Данный раздел показывает, что требования безопасности, определённые в разделе 5, соответствуют целям безопасности, определённым в разделе 4.
Таблица 2. Соответствие функциональных требований и целей безопасности
Цель безопасности |
Функциональные компоненты |
O.FALPOS |
FAU_GEN.1 FDP_ACF.1 FDP_RIP.1 FIA_UAU.3 |
O.CLEAR |
FDP_RIP.1 |
O.AUDIT |
FAU_GEN.1 |
O.USER |
FDP_ACF.1 FMT_MSA.1 |
O.O_DEFECT |
- |
O.FALPOS
ОО должен предотвратить принятие неверных дактилоскопических данных как законных с помощью биометрического устройства.
1) FDP_ACF.1 требует от ОО проверки дактилоскопических данных на точное соответствие отпечатка пальца в базе данных.
2) FDP_RIP.1 предотвращает возможность оставления следов после аутентификации, что в свою очередь предотвращает принятие следов старого отпечатка пальца за новые дактилоскопические данные.
3) FDP_UAU.3 требует от ОО предотвращения копирования или подделки дактилоскопических данных, что делает невозможным выдачу злоумышленником отпечатков пальцев, соответствующих другим пользователям.
O.CLEAR
ОО должен обеспечивать, чтобы после завершения своих операций не оставалось остаточной биометрической информации в виде следов.
Данная цель прямо соответствует функциональному компоненту FDP_RIP.1, который обеспечивает недоступность любого содержания остаточных ресурсов таких, как следы.
O.AUDIT
ОО должен генерировать данные для журнала аудита для всех событий связанных с безопасностью.
Данная цель соответствует FAU_GEN.1, обеспечивающему генерацию данных аудита.
O.O_DEFECT
Не должно быть очевидных недостатков или дефектов в проекте, реализации и применении ОО.
Данной цели не соответствуют функциональные требования к ОО, т.к. требования в данном случае предъявляются не к функциональным возможностям ОО.
Первым фактором, рассматриваемом при выборе уровня доверия, была цена активов, доступ к которым контролируется ОО, и риск, которому эти активы подвергаются. Чем больше цена активов и риск, тем выше должен быть уровень доверия. Однако, ПЗДСА не делает предположений относительно цены активов, и поэтому рассматривается диапазон уровней доверия, удовлетворяющих данному документу.
Второй рассматриваемой проблемой был текущий уровень развития в разработке и создании биометрических устройств. Более высокие уровни доверия предъявляют больше требований и в какой-то момент уровня развития не хватит для создания устройства, удовлетворяющего всем требованиям. Было установлено, что оценочный уровень доверия ОУД4 предъявляет требования, удовлетворение которых вполне достижимо для современного уровня развития в создании биометрических устройств. В то же время для соответствия более высоким уровням доверия ОО должны создаваться для более узкого применения. Поэтому ОУД4 представляет собой подходящую верхнюю границу для выбираемого диапазона уровней доверия.
Третьим фактором в выборе уровней доверия была стоимость разработки, оценки, эксплуатации, поддержки ОО. Также с проблемой стоимости связан фактор времени. Если уровень доверия слишком высок, соответствующая стоимость разработки и производства биометрических устройств может не соответствовать преимуществам таких устройств, т.е. производство будет экономически невыгодным.
В определении нижней границы было необходимо выбрать минимальный уровень, достигающий определённых целей безопасности. В качестве нижней границы был выбран ОУД2: этот уровень содержит требование о сотрудничестве с разработчиком для получения информации о проекте и результатах тестирования. При выполнении данного требования от разработчика не требуется усилий больших, чем это соответствует обычной коммерческой практике, что, следовательно, не приводит к существенному увеличению стоимости или затрат времени (по сравнению с выполнением требований ОУД1).
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.