ГОСТ Р ИСО/МЭК 18045— 2008
3)
Межсетевой экран
ВЧС,
в
ЗБ
которого все угрозы связаны либо с доступом к защищаемой сети из
незащищенной сети, либо с конфиденциальностью трафика в незащищенной сети.
Обьектом оценки является весь межсетевой экран ВЧС целиком. Функции ВЧС являются частью ОО. поэто
му одним из вопросов, которые подлежат решению в ходе проведения оценки, является следующий: допускают ли
функции ВЧС возможность реализации какой-либо из угроз, описанных 8 ЗБ.
А.6.5 Сертификация
Из изложенного выше понятно, что оценивание одного и того же продукта с различными ЗБ приводит
к различным ОО с различными ФБО. Следовательно, сертификаты. ТОО, ЗБ и элементы перечня оцененных
продуктов будут отличаться для таких оценок, чтобы быть полезными потенциальным потребителям.
Для приведенного выше примера трех различных оценок межсетевых экранов видимые различия между
соответствующими сертификатами трудноуловимы, поскольку в сертификатах для всех трех межсетевых экранов
ВЧС объект оценки будет определен следующим образом:
Продукт
—
XYZ
межсетевой
жран в оцененной конфигурации, определенной в задании по безопас
ности UABC
с различными идентификаторами АВС для каждого ЗБ.
Поэтому оценщику необходимо удостовериться в адекватном описании ОО в ЗБ в части функциональных
возможностей, учитываемых при оценке. Четкое разъяснение жизненно важно, потому что предполагаемые
потребители оцененных продуктов будут принимать во внимание ЗБ продуктов, которые они собираются приоб
рести. чтобы определить, какие функциональные возможности безопасности этих продуктов были оценены.
А.7 Угрозы и требования класса FPT
Автор ПЗ’ЗБ идентифицирует угрозы (не различая при этом угрозы, исходящие от злонамеренных пользова
телей, и угрозы, проистекающие из некорректностей в реализации, пригодных для использования через внешний
интерфейс ФБО) и. исходя из этого, определяет, включать или не включать требования семейств FPT_PHP «Физи
ческая защита ФБО». FPT_SEP «Разделение домена» и/или FPT_RVM «Посредничество при обращениях» в
ПЗ.’ЗБ. Эти семейства требований предполагают наличие для ОО угрозы физического воздействия, вмешатель ства
пользователей или обхода функций безопасности:
a) требование защиты ФБО непосредственно связано с описанием среды ОО. Там. где явно или неявно
присутствует угроза воздействия или обхода, меры противодействия угрозе необходимо обеспечивать с помощью
либо ОО. либо его среды;
b
) на угрозу воздействия или обхода обычно указывает присутствие в среде ОО недоверенных субъектов
(обычно людей-пользователей) при наличии у них мотивации атаки на активы, которые ОО предназначен
защищать;
c) при оценивании изложения требований безопасности в ПЗ’ЗБ оценщик определяет потребность в защи
те ФБО для выполнения целей безопасности и там. где такая потребность установлена, проверяет присутствие
функциональных требований для ее удовлетворения. В тех случаях, когда потребность в защите
выявлена, но такая защита не обеспечена ни ОО. ни его средой, выносят отрицательный вердикт по подвиду
деятельности APE/ASE_REQ по оценке ПЗ/ЗБ.
Необходимо иметь некоторую форму защиты ОО. если он может осуществлять свою политику безопасности.
В конечном счете, если ФБО не защищены от искажения, то не имеется никакой гарантии, что функции, осуществ
ляющие его политику, будут выполняться, как ожидается.
Эта защита может быть обеспечена несколькими способами. В операционной системе со многими пользо
вателями. у которых имеется обширный (программный) интерфейс взаимодействия с ОО. ФБО должны быть
способны к собственной защите. Однако если ОО имеет ограниченный интерфейс или ограничения при эксплуа
тации. необходимая защита может быть обеспечена средствами вне ОО.
Автор ПЗ/ЗБ должен выбрать комбинации ФБО. предположений относительно среды ИТ и других предполо
жений. которые обеспечат необходимую собственную защиту ФБО. Оценщик обязан подтвердить, что необходи
мая защита обеспечивается. В зависимости от ОО и сделанных предположений для необходимой защиты могут
быть привлечены функциональные требования безопасности из класса FPT. но при определенных обстоятель
ствах они могут и не понадобиться.
А.7.1 Объекты оценки, для которых необязательны требования класса FPT
Возможно, что к некоторым ОО (типа встроенного ОО без интерфейса пользователя) рассматриваемые
угрозы не относятся. Скорее всего, для ОО. предоставляющего пользователю расширенный интерфейс, будет
несостоятельным ПЗ/ЗБ. который/которов содержит эти угрозы, но не имеет требований из семейств FPT_PHP.
FPT_RVM и FPT_SEP. ОО. для которых, возможно, нет необходимости в требованиях самозащиты из класса FPT. могут
быть разделены на три следующих типа.
А.7.1.1Объект оценки с ограниченным интерфейсом пользователя
ОО. который предоставляет только ограниченный интерфейс (недоверенному) пользователю, уже этим
может установить достаточные ограничения на действия пользователя так. что даже злонамеренный пользова
тель не будет иметь возможности исказить ОО. Например, прибор, подобный калькулятору или устройству аутен
тификации пользователя, может иметь малое число клавишей для ввода информации. Интерфейс недоверенно го
пользователя на коммуникационных устройствах типа маршрутизатора или межсетевого экрана еще более
ограничен: пользователи могут связываться только косвенно, обычно через блоки данных или сообщения
протоколов.
216