IV. Phương pháp nghiên cứu
2.2.Phương pháp luận cho đánh giá an toà n CEM
2.2.1. Mối quan hệ CEM và CC
Qua sơ đồ dưới ta thấy từng Lớp, Họ, Thành phần, Phần tử trong CC tương ứng với CEM là những hoạt động, hành động. CC luôn đặt ra những quy định cái gì cần phải đạt được còn CEM hướng dẫn để xem cái đó có thể đạt được hay không. CC hướng tới 3 đối tượng chính còn CEM hướng tới nhà đánh giá và các đối tượng khác có thể tham khảo nhằm hiểu được những đánh giá.
2.2.2. Sơ đồ tổng quát cho đánh giá
Tất cả các quá trình của đánh giá đều tuân theo 4 nhiệm vụ: Đó là nhiệm vụ đầu vào, nhiệm vụ đầu ra, các hoạt động con đánh giá và sự giải thích khả năng kỹ thuật.
Hình 2. 35: Các nhiệm vụ đánh giá
Trong quá trình đánh giá có các đối tượng tham gia đó là nhà bảo trợ có trách nhiệm hỗ trợ cho đánh giá như phân chia nhiệm vụ, giúp nhà đánh giá cung cấp bằng chứng cần thiết. Nhà phát triển có nhiệm vụ cung cấp bằng chứng cần thiết cho nhà đánh giá. Nhà đánh giá nhận bằng chứng từ nhà phát triển để thực hiện hành động con đánh giá. Nhà thẩm quyền theo dõi quá trình đánh giá và phát hành các báo cáo chứng nhận, phê chuẩn dựa trên kết quả đánh giá.
a. Nhiệm vụ đầu vào
Nhiệm vụ đầu vào cung cấp những tài liệu, bằng chứng cần thiết cho nhà đánh giá lấy bằng chứng để đánh giá. Ví dụ: Tài liệu phát triển sản phẩm, tài liệu PP/ST, mã nguồn hoặc bản vẽ liên quan.
b. Hoạt động con đánh giá.
Các tác vụ của nó thay đổi phụ thuộc vào đánh giá cái gì và yêu cầu đảm bảo an toàn được lựa chọn. Ví dụ: Đánh giá PP/ST hay TOE.1
c. Nhiệm vụ đầu ra
Đầu ra cuối cùng được nhà đánh giá đưa ra là 2 báo cáo: Báo cáo quan sát OR trong quá trình đánh giá và báo cáo kỹ thuật ETR. Các báo cáo này sẽ được gửi nhà thẩm quyền đánh giá để xin cấp chứng chỉ và có thể gửi cho nhà phát triển và nhà tài trợ đánh giá.
Nội dung của báo cáo quan sát OR:
Nội dung của OR cung cấp cho nhà đánh giá cơ chế yêu cầu dễ hiểu nhận dạng một vấn đề trong lĩnh vực đánh giá. OR bao gồm vấn đề sau: Xác định PP hoặc TOE được đánh giá, nhiệm vụ, hoạt động con trong đó việc giám sát được phát sinh. Tất cả
vấn đề đó giám sát tính nghiêm khắc, trách nhiệm của nhà đánh giá, đề nghị lịch trình thực hiện quyết định đánh giá.
Nội dung của báo cáo kỹ thuật ETR
Dùng để chứng minh kỹ thuật nhằm đưa ra phán quyết, CEM xác định yêu cầu tối thiểu nội dung của ETR, nó có thể được bổ sung từ CC. ETR hỗ trợ nhà thẩm quyền khẳng định rằng việc đánh giá được làm đúng theo chuẩn. Tất nhiên ETR có thể không cung cấp đầy đủ thông tin cần thiết lúc đó cần thông tin bổ sung từ lược đồ đánh giá và lược đồ đánh giá nằm ngoài CEM.
Nội dung tối thiểu của báo cáo kỹ thuật đánh giá PP được CEM yêu cầu gồm 7 phần: Giới thiệu chung, công việc đánh giá, kết quả đánh giá, kết luận, kiến nghị, danh sách bằng chứng đánh giá, danh sách thuật ngữ và khái niệm
Hình 2. 36: Nội dung của báo cáo kỹ thuật
Giới thiệu chung: Người đánh giả báo cáo lược đồ đánh giá, nhận dạng lược
đồ, báo cáo thông tin về ETR, báo cáo thông tin về PP, báo cáo nhận dạng nhà phát triển, nhà bảo trợ và bản thân nhà đánh giá.
Công việc đánh giá: Báo cáo phương pháp kỹ thuật, chuẩn sử dụng và công cụ
đánh giá, chỉ ra Phương pháp luận đánh giá và lý giải đánh giá PP nó có thể chứa thông tin luật pháp và quy định.
Kết quả đánh giá: Báo cáo các phán quyết việc sử dụng CEM đánh giá thoả
mãn lớp APE. Thể hiện qua từng đơn vị công việc.
Kết luận và khiến nghị: Báo cáo kết luận đánh giá cuối cùng, đồng thời đưa ra
những khiến nghị như việc thiếu sót của PP hoặc đặc điểm nổi bật PP trong khi đánh giá.
Danh sách thuật ngữ và khái niệm: Báo cáo danh sách viết tắt, các chú thích,
các định nghĩa trong ETR...
Báo cáo quan sát OR: Báo cáo danh sách đầy đủ của OR tình trạng trong khi
đánh giá. OR chứa các nhận dạng nhưng ở dạng tóm tắt ngắn gọn.
Như vậy báo cáo kỹ thuật đưa ra bằng chứng và là cơ sở chỉ ra sự đúng đắn đảm bảo an toàn. Bao gồm cả OR.
d. Giải thích khả năng kỹ thuật
Nó bao hàm trong báo cáo kỹ thuật, giải thích khả năng đảm bảo an toàn dựa vào bằng chứng.
2.2.3. CEM hướng dẫn đánh giá lớp đảm bảo APE
2.2.3.1. Các mối quan hệ của đánh giá PP
Các hoạt động để xây dựng một đánh giá PP đầy đủ bao gồm:
Tác vụ đầu vào
Hoạt động đánh giá PP, gồm các hoạt động con
a. Đánh giá mô tả TOE.
b. Đánh giá môi trường an toàn. c. Đánh giá phần giới thiệu PP. d. Đánh giá các mục tiêu an toàn. e. Đánh giá các yêu cầu an toàn CNTT.
f. Đánh giá các yêu cầu an toàn CNTT được nêu rõ ràng.
Tác vụ đầu ra
Các hoạt động đánh giá xuất phát từ các yêu cầu đảm bảo APE trong CC phần 3
2.2.3.2. Hoạt động đánh giá PP
Gồm các hoạt động con:
- Đánh giá mô tả TOE (APE - EDS.l).
- Đánh giá môi trường an toàn (APE - ENV.l). - Đánh giá giới thiệu PP (APE - INT.l).
- Đánh giá mục tiêu an toàn (APE - OBJ. l).
- Đánh giá các yêu cầu an toàn CNTT (APE - REQ.l).
- Đánh giá các yêu cầu an toàn CNTT được nêu rõ (APE SRE.l).
Mục đích: Xác định liệu mô tả TOE có bao gồm thông tin thích đáng để có thể hiểu được mục tiêu của TOE và chức năng của nó không, và xác định phần mô tả có đầy đủ và phù hợp không. 1 1
Đầu vào: PP. 11
Hành động APE_DES1.1 E
APE_DES.1-1: Nhà đánh giá sẽ khảo sát mô tả TOE để xác định nó mô tả kiểu sản phẩm hay kiểu hệ thống (Firewall, Smartcard, Crypto-modem, Web server, …) của TOE.
APE_DES.l-2: Nhà đánh giá xác định xem mô tả TOE có đầy đủ để được đọc hiểu một cách tổng quan về cách sử dụng chủ định của sản phẩm hay không, từ đó cung cấp bối cảnh đánh giá. 11
Nếu thiếu những chức năng cần có thì Nhà phát triển xác định xem mô tả TOE có bàn luận thỏa đáng về điều này không.
Ví dụ: Phần mô tả TOE của kiểu sản phẩm firewall nên nó không thể được kết nối tới các mạng. Như vậy người đánh giá sẽ khảo sát phần mô tả TOE để xác định nó có mô tả về các tính năng CNTT của TOE trong phần các thuật ngữ chung không.
Nhà đánh giá xác định xem phần mô tả TOE có bàn luận về CNTT và cụ thể các tính năng an toàn được yêu cầu bởi TOE ở mức chi tiết có đủ để người đọc hiểu tổng quan về các tính năng đó không.
Hành động APE_DES.1.2E
APE_DES.1-3: Nhà đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có chặt chẽ không, tức là liệu người đọc chủ định (nhà phát triển, nhà đánh giáhay khách hàng) có hiểu được chủ đề và cấu trúc của các câu trong phần mô tảTOE không.
APE_DES.l-4: Nhà đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có phù hợp nội tại không, tức là có xác định được mục đích chung của TOE không.
Hành động APE DES.1.3E
APE_DES.1-5: Nhà đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có phù hợp với các phần khác của PP hay không. Cụ thể người đánh giá xác định xem phần mô tả TOE có mô tả về các đe dọa, các tính năng an toàn hay cấu hình của TOE mà không được xét ở một nơi nào khác trong PP không.
Đánh giá môi trường an toàn (APE_ENV.1):
Mục tiêu. Xác định liệu phần này có cung cấp định nghĩa rõ ràng và đầy đủ về các vấn đề an toàn mà TOE và môi trường TOE đã được nêu không.
Đầu vào: PP
APE_ENV.1-1: Nhà đánh giá sẽ khảo sát tuyên bố trong môi trường an toàn TOE để xem PP có xác định và giải thích các giả định an toàn hay không. Nhà đánh giá xác định xem các giả định về việc sử dụng chủ định TOE như ứng dụng chủ định của TOE, giá trị tiềm năng của những tài sản yêu cầu TOE bảo vệ và những hạn chế có thể trong việc sử dụng TOE.
Nhà đánh giá xác định xem mỗi giả định về cách sử dụng chủ định của TOE có được giải thích đủ chi tiết để khách hàng biết được nó phù hợp với yêu cầu của họ an toàn. Nếu những giả định này không được hiểu một cách rõ ràng thì kết quả cuối cùng có thể là khách hàng sẽ sử dụng TOE trong môi trường không giống như trong giả định của họ an toàn.
Nhà đánh giá xác định xem các giả định về môi trường sử dụng TOE có chứa các khía cạnh an toàn vật lý, tổ chức cán bộ và kết nối không:
- Khía cạnh an toàn vật lý: Bao gồm các giả định về vị trí vật lý của TOE hay các thiết bị ngoại vi gắn kèm để TOE có thể thực hiện các chức năng một cách an toàn. Ví dụ:
1. Hạn chế vùng điều khiển của người quản trị chỉ là một người.
2. Tất cả việc lưu file cho TOE đều phải thực hiện ở máy trạm khi TOE chạy trên đó.
3. Khía cạnh an toàn tổ chức cán bộ: Bao gồm các giả định về những người dùng và người quản trị của TOE hoặc những vấn đề khác nhau các tác nhân đe dọa tiềm năng bên trong môi trường của TOE.
4. Giả định là những người dùng phải có những kĩ năng hay kiến thức chuyên môn nào đó.
5. Giả định người dùng phải có mức trần tối thiểu nào đó.
6. Giả định người quản trị sẽ cập nhật CSDL, diệt virus hàng tháng.
- Khía cạnh an toàn kết nối: Bao gồm các giả định cần tạo những kết nối TOE và các hệ thống CNTT hay các SPATCNTT khác. Ví dụ:
1. Giả định ổ đĩa ngoài có ít nhất 100MB để lưu trữ các log file. 2. Giả định ổ đĩa mềm bị vô hiệu hóa.
3. Giả định không kết nối TOE với mạng không tin cậy.
APE ENV.1 -2: Nhà đánh giá sẽ khảo sát tuyên bố của môi trường an toàn TOE để xác định xem nó có xác định và giải thích các đe dọa không. Nếu mục tiêu an toàn của TOE và môi trường của nó chỉ xuất phát từ các giả định các chính sách an toàn có tổ chức thì tuyên bố về các đe dọa không cần phải có trong PP, trong trường hợp này đơn vị công việc không ứng dụng được được coi là thỏa mãn.
Nhà đánh giá xác định xem tất cả các đe dọa được xác định có được giải thích rõ ràng dưới dạng tác nhân đe dọa được xác định, tấn công và chủ thể tấn công không.
Nhà đánh giá cũng xác định xem các tác nhân đe dọa có được đại diện bởi các tài nguyên, ý kiến chuyên môn không và các tấn công có được đại diện bởi các phương pháp tấn công, các điểm yếu bất kỳ bị lợi dụng không.
APE_ENV.1-3: Nhà đánh giá sẽ khảo sát tuyên bố của môi trường an toàn TOE để xác định xem nó có nhận ra và giải thích các chính sách an toàn có tổ chức không.
Nếu các mục tiêu an toàn của TOE và môi trường của nó chỉ xuất phát từ các giả định và các chính sách an toàn có tổ chức thì tuyên bố về các đe doạ không cần phải có trong PP, trong trường hợp này đơn vị công việc này không ứng dụng được và được coi là thỏa mãn.
Nhà đánh giá xác định xem các tuyên bố về chính sách an toàn có tổ chức có được tạo thành dưới dạng các quy tắc, lệ thường hay hướng dẫn mà TOE hay môi trường của nó phải tuân theo không. Chính sách an toàn có tổ chức như yêu cầu sinh Password và mã hóa để xác thực một chuẩn do chính phủ quy định.
Nhà đánh giá xác định xem mỗi chính sách an toàn có tổ chức có được giải thích hoặc thể hiện đủ chi tiết để có thể hiểu rõ ràng không.
Hành động APE_ENV 1.
EAPE_ENV.1-4: Nhà đánh giá sẽ khảo sát tuyên bố của môi trường an toàn TOE để xác định xem nó có chặt chẽ không, tức là người đọc (người đánh giá và khách hàng) có thể hiểu được không.
APE_ENV.1-5: Nhà đánh giá sẽ khảo sát tuyên bố của môi trường an toàn TOE để xác định xem có phù hợp nội tại không. Ví dụ:
- Tuyên bố chứa một đe dọa mà ở đó phương pháp tấn công không thuộc khả năng của tác nhân đe dọa của nó không.
- Tuyên bố chứa một chính sách an toàn có tổ chức "TOE sẽ không được kết nối với Intemet" và một đe dọa mà tác nhân lại xuất phát từ Intemet.
Đánh giá giới thiệu PP (APE_INT.1):
Mục đích: Xác định liệu phần giới thiệu PP có đầy đủ và phù hợp với tất cả các phần của PP không và liệu có xác định đúng PP không.
Đầu vào: PP
Hành động APE_INT.1.1E
APE_INT.1-1: Nhà đánh giá sẽ kiểm tra xem phần giới thiệu PP có cung cấp thông tin định danh, mục lục, đăng kí và tham khảo bổ sung PP không.
Người đánh giá xác định thông tin xác định PP bao gồm:
- Thông tin cần thiết để quản lý và xác định PP một cách duy nhất (ví dụ tiêu đề của PP, số phiên bản, ngày phát hành, tác giả, tổ chức tài trợ)..
- Thông tin đăng kí (nếu PP đã được đăng kí trước khi đánh giá ). - Tham khảo bổ sung (nếu PP được so sánh với các PP khác). - Thông tin thêm (như trong lược đồ yêu cầu).
APE_INT.l-2: Nhà đánh giá sẽ kiểm tra xem phần giới thiệu PP có cung cấp tổng quan về PP ở dạng tường thuật không. Tổng quan về PP là phần tóm tắt nội dung của PP (mô tả chi tiết hơn so với phần mô tả TOE) giúp cho người dùng tiềm năng có thể xác định được liệu họ có cần PP này không.
Hành động APE INT.1.2E
APE_INT. 1-3: Nhà đánh giá sẽ khảo sát phần giới thiệu PP để xác định xem nó có chặt chẽ không, tức là người đọc chủ định (nhà phát triển, người đánh giá và khách hàng) có hiểu không.
APE_INT. l-4: Nhà đánh giá sát khảo sát phần giới thiệu PP để xác định xem nó có phù hợp nội tại hay không (so với tổng quan của PP).
Hành động APE_INT.1.3E:
APE_INT.1-5: Nhà đánh giá sẽ khảo sát PP để xem phần giới thiệu PP phù hợp với các phần còn lại của PP không.
Nhà đánh giá sẽ xác định xem tổng quan của PP có cung cấp chính xác tóm tắt TOE không. Cụ thể người đánh giá xác định xem tổng quan về PP có phù hợp với mô tả TOE không và có nêu hay ẩn chứa sự có mặt của các tính năng an toàn mà không thuộc phạm vi đánh giá hay không.
Nhà đánh giá cũng xác định xem tuyên bố CC có phù hợp với phần còn lại của PP không.
Đánh giá mục tiêu an toàn:
Mục đích: Xác định xem liệu các mục tiêu an toàn có được mô tả đầy đủ và phù hợp không và xác định xem các mục tiêu an toàn có chống lại các đe doạ được xác định không, có đạt được các chính sách an toàn có tổ chức được xác định và phù hợp với các giả định đã nêu không.
Đầu vào: PP.
Hành động (APE_OBJ.1.1E)
APE_OBJ.1-1: Nhà đánh giá sẽ kiểm tra xem tuyên bố mục tiêu an toàn có xác định các mục tiêu an toàn và môi trường hay không, xác định xem với mỗi mục tiêu an toàn có được đặc tả rõ ràng hay không, liệu nó được chủ định dùng với TOE, với môi trường hay cả hai.
APE_OBJ.l-2: Nhà đánh giá khảo sát cơ sở hợp lý của các mục tiêu an toàn để