Вопрос 2: Основные
понятия и идеи Общих Критериев в ГОСТ Р ИСО/МЭК 15408
ОК содержат 2 основных требования вида безопасности:
функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим им механизмам;
требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.
Требования безопасности формулируются и их выполнение проверяется для определённого объекта оценки (ОО), т. е. аппаратно-программного продукта ИТ или системы ИТ.
Безопасность в ОК рассматривается на жизненном цикле ОО.
Кроме того, объект оценки рассматривается в контексте среды безопасности, характеризующейся определёнными условиями и угрозами. Требования в общих критериях формулируются в документах 2 видов:
профиля защиты (ПЗ). Типовой набор требования, которым должны удовлетворять продукты и (или) системы определённого класса;
задания по безопасности (ЗБ). Содержит совокупность требований к конкретной разработке продукта или системы.
Системой ИТ называется специфичная реализация ИТ с конкретным назначением и условиями эксплуатации.
Продукт ИТ представляет собой совокупность средств ИТ
В среду безопасности объекта оценки включаются:
Законодательная среда
Административная среда
Процедурная среда
Программно-техническая среда
Угрозы безопасности объекту оценки, наличие которых в рассматриваемой среде установлено или предполагается. Они характеризуются следующими параметрами:
источник;
метод воздействия;
опасные с точки зрения закономерности использования уязвимости;
активы, потенциально подверженные повреждению.
При анализе рисков угроз принимается во внимание вероятность активации угрозы и её успешного осуществления, а также размер возможного ущерба.
По результатам анализа из множества допустимых угроз отбираются только те, ущерб от которых нуждается в уменьшении.
Для структуризации простраства требований в ОК введения иерархия Класс - Семейство - Компонент - Элемент.
ПЗ от ЗБ отличается двумя разделами. В ЗБ добавляются краткая спецификация объекта оценки и утверждение о соответствии профилю защиты.
При проведении оценки главными являются следующие вопросы:
Отвечают ли функции безопасности объекта оценки функциональным требованиям.
Конкретна ли реализация функции безопасности.
Если оба ответа положительны, то говорят о достижении целей безопасности.