Методичні вказівки до лабораторних занять з дисципліни "Стандартизація та сертифікація в галузі захисту інформації", страница 37

Допущення

Задачі захисту

Х

Х

Х

Х

Обґрунтування вибору функціональних вимог безпеки полягає у логічному доведені того, що для вирішення конкретної задачі захисту необхідно виконання визначених функціональних вимог безпеки. Таким чином встановлюється відображення множини задач захисту  множині функціональних вимог безпеки

Обов’язковим є виконання принципу повноти покриття, тобто кожному елементу  має бути встановлений у відповідність один або декілька елементів з .

Вимоги гарантії безпеки визначаються у відповідності до вимог ISO/IEC 15408 та ISO/IEC 15466 (розділ 6). Для визначення вимог гарантій необхідно врахувати:

-  задачі захисту;

-  рівень гарантій, що вимагається;

-  встановлені функціональні вимоги безпеки.

3.6 Порядок виконання роботи

3.6.1 Запустити базу  CC КВ та вивести на екран основну форму (Рис. 3.7)

3.6.2 Виконати повний цикл формування вимог безпеки з урахуванням методики

3.6.2.1 Складається  опис визначеного джерела загроз (джерело загроз визначає викладач для кожної бригади окремо) (Рис. 3.9).

3.6.2.2 Визначити для джерела загроз повну множин загальних загроз безпеці (Рис. 3.12).

3.6.2.3 Обрати одну загальну загрозу безпеки (кожен член бригади обирає свою загальну загрозу) та скласти опис загальної загрози безпеці (Рис. 3.10).

3.6.2.4 Для обраної загальної загрози безпеці побудувати повну множину атак за допомогою форми „Загальні загрози/ атаки” (Рис. 3.13).

3.6.2.5 Обрати дві атаки та скласти їх опис за допомогою форми „Атаки” (Рис. 3.11).

3.6.2.6 Для обраних атак побудувати повну множину задач захисту та побудувати відповідне дерево (Рис. 3.34). Скласти опис всіх задач захисту за допомогою БД „Задачі захисту” (Рис. 3.20).

3.6.2.7 Із множини задач захисту обрати дві задачі захисту та скласти для них повну множину функціональних вимог безпеки та вимог гарантій. Побудувати відповідне дерево.

3.6.2.8 Скласти опис функціональних вимог безпеки за допомогою каталогу вимог (ISO/IEC 15408-2).

3.6.2.9 Здійснити обґрунтування вимог безпеки шляхом побудови:

-  таблиці відповідності задачі захисту / функціональні вимоги безпеки;

-  таблиці залежностей компонентів функціональних вимог безпеки.

3.6.3 Підготувати звіт за результатами роботи.

Звіт має містити:

-  опис джерела загроз, обраної загальної загрози, обраних атак;

-  опис задач захисту, які спрямовані на запобігання встановленим атакам;

-  дерево загроз, задач захисту та вимог безпеки;

-  опис вимог безпеки;

-  таблиці відповідності п. 3.6.2.9.

3.7 Контрольні запитання та завдання

3.7.1 Нехай задана функціональна вимога безпеки . За допомогою CC PKB визначте які задачі захисту можна вирішити за допомогою цієї вимоги безпеки.

Таблиця 3.4 Варіанти вимог безпеки.

Ідентифікатори вимоги

Вимоги безпеки

1

FCS_CKM.3

Доступ до криптографічних ключів

2

FCO_NRO.1

Вибірковий доказ відправлення

3

FDR_PSE.1

Псевдоанонімність

4

FTA_LSA.1

Обмеження області атрибутів, що обираються

5

FAU_SAA.3

Проста евристика атаки

6

FDP_ACF.1

Управління доступом на основі атрибутів безпеки

7

FDP_IFC.2

Повне управління інформаційними потоками

8

FDP_ACC.1

Обмежене управління доступом

9

FPT_RCV.1

Ручне відновлення

10

FPT_ RCV.2

Автоматичне відновлення без втрат

11

FPT_ITC.1

Конфіденційність даних функції безпеки, що експортується, під час передавання

12

FPT_ITI.1

Виявлення модифікації даних функцій безпеки, що експортуються

13

FMT_MOF.1

Управління режимом виконання функцій безпеки

14

FMT_MSA.3

Ініціалізація статичних атрибутів

15

FMT_REV.1

Відміна