Последнее обновление: 25.04.2024
Законодательная база Российской Федерации
8 (800) 350-23-61
Бесплатная горячая линия юридической помощи
- Главная
- "МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)
14.7 Моделирование политики безопасности (ADV_SPM)
14.7.1 Цели
Цель этого семейства - повысить доверие к тому, что функции безопасности в функциональной спецификации осуществляют политики ПБО. Эта цель достигается посредством разработки модели политики безопасности, основанной на подмножестве политик ПБО, и установления соответствия между функциональной спецификацией, моделью политики безопасности и этим подмножеством политик ПБО.
14.7.2 Ранжирование компонентов
Компоненты в этом семействе ранжированы на основе степени формализации, требуемой от модели ПБО, и степени формализации, требуемой при установлении соответствия между моделью ПБО и функциональной спецификацией.
14.7.3 Замечания по применению
В то время как ПБО может включать в себя любые политики, модели ПБО традиционно представляют только подмножества этих политик, потому что моделирование некоторых политик в настоящее время не представляется выполнимым. Современное состояние вопроса определяет политики, которые могут быть смоделированы, и автору ПЗ/ЗБ следует идентифицировать конкретные функции и связанные с ними политики, которые можно, и поэтому требуется смоделировать. Как минимум, требуется моделировать политики управления доступом и информационными потоками (если они являются частью ПБО), так как в настоящее время это признается возможным.
В каждом из компонентов этого семейства присутствует требование описания в модели ПБО правил и характеристик применяемых политик ПБО и обеспечения адекватности модели ПБО соответствующим политикам ПБО, "Правила" и "характеристики" модели ПБО предназначены для обеспечения гибкости в выборе типа модели (например переход из одного состояния в другое, невмешательство), которая может быть разработана. Например, правила могут быть представлены как "свойства" (например отдельное свойство безопасности), а характеристики могут быть представлены такими определениями, как "начальное состояние", "безопасное состояние", "субъекты" и "объекты".
Применительно к уровню формализации модели ПБО и соответствия между моделью ПБО и функциональной спецификацией неформальный, полуформальный и формальный уровни рассматривают как иерархичные по сути. Так, ADV_SPM.1.1С может быть удовлетворен полуформальной или формальной моделью ПБО, a ADV_SPM.2.1C - также формальной моделью ПБО. Помимо этого, ADV_SPM.2.5C и ADV_SPM.3.5C могут быть удовлетворены формальным доказательством соответствия. И, наконец, при отсутствии каких-либо требований к уровню формализации демонстрация соответствия может быть неформальной, полуформальной или формальной.
14.7.4 ADV_SPM.1 Неформальная модель политики безопасности ОО
Зависимости: ADV_FSP.1 Неформальная функциональная спецификация
14.7.4.1 Элементы действий разработчика
14.7.4.1.1 ADV_SPM.1.1D
Разработчик должен представить модель ФБО.
14.7.4.1.2 ADV_SPM.1.2D
Разработчик должен демонстрировать соответствие между функциональной спецификацией и моделью ПБО.
14.7.4.2 Элементы содержания и представления свидетельств
14.7.4.2.1 ADV_SPM.1.1C
Модель ПБО должна быть неформальной.
14.7.4.2.2 ADV_SPM.1.2C
Модель ПБО должна содержать описание правил и характеристик всех политик ПБО, которые могут быть смоделированы.
14.7.4.2.3 ADV_SPM.1.3C
Модель ПБО должна включать в себя обоснование, которое демонстрирует, что она согласована и полна относительно всех политик ПБО, которые могут быть смоделированы.
14.7.4.2.4 ADV_SPM.1.4C
Демонстрация соответствия между моделью ПБО и функциональной спецификацией должна показать, что все функции безопасности в функциональной спецификации являются непротиворечивыми и полными относительно модели ФБО.
14.7.4.3 Элементы действий оценщика.
14.7.4.3.1 ADV_SPM.1.1E
Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.
14.7.5 ADV_SPM.2 Полуформальная модель политики безопасности ОО Зависимости: ADV_FSP.1 Неформальная функциональная спецификация
14.7.5.1 Элементы действий разработчика
14.7.5.1.1 ADV_SPM.2.1D
Разработчик должен представить модель ПБО.
14.7.5.1.2 ADV_SPM.2.2D
Разработчик должен демонстрировать соответствие между функциональной спецификацией и моделью ФБО.
14.7.5.2 Элементы содержания и представления свидетельств
14.7.5.2.1 ADV_SPM.2.1C
Модель ПБО должна быть полуформальной.
14.7.5.2.2 ADV_SPM.2.2С
Модель ПБО должна содержать описание правил и характеристик всех политик ПБО, которые могут быть смоделированы.
14.7.5.2.3 ADV_SPM.2.3C
Модель ПБО должна включать в себя обоснованно, которое демонстрирует, что она согласована и полна относительно всех, политик ПБО, которые могут быть смоделированы.
14.7.5.2.4 ADV_SPM.2.4C
Демонстрация соответствия между моделью ПБО и функциональной спецификацией должна показать, что все функции безопасности в функциональной; спецификации являются непротиворечивыми и полными относительно модели ПБО.
14.7.5.2.5 ADV_SPM.2.5С
Там, где функциональная спецификация, по меньшей мере, полуформальна, демонстрация соответствия между моделью ПБО и функциональной спецификацией должна быть полуформальной.
14.7.5.3 Элементы действий оценщика
14.7.5.3.1 ADV_SPM.2.1E
Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.
14.7.6 ADV_SPM.3 Формальная модель политики безопасности ОО
Зависимости: ADV_FSP.1 Неформальная функциональная спецификация
14.7.6.1 Элементы действий разработчика
14.7.6.1.1 ADV_SPM.3.1D
Разработчик должен представить модель ПБО.
14.7.6.1.2 ADV_SPM.3.2D
Разработчик должен демонстрировать или доказать, где это требуется, соответствие между функциональной спецификацией и моделью ПБО.
14.7.6.2 Элементы содержания и представления свидетельств
14.7.6.2.1 ADV_SPM.3.1C
Модель ПБО должна быть формальной.
14.7.6.2.2 ADV_SPM.3.2C
Модель ПБО должна содержать описание правил и характеристик всех политик ПБО, которые могут быть смоделированы.
14.7.6.2.3 ADV_SPM.3.3C
Модель ПБО должна включать в себя обоснование, которое демонстрирует, что она согласована и полна относительно всех политик ПБО, которые могут быть смоделированы.
14.7.6.2.4 ADV_SPM.3.4C
Демонстрация соответствия между моделью ПБО и функциональной спецификацией должна показать, что все функции безопасности в функциональной спецификации являются непротиворечивыми и полными относительно модели ПБО.
14.7.6.2.5 ADV_SPM.3.5C
Там, где функциональная спецификация полуформальна, демонстрация соответствия между моделью ПБО и функциональной спецификацией должна быть полуформальной.
14.7.6.2.6 ADV_SPM.3.6C
Там, где функциональная спецификация формальна, доказательство соответствия между моделью ПБО и функциональной спецификацией должно быть формальным.
14.7.6.3 Элементы действий оценщика
14.7.6.3.1 ADV_SPM.3.1E
Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.
- Главная
- "МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)