Please enable JavaScript.
Coggle requires JavaScript to display documents.
стандарту ISO/IEC 15408-2 (Литвиненко Олексія КБ-31-4) - Coggle Diagram
стандарту ISO/IEC 15408-2
(Литвиненко Олексія КБ-31-4)
Область застосування
Стандарт визначає структуру та зміст функціональних компонентів безпеки для оцінки ІТ-продуктів.
Містить каталог універсальних вимог безпеки
Нормативні посилання
ISO/IEC 15408-1:2022
ISO/IEC 15408-3
ISO/IEC 18045
Ключові терміни
Ідентичність: Унікальний ідентифікатор сутності (напр., логін).
Політика функції безпеки (SFP): Набір правил для забезпечення безпеки.
Довірений канал: Захищене сполучення між TOE та іншим довіреними системами.
Дані TSF: Дані, критичні для роботи системи безпеки.
Огляд
Загальні принципи функціональних вимог.
Організація класів (напр., аудит, криптографія, управління доступом).
Класи функціональних вимог
FAU (Аудит безпеки): Журналювання подій, аналіз загроз (напр., FAU_SAR – перегляд аудиту).
FCS (Криптографія): Управління ключами (FCS_CKM), генерація випадкових чисел (FCS_RNG).
FDP (Захист даних): Контроль доступу (FDP_ACC), цілісність даних (FDP_SDI).
FIA (Ідентифікація): Автентифікація (FIA_UAU), обмеження спроб входу (FIA_AFL).
FMT (Управління безпекою): Ролі адміністраторів (FMT_SMR), термін дії паролів (FMT_SAE).
FPT (Захист TSF): Фізичний захист (FPT_PHP), самоперевірка (FPT_TST).
Додатки
Деталізація компонентів, приклади застосування, таблиці залежностей.
3.1 Ідентичність
Унікальне представлення сутності (користувача, процесу, пристрою) у системі.
Приклад: Логін, цифровий сертифікат, MAC-адреса.
Примітка: Одна сутність може мати кілька ідентичностей.
3.2 Передача між TSF
Взаємодія між TOE (ціллю оцінки) та іншими довіреними ІТ-системами.
Приклад: Обмін даними між серверами з використанням TLS.
3.3 Внутрішній канал зв’язку
Захищене сполучення між компонентами в межах TOE.
Приклад: IPC (міжпроцесна взаємодія) у межах ОС.
3.4 Внутрішня передача TOE
Передача даних між частинами TOE без виходу за його межі.
Відмінність від 3.2: Не стосується зовнішніх систем.
3.5 Операція
Дія над компонентом: призначення, уточнення, ітерація або вибір.
Приклад: Налаштування рівня аудиту (FAU_SEL.1 – вибір подій).
3.6 Секрет
Інформація, відома лише авторизованим користувачам або TSF.
Приклад: Криптографічні ключі, паролі.
3.7 Безпечний стан
Стан системи, коли:
Дані TSF узгоджені.
Функціональні вимоги безпеки (SFR) виконуються коректно.
3.8 Політика функції безпеки (SFP)
Набір правил, що визначають поведінку TSF.
Приклад: Політика контролю доступу (FDP_ACC).
3.9 Ресурс TOE
Будь-який об’єкт у TOE, який можна використовувати або споживати.
Приклад: CPU, пам’ять, мережеві з’єднання.
3.10 Перенесення за межі TOE
Передача даних з TOE до зовнішніх об’єктів, не контрольованих TSF.
Приклад: Експорт даних у хмарне сховище.
3.11 Довірений канал
Захищений зв’язок між TOE та іншим довіреним ІТ-продуктом.
Вимоги: Автентифікація, цілісність даних.
3.12 Довірений шлях
Захищене сполучення між користувачем та TOE.
Приклад: SSH-сесія з двофакторною автентифікацією.
3.13 Дані TSF
Дані, необхідні для роботи механізмів безпеки TOE.
Приклад: Журнали аудиту, конфігураційні файли TSF.
3.14 Дані користувача
Дані, створені користувачем, але не впливають на TSF.
Приклад: Документи, зображення.
Виняток: Якщо дані користувача впливають на TSF (напр., конфігурація правил брандмауера), вони вважаються даними TSF.