CEM hướng dẫn đánh giá lớp đảm bảo APE

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu giải pháp đánh giá hệ thống an toàn thông tin (Trang 62 - 74)

CHƯƠNG 1 : TỔNG QUAN

2.2. Phương pháp luận cho đánh giá an toà n CEM

2.2.3. CEM hướng dẫn đánh giá lớp đảm bảo APE

2.2.3.1. Các mối quan hệ của đánh giá PP

Các hoạt động để xây dựng một đánh giá PP đầy đủ bao gồm:

Tác vụ đầu vào

Hoạt động đánh giá PP, gồm các hoạt động con

a. Đánh giá mô tả TOE.

b. Đánh giá môi trường an toàn. c. Đánh giá phần giới thiệu PP. d. Đánh giá các mục tiêu an toàn. e. Đánh giá các yêu cầu an toàn CNTT.

f. Đánh giá các yêu cầu an toàn CNTT được nêu rõ ràng.

Tác vụ đầu ra

Các hoạt động đánh giá xuất phát từ các yêu cầu đảm bảo APE trong CC phần 3

2.2.3.2. Hoạt động đánh giá PP

Gồm các hoạt động con:

- Đánh giá mô tả TOE (APE - EDS.l).

- Đánh giá môi trường an toàn (APE - ENV.l). - Đánh giá giới thiệu PP (APE - INT.l).

- Đánh giá mục tiêu an toàn (APE - OBJ. l).

- Đánh giá các yêu cầu an toàn CNTT (APE - REQ.l).

- Đánh giá các yêu cầu an toàn CNTT được nêu rõ (APE SRE.l).

Mục đích: Xác định liệu mô tả TOE có bao gồm thông tin thích đáng để có thể hiểu được mục tiêu của TOE và chức năng của nó không, và xác định phần mô tả có đầy đủ và phù hợp không. 1 1

Đầu vào: PP. 11

Hành động APE_DES1.1 E

APE_DES.1-1: Nhà đánh giá sẽ khảo sát mô tả TOE để xác định nó mô tả kiểu sản phẩm hay kiểu hệ thống (Firewall, Smartcard, Crypto-modem, Web server, ) của TOE.

APE_DES.l-2: Nhà đánh giá xác định xem mô tả TOE có đầy đủ để được đọc hiểu một cách tổng quan về cách sử dụng chủ định của sản phẩm hay không, từ đó cung cấp bối cảnh đánh giá. 11

Nếu thiếu những chức năng cần có thì Nhà phát triển xác định xem mô tả TOE có bàn luận thỏa đáng về điều này không.

Ví dụ: Phần mô tả TOE của kiểu sản phẩm firewall nên nó không thể được kết nối tới các mạng. Như vậy người đánh giá sẽ khảo sát phần mô tả TOE để xác định nó có mô tả về các tính năng CNTT của TOE trong phần các thuật ngữ chung không.

Nhà đánh giá xác định xem phần mô tả TOE có bàn luận về CNTT và cụ thể các tính năng an toàn được yêu cầu bởi TOE ở mức chi tiết có đủ để người đọc hiểu tổng quan về các tính năng đó không.

Hành động APE_DES.1.2E

APE_DES.1-3: Nhà đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có chặt chẽ không, tức là liệu người đọc chủ định (nhà phát triển, nhà đánh giáhay khách hàng) có hiểu được chủ đề và cấu trúc của các câu trong phần mô tảTOE không.

APE_DES.l-4: Nhà đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có phù hợp nội tại không, tức là có xác định được mục đích chung của TOE không.

Hành động APE DES.1.3E

APE_DES.1-5: Nhà đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có phù hợp với các phần khác của PP hay không. Cụ thể người đánh giá xác định xem phần mô tả TOE có mô tả về các đe dọa, các tính năng an toàn hay cấu hình của TOE mà không được xét ở một nơi nào khác trong PP không.

Đánh giá môi trường an toàn (APE_ENV.1):

Mục tiêu. Xác định liệu phần này có cung cấp định nghĩa rõ ràng và đầy đủ về các vấn đề an toàn mà TOE và môi trường TOE đã được nêu không.

Đầu vào: PP

APE_ENV.1-1: Nhà đánh giá sẽ khảo sát tuyên bố trong môi trường an toàn TOE để xem PP có xác định và giải thích các giả định an toàn hay không. Nhà đánh giá xác định xem các giả định về việc sử dụng chủ định TOE như ứng dụng chủ định của TOE, giá trị tiềm năng của những tài sản yêu cầu TOE bảo vệ và những hạn chế có thể trong việc sử dụng TOE.

Nhà đánh giá xác định xem mỗi giả định về cách sử dụng chủ định của TOE có được giải thích đủ chi tiết để khách hàng biết được nó phù hợp với yêu cầu của họ an toàn. Nếu những giả định này không được hiểu một cách rõ ràng thì kết quả cuối cùng có thể là khách hàng sẽ sử dụng TOE trong môi trường không giống như trong giả định của họ an toàn.

Nhà đánh giá xác định xem các giả định về môi trường sử dụng TOE có chứa các khía cạnh an toàn vật lý, tổ chức cán bộ và kết nối không:

- Khía cạnh an toàn vật lý: Bao gồm các giả định về vị trí vật lý của TOE hay các thiết bị ngoại vi gắn kèm để TOE có thể thực hiện các chức năng một cách an toàn. Ví dụ:

1. Hạn chế vùng điều khiển của người quản trị chỉ là một người.

2. Tất cả việc lưu file cho TOE đều phải thực hiện ở máy trạm khi TOE chạy trên đó.

3. Khía cạnh an toàn tổ chức cán bộ: Bao gồm các giả định về những người dùng và người quản trị của TOE hoặc những vấn đề khác nhau các tác nhân đe dọa tiềm năng bên trong môi trường của TOE.

4. Giả định là những người dùng phải có những kĩ năng hay kiến thức chuyên môn nào đó.

5. Giả định người dùng phải có mức trần tối thiểu nào đó.

6. Giả định người quản trị sẽ cập nhật CSDL, diệt virus hàng tháng.

- Khía cạnh an toàn kết nối: Bao gồm các giả định cần tạo những kết nối TOE và các hệ thống CNTT hay các SPATCNTT khác. Ví dụ:

1. Giả định ổ đĩa ngoài có ít nhất 100MB để lưu trữ các log file. 2. Giả định ổ đĩa mềm bị vô hiệu hóa.

3. Giả định không kết nối TOE với mạng không tin cậy.

APE ENV.1 -2: Nhà đánh giá sẽ khảo sát tuyên bố của môi trường an toàn TOE để xác định xem nó có xác định và giải thích các đe dọa không. Nếu mục tiêu an toàn của TOE và môi trường của nó chỉ xuất phát từ các giả định các chính sách an toàn có tổ chức thì tuyên bố về các đe dọa không cần phải có trong PP, trong trường hợp này đơn vị công việc không ứng dụng được được coi là thỏa mãn.

Nhà đánh giá cũng xác định xem các tác nhân đe dọa có được đại diện bởi các tài nguyên, ý kiến chuyên môn không và các tấn công có được đại diện bởi các phương pháp tấn công, các điểm yếu bất kỳ bị lợi dụng không.

APE_ENV.1-3: Nhà đánh giá sẽ khảo sát tuyên bố của môi trường an toàn TOE để xác định xem nó có nhận ra và giải thích các chính sách an toàn có tổ chức không.

Nếu các mục tiêu an toàn của TOE và môi trường của nó chỉ xuất phát từ các giả định và các chính sách an toàn có tổ chức thì tuyên bố về các đe doạ không cần phải có trong PP, trong trường hợp này đơn vị công việc này không ứng dụng được và được coi là thỏa mãn.

Nhà đánh giá xác định xem các tuyên bố về chính sách an toàn có tổ chức có được tạo thành dưới dạng các quy tắc, lệ thường hay hướng dẫn mà TOE hay môi trường của nó phải tuân theo không. Chính sách an toàn có tổ chức như yêu cầu sinh Password và mã hóa để xác thực một chuẩn do chính phủ quy định.

Nhà đánh giá xác định xem mỗi chính sách an toàn có tổ chức có được giải thích hoặc thể hiện đủ chi tiết để có thể hiểu rõ ràng không.

Hành động APE_ENV 1.

EAPE_ENV.1-4: Nhà đánh giá sẽ khảo sát tuyên bố của môi trường an toàn TOE để xác định xem nó có chặt chẽ không, tức là người đọc (người đánh giá và khách hàng) có thể hiểu được không.

APE_ENV.1-5: Nhà đánh giá sẽ khảo sát tuyên bố của môi trường an toàn TOE để xác định xem có phù hợp nội tại không. Ví dụ:

- Tuyên bố chứa một đe dọa mà ở đó phương pháp tấn công không thuộc khả năng của tác nhân đe dọa của nó không.

- Tuyên bố chứa một chính sách an toàn có tổ chức "TOE sẽ không được kết nối với Intemet" và một đe dọa mà tác nhân lại xuất phát từ Intemet.

Đánh giá giới thiệu PP (APE_INT.1):

Mục đích: Xác định liệu phần giới thiệu PP có đầy đủ và phù hợp với tất cả các phần của PP không và liệu có xác định đúng PP không.

Đầu vào: PP

Hành động APE_INT.1.1E

APE_INT.1-1: Nhà đánh giá sẽ kiểm tra xem phần giới thiệu PP có cung cấp thông tin định danh, mục lục, đăng kí và tham khảo bổ sung PP không.

Người đánh giá xác định thông tin xác định PP bao gồm:

- Thông tin cần thiết để quản lý và xác định PP một cách duy nhất (ví dụ tiêu đề của PP, số phiên bản, ngày phát hành, tác giả, tổ chức tài trợ)..

- Thông tin đăng kí (nếu PP đã được đăng kí trước khi đánh giá ). - Tham khảo bổ sung (nếu PP được so sánh với các PP khác). - Thông tin thêm (như trong lược đồ yêu cầu).

APE_INT.l-2: Nhà đánh giá sẽ kiểm tra xem phần giới thiệu PP có cung cấp tổng quan về PP ở dạng tường thuật không. Tổng quan về PP là phần tóm tắt nội dung của PP (mô tả chi tiết hơn so với phần mô tả TOE) giúp cho người dùng tiềm năng có thể xác định được liệu họ có cần PP này không.

Hành động APE INT.1.2E

APE_INT. 1-3: Nhà đánh giá sẽ khảo sát phần giới thiệu PP để xác định xem nó có chặt chẽ không, tức là người đọc chủ định (nhà phát triển, người đánh giá và khách hàng) có hiểu không.

APE_INT. l-4: Nhà đánh giá sát khảo sát phần giới thiệu PP để xác định xem nó có phù hợp nội tại hay không (so với tổng quan của PP).

Hành động APE_INT.1.3E:

APE_INT.1-5: Nhà đánh giá sẽ khảo sát PP để xem phần giới thiệu PP phù hợp với các phần còn lại của PP không.

Nhà đánh giá sẽ xác định xem tổng quan của PP có cung cấp chính xác tóm tắt TOE không. Cụ thể người đánh giá xác định xem tổng quan về PP có phù hợp với mô tả TOE không và có nêu hay ẩn chứa sự có mặt của các tính năng an toàn mà không thuộc phạm vi đánh giá hay không.

Nhà đánh giá cũng xác định xem tuyên bố CC có phù hợp với phần còn lại của PP không.

Đánh giá mục tiêu an toàn:

Mục đích: Xác định xem liệu các mục tiêu an toàn có được mô tả đầy đủ và phù hợp không và xác định xem các mục tiêu an toàn có chống lại các đe doạ được xác định không, có đạt được các chính sách an toàn có tổ chức được xác định và phù hợp với các giả định đã nêu không.

Đầu vào: PP.

Hành động (APE_OBJ.1.1E)

APE_OBJ.1-1: Nhà đánh giá sẽ kiểm tra xem tuyên bố mục tiêu an toàn có xác định các mục tiêu an toàn và môi trường hay không, xác định xem với mỗi mục tiêu an toàn có được đặc tả rõ ràng hay không, liệu nó được chủ định dùng với TOE, với môi trường hay cả hai.

APE_OBJ.l-2: Nhà đánh giá khảo sát cơ sở hợp lý của các mục tiêu an toàn để xác định xem có thể lần lại các khía cạnh của các đe dọa đã xác định được chống lại không hoặc các khía cạnh của các chính sách an toàn có tổ chức mà TOE thỏa mãn từ

Nhà đánh giá xác định xem có thể lần lại ít nhất một đe dọa hay một chính sách an toàn có tổ chức từ mỗi mục tiêu an toàn không. Nếu thiếu khả năng lần lại tức là cơ sở hợp lý của các mục tiêu an toàn không đầy đủ, các đe dọa chính sách an toàn có tổ chức không đầy đủ hoặc mục tiêu an toàn không có tác dụng.

Do đó một hoặc nhiều mục tiêu có thể chỉ ra toàn bộ một đe dọa ứng với môi trường.

APE_OBJ.1-3: Nhà đánh giá sẽ xác định cơ sở hợp lý của các mục tiêu an toàn để xác định xem có thể lần lại các đe dọa được xác định để đối phó bởi môi trường của TOE hoặc các chính sách an toàn có tổ chức mà môi trường TOE thỏa mãn hoặc các giả định mà môi trường TOE thỏa mãn từ các mục tiêu an toàn ứng với môi trường không.

Nhà đánh giá xác định xem có thể lần lại được ít nhất một giả định, đe dọa hay chính sách an toàn có tổ chức từ mỗi mục tiêu an toàn không. Thiếu khả năng lần lại tức là cơ sở hợp lý của mục tiêu an toàn không đầy đủ, các đe dọa, các giả định hay chính sách an toàn có tổ chức không đầy đủ hay mục tiêu an toàn ứng với môi trường không có tác dụng.

APE_OBJ.1-4: Nhà đánh giá sẽ khảo sát cơ sở hợp lý của các mục tiêu an toàn để xác định xem với mỗi đe dọa có lý lẽ phù hợp mà các mục tiêu an toàn thích hợp để chống lại không.

Nếu không có mục tiêu an toàn nào lần lại được đe dọa thì đơn vị công việc này không thành công.

Nhà đánh giá xác định xem lý lẽ chứng minh cho một đe dọa mà tất cả mục tiêu an toàn lần vết trở lại được có đạt được không, đe dọa có bị loại bỏ không, đe dọa có bị giảm bớt xuống mức chấp nhận được không hay các ảnh hưởng của đe dọa có bị giảm nhẹ không.

Nhà đánh giá cũng xác định xem mỗi mục tiêu an toàn mà lần vết trở lại đe dọa, khi đạt được có góp phần để loại bỏ, giảm bớt hay giảm nhẹ đe dọa đó không.

Ví dụ về việc xóa một đe dọa:

- Loại bỏ khả năng sử dụng một phương pháp tấn công của một tác nhân. - Ngăn chặn dẫn đến loại bỏ sự phát triển của tác nhân đe dọa.

- Loại bỏ tác nhân đe dọa (Ví dụ: loại bỏ các máy từ một mạng mà thường xuyên phá mạng đó).

Ví dụ về giảm bớt một đe dọa:

- Hạn chế tác nhân đe dọa trong các phương pháp tấn công. - Hạn chế các tác nhân đe dọa theo cơ hội.

- Giảm khả năng một tấn công được đưa ra mà thành công.

Ví dụ về giảm nhẹ ảnh hưởng của một đe dọa: - Tạo các back-up thường xuyên của tài sản. - Có những bản sao dự phòng của TOE.

- Thường xuyên thay đổi khóa của phiên giao tiếp.

APE_OBJ.1-5: Nhà đánh giá sẽ khảo sát cơ sở hợp lý của các mục tiêu an toàn để xác định xem với mỗi chính sách an toàn có tổ chức có chứa lý lẽ phù hợp mà các mục tiêu an toàn bao hàm chính sách đó.

Nếu không có mục tiêu an toàn nào lần trở lại được chính sách an toàn có tổ chức thì đơn vị công việc này không thành công.

Nhà đánh giá sẽ xác định xem lý lẽ ứng với chính sách an toàn có tổ chức có chứng minh được nếu tất cả các mục tiêu an toàn lần lại được chính sách an toàn có tổ chức thì chính sách này được cài đặt không.

Nhà đánh giá cũng xác định xem mỗi mục tiêu an toàn mà lần lại được chính sách an toàn có tổ chức, khi đạt được thì thực tế có góp phần vào việc cài đặt chính sách đó không.

APE_OBJ.1-6: Nhà đánh giá sẽ khảo sát cơ sở hợp lý của các mục tiêu an toàn để xác định xem mỗi giả định có chứa lý lẽ thích hợp không, nếu không mục tiêu an toàn nào lần lại được giả định thì đơn vị công việc này không thành công.

Hành động (APE_OBJ.1.2E)

APE_OBJ.1-7: Nhà đánh giá sẽ khảo sát các mục tiêu an toàn để xem chúng có chặt chẽ không.

APE_OBJ.l-8: Nhà đánh giá sẽ khảo sát các mục tiêu an toàn để xác định xem nó có đầy đủ không.

APE_OBJ.1 -9: Nhà đánh giá sẽ khảo sát các mục tiêu an toàn để xác định xem nó có phù hợp nội tại hay không.

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu giải pháp đánh giá hệ thống an toàn thông tin (Trang 62 - 74)

Tải bản đầy đủ (PDF)

(134 trang)