WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 | 2 || 4 |

«ФСТЭК РОССИИ РУКОВОДЯЩИЙ ДОКУМЕНТ БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Общая методология оценки безопасности информационных технологий Введен в действие приказом ФСТЭК России от г. № 2005 ...»

-- [ Страница 3 ] --

следует оценить каждый подход по существу. Например, такие подходы к проектированию, как спиральный, быстрого макетирования или каскадный, могут быть использованы для создания качественного ОО, если они применяются в контролируемой среде.

ALC_LCD.2.3C ALC_LCD.2-3 Оценщик должен исследовать документацию определения жизненного цикла, чтобы сделать заключение, содержит ли она объяснение, почему выбрана именно эта модель.

577 Оценщику следует исследовать документацию определения жизненного цикла, чтобы сделать заключение, представлены ли в ней основания для принятия выбранной модели жизненного цикла. Такие основания могут включать, например, соответствие политике организации или же отражать предполагаемые преимущества использования конкретной модели жизненного цикла.

ALC_LCD.2.4C ALC_LCD.2-4 Оценщик должен исследовать документацию определения жизненного цикла, чтобы сделать заключение, содержит ли она объяснение, как применяется стандартизованная модель при разработке и сопровождении данного ОО.

578 В то время как требования в ALC_LCD.1 ограничены описанием используемой модели жизненного цикла, элемент ALC_LCD.2.4C из ОК содержит требование, чтобы разработчик объяснил, как применяется модель к оцениваемому ОО. Необходимо, чтобы это объяснение охватило любую адаптацию стандартизованной модели для удовлетворения требований конкретного ОО или организационных требований.

ALC_LCD.2.5C ALC_LCD.2-5 Оценщик должен исследовать документацию определения жизненного цикла, чтобы сделать заключение, демонстрирует ли она соответствие используемой модели жизненного цикла стандартизованной модели.

579 В документации определения жизненного цикла должны быть соотнесены аспекты стандартизованной модели и конкретных процедур разработки и сопровождения для данного ОО так, чтобы соответствие стандартизованной модели могло быть легко подтверждено оценщиком. Свидетельство соответствия может, например, содержать отображение детальных шагов и ролей, определенных для организации, из стандартизованной модели в отдельных процедурах разработки и ролях или персонале из среды разработки.

580 По завершении шага оценивания ALC_LCD.2-4 и данного шага оценивания, оценщик должен получить ясное понимание того, как применяется стандартизованная модель, и что она применяется корректно.

7.6 Оценка инструментальных средств и методов 7.6.1 Подвид деятельности ALC_TAT. 7.6.1.1 Цели 581 Цель данного подвида деятельности – сделать заключение, использовал ли разработчик для разработки, анализа и реализации ОО полностью определенные инструментальные средства, которые дают непротиворечивые и предсказуемые результаты.

7.6.1.2 Исходные данные 582 Свидетельством оценки для этого подвида деятельности является документация инструментальных средств.

7.6.1.3 Замечания по применению 583 Эта работа может выполняться в сочетании с видом деятельности ADV при условии применения соответствующих требований доверия, в особенности в отношении определения того, какие свойства инструментальных средств окажут влияние на предоставленное представление.

7.6.1.4 Действия оценщика 584 Этот подвид деятельности включает один элемент действий оценщика из части 3 ОК:

а) ALC_TAT.1.1E.

7.6.1.4.1 Действие ALC_TAT.1.1E ALC_TAT.1.1C ALC_TAT.1-1 Оценщик должен исследовать документацию инструментальных средств, чтобы сделать заключение, все ли инструментальные средства, используемые для разработки, анализа и реализации ОО, полностью определены.

585 Это требование относится ко всем используемым инструментальным средствам. В их число включены инструментальные средства для разработки проекта верхнего уровня, проекта нижнего уровня и представления реализации.

586 Например, полностью определенными могут считаться те языки, компиляторы или САПР, которые соответствуют общепризнанным стандартам, таким как стандарты ИСО.

Полностью определенным языком является тот, для которого имеется четкое и полное описание его синтаксиса и детальное описание семантики каждой из его конструкций.

ALC_TAT.1.2C ALC_TAT.1-2 Оценщик должен исследовать документацию инструментальных средств, чтобы сделать заключение, однозначно ли определены в ней значения всех конструкций, используемых в представлении реализации.

587 В документации инструментальных средств разработки (например, в спецификациях языка программирования и в руководствах пользователя) должны быть охвачены все конструкции, используемые в представлении реализации ОО, и для каждой такой конструкции должно быть предоставлено четкое и однозначное определение предназначения и результата выполнения этой конструкции. Эта работа может быть выполнена в сочетании с исследованием оценщиком представления реализации, выполняемого в рамках подвида деятельности ADV_IMP.1 (при условии заявления соответствующих требований доверия). Главные усилия оценщика следует направить на выяснение того, действительно ли документация достаточно ясна для понимания представления реализации. Например, документация не должна предполагать, что читатель является экспертом по используемому языку программирования.

588 В большинстве широко используемых языков программирования, хотя и тщательно спроектированных, не исключено наличие некоторых проблемных конструкций. Если язык реализаций определен "почти" полностью, но при этом в нем все же имеются некоторые проблемные конструкции, то не следует делать определенного заключения до проведения исследования исходного текста.

ALC_TAT.1.3C ALC_TAT.1-3 Оценщик должен исследовать документацию инструментальных средств, чтобы сделать заключение, однозначно ли определены в ней значения всех опций, обусловленных реализацией.

589 В документацию инструментальных средств разработки программного обеспечения должны быть включены определения опций, обусловленных реализацией, которые могут повлиять на выполняемый код, и тех, которые отличаются от стандарта используемого языка. В случаях, когда оценщику предоставляется исходный текст, ему также должна быть предоставлена информация по используемым опциям компиляции и сборки.

590 В документации инструментальных средств проектирования и разработки аппаратных средств должно быть описано использование всех опций, которые влияют на результаты применения инструментальных средств (например, детальные аппаратные спецификации или сами аппаратные средства).

ALC_TAT.1-4 Оценщик должен исследовать документацию инструментальных средств, чтобы сделать заключение, поддерживают ли инструментальные средства разработки корректную реализацию ОО.

591 На этом шаге оценивания от оценщика не требуется проведения непосредственного исследования самого инструментального средства. Оценщик может провести анализ представления реализации в сочетании с подвидом деятельности ADV_IMP.*. При анализе правильности представления реализации этот шаг оценивания может быть выполнен в сочетании с видом деятельности ATE.

7.6.2 Подвид деятельности ALC_TAT. 7.6.2.1 Цели 592 Цель данного подвида деятельности – сделать заключение, использовал ли разработчик для разработки, анализа и реализации ОО полностью определенные инструментальные средства, которые дают непротиворечивые и предсказуемые результаты, и использовались ли стандарты реализации.

7.6.2.2 Исходные данные 593 Свидетельством оценки для этого подвида деятельности являются:

а) документация инструментальных средств;

б) описание стандартов реализации;

в) предоставленное представление реализации ФБО.

7.6.2.3 Замечания по применению 594 Эта работа может выполняться в сочетании с видом деятельности ADV при условии применения соответствующих требований доверия, в особенности в отношении определения того, какие свойства инструментальных средств окажут влияние на предоставленное представление.

7.6.2.4 Действия оценщика 595 Этот подвид деятельности включает два элемента действий оценщика из части 3 ОК:

а) ALC_TAT.2.1E;

б) ALC_TAT.2.2E.

7.6.2.4.1 Действие ALC_TAT.2.1E ALC_TAT.2.1C ALC_TAT.2-1 Оценщик должен исследовать документацию инструментальных средств, чтобы сделать заключение, все ли инструментальные средства, используемые для разработки, анализа и реализации ОО, полностью определены.

596 Это требование относится ко всем используемым инструментальным средствам. В их число включены инструментальные средства для разработки проекта верхнего уровня, проекта нижнего уровня и представления реализации.

597 Например, полностью определенными могут считаться те языки, компиляторы или САПР, которые соответствуют общепризнанным стандартам, таким как стандарты ИСО.

Полностью определенным языком является тот, для которого имеется четкое и полное описание его синтаксиса и детальное описание семантики каждой из его конструкций.

ALC_TAT.2.2C ALC_TAT.2-2 Оценщик должен исследовать документацию инструментальных средств, чтобы сделать заключение, однозначно ли определены в ней значения всех конструкций, используемых в представлении реализации.

598 В документации инструментальных средств разработки (например, в спецификациях языка программирования и в руководствах пользователя) должны быть охвачены все конструкции, используемые в представлении реализации ОО, и для каждой такой конструкции должно быть предоставлено четкое и однозначное определение предназначения и результата выполнения этой конструкции. Эта работа может быть выполнена в сочетании с исследованием оценщиком представления реализации, выполняемого в рамках подвида деятельности ADV_IMP.1 (при условии заявления соответствующих требований доверия). Главные усилия оценщика следует направить на выяснение того, действительно ли документация достаточно ясна для понимания представления реализации. Например, документация не должна предполагать, что читатель является экспертом по используемому языку программирования.

599 В большинстве широко используемых языков программирования, хотя и тщательно спроектированных, не исключено наличие некоторых проблемных конструкций. Если язык реализаций определен "почти" полностью, но при этом в нем все же имеются некоторые проблемные конструкции, то до проведения исследования исходного текста следует сделать лишь предварительное заключение.

ALC_TAT.2.3C ALC_TAT.2-3 Оценщик должен исследовать документацию инструментальных средств, чтобы сделать заключение, однозначно ли определены в ней значения всех опций, обусловленных реализацией.

600 В документацию инструментальных средств разработки программного обеспечения должны быть включены определения опций, обусловленных реализацией, которые могут повлиять на выполняемый код, и тех, которые отличаются от стандарта используемого языка. В случаях, когда оценщику предоставляется исходный текст, ему также должна быть предоставлена информация по используемым опциям компиляции и сборки.

601 В документации инструментальных средств проектирования и разработки аппаратных средств должно быть описано использование всех опций, которые влияют на результаты применения инструментальных средств (например, детальные аппаратные спецификации или сами аппаратные средства).

ALC_TAT.2-4 Оценщик должен исследовать документацию инструментальных средств, чтобы сделать заключение, поддерживают ли инструментальные средства разработки и стандарты реализации корректную реализацию ОО.

602 На этом шаге оценивания от оценщика не требуется проведения непосредственного исследования самого инструментального средства. Оценщик может провести анализ представления реализации в сочетании с подвидом деятельности ADV_IMP.*. При анализе правильности представления реализации этот шаг оценивания может быть выполнен в сочетании с видом деятельности ATE.

7.6.2.4.2 Действие ALC_TAT.2.2E ALC_TAT.2-5 Оценщик должен исследовать предоставленное представление реализации, чтобы сделать заключение, применялись ли стандарты реализации.

603 Оценщик сравнивает предоставленное представление реализации с описанием применявшихся стандартов реализации и верифицирует их использование. На этом уровне не требуется, чтобы предоставленное представление реализации всех ФБО базировалось на стандартах реализации. Требуется всего лишь, чтобы те стандарты реализации, на которые ссылался разработчик, действительно применялись. Если упомянутые стандарты реализации не применялись, по меньшей мере, к части предоставленного представления реализации, то по этому шагу оценивания делается отрицательное заключение.

604 Этот шаг оценивания может быть выполнен в сочетании с подвидами деятельности ADV_IMP.*.

7.6.3 Подвид деятельности ALC_TAT. 7.6.3.1 Цели 605 Цель данного подвида деятельности – сделать заключение, использовал ли разработчик для разработки, анализа и реализации ОО полностью определенные инструментальные средства, которые дают непротиворечивые и предсказуемые результаты, и применялись ли стандарты реализации ко всем ФБО.

7.6.3.2 Исходные данные 606 Свидетельством оценки для этого подвида деятельности являются:

а) документация инструментальных средств;

б) описание стандартов реализации;

в) предоставленное представление реализации ФБО.

7.6.3.3 Замечания по применению 607 Эта работа может выполняться в сочетании с видом деятельности ADV при условии применения соответствующих требований доверия, в особенности в отношении определения того, какие свойства инструментальных средств окажут влияние на предоставленное представление.

7.6.3.4 Действия оценщика 608 Этот подвид деятельности включает три элемента действий оценщика из части 3 ОК:

а) ALC_TAT.3.1E;

б) ALC_TAT.3.2E;

в) Подразумеваемое действие оценщика, основанное на ALC_TAT.3.3Д.

7.6.3.4.1 Действие ALC_TAT.3.1E ALC_TAT.3.1C ALC_TAT.3-1 Оценщик должен исследовать документацию инструментальных средств, чтобы сделать заключение, все ли инструментальные средства, используемые для разработки, анализа и реализации ОО, полностью определены.

609 Это требование относится ко всем используемым инструментальным средствам. В их число включены инструментальные средства для разработки проекта верхнего уровня, проекта нижнего уровня и представления реализации.

610 Например, полностью определенными могут считаться те языки, компиляторы или САПР, которые соответствуют общепризнанным стандартам, таким как стандарты ИСО.

Полностью определенным языком является тот, для которого имеется четкое и полное описание его синтаксиса и детальное описание семантики каждой из его конструкций.

ALC_TAT.3.2C ALC_TAT.3-2 Оценщик должен исследовать документацию инструментальных средств, чтобы сделать заключение, однозначно ли определены в ней значения всех конструкций, используемых в представлении реализации.

611 В документации инструментальных средств разработки (например, в спецификациях языка программирования и в руководствах пользователя) должны быть охвачены все конструкции, используемые в представлении реализации ОО, и для каждой такой конструкции должно быть предоставлено четкое и однозначное определение предназначения и результата выполнения этой конструкции. Эта работа может быть выполнена в сочетании с исследованием оценщиком представления реализации, выполняемого в рамках подвида деятельности ADV_IMP.1 (при условии заявления соответствующих требований доверия). Главные усилия оценщика следует направить на выяснение того, действительно ли документация достаточно ясна для понимания представления реализации. Например, документация не должна предполагать, что читатель является экспертом по используемому языку программирования.

612 В большинстве широко используемых языков программирования, хотя и тщательно спроектированных, не исключено наличие некоторых проблемных конструкций. Если язык реализаций определен "почти" полностью, но при этом в нем все же имеются некоторые проблемные конструкции, то до проведения исследования исходного текста следует сделать лишь предварительное заключение.

ALC_TAT.3.3C ALC_TAT.3-3 Оценщик должен исследовать документацию инструментальных средств, чтобы сделать заключение, однозначно ли определены в ней значения всех опций, обусловленных реализацией.

613 В документацию инструментальных средств разработки программного обеспечения должны быть включены определения опций, обусловленных реализацией, которые могут повлиять на выполняемый код, и тех, которые отличаются от стандарта используемого языка. В случаях, когда оценщику предоставляется исходный текст, ему также должна быть предоставлена информация по используемым опциям компиляции и сборки.

614 В документации инструментальных средств проектирования и разработки аппаратных средств должно быть описано использование всех опций, которые влияют на результаты применения инструментальных средств (например, детальные аппаратные спецификации или сами аппаратные средства).

ALC_TAT.3-4 Оценщик должен исследовать документацию инструментальных средств, чтобы сделать заключение, поддерживают ли инструментальные средства разработки и стандарты реализации корректную реализацию ОО.

615 На этом шаге оценивания от оценщика не требуется проведения непосредственного исследования самого инструментального средства. Оценщик может провести анализ представления реализации в сочетании с подвидом деятельности ADV_IMP.*. При анализе правильности представления реализации этот шаг оценивания может быть выполнен в сочетании с видом деятельности ATE.

7.6.3.4.2 Действие ALC_TAT.3.2E ALC_TAT.3-5 Оценщик должен исследовать предоставленное представление реализации, чтобы сделать заключение, применялись ли стандарты реализации.

616 Оценщик сравнивает предоставленное представление реализации с описанием применявшихся стандартов реализации и верифицирует их использование. На этом уровне не требуется, чтобы предоставленное представление реализации всех ФБО базировалось на стандартах реализации. Требуется всего лишь, чтобы те стандарты реализации, на которые ссылался разработчик, действительно применялись. Если упомянутые стандарты реализации не применялись, по меньшей мере, к части предоставленного представления реализации, то по этому шагу оценивания делается отрицательное заключение.

617 Этот шаг оценивания может быть выполнен в сочетании с подвидами деятельности ADV_IMP.*.

7.6.3.4.3 Подразумеваемое действие оценщика 7.6.3.4.4 ALC_TAT.3.3Д ALC_TAT.3-6 Оценщик должен исследовать представление реализации, чтобы сделать заключение, применялись ли стандарты реализации к полной совокупности ФБО.

618 Оценщик сравнивает представление реализации с описанием применявшихся стандартов реализации и верифицирует их использование. На этом уровне требуется, чтобы полное представление реализации ФБО базировалось на тех стандартах реализации, на которые сослался разработчик.

619 Оценщику следует удостовериться, что конструкции, запрещенные указанными стандартами, не используются. Любые отклонения от стандартов приводят к отрицательному заключению по этому шагу оценивания.

620 Этот шаг оценивания может быть выполнен в сочетании с подвидами деятельности ADV_IMP.*.

8 Вид деятельности ATE 8.1 Введение 621 Вид деятельности «Тестирование» позволяет сделать заключение, функционирует ли ОО в соответствии с тем, как определено в проектной документации, и в соответствии с функциональными требованиями безопасности ОО, определенными в ЗБ.

8.2 Цели 622 Вид деятельности «Тестирование» предназначен для того, чтобы сделать заключение, функционирует ли ОО в соответствии с тем, как определено в проектной документации и в соответствии с функциональными требованиями безопасности ОО, определенными в ЗБ.

Данная цель достигается путем вынесения заключения о проведении разработчиком тестирования ФБО на их соответствие функциональной спецификации, проекту верхнего уровня и проекту нижнего уровня, повышая уверенность в результатах тестирования путем выборочного выполнения тестов разработчика, а также путем проведения независимого тестирования некоторого подмножества ФБО.

8.2.1 Замечания по применению 623 Объем и состав подмножества тестов оценщика зависят от нескольких факторов, рассматриваемых в подвидах деятельности, связанных с независимым тестированием.

Один из таких факторов, оказывающих влияние на состав подмножества тестов, – это известные из общедоступных источников слабые места, к информации о которых оценщику необходимо получить доступ (например, в рамках системы сертификации).

624 Для повышения гибкости применения компонентов семейств в ОК вопросы покрытия тестами и глубины тестирования рассмотрены отдельно от функциональных тестов. Тем не менее, требования соответствующих семейств предназначены для совместного применения в целях подтверждения, что ФБО выполняются согласно их спецификации. Такая тесная связь семейств привела к некоторому дублированию работы оценщика по подвидам деятельности. Настоящие замечания по применению используются для минимизации повторения текста при описании подвидов деятельности одного и того же вида деятельности.

8.2.1.1 Понимание ожидаемого режима функционирования ОО 625 Прежде, чем адекватность тестовой документации может быть надлежащим образом оценена, и прежде, чем могут быть созданы новые тесты, оценщику необходимо понять желательный ожидаемый режим выполнения функций безопасности в контексте требований, которым они должны удовлетворять.

626 В какой то момент времени оценщик может сосредоточиться на одной функции ФБО. Для каждой функции безопасности оценщик исследует конкретное требование ЗБ и соответствующие части функциональной спецификации, проекта верхнего уровня и руководств для понимания ожидаемого режима функционирования ОО.

627 Понимая ожидаемый режим функционирования ОО, оценщик исследует план тестирования, чтобы понять подход к тестированию. В большинстве случаев подход к тестированию будет предусматривать инициирование выполнения некоторой функции безопасности через внешние или внутренние интерфейсы и наблюдение ее реакции. Тем не менее, могут быть случаи, когда функция безопасности не может быть адекватно протестирована через интерфейс (как, например, в случае с тестированием функциональных возможностей защиты остаточной информации);

в подобных случаях необходимо использовать другой способ.

8.2.1.2 Альтернативные тестированию подходы к верификации ожидаемого режима выполнения функции безопасности 628 В тех случаях, когда практически нецелесообразно или несоразмерно осуществлять тестирование через интерфейс, в плане тестирования должен быть определен альтернативный подход к верификации ожидаемого режима выполнения. Сделать заключение о пригодности альтернативного подхода – обязанность оценщика. Оценивая пригодность альтернативных подходов, следует учесть, что:

a) приемлемым альтернативным подходом является анализ представления реализации, для заключения, что требуемый режим функционирования будет демонстрироваться ОО. Это может означать экспертизу кода для программного ОО или возможно экспертизу фотошаблона (маски) микросхем для аппаратного ОО.

б) приемлемым является использование свидетельства помодульного или интегрированного тестирования разработчиком, даже если это не соизмеримо с представленными на оценку проектом нижнего уровня или реализацией. Если при верификации ожидаемого режима выполнения функции безопасности используется свидетельство помодульного или интегрированного тестирования разработчиком, следует внимательно отнестись к подтверждению того, что данное свидетельство тестирования отражает текущую реализацию ОО. Если конкретная подсистема или модули подверглись изменению после проведения тестирования, то обычно потребуется свидетельство, что изменения были отслежены и учтены в ходе анализа или проведения последующего тестирования.

629 Следует подчеркнуть, что дополнительные по отношению к тестированию усилия с использованием альтернативных подходов следует предпринять только тогда, когда и разработчик, и оценщик сделают заключение, что не существует других практичных способов проведения тестирование ожидаемого режима выполнения некоторой функции безопасности. Такая альтернатива дает возможность разработчику минимизировать затраты (времени и/или денег) на тестирование при описанных выше обстоятельствах;

она не предназначена для того, чтобы дать оценщику большую свободу требовать произвольную дополнительную информацию относительно ОО, а также для того, чтобы вообще заменить тестирование.

8.2.1.3 Верификация адекватности тестов 630 Для тестов необходимо заранее установить требуемые начальные условия их выполнения.

Они могут быть определены через параметры, которые должны быть установлены, или через упорядочение тестов в тех случаях, когда завершение одного теста устанавливает необходимые предварительные условия выполнения другого теста. Оценщик должен сделать заключение о полноте предварительных условий выполнения тестов и их приемлемости, с точки зрения того, что они не приведут к смещению наблюдаемых результатов тестирования по отношению ожидаемым результатам тестирования.

631 Шаги тестирования и ожидаемые результаты тестирования определяют действия и параметры, относящиеся к интерфейсам, а также способ верификации ожидаемых результатов, и что они из себя представляют. Оценщик должен сделать заключение о согласованности шагов тестирования и ожидаемых результатов тестирования с функциональной спецификацией и проектом верхнего уровня. Тесты должны верифицировать задокументированный в этих спецификациях режим выполнения. Это означает, что для каждой характеристики режима выполнения функции безопасности, явным образом описанной в функциональной спецификации и проекте верхнего уровня, следует иметь тесты и описание ожидаемых результатов тестирования, чтобы верифицировать данный режим выполнения.

632 Несмотря на то, что все ФБО должны тестироваться разработчиком, исчерпывающее тестирование интерфейсов спецификации не требуется. Основная цель данного вида деятельности состоит в том, чтобы сделать заключение о достаточности тестирования каждой функции безопасности на соответствие заявленным в функциональной спецификации и проекте верхнего уровня режимам выполнения. Процедуры тестирования должны обеспечить понимание того, каким образом разработчиком в ходе тестирования опробовались функции безопасности. Оценщик будет использовать данную информацию при разработке дополнительных тестов для независимого тестирования ОО.

8.3 Оценка покрытия 8.3.1 Подвид деятельности ATE_COV. 8.3.1.1 Цели 633 Цель данного подвида деятельности – сделать заключение, показывает ли свидетельство разработчика о покрытии тестами разработчика соответствие между тестами, идентифицированными в тестовой документации, и функциональной спецификацией.

8.3.1.2 Замечания по применению 634 Материалы анализа покрытия тестами, представляемые разработчиком, требуются для того, чтобы показать соответствие между тестами, предоставленными в качестве свидетельства оценки, и функциональной спецификацией. Однако нет необходимости в том, чтобы в материалах анализа покрытия демонстрировалось, что все функции безопасности были подвергнуты тестированию, или, что все внешние интерфейсы ФБО были подвергнуты тестированию. Подобные недостатки, если они имеют место, рассматриваются оценщиком в процессе выполнения подвида деятельности по независимому тестированию.

8.3.1.3 Исходные данные 635 Свидетельствами оценки для данного подвида деятельности являются:

а) функциональная спецификация;

б) тестовая документация;

в) свидетельство о покрытии тестами.

8.3.1.4 Действия оценщика 636 Этот подвид деятельности включает один элемент действий оценщика из части 3 ОК:

а) ATE_COV.1.1E.

8.3.1.4.1 Действие ATE_COV.1.1E ATE_COV.1.1C ATE_COV.1-1 Оценщик должен исследовать свидетельство о покрытии тестами, чтобы сделать заключение, является ли точным соответствие между тестами, идентифицированными в тестовой документации, и функциональной спецификацией.

637 Соответствие может принимать форму таблицы или матрицы. Свидетельство о покрытии тестами, требуемое для рассматриваемого компонента, скорее должно показать степень покрытия тестами, а не его полноту. В тех случаях, когда показана недостаточность покрытия, оценщику, чтобы это компенсировать, следует повысить уровень независимого тестирования.

638 На рисунке 8.1 отражена концептуальная структура соответствия между функциями безопасности, описанными в функциональной спецификации, и тестами, выделенными в тестовой документации для тестирования этих функций. Тесты могут затрагивать одну или несколько функций безопасности, что может быть обусловлено зависимостями тестов или общей целью выполняемого теста.

639 Идентификация тестов и функций безопасности, представленных в свидетельстве о покрытии тестами, должна быть однозначной, обеспечивая четкое соответствие между идентифицированными тестами и функциональной спецификацией тестируемых функций безопасности.

Рисунок 8.1 – Концептуальная структура свидетельства покрытия тестами 642 На рисунке 8.1 функция безопасности ФБ-3 не сопоставлена с какими бы то ни было тестами;

следовательно, относительно функциональной спецификации покрытие тестами является неполным. Неполное покрытие, тем не менее, не будет влиять на заключение по рассматриваемому подвиду деятельности, поскольку свидетельство о покрытии тестами не обязательно должно показывать полное покрытие тестами идентифицированных в функциональной спецификации функций безопасности.

8.3.2 Подвид деятельности ATE_COV. 8.3.2.1 Цели 643 Цель данного подвида деятельности – сделать заключение, является ли тестирование (как это документально зафиксировано) достаточным, чтобы установить, что ФБО были систематическим методом протестированы на соответствие функциональной спецификации.

8.3.2.2 Исходные данные a) ЗБ;

б) функциональная спецификация;

в) тестовая документация;

г) материалы анализа покрытия тестами.

8.3.2.3 Действия оценщика 644 Этот подвид деятельности включает один элемент действий оценщика из части 3 ОК:

а) ATE_COV.2.1E.

8.3.2.3.1 Действие ATE_COV.2.1E ATE_COV.2.1C ATE_COV.2-1 Оценщик должен исследовать материалы анализа покрытия тестами, чтобы сделать заключение, является ли точным соответствие между тестами, идентифицированными в тестовой документации, и функциональной спецификацией.

645 Соответствие может принимать форму таблицы или матрицы. В некоторых случаях, чтобы показать соответствие тестов может оказаться достаточным наличие такого отображения. В других случаях может потребоваться некоторое обоснование (на естественном языке) для того, чтобы дополнить материалы анализа соответствия, представленные разработчиком.

646 На рисунке 8.2 отражена концептуальная структура соответствия между функциями безопасности, описанными в функциональной спецификации, и тестами, выделенными в тестовой документации для тестирования этих функций. Тесты могут затрагивать одну или несколько функций безопасности, что может быть обусловлено зависимостями тестов или общей целью выполняемого теста.

647 Идентификация тестов и функций безопасности, представленных в материалах анализа покрытия тестами, должна быть однозначной. Материалы анализа покрытия тестами должны позволить оценщику сопоставить идентифицированные тесты с тестовой документацией, а тестируемые функции безопасности – с функциональной спецификацией.

ATE_COV.2-2 Оценщик должен исследовать план тестирования, чтобы сделать заключение, является ли подход к тестированию каждой функции безопасности ФБО пригодным для демонстрации ожидаемого режима ее выполнения.

648 Руководство по выполнению этого шага оценивания можно найти в следующих Замечаниях по применению:

a) Понимание ожидаемого режима функционирования ОО (п. 8.2.1.1);

б) Альтернативные тестированию подходы к верификации ожидаемого режима выполнения функции безопасности (п. 8.2.1.2).

ATE_COV.2-3 Оценщик должен исследовать процедуры тестирования, чтобы сделать заключение, адекватно ли описание предварительных условий тестирования, шагов тестирования и ожидаемого результата (ожидаемых результатов) для тестирования каждой функции безопасности.

649 Руководство по выполнению этого шага оценивания, который относится к функциональной спецификации, можно найти в Замечаниях по применению «Верификация адекватности тестов» (п. 8.2.1.3).

ATE_COV.2.2C ATE_COV.2-4 Оценщик должен исследовать материалы анализа покрытия тестами, чтобы сделать заключение о полноте соответствия между ФБО, описанными в функциональной спецификации, и тестами, идентифицированными в тестовой документации.

650 Все функции безопасности и интерфейсы, которые описаны в функциональной спецификации, должны быть представлены в материалах анализа покрытия тестами и сопоставлены с тестами для утверждения о полноте, хотя исчерпывающее тестирование интерфейсов спецификации не требуется. Как показано на рисунке 8.2, для всех функций безопасности имеются относящиеся к ним тесты, а, следовательно, в данном примере продемонстрировано полное покрытие тестами. Неполнота покрытия была бы очевидна, если бы некоторая функция безопасности была идентифицирована в материалах анализа покрытия тестами, но никакие тесты не могли быть к ней отнесены.

Рисунок 8.2 – Концептуальная структура анализа покрытия тестами 8.4 Оценка глубины 8.4.1 Подвид деятельности ATE_DPT. 8.4.1.1 Цели 652 Цель данного подвида деятельности – сделать заключение, тестировал ли разработчик ФБО на соответствие проекту верхнего уровня.

8.4.1.2 Исходные данные а) ЗБ;

б) функциональная спецификация;

в) проект верхнего уровня;

г) тестовая документация;

д) материалы анализа глубины тестирования.

8.4.1.3 Действия оценщика 653 Этот подвид деятельности включает один элемент действий оценщика из части 3 ОК:

а) ATE_DPT.1.1E 8.4.1.3.1 Действие ATE_DPT.1.1E ATE_DPT.1.1C ATE_DPT.1-1 Оценщик должен исследовать материалы анализа глубины тестирования на предмет сопоставления тестов, идентифицированных в тестовой документации, и проекта верхнего уровня.

654 В материалах анализа глубины тестирования идентифицируются все подсистемы, описанные в проекте верхнего уровня, и представляется сопоставление тестов с этими подсистемами. Соответствие может принимать форму таблицы или матрицы. В некоторых случаях, чтобы показать соответствие тестов может оказаться достаточным наличие такого отображения. В других случаях может потребоваться некоторое обоснование (на естественном языке) для того, чтобы дополнить материалы анализа соответствия, представленные разработчиком.

655 Все детали проекта, специфицированные в проекте верхнего уровня, сопоставленные с требованиями безопасности ОО и удовлетворяющие им, являются предметом тестирования, а, следовательно, должны быть сопоставлены с тестовой документацией. На рисунке 8. отражена концептуальная структура сопоставления подсистем, описанных в проекте верхнего уровня, и тестов, изложенных в тестовой документации ОО и используемых для их тестирования. Тесты могут затрагивать одну или несколько функций безопасности, что может быть обусловлено зависимостями между тестами или общей целью выполняемого теста.

ATE_DPT.1-2 Оценщик должен исследовать план тестирования разработчика, чтобы сделать заключение, является ли подход к тестированию каждой функции безопасности ФБО пригодным для демонстрации ожидаемого режима ее выполнения.

656 Руководство по выполнению этого шага оценивания можно найти в следующих Замечаниях по применению:

а) Понимание ожидаемого режима функционирования ОО (п. 8.2.1.1);

б) Альтернативные тестированию подходы к верификации ожидаемого режима выполнения функции безопасности (п. 8.2.1.2).

657 Тестирование ФБО может быть выполнено c использованием внешних интерфейсов, внутренних интерфейсов или комбинации тех и других. Независимо от того, какая стратегия используется, оценщик будет рассматривать ее пригодность для адекватного тестирования функций безопасности. В частности, оценщик делает заключение, является ли тестирование с использованием внутренних интерфейсов функций безопасности необходимым, или эти внутренние интерфейсы могут быть надлежащим образом протестированы (хотя и неявным образом) с использованием внешних интерфейсов. Это решение, как и его строгое обоснование, остается за оценщиком.

ATE_DPT.1-3 Оценщик должен исследовать процедуры тестирования, чтобы сделать заключение, адекватно ли описание предварительных условий тестирования, шагов тестирования и ожидаемого результата (ожидаемых результатов) для тестирования каждой функции безопасности.

658 Руководство по выполнению этого шага оценивания, который относится к проекту верхнего уровня, можно найти в Замечаниях по применению «Верификация адекватности тестов» (п. 8.2.1.3).

ATE_DPT.1-4 Оценщик должен проверить материалы анализа глубины тестирования, чтобы удостовериться, что ФБО в том виде, в котором они определены в проекте верхнего уровня, полностью сопоставлены с тестами, представленными в тестовой документации.

659 Материалы анализа глубины тестирования обеспечивают полное изложение соответствия между проектом верхнего уровня, планом и процедурами тестирования. Все подсистемы и внутренние интерфейсы, описанные в проекте верхнего уровня, должны быть представлены в материалах анализа глубины тестирования. Для всех подсистем и внутренних интерфейсов, представленных в материалах анализа глубины тестирования, должны иметься сопоставленные с ними тесты для того, чтобы можно было утверждать о полноте. Как показано на рисунке 8.3, для всех подсистем и внутренних интерфейсов имеются относящиеся к ним тесты, а, следовательно, в данном примере продемонстрирована полнота глубины тестирования. Неполнота тестирования была бы очевидна, если бы подсистема или внутренний интерфейс были идентифицированы в материалах анализа глубины тестирования, но никакие тесты не могли быть к ним отнесены.

Рисунок 8.3 – Концептуальная структура анализа глубины тестирования 8.4.2 Подвид деятельности ATE_DPT. 8.4.2.1 Цели 660 Цель данного подвида деятельности – сделать заключение, тестировал ли разработчик ФБО на соответствие проекту верхнего уровня и проекту нижнего уровня.

8.4.2.2 Исходные данные а) ЗБ;

б) функциональная спецификация;

в) проект верхнего уровня;

г) проект нижнего уровня;

д) тестовая документация;

е) материалы анализа глубины тестирования.

8.4.2.3 Действия оценщика 661 Этот подвид деятельности включает один элемент действий оценщика из части 3 ОК:

а) ATE_DPT.2.1E.

8.4.2.3.1 Действие ATE_DPT.2.1E ATE_DPT.2.1C ATE_DPT.2-1 Оценщик должен исследовать материалы анализа глубины тестирования для сопоставления тестов, идентифицированных в тестовой документации, проекта верхнего уровня и проекта нижнего уровня.

662 В материалах анализа глубины тестирования идентифицируются все подсистемы, определенные в проекте верхнего уровня, и все модули, описанные в проекте нижнего уровня, и демонстрируется сопоставление тестов с этими подсистемами и модулями.

Соответствие может принимать форму таблицы или матрицы. В некоторых случаях, чтобы показать соответствие тестов может оказаться достаточным наличие такого отображения. В других случаях может потребоваться некоторое обоснование (на естественном языке) для того, чтобы дополнить материалы анализа соответствия, представленные разработчиком.

663 Все детали проекта, специфицированные в проекте верхнего уровня и проекте нижнего уровня, сопоставленные с требованиями безопасности ОО и удовлетворяющие им, являются предметом тестирования, а, следовательно, должны быть сопоставлены с тестовой документацией. На рисунке 8.4 отражена концептуальная структура сопоставления подсистем, описанных в проекте верхнего уровня, модулей, описанных в проекте нижнего уровня, и тестов, изложенных в тестовой документации ОО и используемых для их тестирования. Тесты могут затрагивать одну или несколько функций безопасности, что может быть обусловлено зависимостями между тестами или общей целью выполняемого теста.

ATE_DPT.2-2 Оценщик должен исследовать план тестирования разработчика, чтобы сделать заключение, является ли подход к тестированию каждой функции безопасности ФБО пригодным для демонстрации ожидаемого режима ее выполнения.

664 Руководство по выполнению этого шага оценивания можно найти в следующих Замечаниях по применению:

а) Понимание ожидаемого режима функционирования ОО (п. 8.2.1.1);

б) Альтернативные тестированию подходы к верификации ожидаемого режима выполнения функции безопасности (п. 8.2.1.2).

665 Тестирование ФБО может быть выполнено c использованием внешних интерфейсов, внутренних интерфейсов или комбинации тех и других. Независимо от того, какая стратегия используется, оценщик будет рассматривать ее пригодность для адекватного тестирования функций безопасности. В частности, оценщик делает заключение, является ли тестирование с использованием внутренних интерфейсов функций безопасности необходимым, или эти внутренние интерфейсы могут быть надлежащим образом протестированы (хотя и неявным образом) с использованием внешних интерфейсов. Это решение, как и его строгое обоснование, остается за оценщиком.

ATE_DPT.2-3 Оценщик должен исследовать процедуры тестирования, чтобы сделать заключение, адекватно ли описание предварительных условий тестирования, шагов тестирования и ожидаемого результата (ожидаемых результатов) для тестирования каждой функции безопасности.

666 Руководство по выполнению этого шага оценивания, который относится к проекту верхнего уровня и проекту нижнего уровня, можно найти в Замечаниях по применению «Верификация адекватности тестов» (п. 8.2.1.3).

ATE_DPT.2-4 Оценщик должен проверить материалы анализа глубины тестирования, чтобы удостовериться, что ФБО в том виде, в котором они определены в проекте верхнего уровня, полностью сопоставлены с тестами, представленными в тестовой документации.

667 Материалы анализа глубины тестирования обеспечивают полное изложение соответствия между проектом верхнего уровня, планом и процедурами тестирования. Все подсистемы и внутренние интерфейсы, описанные в проекте верхнего уровня должны быть представлены в материалах анализа глубины тестирования. Для всех подсистем и внутренних интерфейсов, представленных в материалах анализа глубины тестирования, должны иметься сопоставленные с ними тесты для того, чтобы можно было утверждать о полноте.

Как показано на рисунке 8.4, для всех подсистем и внутренних интерфейсов имеются относящиеся к ним тесты, а, следовательно, в данном примере продемонстрирована полнота глубины тестирования. Неполнота тестирования была бы очевидна, если бы некоторая подсистема или внутренний интерфейс были идентифицированы в материалах анализа глубины тестирования, но никакие тесты не могли быть к ним отнесены.

ATE_DPT.2-5 Оценщик должен проверить материалы анализа глубины тестирования, чтобы удостовериться, что ФБО в том виде, в котором они определены в проекте нижнего уровня, полностью сопоставлены с тестами, представленными в тестовой документации.

668 Материалы анализа глубины тестирования обеспечивают полное изложение соответствия между проектом нижнего уровня, планом и процедурами тестирования. Все модули и внутренние интерфейсы, описанные в проекте нижнего уровня, должны присутствовать в материалах анализа глубины тестирования. Для всех модулей и внутренних интерфейсов, представленных в материалах анализа глубины тестирования, должны иметься сопоставленные с ними тесты для того, чтобы можно было утверждать о полноте. Как показано на рисунке 8.4, для всех модулей и внутренних интерфейсов имеются относящиеся к ним тесты, а, следовательно, в данном примере продемонстрирована полнота глубины тестирования. Неполнота тестирования была бы очевидна, если бы некоторый модуль или внутренний интерфейс был идентифицирован в материалах анализа глубины тестирования, но никакие тесты не могли быть к нему отнесены.

Рисунок 8.4 – Концептуальная структура анализа глубины тестирования 8.5 Оценка функциональных тестов 8.5.1 Подвид деятельности ATE_FUN. 8.5.1.1 Цели 669 Цель данного подвида деятельности – сделать заключение, является ли документация функциональных тестов разработчика достаточной для демонстрации того, что функции безопасности выполняются в соответствии со спецификациями.

8.5.1.2 Замечания по применению 670 Степень требуемого покрытия ФБО тестовой документацией зависит от соответствующего компонента доверия, связанного с покрытием тестами.

671 Для представленных тестов разработчика оценщик делает заключение, являются ли тесты повторимыми, и определяет степень возможности использования тестов разработчика при проведении оценщиком независимого тестирования. Любую функцию безопасности, для которой результаты тестирования разработчиком указывают, что она может не выполняться в соответствии со спецификациями, оценщику следует подвергнуть независимому тестированию, чтобы сделать заключение, выполняется ли она в соответствии со спецификациями или нет.

8.5.1.3 Исходные данные 672 Свидетельствами оценки для этого подвида деятельности являются:

a) ЗБ;

б) функциональная спецификация;

в) тестовая документация;

г) процедуры тестирования.

8.5.1.4 Действия оценщика 673 Этот подвид деятельности включает один элемент действий оценщика из части 3 ОК:

а) ATE_FUN.1.1E.

8.5.1.4.1 Действие ATE_FUN.1.1E ATE_FUN.1.1C ATE_FUN.1-1 Оценщик должен проверить, что тестовая документация включает планы тестирования, описание процедур тестирования, ожидаемые результаты тестирования и фактические результаты тестирования.

ATE_FUN.1.2C ATE_FUN.1-2 Оценщик должен проверить, что в плане тестирования идентифицированы подлежащие тестированию функции безопасности.

674 Одним из методов, который может быть использован для идентификации проверяемой функции безопасности, является ссылка на соответствующую часть (части) функциональной спецификации, в которой определена конкретная функция безопасности.

675 Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.

676 Руководство по выборке см. в подразделе 10.2.

ATE_FUN.1-3 Оценщик должен исследовать план тестирования, чтобы сделать заключение, содержит ли он описание целей выполняемых тестов.

677 План тестирования предоставляет информацию о том, каким образом тестируются функции безопасности, а также информацию о тестируемой конфигурации ОО, используемой при проведении тестирования.

678 Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.

679 Руководство по выборке см. в подразделе 10.2.

ATE_FUN.1-4 Оценщик должен исследовать план тестирования, чтобы сделать заключение, согласована ли тестируемая конфигурация ОО с той конфигурацией, которая идентифицирована для оценки в ЗБ.

680 ОО, упомянутый в плане тестирования разработчика, должен иметь ту же самую уникальную маркировку, которая установлена системой УК.

681 В ЗБ может быть определено несколько подлежащих оценке конфигураций. ОО может состоять из ряда различных аппаратных и программных реализаций, которые подлежат тестированию на соответствие ЗБ. Оценщик верифицирует, что в тестовой документации разработчика определены тестируемые конфигурации, и они согласованы соответственно с каждой из оцениваемых конфигураций, описанных в ЗБ.

682 Оценщику следует рассмотреть описанные в ЗБ предположения относительно аспектов безопасности среды ОО, которые могут касаться среды тестирования. В ЗБ могут быть и другие предположения, которые не касаются среды тестирования. Например, предположение относительно допусков пользователей может не касаться среды тестирования, однако, предположение относительно единой точки подключения к сети, как правило, касается среды тестирования.

ATE_FUN.1-5 Оценщик должен исследовать план тестирования, чтобы сделать заключение, согласован ли он с описанием процедур тестирования.

683 Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.

684 Руководство по выборке см. в подразделе 10.2.

685 Руководство по анализу непротиворечивости см. в подразделе 10.3.

ATE_FUN.1.3C ATE_FUN.1-6 Оценщик должен проверить, что в описании процедур тестирования идентифицирован каждый из подлежащих тестированию режимов выполнения функций безопасности.

686 Одним из методов, который может использоваться для идентификации подлежащего тестированию режима выполнения функции безопасности, является ссылка на соответствующую часть (части) спецификации проекта, которая определяет конкретный подлежащий тестированию режим выполнения функции безопасности.

687 Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.

688 Руководство по выборке см. в подразделе 10.2.

ATE_FUN.1-7 Оценщик должен исследовать описание процедур тестирования, чтобы сделать заключение, представлены ли достаточные инструкции для того, чтобы установить воспроизводимые начальные условия выполнения тестов, включая зависимости, связанные с порядком следования, при их наличии.

689 Для того чтобы установить начальные условия выполнения тестов, возможно, потребуется выполнить некоторые шаги. Например, необходимо добавить учетные записи пользователей прежде, чем их можно будет удалить. Пример зависимостей, связанных с порядком следования тестов, от результатов других тестов – необходимость тестирования функции аудита прежде, чем полагаться на нее при создании записей аудита для другого механизма безопасности, такого как управления доступом. Другой пример зависимости, связанной с порядком следования тестов, – при выполнении одного теста генерируется файл данных, используемых в качестве исходных данных для набора других тестов.

690 Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.

691 Руководство по выборке см. в подразделе 10.2.

ATE_FUN.1-8 Оценщик должен исследовать описание процедур тестирования, чтобы сделать заключение, представлены ли достаточные инструкции для того, чтобы иметь воспроизводимый способ инициирования выполнения функций безопасности и наблюдения за режимом их выполнения.

692 Инициирующее воздействие обычно обеспечивается внешним по отношению к функции безопасности способом через ИФБО. После того, как входные данные (инициирующее воздействие) предоставлены ИФБО, через ИФБО можно наблюдать режим выполнения функции безопасности. Воспроизводимость не обеспечивается, если процедуры тестирования не содержат достаточных подробностей для однозначного описания инициирующего воздействия и режима выполнения, ожидаемого в результате инициирующего воздействия.

693 Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.

694 Руководство по выборке см. в подразделе 10.2.

ATE_FUN.1-9 Оценщик должен исследовать описание процедур тестирования, чтобы сделать заключение об их согласованности с процедурами тестирования.

695 Если описание процедур тестирования – это собственно процедуры тестирования, то рассматриваемый шаг оценивания не применяется.

696 Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.

697 Руководство по выборке см. в подразделе 10.2. Руководство по анализу непротиворечивости см. в подразделе 10.3.

ATE_FUN.1.4C ATE_FUN.1-10 Оценщик должен исследовать тестовую документацию, чтобы сделать заключение о достаточности включенных в нее ожидаемых результатов выполнения тестов.

698 Ожидаемые результаты тестирования необходимы, чтобы сделать заключение, действительно ли тест был успешно выполнен. Описание ожидаемых результатов тестирования достаточно, если оно однозначно и согласуется с ожидаемым режимом выполнения ФБО, обусловленным подходом к тестированию.

699 Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.

700 Руководство по выборке см. в подразделе 10.2.

ATE_FUN.1.5C ATE_FUN.1-11 Оценщик должен проверить, что ожидаемые результаты тестирования в тестовой документации согласуются с представленными фактическими результатами тестирования.

701 Сравнение представленных разработчиком фактических и ожидаемых результатов тестирования выявит какие бы то ни было несоответствия результатов.

702 Может оказаться, что непосредственное сравнение фактических результатов не может быть сделано до того, как сначала будет выполнено некоторое преобразование или синтез данных. В подобных случаях в тестовой документации разработчика должен быть описан процесс преобразования или синтеза фактических данных.

703 Например, разработчику может потребоваться проверить содержимое буфера сообщений после того, как имело место сетевое соединение, чтобы определить содержимое буфера.

Буфер сообщения будет содержать бинарную последовательность. Эта бинарная последовательность, как правило, преобразуется в другую форму представления данных, чтобы сделать тест более содержательным. Преобразование этого бинарного представления данных в представление более высокого уровня должно быть достаточно подробно описано разработчиком, чтобы позволить оценщику выполнить процесс преобразования (то есть, необходимо описать, используется синхронный или асинхронный метод передачи данных, число стоповых битов, битов четности и т.д.).

704 Следует отметить, что описание процесса, использовавшегося для преобразования или синтеза фактических данных, используется оценщиком не для того, чтобы фактически исполнить необходимую модификацию, а для того, чтобы оценить корректность этого процесса. Преобразование ожидаемых результатов тестирования в формат, позволяющий их легко сравнивать с фактическими результатами тестов, возлагается на разработчика.

705 Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.

706 Руководство по выборке см. в подразделе 10.2.

707 Если ожидаемые и фактические результаты тестирования для любого теста не совпадают, то правильность выполнения функции безопасности не продемонстрирована. Такая ситуация окажет влияние на усилия оценщика по независимому тестированию, выражающееся в необходимости тестирования соответствующей функции безопасности.

Оценщику также следует рассмотреть вопрос об увеличении выборки свидетельств, на основе которых выполняется рассматриваемый шаг оценивания.

ATE_FUN.1-12 Оценщик должен привести в отчете информацию об усилиях разработчика по тестированию, выделив подход к тестированию, конфигурацию, глубину тестирования, покрытие тестами и результаты тестирования.

708 Информация о тестировании разработчиком, зафиксированная в ТОО, позволяет оценщику передать общий подход к тестированию и усилия, затраченные разработчиком на тестирование ОО. Смысл предоставления этой информации состоит в том, чтобы дать содержательный краткий обзор усилий разработчика по тестированию. Не имеет смысла, чтобы информация о тестировании разработчиком в ТОО была точной копией конкретных шагов тестирования или результатов отдельных тестов. Целью является предоставить достаточные подробности, что позволит другим оценщикам и сотрудникам органа по сертификации получить некоторое понимание относительно подхода разработчика к тестированию, объема выполненного тестирования, тестируемых конфигураций ОО и общих результатов тестирования разработчиком.

709 Информация об усилиях разработчика по тестированию, которую обычно можно найти в соответствующем разделе ТОО, включает:

а) тестируемые конфигурации ОО. Конкретные конфигурации ОО, которые тестировались;

б) подход к тестированию. Описание общей стратегии тестирования, которую применил разработчик;

в) объем тестирования, выполненного разработчиком. Описание степени покрытия тестами и глубины тестирования разработчиком;

г) результаты тестирования. Описание общих результатов тестирования разработчиком.

710 Данный перечень ни в коем случае не является исчерпывающим и предназначен только для того, чтобы дать некоторое представление о типе информации, связанной с усилиями разработчика по тестированию, которую следует представить в ТОО.

8.6 Оценка путем независимого тестирования 8.6.1 Подвид деятельности ATE_IND. 8.6.1.1 Цели 711 Цель данного подвида деятельности состоит в том, чтобы путем независимого тестирования подмножества ФБО сделать заключение, выполняются ли ФБО в соответствии со спецификациями.

8.6.1.2 Исходные данные 712 Свидетельствами оценки для данного подвида деятельности являются:

а) ЗБ;

б) функциональная спецификация;

в) руководство пользователя;

г) руководство администратора;

д) процедуры безопасной установки, генерации и запуска;

е) ОО, пригодный для тестирования.

8.6.1.3 Действия оценщика 713 Этот подвид деятельности включает два элемента действий оценщика из части 3 ОК:

а) ATE_IND.1.1E;

б) ATE_IND.1.2E.

8.6.1.3.1 Действие ATE_IND.1.1E ATE_IND.1.1C ATE_IND.1-1 Оценщик должен исследовать ОО, чтобы сделать заключение, согласуется ли тестируемая конфигурация с оцениваемой конфигурацией, определенной в ЗБ.

714 ОО, используемый оценщиком для тестирования, должен иметь ту же самую уникальную маркировку, которая установлена системой УК.

715 В ЗБ может быть определено более одной подлежащих оценке конфигураций. ОО может состоять из ряда различных аппаратных и программных реализаций, которые подлежат тестированию в соответствии с ЗБ. Тестируемые оценщиком конфигурации ОО должны быть согласованы соответственно с каждой из оцениваемых конфигураций, описанных в ЗБ.

716 Оценщику следует рассмотреть описанные в ЗБ предположения относительно аспектов безопасности среды ОО, которые могут относиться к среде тестирования. В ЗБ могут быть и другие предположения, которые не относятся к среде тестирования. Например, предположение относительно допусков пользователей может не относиться к среде тестирования, однако, предположение относительно единой точки подключения к сети, как правило, относится к среде тестирования.

717 При использовании каких бы то ни было средств тестирования (например, измерителей, анализаторов) обеспечить правильную калибровку этих средств будет обязанностью оценщика.

ATE_IND.1-2 Оценщик должен исследовать ОО, чтобы сделать заключение, правильно ли он установлен и находится ли в состоянии, которое известно.

718 Оценщик имеет возможность сделать заключение о состоянии ОО несколькими способами.

Например, предшествующее успешное завершение подвида деятельности ADO_IGS. позволит считать выполненным данный шаг оценивания, если оценщик все еще уверен, что тестируемый ОО был должным образом установлен и находится в известном состоянии.

Если это не так, то оценщику рекомендуется следовать процедурам разработчика, чтобы установить, сгенерировать и запустить ОО, используя только поставляемое руководство.

719 Если оценщику приходится выполнить процедуры установки вследствие того, что ОО находится в неизвестном состоянии, то при успешном завершении данный шаг оценивания мог бы удовлетворить шаг оценивания ADO_IGS.1-2.

8.6.1.3.2 Действие ATE_IND.1.2E ATE_IND.1-3 Оценщик должен продумать тестируемое подмножество ФБО.

720 Оценщик выбирает тестируемое подмножество и стратегию тестирования, которая является приемлемой для ОО. Одна, крайняя, стратегия тестирования предусматривает наличие тестируемого подмножества ФБО, содержащего как можно большее количество функций безопасности, тестируемых с небольшой строгостью. Другая стратегия тестирования предусматривает наличие тестируемого подмножества, содержащего небольшое количество функций безопасности, исходя из их осознанной значимости, и строгое тестирование этих функций.

721 Как правило, подход к тестированию, принятый оценщиком, должен находиться где-то между этими двумя крайностями. Оценщику следует проверить выполнение большинства определенных в ЗБ функциональных требований безопасности, используя, по крайней мере, один тест для каждого требования, но при этом нет необходимости, чтобы тестирование продемонстрировало исчерпывающую проверку спецификаций.

722 При выборе подмножества тестируемых ФБО оценщику следует рассмотреть следующие факторы:

а) число функций безопасности, из которых необходимо сформировать тестируемое подмножество. В тех случаях, когда у ОО только небольшое число функций безопасности, может быть практичным строгое тестирование всех функций безопасности. Для ОО с большим числом функций безопасности это будет нерентабельно и потребуется осуществление выборки;

б) поддержание некоторого баланса между видами деятельности по оценке. Тестирование, как правило, занимает 20-30 % усилий оценщика в течение оценки.

723 Оценщик выбирает определенные функции безопасности для формирования соответствующего подмножества. Этот выбор будет зависеть от ряда факторов, и рассмотрение этих факторов также может влиять на выбор размера тестируемого подмножества ФБО:

а) известные из общедоступных источников слабые места безопасности, обычно ассоциируемые с конкретным типом ОО (например, с операционной системой, межсетевым экраном). Известные из общедоступных источников слабые места, ассоциируемые с конкретным типом ОО, будут влиять на процесс выбора тестируемого подмножества.

Оценщику следует включить в тестируемое подмножество те функции безопасности, которые связаны с известными из общедоступных источников слабыми местами для данного типа ОО (известные из общедоступных источников слабые места в данном случае относятся не к уязвимостям как таковым, а к несоответствиям или проблемным вопросам, которые были обнаружены для данного конкретного типа ОО). Если такие слабые места не известны, то может быть более приемлемым более общий подход, связанный с выбором широкого диапазона функций безопасности;

б) значимость функций безопасности. Те функции безопасности, которые более значимы, чем другие, с точки зрения целей безопасности для ОО, следует включить в тестируемое подмножество;

в) сложность функции безопасности. Для сложных функций безопасности может потребоваться выполнение сложных тестов, налагающих обременительные требования на разработчика или оценщика, которые, в свою очередь, не будут способствовать рентабельным оценкам. С другой стороны, сложные функции безопасности – это вероятная область поиска ошибок и подходящие кандидаты для включения в подмножество.

Оценщику необходимо достигнуть баланса между этими соображениями;

г) неявное тестирование. Тестирование некоторых функций безопасности может зачастую сопровождаться неявным тестированием других функций безопасности, и их включение в подмножество может максимизировать (хотя и не в явном виде) число тестируемых функций безопасности. Некоторые интерфейсы обычно могут использоваться для обеспечения нескольких функциональных возможностей безопасности, и их следует сделать объектом эффективного подхода к тестированию;

д) типы интерфейсов ОО (например, программный интерфейс, командная строка, протокол). Оценщику следует рассмотреть вопрос о включении тестов для всех различных типов интерфейсов, которые поддерживает данный ОО;

е) инновационные или необычные функции. В тех случаях, когда в ОО включены инновационные или необычные функции безопасности, которые могут широко быть представлены в маркетинговой литературе, они должны быть прямыми кандидатами на тестирование.

724 В данном руководстве сформулированы факторы, которые необходимо рассмотреть в процессе выбора приемлемого тестируемого подмножества ФБО, но они ни в коем случае не являются исчерпывающими.

725 Руководство по выборке см. в подразделе 10.2.

ATE_IND.1-4 Оценщик должен разработать тестовую документацию для тестируемого подмножества ФБО, детализация которой достаточна, чтобы обеспечить воспроизводимость тестов.

726 Уяснив из ЗБ и функциональной спецификации ожидаемый режим выполнения функции безопасности, оценщик должен определить наиболее подходящий способ тестирования данной функции. Оценщик, в особенности, рассматривает:

а) подход, который будет использоваться, например, будет ли функция безопасности тестироваться через внешний интерфейс, внутренний интерфейс с использованием каких либо средств автономного тестирования или будет использован альтернативный тестированию подход (например, в исключительных обстоятельствах – экспертиза кода);

б) интерфейс(ы) функции безопасности, который(е) будет(ут) использоваться для инициирования выполнения функции безопасности и наблюдения ее реакции;

в) начальные условия, которые будут необходимы для выполнения теста (т.е., какие бы то ни было конкретные объекты или субъекты, которые будут необходимы, и атрибуты безопасности, которые им необходимо будет иметь);

г) специальное оборудование для тестирования, которое потребуется либо для инициирования функции безопасности (например, генераторы пакетов), либо для наблюдения за функцией безопасности (например, сетевые анализаторы).

727 Оценщик может посчитать практичным тестировать каждую функцию безопасности, используя ряд наборов тестов, где каждый набор тестов будет использоваться для тестирования очень специфичного аспекта ожидаемого режима выполнения функции безопасности.

728 В тестовой документации оценщика следует определить происхождение каждого теста, прослеживая его к соответствующей спецификации проекта и, если необходимо, к ЗБ.

ATE_IND.1-5 Оценщик должен провести тестирование.

729 Оценщик использует разработанную тестовую документацию как основу для выполнения тестов по отношению к ОО. Тестовая документация используется как основа для тестирования, но это не мешает оценщику выполнить дополнительные специальные тесты.

Оценщик может разработать новые тесты, исходя из режима функционирования ОО, обнаруженного в течение тестирования. Эти новые тесты записываются в тестовую документацию.

ATE_IND.1-6 Оценщик должен зафиксировать следующую информацию о тестах, которые составляют подмножество тестов:

а) идентификационную информацию тестируемого режима выполнения функции безопасности;

б) инструкции по подключению и установке всего требуемого оборудования для тестирования, как это требуется для проведения конкретного теста;

в) инструкции по установке всех предварительных условий выполнения теста;

г) инструкции по инициированию функции безопасности;

д) инструкции по наблюдению режима поведения функции безопасности;

е) описание всех ожидаемых результатов и необходимого анализа, который выполняется по отношению к наблюдаемому режиму выполнения для сравнения с ожидаемыми результатами;

ж) инструкции по завершению тестирования и установке необходимого пост-тестового состояния ОО;

з) фактические результаты тестирования.

730 Уровень детализации должен быть таким, чтобы другой оценщик мог повторить тесты и получить эквивалентный результат. Хотя некоторые специфические детали результатов выполнения теста могут отличаться (например, поля времени и даты в записи аудита), общие результаты должны быть идентичными.

731 Возможны случаи, когда нет необходимости предоставлять всю информацию, представленную на этом шаге оценивания (например, фактические результаты тестирования могут не требовать какого бы то ни было анализа до их сравнения с ожидаемыми результатами). Решение опустить эту информацию, как и его строгое обоснование, остается за оценщиком.

ATE_IND.1-7 Оценщик должен проверить, что все фактические результаты тестирования согласуются с ожидаемыми результатами тестирования.

732 Любые различия в фактических и ожидаемых результатах тестирования могут свидетельствовать либо о том, что ОО не функционирует в соответствии со спецификацией, либо о том, что тестовая документация оценщика может быть некорректной. Не соответствующие ожидаемым фактические результаты тестирования могут потребовать внесения корректив в ОО или тестовую документацию, а также, возможно, повторного выполнения вызвавших коллизию тестов, модификации размера и состава выборки тестов. Это решение, как и его строгое обоснование, остается за оценщиком.

ATE_IND.1-8 Оценщик должен привести в ТОО информацию об усилиях по тестированию, вкратце изложив подход к тестированию, тестируемую конфигурацию, глубину и результаты тестирования.

733 Информация оценщика о тестировании, приводимая в ТОО, позволяет оценщику передать общий подход к тестированию и усилия, затраченные в течение оценки на вид деятельности по тестированию. Смысл предоставления этой информации состоит в том, чтобы дать содержательный краткий обзор усилий по тестированию. Не имеется в виду, чтобы информация о тестировании в ТОО была точным воспроизведением конкретных шагов тестирования или результатов отдельных тестов. Целью является предоставить достаточные подробности, чтобы позволить другим оценщикам и сотрудникам органа по сертификации получить некоторое понимание выбранного подхода к тестированию, объема выполненного тестирования, тестируемых конфигураций ОО и общих результатов вида деятельности по тестированию.

734 Информация об усилиях оценщика по тестированию, которую обычно можно найти в соответствующем разделе ТОО, включает:

а) тестируемые конфигурации ОО. Конкретные конфигурации ОО, которые тестировались;

б) выбранный размер подмножества. Количество протестированных в течение оценки функций безопасности и строгое обоснование этого размера;

в) критерии выбора для функций безопасности, которые составляют тестируемое подмножество. Краткое изложение факторов, рассмотренных при отборе функций безопасности для включения в подмножество;

г) протестированные функции безопасности. Краткий перечень функций безопасности, обоснованно включенных в подмножество;

д) заключение по виду деятельности. Общий вывод по результатам тестирования, проведенного в течение оценки.

735 Данный перечень ни в коем случае не является исчерпывающим и предназначен только для того, чтобы дать некоторое представление о типе информации, касающейся тестирования, выполненного оценщиком в течение оценки, которую следует представить в ТОО.

8.6.2 Подвид деятельности ATE_IND. 8.6.2.1 Цели 736 Цель данного подвида деятельности состоит в том, чтобы путем независимого тестирования подмножества ФБО сделать заключение, соответствует ли спецификациям режим функционирования ОО, и повысить уверенность в результатах тестирования разработчиком путем выполнения выборки тестов разработчика.

8.6.2.2 Исходные данные 737 Свидетельствами оценки для данного подвида деятельности являются:

а) ЗБ;

б) функциональная спецификация;

в) руководство пользователя;

г) руководство администратора;

д) процедуры безопасной установки, генерации и запуска;

е) тестовая документация;

ж) материалы анализа покрытия тестами;

з) материалы анализа глубины тестирования;

и) ОО, пригодный для тестирования.

8.6.2.3 Действия оценщика 738 Этот подвид деятельности включает три элемента действий оценщика из части 3 ОК:

а) ATE_IND.2.1E;

б) ATE_IND.2.2E;

в) ATE_IND.2.3E.

8.6.2.3.1 Действие ATE_IND.2.1E ATE_IND.2.1C ATE_IND.2-1 Оценщик должен исследовать ОО, чтобы сделать заключение, согласуется ли тестируемая конфигурация с оцениваемой конфигурацией, определенной в ЗБ.

739 ОО, используемый оценщиком для тестирования, должен иметь ту же самую уникальную маркировку, которая установлена системой УК.

740 В ЗБ может быть определено более одной подлежащих оценке конфигураций. ОО может состоять из ряда различных аппаратных и программных реализаций, которые подлежат тестированию в соответствии с ЗБ. Тестируемые оценщиком конфигурации ОО должны быть согласованы соответственно с каждой из оцениваемых конфигураций, описанных в ЗБ.

741 Оценщику следует рассмотреть описанные в ЗБ предположения относительно аспектов безопасности среды ОО, которые могут касаться среды тестирования. В ЗБ могут быть и другие предположения, которые не относятся к среде тестирования. Например, предположение относительно допусков пользователей может не относиться к среде тестирования, однако, предположение относительно единой точки подключения к сети, как правило, относится к среде тестирования.

742 При использовании каких бы то ни было средств тестирования (например, измерителей, анализаторов) обеспечить правильную калибровку этих средств будет обязанностью оценщика.

ATE_IND.2-2 Оценщик должен исследовать ОО, чтобы сделать заключение, правильно ли он установлен и находится ли в состоянии, которое известно.

743 Оценщик имеет возможность сделать заключение о состоянии ОО несколькими способами.

Например, предшествующее успешное завершение подвида деятельности ADO_IGS. удовлетворит этот шаг оценивания, если оценщик все еще уверен, что тестируемый ОО был должным образом установлен и находится в известном состоянии. Если это не так, то оценщику рекомендуется следовать процедурам разработчика, чтобы установить, сгенерировать и запустить ОО, используя только поставляемое руководство.

744 Если оценщику приходится выполнить процедуры установки вследствие того, что ОО находится в неизвестном состоянии, то при успешном завершении данный шаг оценивания мог бы удовлетворить шаг оценивания ADO_IGS.1-2.

ATE_IND.2.2C ATE_IND.2-3 Оценщик должен исследовать набор ресурсов, предоставленных разработчиком, чтобы сделать заключение, эквивалентны ли они набору ресурсов, использовавшимся разработчиком для функционального тестирования ФБО.

745 Данный набор ресурсов может, кроме всего прочего, включать доступное лабораториям и специальное испытательное оборудование. Ресурсы, которые не являются идентичными ресурсам, использовавшимся разработчиком, должны быть эквивалентны им с точки зрения любого влияния, которое они могут оказать на результаты тестирования.

8.6.2.3.2 Действие ATE_IND.2.2E ATE_IND.2-4 Оценщик должен продумать тестируемое подмножество ФБО.

746 Оценщик выбирает тестируемое подмножество и стратегию тестирования, которая является приемлемой для ОО. Одна, крайняя, стратегия тестирования предусматривает наличие тестируемого подмножества ФБО, содержащего как можно большее количество функций безопасности, тестируемых с небольшой строгостью. Другая стратегия тестирования предусматривает наличие тестируемого подмножества, содержащего небольшое количество функций безопасности, исходя из их осознанной значимости, и строгое тестирование этих функций.

747 Как правило, подход к тестированию, принятый оценщиком, должен находиться где-то между этими двумя крайностями. Оценщику следует проверить выполнение большинства определенных в ЗБ функциональных требований безопасности, используя, по крайней мере, один тест для каждого требования, но при этом нет необходимости, чтобы тестирование продемонстрировало исчерпывающую проверку спецификаций.

748 При выборе подмножества тестируемых ФБО оценщику следует рассмотреть следующие факторы:

a) свидетельства тестирования разработчиком. Свидетельства тестирования разработчиком включают: анализ покрытия тестами, анализ глубины тестирования и тестовую документацию. Свидетельства тестирования разработчиком должны обеспечить понимание того, каким образом разработчиком в ходе тестирования опробовались функции безопасности. Оценщик будет использовать данную информацию при разработке новых тестов для независимого тестирования ОО. Оценщику следует, в особенности, рассмотреть:

1) усиление тестирования, выполненного разработчиком, для определенной функции (функций) безопасности. Оценщик может захотеть выполнить большее количество тестов того же самого типа, чтобы путем изменения параметров более строго протестировать функцию безопасности;

2) дополнение стратегии тестирования, применявшейся разработчиком, для определенной функции (функций) безопасности. Оценщик может захотеть изменить подход к тестированию определенной функции безопасности, тестируя ее с использованием другой стратегии тестирования;

б) число функций безопасности, из которых необходимо сформировать тестируемое подмножество. В тех случаях, когда у ОО только небольшое число функций безопасности, может быть практичным строгое тестирование всех функций безопасности. Для ОО с большим числом функций безопасности это будет нерентабельно и потребуется осуществление выборки;

в) поддержание некоторого баланса между видами деятельности по оценке. Усилия оценщика, затраченные на вид деятельности по тестированию, должны быть соразмерны с усилиями, затраченными на любой другой вид деятельности по оценке.

749 Оценщик выбирает определенные функции безопасности для формирования соответствующего подмножества. Этот выбор будет зависеть от ряда факторов, и рассмотрение этих факторов также может влиять на выбор размера тестируемого подмножества ФБО:

а) строгость тестирования разработчиком функций безопасности. Все функции безопасности, идентифицированные в функциональной спецификации, должны иметь относящиеся к ним свидетельства тестирования разработчиком, как это требуется в ATE_COV.2. Те функции безопасности, которые оценщик определил как требующие дополнительного тестирования, следует включить в тестируемое подмножество ФБО;

б) результаты тестирования разработчиком. Если результаты тестов разработчика заставляют оценщика сомневаться в том, что функция безопасности или ее аспект, выполняются в соответствии со спецификациями, то оценщику следует включить подобные функции безопасности в тестируемое подмножество.

в) известные из общедоступных источников слабые места безопасности, обычно ассоциируемые с конкретным типом ОО (например, с операционной системой, межсетевым экраном). Известные из общедоступных источников слабые места, ассоциируемые с конкретным типом ОО, будут влиять на процесс выбора тестируемого подмножества.

Оценщику следует включить в тестируемое подмножество те функции безопасности, которые связаны с известными из общедоступных источников слабыми местами для данного типа ОО (известные из общедоступных источников слабые места в данном случае относятся не к уязвимостям как таковым, а к несоответствиям или проблемным вопросам, которые были обнаружены для данного конкретного типа ОО). Если такие слабые места не известны, то может быть более приемлемым более общий подход, связанный с выбором широкого диапазона функций безопасности;

г) значимость функций безопасности. Те функции безопасности, которые более значимы, чем другие, с точки зрения целей безопасности для ОО, следует включить в тестируемое подмножество;

д) утверждение о СФБ, сделанное в ЗБ. Все функции безопасности, для которых было сделано конкретное утверждение о СФБ, следует включить в тестируемое подмножество ФБО;

е) сложность функции безопасности. Для сложных функций безопасности может потребоваться выполнение сложных тестов, налагающих обременительные требования на разработчика или оценщика, которые, в свою очередь, не будут способствовать рентабельным оценкам. С другой стороны, сложные функции безопасности – это вероятная область поиска ошибок и подходящие кандидаты для включения в подмножество.

Оценщику необходимо достигнуть баланса между этими соображениями;

ж) неявное тестирование. Тестирование некоторых функций безопасности может зачастую сопровождаться неявным тестированием других функций безопасности, и их включение в подмножество может максимизировать (хотя и не в явном виде) число тестируемых функций безопасности. Некоторые интерфейсы обычно могут использоваться для обеспечения нескольких функциональных возможностей безопасности, и их следует сделать объектом эффективного подхода к тестированию;

з) типы интерфейсов ОО (например, программный интерфейс, командная строка, протокол).

Оценщику следует рассмотреть вопрос о включении тестов для всех различных типов интерфейсов, которые поддерживает данный ОО;

и) инновационные или необычные функции. В тех случаях, когда в ОО включены инновационные или необычные функции безопасности, которые могут широко быть представлены в маркетинговой литературе, они должны быть прямыми кандидатами на тестирование.

750 В данном руководстве сформулированы факторы, которые необходимо рассмотреть в процессе выбора приемлемого тестируемого подмножества ФБО, но они ни в коем случае не являются исчерпывающими.

751 Руководство по выборке см. в подразделе 10.2.

ATE_IND.2-5 Оценщик должен разработать тестовую документацию для тестируемого подмножества ФБО, детализация которой достаточна, чтобы обеспечить воспроизводимость тестов.

752 Уяснив из ЗБ и функциональной спецификации ожидаемый режим выполнения функции безопасности, оценщик должен определить наиболее подходящий способ тестирования данной функции. Оценщик, в особенности, рассматривает:

а) подход, который будет использоваться, например, будет ли функция безопасности тестироваться через внешний интерфейс, внутренний интерфейс с использованием каких либо средств автономного тестирования или будет использован альтернативный тестированию подход (например, в исключительных обстоятельствах – экспертиза кода);

б) интерфейс(ы) функции безопасности, который(е) будет(ут) использоваться для инициирования выполнения функции безопасности и наблюдения ее реакции;

в) начальные условия, которые будут необходимы для выполнения теста (т.е., какие бы то ни было конкретные объекты или субъекты, которые будут необходимы, и атрибуты безопасности, которые им необходимо будет иметь);

г) специальное оборудование для тестирования, которое потребуется либо для инициирования выполнения функции безопасности (например, генераторы пакетов), либо для наблюдения за функцией безопасности (например, сетевые анализаторы).

753 Оценщик может посчитать практичным тестировать каждую функцию безопасности, используя ряд наборов тестов, где каждый набор тестов будет использоваться для тестирования очень специфичного аспекта ожидаемого режима выполнения функции безопасности.

754 В тестовой документации оценщика следует определить происхождении каждого теста, прослеживая его к соответствующей спецификации проекта и, если необходимо, к ЗБ.

ATE_IND.2-6 Оценщик должен провести тестирование.

755 Оценщик использует разработанную тестовую документацию как основу для выполнения тестов по отношению к ОО. Тестовая документация используется как основа для тестирования, но это не мешает оценщику выполнить дополнительные специальные тесты.

Оценщик может разработать новые тесты, исходя из режима функционирования ОО, обнаруженного в течение тестирования. Эти новые тесты записываются в тестовую документацию.

ATE_IND.2-7 Оценщик должен зафиксировать следующую информацию о тестах, которые составляют подмножество тестов:

а) идентификационную информацию тестируемого режима выполнения функции безопасности;

б) инструкции по подключению и установке всего требуемого оборудования для тестирования, как это требуется для проведения конкретного теста;

в) инструкции по установке всех предварительных условий выполнения теста;

г) инструкции по инициированию функции безопасности;

д) инструкции по наблюдению режима поведения функции безопасности;

е) описание всех ожидаемых результатов и необходимого анализа, который выполняется по отношению к наблюдаемому режиму выполнения для сравнения с ожидаемыми результатами;

ж) инструкции по завершению тестирования и установке необходимого пост-тестового состояния ОО;

з) фактические результаты тестирования.

756 Уровень детализации должен быть таким, чтобы другой оценщик мог повторить тесты и получить эквивалентный результат. Хотя некоторые специфические детали результатов выполнения теста могут отличаться (например, поля времени и даты в записи аудита), общие результаты должны быть идентичными.

757 Возможны случаи, когда нет необходимости предоставлять всю информацию, представленную на этом шаге оценивания (например, фактические результаты тестирования могут не требовать какого бы то ни было анализа до их сравнения с ожидаемыми результатами). Решение опустить эту информацию, как и его строгое обоснование, остается за оценщиком.

ATE_IND.2-8 Оценщик должен проверить, что все фактические результаты тестирования согласуются с ожидаемыми результатами тестирования.

758 Любые различия в фактических и ожидаемых результатах тестирования могут свидетельствовать либо о том, что ОО не функционирует в соответствии со спецификацией, либо о том, что тестовая документация оценщика может быть некорректной. Не соответствующие ожидаемым фактические результаты тестирования могут потребовать внесения корректив в ОО или тестовую документацию, а также, возможно, повторного выполнения вызвавших коллизию тестов, модификации размера и состава выборки тестов. Это решение, как и его строгое обоснование, остается за оценщиком.

8.6.2.3.3 Действие ATE_IND.2.3E ATE_IND.2-9 Оценщик должен провести тестирование, используя выборку тестов, находящихся в плане и процедурах тестирования разработчика.

759 Общая цель данного шага оценивания состоит в выполнении тестов разработчика в количестве, достаточном для подтверждения правильности результатов тестирования разработчиком. Оценщик должен определиться с размером выборки и тестами разработчика, которые составят данную выборку.

760 Принимая во внимание общие усилия оценщика в целом по виду деятельности, связанному с тестированием, обычно следует выполнить около 20% тестов разработчика, хотя этот процент может варьироваться в соответствии с характером ОО и представленных свидетельств тестирования.

761 Все тесты разработчика могут быть сопоставлены с конкретными функциями безопасности.

Следовательно, факторы, которые необходимо рассмотреть при выборе тестов для включения в выборку, подобны тем, которые перечислены на шаге оценивания ATE_IND.2-4 для выбора тестируемого подмножества ФБО. Дополнительно, для выбора тестов разработчика, включаемых в выборку, оценщик может избрать метод случайной выборки.

762 Руководство по выборке см. в подразделе 10.2.

ATE_IND.2-10 Оценщик должен проверить, что все фактические результаты тестирования согласуются с ожидаемыми результатами тестирования.

763 Противоречия между ожидаемыми результатами тестирования разработчиком и фактическими результатами тестирования заставляют оценщика разрешать эти несоответствия. Противоречия, с которыми столкнулся оценщик, могут быть разрешены разработчиком путем убедительного объяснения и разрешения противоречий.

764 Если удовлетворительное объяснение или разрешение противоречий не может быть достигнуто, то уверенность оценщика в результатах тестирования разработчиком может уменьшиться;

у оценщика даже может возникнуть необходимость в увеличении объема выборки, чтобы восстановить уверенность в результатах тестирования разработчиком. Если увеличение объема выборки не оправдает ожиданий оценщика, может потребоваться повторение всей совокупности тестов разработчика. В конечном счете, для адекватного тестирования подмножества ФБО, идентифицированного на шаге оценивания ATE_IND.2 4, недостаточность тестов разработчика приведет к необходимости корректировки тестов разработчика или разработки оценщиком новых тестов.

ATE_IND.2-11 Оценщик должен привести в ТОО информацию об усилиях по тестированию, вкратце изложив подход к тестированию, тестируемую конфигурацию, глубину и результаты тестирования.

765 Информация оценщика о тестировании, приводимая в ТОО, позволяет оценщику передать общий подход к тестированию и усилия, затраченные в течение оценки на вид деятельности по тестированию. Смысл предоставления этой информации состоит в том, чтобы дать содержательный краткий обзор усилий по тестированию. Не имеется в виду, чтобы информация о тестировании в ТОО была точным воспроизведением конкретных шагов тестирования или результатов отдельных тестов. Целью является предоставить достаточные подробности, чтобы позволить другим оценщикам и сотрудникам органа по сертификации получить некоторое понимание выбранного подхода к тестированию, объема выполненного оценщиком тестирования, объема выполненного разработчиком тестирования, тестируемых конфигураций ОО и общих результатов вида деятельности по тестированию.

766 Информация, относящаяся к усилиям оценщика по тестированию, которую обычно можно найти в соответствующем разделе ТОО, включает:

а) тестируемые конфигурации ОО. Конкретные конфигурации ОО, которые тестировались;

б) выбранный размер подмножества. Количество протестированных в течение оценки функций безопасности и строгое обоснование этого размера;

в) критерии выбора для функций безопасности, которые составляют тестируемое подмножество. Краткое изложение факторов, рассмотренных при отборе функций безопасности для включения в подмножество;

г) протестированные функции безопасности. Краткий перечень функций безопасности, обоснованно включенных в подмножество;

д) выполненные тесты разработчика. Количество выполненных тестов разработчика и краткое описание критериев, использовавшихся для выбора данных тестов;

е) заключение по виду деятельности. Общий вывод по результатам тестирования, проведенного в течение оценки.

767 Данный перечень ни в коем случае не является исчерпывающим и предназначен только для того, чтобы дать некоторое представление о типе информации, касающейся тестирования, выполненного оценщиком в течение оценки, которую следует представить в ТОО.

8.6.3 Подвид деятельности ATE_IND. 8.6.3.1 Цели 768 Цель данного подвида деятельности состоит в том, чтобы путем независимого тестирования подмножества ФБО сделать заключение, соответствует ли спецификациям режим функционирования ОО, и повысить уверенность в результатах тестирования разработчиком путем выполнения тестов разработчика.

8.6.3.2 Исходные данные 769 Свидетельствами оценки для данного подвида деятельности являются:

а) ЗБ;

б) функциональная спецификация;

в) руководство пользователя;

г) руководство администратора;

д) процедуры безопасной установки, генерации и запуска;

е) тестовая документация;

ж) материалы анализа покрытия тестами;

з) материалы анализа глубины тестирования;

и) ОО, пригодный для тестирования.

8.6.3.3 Действия оценщика 770 Этот подвид деятельности включает три элемента действий оценщика из части 3 ОК:

а) ATE_IND.3.1E;

б) ATE_IND.3.2E;

в) ATE_IND.3.3E.

8.6.3.3.1 Действие ATE_IND.3.1E ATE_IND.3.1C ATE_IND.3-1 Оценщик должен исследовать ОО, чтобы сделать заключение, согласуется ли тестируемая конфигурация с оцениваемой конфигурацией, определенной в ЗБ.

771 ОО, используемый оценщиком для тестирования, должен иметь ту же самую уникальную маркировку, которая установлена системой УК.

772 В ЗБ может быть определено более одной подлежащих оценке конфигураций. ОО может состоять из ряда различных аппаратных и программных реализаций, которые подлежат тестированию в соответствии с ЗБ. Тестируемые оценщиком конфигурации ОО должны быть согласованы соответственно с каждой из оцениваемых конфигураций, описанных в ЗБ.

773 Оценщику следует рассмотреть описанные в ЗБ предположения относительно аспектов безопасности среды ОО, которые могут касаться среды тестирования. В ЗБ могут быть и другие предположения, которые не касаются среды тестирования. Например, предположение относительно допусков пользователей может не относиться к среде тестирования, однако, предположение относительно единой точки подключения к сети, как правило, относится к среде тестирования.

774 При использовании каких бы то ни было средств тестирования (например, измерителей, анализаторов) обеспечить правильную калибровку этих средств будет обязанностью оценщика.

ATE_IND.3-2 Оценщик должен исследовать ОО, чтобы сделать заключение, правильно ли он установлен и находится ли в состоянии, которое известно.

775 Оценщик имеет возможность сделать заключение о состоянии ОО несколькими способами.

Например, предшествующее успешное завершение подвида деятельности ADO_IGS. удовлетворит этот шаг оценивания, если оценщик все еще уверен, что тестируемый ОО был должным образом установлен и находится в известном состоянии. Если это не так, то оценщику рекомендуется следовать процедурам разработчика, чтобы установить, сгенерировать и запустить ОО, используя только поставляемое руководство.

776 Если оценщику приходится выполнить процедуры установки вследствие того, что ОО находится в неизвестном состоянии, то при успешном завершении данный шаг оценивания мог бы удовлетворить шаг оценивания ADO_IGS.1-2.

ATE_IND.3.2C ATE_IND.3-3 Оценщик должен исследовать набор ресурсов, предоставленных разработчиком, чтобы сделать заключение, эквивалентны ли они набору ресурсов, использовавшимся разработчиком для функционального тестирования ФБО.

777 Рассматриваемый набор ресурсов может, кроме всего прочего, включать доступное лабораториям и специальное испытательное оборудование. Ресурсы, которые не являются идентичными ресурсам, использовавшимся разработчиком, должны быть эквивалентны им с точки зрения любого влияния, которое они могут оказать на результаты тестирования.

8.6.3.3.2 Действие ATE_IND.3.2E ATE_IND.3-4 Оценщик должен продумать тестируемое подмножество ФБО.

778 Оценщик выбирает тестируемое подмножество и стратегию тестирования, которая является приемлемой для ОО. Одна, крайняя, стратегия тестирования предусматривает наличие тестируемого подмножества ФБО, содержащего как можно большее количество функций безопасности, тестируемых с небольшой строгостью. Другая стратегия тестирования предусматривает наличие тестируемого подмножества, содержащего небольшое количество функций безопасности, исходя из их осознанной значимости, и строгое тестирование этих функций.

779 Как правило, подход к тестированию, принятый оценщиком, должен находиться где-то между этими двумя крайностями. Оценщику следует проверить выполнение большинства определенных в ЗБ функциональных требований безопасности, используя, по крайней мере, один тест для каждого требования, но при этом нет необходимости, чтобы тестирование продемонстрировало исчерпывающую проверку спецификаций.

780 При выборе подмножества тестируемых ФБО оценщику следует рассмотреть следующие факторы:

a) свидетельства тестирования разработчиком. Свидетельства тестирования разработчиком включают: анализ покрытия тестами, анализ глубины тестирования и тестовую документацию. Свидетельства тестирования разработчиком должны обеспечить понимание того, каким образом разработчиком в ходе тестирования опробовались функции безопасности. Оценщик будет использовать данную информацию при разработке новых тестов для независимого тестирования ОО. Оценщику следует, в особенности, рассмотреть:

1) усиление тестирования, выполненного разработчиком, для определенной функции (функций) безопасности. Оценщик может захотеть выполнить большее количество тестов того же самого типа, чтобы путем изменения параметров более строго протестировать функцию безопасности;

2) дополнение стратегии тестирования, применявшейся разработчиком, для определенной функции (функций) безопасности. Оценщик может захотеть изменить подход к тестированию определенной функции безопасности, тестируя ее с использованием другой стратегии тестирования;

б) число функций безопасности, из которых необходимо сформировать тестируемое подмножество. В тех случаях, когда у ОО только небольшое число функций безопасности, может быть практичным строгое тестирование всех функций безопасности. Для ОО с большим числом функций безопасности это будет нерентабельно и потребуется осуществление выборки;

в) поддержание некоторого баланса между видами деятельности по оценке. Усилия оценщика, затраченные на вид деятельности по тестированию, должны быть соразмерны с усилиями, затраченными на любой другой вид деятельности по оценке.

781 Оценщик выбирает определенные функции безопасности для формирования соответствующего подмножества. Этот выбор будет зависеть от ряда факторов, и рассмотрение этих факторов также может влиять на выбор размера тестируемого подмножества ФБО:

а) строгость тестирования разработчиком функций безопасности. Все функции безопасности, идентифицированные в функциональной спецификации, должны иметь относящиеся к ним свидетельства тестирования разработчиком к ним, как это требуется в ATE_COV.2. Те функции безопасности, которые оценщик определил как требующие дополнительного тестирования, следует включить в тестируемое подмножество ФБО;

б) результаты тестирования разработчиком. Если результаты тестов разработчика заставляют оценщика сомневаться в том, что функция безопасности или ее аспект, выполняется в соответствии со спецификациями, то оценщику следует включить подобные функции безопасности в тестируемое подмножество.

в) известные из общедоступных источников слабые места безопасности, обычно ассоциируемые с конкретным типом ОО (например, с операционной системой, межсетевым экраном). Известные из общедоступных источников слабые места, ассоциируемые с конкретным типом ОО, будут влиять на процесс выбора тестируемого подмножества.

Оценщику следует включить в тестируемое подмножество те функции безопасности, которые связаны с известными из общедоступных источников слабыми местами для данного типа ОО (известные из общедоступных источников слабые места в данном случае относятся не к уязвимостям как таковым, а к несоответствиям или проблемным вопросам, которые были обнаружены для данного конкретного типа ОО). Если такие слабые места не известны, то может быть более приемлемым общий подход, связанный с выбором широкого диапазона функций безопасности;

г) значимость функций безопасности. Те функции безопасности, которые более значимы, чем другие, с точки зрения целей безопасности для ОО, следует включить в тестируемое подмножество;

д) утверждение о СФБ, сделанное в ЗБ. Все функции безопасности, для которых было сделано конкретное утверждение о СФБ, следует включить в тестируемое подмножество ФБО;

е) сложность функции безопасности. Для сложных функций безопасности может потребоваться выполнение сложных тестов, налагающих обременительные требования на разработчика или оценщика, которые, в свою очередь, не будут способствовать рентабельным оценкам. С другой стороны, сложные функции безопасности – это вероятная область поиска ошибок и подходящие кандидаты для включения в подмножество.

Оценщику необходимо достигнуть баланса между этими соображениями;

ж) неявное тестирование. Тестирование некоторых функций безопасности может зачастую сопровождаться неявным тестированием других функций безопасности, и их включение в подмножество может максимизировать (хотя и не в явном виде) число тестируемых функций безопасности. Некоторые интерфейсы обычно могут использоваться для обеспечения нескольких функциональных возможностей безопасности, и их следует сделать объектом эффективного подхода к тестированию;

з) типы интерфейсов ОО (например, программный интерфейс, командная строка, протокол).

Оценщику следует рассмотреть вопрос о включении тестов для всех различных типов интерфейсов, которые поддерживает данный ОО;

и) инновационные или необычные функции. В тех случаях, когда в ОО включены инновационные или необычные функции безопасности, которые могут широко быть представлены в маркетинговой литературе, они должны быть прямыми кандидатами на тестирование.

782 В данном руководстве сформулированы факторы, которые необходимо рассмотреть в процессе выбора приемлемого тестируемого подмножества ФБО, но они ни в коем случае не являются исчерпывающими.

783 Руководство по выборке см. в подразделе 10.2.

ATE_IND.3-5 Оценщик должен разработать тестовую документацию для тестируемого подмножества ФБО, детализация которой достаточна, чтобы обеспечить воспроизводимость тестов.

784 Уяснив из ЗБ и функциональной спецификации ожидаемый режим выполнения функции безопасности, оценщик должен определить наиболее подходящий способ тестирования данной функции. Оценщик, в особенности, рассматривает:

а) подход, который будет использоваться, например, будет ли функция безопасности тестироваться через внешний интерфейс, внутренний интерфейс с использованием каких либо средств автономного тестирования или будет использован альтернативный тестированию подход (например, в исключительных обстоятельствах – экспертиза кода);

б) интерфейс(ы) функции безопасности, который(е) будет(ут) использоваться для инициирования выполнения функции безопасности и наблюдения ее реакции;

в) начальные условия, которые будут необходимы для выполнения теста (т.е., какие бы то ни было конкретные объекты или субъекты, которые будут необходимы, и атрибуты безопасности, которые им необходимо будет иметь);

г) специальное оборудование для тестирования, которое потребуется либо для инициирования выполнения функции безопасности (например, генераторы пакетов), либо для наблюдения за функцией безопасности (например, сетевые анализаторы).

785 Оценщик может посчитать практичным тестировать каждую функцию безопасности, используя ряд наборов тестов, где каждый набор тестов будет использоваться для тестирования очень специфичного аспекта ожидаемого режима выполнения функции безопасности.

786 В тестовой документации оценщика следует определить происхождении каждого теста, прослеживая его к соответствующей спецификации проекта и, если необходимо, к ЗБ.

ATE_IND.3-6 Оценщик должен провести тестирование.

787 Оценщик использует разработанную тестовую документацию как основу для выполнения тестов по отношению к ОО. Тестовая документация используется как основа для тестирования, но это не мешает оценщику выполнить дополнительные специальные тесты.

Оценщик может разработать новые тесты, исходя из режима функционирования ОО, обнаруженного в течение тестирования. Эти новые тесты записываются в тестовую документацию.

ATE_IND.3-7 Оценщик должен зафиксировать следующую информацию о тестах, которые составляют подмножество тестов:

а) идентификационную информацию тестируемого режима выполнения функции безопасности;

б) инструкции по подключению и установке всего требуемого оборудования для тестирования, как это требуется для проведения конкретного теста;

в) инструкции по установке всех предварительных условий выполнения теста;

г) инструкции по инициированию функции безопасности;

д) инструкции по наблюдению режима поведения функции безопасности;

е) описание всех ожидаемых результатов и необходимого анализа, который выполняется по отношению к наблюдаемому режиму выполнения для сравнения с ожидаемыми результатами;

ж) инструкции по завершению тестирования и установке необходимого пост-тестового состояния ОО;

з) фактические результаты тестирования.

788 Уровень детализации должен быть таким, чтобы другой оценщик мог повторить тесты и получить эквивалентный результат. Хотя некоторые специфические детали результатов выполнения теста могут отличаться (например, поля времени и даты в записи аудита), общие результаты должны быть идентичными.

789 Возможны случаи, когда нет необходимости предоставлять всю информацию, представленную на этом шаге оценивания (например, фактические результаты тестирования могут не требовать какого бы то ни было анализа до их сравнения с ожидаемыми результатами). Это решение, как и его строгое обоснование, остается за оценщиком.

ATE_IND.3-8 Оценщик должен проверить, что все фактические результаты тестирования согласуются с ожидаемыми результатами тестирования.

790 Любые различия в фактических и ожидаемых результатах тестирования могут свидетельствовать либо о том, что ОО не функционирует в соответствии со спецификацией, либо о том, что тестовая документация оценщика может быть некорректной. Не ожидаемые фактические результаты тестирования могут потребовать внесения корректив в ОО или тестовую документацию, а также, возможно, повторного выполнения вызвавших коллизию тестов, модификации размера и состава выборки тестов.

Решение опустить эту информацию, как и его строгое обоснование, остается за оценщиком.

8.6.3.3.3 Действие ATE_IND.3.3E ATE_IND.3-9 Оценщик должен провести тестирование по всем тестам, находящимся в плане и процедурах тестирования разработчика.

791 Общая цель данного шага оценивания состоит в выполнении всех тестов разработчика, чтобы подтвердить правильность результатов тестирования разработчиком.

ATE_IND.3-10 Оценщик должен проверить, что все фактические результаты тестирования согласуются с ожидаемыми результатами тестирования.

792 Противоречия между ожидаемыми результатами тестирования разработчиком и фактическими результатами тестирования заставляют оценщика разрешать эти несоответствия. Противоречия, с которыми столкнулся оценщик, могут быть разрешены разработчиком путем убедительного объяснения и разрешения противоречий.

ATE_IND.3-11 Оценщик должен привести в ТОО информацию об усилиях по тестированию, вкратце изложив подход к тестированию, тестируемую конфигурацию, глубину и результаты тестирования.

793 Информация оценщика о тестировании, приводимая в ТОО, позволяет оценщику передать общий подход к тестированию и усилия, затраченные в течение оценки на вид деятельности по тестированию. Смысл предоставления этой информации состоит в том, чтобы дать содержательный краткий обзор усилий по тестированию. Не имеется в виду, чтобы информация о тестировании в ТОО была точным воспроизведением конкретных шагов тестирования или результатов отдельных тестов. Целью является предоставить достаточные подробности, чтобы позволить другим оценщикам и сотрудникам органа по сертификации получить некоторое понимание выбранного подхода к тестированию, объема выполненного оценщиком тестирования, объема выполненного разработчиком тестирования, тестируемых конфигураций ОО и общих результатов вида деятельности по тестированию.

794 Информация, относящаяся к усилиям оценщика по тестированию, которую обычно можно найти в соответствующем разделе ТОО, включает:

а) тестируемые конфигурации ОО. Конкретные конфигурации ОО, которые тестировались;

б) выбранный размер подмножества. Количество протестированных в течение оценки функций безопасности и строгое обоснование этого размера;

в) критерии выбора для функций безопасности, которые составляют тестируемое подмножество. Краткое изложение факторов, рассмотренных при отборе функций безопасности для включения в подмножество;

г) протестированные функции безопасности. Краткий перечень функций безопасности, включенных в подмножество;

д) выполненные тесты разработчика. Указание на то, что выполнены все тесты разработчика;

е) заключение по виду деятельности. Общий вывод по результатам тестирования, проведенного в течение оценки.

795 Данный перечень ни в коем случае не является исчерпывающим и предназначен только для того, чтобы дать некоторое представление о типе информации, касающейся тестирования, выполненного оценщиком в течение оценки, которую следует представить в ТОО.

9 Вид деятельности AVA 9.1 Введение 796 Вид деятельности «Оценка уязвимостей» позволяет сделать заключение о существовании и пригодности для использования в предопределенной среде недостатков или слабых мест в ОО. Это заключение основывается на анализе, выполненном разработчиком и оценщиком, и поддерживается тестированием, выполненным оценщиком.

9.2 Цели 797 Вид деятельности «Оценка уязвимостей» предназначен для того, чтобы сделать заключение о существовании и пригодности для использования в предопределенной среде недостатков или слабых мест в ОО.

9.3 Замечания по применению, относящиеся к стойкости функций безопасности и анализу уязвимостей 798 Сравнение показывает, что между анализом стойкости функций безопасности ОО и анализом уязвимостей (поиском потенциальных уязвимостей, приводящим к тестированию уязвимостей) имеется как существенное сходство, так и существенные различия.

799 Существенное сходство основано на использовании потенциала нападения. Для обоих видов анализа оценщик определяет минимальный потенциал нападения, требуемый нарушителю, чтобы осуществить нападение, и приходит к заключению относительно возможностей ОО противостоять нападению. В таблице 9.1 и таблице 9.2 демонстрируются и далее описываются взаимосвязи между этими видами анализа и потенциалом нападения.

800 Таблица 9.1 – Тестирование уязвимостей и потенциал нападения Компонент ОО противостоит Остаточные уязвимости способен анализа уязвимостей нарушителю с использовать только нарушитель с потенциалом нападения: потенциалом нападения:

VLA.4 высокий Не применимо – успешное нападение за пределами практически возможного VLA.3 умеренный высокий VLA.2 низкий умеренный 802 Таблица 9.2 – Стойкость функции безопасности и потенциал нападения Уровень СФБ Адекватная защита от Недостаточная защита от нарушителя с нарушителя с потенциалом потенциалом нападения: нападения:

высокая СФБ высокий Не применимо – успешное нападение за пределами практически возможного средняя СФБ умеренный высокий базовая СФБ низкий умеренный 803 Существенные различия между этими видами анализа основаны на природе функции безопасности ОО, а также на характере нападения. Анализ стойкости функции безопасности ОО выполняется только для функций безопасности, реализуемых вероятностными или перестановочными механизмами, за исключением тех из них, которые основаны на криптографии. Более того, при анализе предполагается, что вероятностный или перестановочный механизм безопасности реализован безупречно, и что функция безопасности используется при нападении с учетом ограничений ее проекта и реализации.

Как показано в таблице 9.2, уровень СФБ также отражает нападение, описанное в терминах потенциала нападения, для защиты от которого спроектирована функция безопасности, реализуемая вероятностными или перестановочными механизмами.

804 Анализ уязвимостей применяется ко всем некриптографическим функциям безопасности ОО, включая те из них, механизмы реализации которых, по своей природе, являются вероятностными или перестановочными. Не делается никаких предположений относительно корректности проекта и реализации функции безопасности;

а также не накладывается ограничений на метод нападения или взаимодействие нарушителя с ОО – если нападение возможно, то оно рассматривается в процессе анализа уязвимостей. Как показано в таблице 9.1, успешная оценка в соответствии с компонентом доверия, связанным с анализом уязвимостей, отражает уровень источника угрозы, описанный в терминах потенциала нападения, для защиты от которого спроектированы и реализованы все функция безопасности ОО.

9.3.1 Потенциал нападения 9.3.1.1 Применение потенциала нападения 805 Потенциал нападения является функцией от компетентности, ресурсов и мотивации нарушителя. Потенциал нападения специально рассматривается оценщиком двумя различными способами в процессе оценки ЗБ и при выполнении действий по оценке уязвимостей. В процессе оценки ЗБ оценщик делает заключение, является ли выбор компонентов требований доверия, в особенности компонентов класса оценки уязвимостей, соразмерным с потенциалом нападения источника угроз (см. ASE_REQ.1.4C). Случаи, когда требования доверия не соразмерны, могут означать, что либо оценка не будет обеспечивать достаточное доверие, либо оценка будет излишне трудоемкой. В процессе оценки уязвимостей оценщик использует потенциал нападения как способ определения возможности использования идентифицированных уязвимостей в предопределенной среде.

9.3.1.2 Трактовка мотивации 806 Мотивация является фактором потенциала нападения, который может использоваться, чтобы описать различные аспекты, относящиеся к нарушителю и активам, которые интересуют нарушителя. Во-первых, мотивация может подразумевать определенную вероятность нападения — из угрозы, описанной как высокомотивированная, можно предположить, что нападение неизбежно, или что вследствие немотивированной угрозы нападение не ожидается. Однако, за исключением этих двух крайних уровней мотивации, затруднительно, исходя из мотивации, установить вероятность осуществления нападения.

807 Во-вторых, мотивация может подразумевать определенную ценность актива в денежном или ином выражении для нарушителя или владельца актива. Более ценный актив обусловит, вероятно, более высокую мотивацию по сравнению с менее ценным активом.

Однако, кроме общих рассуждений, трудно связать ценность актива с мотивацией, потому что ценность актива субъективна – она в значительной степени зависит от того, что вкладывает в понятие ценности владелец актива.

808 В-третьих, мотивация может подразумевать определенную компетентность и ресурсы, с которыми нарушитель намеревается произвести нападение. Можно предполагать, что нарушитель с высокой мотивацией, вероятно, приобретет достаточную компетентность и ресурсы, чтобы преодолеть меры защиты актива. И, наоборот, можно предполагать, что нарушитель с высокой компетентностью и значительными ресурсами не захочет, используя их, произвести нападение, если имеет низкую мотивацию.

809 В ходе подготовки и проведения оценки, так или иначе, рассматриваются все три аспекта мотивации. Первый аспект, вероятность нападения — это то, что может побудить разработчика добиваться оценки. Если разработчик полагает, что у нарушителей имеется достаточная мотивация, чтобы организовать нападение, то оценка может обеспечить доверие к способности ОО помешать усилиям нарушителя. Когда предопределенная среда полностью определена, например, при оценке системы, уровень мотивации нападения может быть известен и повлияет на выбор контрмер.

810 Рассматривая второй аспект, владелец актива может полагать, что ценность активов (как либо измеренная) достаточна, чтобы мотивировать нападение на них. Как только оценку посчитают необходимой, рассматривается мотивация нарушителя для определения методов нападения, которое может быть предпринято, а также компетентность и ресурсы, которые могут использоваться при этих нападениях. После проведения исследований разработчик способен выбрать соответствующий уровень доверия, в частности, компоненты требований из класса AVA, соразмерные с потенциалом нападения для данных угроз. В ходе оценки и, в частности, по результатам завершения вида деятельности по оценке уязвимостей оценщик делает заключение, достаточен ли ОО, функционирующий в предопределенной среде, чтобы помешать нарушителям с идентифицированной компетентностью и ресурсами.

9.3.2 Вычисление потенциала нападения 811 В этом подразделе исследуются факторы, которые определяют потенциал нападения, и предоставляется руководство, способствующее устранению некоторой субъективности этого аспекта процесса оценивания. Данный подход следует выбрать, если оценщик не сделает заключение, что он не является надлежащим;

в последнем случае требуется строгое обоснование правильности альтернативного подхода.

9.3.2.1 Идентификация и использование 812 Чтобы нарушитель использовал уязвимость, ее необходимо сначала идентифицировать, а затем использовать. Это разделение может показаться тривиальным, но является существенным. Чтобы проиллюстрировать это, рассмотрите уязвимость, которая обнаружена после месяцев анализа экспертом, и простой метод нападения, опубликованный в Интернете. Сравните это с уязвимостью, которая широко известна, но требует огромного времени и ресурсов для использования. Понятно, что такие факторы, как время необходимо в этих случаях трактовать по-разному.

813 Для анализа СФБ проблема использования обычно более важна, так как уязвимости в вероятностных или перестановочных механизмах будут зачастую сами по себе очевидны.

Заметьте, однако, что так случается не всегда. Для криптографических механизмов, например, знание неочевидных уязвимостей может значительно влиять на эффективность нападения "грубой силой". Знание того, что пользователи системы имеют склонность выбирать имена людей в качестве паролей, будет иметь подобный результат. Для оценки уязвимостей выше, чем по AVA_VLA.1, начальная идентификация уязвимостей приобретет гораздо более важное значение, так как существование трудных для раскрытия уязвимостей может быть обнародовано, зачастую делая использование тривиальным.

9.3.2.2 Учитываемые факторы 814 В ходе анализа потенциала нападения, требуемого для использования уязвимости, необходимо учитывать следующие факторы:

а) Идентификация:

1) время, затрачиваемое на идентификацию уязвимости;

2) техническая компетентность специалиста;

3) знание проекта и функционирования ОО;

4) доступ к ОО;

5) аппаратные средства/программное обеспечение ИТ или другое оборудование, требуемое для анализа.

б) Использование:

1) время, затрачиваемое на использование уязвимости;

2) техническая компетентность специалиста;

3) знание проекта и функционирования ОО;

4) доступ к ОО;

5) аппаратные средства/программное обеспечение ИТ или другое оборудование, требуемое для использования уязвимости.

815 Во многих случаях эти факторы не являются независимыми и могут в различной степени заменять друг друга. Например, компетентность или аппаратные средства/программное обеспечение могут быть заменой времени. Эти факторы обсуждаются далее.

816 Время – это время, обычно затрачиваемое нарушителем на непрерывной основе, чтобы идентифицировать или использовать уязвимость. В целях данного обсуждения, за минуты означает, что при нападении идентификация и использование уязвимости занимает менее получаса;

за часы означает нападение, которое может быть успешным менее чем за день;

за дни означает, что нападение может быть успешным менее чем за месяц, и за месяцы означает, что успешное нападение требует, по меньшей мере, месяца.

817 Компетентность специалиста относится к уровню общих знаний прикладной области или типа продукта (например, операционной системы Unix, протоколов Интернета).

Идентифицированными уровнями являются следующие:

а) Эксперты хорошо знакомы с основными алгоритмами, протоколами, аппаратными средствами, структурами и т.п., реализованными в типе продукта или системы, а также с применяемыми принципами и концепциями безопасности;

б) Профессионалы хорошо осведомлены в том, что касается режима безопасности продукта или системы данного типа;

в) Непрофессионал слабо осведомлен, по сравнению с экспертом или профессионалом, и не обладает специфической компетентностью.

818 Знание ОО указывает на определенный уровень знаний об ОО. Оно отличается от общей компетентности, хотя и связано с ней. Идентифицированными уровнями являются следующие:

а) Отсутствие информации об ОО, кроме его назначения;

б) Общедоступная информация об ОО (например, полученная из руководства пользователя);

в) Чувствительная информация об ОО (например, сведения о внутреннем содержании проекта).

819 Здесь следует проявить внимательность, чтобы отделить информацию, необходимую для идентификации уязвимости, от информации, необходимой для ее использования, особенно в области чувствительной информации. Требовать чувствительную информацию об использовании уязвимости было бы необычно.

820 Доступ к ОО также является важным обстоятельством и имеет отношение к фактору "время". Идентификация или использование уязвимости могут требовать продолжительного доступа к ОО, что может увеличить вероятность обнаружения.

Некоторые нападения могут требовать значительных автономных усилий и лишь краткого доступа к ОО для использования уязвимости. Доступ также может быть необходим непрерывный или в виде нескольких сеансов. В целях данного обсуждения, за минуты означает, что требуется доступ менее получаса;

за часы означает, что требуется доступ менее, чем день;

за дни означает, что требуется доступ менее, чем месяц, и за месяцы означает, что требуется доступ, по меньшей мере, в течение месяца. Когда доступ к ОО не увеличивает вероятность обнаружения (например, смарт-карта в распоряжении нарушителя), этот фактор следует игнорировать.

821 Аппаратные средства/программное обеспечение ИТ или другое оборудование указывает на оборудование, которое требуется для идентификации или использования уязвимости.

а) Стандартное оборудование — это оборудование либо для идентификации уязвимости, либо для нападения, которое легко доступно нарушителю. Это оборудование может быть частью самого ОО (например, отладчик в операционной системе) или может быть легко получено (например, программное обеспечение, загружаемое из Интернета или простые сценарии нападения).

б) Специализированное оборудование не легко доступно нарушителю, но может быть приобретено без значительных усилий. Оно может включать покупку небольшого количества оборудования (например, анализатора протоколов) или разработку более сложных сценариев и программ нападения.

в) Заказное оборудование не легко доступно широкому кругу, поскольку либо может потребоваться его специальная разработка (например, очень сложное программное обеспечение), либо оборудование настолько специализировано, что его распространение контролируется и, возможно, даже ограничено. Или же оборудование может быть очень дорогим. Использование сотен персональных компьютеров, связанных через Интернет, как правило, относится к этой категории.

822 Компетентность специалиста и знание ОО связаны с информацией, необходимой нарушителям, чтобы быть способными к нападению на ОО. Существует неявная зависимость между компетентностью нарушителя и его способностью эффективно использовать оборудование при нападении. Чем ниже компетентность нарушителя, тем ниже потенциал использования оборудования. Аналогично, чем выше компетентность, тем выше потенциал оборудования, используемого при нападении. Будучи неявной, зависимость между компетентностью и использованием оборудования проявляется не всегда: например, если меры среды предотвращают использование оборудования опытным нарушителем, или если кем-то другим созданы и свободно распространяются (например, через Интернет) инструментальные средства нападения, требующие невысокой квалификации для эффективного использования.

9.3.2.3 Подход к вычислению 823 В предыдущем пункте определены факторы, подлежащие рассмотрению. Однако для проведения стандартной оценки требуется дальнейшее руководство. Для поддержки этого процесса предусмотрен следующий подход. Должны быть представлены конкретные числа с целью достижения уровней, которые согласуются с соответствующими уровнями оценки.

824 В таблице 9.3 идентифицируются факторы, обсуждавшиеся в предыдущем пункте, и им поставлены в соответствие числовые значения по двум аспектам: идентификации и использованию уязвимости. При определении потенциала нападения для данной уязвимости из каждого столбца для каждого фактора следует выбрать определенное значение (10 значений). При выборе значений должна учитываться предопределенная среда ОО. Выбранные 10 значений суммируются, давая итоговое значение. Это значение затем сверяется с таблицей 9.4 для определения рейтинга.

825 Когда значение фактора оказывается близким к границе диапазона, то оценщику следует подумать об использовании значения, усредняющего табличные. Например, если для использования уязвимости требуется доступ к ОО в течение одного часа или если доступ обнаруживается очень быстро, то для этого фактора может быть выбрано значение между и 4. Таблица 9.3 предназначена для руководства.

Таблица 9.3 – Вычисление потенциала нападения Значение при Значение при Название Диапазон идентификации использовании фактора уязвимости уязвимости < 0.5 часа 0 < 1 день 2 Затрачиваемое < 1месяц 3 время > 1месяц 5 Не практично * * Непрофессионал 0 Компетентность Профессионал 2 Эксперт 5 Отсутствие информации 0 Общедоступная 2 Знание ОО информация Чувствительная 5 информация < 0.5 часа или не 0 обнаруживаемый доступ < 1 день 2 Доступ к ОО < 1 месяц 3 > 1 месяц 4 Не практично * * Отсутствует 0 Стандартное 1 Оборудование Специализированное 3 Заказное 5 * Означает, что нападение невозможно в пределах тех временных рамок, которые были бы приемлемы для нарушителя. Любое значение «*» указывает на «высокий» рейтинг.

826 Для конкретной уязвимости может возникнуть необходимость сделать несколько проходов таблицы для различных сценариев нападения (например, попеременно использовать разные значения компетентности в сочетании со значениями факторов времени или оборудования).

Наименьшее значение, полученное для этих проходов, следует сохранить.

827 В случае уязвимости, которая уже идентифицирована и информация о которой общедоступна, идентифицируемые значения для нарушителя следует выбирать, исходя из раскрытия этой уязвимости в общедоступных источниках, а не из начальной ее идентификации нарушителем.

828 Затем для получения рейтинга уязвимости следует использовать таблицу 9.4.

Таблица 9.4 – Рейтинг уязвимостей ОО противостоит Диапазон нарушителю с значений потенциалом нападения:

< 10 Нет рейтинга 10-17 Низкий 18-24 Умеренный > 25 Высокий 829 Подобный подход не позволяет учесть все обстоятельства и факторы, но должен давать лучшее указание на уровень противодействия нападениям, требуемый для достижения рейтингов, приведенных в таблице 9.4. Другие факторы, такие, как расчет на малую вероятность случайных воздействий или вероятность обнаружения атаки до того, как она может быть завершена, не включены в базовую модель, но могут использоваться оценщиком как строгое обоснование для рейтинга иного, чем тот, на который может указывать базовая модель.

830 В случаях, когда, например, определяется рейтинг механизма пароля, а реализация ОО такова, что допускается очень мало попыток до ограничения нападения, рейтинг стойкости становится почти полностью связанным с вероятностью правильного отгадывания в течение этих немногочисленных попыток. Такие меры ограничения обычно рассматриваются как часть функции управления доступом, и в то время как сам механизм пароля может получить, например, только рейтинг «средняя СФБ», для функции управления доступом может быть вынесено суждение о рейтинге «высокая СФБ».

831 Следует отметить, что в то время как ряд уязвимостей, оцененных по отдельности, могут указывать на высокое противодействие нападениям, наличие других уязвимостей может изменять табличные значения так, что комбинация уязвимостей будет свидетельствовать о применимости более низкого общего рейтинга. Другими словами, наличие одной уязвимости может упростить использование другой. Предполагается, что такая оценка является частью анализа уязвимостей разработчиком и оценщиком.

9.3.3 Пример анализа стойкости функции 832 Ниже представлен анализ СФБ для гипотетического механизма цифрового пароля.

833 Информация, полученная из ЗБ и свидетельств проекта, показывает, что идентификация и аутентификация предоставляют основу для управления доступом к сетевым ресурсам с терминалов, расположенных далеко друг от друга. Управление физическим доступом к терминалам каким-либо эффективным способом не осуществляется. Управление продолжительностью доступа к терминалу каким-либо эффективным способом не осуществляется. Уполномоченные пользователи системы подбирают себе свои собственные цифровые пароли для входа в систему во время начальной авторизации использования системы и в дальнейшем – по запросу пользователя. Система содержит следующие ограничения на цифровые пароли, выбираемые пользователем:

а) цифровой пароль должен быть не менее четырех и не более шести цифр длиной;

Pages:     | 1 | 2 || 4 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.