a. Họ giới thiệu PP (APE - INT)
Mục tiêu của họ này là miêu tả TOE một cách tường thuật. Chứa tài liệu quản lý và thông tin tổng quan cần thiết tới thao tác đăng ký PP. Đánh giá họ nàotức là yêu cầu tới sự mô tả, xác định sự phù hợp của tất cả các phần nội dung PP. Tham chiếu chéo của PP và tổng quan TOE phải thống nhất với nhau.
Họ này gồm một thành phần là: Thành phần những yêu cầu đánh giá giớithiệu PP (APE INT)
Mục tiêu: Giúp chúng ta hiểu được những yêu cầu an toàn TOE. Đánh giá mô tả TOE tức là miêu tả yêu cầu an toàn cho chúng ta thấy được sự nhất quán, sự chắc chắn về cài đặt và sự phù hợp của các phần nội dung PP.
Họ này gồm một thành phần là: Thành phần những yêu cầu đánh giá mô tả TOE (APE_DES.1)
c. Họ môi trường an toàn (APE - ENV)
Mục tiêu: Xác định việc lựa chọn những yêu cầu an toàn trong CNTT là đầy đủ Đây là vấn đề an toàn quan trọng tới việc đưa ra giải pháp làm rõ thỏa thuận của các bên tham gia đánh giá.
Họ này gồm một thành phần là: Thành phần những yêu cầu đánh giá môi trường an toàn (APE - ENV.1)
d. Họ những mục tiêu an toàn (APE - OBJ)
Mục đích: Đưa ra báo cáo ngắn gọn tới việc mở rộng vấn đề an toàn. Đánh giá những mục tiêu an toàn là yêu cầu diễn giải tình trạng tương xứng với vấn đề an toàn. Họ mục tiêu an toàn được phân ra làm mục tiêu an toàn cho TOE và mục tiêu an toàn cho môi trường. Đánh giá những mục tiêu an toàn đó là những yêu cầu tới sự miêu tả những mục tiêu an toàn một cách đầy đủ và xác định vấn đề an toàn tới TOE là môi trường phát triển, môi trường thao tác được định nghĩa rõ ràng và mục tiêu an toàn được cài đặt đúng đắn.
Họ này gồm một thành phần là: Thành phần yêu cầu đánh giá những mục tiêu an toàn (APE-OBJ.1).
e. Họ những yêu cầu an toàn CNTT (APE - REQ)
Mục tiêu: Những yêu cầu an toàn CNTT được lựa chọn cho TOE trong phần 2 nội dung của CC được thể hiện trong một PP cần được đánh giá để xác nhận sự phù hợp nội tại có thể phát triển TOE khi gặp những mục tiêu an toàn. Họ này yêu cầu đánh giá, cho phép xác định PP một cách thích hợp cho đánh giá TOE. Bổ sung tiêu chuẩn cần thiết cho đánh giá bao phủ những yêu cầu rõ ràng được đưa ra của họ APE - SRE.
Họ này gồm một thành phần là: Thành phần những yêu cầu đánh giá an toàn CNTT (APE - REQ. 1).
f. Họ đưa ra rõ ràng những yêu cầu an toàn CNTT (APE SRE)
Mục tiêu: Tác giả PP có thể đưa ra những yêu cầu an toàn khác không tham chiếu trong CC. Đây là họ những yêu cầu đánh giá cho phép đánh giá tới việc xác định dứt khoát việc đưa ra rõ ràng những yêu cầu an toàn và thể hiện tính không mập mờ.
Họ này gồm một thành phần là: Thành phần yêu cầu đánh giá đưa ra những yêu cầu an toàn rõ ràng (APE - SRE.I).
2.1.6.2. Những yêu cầu đánh giá thoả mãn EAL4
a. Những thành phần đảm bảo yêu cầu trong mức EAL4
Lớp đảm bảo an toàn Những thành phần đảm bảo an toàn
ACM: Quản lý cấu hình
ACM_AUT.1: Tự động quản lý bộ phận
ACM_CAP.4: Những thủ tục hỗ trợ và chấp thuận ACM_SCP.2: Mức bao hàm quản lý cấu hình theo dõi vấn đề
ADO: Vận hành phân phát ADO_DES.2: Phát hiệu sửa lỗi
ADO_IGS.1: Các thủ tục cài đặt, sinh và khởi động
ADV: Phát triển
ADV_FSP.2: Những giao diện ngoài xác định đầy đủ ADV_HLD.2: Thiết kế mức cao bắt tuân thủ an toàn ADV_IMP.1: Tập con cài đặt những chức năng an toàn ADV_LLD.1: Thiết kế mức thấp có mô tả
ADV_RCR.1: Biểu thị phù hợp không hình thức ADV_SPM.1: Mô hình TSP của TOE không hình thức AGD: Những tài liệu hướng
dẫn
AGD_ADM.1: Hướng dẫn người quản trị AGD_USR.1: Hướng dẫn người sử dụng
ALC: Hỗ trợ vòng đời
ALC_DVS.1: Nhận biết những biện pháp an toàn ATE_DPT.1: Kiểm định thiết kế mức cao
ATE_FUN.1: Kiểm định chức năng ATE_IND.2: Kiểm định độc lập – mẫu
AVA: Đánh giá tổn thương
AVA_MSU.2: Tính hợp lệ của phân tích
AVA_SOF.1: Sức mạnh của đánh giá chức năng an toàn TOE
AVA_VLA.2: Phân tích tổn thương độc lập
Bảng 1: Những thành phần đảm bảo an toàn mức EAL4
1. ACM_AUT.1 thuộc lớp quản lý cấu hình ACM tự động quản lý cấu hình bộ phận: Đây là yêu cầu mới và là yêu cầu đảm bảo an toàn chủ yếu.
2. ACM_CAP.4 những qui trình chấp thuận và hỗ trợ sinh: Đây là phân cấp tăng lên của thành phần và là yêu cầu đảm bảo an toàn chủ yếu.
3. ACM_SCP.2 bao hàm quản lý cấu hình theo dõi vấn đề: Đây là phân cấp tăng lên của thành phần và là yêu cầu đảm bảo an toàn chủ yếu.
4. ADO_DEL.2 thuộc về lớp vận hành và phân phát phát hiện sửa đổi: Đây là phân cấp tăng lên của thành phần và là yêu cầu đảm bảo an toàn chủ yếu.
5. ADO_IGS.l những quy trình khởi động, sinh và cài đặt: Đây là yêu cầu của EAL có trước và là yêu cầu đảm bảo an toàn chủ yếu.
6. ADV_FSP.2 những giao diện bên ngoài được xác định đầy đủ: Đây là phân cấp tăng lên của thành phần và là yêu cầu đảm bảo an toàn chủ yếu.
7. ADV_HLD.2 thiết kế mức cao bắt buộc tuân thủ an toàn: Đây là yêu cầu của EAL có trước và yêu cầu đảm bảo an toàn chủ yếu..
8. ADV_IMP.l tập con cài đặt những chức năng an toàn của Đích đánh giá TOE: Đây là yêu cầu mới và yêu cầu đảm bảo an toàn chủ yếu.
9. ADV_LLD thiết kế mức thấp có mô tả: Đây là yêu cầu mới và là yêu cầu đảm bảo an toàn hỗ trợ.
10. ADV_RCR.1 chứng tỏ phù hợp không hình thức: Đây là yêu cầu EAL có trước và yêu cầu đảm bảo an toàn hỗ trợ.
11. ADV_SPM.1 mô hình chính sách an toàn Đích đánh giá không hình thức: Đây là yêu cầu mới và yêu cầu đảm bảo an toàn chủ yếu.
12. AGD_ADM.1 thuộc lớp những tài liệu hướng dẫn nói về hướng dẫn người quản trị: Đây là yêu cầu EAL có trước và yêu cầu đảm bảo an toàn hỗ trợ.
13. AGD_USG hướng dẫn người sử dụng: Đây là yêu cầu EAL có trước và yêu cầu đảm bảo an toàn hỗ trợ.
14. ALC_DVS thuộc lớp hỗ trợ vòng đời ALC nói về nhận biết những biện pháp an toàn: Đây là yêu cầu EAL có trước và yêu cầu đảm bảo an toàn hỗ trợ.
15. ALC_LCD. mô hình vòng đời được xác định bởi nhà phát triển.
16. ALC_TAT.1 những công cụ phát triển được xác định rõ ràng: Đây là yêu cầu mới và là yêu cầu đảm bảo an toàn hỗ trợ.
17. ATE_COV.2 thuộc lớp những phép kiểm định ATE phân tích bao hàm: Đây là yêu cầu của EAL có trước và yêu cầu đảm bảo an toàn chủ yếu.
18. ATE_DPT.1 kiểm định: Thiết kế mức cao: Đây là yêu cầu của EAL có trước và yêu cầu đảm bảo an toàn chủ yếu.
19. ATE_FUN.1 kiểm định chức năng: Đây là yêu cầu của EAL có trước và yêu cầu bảo an toàn hỗ trợ.
20. ATE_IND.2 kiểm định độc lập - mẫu: Đây là yêu cầu của EAL có trước và yêu cầu đảm bảo an toàn chủ yếu.
21. AVA_MSU.2 thuộc lớp phân tích tổn thương AVA nói về hợp lệ của phân tích: Đây là phân cấp tăng lên của thành phần và yêu cầu đảm bảo an toàn.
22. AVA_SOF.1 sức mạnh của đánh giá chức năng an toàn của Đích đánh giá TOE, yêu cầu của EAL có trước và yêu cầu đảm bảo an toàn chủ yếu.
23. AVA_VLA.2 phân tích tổn thương nhà phát triển: phân cấp tăng lên của thành phần và là yêu cầu đảm bảo an toàn chủ yếu.
Kết luận: Như vậy để PP/ST/TOE đánh giá qua được mức EAL4 thì cần thoả
mãn yêu cầu của 23 họ đảm bảo an toàn trên.
2.2. Phương pháp luận cho đánh giá an toàn - CEM 2.2.1. Mối quan hệ CEM và CC 2.2.1. Mối quan hệ CEM và CC
Qua sơ đồ dưới ta thấy từng Lớp, Họ, Thành phần, Phần tử trong CC tương ứng với CEM là những hoạt động, hành động. CC luôn đặt ra những quy định cái gì cần phải đạt được còn CEM hướng dẫn để xem cái đó có thể đạt được hay không. CC hướng tới 3 đối tượng chính còn CEM hướng tới nhà đánh giá và các đối tượng khác có thể tham khảo nhằm hiểu được những đánh giá.
2.2.2. Sơ đồ tổng quát cho đánh giá
Tất cả các quá trình của đánh giá đều tuân theo 4 nhiệm vụ: Đó là nhiệm vụ đầu vào, nhiệm vụ đầu ra, các hoạt động con đánh giá và sự giải thích khả năng kỹ thuật.
Hình 2. 35: Các nhiệm vụ đánh giá
Trong quá trình đánh giá có các đối tượng tham gia đó là nhà bảo trợ có trách nhiệm hỗ trợ cho đánh giá như phân chia nhiệm vụ, giúp nhà đánh giá cung cấp bằng chứng cần thiết. Nhà phát triển có nhiệm vụ cung cấp bằng chứng cần thiết cho nhà đánh giá. Nhà đánh giá nhận bằng chứng từ nhà phát triển để thực hiện hành động con đánh giá. Nhà thẩm quyền theo dõi quá trình đánh giá và phát hành các báo cáo chứng nhận, phê chuẩn dựa trên kết quả đánh giá.
a. Nhiệm vụ đầu vào
Nhiệm vụ đầu vào cung cấp những tài liệu, bằng chứng cần thiết cho nhà đánh giá lấy bằng chứng để đánh giá. Ví dụ: Tài liệu phát triển sản phẩm, tài liệu PP/ST, mã nguồn hoặc bản vẽ liên quan.
b. Hoạt động con đánh giá.
Các tác vụ của nó thay đổi phụ thuộc vào đánh giá cái gì và yêu cầu đảm bảo an toàn được lựa chọn. Ví dụ: Đánh giá PP/ST hay TOE.1
c. Nhiệm vụ đầu ra
Đầu ra cuối cùng được nhà đánh giá đưa ra là 2 báo cáo: Báo cáo quan sát OR trong quá trình đánh giá và báo cáo kỹ thuật ETR. Các báo cáo này sẽ được gửi nhà thẩm quyền đánh giá để xin cấp chứng chỉ và có thể gửi cho nhà phát triển và nhà tài trợ đánh giá.
Nội dung của báo cáo quan sát OR:
Nội dung của OR cung cấp cho nhà đánh giá cơ chế yêu cầu dễ hiểu nhận dạng một vấn đề trong lĩnh vực đánh giá. OR bao gồm vấn đề sau: Xác định PP hoặc TOE
vấn đề đó giám sát tính nghiêm khắc, trách nhiệm của nhà đánh giá, đề nghị lịch trình thực hiện quyết định đánh giá.
Nội dung của báo cáo kỹ thuật ETR
Dùng để chứng minh kỹ thuật nhằm đưa ra phán quyết, CEM xác định yêu cầu tối thiểu nội dung của ETR, nó có thể được bổ sung từ CC. ETR hỗ trợ nhà thẩm quyền khẳng định rằng việc đánh giá được làm đúng theo chuẩn. Tất nhiên ETR có thể không cung cấp đầy đủ thông tin cần thiết lúc đó cần thông tin bổ sung từ lược đồ đánh giá và lược đồ đánh giá nằm ngoài CEM.
Nội dung tối thiểu của báo cáo kỹ thuật đánh giá PP được CEM yêu cầu gồm 7 phần: Giới thiệu chung, công việc đánh giá, kết quả đánh giá, kết luận, kiến nghị, danh sách bằng chứng đánh giá, danh sách thuật ngữ và khái niệm
Hình 2. 36: Nội dung của báo cáo kỹ thuật
Giới thiệu chung: Người đánh giả báo cáo lược đồ đánh giá, nhận dạng lược
đồ, báo cáo thông tin về ETR, báo cáo thông tin về PP, báo cáo nhận dạng nhà phát triển, nhà bảo trợ và bản thân nhà đánh giá.
Công việc đánh giá: Báo cáo phương pháp kỹ thuật, chuẩn sử dụng và công cụ
đánh giá, chỉ ra Phương pháp luận đánh giá và lý giải đánh giá PP nó có thể chứa thông tin luật pháp và quy định.
Kết quả đánh giá: Báo cáo các phán quyết việc sử dụng CEM đánh giá thoả
mãn lớp APE. Thể hiện qua từng đơn vị công việc.
Kết luận và khiến nghị: Báo cáo kết luận đánh giá cuối cùng, đồng thời đưa ra
những khiến nghị như việc thiếu sót của PP hoặc đặc điểm nổi bật PP trong khi đánh giá.
Danh sách thuật ngữ và khái niệm: Báo cáo danh sách viết tắt, các chú thích, các định nghĩa trong ETR...
Báo cáo quan sát OR: Báo cáo danh sách đầy đủ của OR tình trạng trong khi
đánh giá. OR chứa các nhận dạng nhưng ở dạng tóm tắt ngắn gọn.
Như vậy báo cáo kỹ thuật đưa ra bằng chứng và là cơ sở chỉ ra sự đúng đắn đảm bảo an toàn. Bao gồm cả OR.
d. Giải thích khả năng kỹ thuật
Nó bao hàm trong báo cáo kỹ thuật, giải thích khả năng đảm bảo an toàn dựa vào bằng chứng.
2.2.3. CEM hướng dẫn đánh giá lớp đảm bảo APE
2.2.3.1. Các mối quan hệ của đánh giá PP
Các hoạt động để xây dựng một đánh giá PP đầy đủ bao gồm:
Tác vụ đầu vào
Hoạt động đánh giá PP, gồm các hoạt động con
a. Đánh giá mô tả TOE.
b. Đánh giá môi trường an toàn. c. Đánh giá phần giới thiệu PP. d. Đánh giá các mục tiêu an toàn. e. Đánh giá các yêu cầu an toàn CNTT.
f. Đánh giá các yêu cầu an toàn CNTT được nêu rõ ràng.
Tác vụ đầu ra
Các hoạt động đánh giá xuất phát từ các yêu cầu đảm bảo APE trong CC phần 3
2.2.3.2. Hoạt động đánh giá PP
Gồm các hoạt động con:
- Đánh giá mô tả TOE (APE - EDS.l).
- Đánh giá môi trường an toàn (APE - ENV.l). - Đánh giá giới thiệu PP (APE - INT.l).
- Đánh giá mục tiêu an toàn (APE - OBJ. l).
- Đánh giá các yêu cầu an toàn CNTT (APE - REQ.l).
- Đánh giá các yêu cầu an toàn CNTT được nêu rõ (APE SRE.l).
Mục đích: Xác định liệu mô tả TOE có bao gồm thông tin thích đáng để có thể hiểu được mục tiêu của TOE và chức năng của nó không, và xác định phần mô tả có đầy đủ và phù hợp không. 1 1
Đầu vào: PP. 11
Hành động APE_DES1.1 E
APE_DES.1-1: Nhà đánh giá sẽ khảo sát mô tả TOE để xác định nó mô tả kiểu sản phẩm hay kiểu hệ thống (Firewall, Smartcard, Crypto-modem, Web server, …) của TOE.
APE_DES.l-2: Nhà đánh giá xác định xem mô tả TOE có đầy đủ để được đọc hiểu một cách tổng quan về cách sử dụng chủ định của sản phẩm hay không, từ đó cung cấp bối cảnh đánh giá. 11
Nếu thiếu những chức năng cần có thì Nhà phát triển xác định xem mô tả TOE có bàn luận thỏa đáng về điều này không.
Ví dụ: Phần mô tả TOE của kiểu sản phẩm firewall nên nó không thể được kết nối tới các mạng. Như vậy người đánh giá sẽ khảo sát phần mô tả TOE để xác định nó có mô tả về các tính năng CNTT của TOE trong phần các thuật ngữ chung không.
Nhà đánh giá xác định xem phần mô tả TOE có bàn luận về CNTT và cụ thể các tính năng an toàn được yêu cầu bởi TOE ở mức chi tiết có đủ để người đọc hiểu tổng quan về các tính năng đó không.
Hành động APE_DES.1.2E
APE_DES.1-3: Nhà đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có chặt chẽ không, tức là liệu người đọc chủ định (nhà phát triển, nhà đánh giáhay khách hàng) có hiểu được chủ đề và cấu trúc của các câu trong phần mô tảTOE không.
APE_DES.l-4: Nhà đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có phù hợp nội tại không, tức là có xác định được mục đích chung của TOE không.
Hành động APE DES.1.3E
APE_DES.1-5: Nhà đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có phù hợp với các phần khác của PP hay không. Cụ thể người đánh giá xác định xem phần mô tả TOE có mô tả về các đe dọa, các tính năng an toàn hay cấu hình của TOE mà không được xét ở một nơi nào khác trong PP không.
Đánh giá môi trường an toàn (APE_ENV.1):
Mục tiêu. Xác định liệu phần này có cung cấp định nghĩa rõ ràng và đầy đủ về