ГОСТ Р ИСО/МЭК 18045—2013
Оценщик делает заключение, демонстрирует ли «Обоснование целей безопасности» для ОО то,
что ФТБ достаточны: если все ФТБ. прослеженные к определенной цели безопасности ОО. выполняют
ся, то цель безопасности для ОО достигнута.
Если в ФТБ. прослеженных к цели безопасности для ОО. есть какие-либо незавершенные опера
ции назначения или незавершенные/иеполныо операции выбора, оценщик делает заключение о том,
что для каждого возможного завершения операции или для комбинации завершений этих операций
цель безопасности достигается.
Оценщик также делает заключение, действительно ли каждое ФТБ. прослеженное к некоторой
цели безопасности для ОО, необходимо и при выполнении оно фактически вносит вклад в достижение
данной цели безопасности.
Следует отметить, что прослеживание от ФТБ к целям безопасности для ОО, представленное
в «Обосновании требований безопасности», может быть частью логического обоснования, но само
по себе оно не является логическим обоснованием.
ИСО/МЭК 15408-3 APE_REQ.2.8C: В «Обосновании требований безопасности» должно приво
диться пояснение того, почему выбраны определенные ТДБ.
8.8.2.3.12 Шаг оценивания APE_REQ.2-12
Оценщикдолжен проверить, что «Обоснование требований безопасности» объясняет, почему вы
браны определенные ТДБ.
Оценщику следует помнить, что любое объяснение правильно, пока оно составлено четко и ясно,
и ни в ТДБ. ни в объяснении нет очевидных несогласованностей с прочими частями ПЗ.
Пример очевидной несогласованности между ТДБ и остальными частями ПЗ — когда имеются ис
точники угроз, обладающие большими возможностями, но ТДБ в семействеAVA_VAN не обеспечивают
защиту от этих источников угроз.
ИСО/МЭК 15408-3 APE_REQ.2.9C: Изложение «Требований безопасности» должно быть вну
тренне непротиворечивым.
8.8.2.3.13 Шаг оценивания APE_REQ.2-13
Оценщик должен исследовать изложение «Требований безопасности», чтобы сделать заключе
ние. что оно внутренне непротиворечиво.
Оценщик делает заключение о том. является ли объединенный набор всех ФТБ и ТДБ внутренне
непротиворечивым.
Оценщик делает заключение о том, что во всех случаях, когда различные требования безопас
ности применяются к одним и тем же типам свидетельств разработчика, событий, операций, данных,
необходимых тестирований и т. д. или ко «всем объектам», «всем субъектам» и т. д„ эти требования не
противоречат друг другу.
Некоторые примеры возможных конфликтов:
a) расширенное ТДБ определяет, что проект некоторого криптографического алгоритма должен
содержаться в секрете, а другое расширенное ТДБ предписывает свободный доступ к просмотру его
исходных кодов;
b
) компонент FAU_GEN.1 «Генерация данных аудита безопасности» определяет, что идентифи
катор субъекта должен регистрироваться в журнале; компонент FDP_ACC.1 «Ограниченное управ
ление доступом» определяет, кто имеет права доступа к этим журналам, а компонент FPR_UNO,1
«Скрытность» определяет, что не рекомендуется, чтобы некоторые действия субъектов были доступны
для просмотра другим субъектам. Если субъект, которому не следует иметь возможность видеть дей
ствия других субъектов, может получить доступ к журналам регистрации данных действий, эти ФТБ
являются конфликтующими:
c) в компоненте FDP_RIP.1 «Ограниченная защита остаточной информации» указывается,
что удаление остаточной информации более не требуется, а в компоненте FDP_ROL.1 «Базовый откат»
определяется, что ОО может быть возвращен к предыдущему состоянию. Если информация, которая
необходима для отката к предыдущему состоянию, была удалена, эти требования являются конфлик
тующими;
d) многократные итерации компонента FDP_ACC.1 «Ограниченное управление доступом» осо
бенно. если некоторые итерации касаются одних и тех же субъектов, объектов или операций. Если одно
ФТБ по управлению доступом позволяет субъекту выполнять операцию над объектом, тогда как другое
ФТБ по управлению доступом не позволяет это. эти требования являются конфликтующими.
29