Стандарт "Общие Критерии" : Состав, методология,...
TRANSCRIPT
![Page 1: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/1.jpg)
1
Лекция №2
Общие Критерии
![Page 2: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/2.jpg)
2
План лекции
● Стандарт ОК● Состав ОК● Основные понятия ОК● Требования доверия ОК
Цель лекции — получить представление о стандарте «Общие Критерии» и не-фукциональных его требованиях
![Page 3: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/3.jpg)
3
Повторение
● Что такое ОК?● Для чего нужны ОК?
![Page 4: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/4.jpg)
4
Common Criteria (Общие критерии)
● Оценочный стандарт● С техническими рекомендациями● Охватывает весь ЖЦ системы● Гармонизирован как ГОСТ Р ИСО МЭК 15408● Эволюционировал долго
– Orange Book (США)
– Гармонизированные критерии Европейских стран
– Общие критерии
![Page 5: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/5.jpg)
5
Другие стандарты
● ISO 2700#– Развивается активно
– В основном для управления безопасностью
● BS 7799● ISO/IEC 17799
![Page 6: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/6.jpg)
6
Состав ОК
● Правила использования стандарта● Функциональные требования к продукту● Требования к процессу разработки и
сопровождения (требования доверия)
![Page 7: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/7.jpg)
7
Работа с 15408
● Для категории продукта составляется профиль защиты и\или задание по безопасности
● Учитываются зависимости● По ЗБ пишется продукт● И затем оценивается на соответствие ПЗ
![Page 8: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/8.jpg)
8
Достоинства ОК
● Полнота● Метастандартность/универсальность● Иерархичность● Классификация требований● Расширяемость● Конкретизируемость с помощью ПЗ/ЗБ
![Page 9: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/9.jpg)
9
Недостатки ОК
● Расплывчатость (ОК → ПЗ/ЗБ → Разработка)● Ориентированность все же на оценку
– Не всегда хорошая иерархичность
– Иногда странная классификация
● Сложность восприятия
![Page 10: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/10.jpg)
10
Функциональные требования
● FAU - аудит/протоколирование;
● FIA - идентификация/аутентификация;
● FRU - использование ресурсов
● FCO - неотказуемость
● FPR - приватность
● FDP - защита данных пользователя;
● FPT - защита функций безопасности
● FCS - криптографическая поддержка;
● FMT - управление безопасностью
● FTA - управление сеансами работы пользователей
● FTP - доверенный маршрут/канал
![Page 11: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/11.jpg)
11
Требования доверия
● APE - оценка профиля защиты
● ASE - оценка задания по безопасности
● ADV - разработка
● ALC - поддержка жизненного цикла
● ACM - управление конфигурацией
● AGD - руководства
● ATE - тестирование
● AVA - оценка уязвимостей
● ADO - поставка и эксплуатация
● AMA - поддержка доверия
![Page 12: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/12.jpg)
12
Базовые понятия ОК
● Объект оценки (ОО)● Среда безопасности
![Page 13: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/13.jpg)
13
Состав среды безопасности
● Законодательная среда
● Предположения безопасности
● Угрозы безопасности ОО
● Положения политики безопасности
● Цели безопасности
● Требования безопасности
● Административная среда
● Процедурная среда
● Программно-техническая среда
![Page 14: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/14.jpg)
14
Требования безопасности
● Основная составляющая ОК● Указывают на те места, которые надо
проработать●
![Page 15: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/15.jpg)
15
Иерархия требований
● Классы● Семейства● Компоненты● Элементы
![Page 16: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/16.jpg)
16
Процесс разработки
● Методология - не установлена● Но:
– Несколько уровней представления проекта (в соответствии с иерархией требований)
– Профиль защиты и Задание по Безопасности
– Пакеты требований и зависимости между требованиями
– Проверка: отвечают ли сами функции безопасности ОО функциональным требованиям?
– Проверка: не допущено ли ошибок при реализации функций безопасности?
![Page 17: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/17.jpg)
17
Процесс разработки
● Модель «Водопад» - ?● Итеративная модель - ?
![Page 18: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/18.jpg)
18
Требования доверия
● Требования к ЖЦ ОО● Реализуются через оценку ● Каждое требование:
– действия разработчика
– представление и содержание свидетельств
– действия оценщика
![Page 19: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/19.jpg)
19
Действия по оценке
● Оценка ПЗ и ЗБ
● Анализ представлении ОО
● Их согласованности
● Их соответствия стандарту
● Проверка процессов и процедур
● Проверка практик безопасности
● Проверка документации
● Проверка доказательств
● Проверка тестов и их результатов
● Анализ уязвимостей ОО
● Независимое тестирование, пен-тесты
![Page 20: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/20.jpg)
20
Результат оценки
● Оценочные уровни доверия● Отчет по оценке:
– Архитектурное описание ОО
– Описание процесса оценки — что делали
– Результаты оценки — что получили
– Выводы и рекомендации
– Список представленных свидетельств
– Список сокращений, словарь терминов;
– Список замечаний.
![Page 21: Стандарт "Общие Критерии" : Состав, методология, требования доверия](https://reader034.vdocuments.site/reader034/viewer/2022050817/557f57cfd8b42a822f8b4c79/html5/thumbnails/21.jpg)
21
Задачи оценки
● Входная задача — сбор доказательств● Задача оценки — действия по оценке● Выходная задача — отчет, аттестация на
ОУД