Структура уровня доверия

В «Общии критерие» включены семь предопределенных на возрастающей шкале доверия к безопасности ОО пакетов, известных как оценочные уровни доверия к безопасности:

· ОУД1 – предусматривающий функциональное тестирование;

· ОУД2 – предусматривающий структурное тестирование;

· ОУД3 – предусматривающий методическое тестирование и проверку;

· ОУД4 – предусматривающий методическое проектирование, тестирование и просмотр;

· ОУД5 – предусматривающий полуформальное проектирование и тестирование;

· ОУД6 – предусматривающий полуформальную верификацию проекта и тестирование;

· ОУД7 – предусматривающий формальную верификацию проекта и тестирование;

Формулирование требований доверия к безопасности ОО в ЗБ следует осуществлять в виде задания одного из ОУД (может быть дополнительно расширенного за счет включения в ОУД других компонентов доверия из части 3 ОК).

Структура уровней доверия:

Рисунок. Структура ОУД

Далее представлен краткий обзор каждого из семи ОУД.

Самым низким оценочным уровнем доверия является ОУД1. Повышение ОУД вплоть до ОУД4 предполагает повышение строгости и детализация представления проектных материалов (но в то же время не предполагает использования узко специализированных методов проектирования безопасности). Оценочные уровни доверия ОУД1-ОУД4 применимы, в основном, по отношению к продуктам и системам ИТ, разрабатывавшимся без учета последующей оценки.

Дальнейшее повышение ОУД (выше ОУД4) предусматривает все более широкое использование специализированных методов проектирования безопасности. Для того чтобы ОО отвечал требованиям уровней доверия выше ОУД4, необходимо учитывать эти требования уже при проектировании и разработке ОО. Возможность выполнения требований самого высокого оценочного уровня доверия ОУД7 в значительной степени ограничена вследствие, с одной стороны, необходимости больших затрат разработчика и оценщика, с другой стороны, того, что даже достаточно простой продукт ИТ является слишком сложным для применения известных в настоящее время методов формального анализа.

ОУД1 применим, когда к уровню уверенности в правильном функционировании ОО предъявляются минимальные требования, а угрозы безопасности не рассматриваются как серьезные. Данный ОУД может быть востребован в тех случаях, когда требуется независимое подтверждение того, что защите персональных данных (или другой подобной информации) было уделено должное внимание.

Этот уровень предусматривает оценку ОО в том виде, в котором ОО доступен потребителю (без необходимости получения от разработчика какой бы то ни было дополнительной информации), включая независимое тестирование ОО на соответствие спецификации и экспертизу представленных руководств (эксплуатационной документации).

ОУД2 содержит требование о сотрудничестве с разработчиком для получения информации о проекте и результатах тестирования. При выполнении данного требования от разработчика не требуется усилий больших, чем это соответствует обычной коммерческой практике, что, следовательно, не приводит к существенному увеличению стоимости или затрат времени (по сравнению с выполнением требований ОУД1).

Оценочный уровень доверия ОУД2 применим в тех случаях, когда разработчикам или пользователям требуется невысокий (до умеренного) независимо подтверждаемый уровень доверия к безопасности ОО при отсутствии доступа к полной документации по разработке. Такая ситуация может возникнуть при обеспечении безопасности разработанных ранее (наследуемых) систем или при ограниченной доступности разработчика.

ОУД3 дает возможность добросовестному разработчику добиться повышения доверия к безопасности ОО путем надлежащего проектирования безопасности без значительного изменения существующей практики разработки. Он применим в тех случаях, когда разработчикам или пользователям требуется независимо подтверждаемый умеренный уровень доверия на основе всестороннего исследования ОО и процесса его разработки без существенных затрат на изменение технологии проектирования.

Оценка на соответствие ОУД3 предусматривает анализ на основе тестирования «серого ящика», независимого выборочного подтверждения результатов тестирования, выполненного разработчиком, и свидетельства поиска разработчиком явных уязвимостей. Также требуются контроль среды разработки и управление конфигурацией ОО.

ОУД4 дает возможность разработчику добиться повышения доверия к безопасности ОО путем надлежащего проектирования безопасности, основанного на хорошей коммерческой практике разработки, которая при всей своей строгости не требует глубоких специальных знаний, навыков и других ресурсов. ОУД4 – самый высокий уровень, на который, вероятно, экономически целесообразно ориентироваться для существующих типов продуктов. Он применим в тех случаях, когда разработчикам или пользователям требуется умеренный (до высокого) независимо подтверждаемый уровень доверия к безопасности ОО общего назначения и имеется готовность нести дополнительные, связанные с обеспечением безопасности, производственные затраты.

Оценка на соответствие ОУД4 предусматривает анализ ОО с использованием проекта нижнего уровня модулей ОО, а также подмножества реализации. Тестирование поддерживается независимым анализом явных уязвимостей. При управлении разработкой применяются модель жизненного цикла, идентификация инструментальных средств и автоматизированное управление конфигурацией.

ОУД5 дает возможность разработчику добиться повышения доверия к безопасности ОО путем проектирования безопасности, основанного на строгой коммерческой практике разработки, поддержанной умеренным применением узко специализированных методов проектирования безопасности. При проектировании и разработке такого ОО, по-видимому, уже заранее должна учитываться необходимость соответствия ОУД5. Дополнительные затраты, связанные с выполнением требований ОУД5 относительно строгости разработки, вероятно, не будут большими (если не учитывать применение узко специализированных методов). ОУД5 применим в тех случаях, когда разработчикам или пользователям требуется независимо подтверждаемый высокий уровень доверия к безопасности планируемого к разработке ОО и строгий подход к самой разработке. При этом преследуется цель минимизации дополнительных затрат, связанных с применением специализированных методов проектирования безопасности.

Оценка на соответствие ОУД5 предусматривает анализ, который охватывает всю реализацию ОО. Доверие к безопасности обеспечивается применением формальной модели, полуформального представления функциональной спецификации, проекта верхнего уровня, а также полуформального показа соответствия между ними. Поиск уязвимостей должен обеспечить уверенность в стойкости к атакам нарушителей с умеренным потенциалом нападения. Необходимо проведение анализа тайных каналов, а также модульное построение ОО.

ОУД6 дает возможность разработчику добиться повышения доверия к безопасности ОО путем применения узко специализированных методов проектирования безопасности в строго контролируемой среде разработки при производстве высококачественных продуктов ИТ для защиты высоко оцениваемых активов от значительных рисков. Поэтому ОУД6 применим при разработке защищенных ОО для применения в ситуациях высокого риска, где ценность защищаемых активов оправдывает дополнительные затраты на разработку и оценку ОО.

Оценка на соответствие ОУД6 предусматривает анализ, поддерживаемый модульным и иерархическим (по уровням детализации) подходом к проектированию, а также структурированным представлением реализации ОО. Независимый анализ уязвимостей должен обеспечить уверенность в стойкости к атакам нарушителей с высоким потенциалом нападения. Поиск тайных каналов должен быть систематическим. Привлекаются более мощные (по сравнению с более низкими ОУД) средства управления средой разработки и конфигурацией ОО.

ОУД7 применим при разработке безопасных ОО, предназначенных для применения в ситуациях чрезвычайно высокого риска, и/или в тех случаях, когда высокая ценность активов оправдывает более высокие затраты на разработку и оценку ОО. Практическое применение ОУД7 в настоящее время ограничено ОО, которые предназначены преимущественно для реализации функций безопасности и поддаются подробному формальному анализу.

Для оценки ОУД7 формальная модель дополняется формальным представлением функциональной спецификации, проекта верхнего уровня и соответствия между ними. Требуются также свидетельство тестирования разработчиком «белого ящика» и полное независимое подтверждение всех результатов тестов, выполненных разработчиком. При этом сложность проекта должна быть минимизирована.