Hodnotenie bezpečnosti IT

1. Hodnotenie bezpečnosti IT Doc. Ing. Ladislav Hudec, CSc. 1

2. Dôveryhodnosť FPB • Fenomén, ktorý sám o sebe nebýva chápaný ako FPB • Nevyhnutný rys FPB umožňujúci delegáciu zodpovednosti za bezpečnosť na a medzi FPB • Ako dosiahnutú dôveryhodnosť merať? • Definícia dôvery podľa ISO 10181-1 „Prvok X dôveruje prvku Y z hľadiska istej triedy akcií v kontexte danej bezpečnostnej politiky vtedy a len vtedy, keď prvok X verí, že prvok Y sa bude chovať definovaným spôsobom tak, že neporuší danú bezpečnostnú politiku“ • Miera dôvery • Typicky výsledky hodnotenia vykonávaného podľa dopredu stanovenej normy • Zatiaľ najosvedčenejšou mierou sú výsledky hodnotenia napríklad podľa kritérií ITSEC metodikou ITSEM prípadne ISO/IEC 15408 2

3. Dôveryhodnosť FPB – podľa ITSEC • Dosiahnutá úroveň bezpečnosti sa hodnotí dosiahnutou dôveryhodnosti v 4 pohľadoch • Vývojový proces (forma špecifikácie požiadaviek, návrh architektúry, detailný návrh, implementácia) • Vývojové prostredie (ako prebiehalo riadenie projektu, použité programovacie jazyky, použité kompilátory, aplikovaná bezpečnosť pri vývoji) • Prevádzková dokumentácia (dokumentácia správcu, dokumentácia používateľa) • Prevádzkové prostredie (dodávka, distribúcia, konfigurácia, spustenie, prevádzka) • Výsledkom váženého hodnotenia podľa ITSEC je • Označenie dosiahnutej bezpečnosti, ktorá je škálovaná do šiestich úrovní E1 až E6 • V závislosti na spôsobu špecifikácie vlastností (formálna, polo-formálna, neformálna) a spôsobu preukazovania vlastností FPB (testovanie funkcie, testovanie i mechanizmov) • Atď. 3

4. Kritériá hodnotenia bezpečnosti – podľa TCSEC • Trusted Computer System Evaluation Criteria, súčasť Rainbow series, začiatky v roku 1967 • Hodnotiace triedy (TCSEC) sú navrhnuté tak, aby zahrňovali typické vzorky bezpečnostných požiadaviek. Z toho dôvodu požiadavky na špecifické bezpečnostné črty a požiadavky na záruky sú v definícii hodnotiacich tried kombinované. • Hlavné kritériá v opisoch hodnotiacich tried sú • Bezpečnostná politika – MAC a DAC vyjadrená v termínoch subjektov a objektov • Označovanie objektov – označenie objektov špecifikujúce ich citlivosť • Identifikácia subjektov – jednotlivý subjekt musí byť identifikovaný a autentifikovaný • Účtovateľnosť – musia sa vykonávať auditné logy bezpečnostne relevantných udalostí • Záruka – prevádzková záruka odpovedá najmä bezpečnostnej architektúre, záruka životného cyklu odpovedá záležitostiam ako je metodológia návrhu, testovanie a manažment konfigurácie • Dokumentácia – manažéri a používatelia systému požadujú od bezpečného systému návod ako správne inštalovať a používať bezpečnostné črty, hodnotitelia potrebujú dokumentáciu testovania a návrhu • Kontinuálna ochrana – s bezpečnostnými mechanizmami nemôže byť manipulované • Týmito kritériami sú definované štyri bezpečnostné skupiny a sedem bezpečnostných tried. Produkt vyššej bezpečnostnej triedy poskytuje viac bezpečnostných mechanizmov a vyššiu záruku prostredníctvom presnejšej analýzy. 4

5. Kritériá hodnotenia bezpečnosti – podľa TCSEC • Bezpečnostné skupiny podľa TCSEC • D – minimálna ochrana • C – voliteľná ochrana (princíp need to know) • B – povinná ochrana (založená na označení) • A – verifikovaná ochrana • Bezpečnostné triedy sú definované inkrementálne. Všetky požiadavky jednej triedy sú automaticky zahrnuté do požiadaviek všetkých vyšších tried. • Bezpečnostná trieda D – minimálna ochrana • Do tejto triedy sú zahrnuté produkty, ktoré boli predložené na hodnotenie, ale nesplnili požiadavky na žiadnu bezpečnostnú triedu 5

6. Kritériá hodnotenia bezpečnosti – podľa TCSEC • Bezpečnostná trieda C1 – voliteľná bezpečnostná ochrana • Táto trieda je určená pre prostredie, kde kooperujúci používatelia spracovávajú údaje rovnakej úrovne integrity • Politika DAC umožňuje používateľom zdieľať prístup k objektom kontrolovaným spôsobom • Používatelia sa musia navzájom identifikovať a musia byť autentifikovaný • Bezpečnostná trieda C2 – ochrana riadeným prístupom • Používatelia sú individuálne účtovateľný za svoje akcie • Politika DAC je presadzovaná s granularitou individuálneho používateľa • Propagácia prístupových práv je kontrolovaná • Subjekt nesmie získať prístup spravovaný TCB, ktorý obsahuje informáciu vytvorenú predchádzajúcim subjektom (znovupoužitie objektu) • Auditné záznamy sa musia vykonávať • Testovanie a dokumentácia musia pokrývať novo zavedené bezpečnostné črty, ale záruka je jednoduchá. Testovanie zisťuje iba zrejmé chyby • Bezpečnostná trieda B1 – označená bezpečnostná ochrana • Skupina B je určená pre produkty, ktoré narábajú s klasifikovanými údajmi a presadzujú povinnú politiku MAC • Pre subjekty a objekty existujú označenia • Musí byť zaistená ochrana integrity označení • Identifikácia a autentifikácia prispieva na určenie bezpečnostného označenia subjektu 6

7. Kritériá hodnotenia bezpečnosti – podľa TCSEC • Bezpečnostná trieda B1 – označená bezpečnostná ochrana • Na zaistenie vyššej úrovni záruk sa požaduje neformálny a formálny model bezpečnostnej politiky • Testovanie a dokumentácia je v tejto triede dôkladnejšia. Musí byť analyzovaná dokumentácia návrhu , zdrojový a cieľový kód. Všetky chyby zistené pri testovaní musia byť odstránené • Bezpečnostná trieda B2 – štruktúrovaná ochrana • Zvyšuje záruky pridávaním požiadaviek na návrh systému • Aplikuje politiku MAC tiež pri prístupe k fyzickým zariadeniam • Používatelia musia byť vyrozumení o zmenách ich bezpečnostných úrovní • Musí existovať dôveryhodná cesta pre login a iniciálnu autentifikáciu • Požaduje sa formálny model bezpečnostnej politiky a opisná vysokoúrovňová špecifikácia systému • Modularizácia je dôležitou črtou návrhu architektúry systému • TCB zabezpečuje odlišné adresové priestory na izoláciu procesov • Musí byť vykonaná analýza skrytých kanálov • Bezpečnostné testovanie musí preukázať, že TCB je relatívne odolná proti penetrácii. 7

8. Kritériá hodnotenia bezpečnosti – podľa TCSEC • Bezpečnostná trieda B3 – bezpečnostné domény • Požaduje sa vysoká odolnosť proti penetrácii • Veľa nových elementov musí byť bezpečnostne manažovaných. Vyžaduje sa bezpečnostný správca. • Auditné mechanizmy monitorujú výskyt alebo akumuláciu bezpečnostne relevantných udalostí a poskytujú automatické varovanie. • V prípade zlyhania systému musí byť zabezpečené dôveryhodné zotavenie • Musí byť minimalizovaná zložitosť TCB a z TCB vylúčené moduly, ktoré nie sú bezpečnostne relevantné • Musia byť predložené presvedčivé argumenty na potvrdenie súladu medzi formálnym modelom bezpečnostnej politiky a neformálnou opisnou vysokoúrovňovou špecifikáciou • Bezpečnostná trieda A1 – verifikovaný návrh • Požaduje formálny model bezpečnostnej politiky • Požaduje formálnu vysokoúrovňovú špecifikáciu, vrátane abstraktnej definície funkcií TCB • Požaduje dôkaz konzistentnosti medzi modelom a formálnou vysokoúrovňovou špecifikáciou • Požaduje, aby implementácia TCB bola neformálne preukázaná ako konzistentná s formálnou vysokoúrovňovou špecifikáciou • Požaduje formálnu analýzu skrytých kanálov (neformálnu pre časové skryté kanály) • Prísnejší manažment konfigurácií a riadenie distribúcie (akceptačné testovanie bezpečnosti na mieste dodávky), aby sa zaistilo, že inštalovaná verzia je rovnaká ako ohodnotená master kópia. 8

9. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • Hodnotí bezpečnostnú úroveň systému alebo produktu IT • Úrovne záruk hodnotenia (Evaluation Assurance Level – EAL) • Identifikuje sedem úrovní záruk hodnotenia od EAL1 (najnižšia) až po EAL7 (najvyššia) • Trieda záruk - Systém alebo produkt IT je posudzovaný z pohľadu • Manažment konfigurácie (komponenty záruk označené ACM) • Dodávka a prevádzka (komponenty záruk označené ADO) • Vývoj (komponenty záruk označené ADV) • Sprievodná dokumentácia (komponenty záruk označené AGD) • Podpora životného cyklu (komponenty záruk označené ALC) • Testy (komponenty záruk označené ATE) • Nasleduje sumár úrovní záruk hodnotenia pre úrovne EAL1 až EAL7 a ich stručná charakteristika. Tieto podmienky je nevyhnutné splniť, aby bol produkt IT pripravený na hodnotenie úrovne informačnej bezpečnosti podľa štandardu ISO 15 408. • Komponent záruk (rodina záruk) uvedený boldom (napr. ACM_AUT.1) znamená, že komponent záruk je v danej úrovni záruk hodnotenia požadovaný prvý raz. Obyčajný komponent záruk (napr. ACM_AUT.1) znamená, že tento komponent sa preberá z nižšej úrovni záruk hodnotenia. 9

10. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 1. úroveň záruk hodnotenia (EAL1) – funkčne testovaný • Poskytuje základnú úroveň záruk ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT. Vykonáva sa použitím funkčnej špecifikácie, špecifikácie medzistyku a sprievodnej dokumentácie sa porozumie bezpečnostnému správaniu systému alebo produktu IT. • Analýza systému alebo produktu je realizovaná nezávislým testovaním bezpečnostných funkcií hodnoteného systému alebo produktu IT. • Táto úroveň poskytuje významné zvýšenie záruk oproti nehodnotenému systému alebo produktu IT. • Jednotlivé komponenty záruk predstavujú požiadavky na • ACM_CAP.1 – čísla verzií • ADO_IGS.1 – procedúry na inštaláciu, generáciu a štartovanie • ADV_FSP.1 – neformálnu funkčnú špecifikáciu • ADV_RCR.1 – neformálna demonštrácia korešpodencie • AGD_ADM.1 – návod pre administrátora • AGD_USR.1 – návod pre používateľa • ATE_IND.1 – nezávislé testovanie - potvrdenie 10

11. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 2. úroveň záruk hodnotenia (EAL2) – štrukturálne testovaný • Poskytuje úroveň záruk, ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT. Vykonáva sa použitím funkčnej špecifikácie a špecifikácie medzistyku, sprievodnej dokumentácie a vysokoúrovňového návrhuhodnoteného systému alebo produktu IT. • Analýza systému alebo produktu IT je realizovaná nezávislým testovaním bezpečnostných funkcií, s podporou výsledkov testov vývojára založených na funkčnej špecifikácii, selektívnym nezávislým potvrdením výsledkov testov vývojára, silou funkčnej analýzy a výsledkom prehľadávania vývojára po zrejmých slabinách (uvedené v public domain). • Táto úroveň poskytuje záruku prostredníctvom konfiguračnéhozoznamu systému alebo produktu IT a potvrdenie existencie bezpečnostných procedúr. • Táto úroveň poskytuje významné zvýšenie záruk oproti EAL1 tým, že požaduje testovanie u vývojára, analýzu slabín a nezávislé testovanie založené na detailnejších špecifikáciách hodnotenému systému alebo produktu IT. • Jednotlivé komponenty záruk (požadované prvý raz) predstavujú požiadavky na: • ACM_CAP.2 – položky konfigurácie • ADO_DEL.1 – procedúry dodávky • ADV_HLD.1 – opisný návrh na vysokej úrovni • ATE_COV.1 – dôkaz o pokrytí, ATE_FUN.1 – funkčné testovanie • ATE_IND.2 – vzorka nezávislého testovania • AVA_SOF.1 – hodnotenie sily bezpečnostných funkcií hodnoteného systému alebo produktu • AVA_VLA.1 – analýza slabín vývojárom 11

12. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 3. úroveň záruk hodnotenia (EAL3) – metodicky testovaný a kontrolovaný • Poskytuje úroveň záruk, ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT. Vykonáva sa použitím funkčnej špecifikácie a špecifikácie medzistyku, sprievodnej dokumentácie a vysokoúrovňového návrhu testovaného systému alebo produktu IT. • Analýza systému alebo produktu je realizovaná nezávislým testovaním bezpečnostných funkcií, s podporou výsledkov testov vývojára založených na funkčnej špecifikácii a návrhu vyššej úrovne, selektívnym nezávislým potvrdením výsledkov testov vývojára, silou funkčnej analýzy a výsledkom prehľadávania vývojára po zrejmých slabinách (uvedené v public domain). • Táto úroveň poskytuje záruku prostredníctvom použitia ochrán v prostredí vývoja, správu konfigurácie systému alebo produktu IT a potvrdenie existencie bezpečnostných procedúr. • Táto úroveň poskytuje významné zvýšenie záruk oproti EAL2 tým, že požaduje úplnejšie pokrytie testovania bezpečnostných funkcií a mechanizmov a/alebo procedúr, ktoré poskytujú istú dôveru hodnotenému systému alebo produktu IT, že nebude bezpečnostne poškodený počas vývoja. 12

13. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 3. úroveň záruk hodnotenia (EAL3) – metodicky testovaný a kontrolovaný • Jednotlivé komponenty záruk (požadované prvý raz) predstavujú požiadavky na: • ACM_CAP.3 – ochrany autorizáciou • ACM_SCP.1 – pokrytie riadenia konfigurácie hodnoteného systému alebo produktu • ADV_HLD.2 – vysokoúrovňový návrh presadzujúci bezpečnosť • ALC_DVS.1 – identifikácia bezpečnostných opatrení • ATE_COV.2 – analýza pokrytia • ATE_DPT.1 – testovanie: vysokoúrovňový návrh • AVA_MSU.1 – preverenie návodov 13

14. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 4. úroveň záruk hodnotenia (EAL4) – metodicky navrhnutý, testovaný a recenzovaný • Poskytuje úroveň záruk, ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT Vykonáva sa použitím funkčnej špecifikácie aúplnej špecifikácie medzistyku, sprievodnej dokumentácie, vysokoúrovňovým a nízkoúrovňovým návrhom hodnoteného systému alebo produktu IT a časti implementácie. Záruka je dodatočne získaná prostredníctvom neformálneho modelu bezpečnostnej politiky hodnoteného systému alebo produktu IT. • Analýza systému alebo produktu je realizovaná nezávislým testovaním bezpečnostných funkcií, s podporou výsledkov testov vývojára založených na funkčnej špecifikácii a vysokoúrovňového návrhu, selektívnym nezávislým potvrdením výsledkov testov vývojára, silou funkčnej analýzy, výsledkom prehľadávania vývojára po slabinách a nezávislej analýze slabín, ktorá potvrdí odolnosť hodnoteného systému alebo produktu IT na prieniky s nízkym potenciálom prienikára. • Táto úroveň poskytuje záruku pre použitie ochrán v prostredí vývoja, dodatočnú správu konfigurácie systému alebo produktu IT vrátane automatizácie až po potvrdenie existencie bezpečnostných procedúr. • Táto úroveň poskytuje významné zvýšenie záruk oproti EAL3 tým, že požaduje väčší opis návrhu, časti implementácie a zdokonalené mechanizmy a/alebo procedúry, ktoré zabezpečia dôveru hodnotenému systému alebo produktu IT, že nebol bezpečnostne poškodený počas vývoja alebo dodávky. 14

15. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 4. úroveň záruk hodnotenia (EAL4) – metodicky navrhnutý, testovaný a recenzovaný • Jednotlivé komponenty záruk (požadované prvý raz) predstavujú požiadavky na: • ACM_AUT.1 – čiastočná automatizácia riadenia konfigurácie • ACM_CAP.4 – podpora generovania a akceptačné procedúry • ACM_SCP.2 – pokrytie problému sledovania pri riadení konfigurácie • ADO_DEL.2 – detekcia modifikácie • ADV_FSP.2 – plne definovaný vonkajší medzistyk • ADV_IMP.1 – implementácia podmnožiny bezpečnostných funkcií hodnoteného systému alebo produktu • ADV_LLD.1 – opisný návrh na nízkej úrovni • ADV_SPM.1 – neformálny model bezpečnostnej politiky hodnoteného systému alebo produktu • ALC_LCD.1 – model životného cyklu definovaný vývojárom • ALC_TAT.1 – dobre definované vývojové nástroje • AVA_MSU.2 – validácia analýzy • AVA_VLA.2 – nezávislá analýza slabín. 15

16. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 5. úroveň záruk hodnotenia (EAL5) – poloformálne navrhnutý a testovaný • Poskytuje úroveň záruk, ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT. Vykonáva sa na základe funkčnej špecifikácie a úplnej špecifikácie medzistyku, sprievodnej dokumentácie, vysokoúrovňového a nízkoúrovňového návrhu hodnoteného systému alebo produktu IT a celej implementácie. Záruka je dodatočne získaná prostredníctvom formálneho modelu bezpečnostnej politiky hodnoteného systému alebo produktu IT, poloformálnej prezentácie funkčnej špecifikácie a vysokoúrovňového návrhu a poloformálnej demonštrácie ich korešpodencie. Tiež sa požaduje modulárny návrh hodnoteného systému alebo produktu IT. • Analýza systému alebo produktu je realizovaná nezávislým testovaním bezpečnostných funkcií, s podporou výsledkov testov vývojára založených na funkčnej špecifikácii,vysokoúrovňového návrhu a nízkoúrovňového návrhu, selektívnym nezávislým potvrdením výsledkov testov vývojára, silou funkčnej analýzy, výsledkom prehľadávania vývojára po slabinách a nezávislej analýze slabín, ktorá potvrdí odolnosť hodnoteného systému alebo produktu IT na prieniky sostredným potenciálom prienikára.Analýza tiež zahrňuje potvrdenie analýzy vývojára na skryté kanály. • Táto úroveň poskytuje záruku pre použitie ochrán v prostredí vývoja, úplnúsprávu konfigurácie systému alebo produktu IT vrátane automatizácie až po potvrdenie existencie bezpečnostných procedúr. • Táto úroveň poskytuje významné zvýšenie záruk oproti EAL4 tým, že požaduje poloformálny opis návrhu, celú implementácie a štruktúrovanejšiu (a tým analyzovateľnejšiu) architektúru, analýzu skrytých kanálov, zdokonalené mechanizmy a/alebo procedúry, ktoré zabezpečia dôveru hodnotenému systému alebo produktu IT, že nebol bezpečnostne poškodený počas vývoja. 16

17. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 5. úroveň záruk hodnotenia (EAL5) – poloformálne navrhnutý a testovaný • Jednotlivé komponenty záruk (požadované prvý raz) predstavujú požiadavky na: • ACM_SCP.3 – vývojové nástroje na pokrytie riadenia konfigurácie • ADV_FSP.3– poloformálna funkčná špecifikácia • ADV_HLD.3– poloformálny vysokoúrovňový návrh • ADV_IMP.2 – implementácia bezpečnostných funkcií hodnoteného systému alebo produktu • ADV_INT.1 – modulárnosť • ADV_RCR.2– poloformálna demonštrácia korešpodencie • ADV_SPM.3 – formálny model bezpečnostnej politiky hodnoteného systému alebo produktu • ALC_LCD.2 – štandardizovaný model životného cyklu • ALC_TAT.2 – súlad s implementačnými štandardami • ATE_DPT.2– testovanie: nízkoúrovňový návrh • AVA_CCA.1 – analýza skrytých kanálov • AVA_VLA.3 – stredne odolný. 17

18. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 6. úroveň záruk hodnotenia (EAL6) – poloformálne verifikovaný návrh a testovaný • Poskytuje úroveň záruk, ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT. Vykonáva sa na základe funkčnej špecifikácie a úplnej špecifikácie medzistyku, sprievodnej dokumentácie, vysokoúrovňového a nízkoúrovňového návrhu hodnoteného systému alebo produktu IT a štruktúrovanej prezentácii implementácie. Záruka je dodatočne získaná prostredníctvom formálneho modelu bezpečnostnej politiky hodnoteného systému alebo produktu IT, poloformálnej prezentácie funkčnej špecifikácie,vysokoúrovňového a nízkoúrovňového návrhu a poloformálnej demonštrácie ich korešpodencie.Tiež sa požaduje modulárny a vrstvený návrh hodnoteného systému alebo produktu IT. • Analýza systému alebo produktu je realizovaná nezávislým testovaním bezpečnostných funkcií, s podporou výsledkov testov vývojára založených na funkčnej špecifikácii,vysokoúrovňového a nízkoúrovňového návrhu, selektívnym nezávislým potvrdením výsledkov testov vývojára, silou funkčnej analýzy, výsledkom prehľadávania vývojára po slabinách a nezávislej analýze slabín, ktorá potvrdí odolnosť hodnoteného systému alebo produktu IT na prieniky s vysokým potenciálom prienikára. Analýza tiež zahrňuje potvrdenie systematickej analýzy vývojára na skryté kanály. • Táto úroveň poskytuje záruku pre použitieštruktúrovaného vývojového procesu,ochrán v prostredí vývoja, úplnúsprávu konfigurácie systému alebo produktu IT vrátane úplnej automatizácie až po potvrdenie existencie bezpečnostných procedúr. 18

19. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • Táto úroveň poskytuje významné zvýšenie záruk oproti EAL5 tým, že požaduje komplexnejšiu analýzu, štruktúrovanú reprezentáciu implementácie, viac architektonickejšiu štruktúru (vrstvenie), úplnejšiu nezávislú analýzu slabín, systematickú identifikáciu skrytých kanálov a zdokonalený manažment konfigurácií a ochrany prostredia vývoja. • Jednotlivé komponenty záruk (požadované prvý raz) predstavujú požiadavky na: • ACM_AUT.2 – úplná automatizácia riadenia konfigurácie • ACM_CAP.5 – pokročilá podpora • ADV_FSP.3 – poloformálna funkčná špecifikácia • ADV_HLD.4– poloformálny vysokoúrovňový výklad • ADV_IMP.3 – štruktúrovaná implementácia bezpečnostných funkcií hodnoteného systému alebo produktu • ADV_INT.2 – redukcia zložitosti • ADV_LLD.2 – poloformálny nízkoúrovňový návrh • ALC_DVS.2 – dostatočnosť bezpečnostných opatrení • ALC_TAT.3 – zhoda s implementačnými štandardmi – všetky časti • ATE_COV.3 – rigorózna analýza pokrytie • ATE_FUN.2 – usporiadané funkčné testovanie • AVA_CCA.2 – systematická analýza skrytých kanálov • AVA_MSU.3 – analýza a testovanie nebezpečných stavov • AVA_VLA.4 – vysoko odolne. 19

20. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • 7. úroveň záruk hodnotenia (EAL7) – formálne verifikovaný návrh a testovaný • Poskytuje úroveň záruk, ktorá je založená na porozumení bezpečnostnému správaniu analýzou bezpečnostných funkcií systému alebo produktu IT. Vykonáva sa na základe funkčnej špecifikácie a úplnej špecifikácie medzistyku, sprievodnej dokumentácie, vysokoúrovňového a nízkoúrovňového návrhu hodnoteného systému alebo produktu IT a štruktúrovanej prezentácii implementácie. Záruka je dodatočne získaná prostredníctvom formálneho modelu bezpečnostnej politiky hodnoteného systému alebo produktu IT, formálnej prezentácie funkčnej špecifikácie a vysokoúrovňového návrhu,poloformálnej prezentácie nízkoúrovňového návrhua odpovedajúcejformálnej a poloformálnej demonštrácie ich korešpodencie.Tiež sa požaduje modulárny, vrstvený a jednoduchý návrh hodnoteného systému alebo produktu IT. • Analýza systému alebo produktu je realizovaná nezávislým testovaním bezpečnostných funkcií, s podporou výsledkov testov vývojára založených na funkčnej špecifikácii vysokoúrovňového návrhu, nízkoúrovňového návrhu a implementačnou reprezentáciou, úplným nezávislým potvrdením výsledkov testov vývojára, silou funkčnej analýzy, výsledkom prehľadávania vývojára po slabinách a nezávislej analýze slabín, ktorá potvrdí odolnosť hodnoteného systému alebo produktu IT na prieniky svysokým potenciálom prienikára. Analýza tiež zahrňuje potvrdenie systematickej analýzy vývojára na skryté kanály. • Táto úroveň poskytuje záruku pre použitieštruktúrovaného vývojového procesu, ochrán v prostredí vývoja, úplnúsprávu konfigurácie systému alebo produktu IT vrátane úplnejautomatizácie až po potvrdenie existencie bezpečnostných procedúr. 20

21. Kritériá hodnotenia bezpečnosti – podľa ISO/IEC 15408 • Táto úroveň poskytuje významné zvýšenie záruk oproti EAL6 tým, že požaduje komplexnejšiu analýzu použitím formálnej reprezentácie a formálnej korešpodencie a úplného testovania. • Jednotlivé komponenty záruk (požadované prvý raz) predstavujú požiadavky na: • ADO_DEL.3 – zabránenie modifikácii • ADV_FSP.4 – formálna funkčná špecifikácia • ADV_HLD.5– formálny vysokoúrovňový návrh • ADV_INT.3 – minimalizácia komplexnosti • ADV_RCR.3 – formálna demonštrácia korešpodencie • ALC_LCD.3 – merateľný model životného cyklu • ATE_DPT.3 – testovanie: implementačná reprezentácia • ATE_IND.3 – nezávislé testovanie - úplné. 21