Нормативная документация
ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

Содержание

Предисловие

Введение

1 Область применения

2 Нормативные ссылки

3 Термины и определения


4 Обозначения и сокращения

5 Краткий обзор


6 Принятые соглашения

7 Общие задачи оценки

7.1 Введение


7.2 Задача получения исходных данных для оценки

7.3 Задача оформления результатов оценки

8 Оценка профиля защиты

8.1 Введение


8.2 Организация оценки ПЗ

8.3 Вид деятельности «Оценка профиля защиты»

9 Оценка задания по безопасности

9.1 Введение


9.2 Организация оценки ЗБ

9.3 Вид деятельности «Оценка задания по безопасности»

10 Оценка по ОУД1

10.1 Введение


10.2 Цели

10.3 Организация оценки по ОУД1

10.4 Вид деятельности «Управление конфигурацией»

10.5 Вид деятельности «Поставка и эксплуатация»

10.6 Вид деятельности «Разработка»

10.7 Вид деятельности «Руководства»

10.8 Вид деятельности «Тестирование»

11 Оценка по ОУД2

11.1 Введение


11.2 Цели

11.3 Организация оценки по ОУД2

11.4 Вид деятельности «Управление конфигурацией»

11.5 Вид деятельности «Поставка и эксплуатация»

11.6 Вид деятельности «Разработка»

11.7 Вид деятельности «Руководства»

11.8 Вид деятельности «Тестирование»

11.9 Вид деятельности «Оценка уязвимостей»

12 Оценка по ОУД3

12.1 Введение


12.2 Цели

12.3 Организация оценки по ОУД3

12.4 Вид деятельности «Управление конфигурацией»

12.5 Вид деятельности «Поставка и эксплуатация»

12.6 Вид деятельности «Разработка»

12.7 Вид деятельности «Руководства»

12.8 Вид деятельности «Поддержка жизненного цикла»

12.9 Вид деятельности «Тестирование»

12.10 Вид деятельности «Оценка уязвимостей»

13 Оценка по ОУД4

13.1 Введение


13.2 Цели

13.3 Организация оценки по ОУД4

13.4 Вид деятельности «Управление конфигурацией»

13.5 Вид деятельности «Поставка и эксплуатация»

13.6 Вид деятельности «Разработка»

13.7 Вид деятельности «Руководства»

13.8 Вид деятельности «Поддержка жизненного цикла»

13.9 Вид деятельности «Тестирование»

13.10 Вид деятельности «Оценка уязвимостей»

14 Подвид деятельности «Устранение недостатков»

14.1 Оценка устранений недостатков (ALC_FLR.1)


14.2 Оценка устранений недостатков (ALC_FLR.2)

14.3 Оценка устранений недостатков (ALC_FLR.3)

Приложение А (обязательное) Общие указания по оценке

А.1 Цели


А.2 Выборка

А.3 Анализ непротиворечивости

А.4 Зависимости

А.5 Посещение объектов

А.6 Границы объекта оценки

А.7 Угрозы и требования класса FPT

А.8 Стойкость функций безопасности и анализ уязвимостей

А.9 Сфера ответственности системы оценки

Приложение В (справочное) Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам













14.3 Оценка устранения недостатков (ALC_FLR.3)

14.3.1 Цели

Цель данного подвида деятельности — сделать заключение, установил ли разработчик процедуры устранения недостатков, которые описывают отслеживание недостатков безопасности, идентификацию действий по их устранению и доведение информации об этих действиях до пользователей ОО. Дополнительно, по этому подвиду деятельности должно быть сделано заключение, предусматривают ли процедуры разработчика исправление недостатков безопасности, получение сообщений о недостатках от пользователей ОО, обеспечение уверенности, что исправления не приведут ни к каким новым недостаткам безопасности, определение контактных данных каждого пользователя ОО и своевременное доведение до пользователей ОО действий по их исправлению.

Для того чтобы разработчики имели возможность соответствующим образом реагировать на сообщения пользователей ОО о недостатках безопасности, пользователям ОО необходимо понимать, как представлять сообщения о недостатках безопасности разработчикам, а разработчикам необходимо знать, каким образом получать эти сообщения. Руководство по устранению недостатков, предназначенное для пользователя ОО, обеспечивает, что пользователи ОО осведомлены о том, как установить связь с разработчиком, а процедуры устранения недостатков описывают роль разработчика при таком взаимодействии.

14.3.2 Исходные данные

Свидетельствами оценки для этого подвида деятельности являются:

a) документация процедур устранения недостатков;

b) документация руководств по устранению недостатков.

14.3.3 Действие ALC_FLR.3.1E

14.3.3.1 Шаг оценивания ALC_FLR.3-1

ИСО/МЭК 15408-3 ALC_FLR.3.1C: Документация процедур устранения недостатков должна содержать описание процедур по отслеживанию всех ставших известными недостатков безопасности в каждом релизе ОО.

Оценщик должен исследовать документацию процедур устранения недостатков, чтобы сделать заключение, описывает ли она процедуры отслеживания всех ставших известными недостатков безопасности в каждом релизе ОО.

Эти процедуры описывают действия, предпринимаемые разработчиком с момента сообщения о каждом предполагаемом недостатке безопасности до момента реализации решения по нему. Это предполагает временные рамки всей деятельности, связанной с отдельным недостатком, начиная от его обнаружения, включая выяснение, что недостаток является недостатком безопасности, и заканчивая реализацией решения по нему.

Если выявленный недостаток не влияет на безопасность, то не понадобится выполнять (согласно требованиям ALC_FLR «Устранение недостатков») процедуры устранения недостатка для его дальнейшего отслеживания; только при этом необходимо объяснение, почему недостаток не влияет на безопасность.

14.3.3.2 Шаг оценивания ALC_FLR.3-2

ИСО/МЭК 15408-3 ALC_FLR.3.2C: Процедуры устранения недостатков должны содержать требование представления описания сути и последствий каждого недостатка безопасности, а также статуса процесса исправления этого недостатка.

Оценщик должен исследовать процедуры устранения недостатков, чтобы сделать заключение, сопровождается ли применение этих процедур описанием каждого недостатка безопасности с точки зрения его сути и последствий.

Процедуры идентифицируют действия, которые приняты разработчиком для достаточно детального описания сути и последствий каждого недостатка безопасности, дающего возможность его воспроизведения. Описание сути недостатка безопасности раскрывает, является ли он ошибкой в документации, недостатком в проекте ФБО, недостатком в реализации ФБО и т.д. Описание последствий недостатка безопасности идентифицирует фрагменты реализации ФБО, подвергаемые воздействию, и результаты воздействия на эти фрагменты. Например, недостаток безопасности в реализации может быть в том, что он влияет на идентификацию и аутентификацию, осуществляемую ФБО, разрешая аутентификацию с паролем «ТАЙНЫЙВХОД».

14.3.3.3 Шаг оценивания ALC_FLR.3-3

Оценщик должен исследовать процедуры устранения недостатков, чтобы сделать заключение, будет ли идентифицировано при применении этих процедур состояние процесса исправления каждого недостатка безопасности.

Процедуры устранения недостатков идентифицируют различные стадии недостатков безопасности. Эта дифференциация, по крайней мере, включает в себя: предполагаемые недостатки безопасности, о которых выпущено сообщение; предполагаемые недостатки безопасности, для которых подтверждено, что они на самом деле являются недостатками безопасности; недостатки безопасности, решение по которым реализовано. Допустимо включение дополнительных стадий (например: недостатки, о которых сообщено, но они еще не были исследованы; недостатки, которые исследуют в настоящее время; недостатки безопасности, для которых решение найдено, но пока не реализовано).

14.3.3.4 Шаг оценивания ALC_FLR.3-4

ИСО/МЭК 15408-3 ALC_FLR.3.3C: Процедуры устранения недостатков должны содержать требование, чтобы действия по исправлению были идентифицированы для каждого недостатка безопасности.

Оценщик должен проверить процедуры устранения недостатков, чтобы сделать заключение, будут ли идентифицированы при применении этих процедур действия по исправлению для каждого недостатка безопасности.

Действия по исправлению могут заключаться как в исправлении аппаратных средств, программно-аппаратных средств или программ, входящих в ОО, так и в модификации руководств ОО или же и том и другом. Действия по исправлению, приводящие к модификации руководств ОО (например, к детализации процедурных мер, которые необходимо предпринять для нейтрализации недостатка безопасности), включают в себя меры, обеспечивающие как одни лишь промежуточные решения (пока коррекция не закончена), так и окончательное решение (для которого определено, что данная процедурная мера является наилучшим решением).

Если источником недостатка безопасности является ошибка в документации, то действие по исправлению сводят к обновлению соответствующего руководства ОО. Если действие по исправлению является процедурной мерой, то данная мера будет включать в себя обновление соответствующего руководства ОО для отражения этих процедур.

14.3.3.5 Шаг оценивания ALC_FLR.3-5

ИСО/МЭК 15408-3 ALC_FLR.3.4C: Документация процедур устранения недостатков должна содержать описание методов, используемых для предоставления пользователям ОО информации о недостатках, материалов исправлений и руководства по внесению исправлений.

Оценщик должен исследовать документацию процедур устранения недостатков, чтобы сделать заключение, содержит ли она описание методов, используемых для предоставления пользователям ОО необходимой информации о каждом недостатке безопасности.

Необходимая информация о каждом недостатке безопасности состоит из его описания (не обязательно такого же подробного, как это предусмотрено на шаге оценивания ALC_FLR.3-2), предписанного действия по исправлению и соответствующего руководства по реализации исправления.

Такая информация, материалы по исправлению и изменения документации для обновлений могут быть предоставлены пользователям ОО любым способом, таким как размещение их на веб-сайте, рассылка пользователям ОО или заключение соглашения по инсталляции исправлений разработчиком. В тех случаях, когда способ предоставления этой информации требует действий, инициируемых пользователем ОО, оценщик исследует руководство ОО, чтобы удостовериться, содержит ли оно инструкции по поиску такой информации.

Наиболее подходящая метрика оценки достаточности метода, используемого для предоставления информации, материалов по исправлению и руководств, — та, которая позволяет надеяться, что пользователи ОО смогут достать или получить их. Для примера рассмотрен метод распространения, при котором необходимые данные размещают на веб-сайте на один месяц, а пользователи ОО осведомлены о том, что это произойдет и когда это произойдет. Он может быть не настолько приемлем или эффективен (как, например, при постоянном размещении на веб-сайте), но все же позволяет пользователю ОО получить необходимую информацию. С другой стороны, если бы информация была размещена на веб-сайте всего лишь на один час, причем пользователи ОО никак не были оповещены об этом и не знали заранее о времени размещения, то получение ими необходимой информации было бы практически невозможно.

Для пользователей ОО, зарегистрированных у разработчика (см. шаг оценивания ALC_FLR.3-12), простого обеспечения доступности этой информации недостаточно. Разработчикам необходимо самим целенаправленно рассылать данную информацию (или уведомление о ее доступности) зарегистрированным пользователям ОО.

14.3.3.6 Шаг оценивания ALC_FLR.3-6

ИСО/МЭК 15408-3 ALC_FLR.3.5C: Процедуры устранения недостатков должны описывать средства, с помощью которых разработчик получает от пользователей ОО сообщения и запросы о предполагаемых недостатках безопасности в ОО.

Оценщик должен исследовать процедуры устранения недостатков, чтобы сделать заключение, описан пи в них порядок получения разработчиком от пользователей ОО сообщений о предполагаемых недостатках безопасности или запросов на исправление таких недостатков.

Процедуры обеспечивают наличие у пользователей ОО способа связи с разработчиком ОО. Располагая таким способом, пользователь может сообщить о недостатках безопасности, узнать о статусе недостатков безопасности или запросить материалы по исправлению недостатков. Этот способ связи может быть в общем случае частью общих услуг связи для сообщения о проблемах, не относящихся к безопасности.

Использование этих процедур не ограничивается пользователями ОО; однако только пользователям ОО данные процедуры должны быть доведены во всех подробностях. Другие лица из числа имеющих доступ к ОО или возможность ознакомиться с ним могут использовать эти же процедуры представления сообщений разработчику для их предполагаемой последующей обработки. Любые способы представления сообщений разработчику, кроме идентифицированных им, выходят за рамки этого шага оценивания, поэтому нет необходимости рассматривать сообщения, созданные другими способами.

14.3.3.7 Шаг оценивания ALC_FLR.3-7

ИСО/МЭК 15408-3 ALC_FLR.3.6C: Процедуры обработки ставших известными недостатков безопасности должны обеспечить, чтобы любые ставшие известными недостатки были исправлены, а для пользователей ОО выпущены исправления.

Оценщик должен исследовать процедуры устранения недостатков, чтобы сделать заключение, помогает ли применение этих процедур обеспечить исправление каждого недостатка, о котором получено сообщение.

Процедуры устранения недостатков распространяются на те недостатки безопасности, которые обнаружены и о которых получено сообщение как от участников разработки, так и от пользователей ОО. Процедуры детализированы в достаточной степени для описания того, как обеспечивается исправление каждого недостатка, о котором получено сообщение. Процедуры содержат обоснованные шаги, которые показывают прогресс в получении окончательного решения.

Процедуры описывают процесс, начиная с момента признания предполагаемого недостатка безопасности реальным до момента принятия решения по нему.

14.3.3.8 Шаг оценивания ALC_FLR.3-8

Оценщик должен исследовать процедуры устранения недостатков, чтобы сделать заключение, помогает ли применение этих процедур обеспечить доведение до пользователей ОО действий по исправлению для каждого недостатка безопасности.

Эти процедуры описывают процесс, выполняемый от момента принятия решения по недостатку безопасности до момента предоставления действия по исправлению. Процедуры для поставки действий по исправлению должны быть согласованы с целями безопасности, они не обязательно идентичны процедурам, используемым для поставки ОО, документированным для удовлетворения ADO_DEL при включении компонента этого семейства в требования доверия. Например, если аппаратная часть ОО была изначально доставлена курьерской связью, то при обновлении аппаратных средств для устранения недостатков по аналогии ожидалось бы их распределение курьерской связью. Обновления, не связанные с устранением недостатков, выполнялись бы согласно процедурам, сформулированным в документации, удовлетворяющей требованиям ADO_DEL «Поставка».

14.3.3.9 Шаг оценивания ALC_FLR.3-9

ИСО/МЭК 15408-3 ALC_FLR.3.7C: Процедуры обработки ставших известными недостатков безопасности должны обеспечить такие защитные меры, чтобы любые исправления этих недостатков не приводили к появлению новых.

Оценщик должен исследовать процедуры устранения недостатков, чтобы сделать заключение, предусматривает ли применение этих процедур такие защитные меры, что предполагаемые исправления не приведут к нежелательным последствиям.

Применяя анализ, тестирование или их сочетание, разработчик может уменьшить вероятность того, что исправление недостатка безопасности повлечет за собой нежелательные последствия. Оценщик определяет, предусматривают ли процедуры во всех деталях, как для данного исправления устанавливается необходимое сочетание анализа и действий по тестированию.

Для случая, когда источником недостатка безопасности является ошибка в документации, оценщик делает также заключение, включают ли в себя процедуры защитные меры по предотвращению противоречий с остальной документацией.

14.3.3.10 Шаг оценивания ALC_FLR.3-10

ИСО/МЭК 15408-3 ALC_FLR.3.8C: Руководство по устранению недостатков должно описывать средства, с помощью которых пользователи ОО могут сообщать разработчикам о любых предполагаемых недостатках безопасности в ОО.

Оценщик должен исследовать руководство по устранению недостатков, чтобы сделать заключение, предоставляет ли применение этого руководства пользователю ОО способ представления сообщений о предполагаемых недостатках или запросов на исправление таких недостатков.

Данное руководство предоставляет пользователям ОО описание способа связи с разработчиком ОО. Располагая таким способом связи, пользователь может сообщить о недостатках безопасности, узнать о статусе недостатков безопасности или запросить материалы по исправлению недостатков.

14.3.3.11 Шаг оценивания ALC_FLR.3-11

ИСО/МЭК 15408-3 ALC_FLR.3.9C: Процедуры устранения недостатков должны включать в себя процедуру своевременного реагирования для автоматического распространения сообщений о недостатках безопасности и материалов по их исправлению зарегистрированным пользователям, для которых эти недостатки могут иметь последствия.

Оценщик должен исследовать процедуры устранения недостатков, чтобы сделать заключение, предусматривает ли применение этих процедур способ своевременного доведения сообщений о недостатках безопасности и материалов по их исправлению зарегистрированным пользователям ОО, для которых эти недостатки могут иметь последствия.

Вопрос своевременности относится к выпуску как сообщений о недостатках безопасности, так и связанных с ними материалов по исправлению. Однако нет необходимости выпускать их одновременно. Считают, что сообщения о недостатках следует формировать и выпускать, как только найдено промежуточное решение, даже если это решение так же радикально, как «Выключить ОО». Аналогично, когда найдено более долговременное (и менее радикальное) решение, его следует издать без лишней задержки.

Нет необходимости в ограничении числа получателей сообщений и исправлений только теми пользователями ОО, для которых данный недостаток безопасности может иметь последствия; допустимо, чтобы до всех пользователей ОО своевременно были доведены такие сообщения и исправления для всех недостатков безопасности.

14.3.3.12 Шаг оценивания ALC_FLR.3-12

Оценщик должен исследовать процедуры устранения недостатков, чтобы сделать заключение, будет ли результатом применения этих процедур автоматическое распространение сообщений о недостатках безопасности и материалов по их исправлению зарегистрированным пользователям, для которых эти недостатки могут иметь последствия.

Автоматическое распространение не подразумевает полного исключения участия человека в распространении. В действительности, метод распространения может состоять полностью из ручных процедур, возможно, с использованием строго контролируемой процедуры, предписывающей усиление мер контроля за выпуском сообщений или материалов по исправлению.

Нет необходимости в ограничении числа получателей сообщений и исправлений только теми пользователями ОО, для которых данный недостаток безопасности может иметь последствия; допустимо, чтобы до всех пользователей ОО автоматически доводились такие сообщения и исправления для всех недостатков безопасности.

14.3.3.13 Шаг оценивания ALC_FLR.3-13

ИСО/МЭК 15408-3 ALC_FLR.3.10C: Руководство по устранению недостатков должно описывать средства, с помощью которых пользователи ОО могут регистрироваться у разработчика, чтобы иметь право получать сообщения о недостатках безопасности и исправления.

Оценщик должен исследовать руководство по устранению недостатков, чтобы сделать заключение, описан ли в нем способ предоставления пользователям ОО возможности регистрации у разработчика.

Предоставление пользователям ОО возможности регистрации у разработчика означает наличие у каждого пользователя ОО возможности предоставить разработчику свои контактные данные; эти контактные данные используют для обеспечения пользователя ОО информацией, связанной как с недостатками безопасности, которые могли бы иметь последствия для этого пользователя ОО, так и с исправлениями недостатков безопасности. Регистрация пользователя ОО может быть осуществлена как часть стандартных процедур, выполняемых пользователями ОО, чтобы идентифицировать себя у разработчика, зарегистрировать лицензию на программное обеспечение или получать обновления и другую полезную информацию.

Нет необходимости в отдельном зарегистрированном пользователе для каждой инсталляции ОО; в организации вполне достаточно иметь одного зарегистрированного пользователя ОО. Например, корпоративный пользователь ОО может иметь централизованную службу комплектования для всех мест его размещения. В этом случае достаточно осуществлять контакт через службу комплектования для всех мест размещения ОО у корпоративного пользователя и, таким образом, обеспечить для каждой пользовательской инсталляции ОО зарегистрированные контактные данные.

В любом случае необходимо иметь возможность ассоциировать каждый поставленный ОО с конкретной организацией, чтобы обеспечить наличие зарегистрированного пользователя для каждого ОО. Для организаций, имеющих несколько различных адресов, это позволит убедиться в отсутствии пользователей, которых ошибочно будут считать охваченными регистрацией.

Следует отметить, что пользователи ОО не обязаны регистрироваться, но такую возможность им необходимо предоставить. Тем не менее, пользователям, выбравшим регистрацию, необходимо прямо посылать информацию (или уведомление о ее доступности).

14.3.3.14 Шаг оценивания ALC_FLR.3-14

ИСО/МЭК 15408-3 ALC_FLR.3.11C: В руководстве по устранению недостатков должна быть идентифицирована контактная информация для всех сообщений и запросов по вопросам безопасности, связанных с ОО.

Оценщик должен исследовать руководство по устранению недостатков, чтобы сделать заключение, идентифицированы ли в нем конкретные контактные данные для всех сообщений и запросов пользователя относительно проблем безопасности, относящихся к ОО.

Руководство включает в себя способ, посредством которого зарегистрированные пользователи ОО могут взаимодействовать с разработчиком, чтобы сообщать ему об обнаруженных недостатках безопасности в ОО или делать запросы относительно обнаруженных недостатков безопасности в ОО.




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |


books on zlibrary