ГОСТР ИСО/МЭК ТО 15446— 2008
FPT_PHP.2.1 ФБО должны обеспечить однозначное обнаружение физического воздействия, которое мо
жет угрожать выполнению ФБО. Реализация ФБО должна быть полностью внутри оболочки, позволяющей обна
руживать вмешательства путем сверления, дробления или измельчение содержимого ОО или его покрытия.
FPT_PHP2.2 ФБО должны предоставить возможность определить, произошло ли физическое воздействие
на устройства или элементы, реализующие ФБО.
FPT_PHP2.3 Для устройста’элемвнтов, реализующих ФБО. ФБО должны постоянно контролировать устрой
ства. элементы и оповещать пользователя ОО о том. что произошло физическое воздействие на устройства или
элементы, реализующие ФБО.
FPT_PHP.3 Противодействие физическому нападению
FPT_PHP.3.1 ФБО должны противодействовать следующим сценариям физического воздействия на устрой
ства и элементы, реализующие ФБО, автоматически реагируя так. чтобы предотвратить нарушение ПБО:
a) ОО должен содержаться в пределах крепкого несъемного корпуса. Корпус должен быть спроектирован
таким образом, чтобы попытки удалить его или проникнуть через него приводили с высокой вероятностью к
серьезному повреждению ОО (то есть ОО станет неработоспособным);
b
) если покрытие ОО или корпус содержат какие-нибудь вентиляционные отверстия или щели, то они дол
жны быть маленькими и выполнены таким образом, чтобы предотвратить необнаруженное физическое вмеша
тельство внутрь корпуса;
c) после обнаружения вмешательства все открытые криптографические ключи и другие незащищенные
критические параметры безопасности должны быть немедленно обнулены.
С.5.5.7 Политика управления электромагнитными излучениями
С.5.5.7.1 Руководство
Уровень электромагнитных излучений ОО должен быть ограничен с тем. чтобы предотвратить раскрытие
связанных с криптографией активов ИТ неуполномоченными лицами или пользователями. Кроме того, также
должны быть приняты процедурные и физические меры для предотвращения обнаружения электромагнитных
излучений неуполномоченными лицами или пользователями. Также могут быть заданы требования по физичес кой
защите, касающейся предотвращения побочных электромагнитных излучений (ЭМИу радиочастотных излуче ний от
нежелательных источников, по причине обеспечения их целостности или доступности.
Оценка технических физических аспектов безопасности ИТ. например таких, как управление электромаг
нитными излучениями, не рассматривается в стандартах серии ИСО/МЭК 15408 (см. ИСО/МЭК 15408-1), хотя
многие из этих понятий будут применимы и в этой области. В частности, в стандартах серии ИСО/МЭК 15408
рассматриваются некоторые аспекты физической защиты ОО.
С.5.5.7.2 Представление в соответствии со стандартами серии ИСО/МЭК 15408
Правила политики безопасности организации (см. С.4.3) должны использоваться для определения спосо
бов управления электромагнитными излучениями ОО.
Учитывая то. что требования к оценке электромагнитных излучений исключены из стандартов серии ИСО/
МЭК 15408, должен быть использован механизм предположений безопасности для четкого формулирования
требований к ОО по реализации этой политики безопасности. Предположения должны также использоваться
для спецификации процедурных и физических мер, которые должны быть приняты для предотвращения
обнару жения электромагнитных излучений неуполномоченными лицами или пользователями, или
предотвращения нежелательных излучений ЭМИ или в радиочастотном диапазоне.
С.5.6 Функциональные возможности безопасности объекта оценки
С.5.6.1 Введение
Функциональные возможности безопасности, требуемые для осуществления аспектов политики безопас
ности ОО. рассмотрены в предыдущем разделе. В данном разделе настоящего стандарта рассматриваются ос
тавшиеся функциональных возможности безопасности, которые обычно находятся в пределах ОО, содержащем
криптографические функциональные возможности.
Для обеспечения эффективности и безопасности ОО, содержащего криптографические функциональные
возможности, обычно необходимо рассмотреть два вида требований безопасности:
1) криптографические функциональные требования безопасности;
2) другие некриптографические функциональные требования и требования доверия безопасности, кото
рые поддерживают эти криптографические функциональные возможности и политику безопасности ОО.
Способы выражения политики безопасности ОО на базе стандартов серии ИСО/МЭК 15408 изложены
вС.5.5.
С.5.6.2 Криптографические функциональные возможности
С.5.6.2.1 Руководство
Криптографическими ключами необходимо управлять на протяжении всего их жизненного цикла. Типовые
события в жизненном цикле криптографического ключа включают в себя (но не ограничиваются); генерацию,
распределение, ввод, хранение, доступ (например, резервное копирование, архивирование, восстановление) и
уничтожение.
Как минимум, криптографические ключи должны пройти следующие стадии; генерацию, хранение и уничто жение.
Наличие других стадий зависит от осуществляемой стратегии управления ключами, поскольку ОО не дол-
80