KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/2. Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) 25/2-3. segédlet Útmutató a Fejlesztık számára 1.0 verzió 2008. június
Közigazgatási Informatikai Bizottság 25. számú Ajánlása Készült a Miniszterelnöki Hivatal megbízásából Ö s s z e á l l í t o t t a : Balázs István K ö z r e mőködött: Balázs István, Staub Klára, Szabó István Az ajánlás a Közigazgatási Informatikai Bizottság (KIB) Jogi és Mőszaki Szabályozási Albizottsága észrevételei alapján véglegesített tartalommal a KIB tagjainak 2008. május-júniusi elektronikus távszavazása alapján került elfogadásra 2 Magyar Informatikai Biztonsági Ajánlások
TARTALOMJEGYZÉK BEVEZETÉS...8 1.1 ELİZMÉNYEK ÉS ALKALMAZÁSI TERÜLET...8 1.2 JELEN DOKUMENTUM CÉLJA ÉS FELÉPÍTÉSE...9 1.3 KAPCSOLÓDÓ DOKUMENTUMOK...9 2. FEJEZET A FEJLESZTİ FELADATAI...10 2.1 FELADATOK AZ ÉRTÉKELÉS ELİKÉSZÜLETI SZAKASZÁBAN...10 2.1.1 A megbízó támogatása az értékelés kereteit meghatározó döntések meghozatalában...10 2.1.2 Az értékelési munkaterv és ütemterv véleményezése...13 2.1.3 A fejlesztıi bizonyítékok elkészítésében való közremőködés...14 2.2 FELADATOK AZ ÉRTÉKELÉS LEBONYOLÍTÁSI SZAKASZÁBAN...17 2.2.1 Az értékelés támogatása a fejlesztıi bizonyítékok elkészítésében való közremőködéssel...17 2.2.2 Az értékelés egyéb támogatása...17 2.2.3 Az értékelés során felmerülı kérdések tisztázása...20 2.2.4 Az értékelés során felmerülı problémák megoldása...20 2.3 FELADATOK AZ ÉRTÉKELÉS KÖVETKEZTETÉSI SZAKASZÁBAN...20 2.3.1 Az értékelés eredményeinek elfogadása...20 2.3.2 A tanúsítási folyamat támogatása...21 2.4 FELADATOK AZ ÉRTÉKELÉSI ÉS TANÚSÍTÁSI FOLYAMAT LEZÁRÁSÁT KÖVETİEN...21 3. FEJEZET A BIZTONSÁGI ELİIRÁNYZAT...22 3.1 MEGHATÁROZÁSOK ÉS ELVÁRÁSOK...22 3.2 A BIZTONSÁGI ELİIRÁNYZAT ELVÁRT TARTALMÁNAK ÁTTEKINTÉSE24 3.2.1 A biztonsági elıirányzat bevezetése...24 3.2.2 Az értékelés tárgya leírása...24 3.2.3 Az értékelés tárgya biztonsági környezete...25 3.2.4 Biztonsági célok...26 3.2.5 Az informatikai biztonság követelményei...26 3.2.6 Az értékelés tárgya összefoglaló elıírása...28 3.2.7 Védelmi profil nyilatkozatok...30 3.2.8 Indoklás...32 4. FEJEZET ÉRTÉKELÉSRE ÁTADANDÓ FEJLESZTİI BIZONYÍTÉKOK AZ ALAP ÉRTÉKELÉSI GARANCIASZINTEN...34 4.1 A TESZTELÉSRE ALKALMAS ÉRTÉKELÉS TÁRGYA...34 4.1.1 Meghatározások és elvárások...34 4.1.2 Magyarázatok, szemléltetések...34 4.2 ADMINISZTRÁTORI ÚTMUTATÓ...35 4.2.1 Meghatározások és elvárások...35 4.2.2 Magyarázatok, szemléltetések...36 4.3 FELHASZNÁLÓI ÚTMUTATÓ...36 4.3.1 Meghatározások és elvárások...36 4.3.2 Magyarázatok, szemléltetések...37 Magyar Informatikai Biztonsági Ajánlások 3
4.4 A BIZTONSÁGOS TELEPÍTÉSI, GENERÁLÁSI ÉS ELINDÍTÁSI ELJÁRÁSOK LEÍRÁSA... 38 4.4.1 Meghatározások és elvárások... 38 4.4.2 Magyarázatok, szemléltetések... 39 4.5 A KONFIGURÁCIÓ KEZELÉS DOKUMENTÁCIÓJA... 40 4.5.1 Meghatározások és elvárások... 40 4.5.2 Magyarázatok, szemléltetések... 40 4.6 SZÁLLÍTÁSI DOKUMENTÁCIÓ... 43 4.6.1 Meghatározások és elvárások... 43 4.6.2 Magyarázatok, szemléltetések... 43 4.7 FUNKCIONÁLIS SPECIFIKÁCIÓ... 44 4.7.1 Meghatározások és elvárások... 44 4.7.2 Magyarázatok, szemléltetések... 45 4.8 MAGAS SZINTŐ TERV... 45 4.8.1 Meghatározások és elvárások... 45 4.8.2 Magyarázatok, szemléltetések... 46 4.9 A TERVDOKUMENTÁCIÓK KÖZÖTTI MEGFELELTETÉS-ELEMZÉSEK... 47 4.9.1 Meghatározások és elvárások... 47 4.9.2 Magyarázatok, szemléltetések... 47 4.10 TESZTELÉSI DOKUMENTÁCIÓ... 48 4.10.1 Meghatározások és elvárások... 48 4.10.2 Magyarázatok, szemléltetések... 49 4.11 A TESZT LEFEDETTSÉG ELEMZÉSE... 53 4.11.1 Meghatározások és elvárások... 53 4.11.2 Magyarázatok, szemléltetések... 53 4.12 BIZTONSÁGI FUNKCIÓERİSSÉG ELEMZÉS... 54 4.12.1 Meghatározások és elvárások... 54 4.12.2 Magyarázatok, szemléltetések... 54 4.13 FEJLESZTİI SEBEZHETİSÉGI ELEMZÉS... 55 4.13.1 Meghatározások és elvárások... 55 4.13.2 Magyarázatok, szemléltetések... 55 5. FEJEZET ÉRTÉKELÉSRE ÁTADANDÓ FEJLESZTİI BIZONYÍTÉKOK A FOKOZOTT ÉRTÉKELÉSI GARANCIASZINTEN... 58 5.1 A TESZTELÉSRE ALKALMAS ÉRTÉKELÉS TÁRGYA... 58 5.1.1 Meghatározások és elvárások... 58 5.1.2 Magyarázatok, szemléltetések... 58 5.2 ADMINISZTRÁTORI ÚTMUTATÓ... 59 5.2.1 Meghatározások és elvárások... 59 5.2.2 Magyarázatok, szemléltetések... 60 5.3 FELHASZNÁLÓI ÚTMUTATÓ... 60 5.3.1 Meghatározások és elvárások... 60 5.3.2 Magyarázatok, szemléltetések... 61 5.4 A BIZTONSÁGOS TELEPÍTÉSI, GENERÁLÁSI ÉS ELINDÍTÁSI ELJÁRÁSOK LEÍRÁSA... 62 5.4.1 Meghatározások és elvárások... 62 5.4.2 Magyarázatok, szemléltetések... 63 5.5 A KONFIGURÁCIÓ KEZELÉS DOKUMENTÁCIÓJA... 64 4 Magyar Informatikai Biztonsági Ajánlások
5.5.1 A konfiguráció kezelés garanciaosztály áttekintése...64 5.5.2 Elvárások...66 5.5.3 Magyarázatok, szemléltetések...67 5.6 SZÁLLÍTÁSI DOKUMENTÁCIÓ...70 5.6.1 Meghatározások és elvárások...70 5.6.2 Magyarázatok, szemléltetések...70 5.7 FUNKCIONÁLIS SPECIFIKÁCIÓ...71 5.7.1 Meghatározások és elvárások...71 5.7.2 Magyarázatok, szemléltetések...72 5.8 MAGAS SZINTŐ TERV...72 5.8.1 Meghatározások és elvárások...72 5.8.2 Magyarázatok, szemléltetések...73 5.9 A TERVDOKUMENTÁCIÓK KÖZÖTTI MEGFELELTETÉS-ELEMZÉSEK...74 5.9.1 Meghatározások és elvárások...74 5.9.2 Magyarázatok, szemléltetések...75 5.10 A FEJLESZTÉSI BIZTONSÁG DOKUMENTÁCIÓJA...75 5.10.1 Meghatározások és elvárások...75 5.10.2 Magyarázatok, szemléltetések...76 5.11 TESZTELÉSI DOKUMENTÁCIÓ...77 5.11.1 Meghatározások és elvárások...77 5.11.2 Magyarázatok, szemléltetések...77 5.12 A TESZT LEFEDETTSÉG ELEMZÉSE...82 5.12.1 Meghatározások és elvárások...82 5.12.2 Magyarázatok, szemléltetések...82 5.13 A TESZT MÉLYSÉG ELEMZÉSE...83 5.13.1 Meghatározások és elvárások...83 5.13.2 Magyarázatok, szemléltetések...83 5.14 BIZTONSÁGI FUNKCIÓERİSSÉG ELEMZÉS...84 5.14.1 Meghatározások és elvárások...84 5.14.2 Magyarázatok, szemléltetések...85 5.15 FEJLESZTİI SEBEZHETİSÉGI ELEMZÉS...86 5.15.1 Meghatározások és elvárások...86 5.15.2 Magyarázatok, szemléltetések...86 6. FEJEZET ÉRTÉKELÉSRE ÁTADANDÓ FEJLESZTİI BIZONYÍTÉKOK A KIEMELT ÉRTÉKELÉSI GARANCIASZINTEN...89 6.1 A TESZTELÉSRE ALKALMAS ÉRTÉKELÉS TÁRGYA...89 6.1.1 Meghatározások és elvárások...89 6.1.2 Magyarázatok, szemléltetések...89 6.2 ADMINISZTRÁTORI ÚTMUTATÓ...90 6.2.1 Meghatározások és elvárások...90 6.2.2 Magyarázatok, szemléltetések...91 6.3 FELHASZNÁLÓI ÚTMUTATÓ...91 6.3.1 Meghatározások és elvárások...91 6.3.2 Magyarázatok, szemléltetések...92 6.4 A BIZTONSÁGOS TELEPÍTÉSI, GENERÁLÁSI ÉS ELINDÍTÁSI ELJÁRÁSOK LEÍRÁSA...93 6.4.1 Meghatározások és elvárások...93 Magyar Informatikai Biztonsági Ajánlások 5
6.4.2 Magyarázatok, szemléltetések... 94 6.5 A KONFIGURÁCIÓ KEZELÉS DOKUMENTÁCIÓJA... 95 6.5.1 A konfiguráció kezelés garanciaosztály áttekintése... 95 6.5.2 Elvárások... 97 6.5.3 Magyarázatok, szemléltetések... 99 6.6 SZÁLLÍTÁSI DOKUMENTÁCIÓ... 101 6.6.1 Meghatározások és elvárások... 101 6.6.2 Magyarázatok, szemléltetések... 102 6.7 FUNKCIONÁLIS SPECIFIKÁCIÓ... 104 6.7.1 Meghatározások és elvárások... 104 6.7.2 Magyarázatok, szemléltetések... 104 6.8 MAGAS SZINTŐ TERV... 105 6.8.1 Meghatározások és elvárások... 105 6.8.2 Magyarázatok, szemléltetések... 106 6.9 ALACSONY SZINTŐ TERV... 107 6.9.1 Meghatározások és elvárások... 107 6.9.2 Magyarázatok, szemléltetések... 107 6.10 A MEGVALÓSÍTÁSI REPREZENTÁCIÓ EGY RÉSZHALMAZA... 108 6.10.1 Meghatározások és elvárások... 108 6.10.2 Magyarázatok, szemléltetések... 108 6.11 A TERVDOKUMENTÁCIÓK KÖZÖTTI MEGFELELTETÉS-ELEMZÉSEK.. 108 6.11.1 Meghatározások és elvárások... 108 6.11.2 Magyarázatok, szemléltetések... 109 6.12 A FEJLESZTÉSI BIZTONSÁG DOKUMENTÁCIÓJA... 110 6.12.1 Meghatározások és elvárások... 110 6.12.2 Magyarázatok, szemléltetések... 110 6.13 AZ ÉLETCIKLUST MEGHATÁROZÓ DOKUMENTÁCIÓ... 111 6.13.1 Meghatározások és elvárások... 111 6.13.2 Magyarázatok, szemléltetések... 111 6.14 A FEJLESZTİI ESZKÖZÖK DOKUMENTÁCIÓJA... 112 6.14.1 Meghatározások és elvárások... 112 6.14.2 Magyarázatok, szemléltetések... 113 6.15 TESZTELÉSI DOKUMENTÁCIÓ... 114 6.15.1 Meghatározások és elvárások... 114 6.15.2 Magyarázatok, szemléltetések... 114 6.16 A TESZT LEFEDETTSÉG ELEMZÉSE... 119 6.16.1 Meghatározások és elvárások... 119 6.16.2 Magyarázatok, szemléltetések... 119 6.17 A TESZT MÉLYSÉG ELEMZÉSE... 120 6.17.1 Meghatározások és elvárások... 120 6.17.2 Magyarázatok, szemléltetések... 120 6.18 AZ ÚTMUTATÓK HELYTELEN HASZNÁLHATÓSÁGÁNAK ELEMZÉSE. 121 6.18.1 Meghatározások és elvárások... 121 6.18.2 Magyarázatok, szemléltetések... 122 6.19 BIZTONSÁGI FUNKCIÓERİSSÉG ELEMZÉS... 125 6.19.1 Meghatározások és elvárások... 125 6.19.2 Magyarázatok, szemléltetések... 125 6 Magyar Informatikai Biztonsági Ajánlások
6.20 FEJLESZTİI SEBEZHETİSÉGI ELEMZÉS...126 6.20.1 Meghatározások és elvárások...126 6.20.2 Magyarázatok, szemléltetések...127 HIVATKOZÁSOK ÉS RÖVIDÍTÉSEK...129 HIVATKOZÁSOK...129 RÖVIDÍTÉSEK JEGYZÉKE...130 Magyar Informatikai Biztonsági Ajánlások 7
BEVEZETÉS 1.1 ELİZMÉNYEK ÉS ALKALMAZÁSI TERÜLET A Közigazgatási Informatikai Bizottság által kiadott Magyar Informatikai Biztonsági Ajánlások (MIBA) keretében két általános módszertani ajánlás készült, egy szervezetiirányítási (MIBIK) és egy technológia-biztonsági (MIBÉTS). Mindkettı a biztonságos informatikai rendszerek kialakítását és fenntartását kívánja segíteni: a MIBIK (Magyar Informatikai Biztonsági Irányítási Keretrendszer) a szervezeti/irányítási szemléletet és szaktudást igénylı feladatokban, a MIBÉTS (Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma) pedig a technológiai szemléletet és szaktudást igénylı feladatokban. A két ajánlás egymást kiegészítve és erısítve támogatást nyújt a rendszerfejlesztési életciklus valamennyi szakaszában a biztonság megtervezéséhez, megvalósításához, értékeléséhez és fenntartásához. A MIBÉTS célja informatikai termékekre és rendszerekre irányuló, független, nemzetközi módszertanon alapuló értékelési és tanúsítási rendszer kialakítása, mely segíti: mind a felhasználókat, beszerzıket a felkínált informatikai termékek és rendszerek biztonsági szintjének megalapozott megítélésében, a rendszerek biztonságos üzemeltetési feltételeinek kialakításában; mind a fejlesztıket, gyártókat, forgalmazókat termékeik és rendszereik biztonságára vonatkozó állításaik független igazolásában. A séma a [3] nemzetközi szabványban meghatározott értékelési módszertan honosítása mellett szervezeti és eljárásbeli keretet ad a Magyarországon belül végrehajtott technológiai értékelések számára, beleértve az értékeléseket végzı vizsgálólaboratóriumok (értékelı szervezetek) és tanúsító szervezetek feladatleírását, valamint a javasolt technikák és eljárások meghatározását is. 8 Magyar Informatikai Biztonsági Ajánlások
1.2 JELEN DOKUMENTUM CÉLJA ÉS FELÉPÍTÉSE Jelen dokumentum a MIBÉTS segédlet sorozatának 3. eleme. Célja a MIBÉTS keretében végrehajtott technológiai értékelésben érintett fejlesztık számára útmutatás nyújtása az elvégzendı feladatok részletezésével és magyarázatával. Célközönsége a biztonsági értékelésben érintett fejlesztık, értékelı szervezetek és tanúsító szervezet szakértıi. A dokumentum 2. fejezete a fejlesztık feladatait határozza meg, az értékelés különbözı szakaszaiban. Ez a rész a [4]-ben ismertetett, valamennyi MIBÉTS résztvevı szempontjából áttekintett feladatok részletezését, kibontását jelenti a fejlesztıi feladatok tekintetében. A további fejezetek a fejlesztık MIBÉTS értékelésekhez kapcsolódó legfontosabb feladatát, a fejlesztıi bizonyítékok elkészítését segítik. A MIBÉTS keretében 3 különbözı értékelési garanciaszinten (alap, fokozott és kiemelt) lehet értékelést végrehajtani. Mindhárom garanciaszinten az értékelés alapját egy biztonsági elıirányzat képezi. A 3. fejezet a biztonsági elıirányzat (mindhárom garanciaszinten közös) elvárt tartalmát és felépítését határozza meg. A 4. fejezet az alap garanciaszinten elvárt fejlesztıi bizonyítékokat írja el. Az 5. fejezet a fokozott garanciaszinten elvárt fejlesztıi bizonyítékokat adja meg, külön jelölve (aláhúzott betőtípussal szedve) az alap garanciaszinthez képest jelentkezı többlet feladatokat. A 6. fejezet a kiemelt garanciaszinten elvárt fejlesztıi bizonyítékokat részletezi, külön jelölve (aláhúzott betőtípussal szedve) a fokozott garanciaszinthez képest jelentkezı kiegészítı feladatokat. A segédletet a hivatkozások és a rövidítések jegyzéke zárja. 1.3 KAPCSOLÓDÓ DOKUMENTUMOK A MIBÉTS jelenlegi verziójához az alábbi segédletek készültek el: 1. számú segédlet: Modell és folyamatok [4] 2. számú segédlet: Útmutató a megbízók számára [5] 3. számú segédlet: Útmutató a fejlesztık számára (jelen dokumentum) 4. számú segédlet: Útmutató az értékelık számára [6] 5. számú segédlet: Értékelıi módszertan [7] Magyar Informatikai Biztonsági Ajánlások 9
2. FEJEZET A FEJLESZTİ FELADATAI A fejlesztı általános felelıssége az alábbiakat foglalja magában: 1. az értékeléshez szükséges fejlesztıi bizonyítékok elkészítésében való közremőködés, 2. az értékelés szakmai támogatása. Az alábbiak részletesen meghatározzák a fejlesztı feladatait. 2.1 FELADATOK AZ ÉRTÉKELÉS ELİKÉSZÜLETI SZAKASZÁBAN A fejlesztı legfontosabb feladatai az értékelési folyamat elıkészítésével kapcsolatosak. Szakmai támogatást kell nyújtania a megbízó számára, hogy az megalapozottan dönthessen az értékeléssel kapcsolatos alapkérdésekben. A megbízó döntésétıl függı módon, közre kell mőködnie a fejlesztıi bizonyítékok elkészítésében. 2.1.1 A MEGBÍZÓ TÁMOGATÁSA AZ ÉRTÉKELÉS KERETEIT MEGHATÁROZÓ DÖNTÉSEK MEGHOZATALÁBAN A megbízónak az értékelés elindításához számos alapkérdést el kell döntenie, melyek alapvetıen meghatározzák az egész értékelési folyamat keretét (benne az értékelés tárgyát, az értékelés mélységét és átfutási idejét). Bár a végsı döntéseket a megbízónak kell meghoznia (annak valamennyi, többek között pénzügyi következményeivel is számolva), a legtöbb kérdés eldöntéséhez szüksége lesz a fejlesztı támogatására. /Amennyiben nem a fejlesztı az értékelés megbízója is egyben, a megbízónak megállapodásra kell jutnia a fejlesztıvel, mind az elızetes, mind az értékelés során jelentkezı kötelezettségek teljesítésérıl. Ennek a megállapodásnak a részletei kívül esnek a séma hatókörén./ A legfontosabb eldöntendı kérdések az alábbiak: Mire vonatkozzon (és mire nem) az értékelés? /az értékelés tárgya pontos határainak meghatározása/ Minek való megfelelıséget vizsgáljon és igazoljon az értékelés? /a biztonsági elıirányzat elkészítése vagy elkészíttetése/ 10 Magyar Informatikai Biztonsági Ajánlások
Milyen szintő garanciát kíván nyerni (kifelé bizonyítani) az értékelésbıl? /az értékelési garanciaszint meghatározása/ Mi legyen az értékelés és a fejlesztés idıbeli viszonya? /választás a fejlesztéssel párhuzamos és a fejlesztést követı értékelés között/ Ki végezze az értékelést? /az értékelı szervezet kiválasztása/ A fenti kérdések közül az elsı három alapvetıen érinti a fejlesztıi bizonyítékok hatókörét, kiterjedtségét és mélységét, így ezek eldöntésénél szükség van a fejlesztı véleményére, sıt aktív támogatására. Ezekben a kérdésekben a fejlesztı csak akkor képes a kellı segítség megadására, ha az általa fejlesztett termék vagy rendszer mélyreható ismeretén túl, tisztában van mindhárom szóba jöhetı értékelési garanciaszint rá vonatkozó követelményeivel is, egyúttal felvállalja az alternatívákban való gondolkodás és munkafelmérés feladatát. A negyedik kérdés eldöntése (fejlesztéssel párhuzamos vagy azt követı értékelés) a fejlesztıt érinti ugyan, de ez csak a fejlesztıi bizonyítékok elkészítésének ütemezését befolyásolja, az összességében elvégzendı fejlesztıi dokumentációs feladatokat nem. Az utolsó kérdés eldöntése nincs hatással a fejlesztıre, a séma értékelési módszertanának alapelvei (alkalmasság, pártatlanság, objektivitás, megismételhetıség, újraelıállíthatóság, az eredmények helyessége) többek között azt a célt is szolgálják, hogy a fejlesztı számára ez a kérdés közömbös legyen. Az értékelés tárgyának (s ezzel az értékelés határainak) pontos meghatározása Az értékelés tárgya pontos meghatározásának támogatásához a fejlesztınek tisztában kell lennie azokkal a különbségekkel, melyek az értékelés tárgya, az értékelés tárgyának biztonsági funkcionalitása, egy termék, egy általánosan használt termék, egy értékelt konfigurációban használt termék, illetve egy rendszer között lehetnek. A megbízó (esetenként a fejlesztı véleményét is kikérve és figyelembe véve) az alábbi alaplehetıségek közül választhat az értékelés tárgyának meghatározásakor: egy termékbıl álló értékelés tárgya, egyetlen termékbıl származtatható több értékelés tárgya, egy termék részét képezı értékelés tárgya, több termékbıl álló összetett értékelés tárgya. Magyar Informatikai Biztonsági Ajánlások 11
Ugyanaz a fejlesztési eredmény is igen eltérı (szakmailag és üzletileg egyaránt indokolható) választási lehetıséget kínálhat. A megbízó joga (minthogy ı ad megbízást az értékelésre, vállalva az ezzel járó költségeket is), hogy kijelölje az értékelés pontos határait. Ugyanakkor ez a választás jelentısen befolyásolja a fejlesztı dokumentációs munkáját, az értékelésre átadandó fejlesztıi bizonyítékok hatókörének kijelölésével. A biztonsági elıirányzat elkészítésének támogatása A biztonsági elıirányzat képezi a biztonsági értékelés alapját. Elkészítése kiemelt fontosságú, egyúttal az egyik legkorábban elvégzendı feladat. A biztonsági elıirányzat a már pontosan meghatározott értékelés tárgyára vonatkozóan tartalmazza az informatikai biztonsági célokat és követelményeket, egyúttal meghatározza az értékelés tárgya által a követelmények kielégítésére nyújtott funkcionális és garanciális intézkedéseket is. A biztonsági elıirányzat kinyilváníthatja (vállalhatja) egy vagy több védelmi profilnak való megfelelıségét. A megbízó saját erıbıl készítheti, vagy külsı szakértı segítségét igénybe véve készíttetheti el a biztonsági elıirányzatot. Bármelyik változat mellett is dönt, a biztonsági elıirányzat csak az alapját képezı terméket/rendszert legjobban ismerı fejlesztı aktív támogatásával készülhet el hatékonyan és kellı minıségben. Ahhoz, hogy ezt a támogatást a fejlesztı képes legyen megadni, saját fejlesztési eredményeinek mélyreható ismerete mellett, ismernie kell a biztonsági elıirányzatok (és az esetlegesen ezeket megalapozó védelmi profilok) szerkezeti felépítését, logikáját és (igen speciális) nyelvezetét. Az értékelési garanciaszint meghatározásának támogatása Az értékelés garanciaszintjének meghatározása jelentısen befolyásolja az értékelésre fordítandó erıforrások nagyságát, egyben az értékeléssel elérhetı független garancia mértékét, s ezzel az értékeléstıl várt pozitív hatásokat is. Ahhoz, hogy a fejlesztı kellıen segíteni tudja a megbízót a MIBÉTS alap, fokozott és kiemelt értékelési garanciaszintje közötti választásban, teljesülnie kell az alábbiaknak: a fejlesztı pontosan ismerje a MIBÉTS alap, fokozott és kiemelt értékelési garanciaszintjeinek fejlesztıi bizonyítékokra vonatkozó elvárásait, 12 Magyar Informatikai Biztonsági Ajánlások
a fejlesztı pontos becslést tudjon adni a három eltérı értékelési garanciaszint fejlesztıi bizonyítékainak erıforrás igényére (különös tekintettel az elkészítés idıigényére, amennyiben az adott bizonyíték elem még nincs kész), a fejlesztı idıben jelezze a megbízónak, ha fejlesztıi gyakorlata, a fejlesztés környezete vagy eszközrendszere nem teszi alkalmassá mindhárom értékelési garanciaszint elérését (nehogy a megbízó teljesíthetetlenül magas értékelési garanciaszintet válasszon). 2.1.2 AZ ÉRTÉKELÉSI MUNKATERV ÉS ÜTEMTERV VÉLEMÉNYEZÉSE A megbízó által kiválasztott és megbízott értékelı szervezet elsı feladata az értékelési munkaterv és értékelési ütemterv elkészítése. Ennek elkészítéséhez az értékelı szervezetnek szüksége van az értékelés tárgyára vonatkozó, már elkészült fejlesztıi dokumentációkra, ismertetı leírásokra. Valószínőleg igényli a fejlesztıkkel való személyes találkozót, szakmai konzultációt is. Ennek során a fejlesztıtıl együttmőködési készséget és szakmailag korrekt ismeretadást vár el a séma és az értékelı szervezet. A fejlesztıvel való konzultáció eredményét is tartalmazó értékelési munkaterv és értékelési ütemterv az egész értékelési folyamat menetét meghatározó, fontos munkaanyag. Annak érdekében, hogy kötelezettségeinek biztosan eleget tudjon tenni, a megbízó valószínőleg véleményezteti mindkét anyagot a fejlesztıvel is. Ennek során az alábbiak megerısítését (vagy ellenvetései kifejtését) kéri: az értékelési munkatervben elvárt fejlesztıi támogatás biztosítható, fejlesztéssel párhuzamos értékelés esetén az értékelési ütemterv mellékletét képezı, az értékelésre átadandó fejlesztıi bizonyítékok listája által megnevezett fejlesztıi dokumentumok az ugyanitt szereplı átadási határidıkre elkészíthetık (vagy milyen külsı segítség biztosítására van ehhez szükség), fejlesztés lezárását követı értékelés esetén az értékelési ütemterv mellékletét képezı, az értékelésre átadandó fejlesztıi bizonyítékok listája által megnevezett fejlesztıi dokumentumok az ugyanitt szereplı átadási határidıkre összeszedhetık, kigyőjthetık, illetve utólag elkészíthetık (vagy milyen külsı segítség biztosítására van ehhez szükség). Magyar Informatikai Biztonsági Ajánlások 13
2.1.3 A FEJLESZTİI BIZONYÍTÉKOK ELKÉSZÍTÉSÉBEN VALÓ KÖZREMŐKÖDÉS Az értékelésre átadandó fejlesztıi bizonyítékok elkészítése, illetve ennek az elkészítésnek a támogatása kiemelt fontosságú feladata a fejlesztınek. Az értékelési garanciaszint növekedésével egyre több, egyre részletesebb és egyre szigorúbb elvárásoknak megfelelı fejlesztıi bizonyítékokat kell az értékelésre átadni. A következı három pont felsorolja a különbözı értékelési garanciaszintek elvárásait a fejlesztıi bizonyítékok körére vonatkozóan. A fejlesztıi bizonyítékokra vonatkozó tartalmi követelményeket a 3. 6. fejezetek részletezik Az alap értékelési garanciaszinten elvárt fejlesztıi bizonyítékok A MIBÉTS alap értékelési garanciaszintje az alábbi fejlesztıi bizonyítékokat igényli: Sorszám Fejlesztıi bizonyíték 1 biztonsági elıirányzat 2 tesztelésre alkalmas értékelés tárgya 3 adminisztrátori útmutató 4 felhasználói útmutató 5 a biztonságos telepítési, generálási és indítási eljárások leírása 6 a konfiguráció kezelés dokumentációja 7 szállítási dokumentáció 8 funkcionális specifikáció 9 magas szintő terv 10 a tervdokumentációk közötti megfeleltetés-elemzések 11 tesztelési dokumentáció 12 a teszt lefedettség kimutatása 13 biztonsági funkcióerısség elemzés 14 fejlesztıi sebezhetıségi elemzés A 3. fejezet a biztonsági elıirányzatra, a 4. fejezet pedig a többi fenti fejlesztıi bizonyítékra vonatkozó tartalmi követelményeket részletezi, az elvárások kielégítésének lehetséges módjait is szemléltetve. 14 Magyar Informatikai Biztonsági Ajánlások
A fokozott értékelési garanciaszinten elvárt fejlesztıi bizonyítékok A MIBÉTS fokozott értékelési garanciaszintje az alábbi fejlesztıi bizonyítékokat igényli: Sorszám Fejlesztıi bizonyíték Megjegyzés 1 biztonsági elıirányzat mint az alap 2 tesztelésre alkalmas értékelés tárgya mint az alap 3 adminisztrátori útmutató mint az alap 4 felhasználói útmutató mint az alap 5 a biztonságos telepítési, generálási és indítási eljárások leírása mint az alap 6 a konfiguráció kezelés dokumentációja szigorúbb, mint az alap 7 szállítási dokumentáció mint az alap 8 funkcionális specifikáció mint az alap 9 magas szintő terv szigorúbb, mint az alap 10 a tervdokumentációk közötti megfeleltetéselemzések mint az alap 11 a fejlesztési biztonság dokumentációja új elvárás 12 tesztelési dokumentáció mint az alap 13 a teszt lefedettség elemzése szigorúbb, mint az alap 14 a teszt mélység elemzése új elvárás 15 biztonsági funkcióerısség elemzés mint az alap 16 fejlesztıi sebezhetıségi elemzés mint az alap A 3. fejezet a biztonsági elıirányzatra, az 5. fejezet pedig a többi fenti fejlesztıi bizonyítékra vonatkozó tartalmi követelményeket részletezi, az elvárások kielégítésének lehetséges módjait is szemléltetve. Az 5. fejezetben aláhúzott betőtípus jelzi azokat a részeket, melyek a fokozott értékelési garanciaszint szigorításai és bıvítései az alap értékelési garanciaszinthez képest. Magyar Informatikai Biztonsági Ajánlások 15
A kiemelt értékelési garanciaszinten elvárt fejlesztıi bizonyítékok A MIBÉTS kiemelt értékelési garanciaszintje az alábbi fejlesztıi bizonyítékokat igényli: Sorszám Fejlesztıi bizonyíték Megjegyzés 1 biztonsági elıirányzat mint a fokozott 2 tesztelésre alkalmas értékelés tárgya mint a fokozott 3 adminisztrátori útmutató mint a fokozott 4 felhasználói útmutató mint a fokozott 5 a biztonságos telepítési, generálási és indítási eljárások leírása mint a fokozott 6 a konfiguráció kezelés dokumentációja szigorúbb, mint a fokozott 7 szállítási dokumentáció szigorúbb, mint a fokozott 8 funkcionális specifikáció szigorúbb, mint a fokozott 9 magas szintő terv mint a fokozott 10 alacsony szintő terv új elvárás 11 a megvalósítási reprezentáció egy részhalmaza új elvárás 12 a tervdokumentációk közötti megfeleltetéselemzések szigorúbb, mint a fokozott 13 a fejlesztési biztonság dokumentációja mint a fokozott 14 az életciklust meghatározó dokumentáció új elvárás 15 a fejlesztıi eszközök dokumentációja új elvárás 16 tesztelési dokumentáció mint a fokozott 17 a teszt lefedettség elemzése mint a fokozott 18 a teszt mélység elemzése mint a fokozott 19 az útmutatók helytelen használhatóságának elemzése új elvárás 20 biztonsági funkcióerısség elemzés mint a fokozott 21 fejlesztıi sebezhetıségi elemzés szigorúbb, mint a fokozott A 3. fejezet a biztonsági elıirányzatra, a 6. fejezet pedig a többi fenti fejlesztıi bizonyítékra vonatkozó tartalmi követelményeket részletezi, az elvárások kielégítésének lehetséges módjait is szemléltetve. A 6. fejezetben aláhúzott betőtípus jelzi azokat a részeket, melyek a kiemelt értékelési garanciaszint szigorításai és bıvítései a fokozott értékelési garanciaszinthez képest. 16 Magyar Informatikai Biztonsági Ajánlások
2.2 FELADATOK AZ ÉRTÉKELÉS LEBONYOLÍTÁSI SZAKASZÁBAN 2.2.1 AZ ÉRTÉKELÉS TÁMOGATÁSA A FEJLESZTİI BIZONYÍTÉKOK ELKÉSZÍTÉSÉBEN VALÓ KÖZREMŐKÖDÉSSEL Az értékelés támogatásának legfontosabb feladataként a fejlesztınek támogatást kell nyújtania ahhoz, hogy az értékeléshez szükséges fejlesztıi bizonyítékokat az elfogadott értékelési ütemtervben meghatározott idıpontokig az értékelı rendelkezésére bocsássák. Az értékelésre átadandók listája bıvül az értékelés garanciaszintjének emelkedésével. A 2.1.3 pont részletezi a különbözı értékelési garanciaszinteken megkövetelt dokumentációkat. A konkrét lista az itt meghatározott tipikus elvárásoktól eltérhet. Az értékelésre átadandó fejlesztıi bizonyítékoknak ugyanis inkább a tartalma, mint pontos formátuma és címe bír jelentıséggel: több fejlesztıi bizonyíték is átadható egy közös anyagban, ha abban minden szükséges információ megtalálható, illetve egy értékelésre elvárt típus dokumentum tartalmát az értékelık több forrásból is kigyőjthetik. Amennyiben a fejlesztıi bizonyíték szétszórtan található, tanácsos az értékelık számára biztosítani egy külön útbaigazító dokumentumot, amely hivatkozásokkal azonosítja az értékelésre átadandó dokumentumokban megtalálható, elvárt fejlesztıi bizonyítékokat. Erısen javasolt, hogy amennyiben ez nem tesz feleslegessé már elkészült dokumentációkat, a fejlesztés eredményeként pontosan a 2.1.3 pontban megadott fejlesztıi dokumentációk készüljenek el, pontosan a késıbbiekben meghatározott tartalommal. Ez megkönnyíti az értékelést, elejét veszi az esetleges hiányoknak, egyúttal a fejlesztés dokumentációs szakaszaira is kedvezı hatást gyakorol. 2.2.2 AZ ÉRTÉKELÉS EGYÉB TÁMOGATÁSA Az értékelık a megbízótól kérhetnek logisztikai, tanácsadási és képzési támogatást az értékelés során. A megbízó (a fejlesztıvel errıl szerzıdésben megállapodva) intézkedhet úgy, hogy a fejlesztı adja meg az igényelt támogatás bizonyos részeit vagy egészét. Magyar Informatikai Biztonsági Ajánlások 17
A fejlesztı szervezetben egy kapcsolattartó személyt kell kijelölni a fejlesztıi támogatás kérdéseire. Ennek a személynek képesnek kell lennie arra, hogy: alkalomszerő támogatást biztosítson, szükség szerint kapcsolatot létesítsen a fejlesztı személyzet többi tagjával, amennyiben az értékelés tárgyára vonatkozó valamely egyedi kérdésben részletes információra van szükség. A szükséges támogatás mértéke függ az értékelés garanciaszintjétıl, az értékelés tárgyának méretétıl és bonyolultságától, valamint attól is, hogy a fejlesztınek van-e korábbi tapasztalata értékelt termékek és rendszerek kifejlesztésében. Az értékelési eljárás egyes részei (különösen a tesztelés) intenzívebb támogatást igényelnek a fejlesztıtıl. Az értékelı által megkívánt támogatás magában foglalhatja a következıket: kötetlen megbeszélések (konzultációk), képzés, számítógéphez való hozzáférés és támogatás, irodai elhelyezés biztosítása. Idınként szükség lehet a fejlesztıvel folytatott kötetlen megbeszélésekre. Az értékelık kérhetik, hogy a fejlesztı (vagy a megbízó) adjon egy rövid áttekintést az értékelés tárgya egy meghatározott részérıl, majd válaszolják meg a felmerült kérdéseiket. Képzésre is szükség lehet (lehetıség szerint a fejlesztıi csoport valamelyik tagjától) olyan területen, ahol nincs széles körben elérhetı dokumentáció, például az alábbi esetekben: az értékelés tárgyában és annak fejlesztésénél felhasznált egyedi hardver és szoftver, az alkalmazott fejlesztési módszerek, az alkalmazott fejlesztési eszközök. Arra általában nincs szükség, hogy a fejlesztı formális tanfolyamot szervezzen kifejezetten az értékelık vagy a tanúsítók számára. Az értékelık ugyanakkor kérhetik, hogy részt vehessenek egy olyan tanfolyamon, amelyet a fejlesztı személyzet tagjainak tartanak, például, ha: a fejlesztıi személyzetnek tartanak tanfolyamot egy adott fejlesztési módszerrıl, tanfolyamot tartanak az értékelés tárgya biztonságos adminisztrációjáról. 18 Magyar Informatikai Biztonsági Ajánlások
Bizonyos esetekben azonban mindkét fél számára elınyös lehet, ha a fejlesztık tanfolyamot tartanak az értékelık számára, mivel így az értékelık mélyebb ismereteket szerezhetnek az értékelés tárgyáról és annak fejlesztési eljárásáról. A fejlesztı ezzel megelızhet számos olyan témát, amely különben kérdésként vetıdne fel az értékelık részérıl. Az értékelıknek szükségük lehet egy vagy több megfelelı számítógéphez való hozzáférésre, alapvetıen abból a célból, hogy teszteket hajtsanak végre az értékelés tárgyán. Ebben az értelemben a számítógépek magukban foglalnak bármilyen berendezést, amelyet a fejlesztı az értékelés tárgya kialakításához és teszteléséhez használt. Amennyiben az értékelés tárgya egy informatikai rendszer, az értékelıknek arra is szükségük lehet, hogy hozzáférjenek ahhoz a számítógéphez, amely az adott rendszer mőködtetésére, irányítására szolgál. A számítógéphez való hozzáférés általában a fejlesztés vagy az üzemelés helyszínén történik. Bizonyos esetekben azonban kedvezı lehet, ha egy alternatív helyszínen biztosítják a hozzáférést, például úgy, hogy az értékelı számára biztosítanak egy számítógépet. Az értékelık számítógép használatának támogatása is szükségessé válhat, mint például a számítógép elindítása, mentési másolatok készítése, tesztek futtatása. Szükség esetén irodai elhelyezést kell biztosítani az értékelık számára, kizárólagos használatra, azokban az esetekben, amikor az értékelık a fejlesztési vagy üzemelési helyszínen dolgoznak. Ennek az irodai elhelyezésnek alkalmasnak kell lennie a kívánt számú ember elhelyezésére, egyúttal magában foglalhatja a következıket: alapvetı bútorzat, beleértve egy másolóhoz való hozzáférést, megfelelı biztonságos tárolási lehetıség az értékelés tárgyához kapcsolódó, védendınek feltüntetett információk tárolására. Az értékelınek el kell fogadni, hogy helyi rendszabályok tilthatják a fejlesztési vagy üzemelési helyszínre való kísérı nélküli belépést. Az értékelıknek ugyanakkor egyedüllétre lehet szükségük bizonyos idıszakokban, amikor a helyszínen dolgoznak. Ezért intézkedni kell arról, hogy az értékelık kíséret nélkül beléphessenek abba az irodai helyiségbe, amelyet kifejezetten számukra jelöltek ki. /Az értékelık igényelhetik, hogy tesztjeiket (különösen az áthatolás teszteket) egyedül végezhessék el./ Magyar Informatikai Biztonsági Ajánlások 19
Az értékelés elıre rögzíthetı és ütemezhetı támogatásán túl, a fejlesztınek váratlan helyzetekre is fel kell készülnie. Errıl szól a következı két pont. 2.2.3 AZ ÉRTÉKELÉS SORÁN FELMERÜLİ KÉRDÉSEK TISZTÁZÁSA A fejlesztınek megfelelı válaszokat kell adnia az értékelı és a tanúsító által feltett, a biztonsági elıirányzatra vagy bármely egyéb értékelésre átadandó fejlesztıi bizonyítékra vonatkozó, az értékelés folyamán felvetıdı kérdésekre. 2.2.4 AZ ÉRTÉKELÉS SORÁN FELMERÜLİ PROBLÉMÁK MEGOLDÁSA Akár a fejlesztéssel párhuzamosan, akár a fejlesztés lezárását követıen kerül sor az értékelésre, a fejlesztınek tudatában kell lennie annak, hogy az értékelés, természeténél fogva, bizonyos mértékig iteratív. Gyakran elıfordulhat (szinte elıre várható), hogy a fejlesztıi bizonyítékok egy részét az értékelés megállapításainak eredményeként módosítani kell. A fejlesztınek fel kell készülnie arra, hogy az értékelés során feltárt, észrevételezési jelentésben rögzített hibákat, hiányosságokat a lehetı legrövidebb idın belül kijavítja, pótolja, illetve a jelzett problémát az értékelıkkel egyetértésben más úton megoldja. 2.3 FELADATOK AZ ÉRTÉKELÉS KÖVETKEZTETÉSI SZAKASZÁBAN A fejlesztınek az értékelési folyamat utolsó szakaszában is számos kötelezettsége van. 2.3.1 AZ ÉRTÉKELÉS EREDMÉNYEINEK ELFOGADÁSA A megbízó megkapja az értékelés eredményeként elkészült értékelési jelentés tervezetet, melynek valamennyi összetevıjét öt munkanapon belül véleményezheti. Ebben az igen rövid és fontos periódusban szüksége lehet a fejlesztı támogatására. A fejlesztı elsısorban az értékelés tárgyára, a fejlesztésre és az értékelésre vonatkozó tényekkel kapcsolatos ismereteivel segítheti a megbízót véleménye kialakításában, esetleges módosító javaslatainak megalapozásában. 20 Magyar Informatikai Biztonsági Ajánlások
2.3.2 A TANÚSÍTÁSI FOLYAMAT TÁMOGATÁSA A megbízónak igény esetén támogatnia kell a tanúsítás folyamatát, a tanúsító szervezet részérıl felvetıdı kérdések megválaszolásával. Az ismét öt munkanapból álló periódusban szintén szüksége lehet a fejlesztı támogatására. A fejlesztı ebben a periódusban elsısorban azzal segítheti a megbízó véleményezését, ha a tervezetet olyan szempontból tanulmányozza át, hogy az nem tartalmaz-e érzékeny információt, illetve a fejlesztés oldaláról nem vetıdött-e fel olyan új tény, mely a tanúsítási jelentés tervezet következtetéseit érvényteleníti. 2.4 FELADATOK AZ ÉRTÉKELÉSI ÉS TANÚSÍTÁSI FOLYAMAT LEZÁRÁSÁT KÖVETİEN Az értékelést és tanúsítást követıen a fejlesztı folyamatos kötelezettsége lehet az értékelt és tanúsított termék vagy rendszer üzemeltetése során kiderült hibák javítása, illetve hiányosságok pótlása. Ez a tevékenysége ugyanakkor jelenleg a MIBÉTS hatókörén kívül esik (egészen a garancia karbantartására vonatkozó módszerek beépítéséig, mely egy késıbbi verzióban várható). Magyar Informatikai Biztonsági Ajánlások 21
3. FEJEZET A BIZTONSÁGI ELİIRÁNYZAT A biztonsági elıirányzatra mind a három értékelési garanciaszinten szükség van, s azonos formai és tartalmi követelmények vonatkoznak rá. 3.1 MEGHATÁROZÁSOK ÉS ELVÁRÁSOK A biztonsági elıirányzat (ST, Security Target) egy azonosított értékelés tárgya (TOE, Target of Evaluation, mely lehet egy informatikai termék vagy egy informatikai rendszer) informatikai biztonsági követelményeit tartalmazza, és elıírja azokat a funkcionális és garanciális biztonsági intézkedéseket, amelyeket ez az értékelés tárgya ajánl fel a kinyilvánított követelmények kielégítése érdekében. Az értékelés tárgya számára készült biztonsági elıirányzat alkotja a fejlesztık, az értékelık és a megbízó között létrejött, az értékelés tárgya biztonsági tulajdonságait és az értékelés hatókörét rögzítı megállapodás alapját. A biztonsági elıirányzat közönsége nem korlátozódik azokra, akik az értékelés tárgya kidolgozásáért és értékeléséért felelnek, hanem magában foglalhatja az értékelés tárgya menedzseléséért, piacra viteléért, beszerzéséért, telepítéséért, konfigurálásáért, mőködtetéséért és használatáért felelıs személyeket is. A biztonsági elıirányzat tartalmazhatja egy vagy több védelmi profil (PP, Protection Profile) követelményeit, illetve az ezeknek való megfelelıségrıl szóló nyilatkozatot. Az 1. ábra a biztonsági elıirányzat elvárt felépítését, a következı alfejezet pedig az elvárt tartalmát határozza meg. 22 Magyar Informatikai Biztonsági Ajánlások
BIZTONSÁGI ELİIRÁNYZAT Bevezetés Azonosítás Áttekintés Megfelelıség a Közös szempontoknak Az értékelés tárgya leírása Az értékelés tárgya biztonsági környezete Biztonsági célok Feltételezések Fenyegetések Szervezetbiztonsági szabályzatok Az értékelés tárgya biztonsági céljai A környezet biztonsági céljai Az informatikai biztonság követelményei Az értékelés tárgya biztonsági követelményei Az informatikai környezet biztonsági követelményei Az értékelés tárgya funkcionális biztonsági követelményei Az értékelés tárgya garanciális biztonsági követelményei Az értékelés tárgya összefoglaló elıírása Az értékelés tárgya biztonsági funkciói Garanciális intézkedések Védelmi profil nyilatkozatok Védelmi profil hivatkozás Védelmi profil illesztés Védelmi profil kiegészítés Indoklás A biztonsági célok indoklása A biztonsági követelmények indoklása Az értékelés tárgya összefoglaló elıírás indoklása A védelmi profil nyilatkozatok indoklása 1. ábra: a biztonsági elıirányzat elvárt felépítése Magyar Informatikai Biztonsági Ajánlások 23
3.2 A BIZTONSÁGI ELİIRÁNYZAT ELVÁRT TARTALMÁNAK ÁTTEKINTÉSE 3.2.1 A BIZTONSÁGI ELİIRÁNYZAT BEVEZETÉSE A biztonsági elıirányzat bevezetésének a következı dokumentumkezelı és áttekintı információt kell tartalmaznia: A biztonsági elıirányzat azonosításának azt a címkézı és leíró információt kell tartalmaznia, amely a biztonsági elıirányzat és az általa kiválasztott értékelés tárgya ellenırzéséhez és azonosításához szükséges. A biztonsági elıirányzat áttekintésének leíró módon kell a biztonsági elıirányzatot összefoglalnia. Az áttekintés legyen elég részletes ahhoz, hogy a biztonsági elıirányzat potenciális használója ennek alapján eldönthesse, érdemes-e az értékelés tárgyával foglalkoznia. Emellett az áttekintés olyan magában álló kivonatként is legyen használható, hogy azt késıbb az értékelt termékek listáján feltüntethessék. A megfelelıség a Közös szempontoknak résznek az értékelés tárgyára vonatkozó minden értékelhetı, a CC-nek való megfelelıségrıl szóló kijelentést kell megadnia (tipikusan a CC érvényesnek tekintett verzióját). 3.2.2 AZ ÉRTÉKELÉS TÁRGYA LEÍRÁSA Ebben a részben úgy kell leírni az értékelés tárgyát, hogy az segítse a biztonsági követelmények megértését, emellett meg kell nevezni a termék vagy rendszer típusát. Az értékelés tárgya tárgyát, hatókörét és határait általános kifejezésekkel, fizikai módon (hardver és/vagy szoftver összetevıkkel/modulokkal), vagy logikai módon (az értékelés tárgya által felajánlott informatikai és biztonsági tulajdonságokkal) kell leírni. Az értékelés tárgya leírása környezetet teremt az értékelés számára. Az itt közölt információkat az értékelés folyamán arra használják, hogy azonosítsák az esetleges belsı következetlenségeket, ellentmondásokat. Abban az esetben, ha az értékelés tárgya olyan termék vagy rendszer, amelynek legfıbb funkciója a biztonság, akkor a biztonsági elıirányzat e része arra használható, hogy bemutassa azt a szélesebb alkalmazási környezetet, amelybe az ilyen értékelés tárgya beleillik. 24 Magyar Informatikai Biztonsági Ajánlások
3.2.3 AZ ÉRTÉKELÉS TÁRGYA BIZTONSÁGI KÖRNYEZETE A értékelés tárgya biztonsági környezetérıl szóló nyilatkozatban le kell írni az alkalmazásra tervezett környezet biztonsági szempontjait, valamint a tervezett alkalmazás módját. E nyilatkozatnak a következıket kell magában foglalnia: A feltételezések leírásában be kell mutatni annak a környezetnek a biztonsági szempontjait, ahol az értékelés tárgyát használják vagy használni akarják. Ennek a következıket kell magában foglalnia: információ az értékelés tárgya szándékozott használatáról, beleértve olyan szempontokat, mint a tervezett alkalmazás, a vagyontárgy potenciális értéke és a használat esetleges korlátozásai, valamint információ az értékelés tárgya használati környezetérıl, beleértve a fizikai, a személyi és a kapcsolódási szempontokat. /Amennyiben a biztonsági célok csupán fenyegetésekbıl és szervezetbiztonsági szabályzatokból vannak levezetve, akkor a feltételezések leírását el lehet hagyni./ A fenyegetések leírásában a vagyontárgyakat érintı minden olyan fenyegetést szerepeltetni kell, amely miatt különleges védelmet igényel az értékelés tárgya vagy annak környezete. Fontos megjegyezni, hogy nem szükséges minden lehetséges fenyegetést felsorolni, amely a környezetben elıfordulhat, csupán azokat, amelyek az értékelés tárgya biztonságos mőködésére vonatkoznak. A fenyegetést az azonosított veszélyforrással, a támadással és a támadás tárgyát képezı vagyontárggyal kifejezve kell leírni. A veszélyforrásokat az olyan szempontokkal kifejezve kell leírni, mint a szakértelem, a rendelkezésre álló erıforrások, és a motiváció. A támadásokat olyan szempontokkal kifejezve kell leírni, mint a támadási módok, kihasznált sebezhetıségek, illetve támadási lehetıségek. /Amennyiben a biztonsági célok csupán szervezetbiztonsági szabályzatokból és feltételezésekbıl vannak levezetve, akkor a fenyegetések leírása elhagyható./ A szervezetbiztonsági szabályzatok leírásának meg kell határoznia és szükség esetén meg kell magyaráznia azokat a szervezetbiztonsági szabályzatokat vagy szabályokat, amelyeknek az értékelés tárgyának eleget kell tennie. /Amennyiben a biztonsági célok csupán fenyegetésekbıl és feltételezésekbıl vannak levezetve, akkor a szervezetbiztonsági szabályzatok leírása elhagyható./ Magyar Informatikai Biztonsági Ajánlások 25
Fizikailag szétosztott értékelés tárgya esetén szükség lehet arra, hogy a biztonsági környezet szempontjait (a feltételezéseket, a fenyegetéseket és a szervezetbiztonsági szabályzatokat) külön-külön vitassák meg az értékelés tárgya környezetének egyes tartományaira. 3.2.4 BIZTONSÁGI CÉLOK A biztonsági célokról szóló nyilatkozatnak mind az értékelés tárgya, mind annak környezete biztonsági céljait meg kell határoznia. A biztonsági céloknak minden azonosított környezeti szempontot fel kell ölelniük. A biztonsági céloknak emlékeztetniük kell a kinyilvánított szándékra, alkalmasnak kell lenniük arra, hogy ellenálljanak az azonosított fenyegetéseknek, és le kell fedniük minden azonosított szervezetbiztonsági szabályzatot vagy feltételezést. A célok következı kategóriáit kell azonosítani: Az értékelés tárgya biztonsági céljai (ezeket világosan meg kell fogalmazni, és vissza kell vezetni azokra az azonosított fenyegetésekre, amelyek ellen az értékelés tárgya ellenintézkedéseket tesz és/vagy azokra a szervezetbiztonsági szabályzatokra, amelyeknek az értékelés tárgyának eleget kell tennie. A környezet biztonsági céljai (ezeket világosan meg kell fogalmazni, és vissza kell vezetni azokra az azonosított fenyegetésekre, amelyek ellen az értékelés tárgya nem tesz átfogó ellenintézkedéseket és/vagy azokra a szervezetbiztonsági szabályzatokra vagy feltételezésekre, amelyeknek az értékelés tárgya nem tesz teljesen eleget. 3.2.5 AZ INFORMATIKAI BIZTONSÁG KÖVETELMÉNYEI Ez a rész az informatikai biztonság azon részletezett követelményeit határozza meg, amelyeket vagy az értékelés tárgyának, vagy környezetének kell kielégíteni. Az informatikai biztonság követelményeit a következı formában kell felállítani: Az értékelés tárgya biztonsági követelményeirıl szóló nyilatkozatnak azokat a funkcionális és garanciális biztonsági követelményeket kell meghatároznia, amelyeket az értékelés tárgyának és az értékelését támogató bizonyítéknak azért kell kielégítenie, hogy teljesítse az értékelés tárgya biztonsági céljait. Az értékelés tárgya biztonsági követelményeit a következı formában kell felállítani: Az értékelés tárgya funkcionális biztonsági követelményeirıl szóló nyilatkozat az értékelés tárgya funkcionális követelményeit a CC 2. részének funkcionális összetevıivel határozza meg, ahol azok alkalmazhatók. 26 Magyar Informatikai Biztonsági Ajánlások
Amikor ugyanannak a követelménynek különbözı szempontjait szükséges kielégíteni (pl.: amikor különbözı típusú felhasználókkal szemben eltérı követelményeket támasztanak), akkor a CC 2. részében megadott ugyanazon összetevıt ismételten használhatjuk (azaz alkalmazzuk az iteráció mőveletét) arra, hogy valamennyi szempontnak eleget tegyünk. Az AVA_SOF.1 garanciális biztonsági követelmény szerint az értékelés tárgya funkcionális biztonsági követelményeirıl szóló nyilatkozatnak magában kell foglalnia az értékelés tárgya valószínőségi és permutációs mechanizmussal megvalósított biztonsági funkcióinak (pl.: jelszó vagy biometrikus funkció) minimális erısségi szintjét is. Minden ilyen funkciónak teljesítenie kell ezt a minimális szintet. A (biztonsági erısségi) szint a következık egyike lehet: SOF-alap, SOF-közepes, SOF-magas. A szint kiválasztásának összhangban kell lennie az értékelés tárgya meghatározott biztonsági céljaival. A kiválasztott funkcionális követelmények esetén a funkcióerısség mértékét saját metrikával, szabadon is meg lehet határozni, ha egyes biztonsági célok ezt szükségessé teszik. Az értékelés tárgya biztonsági funkciónak erısség értékelése keretében (AVA_SOF.1) felmérik, hogy az értékelés tárgya kielégíti-e a különbözı egyedi biztonsági funkcióinak az erısségére, illetve az általános erısség minimális szintjére vonatkozó kijelentéseket. Az értékelés tárgya garanciális biztonsági követelményeirıl szóló nyilatkozatnak a garanciális követelményeket az alap, fokozott, illetve kiemelt értékelési garanciaszintek egyikével kell meghatároznia. Az informatikai környezet biztonsági követelményeirıl szóló, opcionálisan választható nyilatkozatnak azokat az informatikai biztonsági követelményeket kell meghatároznia, amelyeket az értékelés tárgya informatikai környezetének kell kielégítenie. Amennyiben az értékelés tárgya nem állított fel az informatikai környezettel kapcsolatos függéseket, a biztonsági elıirányzat ezen része elhagyható. /A nem informatikai környezet biztonsági követelményei, bár sokszor hasznosak a gyakorlatban, nem szükséges hogy a biztonsági elıirányzat formális részét alkossák, mivel nem vonatkoznak közvetlenül az értékelés tárgya megvalósítására./ Magyar Informatikai Biztonsági Ajánlások 27
Az értékelés tárgyára és annak informatikai környezetére a következı általános feltételeket kell érvényesíteni a funkcionális biztonsági követelményeket leíró kifejezések esetében: A funkcionális biztonsági követelmények kinyilvánításánál a CC 2. részébıl vett biztonsági követelmény-összetevıkre hivatkozzunk, hacsak lehet. Amennyiben a CC 2. részébıl vehetı követelmény-összetevık egyike sem alkalmazható könnyen a biztonsági követelmények egészére vagy egy részére, akkor a biztonsági elıirányzat azokat közvetlenül is kinyilváníthatja a CC-re való hivatkozás nélkül. A közvetlenül (CC hivatkozás nélkül) kinyilvánított funkcionális biztonsági követelményeket világosan és egyértelmően kell kifejteni, hogy az értékelhetı, megfelelısége pedig kimutatható legyen. Modellként a meglévı funkcionális CC követelmények részletezettségi szintjét és leírásmódját kell használni. A mőveleteket arra kell használni, hogy a követelményeket a biztonsági célok kielégítése bemutatásához szükséges részletességgel megadják. A követelményösszetevıkre elıírt valamennyi mőveletet végre kell hajtani. Az informatikai biztonsági követelmények között fennálló függéseket ki kell elégíteni. A függéseket azzal lehet kielégíteni, hogy a rájuk vonatkozó követelményeket is felvesszük az értékelés tárgya, vagy annak biztonsági környezete biztonsági követelményei közé. 3.2.6 AZ ÉRTÉKELÉS TÁRGYA ÖSSZEFOGLALÓ ELİÍRÁSA Az értékelés tárgya összefoglaló elıírásának az értékelés tárgya biztonsági követelményeinek megvalósítását kell meghatároznia. Ennek az elıírásnak le kell írnia a biztonsági követelményeket kielégítı biztonsági funkciókat (TSF) és garanciális intézkedéseket. Az értékelés tárgya összefoglaló elıírása részeként megadott funkcionális információ bizonyos esetekben azonos lehet azzal az információval, amelyet az ADV_FSP követelmények részeként kell majd az értékelés számára megadni. Az értékelés tárgya összefoglaló elıírása a következıket tartalmazza: Az értékelés tárgya biztonsági funkcióiról szóló nyilatkozatnak meg kell határoznia az informatikai biztonsági funkciókat, valamint azt, hogy ezek a funkciók hogyan elégítik ki az értékelés tárgya funkcionális biztonsági követelményeit. 28 Magyar Informatikai Biztonsági Ajánlások
Ennek a nyilatkozatnak tartalmaznia kell a funkciók és követelmények közötti kölcsönös megfeleltetést, amely világosan kimutatja, hogy melyik funkció melyik követelményt elégíti ki, illetve, hogy minden követelmény megvalósul. Minden biztonsági funkciónak legalább egy funkcionális biztonsági követelmény teljesítéséhez hozzá kell járulnia. Az informatikai biztonsági funkciókat informálisan és olyan részletezésben kell bemutatni, amely elegendı azok tartalmának megértéséhez. A biztonsági elıirányzatba foglalt minden biztonsági mechanizmusra való hivatkozást a megfelelı biztonsági funkciókra kell úgy visszavezetni, hogy láthatóvá váljon, melyik funkció megvalósítására melyik biztonsági mechanizmust használják. Ahol az AVA_SOF.1-t az értékelés tárgya garanciális biztonsági követelményei tartalmazzák, ott minden valószínőségi és permutációs mechanizmussal megvalósított informatikai biztonsági funkciót (pl.: jelszó vagy biometrikus funkció) azonosítani kell. Az értékelés tárgya biztonsága szempontjából fontos annak a valószínősége, hogy az ilyen funkciók mechanizmusát szándékos vagy véletlen támadással megsértik. Ezekhez a funkciókhoz el kell végezni a biztonsági funkcióerısség elemzést is. Valamennyi azonosított funkció erısségét meg kell határozni, és mint SOF-alap, SOF-közepes, SOF-magas, vagy egy szabadon választható külön mérték szerint kell kijelenteni. A funkcióerısségrıl adott bizonyítéknak elegendınek kell lennie ahhoz, hogy lehetıvé tegye az értékelık számára saját független értékelésük elkészítését, és annak megerısítését, hogy a kijelentett erısség megfelelı és helyes. A garanciális intézkedésekrıl szóló nyilatkozat az értékelés tárgya azon garanciális intézkedéseit határozza meg, amelyek eleget tesznek a kinyilvánított garanciális követelményeknek. A garanciális intézkedéseket vissza kell vezetni a garanciális követelményekre, hogy láthatóvá váljon, melyik intézkedés melyik követelmény kielégítéséhez járul hozzá. A garanciális intézkedések meghatározása megadható a fontosabb minıségi tervekre, életciklus-tervekre, vagy menedzseri tervekre való hivatkozással is. Magyar Informatikai Biztonsági Ajánlások 29