Формальні методи верифікації розробки та тестування

Рівень формальних методів верифікації розробки та тестування [EAL7 — formally verified design and tested] — сьомий рівень гарантій, призначений для використання в ситуаціях із виключно високим ступенем ризику, і (або) там, де цінність об'єктів, які захищаються, виправдовує високі додаткові витрати. Практичне застосування цього рівня на даний час обмежене компактними ІТ-продуктами, в яких сконцентровані засоби захисту, і які легко піддаються формальному аналізу.

Сьомий рівень гарантій відповідає наступним вимогам гарантій безпеки:

■ у класі ВГБ: керування проектом:

• у розділі ВГБ: засоби керування проектом — повна автоматизація керування проектом і контролю версій;

• у розділі ВГБ: керування версіями — контроль цілісності й автентичності дистрибутива системи;

• у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту інструментальних засобів розробки;

■ у класі ВГБ: дистрибуція:

• у розділі ВГБ: постачання — захист від спотворень у процесі постачання;

• у розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску;

■ у класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — формальні специфікації для засобів захисту;

• у розділі ВГБ: архітектура захисту — формальний опис архітектури захисту й доказ її відповідності політиці безпеки;

• у розділі ВГБ: форма надання продукту на сертифікацію — структурований опис реалізації усіх засобів захисту;

• у розділі ВГБ: структура засобів захисту — мінімізація складності;

• у розділі ВГБ: часткові специфікації засобів захисту — напівформальні часткові специфікації засобів захисту;

• у розділі ВГБ: відповідність описів різного рівня — формальний доказ відповідності;

• у розділі ВГБ: політика безпеки — формальна модель політики безпеки;

■ у класі ВГБ: документація:

• у розділі ВГБ: керівництво адміністратора — адміністрування засобів захисту;

• у розділі ВГБ: керівництво користувача — використання засобів захисту;

■ у класі ВГБ: процес розробки:

• у розділі ВГБ: безпека середовища розробки — підтвердження заходів безпеки в ході розробки;

• у розділі ВГБ: технологія розробки — технологія розробки, яка дозволяє оцінювати продукт, що розроблюється;

• у розділі ВГБ: засоби розробки — використання тільки засобів розробки, що відповідають певним стандартам;

■ у класі ВГБ: тестування:

• у розділі повнота тестування — строгий аналіз повноти тестування;

• у розділі ВГБ: глибина тестування — реалізація;

• у розділі ВГБ: методика тестування — тестування у відповідності з певною методикою;

• у розділі ВГБ: незалежне тестування — повне незалежне тестування;

■ у класі ВГБ: оцінка захисту:

• у розділі ВГБ: аналіз схованих каналів — пошук схованих каналів на основі певних методів;

• у розділі ВГБ: аналіз можливостей неправильного використання засобів захисту — незалежний аналіз можливостей неправильного використання засобів захисту;

• у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стійкості засобів захисту;

• у розділі ВГБ: аналіз продукту на наявність уразливостей — вичерпний аналіз уразливостей.

На відміну від попередніх рівнів, необхідне формальне подання функціональних специфікацій та архітектури захисту, а також формальна та напівформальна демонстрація відповідності між ними. Архітектура системи повинна бути не тільки модульною, але й простою та зрозумілою.

Додатково до попередніх рівнів, результати аналізу вимагають підтвердження тестуванням форми реалізації, а також обґрунтованим незалежним підтвердженням усіх результатів проведених розробником випробувань.

Таким чином, цей рівень підсилює вимоги попереднього за рахунок більш послідовного аналізу з використанням формального опису системи на різних рівнях подання та формального доказу взаємної відповідності цих описів, а також всеохоплюючого тестування.

 

6.5. Шляхи і перспективи застосування "Загальних критеріїв"

"Загальні критерії" розроблені в розрахунку на три групи спеціалістів: виробників і розробників, рядових споживачів (масових користувачів), а також експертів кваліфікаційного аналізу захищених систем.

Споживачі можуть розглядати декларування рівня безпеки ІТ-продукту як метод визначення відповідності ІТ-продукту до своїх запитів. Ці запити складаються на основі результатів проведення аналізу ризику і вибраної політики безпеки. "Загальні критерії" відіграють суттєву роль в процесі формування запитів споживачів, оскільки містять механізми, що дозволяють сформувати ці запити у вигляді набору стандартизованих вимог (функціональності і адекватності). Це дозволяє споживачам прийняти обґрунтоване рішення про варіанти використання тих чи інших ІТ-продуктів. Крім того, "Загальні критерії" представляють споживачам механізм профілів і проектів захисту, за допомогою яких вони можуть сформулювати специфічні для них вимоги, не турбуючись про механізми їх реалізації.

Виробники (розробники) можуть використовувати рекомендації "Загальних критеріїв" в ході проектування ІТ-продуктів, а також при підготовці до кваліфікаційного аналізу і сертифікації. Цей документ надає їм можливість на основі запитів споживачів визначити набір вимог, яким повинен задовольняти ІТ-продукт, що розроблюється. "Загальні критерії" пропонують виробникам спеціальний механізм проекту захисту. Він доповнює профіль захисту і дозволяє поєднати опис механізмів реалізації засобів захисту і вимог, на які орієнтувався розробник.

Експерти кваліфікаційного аналізу можуть використати положення цього документу як критерії для визначення відповідності між ІТ-продуктом і пред'явленими до нього вимогами. Стандарт "Загальних критеріїв" описує тільки загальну схему проведення кваліфікаційного аналізу і сертифікації, але не регламентує процедуру їх здійснення. Питанням методології кваліфікаційного аналізу і сертифікації присвячений окремий документ авторів "Загальних критеріїв" — Загальна методологія оцінки безпеки інфор­маційних технологій, який є додатком до стандарту.

Враховуючи перспективність та міжнародний характер "Загальних критеріїв", доцільно використати їхні основні положення та конструкції при розробці нормативних документів, методичного та інструментального забезпечення оцінки безпеки продуктів та систем інформаційних технологій. Зокрема, пропонується розробка комплексу нормативних документів системи технічного захисту:

■ Безпека інформаційних технологій. Терміни та визначення;

■ Концепція оцінки безпеки інформаційних технологій;

■ Загальні критерії безпеки інформаційних. Функціональні вимоги та вимоги гарантій безпеки;

■ Профіль захисту. Керівництво з розробки та реєстрації;

■ Завдання з безпеки. Керівництво з розробки та оформлення;

■ Керівництво з проектування та експлуатації автоматизованих систем, які відповідають вимогам інформаційної безпеки;

■ Керівництво з сертифікації продуктів і систем інформаційних технологій з вимог безпеки і т. ін.

До прийняття "Загальних критеріїв" як міжнародних стандартів та прийняття відповідних державних стандартів доцільно при формуванні вимог та оцінки безпеки продуктів і систем інформаційних технологій керуватися не тільки вимогами діючих нормативних документів, але й додаткових вимог, сформованих на основі "Загальних критеріїв" з урахуванням специфіки конкретного об'єкту оцінки.

Доцільно також на основі матеріалів "Загальних критеріїв" вести розробку профілів захисту і вимог технічного завдання із забезпечення безпеки для нових типів продуктів (систем) і нових інформаційних технологій.

 

Політика інформаційної безпеки організації