включается сопроводительная информация об ОО, предназначенная для пояснения его назначения и требований безопасности. Раздел ЗБ "Описание ОО" должен также включать описание конфигурации, в которой ОО подлежит оценке. Раздел ЗБ "Описание ОО" более подробно рассмотрен в главе 7 настоящего Руководства.
    В раздел ЗБ "Среда безопасности ОО" включается описание аспектов среды безопасности ОО, которые должны учитываться объектом оценки, в частности, предположений безопасности, определяющих границы среды безопасности, угроз активам, требующим защиты (включая описание этих активов), ПБОр, которой должен удовлетворять ОО. Раздел ЗБ "Среда безопасности ОО" более подробно рассмотрен в главе 8 настоящего Руководства.
 

Таблица 2
Пример оглавления задания по безопасности
1. Введение ЗБ
1.1. Идентификация ЗБ
1.2. Аннотация ЗБ
2. Описание ОО
3. Среда безопасности ОО
3.1. Предположения безопасности
3.2. Угрозы
3.3. Политика безопасности организации
4. Цели безопасности
4.1. Цели безопасности для ОО
4.2. Цели безопасности для среды ОО
5. Требования безопасности ИТ
5.1. Функциональные требования безопасности ОО
5.2. Требования доверия к безопасности ОО
5.3. Требования безопасности для ИТ-среды
6. Краткая спецификация ОО
6.1. Функции безопасности ОО
6.2. Меры обеспечения доверия к безопасности
7. Утверждения о соответствии ПЗ
7.1. Ссылка на ПЗ
7.2. Уточнение ПЗ
7.3. Дополнение ПЗ
8. Обоснование
8.1. Логическое обоснование целей безопасности
8.2. Логическое обоснование требований безопасности
8.3. Логическое обоснование краткой спецификации ОО
8.4. Логическое обоснование утверждений о соответствии ПЗ

 
    В раздел ЗБ "Цели безопасности" включается краткое изложение предполагаемой реакции на аспекты среды безопасности, как с точки зрения целей безопасности, которые должны быть удовлетворены ОО, так и с точки зрения целей безопасности, которые должны быть удовлетворены ИТ- и не-ИТ-мерами в пределах среды ОО. Данный раздел ЗБ более подробно рассмотрен в главе 9 настоящего Руководства.
    В раздел ЗБ "Требования безопасности ИТ" включаются функциональные требования безопасности ОО, требования доверия к безопасности, а также требования безопасности программного, программно-аппаратного и аппаратного обеспечения ИТ-среды ОО. Требования безопасности ИТ должны быть определены путем использования, где это возможно, функциональных компонентов и компонентов доверия к безопасности частей 2 и 3 ОК. Раздел ЗБ "Требования безопасности ИТ" более подробно рассмотрен в главе 10 настоящего Руководства.
    В раздел "Краткая спецификация ОО" включается описание функций безопасности ИТ, реализуемых ОО и соответствующих специфицированным функциональным требованиям безопасности, а также любых мер доверия к безопасности, соответствующих специфицированным требованиям доверия к безопасности. Раздел ЗБ "Краткая спецификация ОО" более подробно рассмотрен в главе 11 настоящего Руководства.
    В разделе "Утверждения о соответствии ПЗ" идентифицируются ПЗ, о соответствии которым заявляется в ЗБ, а также любые дополнения или уточнения целей или требований из этих ПЗ. Раздел ЗБ "Утверждения о соответствии ПЗ" более подробно рассмотрен в главе 13 настоящего Руководства.
    В разделе ЗБ "Обоснование" демонстрируется, что ЗБ специфицирует полную и взаимосвязанную совокупность требований безопасности ИТ, что соответствующий ОО учитывает определенные аспекты среды безопасности ИТ и что функции безопасности ИТ и меры доверия к безопасности соответствуют требованиям безопасности ОО. Раздел ЗБ "Обоснование" более подробно рассмотрен в главе 13 настоящего руководства.
    Как и в случае ПЗ (см. п. 6.1), при разработке ЗБ можно отступать от вышеуказанной структуры путем включения дополнительных и исключения необязательных разделов (и/или подразделов) ЗБ.
 

6.3 Взаимосвязь между профилями защиты и заданиями по безопасности

 
    При сопоставлении содержания таблиц 1 и 2 очевидна взаимосвязь между ПЗ и ЗБ вследствие высокой степени общности данных документов, в особенности разделов "Среда безопасности ОО", "Цели безопасности", "Требования безопасности ИТ" и, частично, - раздела "Обоснование". Если в ЗБ утверждается о соответствии ПЗ и при этом не специфицируются дополнительные функциональные требования и требования доверия к безопасности, то содержание упомянутых выше разделов ЗБ может быть идентично содержанию соответствующих разделов ПЗ. В таких случаях рекомендуется, чтобы ЗБ ссылалось на содержание ПЗ с добавлением, где необходимо, деталей, отличающих ЗБ от ПЗ.
    Следующие разделы ЗБ не имеют аналогов в ПЗ и, таким образом, являются специфичными для ЗБ:
    а) раздел "Краткая спецификация ОО" включает функции безопасности ИТ, механизмы и способы обеспечения безопасности, а также меры доверия к безопасности;
    б) раздел "Утверждения о соответствии ПЗ" мотивирует и детализирует требования соответствия ПЗ;
    в) подразделы раздела "Обоснование", которые демонстрируют адекватность функций безопасности ИТ и мер доверия к безопасности требованиям безопасности ОО.
 

6.4 Учет информационных потребностей потенциальных пользователей профилей защиты и заданий по безопасности

 
    В ПЗ и ЗБ необходимо учитывать информационные потребности потенциальных пользователей этих документов: - потребители изделий ИТ (дистрибуторы и покупатели) нуждаются в информации, дающей общее представление о том, каким образом ОО решает проблемы безопасности; - разработчики нуждаются в однозначном понимании требований безопасности с тем, чтобы создавать (формировать) соответствующие ОО; - оценщики нуждаются в информации, которая будет мотивировать техническую правильность и эффективность ПЗ или ЗБ.
    Структура ПЗ и ЗБ разработана таким образом, чтобы разные разделы содержали информацию, предназначенную для разных категорий пользователей.
    Разделы "Введение ПЗ/ЗБ", "Описание ОО" и "Среда безопасности ОО" предназначены, прежде всего, для потребителей изделий ИТ. Раздел "Цели безопасности" также может быть написан в первую очередь для потребителей. Вместе с тем следует помнить, что и разработчики ОО должны будут принять во внимание информацию, находящуюся в разделах "Среда безопасности ОО" и "Цели безопасности".
    Раздел ПЗ "Требования безопасности ИТ" предназначен, прежде всего, для разработчиков ОО, хотя информация, содержащаяся в этом разделе, вероятно, также будет интересна потребителям изделий ИТ. Раздел ЗБ "Краткая спецификация ОО" предназначен, прежде всего, для оценщиков и потребителей. Если последние два раздела не содержат достаточного количества информации, то в них необходимо поместить ссылку на другие разделы (подразделы) ПЗ (например, "Аннотация ПЗ") и документы, которые необходимы для полного и точного понимания представленных требований безопасности ИТ.
    В раздел "Обоснование" включается информация, предназначенная преимущественно для оценщиков. В то же время оценщикам целесообразно ознакомиться со всеми разделами ПЗ и ЗБ.
 

6.5 Процесс разработки ПЗ и ЗБ

 
    Анализ приложений Б и В части 1 и глав 3 - 5 части 3 ОК показывает, что разработка ПЗ/ЗБ осуществляется в следующей (нисходящей) последовательности: - идентификация аспектов среды безопасности; - определение целей безопасности, учитывающих идентифицированные аспекты среды безопасности; - формирование требований безопасности ИТ, направленных на удовлетворение целей безопасности.
    В общем случае, хотя и с учетом данной последовательности действий, процесс разработки ПЗ/ЗБ носит итеративный характер. Например, формирование требований безопасности может способствовать корректировке целей безопасности или даже потребностей в безопасности. В целом, может потребоваться целый ряд итераций для наиболее полного учета взаимосвязей между угрозами, ПБОр, целями и требованиями безопасности, а также функциями безопасности, в частности, при формировании "Обоснования" ПЗ/ЗБ. При этом только когда все проблемы формирования "Обоснования" ПЗ/ЗБ решены, процесс разработки ПЗ/ЗБ можно считать завершенным.
    Процесс разработки ПЗ/ЗБ может также включать внесение изменений в документ с тем, чтобы отразить изменения условий применения, например:
    - идентификацию новых угроз;
    - изменение ПБОр;
    - связанные со стоимостными и временными ограничениями изменения в разделении ответственности обеспечения безопасности, возлагаемой соответственно на ОО и среду ОО;
    - корректировку требований безопасности ИТ, функций безопасности и/или мер доверия к безопасности, связанную с изменениями в технологии и затратах на разработку ОО.
    Также возможно (например, для существующего продукта ИТ), что разработчики ПЗ/ЗБ имеют четкое представление относительно ФТБ, которым удовлетворяет ОО (даже если эти требования не были выражены в стиле ОК). В таких случаях определение аспектов среды безопасности и целей безопасности будет осуществляться, исходя из этих ФТБ. Процесс разработки ПЗ/ЗБ в таком случае будет "восходящим".
 

6.6 Семейства профилей защиты

 
    Семейство ПЗ представляет собой совокупность тесно связанных ПЗ, которые обычно относятся к одному и тому же типу продукта или системы ИТ (например, операционная система, межсетевой экран и т.д.). Разработка ПЗ может, таким образом, рассматриваться как часть процесса разработки семейства ПЗ. Разработка семейств ПЗ может идти по следующим направлениям:
    - разработка совокупности иерархически связанных ПЗ для одного и того же типа ОО (ПЗ можно считать иерархическим по отношению к другому ПЗ семейства, если он включает все требования безопасности ИТ, специфицированные в последнем);
    - разработка совокупности ПЗ, каждый из которых относится к различным компонентам системы ИТ, например, семейство "смарт-карты" могло бы включать ПЗ для платы интегральной схемы, ПЗ для операционной системы, ПЗ для приложения, ПЗ считывателя смарт-карт и т.д.
    Если семейство ПЗ относится к конкретному типу ОО, важно чтобы было четкое различие между различными членами семейства. Другими словами, должны быть четкие различия в требованиях безопасности ОО. Это связано с тем, что ПЗ должен, по крайней мере, отличаться целями безопасности, которые определяют выбор требований безопасности ИТ. В качестве примера, можно рассмотреть случай, когда два ПЗ специфицируют одну и ту же совокупность ФТБ, но разные ТДБ. Допускается мотивировать более низкое требование безопасности возрастанием безопасности среды ОО. Такие различия должны быть отражены в целях безопасности. Там же, где семейство ПЗ применяется к различным компонентам системы ИТ (в конкретной или предполагаемой среде), должны быть четко определены ПЗ, включенные в семейство (см. также главу 14 настоящего Руководства, в которой рассматриваются вопросы разработки ПЗ для компонентов системы ИТ).
 

7. Описательные разделы профилей защиты и заданий по безопасности

 
    Настоящая глава содержит рекомендации по формированию следующих описательных разделов ПЗ и ЗБ:
    а) "Введение ПЗ/ЗБ";
    б) "Описание ОО" в ПЗ/ЗБ;
    в) "Замечания по применению" в ПЗ.
 

7.1 Описательные части профиля защиты

 

7.1.1 Раздел "Введение ПЗ"

 
    Подраздел "Идентификация ПЗ"
    Назначение данного подраздела состоит в предоставлении информации для идентификации ПЗ, например, в целях последующей регистрации ПЗ. Идентификация, как минимум, должна включать название ПЗ и идентификатор, который является уникальным для данной версии ПЗ. В подраздел "Идентификация ПЗ" также целесообразно включить следующую информацию:
    а) ключевые слова;
    б) оценочный уровень доверия (ОУД), если он применяется в ПЗ;
    в) утверждение о соответствии версии ОК;
    г) состояние оценки ПЗ.
    Аннотация ПЗ
    Согласно ОК подраздел "Аннотация ПЗ" должен иметь форму резюме, используемого также в реестрах и каталогах ПЗ. В данный раздел необходимо включить высокоуровневый обзор проблемы безопасности, которая подлежит решению в ПЗ. Также желателен краткий обзор того, каким образом ПЗ способствует решению проблемы безопасности. При этом необходимо обеспечить соответствие содержанию ПЗ. В случае необходимости "Аннотация ПЗ" может быть расширена до "Резюме для руководителя" или "Резюме для менеджера". Однако если предполагается, что ПЗ будет включен в реестр ПЗ, то соответствующий краткий обзор (обычно один-два параграфа) должен быть сформирован таким образом, чтобы его можно было перенести в реестр.
    Профили защиты, с которыми связан рассматриваемый профиль, и другие документы, на которые ссылается (необязательный подраздел)
    Если ПЗ связан (или такая связь предполагается) с одним или несколькими другими ПЗ, рекомендуется, чтобы эти профили были идентифицированы в разделе "Введение ПЗ". При этом для пользователя ПЗ представляет особый интерес характер данной связи. При наличии тесной связи оцениваемого ПЗ с существующим оцененным ПЗ результаты оценки последнего могут быть использованы для оценки рассматриваемого ПЗ. Таким образом, основные усилия при оценке ПЗ необходимо будет сконцентрировать на отличиях двух ПЗ.
    Необходимо отметить, что в данный подраздел включается информация, которая представляет интерес для пользователя ПЗ и уже известна разработчику ПЗ. При этом от разработчика ПЗ никакой более подробной информации о существующих ПЗ не требуется.
    Профиль защиты для большой распределенной системы может ссылаться на ряд других документов (предварительное изучение угроз; документы, содержащие высокоуровневое описание ОО; документы, содержащие описание различных компонентов ИТ-среды). Такие документы могут разрабатываться различными организациями в разное время и противоречить друг другу в терминологии, концепции, в описании среды и целей безопасности. В таких случаях в ПЗ необходимо пояснить, что именно взято из документов, на которые ссылается ПЗ.
    Структура и организация профиля защиты (необязательный подраздел)
    Данный подраздел предназначен для объяснения структуры и организации ПЗ пользователям, не знакомым с типовой структурой ПЗ. Ниже приведен шаблон рассматриваемого подраздела (текст, зависящий от структуры и содержания ПЗ/ЗБ, обрамлен квадратными скобками и выделен курсивом).
    Профиль защиты включает следующие основные разделы: "Описание ОО", "Среда безопасности ОО", "Требования безопасности ИТ" и "Обоснование". [Если в ПЗ включаются требования безопасности для не-ИТ-среды, то целесообразно раздел ПЗ "Требования безопасности ИТ" озаглавить - "Требования безопасности".]
    В раздел ПЗ "Описание ОО" включается общая информация об ОО, предназначенная для пояснения требований безопасности, предъявляемых к ОО, и необходимая для оценки ПЗ.
    В раздел "Среда безопасности ОО" включается описание аспектов среды безопасности, в которой предполагается использование ОО, а также способ использования ОО. [Если в среде ОО выделены несколько отдельных доменов, целесообразно дополнительно включить в ПЗ следующий текст: "Аспекты среды безопасности рассматриваются отдельно для каждого домена среды безопасности ОО".] Раздел "Среда безопасности ОО" содержит описание:
    а) предположений о предназначении ОО и о его среде эксплуатации;
    б) угроз безопасному функционированию ОО;
    в) ПБОр, которой должен удовлетворять ОО.
    [При необходимости пункты б) и/или в) можно опустить]
    Цели безопасности отражают сформулированное предназначение ПЗ. Они раскрывают, каким образом ОО должен противостоять идентифицированным угрозам и учитывать предположения и ПБОр. Цели безопасности делятся на цели безопасности для ОО и цели безопасности для среды [иногда целесообразно дополнительно включить в ПЗ следующий текст: одна и та же цель безопасности может быть классифицирована как цель безопасности и для ОО, и для среды]. [Первое предложение, связанное с требованиями безопасности, может быть выбрано разработчиками из следующего списка, исходя из того, какие требования включаются в ПЗ/ЗБ:
    1. "Все требования безопасности в настоящем ПЗ имеют отношение к самому ОО" (если задаются требования безопасности только для ОО).
    2. "Раздел "Требования безопасности ИТ" содержит в отдельных подразделах требования для ОО и требования для среды ОО" (если задаются требования безопасности для ОО и для среды ОО).
    3. "Раздел "Требования безопасности" содержит в отдельных подразделах требования для ОО и требования для среды ОО" (если среда включает не-ИТ-среду)].
    Требования безопасности ИТ делятся на: (а) функциональные требования безопасности ОО [если в состав требований доверия к безопасности включен компонент AVA_SOF.1, то необходимо включить следующий текст: "включая требования к стойкости функций безопасности ОО, реализуемым вероятностными или перестановочными механизмами"] и (б) требования доверия к безопасности.
    Раздел "Обоснование" содержит свидетельство того, что ПЗ представляет собой полный набор взаимосвязанных требований безопасности ИТ, и что соответствующий данному ПЗ объект оценки надлежащим образом учитывает все аспекты среды безопасности.
    Раздел "Обоснование" состоит из двух основных частей. Первая - "Логическое обоснование целей безопасности" - демонстрирует, что цели безопасности надлежащим образом учитывают все аспекты среды безопасности ОО. Вторая - "Логическое обоснование требований безопасности" - демонстрирует, что требования безопасности надлежащим образом учитывают все цели безопасности.
 

7.1.2 Раздел "Описание ОО"

 
    В раздел "Описание ОО" включается информация следующих видов (первые два вида информации - предписаны ОК, два последних - являются необязательными):
    а) тип продукта ИТ;
    б) основные функциональные возможности ОО;
    в) границы ОО (необязательная информация);
    г) среда функционирования ОО (необязательная информация).
    Описание "основных функциональных возможностей ОО" включает именно описание функциональных возможностей ОО, а не только характеристик безопасности (если, конечно, обеспечение безопасности не является единственным предназначением ОО).
    Описание "границ ОО" (необязательное) - это описание того, что включает и что не включает в себя ОО. При этом ПЗ может оставлять некоторую возможность разработчику соответствующего ЗБ установить окончательные границы между ОО и средой ОО. Тем не менее, диапазон допустимого выбора таких границ должен быть в явном виде установлен в ПЗ.
    Описание "среды функционирования ОО" (необязательное) - это описание того, где функционирует ОО, включая важные предположения, ограничения, накладываемые процессами деятельности, и другие ключевые параметры, важные с точки зрения пользователей ПЗ.
    При формировании раздела "Описание ОО" необходимо максимально стремиться к тому, чтобы исключить возможность неправильного понимания пользователями ПЗ/ЗБ предназначения ОО и его возможностей по обеспечению безопасности информации (то есть необходимо исключить те детали описания ОО, которые не представляют интереса в свете предполагаемой оценки ОО).
 

7.1.3 Раздел "Замечания по применению"

 
    Раздел ПЗ "Замечания по применению" является необязательным. Замечания по применению могут быть либо оформлены отдельным разделом ПЗ, либо сопровождать различные части ПЗ, например, отдельные требования безопасности ОО. В замечания по применению целесообразно включать сопроводительную информацию, которая может оказаться полезной при проектировании, оценке и эксплуатации ОО. Основное назначение "замечаний по применению" - пояснить, каким образом конкретные требования безопасности необходимо интерпретировать для рассматриваемого ОО, а также предоставить разработчикам ЗБ рекомендации по выполнению операций (выбор, назначение, уточнение) над функциональными компонентами.
    Если "замечания по применению" разнесены по тексту ПЗ, то в этих случаях необходимо их однозначно идентифицировать. Это нужно для того, чтобы пользователь ПЗ интерпретировал их именно как "замечания по применению", а не как, например, уточнения для ФТБ и ТДБ.
 

7.2 Описательные части задания по безопасности

 

7.2.1 Раздел "Введение ЗБ"

 
    При формировании раздела "Введение ЗБ" целесообразно руководствоваться рекомендациями по формированию раздела "Введение ПЗ" (см. п. 7.1), за исключением следующего:
    а) утверждение о соответствии ОК является необязательным для ЗБ;
    б) к ЗБ неприменимы процедуры регистрации ПЗ;
    в) может потребоваться идентификация ЗБ, связанных с рассматриваемым ЗБ, если ОО представляет собой составной ОО, либо является частью составного ОО.