Common Criteria for Information Technology Security Evaluation, versión 3.1 Parte 1 (denominada CC 3.1 o CC) [1] define el objetivo de seguridad ( ST ) como una "declaración de necesidades de seguridad dependiente de la implementación para un objetivo de evaluación ( TOE ) identificado específico " . En otras palabras, el ST define el límite y especifica los detalles del TOE. En un proceso de evaluación de producto según el CC, el proveedor del producto proporciona el documento ST.
Un ST define la seguridad de la garantía de la información y los requisitos funcionales para el producto del sistema de información dado, que se denomina Objetivo de evaluación (TOE). Un ST es una descripción completa y rigurosa de un problema de seguridad en términos de descripción de TOE, amenazas, supuestos, objetivos de seguridad, requisitos funcionales de seguridad (SFR), requisitos de garantía de seguridad (SAR) y fundamentos. Los SAR generalmente se dan como un número del 1 al 7 llamado Nivel de garantía de evaluación (EAL), lo que indica la profundidad y el rigor de la evaluación de seguridad, generalmente en forma de documentación de respaldo y pruebas, que el producto cumple con los SFR.
Un ST contiene información específica de implementación (pero no muy detallada) que demuestra cómo el producto aborda los requisitos de seguridad. Puede referirse a uno o más perfiles de protección (PP). En tal caso, el ST debe cumplir con los requisitos de seguridad genéricos dados en cada uno de estos PP, y puede definir requisitos adicionales.
Esquema de objetivo de seguridad
1. Introducción : una descripción general de lo que hace el TOE, incluidas las características clave y el propósito.
- Referencia ST
- Referencia de TOE
- Descripción general de TOE
- Descripción del dedo del pie
2. Declaraciones de conformidad : identifica las declaraciones de conformidad para la evaluación TOE.
- Declaraciones de conformidad con la versión CC
- Declaraciones de conformidad CC Parte 2
- Declaraciones de conformidad CC Parte 3
- Declaraciones de conformidad con PP: conformidad estricta o conformidad demostrable
3. Definición del problema de seguridad : describe las amenazas y suposiciones sobre el entorno operativo. El objetivo es demostrar el problema de seguridad que pretende abordar el TOE y su entorno operativo.
- Amenazas: una acción adversa realizada por un agente de amenazas sobre un activo. Los agentes de amenazas se describen por aspectos tales como experiencia, recursos, oportunidad y motivación.
- Políticas de seguridad organizacional (OSP): OSP es un conjunto de reglas, procedimientos o pautas de seguridad impuestas por una organización en el entorno operativo de TOE.
- Supuestos: hechos solo sobre el entorno operativo del comportamiento del TOE.
4. Objetivos de seguridad : una declaración concisa y abstracta de la solución prevista al problema especificado por la definición del problema de seguridad. Cada objetivo de seguridad debe rastrear al menos una amenaza o OSP.
1) Aspecto de la seguridad cuyo logro es el propósito y objetivo de utilizar ciertas medidas de mitigación, tales como confidencialidad, integridad, disponibilidad, autenticidad del usuario, autorización de acceso, rendición de cuentas.
2) confidencialidad, integridad o disponibilidad requerida para apoyar los requisitos fundamentales aplicables.- [1]
- Objetivos de seguridad para el TOE
- Objetivos de seguridad para el entorno operativo
- Justificación de los objetivos de seguridad: un conjunto de justificaciones que muestra que los objetivos de seguridad abordan eficazmente todas las amenazas y suposiciones.
5. Definición de componentes extendidos : los componentes extendidos deben constar de elementos medibles y objetivos donde se pueda demostrar la conformidad.
6. Requisitos de seguridad : define y describe los SFR de CC Parte 2 y los SAR de CC Parte 3.
- Requisitos funcionales de seguridad: los SFR forman una descripción clara, inequívoca y bien definida del comportamiento de seguridad esperado del TOE.
- Requisitos de garantía de seguridad: los SAR forman una descripción clara, inequívoca y establecida de las actividades previstas que se llevarán a cabo para obtener seguridad en el TOE.
- Requisitos de seguridad Justificación: la justificación de un objetivo de seguridad para el TOE demuestra que los SFR son suficientes y necesarios.
7. Especificaciones resumidas de la TOE : permite a los evaluadores y consumidores potenciales obtener una comprensión general de cómo se implementa la TOE.
- Funciones de seguridad: función de una zona o conducto para evitar la intervención electrónica no autorizada que pueda afectar o influir en el funcionamiento normal de los dispositivos y sistemas dentro de la zona o conducto. La especificación resumida de TOE debe describir cómo el TOE cumple con cada SFR.
- Especificaciones de seguridad de TOE: una vista de alto nivel de cómo el desarrollador pretende satisfacer cada SFR.
Ver también
Referencias
- ^ Portal de criterios comunes - http://www.commoncriteriaportal.org/cc/