• baner CCMODE
Drukuj

Poziom uzasadnionego zaufania do zabezpieczeń (EAL)

Super User. Opublikowano w Szybki start

Uzasadnione zaufanie do zabezpieczeń jest mierzalne w skali EAL1 do EAL7 i wraz ze wzrostem tego poziomu wzrasta także rygoryzm i szczegółowość procesu konstruowania zabezpieczeń produktu. Poziomy EAL mają następującą interpretację:

  • EAL1 – określa, że „TOE był testowany funkcjonalnie" (ang. functionally tested),
  • EAL2 – określa, że „TOE był testowany strukturalnie" (ang. structurally tested),
  • EAL3 – określa, że „TOE był metodycznie sprawdzany i testowany" (ang. methodically tested and checked),
  • EAL4 – określa, że „TOE był metodycznie projektowany, testowany i przeglądany" (ang. methodically designed, tested and reviewed),
  • EAL5 – określa, że „TOE był półformalnie projektowany i testowany" (ang. semiformally designed and tested),
  • EAL6 – określa, że „projekt TOE został półformalnie zweryfikowany i przetestowany" (ang. semiformally verified design and tested),
  • EAL7 – określa, że „projekt TOE został formalnie zweryfikowany i przetestowany" (ang. formally verified design and tested).

Deklarowanym przez konstruktorów poziomom uzasadnionego zaufania dla produktu odpowiadają specjalnie skomponowane zbiory komponentów uzasadniających zaufanie, zwane pakietami uzasadnionego zaufania. W tabeli dostępnej na stronie www.tools.commoncriteria.pl/ccHelp/#EAL pokazano strukturę poszczególnych pakietów EAL. Wytwarzając produkt, który ma być zgodny z danym poziomem, konstruktor narzuca sobie jednocześnie zbiór wymagań, zgodnie z którymi projektuje zabezpieczenia. Stosowanie wymagań z pakietów EAL jest głównym źródłem zapewnienia wiarygodności dla zastosowanych w produkcie funkcji zabezpieczających.

Drukuj

Model ogólny zaufania

Super User. Opublikowano w Szybki start

W nomenklaturze standardu to, że funkcje zabezpieczające można obdarzać uzasadnionym zaufaniem, rozumiane jest jako przekonanie, że produkt lub system informatyczny spełnia wyspecyfikowane dla niego cele zabezpieczeń. Spełnienie danego celu oznacza zadziałanie odpowiadającego mu zabezpieczenia. „Przekonanie" to nie może być bezkrytyczne, lecz oparte na solidnych podstawach, dowodach, analizach, niezależnej ocenie i eksperymentach, stąd jest „uzasadnione". Przyjęto więc, że źródłem uzasadnionego zaufania jest rygorystyczny proces konstruowania, wytwarzania i utrzymywania produktu lub systemu, a także proces oceny, prowadzonej przez niezależnych ekspertów w akredytowanym laboratorium.

Drukuj

Słownik podstawowych terminów stosowanych w standardzie CC

Super User. Opublikowano w Szybki start

Pełna wersja słownika definicji w języku angielskim dostępna jest w I części standardu CC, a także w interaktywnej wersji standardu pod adresem: http://www.tools.commoncriteria.pl/ccHelp/#definitions.

Pojęcia związane ze standardem ISO/IEC 15408

  • Utrzymanie zaufania (ang. Assurance Continuity - AC)  – proces utrzymania zaufania dla certyfikowanego produktu lub lokalnego środowiska rozwojowego, który to proces realizowany jest przez instytucje certyfikujące po wystąpieniu zmian w podmiocie certyfikowanym.
  • Kryteria akceptacji (ang. acceptance criteria)  – kryteria stosowane podczas wykonywania procedury akceptacji (np. pomyślny przegląd dokumentów lub testy zakończone sukcesem w przypadku oprogramowania lub sprzętu).
  • Procedury akceptacji (ang. acceptance procedures) – procedury postępowania w celu zaakceptowania nowoutworzonych lub zmodyfikowanych pozycji konfiguracji w ramach TOE lub przeniesienia ich do następnego etapu w cyklu życia.
  • Administrator (ang. administrator) – jednostka posiadająca poziom uprawnień zgodny ze wszystkimi politykami zaimplementowanymi przez TSF.
  • Działania niepożądane (ang. adverse actions) – działania wykonywane na zasobach przez agentów zagrożeń.
  • Noty aplikacyjne (ang. application notes)  – dodatkowe uwagi na temat stosowania danego składnika.
  • Zasoby (ang. assets) – aktywa mające określoną wartość dla właściciela.
  • Przypisanie (ang. assignment)  – operacja wykonywana na elementach SFR oraz SAR, polegająca na przypisaniu przez autora ST/PP określonej wartości lub tekstu zgodnie z opisem parametru.
  • Założenie (ang.  assumption)  – jedno z trzech rodzajów aspektów definicji problemu bezpieczeństwa (SPD); założenia dotyczą tylko środowiska operacyjnego TOE i mają zapewnić poprawność wykonywania przez TOE swoich funkcji zabezpieczających; założenia mogą być nakładane na aspekty fizyczne, osobowe i połączeniowe środowiska operacyjnego.
  • Uzasadnione zaufanie (ang.  assurance)  – pewność, że TOE spełnia wymagania funkcjonalne zabezpieczeń (SFR).
  • Siła ataku (ang.  attack potential)  – środki i ich siła stosowane w trakcie ataku na zasoby TOE (doświadczenie, motywacja i narzędzia agenta zagrożenia).

  • Wzbogacony (ang.  augmented)  – termin stosuje się w przypadku, gdy dany pakiet wymagań bezpieczeństwa powiększono w ST/PP o nowy komponent lub przynajmniej jeden z komponentów podmieniono na komponent o wyższym rygoryzmie.
  • Dane uwierzytelniające (ang.  authentication data)  – informacje wykorzystywane do weryfikacji tożsamości użytkownika.
  • Upoważniony użytkownik (ang.  authorized user)  – użytkownik TOE, który może wykonywać operacje zgodnie z wymaganiami funkcjonalnymi (SFR).
  • Składnik podstawowy, część podstawowa (ang. base component)  – jednostka / podmiot złożonego TOE, która sama była poddawana ocenie, dostarczająca usługi i zasoby składnikom zależnym.
  • Sprzężenie wywołań (ang.  call coupling)  – dwa moduły są sprzężone wywołaniami, jeśli ściśle komunikują się za pomocą swoich udokumentowanych wywołań funkcji; przykładami sprzęgania wywołań są: dane, znacznik, sterowanie.
  • Sprzężenie wywołań (sterowanie) (ang.  call coupling (control))  – związek pomiędzy dwoma modułami, w którym jeden moduł przekazuje informację do drugiego wpływając na jego wewnętrzną logikę.
  • Sprzężenie wywołań (dane) (ang.  call coupling (data))  – związek pomiędzy modułami komunikującymi się bezpośrednio poprzez wywoływanie parametrów reprezentujących pojedyncze elementy danych.
  • Sprzężenie wywołań (znacznik) (ang.  call coupling (stamp))  – związek pomiędzy dwoma modułami poprzez wywoływanie parametrów składających się z wielu pól lub mających ważną strukturę wewnętrzną.
  • Drzewo wywołań (ang. call tree)  – przedstawia w postaci schematu wszystkie moduły w systemie wraz z wywołaniami pomiędzy modułami.
  • Pakiet uzasadnionego zaufania dla złożonych TOE (ang. CAP (Composed Assurance Package))– pakiet uzasadnionego zaufania, składający się z wymagań SAR (głównie z klasy ACO). Skala CAP jest trzystopniowa: CAP–A, CAP–B, CAP–C. Skład pakietów jest opisany w CC Part 3.

  • CC (Wspólne Kryteria) (ang. CC (Common Criteria)
  • Komisja do spraw rozwoju Wspólnych Kryteriów (ang. CCDB (Common Criteria Development Board))
  • CCRA  (ang. CCRA (Arrangement on the Recognition of Common Criteria Certificates in the field of IT Security)) – porozumienie w sprawie uznawania certyfikatów Common Criteria w dziedzinie bezpieczeństwa IT.
  • Klasa (ang. class) – zbiór rodzin CC, które odnoszą się do jednej dziedziny.
  • Zarządzanie konfiguracją (ang. CM (Configuration Management)– reguły stosowania technicznych i administracyjnych wytycznych i nadzoru dla: zidentyfikowania i dokumentowania funkcjonalnych i fizycznych parametrów elementów konfiguracji, kontroli zmian tych parametrów, zapisywania i raportowania zmian statusu przetwarzania i implementacji oraz weryfikacji zgodności z wyspecyfikowanymi wymaganiami.
  • Dokumentacja CM (ang. CM documentation) – cała dokumentacja CM, w tym wyjście CM, lista CM (lista konfiguracji), system ewidencji CM, plan CM oraz dokumentacja użytkowania CM.
  • Spójny, zrozumiały (ang. coherent) – logicznie uporządkowany i posiadający wyraźne znaczenie. Dla dokumentacji odnosi się to zarówno do samego tekstu, jak również struktury dokumentu, tzn. musi on być zrozumiały przez jego grupę docelową.
  • Spójność modułu (ang. cohesion) – sposób oraz stopień, w jakim zadania wykonywane przez pojedynczy moduł oprogramowania są powiązane z innymi zadaniami. Wyróżnia się następujące typy spójności: przypadkową, komunikacyjną, funkcjonalną, logiczną, sekwencyjną oraz tymczasową.
  • Spójność przypadkowa modułu (ang. coincidental cohesion) – określa niepowiązane lub słabo powiązane zadania wykonywane przez moduł.
  • Wzajemne sprzężenie (ang. common coupling) – związek pomiędzy modułami, które współdzielą wspólny obszar danych lub wspólne zasoby systemowe.

  • Spójność komunikacyjna modułu (ang. communicational cohesion) – moduł zawierający funkcje generujące wyjścia dla innych funkcji w ramach modułu.
  • Kompatybilne (składniki, części) (ang. compatible (components))  – własność składnika umożliwiająca dostarczenie usług wymaganych przez inne składniki, poprzez odpowiednie interfejsy każdego składnika, w spójnym środowisku operacyjnym.
  • Kompletne (ang. complete)  – oznacza, że wszystkie niezbędne części jednostki zostały dostarczone; pod względem dokumentacji, oznacza to, że wszystkie istotne informacje ujęte w dokumentacji są na takim poziomie szczegółowości, że dalsze wyjaśnienia nie są potrzebne na tym poziomie abstrakcji.
  • Złożoność oprogramowania  (ang. complexity)  – miara trudności analizy, testowania i utrzymywania oprogramowania.
  • Komponent  (ang. component)  – najmniejszy możliwy do wyboru zbiór elementów, na których mogą być oparte wymagania.
  • Składnik, część TOE  (ang. component TOE)  – pozytywnie oceniony TOE, stanowiący składnik innego, złożonego TOE.
  • Złożone środowisko lokalne  (ang. composed site)  – wynik procesu łączenia; jest to połączenie co najmniej jednego certyfikowanego środowiska lokalnego z innym certyfikowanym środowiskiem lokalnym lub takim, którego nie wszystkie komponenty z klasy ALC otrzymały certyfikat.
  • Złożone TOE  (ang. composed TOE)  – TOE złożone z kilku innych pozytywnie ocenionych TOE.
  • Element konfiguracji (ang. configuration item)  – obiekt zarządzany przez system CM w trakcie rozwoju TOE; może być częścią TOE, obiektem związanym (np. dokument niezbędny dla oceny lub narzędzie stosowane w trakcie rozwoju TOE).
  • Lista konfiguracji  (ang. configuration list)  – wyjściowe dokumenty zarządzania konfiguracją zawierające listę wszystkich elementów konfiguracji określonego produktu wraz z dokładną wersję każdego elementu.

  • Dowód zarządzania konfiguracją (ang. configuration management evidence)  – wszystko, co może być wykorzystane dla potwierdzenia zaufania do prawidłowo działającego systemu CM.
  • Wyniki zarządzania konfiguracją (ang. configuration management output)  – dane wyjściowe wyprodukowane lub narzucone przez system zarządzania konfiguracją; mogą to być dokumenty (np. wypełnione formularze, zapisy pracy systemu CM), jak również czynności (np. działania fizyczne zgodne z instrukcją zarządzania konfiguracją); przykładami takich wyników CM są listy konfiguracyjne i plany zarządzania konfiguracją.
  • Plan zarządzania konfiguracją (ang. configuration management plan)  – opis, w jaki sposób system zarządzania konfiguracją jest stosowany dla TOE; celem wydawania planu CM jest to, aby pracownicy wiedzieli dokładnie, jakie czynności mają realizować.
  • System zarządzania konfiguracją (ang. configuration management system)  – zestaw procedur i narzędzi (w tym ich dokumentacja) używany przez konstruktora do rozwijania i utrzymywania konfiguracji swoich produktów w ich cyklu życia; system CM może uwzględniać różne stopnie rygoryzmu i funkcjonalności; na wyższych poziomach systemy CM powinny być zautomatyzowane, powinny kontrolować usuwanie błędów oraz zmiany w projekcie, a także zapewniać różne mechanizmy śledzenia.
  • Zapisy z pracy systemu CM  (ang. configuration management system records)  – dokumentuje najważniejsze czynności systemu CM.
  • Narzędzia zarządzania konfiguracją (ang. configuration management tools)  – obsługiwane ręcznie lub zautomatyzowane narzędzia realizujące lub wspierające system CM.
  • Dokumentacja użytkowania CM  (ang. configuration management usage documentation)  – część systemu zarządzania konfiguracją, która opisuje, w jaki sposób system zarządzania konfiguracją jest zdefiniowany i stosowany przez jego użytkowników; na przykład, dokumentacja może obejmować: podręczniki, przepisy lub dokumentację narzędzi i procedur.
  • Potwierdzać (ang. confirm)  – stwierdzenie, że coś zostało poddane przeglądowi w sposób szczegółowy i wystarczający; określenie to jest stosowane tylko do działań oceniającego.
  • Zgodność (ang. conformance) 

  • Deklaracja zgodności (ang. conformance claim) 
  • Zdolność przyłączeniowa (ang. connectivity)  – cecha dotycząca połączeń, własność TOE umożliwiająca interakcję z zewnętrznymi podmiotami IT; dotyczy to również wymiany danych drogą przewodową lub drogą bezprzewodową, na każdą odległość w dowolnym środowisku lub konfiguracji.
  • Zgodny, spójny (ang. consistent)  – związek pomiędzy dwoma lub więcej jednostkami, między którymi nie ma oczywistych sprzeczności.
  • Sprzężenie poprzez zawartość (ang. content coupling) – związek pomiędzy modułami, w którym jeden używa bezpośrednich odnośników do zawartości drugiego (np. modyfikując jego kod lub odnosząc się do jego wewnętrznych etykiet).
  • Przeciwdziałać (ang. counter)  – przeciwdziałanie wobec ataku, w taki sposób, że wpływ zagrożenia jest zmniejszony, ale niekoniecznie wyeliminowany.
  • Środki zaradcze, zabezpieczenia (ang. countermeasures) 
  • Sprzężenie (ang. coupling)  – sposób i stopień wzajemnych zależności pomiędzy modułami oprogramowania; typy sprzężeń: sprzężenia poprzez wywołanie, sprzężenie wzajemne, sprzężenie poprzez zawartość.
  • Ukryty kanał (ang. covert channel)  – wymuszony, nielegalny kanał komunikatów sterujących, który pozwala użytkownikowi na naruszenie wielopoziomowej polityki separacji i wymagań nieobserwowalności TOE.
  • Uznaniowa kontrola dostępu (ang. DAC (Discretionary Access Control))  – dostęp jest ograniczany na podstawie tożsamości użytkownika/procesu oraz grup, do których on należy; użytkownik posiadający określone prawa dostępu do obiektów może nadawać je innym użytkownikom; DAC pozwala użytkownikowi na całkowite ustalenie uprawnień dostępu do własnych zasobów.
  • Dostawa (ang. delivery)  – przekazywanie gotowego TOE ze środowiska produkcyjnego w ręce klienta; dostawa jest działaniem w cyklu życia produktu, które może obejmować pakowanie i magazynowanie w środowisku rozwojowym, ale nie obejmuje transportu niedokończonych TOE lub ich części pomiędzy konstruktorami lub różnymi środowiskami rozwojowymi.

  • Zgodność wykazywana (ang. demonstrable conformance)  – związek pomiędzy ST i PP, gdzie ST zawiera rozwiązanie ogólnego problemu bezpieczeństwa w PP; PP i ST mogą zawierać zupełnie różne stwierdzenia, które odnoszą się do różnych elementów, używają różnych pojęć itp.; zgodność wykazywana może odnosić się również do typu TOE, jeżeli kilka podobnych PP już istnieje, dzięki czemu autor ST deklaruje zgodność z tymi PP oszczędzając w ten sposób pracę i czas.
  • Wykazać (ang. demonstrate)  – poprzez wnioski zdobyte na drodze analizy; wykazanie jest mniej rygorystyczne niż „dowód".
  • Zależność (ang. dependency (CC components))  – relacja między komponentami taka, że jeśli komponent posiadający zależności znajduje się w PP, ST lub pakiecie, to komponenty zależne od niego również muszą się tam znaleźć.
  • Składnik zależny, część zależna (ang. dependent component (part of composed TOE))  – jednostka / podmiot złożonego TOE, która sama była poddawana ocenie; część zależna wykorzystuje usługi dostarczane przez część podstawową.
  • Opisać (ang. describe)  – zapewnić konkretne dane (opis) czegoś (np. podmiotu, zasobu).
  • Określić (ang. determine)  – potwierdzenie danego wniosku w oparciu o niezależną analizę; użycie tego terminu oznacza prawdziwie niezależne analizy, zwykle w przypadku braku wcześniej przeprowadzonych analiz; porównując z terminami „confirm – potwierdzić" lub „verify – sprawdzać", można wywnioskować, że analizy zostały już przeprowadzone i muszą zostać poddane przeglądowi.
  • Konstruktor (ang. developer)  – instytucja odpowiedzialna za rozwój TOE.
  • Rozwój, konstruowanie (ang. development)  – faza cyklu życia produktu, która prowadzi do powstania gotowego produktu (TOE), jak również do jego reprezentacji implementacji.
  • Środowisko rozwojowe (ang. development environment) – środowisko, w którym opracowywany jest TOE.
  • Narzędzia rozwoju (ang. development tools) – narzędzia (łącznie z oprogramowaniem do badań, jeżeli dotyczy) wspierające rozwój i produkcję TOE; na przykład dla oprogramowania (software TOE) są to narzędzia programistyczne. 

  • Separacja domeny (ang. domain separation) – właściwość architektury zabezpieczeń, za pomocą której TSF definiuje osobne obszary bezpieczeństwa dla każdego użytkownika i TSF, zapewniając jednocześnie, że żaden proces użytkownika nie wpływa na zawartość obszaru zabezpieczeń innego użytkownika lub TSF.
  • Poziom uzasadnionego zaufania (wg PKN); poziom wiarygodności oceny (ang. EAL (Evaluation Assurance Level)) – zbiór wymagań uzasadniających zaufanie; skala EAL jest siedmiostopniowa: EAL1 – EAL7; skład pakietów odpowiadających poziomom uzasadnionego zaufania (EAL) jest podany w CC Part 3.
  • Element (ang. element) – składnik komponentu; niepodzielne stwierdzenie o potrzebach bezpieczeństwa.
  • Zidentyfikowane potencjalne podatności (ang. encountered potential vulnerabilities) – potencjalne słabości w TOE zidentyfikowane przez oceniającego podczas wykonywania działań związanych z oceną, a które mogłyby być wykorzystane do naruszenia SFR.
  • Egzekwowane (ang. enforced) – przepis, prawo lub czynność wprowadzona lub wymuszona do wykonywania.
  • Zapewniać (ang. ensure) – gwarantuje silny związek przyczynowy między akcją i jej skutkiem; gdy termin ten jest poprzedzony słowem „help – pomoc", oznacza to, że na podstawie pojedynczej akcji skutek nie jest do końca pewny.
  • Ocena (ang. evaluation) – ocena PP, ST lub TOE, wg określonych kryteriów.
  • Organ nadzorujący oceny (ang. evaluation authority) – instytucja odpowiedzialna za wdrożenie CC w ramach danego schematu (systemu) prowadzenia ocen; wyznacza standardy i nadzoruje jakość ocen prowadzonych przez inne instytucje w ramach danego schematu.
  • Schemat (system) oceny (ang. evaluation scheme) – administracyjna i prawna struktura, w ramach której standard CC jest wdrażany przez organ nadzorujący oceny w konkretnym środowisku (kraju).
  • Oceniający (ang. evaluator)

  • Materiał dowodowy pokrycia (ang. evidence of coverage)
  • Wyczerpujący (ang. exhaustive) – cecha metodycznego podejścia do przeprowadzenia analiz lub czynności zgodnych z jednoznacznym planem; jest to związane z terminem „systematic – systematyczny", ale jest znacznie silniejsze, ponieważ wskazuje, że nie tylko metodyczne podejście zostało podjęte w celu przeprowadzenia badań lub czynności zgodnych z jednoznacznym planem, ale że ten plan jest wystarczający, aby zapewnić, że wszystkie możliwe warianty postępowania zostały uwzględnione i przećwiczone.
  • Wyjaśniać (ang. explain) – argumentacja wyjaśniająca powody obrania danego kierunku działania; termin ten różni się od „describe – opisać" oraz „demonstrate – wykazać"; jego intencją jest odpowiedź na pytanie „dlaczego?" dany kierunek działania został wybrany, ale już niekoniecznie musi uzasadniać, że jest on optymalny.
  • Możliwa do wykorzystania podatność (ang. exploitable vulnerability) – słabość TOE, która może być wykorzystana do przełamania funkcjonalnych wymagań bezpieczeństwa (SFR) w środowisku operacyjnym TOE.
  • Rozszerzony (ang. extended) – termin stosuje się w przypadku, gdy lista komponentów w ST/PP została rozszerzona o przynajmniej jeden komponent dodatkowy spoza CC.
  • Rozszerzenie (ang. extension) – dodanie do ST lub PP wymagań funkcjonalnych nie zawartych w CC Part 2 lub wymagań uzasadniających zaufanie nie zawartych w CC Part 3.
  • Jednostka zewnętrzna (ang. external entity) – jakikolwiek podmiot, produkt lub system teleinformatyczny znajdujący się poza granicami TOE i współdziałający z nim.
  • Rodzina (ang. family) – zbiór komponentów posiadających podobny cel, ale różniących się rygoryzmem.
  • Usuwanie usterek / błędów (ang. flaw remediation) 
  • Formalny (ang. formal) – wyrażony w języku o ograniczonej składni ze zdefiniowaną semantyką opartą na ogólnie przyjętych pojęciach matematycznych.

  • Spójność funkcjonalna (ang. functional cohesion) – własność funkcjonalna modułu, który wykonuje działania związane tylko z jednym celem.
  • Interfejs funkcjonalny  (ang. functional interface) – zewnętrzny interfejs zapewniający użytkownikowi dostęp do funkcjonalności TOE, który nie jest bezpośrednio zaangażowany w egzekwowanie wymagań funkcjonalnych (SFR); dla złożonego TOE są to interfejsy dostarczone przez składnik podstawowy, które są wymagane przez składnik zależny dla wsparcia działań w złożonym TOE.
  • Dokumentacja, podręczniki (ang. guidance documentation) – dokumentacja, która opisuje dostarczanie, przygotowanie do działania, obsługę, zarządzanie lub korzystanie z TOE.
  • IC (układ scalony) (ang. IC (Integrated Circuit)) 
  • Tożsamość (ang. identity) – przedstawienie jednoznacznej identyfikacji jednostek / podmiotów (np. użytkownik, proces lub dysk) w ramach TOE; przykładem takiej reprezentacji identyfikacji jest ciąg znaków; dla użytkownika może to być pełna lub skrócona nazwa albo unikalny pseudonim.
  • Reprezentacja implementacji (ang. implementation representation) – kod źródłowy lub schemat konstrukcyjny, na podstawie którego powstał produkt gotowy (np. ostateczny kod źródłowy tuż przed kompilacją lub rysunek płytki drukowalnej).
  • Nieformalny (ang. informal) – wyrażony w języku naturalnym.
  • Instalacja (ang. installation) – procedury wykonywane przez użytkownika w celu wdrożenia TOE w jego środowisku operacyjnym i wprowadzenia go w stan działania; ta operacja jest wykonywana zazwyczaj tylko raz, po otrzymaniu i zatwierdzeniu TOE; oczekuje się, że TOE jest skonfigurowane wg opisu w ST; jeśli TOE wymaga wstępnego rozruchu, którego nie trzeba powtarzać regularnie, proces ten należy klasyfikować jako instalację.
  • Integracja (ang. integration) – opisuje ponowne wykorzystanie materiału dowodowego klasy ALC (ocenionego podczas site certification) w trakcie oceny produktu, procedura pokazuje jak zintegrować wyniki certyfikacji środowiska w zadaniu zabezpieczeń TOE.
  • Interakcja (ang. interaction) – ogólne działania oparte na komunikacji pomiędzy modułami.

  • Interfejs (ang. interface) – sposób interakcji z komponentem, podsystemem lub modułem.
  • Wewnętrzny kanał łączności (ang. internal communication channel) – kanał komunikacji między rozdzielonymi częściami TOE.
  • Transfer wewnętrzny TOE (ang. internal TOE transfer) – przekazywanie danych pomiędzy odseparowanymi częściami TOE.
  • Wewnętrznie spójny, zgodny (ang. internally consistent) – bez wyraźnej sprzeczności między różnymi aspektami podmiotów/jednostek; pod względem dokumentacji oznacza to, że nie może być w niej stwierdzeń sprzecznych między sobą.
  • IOCTL (sterowanie wejścia lub wyjścia) (ang. IOCTL (Input Output Control)) 
  • Iteracja (ang. iteration) – wielokrotne użycie tego samego komponentu w celu wyrażenia odmiennych wymagań.
  • Uzasadnienie (ang. justification) – analiza dojścia do wniosku; „uzasadnienie" jest bardziej rygorystyczne niż „demonstration – wykazanie"; termin ten oznacza, że należy bardzo starannie i dokładnie wyjaśnić każdy krok w postaci logicznego argumentu.
  • Warstwowanie (ang. layering) – technika projektowania, w której oddzielne grupy modułów (warstwy) są hierarchicznie zorganizowane i mają rozdzielone obowiązki w taki sposób, że jedna warstwa zależy tylko od warstwy znajdującej się niżej w hierarchii usług oraz świadczy swoje usługi tylko dla warstw wyższych.
  • Cykl życia  (ang. life cycle) – kolejne fazy istnienia obiektu (np. produktu lub systemu) w czasie.
  • Definicja cyklu życia (ang. life cycle definition) – definicja modelu cyklu życia.

  • Model cyklu życia (ang. life cycle model) – opis etapów życia TOE oraz powiązań między nimi, które są objęte systemem CM; opisuje kolejność poszczególnych etapów.
  • Spójność logiczna (proceduralna) (ang. logical (procedural) cohesion) – zdefiniowany moduł wykonuje podobne operacje na tych samych strukturach danych.
  • Zakres logiczny środowiska lokalnego (ang. logical site scope) – przeznaczenie (funkcjonalność) środowiska lokalnego w odniesieniu do cyklu życia produktu.
  • Obowiązkowa kontrola dostępu (ang. MAC (Mandatory Access Controls)) – użytkownik (podmiot) nie ma wpływu na działanie mechanizmów kontroli dostępu; w MAC polityka bezpieczeństwa jest centralnie zarządzana przez administratora bezpieczeństwa.
  • Minimalne wymagania SAR (ang. minimum SAR(s)) – minimalne wymagania na uzasadnione zaufanie z klasy ALC dla środowiska lokalnego (ALC_DVS.1, ALC_CMC.3, ALC_CMS.1).
  • Dekompozycja modułowa (ang. modular decomposition) – proces dzielenia systemu na części (podsystemy, moduły) w celu ułatwienia projektowania, rozwoju i oceny.
  • Ataki bazujące na monitorowaniu (ang. monitoring attacks) – kategoria metod ataku, która obejmuje techniki biernej analizy mające na celu ujawnienie poufnych wewnętrznych danych TOE podczas działania TOE w sposób zgodny z jego dokumentacją.
  • Wzajemnie wspierające się (ang. mutually supportive) – grupa podmiotów, których właściwości nie są ze sobą sprzeczne; podmioty z tej grupy mogą wspierać się nawzajem w wykonywaniu swoich zadań; jest do dość ogólne określenie, tzn. nie jest konieczne stwierdzenie, że każdy z podmiotów bezpośrednio wspiera inne podmioty w tej grupie.
  • Brak możliwości obejścia TSF (ang. non-bypassability (of the TSF)) – własność architektury zabezpieczeń, zgodnie z którą wszystkie działania związane z SFR wykonywane są za pośrednictwem TSF.
  • Niecertyfikowane części ALC (ang. non-certified ALC portion) – poszczególne aspekty z klasy ALC, które nie są ujęte w procedurze site certification, ale są wymagane dla środowiska rozwojowego TOE; są one wprowadzane poprzez procedurę łączenia (splicing).

  • Obiekt (ang. object) – jednostka pasywna / zasób TOE, która zawiera lub otrzymuje informację przetwarzaną przez podmioty (jednostki aktywne).
  • Operacja (klasa AGD) (ang. operation (AGD class)) – faza użytkowania TOE w tym „zwykłego użytkowania", administrowania i utrzymania TOE po jego dostarczeniu i przygotowaniu do działania.
  • Operacje (na komponencie CC) (ang. operation (on a component of the CC)) – modyfikacja lub powtórzenie komponentu; dozwolone są cztery operacje: przypisanie, iteracja, uszczegółowienie i selekcja.
  • Operacje (na obiekcie) (ang. operation (on an object)) – szczególny rodzaj działania wykonywanego przez podmiot na obiekcie.
  • Środowisko operacyjne (ang. operational environment) – środowisko, w którym pracuje (jest używany) TOE.
  • Podręcznik użytkownika (ang. operational user guidance) 
  • Opcjonalne wymagania SAR (ang. optional SAR(s)) – opcjonalne wymagania na uzasadnione zaufanie z klasy ALC dla środowiska lokalnego, które opisują cechy i cele środowiska lokalnego; są to wymagania, które nie należą do grupy minimalnych wymagań SAR.
  • Polityka bezpieczeństwa instytucji (ang. OSP (Organizational Security Policy)) – zbiór zasad bezpieczeństwa, procedur lub wytycznych danej instytucji ; polityki mogą odnosić się do konkretnego środowiska operacyjnego.
  • Pakiet (ang. package) – nazwany zbiór wymagań funkcjonalnych (SFR) lub uzasadniających zaufanie (SAR); przykładem pakietu jest EAL 3.
  • Zakres fizyczny środowiska lokalnego (ang. physical site scope) – jedna lub więcej fizycznych lokalizacji środowiska lokalnego.

  • PKI (Infrastruktura Klucza Publicznego) (ang. PKI (Public Key Infrastructure)) – jest to szeroko pojęty kryptosystem, w skład którego wchodzą urzędy certyfikacyjne (CA), urzędy rejestracyjne (RA), subskrybenci certyfikatów (użytkownicy), oprogramowanie i sprzęt.
  • Inżynieria zabezpieczeń (ang. positive security engineering) – działalność polegająca na projektowaniu, konstruowaniu, modyfikowaniu i utrzymaniu efektywnych kosztowo rozwiązań dla zabezpieczeń.
  • Potencjalna podatność (ang. potential vulnerability) – przypuszczalna niepotwierdzona podatność TOE.
  • PP (profil zabezpieczeń) (ang. PP (Protection Profile)) – niezależny od implementacji zbiór wymagań na zabezpieczenia dla pewnej kategorii TOE; np. PP dla systemu operacyjnego albo bazy danych.
  • Przygotowanie (ang. preparation) – działanie wykonywane w fazie cyklu życia produktu, w tym akceptacja przez klienta dostarczonego TOE oraz instalacja TOE, która może obejmować uruchamianie, inicjalizację, rozruch i przygotowanie TOE do stanu gotowości do działania.
  • Instrukcje instalacji (ang. preparative procedures) 
  • Produkcja (ang. production) – faza produkcji (w modelu cyklu życia) występująca po fazie rozwoju; polega na przekształceniu reprezentacji implementacji do implementacji TOE, to znaczy do stanu gotowości TOE do dostawy dla klienta; faza ta może obejmować wytwarzanie komponentów, integrację, transport wewnętrzny, magazynowanie i etykietowanie TOE.
  • Udowodnić (ang. prove) – wykazać poprzez formalną analizę (w sensie matematycznym); zazwyczaj „udowodnić" (ang. prove) jest stosowane, gdy istnieje potrzeba, aby pokazać zgodność między dwiema reprezentacjami TSF na wysokim poziomie rygoryzmu.
  • Uzasadnienie (ang. rationale) 
  • Uszczegółowienie (ang. refinement) – dodanie szczegółów do opisu komponentów, a także generyków (opisujących elementarne własności bądź zachowania dotyczące bezpieczeństwa).

  • Podatności szczątkowe (ang. residual vulnerability) – podatności, które nie mogą być wykorzystywane w środowisku operacyjnym TOE podczas ataku, ale mogą być wykorzystane do przełamania funkcjonalnych wymagań bezpieczeństwa (SFR) przez atakującego z wysokim potencjałem ataku, wyższym niż zakładany dla środowiska operacyjnego TOE.
  • Rygorystyczna analiza pokrycia (ang. rigorous analysis of coverage) 
  • Rola (ang. role) – predefiniowany zestaw reguł określający możliwe interakcje pomiędzy użytkownikiem a TOE.
  • RPC (zdalne wywołanie procedury) (ang. RPC (Remote Procedure Call)) 
  • Wymagania SAR (ang. SAR (Security Assurance Requirement)) – komponenty SAR, wymagania na uzasadnione zaufanie do zabezpieczeń.
  • Tajne informacje (ang. secret) – mogą być udostępnione tylko upoważnionym użytkownikom lub funkcjom zabezpieczającym (TSF) w celu wymuszenia realizacji konkretnej polityki funkcji zabezpieczającej (SFP).
  • Bezpieczny stan (ang. secure state) – stan, w którym dane funkcji zabezpieczających (TSF) są zgodne, a funkcje TSF kontynuują prawidłowe egzekwowanie wymagań funkcjonalnych SFR.
  • Atrybut zabezpieczeń (ang. security attribute) – cecha podmiotów, użytkowników (w tym zewnętrznych produktów IT), obiektów, informacji, sesji lub środków, które są używane przy definiowaniu wymagań funkcjonalnych SFR i których wartości są wykorzystywane przy egzekwowaniu wymagań funkcjonalnych SFR.
  • Domena, obszar, dziedzina bezpieczeństwa (ang. security domain) – zbiór zasobów, do których aktywna jednostka ma uprawnienia dostępu.
  • Cel zabezpieczeń (ang. security objective) – oświadczenie o zamiarze przeciwdziałania zidentyfikowanym zagrożeniom, lub wymuszenia określonej polityki bezpieczeństwa instytucji lub podtrzymania założenia.

  • Model polityki bezpieczeństwa (ang. security policy model) 
  • Problem bezpieczeństwa (ang. security problem) – oświadczenie, które określa charakter i zakres bezpieczeństwa w odniesieniu do TOE; może to być kombinacja zagrożeń, polityk bezpieczeństwa instytucji i założeń.
  • Wymaganie bezpieczeństwa (ang. security requirement) – wymaganie, określone w ustandaryzowanym języku, przyczyniające się do osiągnięcia celów zabezpieczeń dla TOE.
  • Półformalny (ang. semiformal) – wyrażony za pomocą języka o ograniczonej składni i ze zdefiniowaną semantyką.
  • Spójność sekwencyjna (ang. sequential cohesion) – moduł zawierający funkcje, w których każde wyjście jest wejściem dla następnej funkcji w module.
  • Polityka funkcji zabezpieczających (ang. SFP (Security Function Policy)) – zbiór zasad opisujących konkretne zachowania bezpieczeństwa narzucone przez funkcje TSF i wyrażone poprzez zbiór wymagań funkcjonalnych SFR.
  • Wymagania SFR (ang. SFR (Security Functional Requirement)) – komponenty SFR, wymagania funkcjonalne zabezpieczeń, wymagania na funkcjonalność zabezpieczeń.
  • SFR wymuszające (ang. SFR-enforcing) – określenie na to, że moduł, interfejs, podsystem wymaga zastosowania (uruchomienia) funkcji bezpieczeństwa.
  • SFR niepowiązane (ang. SFR-non-interfering) – wymagania SFR, które nie są powiązane z działaniem funkcji zabezpieczającej.
  • SFR wspomagające (ang. SFR-supporting) – wymagania SFR wspomagające działanie funkcji zabezpieczających.

  • Lokalne środowisko rozwojowe, środowisko lokalne (ang. site) – część lub całość istniejącego lub przewidywanego środowiska rozwojowego TOE; środowisko lokalne może mieć jedną lokalizację geograficzną, być jej częścią lub składać się z wielu lokalizacji; środowisko lokalne może składać się z jednej jednostki organizacyjnej, być jej częścią lub składać się z wielu jednostek organizacyjnych.
  • Certyfikat środowiska lokalnego (ang. site certificate) – certyfikat zgodny z Common Criteria przyznawany środowisku lokalnemu, które spełnia określone wymagania z klasy ALC (minimalne i opcjonalne wymagania SAR).
  • Utrzymanie certyfikowanego środowiska lokalnego (ang. site-certification-maintenance) – utrzymanie środków wymaganych przez komponenty klasy ALC w środowisku rozwojowym (ciągły monitoring oraz przegląd działań); oznacza to, że ciągłość utrzymania (ang. maintenance) może zwiększyć zaufanie co do zdolności środowisk lokalnych konstruktorów produktów w zachowaniu odpowiedniego poziomu bezpieczeństwa; obejmuje ona definicje drugiego poziomu procedur razem z kontrolą środków bezpieczeństwa i w razie potrzeby dostosowanie ich do nowych okoliczności.
  • Inżynieria oprogramowania (ang. software engineering) – stosowanie systematycznego, zdyscyplinowanego i wymiernego podejścia do rozwoju i utrzymania oprogramowania; tzn. stosowanie zasad inżynierii w oprogramowaniu.
  • SPD, definicja problemu bezpieczeństwa (ang. SPD (Security Problem Definition)) - pkt 3. ST i PP, zawierający opis problemu bezpieczeństwa (patrz „security problem").
  • Sprecyzować (ang. specify) – dostarczyć szczegółowych informacji na temat jednostki/podmiotu w sposób dokładny i precyzyjny.
  • Łączenie (ang. splicing) – proces łączenia przynajmniej jednego certyfikowanego środowiska lokalnego z innym certyfikowanym środowiskiem lokalnym lub takim, którego nie wszystkie komponenty z klasy ALC otrzymały certyfikat; wynikiem tego procesu jest złożone środowisko lokalne, które może zostać poddane certyfikacji lub być wykorzystane (bez certyfikacji) jako środowisko rozwojowe podczas oceny TOE.
  • ST (zadanie zabezpieczeń) (ang. ST (Security Target)) – zależny od implementacji zestaw potrzeb w zakresie bezpieczeństwa dla konkretnych, zidentyfikowanych przedmiotów oceny (TOE).
  • Ocena ST (ang. ST evaluation) – ocena zadania zabezpieczeń według określonych kryteriów.
  • Ścisła zgodność  (ang. strict conformance) – hierarchiczna relacja między PP a ST oznaczająca, że wszystkie wymagania z PP znajdują się także w ST; relację tę można z grubsza opisać jako „ST zawiera wszystkie deklaracje, które są w PP, ale może zawierać coś więcej"; ścisła zgodność powinna być wykorzystywana dla rygorystycznych wymagań, których należy przestrzegać w jeden, określony sposób.

  • Podmiot (ang. subject) – aktywna jednostka (podmiot w TOE), która wykonuje operacje na obiektach (jednostkach pasywnych).
  • Spójność czasowa (ang. temporal cohesion) – charakterystyka modułu zawierającego funkcje, które muszą być wykonane mniej więcej w tym samym czasie.
  • Zagrożenie (ang. threat) 
  • Agent zagrożeń (ang. threat agent) – podmiot, który może niekorzystnie oddziaływać na zasoby.
  • TOE (przedmiot oceny) (ang. TOE (Target of Evaluation)) – zestaw oprogramowania, oprogramowania układowego lub sprzętu wraz z dokumentacją.
  • Ocena TOE (ang. TOE evaluation) – oceny TOE wg określonych kryteriów.
  • Zasoby TOE (ang. TOE resources) – wszystko co jest wykorzystywane lub zużywane przez TOE.
  • Śledzić (ang. trace) – wykonywanie nieformalnych analiz zgodności pomiędzy dwoma jednostkami / podmiotami na minimalnym poziomie rygoryzmu.
  • Odwzorowanie, przypisanie (ang. tracing) – relacje łączące zagrożenia, polityki OSP i założenia z celami zabezpieczeń oraz cele zabezpieczeń dla TOE z komponentami SFR.
  • Wysyłanie danych poza TOE (ang. transfers outside of the TOE) – przesyłanie danych do jednostek / podmiotów nie będących pod kontrolą funkcji zabezpieczających (TSF).

  • Tłumaczenie / przekład (ang. translation) – przedstawia proces opisywania wymagań bezpieczeństwa w ustandaryzowanym języku, tzn. odwzorowania celów zabezpieczeń dla TOE na wymagania SFR; stosowanie tego terminu w kontekście CC nie jest dosłowne i nie oznacza, że każdy SFR wyrażony w ustandaryzowanym języku może być również przetłumaczony z powrotem do celów zabezpieczeń.
  • Zaufany kanał (ang. trusted channel) – kanał, za pomocą którego funkcje zabezpieczające (TSF) i inne zaufane produkty IT komunikują się przy zachowaniu niezbędnego poziomu zaufania.
  • Zaufany produkt IT (ang. trusted IT product) – produkt IT inny niż TOE, który ma swoje funkcjonalne wymagania do zabezpieczeń, administracyjnie skoordynowane z TOE, a które to wymagania są poprawne; przykładem zaufanego produktu IT jest wcześniej oceniony produkt.
  • Zaufana ścieżka (ang. trusted path) – ścieżka, za pomocą której użytkownik i TSF mogą komunikować się przy zachowaniu niezbędnego poziomu zaufania.
  • Funkcje zabezpieczające TOE (ang. TSF (TOE security functionality)) – połączenie funkcjonalności całego sprzętu, oprogramowania i oprogramowania układowego z TOE, prowadzące do prawidłowego egzekwowania wymagań funkcjonalnych (SFR).
  • Dane funkcji zabezpieczających (ang. TSF data) – dane dotyczące funkcjonowania TOE, od których zależy spełnienie wymagań funkcjonalnych (SFR).
  • Samoobrona TSF (ang. TSF self-protection) – własność architektury zabezpieczeń, zgodnie z którą TSF nie mogą zostać uszkodzone przez kod lub jednostki spoza TSF.
  • Interfejs funkcji zabezpieczającej (ang. TSFI (TSF interface)) – interfejs, za pomocą którego jednostki zewnętrzne (lub podmioty w TOE, ale spoza TSF) dostarczają dane do TSF, otrzymują dane z TSF i wywołują usługi z TSF.
  • Organizacja wewnętrzna TSF (ang. TSF-internals) 
  • Podtrzymywać, popierać, utrzymywać w mocy (ang. uphold)  – termin wyrażający podtrzymywanie założeń przez cele zabezpieczeń formułowane dla otoczenia TOE.
  • Weryfikować, potwierdzać (ang. verify) – rygorystyczny, szczegółowy i wystarczający przegląd; zobacz także „confirm – potwierdzać"; termin „verify" jest bardziej rygorystyczny, używany jest w kontekście działań oceniającego, gdzie wymagane jest samodzielne duże zaangażowanie oceniającego.
  • Podatność (ang. vulnerability) – słabość TOE, która może być wykorzystana do naruszenia funkcjonalnych wymagań bezpieczeństwa.
  • Analiza podatności (ang. vulnerability analysis) 

 

Drukuj

Wymagania uzasadniające zaufanie do zabezpieczeń

Super User. Opublikowano w Szybki start

Wymagania uzasadniające zaufanie do zabezpieczeń także wyrażone zostały w normie za pomocą komponentów. Zostały one tematycznie podzielone na 8 klas (p. tabela poniżej). Każda klasa dzieli się również na rodziny, zaś w danej rodzinie występują komponenty, wyrażające elementarne zagadnienia dotyczące tworzenia podstaw zaufania. W każdej rodzinie komponenty są uporządkowane hierarchicznie, według narastającego i kumulowanego rygoryzmu.

Więcej na temat komponentów uzasadniających zaufanie można znaleć na stronie www.tools.commoncriteria.pl/ccHelp/#ccPart3

Klasa Nazwa klasy
APE Ocena dokumentu PP (ang. Protection Profile Evaluation)
ASE  Ocena dokumentu ST (ang. Security Target Evaluation)
ADV  Prace badawcze i rozwojowe (ang. Development)
AGD  Dokumentacja (ang. Guidance Documents)
ALC  Wsparcie cyklu życia produktu (ang. Life-Cycle Support)
ATE  Testowanie (ang. Tests)
AVA  Oszacowanie podatności (ang. Vulnerability Assessment)
ACO Systemy złożone (ang. Composition)

O nas

Instytut Technik Innowacyjnych EMAG jest instytutem badawczym zajmującym się kompleksowym opracowywaniem oraz wdrażaniem nowoczesnych urządzeń, systemów oraz technologii.

Kontakt

emag-logo

Instytut Technik Innowacyjnych EMAG 
40-189 Katowice, ul. Leopolda 31
tel. + 48 (32) 2007-805,
e-mail: ccmode@ibemag.pl

 

 

Mighty Free Joomla Templates by MightyJoomla