ГОСТРИСО/МЭК ТО 15446— 2008
После формирования начального набора остальные ФТБ выбирают главным образом, для того, чтобы
удовлетворить зависимости. Дополнительные ФТБ могут быть включены, потому что они обеспечивают полезную
{но не существенную) поддержку полномочий и. например, могут включать в себя FIA_AFL.1 (обработка отказов
аутентификации). FPT_RVM.1 (невозможность обхода ПБО) и FPT_SEP.3 (полный монитор обращений).
Далее необходимо выбрать соответствующий уровень аудита (то есть «неопределенный», «минималь ный».
«базовый» или «детализированный»). Этот уровень должен соответствовать целям безопасности для ОО.
Далее необходимо (если требуется) использовать операцию назначения.
D.5.2Требованиядоверия кбезопасности объекта оценки
Выбор требований доверия должен быть относительно простым. Если авторы ПЗ и ЗБ не считают необхо димым
расширение или усиление требований доверия, то выбор последних сводится к выбору соответствующего
оценочного уровня доверия к безопасности. Например, анализируя характер угроз (включая относительно слож
ные атаки) и ценность активов ИТ. можно вьЛрать ОУД4 как наиболее подходящий.
D.5.3Требования безопасности для ИТ-среды
Необязательно, чтобы межсетевой экран обеспечивал все функциональные возможности, необходимые
для удовлетворения целей безопасности для ОО. Например, на операционную систему, под управлением кото
рой работает межсетевой экран, можно возложить хранение журнала аудита межсетевого экрана. Авторы ПЗ
поэтому должны решить, какие функциональные возможности должны выполняться межсетевым экраном, а
какие могут обеспечиваться операционной системой, под управлением которой работает межсетевой экран.
Выбор требований доверия в рассматриваемом случае соответствует выбору требований доверия для ИТ.
например, ОУД4.
D.6 Краткая спецификация объекта оценки
D.6.1 Функции безопасности объекта оценки
При построении функций безопасности ИТ авторы ЗБ могут начинать с ФТБ и получать функции безопасно
сти ИТ из них следующим образом:
a) следует добавить (если необходимо) определенные детали ОО для того, чтобы конкретизировать функ
циональные возможности, особенно для функций межсетевого экрана по управлению доступом (главное назна
чение ОО);
b
) поддерживающие функции (особенно функции управления безопасностью) целесообразно специфици
ровать в краткой форме, но без потери существенных деталей; в некоторых случаях это приводит к комбинации
нескольких функциональных требований в одной функции безопасности.
Пример первых функций безопасности ОО: ОО должен управлять доступом на основе:
- явного IP- адреса или имени хоста источника;
- явного номера порта источника:
- IP- адреса или имени хоста получателя:
- номера порта получателя.
Пример вторых функций безопасности ОО: администратор межсетевого экрана и только он может выпол
нять следующие функции:
- отображать и изменять параметры межсетевого экрана по управлению доступом;
- инициализировать и изменять данные аутентификации пользователей;
- отображать и изменять атрибуты пользователей;
- выбирать события, которые нужно контролировать;
- выделять подмножество контролируемых событий, предположительно отображающих возможное или
предстоящее нарушение безопасности;
- сопоставлять отдельные механизмы аутентификации с определенными событиями аутентификации;
- проверять целостность межсетевого экрана.
Таким образом, можно интегрировать требования нескольких ФТБ в одной функции безопасности ИТ (ФТБ
необходимо определить, используя FMT_MSA.1.1. FMT_MOF.1.1. FMTMTD.1.1 и FPT_TST.1.3).
D.7Утверждения о соответствии профиля защиты
В этом разделе ЗБ для межсетевого экрана следует идентифицировать
в
профили защиты для межсетевых
экранов, на которых основано данное ЗБ. и продемонстрировать согласованность ЗБ с этими ПЗ.
D.8Обоснование профиля защиты
D.8.1 Обоснование целей безопасности
Демонстрация пригодности целей безопасности для того, чтобы противостоять угрозам, гложет быть осуще
ствлена:
a) с использованием таблицы, показывающей, какие цели безопасности каким угрозам соответствуют (на
пример. O.ACCESS (01), которая определяет потребность в политике управления доступом межсетевого экрана,
может соответствовать угрозам, относящимся к нарушителям из враждебной сети, типа IP-спуфинга (подмена IP-
адреса) или атаки на уязвимые сервисы), обеспечивая отображение каждой цели безопасности, по крайней мере,
на одну угрозу;
b
) путем аргументации для каждой угрозы, а именно: почему идентифицированные цели безопасности
являются соответствующими данной угрозе.
88