А.7 Угрозы и требовании класса FPT

Автор ПЗ/ЗБ идентифицирует угрозы (не различая при этом угрозы, исходящие от злонамеренных пользователей, и угрозы, проистекающие из некорректностей в реализации, пригодных для использования через внешний интерфейс ФБО) и, исходя из этого, определяет, включать или не включать требования семейств FPT_PHP «Физическая защита ФБО», FPT_SEP «Разделение домена» и/или FPT_RVM «Посредничество при обращениях» в ПЗ/ЗБ. Эти семейства требований предполагают наличие для ОО угрозы физического воздействия, вмешательства пользователей или обхода функций безопасности:

a) требование защиты ФБО непосредственно связано с описанием среды ОО. Там, где явно или неявно присутствует угроза воздействия или обхода, меры противодействия угрозе необходимо обеспечивать с помощью либо ОО, либо его среды;

b) на угрозу воздействия или обхода обычно указывает присутствие в среде ОО недоверенных субъектов (обычно людей-пользователей) при наличии у них мотивации атаки на активы, которые ОО предназначен защищать;

c) при оценивании изложения требовании безопасности в ПЗ/ЗБ оценщик определяет потребность в защите ФБО для выполнения целей безопасности и там, где такая потребность установлена, проверяет присутствие функциональных требований для ее удовлетворения. В тех случаях, когда потребность в защите выявлена, но такая защита не обеспечена ни ОО, ни его средой, выносят отрицательный вердикт по подвиду деятельности APE/ASE_REQ по оценке ЛЗ/ЗБ.

Необходимо иметь некоторую форму защиты ОО, если он может осуществлять свою политику безопасности. В конечном счете, если ФБО не защищены от искажения, то не имеется никакой гарантии, что функции, осуществляющие его политику, будут выполняться, как ожидается.

Эта защита может быть обеспечена несколькими способами. В операционной системе со многими пользователями, у которых имеется обширный (программный) интерфейс взаимодействия с ОО, ФБО должны быть способны к собственной защите. Однако если ОО имеет ограниченный интерфейс или ограничения при эксплуатации, необходимая защита может быть обеспечена средствами вне ОО.

Автор ПЗ/ЗБ должен выбрать комбинации ФБО, предположений относительно среды ИТ и других предположений, которые обеспечат необходимую собственную защиту ФБО. Оценщик обязан подтвердить, что необходимая защита обеспечивается. В зависимости от ОО и сделанных предположений для необходимой защиты могут быть привлечены функциональные требования безопасности из класса FPT, но при определенных обстоятельствах они могут и не понадобиться.

А.7.1 Объекты оценки, для которых необязательны требования класса FPT

Возможно, что к некоторым ОО (типа встроенного ОО без интерфейса пользователя) рассматриваемые угрозы не относятся. Скорее всего, для ОО, предоставляющего пользователю расширенный интерфейс, будет несостоятельным ПЗ/ЗБ, который/которое содержит эти угрозы, но не имеет требований из семейств FPT_PHP, FPT_RVM и FPT_SEP. ОО, для которых, возможно, нет необходимости в требованиях самозащиты из класса FPT, могут быть разделены на три следующих типа.

А.7.1.1 Объект оценки с ограниченным интерфейсом пользователя

ОО, который предоставляет только ограниченный интерфейс (недоверенному) пользователю, уже этим может установить достаточные ограничения на действия пользователя так, что даже злонамеренный пользователь не будет иметь возможности исказить ОО. Например, прибор, подобный калькулятору или устройству аутентификации пользователя, может иметь малое число клавишей для ввода информации. Интерфейс недоверенного пользователя на коммуникационных устройствах типа маршрутизатора или межсетевого экрана еще более ограничен: пользователи могут связываться только косвенно, обычно через блоки данных или сообщения протоколов.

А.7.1.2 Объект оценки, не осуществляющий соответствующую политику безопасности

Для ОО, не осуществляющего политик управления доступом или информационными потоками, возможно, не имеет никакого значения получение каким-либо пользователем доступа к данным другого пользователя или ФБО. В этом случае нет особой необходимости в разделении пользователей, подразумевающем привлечение FPT_SEP «Разделение домена». Точно так же, если не имеется никаких значительных активов (типа ресурсов ИТ), требующих защиты (например, против отказа в обслуживании), то, возможно, нет смысла в применении требований из класса FPT.

А.7.1.3 Защита обеспечивается средой

Защиту ФБО часто необходимо обеспечить средой ОО, а не самим ОО (например, в случае приложения, выполняемого в доверенной операционной системе, где приложение является объектом оценки). В таких случаях при оценке учитывают, обеспечивают ли механизмы среды требуемую защиту. Предполагается, что меры защиты выполняются правильно, но способ их применения для защиты ОО может влиять на область оценки.

Например, привилегия, назначенная операционной системой объектным файлам в пределах приложения, определит потенциал нарушения приложением политики безопасности операционной системы. Возможны две реализации одного и того же приложения, приводящие к таким различиям в применении мер защиты операционной системы, которые подразумевают существенно различающиеся ФБО. Таким образом, даже там, где механизмы защиты реализованы средой ОО, все же необходимо проверить способ применения этих механизмов до того, как могут быть определены ФБО.

А.7.2 Воздействие на семейства доверия

Включение/исключение в/из ПЗ/ЗБ требований самозащиты из класса FPT затронет следующие требования доверия.

А.7.2.1 ADV

Там, где не существует угрозы воздействия или обхода, оценка сосредоточится на правильном выполнении ФБО. Она будет включать в себя рассмотрение всех функций в пределах ОО, которые прямо или косвенно вносят вклад в осуществление ПБО. Нет необходимости исследовать функции, которые не относятся ни к одной из этих категорий (присутствие в реализации этих функций ошибок, которые могут помешать правильному выполнению ФБО, будет установлено через тестирование ФБО).

Там, где заявлены функции самозащиты, описание их реализации определит механизмы защиты, на основе которых могут быть определены границы ФБО. Идентификация границ и интерфейсов ФБО вместе с определением заявленной эффективности механизмов защиты ФБО позволит ограничить оцениваемую область. Это ограничение исключит функции не из числа ФБО, так как они не могут мешать правильному выполнению ФБО. Во многих случаях в состав ФБО будут включены некоторые функции, которые не вносят вклад в осуществление ПБО, и эти функции придется исследовать в процессе оценки. Те функции, которые определены как не входящие в состав ФБО, оценщику нет необходимости исследовать.

А.7.2.2 AVA_VLA

Анализ уязвимостей в ИСО/МЭК 15408 определяет влияние уязвимостей на функционирование ОО в его предопределенной среде. Если в ЗБ не идентифицированы никакие угрозы воздействия или обхода, то из поиска уязвимостей разработчиком и оценщиком, где требуется, следует рассмотрение таких атак исключить.

A.7.2.3 ATE_IND

В замечаниях по применению для ATE_IND «Независимое тестирование» рекомендуется тестировать известные из общедоступных источников слабые места, которые могли бы иметься у ОО. Такие слабые места, которые дают основу для намерения исказить или обойти ФБО, необходимо рассматривать только тогда, когда идентифицирована подобная угроза.

Далее >>>