1 Phạm vi áp dụngmic.gov.vn/Upload/Store/tintuc/vietnam/3/Du-thao-TCVN-He... · Web...

TCVN T I Ê U C H U Ẩ N Q U Ố C G I A

TCVN xxx:2015ISO/IEC 18045:2008

(Dự thảo)

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN - HỆ THỐNG PHƯƠNG PHÁP ĐÁNH GIÁ AN TOÀN

CÔNG NGHỆ THÔNG TIN

Information Technology – Security Techniques – Methodology for IT Security Evaluation

HÀ NỘI – 2015

1

TCVN xxx: 2015

MỤC LỤC

Lời nói đầu................................................................................................................................................81 Phạm vi áp dụng....................................................................................................................................92 Tài liệu viện dẫn....................................................................................................................................93 Thuật ngữ và định nghĩa......................................................................................................................94. Các ký hiệu và thuật ngữ viết tắt......................................................................................................115. Tổng quan...........................................................................................................................................115.1. Bố cục của TCVN xxx:2015 (ISO/IEC 18045)...............................................................................116 Các quy ước trong tiêu chuẩn...........................................................................................................116.1 Thuật ngữ.........................................................................................................................................116.2 Cách sử dụng động từ....................................................................................................................126.3 Hướng dẫn đánh giá tổng quát......................................................................................................126.4. Mối quan hệ giữa các cấu trúc TCVN 8709 và TCVN xxx:2015..................................................127 Quy trình đánh giá và các nhiệm vụ liên quan.................................................................................137.1 Giới thiệu.........................................................................................................................................137.2 Tổng quan về quá trình đánh giá...................................................................................................137.2.1 Mục tiêu..........................................................................................................................................13

7.2.2 Trách nhiệm của các vai................................................................................................................13

7.2.3 Mối quan hệ của các bên...............................................................................................................14

7.2.4 Mô hình đánh giá chung.................................................................................................................14

7.2.5 Nhận định của người đánh giá.......................................................................................................14

7.3 Nhiệm vụ đầu vào đánh giá............................................................................................................167.3.1 Mục tiêu..........................................................................................................................................16

7.3.2 Các lưu ý áp dụng..........................................................................................................................16

7.3.3 Quản lý nhiệm vụ con bằng chứng đánh giá.................................................................................17

7.4 Hoạt động con đánh giá.................................................................................................................177.5 Nhiệm vụ đầu ra đánh giá...............................................................................................................177.5.1 Mục tiêu..........................................................................................................................................17

7.5.2 Quản lý đầu ra đánh giá.................................................................................................................18

7.5.3 Các lưu ý áp dụng..........................................................................................................................18

7.5.4 Ghi nhiệm vụ con OR.....................................................................................................................18

7.5.5 Ghi nhiệm vụ con ETR...................................................................................................................18

8 Lớp APE: Đánh giá hồ sơ bảo vệ......................................................................................................238.1. Giới thiệu........................................................................................................................................238.2 Các lưu ý áp dụng...........................................................................................................................238.2.1 Tái sử dụng các kết quả đánh giá của các PP đã được chứng nhận............................................23

8.3 Giới thiệu PP (APE_INT).................................................................................................................248.3.1 Đánh giá hoạt động con (APE_INT.1)............................................................................................24

3

TCVN xxx: 2015

8.4 Các yêu cầu tuân thủ (APE_CCL)..................................................................................................258.4.1 Đánh giá hoạt động con (APE_CCL.1)..........................................................................................25

8.5 Định nghĩa vấn đề an toàn (APE_SPD).........................................................................................298.5.1 Đánh giá hoạt động con (APE_SPD.1)..........................................................................................29

8.6 Mục tiêu an toàn (APE_OBJ)..........................................................................................................318.6.1 Đánh giá hoạt động con (APE_OBJ.1)...........................................................................................31

8.6.2 Đánh giá hoạt động con (APE_OBJ.2)...........................................................................................31

8.7 Định nghĩa các thành phần mở rộng (APE_ECD)........................................................................338.7.1 Đánh giá hoạt động con (APE_ECD.1)..........................................................................................33

8.8 Các yêu cầu an toàn (APE_REQ)...................................................................................................378.8.1 Đánh giá hoạt động con (APE_REQ.1)..........................................................................................37

8.8.2 Đánh giá hoạt động con (APE_REQ.2)..........................................................................................40

9 Lớp ASE: Đánh giá đích an toàn.......................................................................................................459.1 Giới thiệu.........................................................................................................................................459.2 Các lưu ý áp dụng...........................................................................................................................459.2.1 Tái sử dụng các kết quả đánh giá của các PP đã được chứng nhận............................................45

9.3 Giới thiệu ST (ASE_INT).................................................................................................................459.3.1 Đánh giá hoạt động con (ASE_INT.1)............................................................................................45

9.4 Các yêu cầu tuân thủ (ASE_CCL)..................................................................................................489.4.1 Đánh giá hoạt động con (ASE_CCL.1)..........................................................................................48

9.5 Định nghĩa vấn đề an toàn (ASE_SPD).........................................................................................549.5.1 Đánh giá hoạt động con (ASE_SPD.1)..........................................................................................54

9.6 Mục tiêu an toàn (ASE_OBJ)..........................................................................................................559.6.1 Đánh giá hoạt động con (ASE_OBJ.1)...........................................................................................55

9.6.2 Đánh giá hoạt động con (ASE_OBJ.2)...........................................................................................55

9.7 Định nghĩa các thành phần mở rộng (ASE_ECD)........................................................................589.7.1 Đánh giá hoạt động con (ASE_ECD.1)..........................................................................................58

9.8 Các yêu cầu an toàn (ASE_REQ)...................................................................................................629.8.1 Đánh giá hoạt động con (ASE_REQ.1)..........................................................................................62

9.8.2 Đánh giá hoạt động con (ASE_REQ.2)..........................................................................................65

9.9 Đặc tả tổng quát TOE (ASE_TSS)..................................................................................................699.9.1 Đánh giá hoạt động con (ASE_TSS.1)...........................................................................................69

9.9.2 Đánh giá hoạt động con (ASE_TSS.2)...........................................................................................70

10. Lớp ADV: Phát triển.........................................................................................................................7110.1 Giới thiệu.......................................................................................................................................7110.2 Các lưu ý áp dụng.........................................................................................................................7110.3 Kiến trúc an toàn (ADV_ARC)......................................................................................................7210.3.1 Đánh giá hoạt động con (ADV_ARC.1)........................................................................................72

10.4 Đặc tả chức năng (ADV_FSP)......................................................................................................774

TCVN xxx: 201510.4.1 Đánh giá hoạt động con (ADV_FSP.1)........................................................................................77

10.4.2 Đánh giá hoạt động con (ADV_FSP.2)........................................................................................80



10.4.6 Đánh giá hoạt động con (ADV_FSP.6)......................................................................................103

10.5 Biểu diễn triển khai (ADV_IMP)..................................................................................................10310.5.1 Đánh giá hoạt động con (ADV_IMP.1).......................................................................................103

10.5.2 Đánh giá hoạt động con (ADV_IMP.2).......................................................................................105

10.6 Nội bộ TSF (ADV_INT).................................................................................................................10610.6.1 Đánh giá hoạt động con (ADV_INT.1)........................................................................................106

10.6.2 Đánh giá hoạt động con (ADV_INT.2)........................................................................................108

10.6.3 Đánh giá hoạt động con (ADV_INT.3)........................................................................................110

10.7 Mô hình hóa chính sách an toàn (ADV_SPM)...........................................................................11010.7.1 Đánh giá hoạt động con (ADV_SPM.1)......................................................................................110

10.8 Thiết kế TOE (ADV_TDS)............................................................................................................11010.8.1 Đánh giá hoạt động con (ADV_TDS.1)......................................................................................110

10.8.2 Đánh giá hoạt động con (ADV_TDS.2)......................................................................................114





11 Lớp AGD: Tài liệu hướng dẫn........................................................................................................14011.1 Giới thiệu.....................................................................................................................................14011.2 Các lưu ý áp dụng.......................................................................................................................14011.3 Hướng dẫn sử dụng vận hành (AGD_OPE)..............................................................................14011.3.1 Đánh giá hoạt động con (AGD_OPE.1).....................................................................................140

11.4 Các thủ tục chuẩn bị (AGD_PRE)..............................................................................................14311.4.1 Đánh giá hoạt động con (AGD_PRE.1)......................................................................................143

12 Lớp ALC: Hỗ trợ vòng đời.............................................................................................................14512.1 Giới thiệu.....................................................................................................................................14512.2 Năng lực CM (ALC_CMC)...........................................................................................................14612.2.1 Đánh giá hoạt động con (ALC_CMC.1)......................................................................................146

12.2.2 Đánh giá hoạt động con (ALC_CMC.2)......................................................................................147




12.3 Phạm vi CM (ALC_CMS).............................................................................................................16612.3.1 Đánh giá hoạt động con (ALC_CMS.1)......................................................................................166

12.3.2 Đánh giá hoạt động con (ALC_CMS.2)......................................................................................166


5

TCVN xxx: 2015



12.4 Chuyển giao (ALC_DEL).............................................................................................................17112.4.1 Đánh giá hoạt động con (ALC_DEL.1).......................................................................................171

12.5 An toàn phát triển (ALC_DVS)...................................................................................................17212.5.1 Đánh giá hoạt động con (ALC_DVS.1)......................................................................................172

12.5.2 Đánh giá hoạt động con (ALC_DVS.2)......................................................................................175

12.6 Khắc phục sai sót (ALC_FLR)....................................................................................................17812.6.1 Đánh giá hoạt động con (ALC_FLR.1)....................................................................................17812.6.2 Đánh giá hoạt động con (ALC_FLR.2).......................................................................................180

12.6.3 Đánh giá hoạt động con (ALC_FLR.3).......................................................................................184

12.7 Định nghĩa vòng đời (ALC_LCD)...............................................................................................18912.7.1 Đánh giá hoạt động con (ALC_LCD.1).......................................................................................189

12.7.2 Đánh giá hoạt động con (ALC_LCD.2).......................................................................................191

12.8 Công cụ và kỹ thuật (ALC_TAT)................................................................................................19312.8.1 Đánh giá hoạt động con (ALC_TAT.1).......................................................................................193

12.8.2 Đánh giá hoạt động con (ALC_TAT.2).......................................................................................194

12.8.3 Đánh giá hoạt động con (ALC_TAT.3).......................................................................................197

13 Lớp ATE: Kiểm thử.........................................................................................................................20013.1 Giới thiệu.....................................................................................................................................20013.2 Các lưu ý áp dụng.......................................................................................................................20013.2.1 Tìm hiểu đáp ứng dự kiến TOE..................................................................................................201

13.2.2 Kiểm thử so với các phương pháp thay thế để xác minh đáp ứng dự kiến của các chức năng201

13.2.3 Xác minh tính đầy đủ của các kiểm thử.....................................................................................202

13.3 Phạm vi (ATE_COV)....................................................................................................................20213.3.1 Đánh giá hoạt động con (ATE_COV.1)......................................................................................202

13.3.2 Đánh giá hoạt động con (ATE_COV.2)......................................................................................203

13.3.3 Đánh giá hoạt động con (ATE_COV.3)......................................................................................204

13.4 Năng lực/Độ sâu (ATE_DPT)......................................................................................................20413.4.1 Đánh giá hoạt động con (ATE_DPT.1).......................................................................................204

13.4.2 Đánh giá hoạt động con (ATE_DPT.2).......................................................................................206



13.5 Chức năng kiểm thử (ATE_FUN)...............................................................................................21113.5.1 Đánh giá hoạt động con (ATE_FUN.1)......................................................................................211

13.5.2 Đánh giá hoạt động con (ATE_FUN.2)......................................................................................214

13.6 Kiểm thử độc lập (ATE_IND)......................................................................................................21413.6.1 Đánh giá hoạt động con (ATE_IND.1)........................................................................................214

13.6.2 Đánh giá hoạt động con (ATE_IND.2)........................................................................................218

6

TCVN xxx: 201513.6.3 Đánh giá hoạt động con (ATE_IND.3)........................................................................................224

14 Lớp AVA: Đánh giá điểm yếu.........................................................................................................22414.1 Giới thiệu.....................................................................................................................................22414.2 Phân tích điểm yếu (AVA_VAN).................................................................................................22514.2.1 Đánh giá hoạt động con (AVA_VAN.1)......................................................................................225

14.2.2 Đánh giá hoạt động con (AVA_VAN.2)......................................................................................230




15 Lớp ACO: Thành phần....................................................................................................................25515.1 Giới thiệu.....................................................................................................................................25515.2 Các lưu ý áp dụng.......................................................................................................................25515.3 Sở cứ cấu thành (ACO_COR)....................................................................................................25615.3.1 Đánh giá hoạt động con (ACO_COR.1).....................................................................................256

15.4 Bằng chứng phát triển (ACO_DEV)...........................................................................................26215.4.1 Đánh giá hoạt động con (ACO_DEV.1)......................................................................................262

15.4.2 Đánh giá hoạt động con (ACO_DEV.2)......................................................................................264

15.4.3 Đánh giá hoạt động con (ACO_DEV.3)......................................................................................265

15.5 Tính phục thuộc của các thành phần (ACO_REL)...................................................................26815.5.1 Đánh giá hoạt động con (ACO_REL.1)......................................................................................268

15.5.2 Đánh giá hoạt động con (ACO_REL.2)......................................................................................270

15.6 Kiểm tra TOE tích hợp (ACO_CTT)............................................................................................27315.6.1 Đánh giá hoạt động con (ACO_CTT.1)......................................................................................273

15.6.2 Đánh giá hoạt động con (ACO_CTT.2)......................................................................................275

15.7 Phân tích thành phần điểm yếu (ACO_VUL).............................................................................27915.7.1 Đánh giá hoạt động con (ACO_VUL.1)......................................................................................279

15.7.2 Đánh giá hoạt động con (ACO_VUL.2)......................................................................................282

15.7.3 Đánh giá hoạt động con (ACO_VUL.3)......................................................................................286

Phụ lục A...............................................................................................................................................291Phụ lục B...............................................................................................................................................301THƯ MỤC TÀI LIỆU THAM KHẢO.......................................................................................................325

7

TCVN xxx: 2015

Lời nói đầu

8

TCVN xxx:2015 hoàn toàn tương đương với ISO/IEC 18045:2008,

TCVN xxx:2015 do Học viện Công nghệ Bưu chính Viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

TCVN xxx: 2015

T I Ê U C H U Ẩ N Q U Ố C G I A TCVN xxx:2015

Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống phương pháp đánh giá an toàn thông tinInformation Technology – Security Techniques – Methodology for IT Evaluation

1 Phạm vi áp dụng

Tiêu chuẩn này là tài liệu đi kèm với các tiêu chí đánh giá an toàn CNTT đã được quy định trong TCVN 8709-3:2011. Tiêu chuẩn này quy định các hành động tối thiểu cần được thực hiện bởi một người đánh giá để tiến hành một việc đánh giá theo TCVN 8709-3: 2011, sử dụng các tiêu chí và bằng chứng đánh giá quy định trong TCVN 8709-3: 2011.

2 Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là không thể thiếu được cho việc để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung nếu có).

[1]. TCVN 8709-1: 2011 (ISO/IEC 15408-1:2009) “Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 1: Giới thiệu và mô hình tổng quát”.

[2]. TCVN 8709-2: 2011 (ISO/IEC 15408-2:2008) “Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 2: Các thành phần chức năng an toàn”.

[3]. TCVN 8709-3: 2011 (ISO/IEC 15408-3:2008) “Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 3: Các thành phần đảm bảo an toàn”.

3 Thuật ngữ và định nghĩa

Các thuật ngữ và định nghĩa sau đây được áp dụng cho mục đích của tài liệu tiêu chuẩn này.

CHÚ THÍCH: Các thuật ngữ được in đậm là những thuật ngữ được định nghĩa tại điều này.

3.1 Hành động (action)

Phần tử hành động của người đánh giá trong TCVN 8709-3: 2011.

CHÚ THÍCH: Những hành động này hoặc được chỉ rõ là các hành động của người đánh giá hoặc ngầm định xuất phát từ các hành động của nhà phát triển (ngầm định là các hành động của người đánh giá) trong các thành phần đảm bảo của TCVN 8709- 3 [3].

3.2 Hoạt động (activity)

Việc áp dụng theo một lớp bảo đảm của TCVN 8709-3: 2011.

3.3 Kiểm tra (check)

Tạo ra nhận định bằng một so sánh đơn giản.

CHÚ THÍCH: Không yêu cầu ý kiến chuyên môn của người đánh giá. Phát biểu sử dụng động từ này mô tả những gì được ánh xạ.

3.4 Sản phẩm được đánh giá (evaluation deliverable)

9

TCVN xxx: 2015

Tài nguyên bất kỳ được yêu cầu từ nhà bảo trợ hoặc nhà phát triển bởi người đánh giá hoặc cơ quan đánh giá để thực hiện một hoặc nhiều đánh giá hoặc các hoạt động giám sát đánh giá.

3.5 Bằng chứng đánh giá (evaluation evidence)

Sản phẩm được đánh giá hữu hình.

3.6 Báo cáo kỹ thuật đánh giá (evaluation technical report)

Báo cáo là ghi lại nhận định tổng thể và sự biện minh của nó, được tạo ra bởi người đánh giá và được đệ trình cho một cơ quan đánh giá.

3.7 Thẩm tra (examine)

Tạo ra một nhận định bằng cách phân tích theo ý kiến chuyên môn của người đánh giá .

CHÚ THÍCH: Phát biểu sử dụng động từ này xác định những gì được phân tích và các thuộc tính mà nó được phân tích.

3.8 Diễn giải (interpretation)

Sự làm rõ hoặc mở rộng một yêu cầu của TCVN 8709, TCVN xxx:2015 (ISO/IEC 18045) hoặc lược đồ.

3.9 Hệ thống phương pháp (methodology)

Hệ thống các nguyên tắc, thủ tục và quy trình áp dụng cho đánh giá an toàn CNTT.

3.10 Báo cáo quan sát (observation report)

Báo cáo được viết bởi người đánh giá để yêu cầu làm rõ hoặc để xác định một vấn đề trong khi đánh giá.

3.11 Nhận định tổng thể (overall verdict)

Phát biểu “đạt” hay “không đạt” được tạo ra bởi một người đánh giá đối với kết quả của một đánh giá.

3.12 Nhận định giám sát (oversight verdict)

Tuyên bố được tạo ra bởi cơ quan đánh giá khẳng định hay phủ nhận một “nhận định tổng thể” dựa trên các kết quả của các hoạt động giám sát đánh giá.

3.13 Bản ghi (record)

Lưu lại một mô tả bằng văn bản của các thủ tục, sự kiện, quan sát, những hiểu biết và các kết quả một cách đầy đủ chi tiết cho phép tái tạo dùng lại công việc đã thực hiện trong khi đánh giá ở một thời điểm sau đó.

3.14 Báo cáo (report)

Gồm các kết quả đánh giá và các tài liệu hỗ trợ trong bản báo cáo kỹ thuật đánh giá hoặc báo cáo quan sát.

3.15 Lược đồ (scheme)

Tập hợp các quy tắc, được lập bởi một cơ quan đánh giá, xác định môi trường đánh giá, bao gồm các tiêu chí và hệ thống phương pháp được yêu cầu để tiến hành các đánh giá an toàn CNTT.

3.16 Hoạt động con (sub-activity)

Việc áp dụng theo một thành phần đảm bảo của TCVN 8709-3: 2011.

10

TCVN xxx: 2015CHÚ THÍCH: Các họ đảm bảo không được đề cập rõ ràng trong tiêu chuẩn này vì các đánh giá được tiến hành trên một thành phần đảm bảo đơn nhất từ một họ đảm bảo.

3.17 Theo dấu (tracing)

Mối quan hệ định hướng đơn nhất giữa hai tập thực thể cho thấy các thực thể nào trong tập đầu tiên tương ứng với thực thể nào trong tập thứ hai.

3.18 Nhận định (verdict)

Tuyên bố “đạt”, “không đạt” hoặc “không thể kết luận” được tạo ra bởi một người đánh giá với phần tử hành động của người đánh giá, thành phần đảm bảo, hoặc lớp của TCVN 8709.

CHÚ THÍCH: Xem thêm nhận định tổng thể.

3.19 Đơn vị công việc (work unit)

Mức chi tiết nhất của công việc đánh giá

CHÚ THÍCH: Mỗi hành động của hệ thống phương pháp đánh giá bao gồm một hoặc nhiều đơn vị công việc được nhóm lại trong hành động của hệ thống phương pháp đánh giá theo nội dung TCVN 8709 và trình bày các bằng chứng hoặc phần tử hành động của nhà phát triển. Các đơn vị công việc được thể hiện trong tiêu chuẩn này theo cùng thứ tự như các phần tử trong TCVN 8709 nơi chúng được bắt nguồn. Các đơn vị công việc được định dạng ở lề trái được ký hiệu như ALC_TAT.1-2. Trong ký hiệu này, chuỗi ALC_TAT.1 biểu thị thành phần TCVN 8709 (nghĩa là hoạt động con trong tiêu chuẩn này) và chữ số cuối cùng (2) biểu thị đây là đơn vị công việc thứ hai trong hoạt động con ALC_TAT.1.

4. Các ký hiệu và thuật ngữ viết tắt

ETR Báo cáo kỹ thuật đánh giá

OR Báo cáo quan sát

5. Tổng quan

5.1. Bố cục của TCVN xxx:2015 (ISO/IEC 18045)

Điều 6 xác định các quy ước được sử dụng trong tiêu chuẩn này.

Điều 7 mô tả các nhiệm vụ đánh giá chung không có nhận định liên quan đến chúng và chúng không ánh xạ đến các phần tử hành động của người đánh giá TCVN 8709.

Điều 8 đề cập công việc được yêu cầu để đạt được một kết quả đánh giá trên một PP.

Điều 9 và Điều 15 xác định các hoạt động đánh giá được tổ chức bởi các lớp đảm bảo.

Phụ lục A bao gồm các kỹ thuật đánh giá cơ bản được sử dụng để cung cấp các bằng chứng kỹ thuật của kết quả đánh giá.

Phụ lục B cung cấp diễn giải của các tiêu chí phân tích điểm yếu và những ví dụ về ứng dụng của chúng.

6 Các quy ước trong tiêu chuẩn

6.1 Thuật ngữ

Không giống như TCVN 8709, trong đó mỗi phần tử duy trì chữ số cuối cùng của ký hiệu định dạng của nó cho tất cả các thành phần trong họ, tiêu chuẩn này có thể tạo ra các đơn vị công việc mới khi một phần tử hành động của người đánh giá TCVN 8709 thay đổi từ hoạt động con này sang hoạt động con khác; kết quả là chữ số cuối cùng của ký hiệu định dạng đơn vị công việc có thể thay đổi mặc dù đơn vị công việc giữ nguyên không thay đổi.

Một công việc đánh giá cụ thể theo hệ thống phương pháp bất kỳ nào được yêu cầu mà không bắt nguồn trực tiếp từ các yêu cầu TCVN 8709 được gọi là “nhiệm vụ” hoặc “nhiệm vụ con”.

11

TCVN xxx: 2015

6.2 Cách sử dụng động từ

Trợ động từ “cần” (shall) chỉ được sử dụng khi văn bản được cung cấp là bắt buộc và do vậy chỉ dùng trong các đơn vị công việc và các nhiệm vụ con. Các đơn vị công việc và các nhiệm vụ con bao gồm các hoạt động bắt buộc mà người đánh giá phải thực hiện để ấn định các nhận định.

Văn bản hướng dẫn kèm theo các đơn vị công việc và nhiệm vụ con tạo ra giải thích thêm về cách áp dụng các từ ngữ TCVN 8709 trong phép đánh giá. Cách sử dụng động từ phù hợp với các định nghĩa ISO cho các động từ này. Trợ động từ “nên” (should) được sử dụng khi phương pháp được mô tả là ưa chuộng hơn. Tất cả các trợ động từ khác, bao gồm “có thể” (may), được sử dụng khi (các) phương pháp được mô tả là được cho phép song không được khuyến cáo cũng như được ưa chuộng hơn, chúng chỉ dùng để diễn giải.

Các động từ kiểm tra, thẩm tra, báo cáo và ghi lại được sử dụng với ý nghĩa chính xác trong phần này của tiêu chuẩn và nên tham chiếu Điều 3 về các định nghĩa của chúng.

6.3 Hướng dẫn đánh giá tổng quát

Tài liệu có tính ứng dụng cho nhiều hơn một hoạt động con được tập hợp ở một vị trí. Hướng dẫn có tính ứng dụng phổ biến (xuyên suốt các hoạt động và các EAL) đã được tập hợp vào Phụ lục A. Hướng dẫn gắn liền với nhiều hoạt động con trong một hoạt động đơn lẻ đã được cung cấp trong phần giới thiệu của hoạt động đó. Nếu hướng dẫn liên quan đến chỉ một hoạt động con đơn lẻ thì nó được trình bày trong hoạt động con đó.

6.4. Mối quan hệ giữa các cấu trúc TCVN 8709 và TCVN xxx:2015

Hình 1 – Ánh xạ của các cấu trúc TCVN 8709 và TCVN xxx:2015 (ISO/IEC 18045)

Có mối quan hệ trực tiếp giữa cấu trúc của TCVN 8709 (tức là lớp, họ, thành phần và phần tử) và cấu trúc của tiêu chuẩn này. Hình 1 minh họa sự tương ứng giữa các kết cấu TCVN 8709 về lớp, họ và các phần tử hành động của người đánh giá đối với các hoạt động hệ thống phương pháp đánh giá, các hoạt động con và các hành động. Tuy nhiên, một số đơn vị công việc trong hệ thống phương pháp

12

TCVN xxx: 2015đánh giá có thể là kết quả từ các yêu cầu đã được ghi chú trong hành động của nhà phát triển TCVN 8709 và các phần tử nội dung và trình bày.

7 Quy trình đánh giá và các nhiệm vụ liên quan

7.1 Giới thiệu

Điều này cung cấp tổng quan về quy trình đánh giá và xác định các nhiệm vụ của người đánh giá được dự định thực hiện khi tiến hành đánh giá.

Mỗi một đánh giá, hoặc là một PP hoặc là một TOE (bao gồm cả ST), đều theo quy trình như nhau, và có bốn nhiệm vụ chung của người đánh giá là: nhiệm vụ đầu vào, nhiệm vụ đầu ra, hoạt động con đánh giá, và sự thuyết minh về năng lực kỹ thuật đối với nhiệm vụ của cơ quan đánh giá.

Nhiệm vụ đầu vào và các nhiệm vụ đầu ra có liên quan đến quản lý bằng chứng đánh giá và phát sinh báo cáo được mô tả trọn vẹn trong điều này. Mỗi nhiệm vụ có các nhiệm vụ con liên quan được áp dụng và quy định cho tất cả các đánh giá TCVN 8709 (đánh giá một PP hoặc một TOE).

Các hoạt động con đánh giá chỉ được giới thiệu trong điều này, và được mô tả đầy đủ trong các điều tiếp theo.

Trái ngược với các hoạt động con đánh giá, các nhiệm vụ đầu vào và đầu ra không có nhận định liên quan đến chúng vì chúng không ánh xạ tới các phần tử hành động của người đánh giá TCVN 8709; các nhiệm vụ này được thực hiện để đảm bảo phù hợp với các nguyên tắc phổ biến và tuân thủ tiêu chuẩn này.

Sự thuyết minh về năng lực kỹ thuật đối với nhiệm vụ của cơ quan đánh giá có thể được hoàn thiện bằng phép phân tích của cơ quan đánh giá về các kết quả nhiệm vụ đầu ra, hoặc có thể bao gồm sự thuyết minh của người đánh giá từ sự hiểu biết của họ về các đầu vào đối với các hoạt động con đánh giá. Nhiệm vụ này không có nhận định của người đánh giá liên quan nhưng có nhận định của cơ quan đánh giá. Các tiêu chí chi tiết để đạt nhiệm vụ này là theo quyết định của cơ quan đánh giá, như đã nêu trong Phụ lục A.5.

7.2 Tổng quan về quá trình đánh giá

7.2.1 Mục tiêu

Điều này trình bày mô hình chung của hệ thống phương pháp và xác định:

a) Các vai trò và trách nhiệm của các bên liên quan trong quy trình đánh giá;

b) Mô hình đánh giá chung.

7.2.2 Trách nhiệm của các vai

Mô hình chung xác định đặc điểm của các vai trò sau: nhà bảo trợ, nhà phát triển, người đánh giá và cơ quan đánh giá.

Nhà bảo trợ có trách nhiệm yêu cầu và hỗ trợ việc đánh giá. Điều này có nghĩa là nhà bảo trợ thiết lập các thỏa thuận khác nhau cho việc đánh giá (ví dụ như ủy thác đánh giá). Ngoài ra, nhà bảo trợ có trách nhiệm đảm bảo rằng người đánh giá được cung cấp bằng chứng đánh giá.

Nhà phát triển tạo ra TOE và chịu trách nhiệm cung cấp các bằng chứng được yêu cầu cho việc đánh giá (ví dụ như đào tạo, thông tin thiết kế), thay mặt cho nhà bảo trợ.

Người đánh giá thực hiện các nhiệm vụ đánh giá được yêu cầu trong bối cảnh của một đánh giá: người đánh giá tiếp nhận bằng chứng đánh giá từ nhà phát triển thay mặt cho nhà bảo trợ hoặc trực

13

TCVN xxx: 2015

tiếp từ nhà bảo trợ, thực hiện các hoạt động con đánh giá và cung cấp các kết quả ước định đánh giá cho cơ quan đánh giá.

Cơ quan đánh giá thiết lập và duy trì lược đồ, giám sát việc đánh giá được thực hiện bởi người đánh giá và tạo ra các báo cáo chứng nhận/công nhận cũng như các chứng chỉ dựa trên các kết quả đánh giá được cung cấp bởi người đánh giá.

7.2.3 Mối quan hệ của các bên

Để trách ảnh hưởng quá mức từ tác động không đúng đến việc đánh giá, việc phân tách vai được yêu cầu. Điều này có nghĩa là các vai trò được mô tả ở trên được thực hiện bởi các thực thể khác nhau, ngoại trừ nhà phát triển và nhà bảo trợ có thể được thỏa mãn bởi một thực thể đơn nhất.

Ngoài ra, một số đánh giá (ví dụ như đánh giá EAL1) có thể không yêu cầu các nhà phát triển tham gia vào dự án. Trong trường hợp này, nhà bảo trợ là người cung cấp TOE cho người đánh giá và là người tạo ra bằng chứng đánh giá.

7.2.4 Mô hình đánh giá chung

Quy trình đánh giá bao gồm người đánh giá thực hiện nhiệm vụ đầu vào đánh giá, nhiệm vụ đầu ra đánh giá và các hoạt động con đánh giá. Hình 2 cung cấp tổng quan về mối quan hệ giữa các nhiệm vụ này và các hoạt động con.

Quy trình đánh giá có thể được bắt đầu bằng giai đoạn chuẩn bị, tại đó cuộc gặp gỡ đầu tiên giữa nhà bảo trợ và người đánh giá được thiết lập. Công việc được thực hiện và sự tham gia của các bên khác nhau trong giai đoạn này có thể thay đổi. Điển hình trong bước này là người đánh giá thực hiện một phân tích tính khả thi nhằm ước định khả năng một đánh giá thành công.

Hình 2 - Mô hình đánh giá chung

7.2.5 Nhận định của người đánh giá

Người đánh giá ấn định các nhận định cho các yêu cầu TCVN 8709 và không ấn định cho các yêu cầu của tiêu chuẩn này. Cấu trúc TCVN 8709 chi tiết nhất mà một nhận định được ấn định là phần tử hành

14

TCVN xxx: 2015động của người đánh giá (tường minh hay ngầm định). Một nhận định được ấn định cho một phần tử hành động của người đánh giá TCVN 8709 tương ứng như là một kết quả thực hành động hệ thống phương pháp đánh giá và các đơn vị công việc cấu thành của nó. Cuối cùng, một kết quả đánh giá được ấn định như đã mô tả trong TCVN 8709-1: 2011, Điều 9, các kết quả đánh giá.

Tiêu chuẩn này công nhận ba trạng thái nhận định loại trừ lẫn nhau:

a) Các điều kiện cho một nhận định “đạt” được xác định là một việc hoàn thành của người đánh giá cho phần tử hành động của người đánh giá TCVN 8709 và quyết định rằng các yêu cầu đối với PP, ST hoặc TOE cần được đánh giá là đáp ứng. Các điều kiện để các phần tử “đạt” được xác định là:

1) Các đơn vị công việc cấu thành của hành động hệ thống phương pháp đánh giá có liên quan, và;

2) Tất cả các bằng chứng đánh giá đã được yêu cầu để thực hiện các đơn vị công việc này là mạch lạc, có nghĩa là người đánh giá có thể hiểu được đầy đủ và trọn vẹn nó, và

3) Tất cả các bằng chứng đánh giá đã được yêu cầu để thực hiện các đơn vị công việc này không có bất kỳ mâu thuẫn nội bộ rõ ràng nào hoặc mâu thuẫn với bằng chứng đánh giá khác. Lưu ý rằng ý nghĩa rõ ràng ở đây là người đánh giá phát hiện ra sự mâu thuẫn này trong khi thực hiện các đơn vị công việc: người đánh giá không nên thực hiện các phân tích nhất quán đầy đủ trên toàn bộ bằng chứng đánh giá mỗi khi một đơn vị công việc được thực hiện.

Hình 3 - Ví dụ về quy tắc nhiệm vụ nhận định

b) Các điều kiện cho một nhận định “không đạt” được xác định là một việc hoàn thành của người đánh giá cho phần tử hành động của người đánh giá TCVN 8709 và quyết định rằng các yêu cầu đối với PP, ST hoặc TOE cần được đánh giá là không đáp ứng, hoặc bằng chứng không mạch lạc, hoặc một mâu thuẫn rõ ràng trong bằng chứng đánh giá được tìm ra;

c) Tất cả các nhận định đều được ấn định ban đầu là ”không có kết luận” và giữ nguyên như vậy cho đến khi nhận định “đạt” hoặc “không đạt” được ấn định.

15

TCVN xxx: 2015

Nhận định tổng thể là “đạt” khi và chỉ khi tất cả các nhận định thành phần cùng là “đạt”. Trong ví dụ minh họa ở Hình 3, nếu nhận định cho một phần tử hành động của người đánh giá là “không đạt” thì các nhận định cho thành phần đảm bảo, lớp đảm bảo, và nhận định tổng thể tương ứng cũng là “không đạt”.

7.3 Nhiệm vụ đầu vào đánh giá

7.3.1 Mục tiêu

Mục tiêu của nhiệm vụ này là đảm bảo rằng người đánh giá có sẵn phiên bản chính xác của các bằng chứng đánh giá được yêu cầu cho việc đánh giá và nó được bảo vệ thích đáng. Nếu không, độ chính xác kỹ thuật của việc đánh giá không được đảm bảo, việc đánh giá được tiến hành để tạo ra các kết quả có thể lặp lại và có thể tái sử dụng cũng không được đảm bảo.

7.3.2 Các lưu ý áp dụng

Trách nhiệm cung cấp tất cả các bằng chứng đánh giá được yêu cầu thuộc về nhà bảo trợ. Tuy nhiên, hầu hết các bằng chứng đánh giá có khả năng được tạo ra và cung cấp bởi nhà phát triển, thay mặt nhà bảo trợ.

Do các yêu cầu đảm bảo áp dụng cho toàn bộ TOE, tất cả bằng chứng đánh giá liên quan đến tất cả các phần của TOE cần được sẵn sàng cung cấp cho người đánh giá. Phạm vi áp dụng và nội dung được yêu cầu của bằng chứng đánh giá như vậy là độc lập với mức độ kiểm soát mà nhà phát triển đã có trên mỗi phần của TOE. Ví dụ, nếu thiết kế được yêu cầu, thì các yêu cầu thiết kế TOE (ADV_TDS) sẽ áp dụng cho tất cả các hệ thống con mà chúng là một phần của TSF. Ngoài ra, các yêu cầu đảm bảo có yêu cầu các thủ tục cần có (ví dụ, các năng lực CM (ALC_CMC) và chuyển giao (ALC_DEL)) cũng sẽ áp dụng cho toàn bộ TOE (bao gồm phần bấy kỳ nào được tạo ra bởi nhà phát triển khác).

Khuyến nghị được tạo ra là người đánh giá, trọn sự kết hợp với các nhà bảo trợ để tạo ra một chỉ mục tới bằng chứng đánh giá được yêu cầu. Chỉ mục này có thể là một tập các tham chiếu tới tài liệu. Chỉ mục này nên có đủ thông tin (ví dụ như một bản tóm tắt ngắn gọn của mỗi tài liệu, hoặc ít nhất là một tiêu đề, dấu hiệu rõ ràng của các Điều cần quan tâm) để giúp người đánh giá dễ dàng tìm thấy bằng chứng được yêu cầu.

Thông tin trong bằng chứng đánh giá được yêu cầu chứ không phải cấu trúc tài liệu cụ thể nào. Bằng chứng đánh giá cho một hoạt động con có thể được cung cấp bởi các tài liệu riêng biệt, hoặc một tài liệu đơn nhất có thể thoả mãn một số các yêu cầu đầu vào của một hoạt động con.

Người đánh giá yêu cầu các phiên bản ổn định và được cung cấp chính thức của bằng chứng đánh giá. Tuy nhiên, dự thảo bằng chứng đánh giá có thể được cung cấp trong một phép đánh giá, ví dụ, để giúp một người đánh giá tạo ra một ước định không chính thức sớm, nhưng không được sử dụng làm cơ sở cho các nhận định. Nó có thể hữu ích cho người đánh giá để xem các bản thảo của một bằng chứng đánh giá phù hợp cụ thể, chẳng hạn như:

a) Tài liệu kiểm thử, để cho phép người đánh giá thực hiện một ước định sớm về các kiểm thử và các thủ tục kiểm thử;

b) Các tài liệu thiết kế, để cung cấp cho người đánh giá nền tảng để thiết kế TOE;

c) Mã nguồn hoặc bản vẽ phần cứng, để cho phép người đánh giá ước định việc áp dụng các tiêu chuẩn của nhà phát triển.

16

TCVN xxx: 2015Dự thảo bằng chứng đánh giá có nhiều khả năng bị đụng độ khi việc đánh giá một TOE được thực hiện đồng thời với việc pháp triển nó. Tuy nhiên, cũng có thể bị đụng độ trong quá trình đánh giá TOE đã phát triển nơi mà các nhà phát triển đã phải thực hiện công việc bổ sung để giải quyết vấn đề xác định bởi người đánh giá (ví dụ như để sửa một lỗi trong thiết kế hoặc triển khai) hoặc cung cấp bằng chứng đánh giá an toàn mà không được cung cấp trong tài liệu hiện có (ví dụ như trong trường hợp TOE không được phát triển để đáp ứng các yêu cầu của TCVN 8709).

7.3.3 Quản lý nhiệm vụ con bằng chứng đánh giá

7.3.3.1 Kiểm soát cấu hình

Người đánh giá cần thực hiện kiểm soát cấu hình của bằng chứng đánh giá.

TCVN 8709 ngầm định rằng người đánh giá có khả năng xác định và chỉ rõ từng hạng mục của bằng chứng đánh giá sau khi chúng đã được nhận và có khả năng xác định liệu phiên bản cụ thể của một tài liệu người đánh giá đang giữ không.

Người đánh giá cần bảo vệ bằng chứng đánh giá tránh việc thay đổi hoặc bị mất khi đang giữ chúng.

7.3.3.2 Hủy bỏ

Các lược đồ có thể mong muốn kiểm soát việc hủy bỏ bằng chứng đánh giá khi kết thúc một đánh giá. Việc hủy bỏ các bằng chứng đánh giá nên đạt được bằng một hoặc nhiều cách sau:

a) Trả lại bằng chứng đánh giá;

b) Lưu trữ bằng chứng đánh giá;

c) Phá hủy bằng chứng đánh giá

7.3.3.3 Tính bí mật

Người đánh giá có thể truy cập thông tin thương mại nhạy cảm của nhà bảo trợ và nhà phát triển (ví dụ như thông tin thiết kế TOE, các công cụ chuyên gí), và có thể truy cập thông tin quốc gia nhạy cảm trong quá trình đánh giá. Các lược đồ có thể mong muốn áp đặt các yêu cầu để người đánh giá duy trì tính bảo mật của các bằng chứng đánh giá. Nhà bảo trợ và người đánh giá có thể cùng đồng ý với các yêu cầu bổ sung, miễn là nhất quán với lược đồ đó.

Các yêu cầu tính bí mật ảnh hưởng đến nhiều mặt của công việc đánh giá, bao gồm cả việc tiếp nhận, giải quyết, lưu trữ và huỷ bỏ bằng chứng đánh giá.

7.4 Hoạt động con đánh giá

Hoạt động con đánh giá thay đổi tùy thuộc đó là đánh giá PP hay TOE. Hơn nữa, trong trường hợp đánh giá TOE, hoạt động con phụ thuộc vào các yêu cầu đảm bảo đã lựa chọn.

7.5 Nhiệm vụ đầu ra đánh giá

7.5.1 Mục tiêu

Mục tiêu của Điều này là mô tả báo cáo quan sát (OR) và báo cáo kỹ thuật đánh giá (ETR). Các lược đồ có thể yêu cầu các báo cáo bổ sung của người đánh giá như báo cáo về các đơn vị công việc riêng, hoặc có thể yêu cầu thông tin bổ sung cần có trong OR và ETR. Tiêu chuẩn này không ngăn cản việc bổ sung thông tin vào các báo cáo do tiêu chuẩn này chỉ quy định nội dung thông tin tối thiểu.

Việc báo cáo nhất quán của các kết quả đánh giá tạo điều kiện cho việc thực hiện các nguyên tắc chung trong việc lặp lại và tái tạo các kết quả. Tính nhất quán bao gồm cả về kiểu và số lượng thông tin đã báo cáo trong ETR và OR. Tính nhất quán của ETR và OR giữa các đánh giá khác nhau là trách nhiệm của cơ quan đánh giá.

17

TCVN xxx: 2015

Người đánh giá thực hiện hai nhiệm vụ con sau đây để đạt được các yêu cầu của tiêu chuẩn này về nội dung thông tin của các báo cáo:

a) Ghi nhiệm vụ con OR (nếu được yêu cầu trong bối cảnh của việc đánh giá);

b) Ghi nhiệm vụ con ETR.

7.5.2 Quản lý đầu ra đánh giá

Người đánh giá cung cấp ETR cho cơ quan đánh giá cũng như các OR bất kỳ khi chúng có sẵn. Các yêu cầu đối với các kiểm soát việc xử lý các ETR và OR được thiết lập bởi lược đồ cái mà có thể bao gồm phát biểu từ nhà bảo trợ hoặc nhà phát triển. Các ETR và OR có thể bao gồm các thông tin nhạy cảm hoặc độc quyền và có thể cần phải được tinh chế lại trước khi chúng được trao cho nhà bảo trợ.

7.5.3 Các lưu ý áp dụng

Trong phiên bản của tiêu chuẩn này, các yêu cầu về việc cung cấp bằng chứng đánh giá để hỗ trợ đánh giá lại và tái sử dụng chưa được quy định rõ ràng. Trường hợp nhà bảo trợ yêu cầu thông tin để đánh giá lại hoặc tái sử dụng, nên tư vấn cho nhà bảo trợ lược đồ đánh giá đang được thực hiện.

7.5.4 Ghi nhiệm vụ con OR

Các OR cung cấp cho người đánh giá cơ chế để yêu cầu làm rõ (ví dụ từ cơ quan đánh giá đối với việc áp dụng một yêu cầu) hoặc xác định một vấn đề liên quan đến một khía cạch của việc đánh giá.

Trong trường hợp nhận định không đạt, người đánh giá cần cung cấp OR để phản hồi kết quả đánh giá. Nếu không, người đánh giá có thể sử dụng các OR như một cách diễn tả các yêu cầu làm rõ.

Đối với mỗi OR, người đánh giá cần báo cáo như sau:

a) Xác định PP hay TOE được đánh giá;

b) Nhiệm vụ/hoạt động con đánh giá trong đó việc quan sát được tạo ra;

c) Sự quan sát;

d) Ước định mức độ an toàn của nó (ví dụ ngầm định một nhận định không đạt, giữ tiến độ việc đánh giá, yêu cầu giải quyết trước khi hoàn thành đánh giá);

e) Xác định tổ chức chịu trách nhiệm giải quyết vấn đề;

f) Lịch biểu đề xuất để giải quyết;

g) Ước định tác động đối với việc đánh giá không đạt đến quyết định việc quan sát.

Độc giả mong muốn OR và các thủ tục đối với xử lý báo cáo phụ thuộc vào bản chất nội dung và lược đồ báo cáo. Các lược đồ có thể phân biệt các loại OR khác nhau hoặc xác định các loại bổ sung, với sự khác biệt liên quan trong yêu cầu thông tin và sự phân bố (ví dụ các OR đánh giá của các cơ quan đánh giá và các nhà bảo trợ).

7.5.5 Ghi nhiệm vụ con ETR

7.5.5.1 Mục tiêu

Người đánh giá cần cung cấp ETR để thể hiện biện minh kỹ thuật của các nhận định.

Tiêu chuẩn này xác định yêu cầu nội dung tối thiểu của ETR; tuy nhiên, các lược đồ có thể có nội dung bổ sung riêng và các yêu cầu giới thiệu và cấu trúc riêng. Ví dụ, các lược đồ có thể yêu cầu tài liệu giới thiệu nhất định (ví dụ các Điều từ chối yêu cầu và bản quyền) được báo cáo trong ETR.

18

TCVN xxx: 2015Người đọc ETR được giả thiết đã làm quen với các khái niệm chung về an toàn thông tin trong TCVN 8709 - các phương pháp đánh giá và CNTT.

ETR hỗ trợ cơ quan đánh giá để xác nhận rằng việc đánh giá đã được thực hiện theo tiêu chuẩn yêu cầu, song cơ quan đánh giá thấy trước rằng các kết quả đã ghi văn bản có thể không cung cấp tất cả thông tin được yêu cầu, do đó thông tin bổ sung theo yêu cầu của lược đồ có thể được yêu cầu. Lĩnh vực này nằm ngoài phạm vi của tiêu chuẩn.

7.5.5.2 ETR cho một đánh giá PP

Điều này mô tả nội dung tối thiểu của ETR cho một đánh giá PP. Các nội dung của ETR được miêu tả trong Hình 4; hình này có thể sử dụng như một hướng dẫn khi xây dựng đề cương kết cấu của tài liệu ETR.

Hình 4 - Nội dung thông tin ETR cho một đánh giá PP

7.5.5.2.1 Giới thiệu

Người đánh giá cần báo cáo các xác định lược đồ đánh giá.

Các xác định lược đồ đánh giá (ví dụ như logos) là thông tin được yêu cầu để xác định rõ lược đồ chịu trách nhiệm cho giám sát đánh giá.

Người đánh giá cần báo cáo các xác định kiểm soát cấu hình ETR.

Các xác định kiểm soát cấu hình ETR chứa thông tin xác định ETR (ví dụ như tên, ngày tháng và số hiệu phiên bản).

Người đánh giá cần báo cáo xác định kiểm soát cấu hình PP.

Xác định kiểm soát cấu hình PP (ví dụ như tên, ngày tháng và số hiêukphiên bản) là được yêu cầu để xác định những gì đang được đánh giá để cơ quan đánh giá xác định rằng nhận định đã được để các cơ quan đánh giá xác minh rằng các nhận định đã được ấn định chính xác bởi người đánh giá.

19

TCVN xxx: 2015

Người đánh giá cần báo cáo xác định của nhà phát triển.

Xác định của nhà phát triển PP được yêu cầu để xác định các bên chịu trách nhiệm tạo ra PP.

Người đánh giá phải báo cáo xác định của nhà bảo trợ.

Xác định của nhà bảo trợ được yêu cầu để xác định các bên chịu trách nhiệm cung cấp chứng cứ đánh giá đến người đánh giá.

Người đánh giá cần báo cáo xác định của người đánh giá.

Xác định của người đánh giá được yêu cầu để xác định bên thực hiện việc đánh giá và chịu trách nhiệm về các nhận định đánh giá.

7.5.5.2.2 Đánh giá

Người đánh giá cần báo cáo phương pháp, kỹ thuật, công cụ và tiêu chuẩn đánh giá đã sử dụng.

Người đánh giá tham khảo tiêu chí đánh giá, hệ thống phương pháp và các diễn giải dùng để đánh giá PP.

Người đánh giá cần báo cáo mọi hạn chế dựa trên việc đánh giá, những hạn chế về việc xử lý kết quả đánh giá và giả định được thực hiện trong việc đánh giá có tác động đến các kết quả đánh giá.

Người đánh giá có thể đưa vào thông tin liên quan đến vấn đề pháp lý hoặc phương diện luật định, tổ chức, bảo mật, v.v.

7.5.5.2.3 Các kết quả đánh giá

Người đánh giá cần báo cáo một nhận định và một sở cứ hỗ trợ đối với mỗi thành phần đảm bảo cấu thành nên một hoạt động của APE, như là kết quả của việc thực hiện hành động hệ thống phương pháp đánh giá tương ứng và các đơn vị công việc cấu thành của nó.

Sở cứ biện minh cho nhận định sử dụng TCVN 8709 này là mọi cách diễn giải và bằng chứng đánh giá được thẩm tra và cho thấy cách bằng chứng đánh giá đáp ứng hoặc không đáp ứng mỗi khía cạnh của tiêu chí. Nó bao gồm việc mô tả về công việc được thực hiện, phương pháp được sử dụng, và nguồn gốc bất kỳ của các kết quả. Sở cứ có thể cung cấp chi tiết đến cấp độ của đơn vị công việc hệ thống phương pháp đánh giá.

7.5.5.2.4 Các kết luận và khuyến nghị

Người đánh giá cần báo cáo kết luận đánh giá, đặc biệt là nhận định tổng thể theo quy định tại TCVN 8709-1: 2011 Điều 9, các kết quả đánh giá, và được xác định bằng cách áp dụng việc ấn định nhận định được mô tả trong 7.2.5.

Người đánh giá cung cấp các khuyến nghị có thể hữu ích cho cơ quan đánh giá. Những khuyến nghị này có thể đưa vào các bất cập của PP đã phát hiện ra trong quá trình đánh giá hoặc đề cập đến các tính năng đặc biệt hữu ích.

7.5.5.2.5 Danh sách bằng chứng đánh giá

Người đánh giá cần báo cáo các thông tin sau cho từng hạng mục bằng chứng đánh giá:

• Cơ quan phát hành (ví dụ như nhà phát triển, nhà bảo trợ);

• Tiêu đề;

• Tham chiếu đơn nhất (ví dụ như ngày phát hành và số hiệu phiên bản).

7.5.5.2.6 Danh sách các cụm từ viết tắt / giải thích các thuật ngữ 20

TCVN xxx: 2015Người đánh giá cần báo cáo mọi từ viết tắt hoặc tên viết tắt được sử dụng trong ETR.

Các định nghĩa thuật ngữ đã được định nghĩa tại TCVN 8709 hoặc tại tiêu chuẩn này không cần lặp lại trong ETR.

7.5.5.2.7 Báo cáo quan sát

Người đánh giá cần báo cáo danh sách đầy đủ xác định duy nhất của các OR tạo ra trong quá trình đánh giá và tình trạng của chúng.

Đối với mỗi OR, danh sách nên có xác định cũng như tiêu đề của nó hoặc bản tóm tắt ngắn gọn về nội dung của nó.

7.5.5.3 ETR cho một đánh giá TOE

Điều này mô tả nội dung tối thiểu của ETR cho một đánh giá TOE. Các nội dung của ETR được miêu tả trong Hình 5; hình này có thể sử dụng như một hướng dẫn khi xây dựng đề cương kết cấu của tài liệu ETR.

Hình 5 - Nội dung thông tin ETR cho một đánh giá TOE

7.5.5.3.1 Giới thiệu

Người đánh giá cần báo cáo các xác định lược đồ đánh giá.

Xác định lược đồ đánh giá (ví dụ như logos) là thông tin yêu cầu để xác định rõ lược đồ chịu trách nhiệm cho giám sát đánh giá.

Người đánh giá cần báo cáo các xác định kiểm soát cấu hình ETR.

Các xác định kiểm soát cấu hình ETR chứa thông tin xác định ETR (ví dụ như tên, ngày tháng và số phiên bản).

21

TCVN xxx: 2015

Người đánh giá cần báo cáo xác định kiểm soát cấu hình ST và TOE.

Các xác định kiểm soát cấu hình ST và TOE xác định những gì đang được đánh giá để các cơ quan đánh giá xác minh rằng các nhận định đã được ấn định chính xác bởi người đánh giá.

Nếu ST yêu cầu là TOE phù hợp với các yêu cầu của một hoặc nhiều PP, ETR cần báo cáo tham chiếu của các PP tương ứng.

Tham chiếu của các PP chứa thông tin xác định đơn nhất các PP (ví dụ như tiêu đề, ngày tháng và số hiệu phiên bản).

Người đánh giá cần báo cáo xác định của nhà phát triển.

Xác định của các nhà phát triển TOE được yêu cầu để xác định các bên chịu trách nhiệm tạo ra TOE.

Người đánh giá phải báo cáo xác định của nhà bảo trợ.

Xác định của nhà bảo trợ được yêu cầu để xác định các bên chịu trách nhiệm cung cấp chứng cứ đánh giá đến người đánh giá.

Người đánh giá cần báo cáo xác định của người đánh giá.

Xác định của người đánh giá được yêu cầu để xác định bên thực hiện việc đánh giá và chịu trách nhiệm về các nhận định đánh giá.

7.5.5.3.2 Mô tả kiến trúc của TOE

Người đánh giá cần báo cáo sự mô tả cấp độ cao của TOE và các thành phần chính của nó dựa trên bằng chứng đánh giá đã mô tả trong họ đảm bảo của TCVN 8709 được gắn thiết kế TOE (ADV_TDS), khi áp dụng.

Mục đích của Điều này là mô tả mức độ phân chia kiến trúc của các thành phần chính. Nếu không có yêu cầu thiết kế TOE (ADV_TDS) trong ST, điều này không áp dụng và được coi là thỏa mãn.

7.5.5.3.3 Đánh giá

Người đánh giá cần báo cáo phương pháp, kỹ thuật, công cụ và tiêu chuẩn đánh giá đã sử dụng.

Người đánh giá tham khảo tiêu chí đánh giá, hệ thống phương pháp và các diễn giải dùng để đánh giá TOE.

Người đánh giá cần báo cáo mọi hạn chế dựa trên việc đánh giá, những hạn chế về việc xử lý kết quả đánh giá và giả định được thực hiện trong việc đánh giá có tác động đến các kết quả đánh giá.

Người đánh giá có thể đưa vào thông tin liên quan đến vấn đề pháp lý hoặc phương diện luật định, tổ chức, bảo mật...

7.5.5.3.4 Các kết quả đánh giá

Đối với mỗi hoạt động trong đó TOE được đánh giá, người đánh giá cần báo cáo:

Tiêu đề của hoạt động đã được xem xét; Nhận định và sở cứ hỗ trợ cho mỗi thành phần đảm bảo cấu thành nên hoạt động này, như là kết

quả của việc thực hiện hành động hệ thống phương pháp đánh giá tương ứng và các đơn vị công việc cấu thành của nó.

Sở cứ biện minh cho nhận định sử dụng TCVN 8709 này là mọi cách diễn giải và bằng chứng đánh giá được thẩm tra và cho thấy cách bằng chứng đánh giá đáp ứng hoặc không đáp ứng mỗi khía cạnh của tiêu chí. Nó bao gồm việc mô tả về công việc được thực hiện, phương pháp được sử dụng, và

22

TCVN xxx: 2015nguồn gốc bất kỳ của các kết quả. Sở cứ có thể cung cấp chi tiết đến cấp độ của đơn vị công việc hệ thống phương pháp đánh giá.

Người đánh giá cần báo cáo tất cả các thông tin cụ thể do đơn vị công việc đã yêu cầu.

Đối với các hoạt động AVA và ATE, các đơn vị công việc để xác định thông tin được báo cáo trong ETR đã định nghĩa.

7.5.5.3.5 Kết luận và kiến nghị

Người đánh giá cần báo cáo các kết luận đánh giá sẽ liên quan đến việc liệu TOE có thỏa mãn ST liên quan của nó không, đặc biệt là nhận định tổng thể như đã quy định tại TCVN 8709-1: 2011 Điều 9, kết quả đánh giá, và được xác định bằng cách áp dụng việc ấn định nhận định đã mô tả trong 7.2.5.

Người đánh giá cung cấp các khuyến nghị có thể hữu ích cho cơ quan đánh giá. Những khuyến nghị này có thể đưa vào các bất cập của PP đã phát hiện ra trong quá trình đánh giá hoặc đề cập đến các tính năng đặc biệt hữu ích.

7.5.5.3.6 Danh sách bằng chứng đánh giá

Người đánh giá cần báo cáo từng hạng mục bằng chứng đánh giá theo các thông tin sau đây:

• Cơ quan phát hành (ví dụ như nhà phát triển, nhà bảo trợ);

• Tiêu đề;

• Tham chiếu đơn nhất (ví dụ như ngày phát hành và số phiên bản).

7.5.5.3.7 Danh sách các cụm từ viết tắt / Giải thích các thuật ngữ

Người đánh giá cần báo cáo mọi từ viết tắt hoặc tên viết tắt được sử dụng trong ETR.

Các định nghĩa thuật ngữ đã được định nghĩa tại TCVN 8709 hoặc tại tiêu chuẩn này không cần lặp lại trong ETR.

7.5.5.3.8 Báo cáo quan sát

Người đánh giá cần báo cáo danh sách đầy đủ xác định duy nhất của các OR tạo ra trong quá trình đánh giá và tình trạng của chúng.

Đối với mỗi OR, danh sách nên có xác định cũng như tiêu đề của nó hoặc bản tóm tắt ngắn gọn về nội dung của nó.

8 Lớp APE: Đánh giá hồ sơ bảo vệ

8.1. Giới thiệu

Điều này mô tả việc đánh giá của một PP. Các yêu cầu và hệ thống phương pháp để đánh giá PP là giống nhau đối với mỗi đánh giá PP, không phụ thuộc vào EAL (hoặc tập các yêu cầu đảm bảo khác) được đòi hỏi trong PP. Hệ thống phương pháp đánh giá trong Điều này dựa trên vào các yêu cầu về PP như đã quy định tại TCVN 8709-3: 2011 lớp APE.

Điều này nên sử dụng kết hợp với các Phụ lục A, B và C trong TCVN 8709-1: 2011, vì các Phụ lục này làm rõ các khái niệm nêu ở đây và cung cấp nhiều ví dụ.

8.2 Các lưu ý áp dụng

8.2.1 Tái sử dụng các kết quả đánh giá của các PP đã được chứng nhận

Trong khi việc đánh giá một PP dựa trên một hoặc nhiều PP đã được chứng nhận, có thể tái sử dụng các PP đã được chứng nhận. Khả năng tái sử dụng kết quả của một PP đã được chứng nhận lớn hơn nếu PP đang được đánh giá không có thêm các mối đe dọa, các OSP, các mục tiêu an toàn và/hoặc

23

TCVN xxx: 2015

các yêu cầu an toàn so với PP mà sự tuân thủ đang được yêu cầu. Nếu PP đang được đánh giá chứa nhiều thứ hơn so với PP đã chứng nhận, việc tái sử dụng có thể thực sự không có tác dụng.

Người đánh giá được phép tái sử dụng các kết quả đánh giá PP bằng cách thực hiện phân tích chỉ một phần hoặc không nếu những phân tích hoặc các phần của chúng đã được thực hiện như một phần của việc đánh giá PP. Trong khi làm điều này, người đánh giá nên giả định rằng những phân tích trong PP được thực hiện đúng.

Ví dụ khi PP tuân thủ đang được yêu cầu có chứa một tập hợp các yêu cầu an toàn, và chúng được xác định là nhất quán nội bộ trong quá trình đánh giá nó. Nếu PP được đánh giá sử dụng các yêu cầu đúng như vậy, phân tích tính nhất quán không phải lặp lại trong quá trình đánh giá PP. Nếu PP được đánh giá thêm một hoặc nhiều yêu cầu, hoặc thực hiện các hoạt động trên các yêu cầu này, việc phân tích sẽ phải được lặp lại. Tuy nhiên, có thể tiết kiệm việc phân tích tính nhất quán này bằng cách sử dụng thực tế các yêu cầu ban đầu là nhất quán nội bộ. Nếu các yêu cầu ban đầu là nhất quán nội bộ, người đánh giá chỉ cần xác định rằng:

a) Tập hợp tất cả các yêu cầu mới và/hoặc thay đổi là nhất quán nội bộ, và

b) Tập tất cả các yêu cầu mới và/hoặc thay đổi nhất quán với yêu cầu ban đầu.

Người đánh giá lưu ý trong ETR các trường hợp khi việc phân tích không được thực hiện hoặc chỉ được thực hiện một phần vì lý do này.

8.3 Giới thiệu PP (APE_INT)

8.3.1 Đánh giá hoạt động con (APE_INT.1)

8.3.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu PP có được xác định đúng không, và liệu phần tham chiếu PP và tổng quan TOE có nhất quán với nhau không.

8.3.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) PP.

8.3.1.3 Hành động APE_INT.1.1E

TCVN 8709-3: 2011 APE_INT.1.1C: Giới thiệu PP cần chứa một tham chiếu PP và một tổng quan TOE.

8.3.1.3.1 Đơn vị công việc APE_INT.1-1

Người đánh giá cần kiểm tra rằng giới thiệu PP chứa một tham chiếu PP và một tổng quan TOE.

TCVN 8709-3: 2011 APE_INT.1.2C: Tham chiếu PP cần xác định duy nhất cho PP.


Người đánh giá cần thẩm tra tham chiếu PP để xác định rằng nó xác định duy nhất cho PP.

Người đánh giá xác định rằng tham chiếu PP xác định cho chính PP, do đó nó có thể dễ dàng phân biệt với các PP khác, và nó cũng xác định duy nhất cho mỗi phiên bản của PP, ví dụ: bằng cách đưa vào số phiên bản và/hoặc ngày công bố.

PP nên có một hệ thống tham chiếu nào đó để có thể hỗ trợ các tham chiếu duy nhất (ví dụ như sử dụng các số, các chữ cái hoặc ngày).

24

TCVN xxx: 2015TCVN 8709-3: 2011 APE_INT.1.3C: Tổng quan TOE cần tóm tắt việc sử dụng và các đặc trưng an toàn chính của TOE.


Người đánh giá cần thẩm tra tổng quan TOE để xác định rằng nó mô tả việc sử dụng và các đặc trưng an toàn chính của TOE.

Tổng quan TOE nên ngắn gọn (ví dụ như một vài đoạn) mô tả việc sử dụng và đặc trưng an toàn chính dự kiến của TOE. Tổng quan TOE nên cho phép người tiêu dùng và các nhà phát triển TOE tiềm năng nhanh chóng xác định xem liệu PP có được họ quan tâm không.

Người đánh giá xác định rằng tổng quan là đủ rõ ràng đối với các nhà phát triển TOE và người tiêu dùng, và đủ để cung cấp cho họ sự hiểu biết chung về việc sử dụng và đặc trưng an toàn chính dự kiến của TOE.

TCVN 8709-3: 2011 APE_INT.1.4C: Tổng quan TOE cần xác định kiểu TOE.


Người đánh giá cần kiểm tra rằng tổng quan TOE xác định kiểu TOE.

TCVN 8709-3: 2011 APE_INT.1.5C: Tổng quan TOE cần xác định bất kỳ phần cứng, phần mềm và phần sụn không phải TOE sẵn dụng cho TOE.


Người đánh giá cần thẩm tra tổng quan TOE để xác định rằng nó xác định bất kỳ phần cứng/phần mềm/phần sụn không phải của TOE sẵn dụng cho TOE.

Trong khi một số TOE có thể chạy độc lập thì một số TOE khác (đáng lưu ý là các TOE phần mềm) cần thêm phần cứng, phần mềm và phần sụn để hoạt động. Trong Điều này của PP, tác giả của PP liệt kê tất cả phần cứng, phần mềm và/hoặc phần sụn sẽ được dùng để chạy TOE.

Việc xác định này nên chi tiết đủ để người tiêu dùng và các nhà phát triển TOE tiềm năng xác định xem liệu TOE của họ có thể hoạt động với các phần cứng, phần mềm và phần sụn đã được liệt kê không.

8.4 Các yêu cầu tuân thủ (APE_CCL)

8.4.1 Đánh giá hoạt động con (APE_CCL.1)

8.4.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định tính hợp lệ của các yêu cầu tuân thủ khác nhau. Chúng mô tả PP phù hợp với TCVN 8709, các PP và các gói khác như thế nào.

8.4.1.2 Đầu vào


a) PP;

b) (Các) PP mà PP yêu cầu tuân thủ theo;

c) (Các) gói mà PP yêu cầu tuân thủ theo.

8.4.1.3 Hành động APE_CCL.1.1E

TCVN 8709-3: 2011 APE_CCL.1.1C: Yêu cầu tuân thủ cần chứa một yêu cầu tuân thủ TCVN 8709 để xác định phiên bản của TCVN 8709 mà PP yêu cầu tuân thủ.

25

TCVN xxx: 2015

8.4.1.3.1 Đơn vị công việc APE_CCL.1-1

Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có chứa một yêu cầu tuân thủ TCVN 8709 để xác định phiên bản của TCVN 8709 mà PP yêu cầu tuân thủ.

Người đánh giá xác định rằng yêu cầu tuân thủ TCVN 8709 để xác định phiên bản TCVN 8709 đã được sử dụng để phát triển PP này. Điều này nên bao gồm số phiên bản của TCVN 8709 và sử dụng ngôn ngữ của phiên bản TCVN 8709 trừ khi phiên bản tiếng Anh quốc tế của TCVN 8709 được sử dụng.

TCVN 8709-3: 2011 APE_CCL.1.2C: Yêu cầu tuân thủ TCVN 8709 cần mô tả sự tuân thủ của PP theo TCVN 8709-2: 2011 như là hoặc tuân thủ TCVN 8709-2: 2011 hoặc mở rộng của TCVN 8709-2: 2011.


Người đánh giá cần kiểm tra rằng các trạng thái yêu cầu tuân thủ TCVN 8709 như là sự yêu cầu hoặc tuân thủ TCVN 8709-2: 2011 hoặc mở rộng của TCVN 8709-3: 2011 đối với PP.

TCVN 8709-3: 2011 APE_CCL.1.3C: Yêu cầu tuân thủ TCVN 8709 cần mô tả sự tuân thủ của PP theo TCVN 8709-3: 2011 như là hoặc tuân thủ TCVN 8709-3: 2011 hoặc mở rộng của TCVN 8709-3: 2011 .


Người đánh giá cần kiểm tra xem các trạng thái yêu cầu tuân thủ TCVN 8709 như là sự yêu cầu hoặc tuân thủ TCVN 8709-3: 2011 hoặc mở rộng TCVN 8709-3: 2011 đối với PP.

TCVN 8709-3: 2011 APE_CCL.1.4C: Yêu cầu tuân thủ TCVN 8709 cần nhất quán với định nghĩa các thành phần mở rộng.


Người đánh giá cần thẩm tra yêu cầu tuân thủ TCVN 8709 đối với TCVN 8709-2: 2011 để xác định rằng nó nhất quán với định nghĩa các thành phần mở rộng.

Nếu yêu cầu tuân thủ TCVN 8709 có chứa tuân thủ TCVN 8709-2: 2011, người đánh giá xác định rằng định nghĩa các thành phần mở rộng mà không định nghĩa các thành phần chức năng.

Nếu yêu cầu tuân thủ TCVN 8709 có chứa mở rộng TCVN 8709-2: 2011, người đánh giá xác định rằng định nghĩa các thành phần mở rộng định nghĩa ít nhất một thành phần chức năng mở rộng.


Người đánh giá cần thẩm tra yêu cầu tuân thủ TCVN 8709 đối với TCVN 8709-2: 2011 [3] để xác định rằng nó nhất quán với định nghĩa các thành phần mở rộng.


Nếu yêu cầu tuân thủ TCVN 8709 có chứa mở rộng TCVN 8709-3: 2011, người đánh giá xác định rằng định nghĩa các thành phần mở rộng định nghĩa ít nhất một thành phần chức năng mở rộng.

TCVN 8709-3: 2011 APE_CCL.1.5C: Yêu cầu tuân thủ cần xác định cả các PP và các gói yêu cầu an toàn mà PP yêu cầu tuân thủ.


Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có chứa yêu cầu PP để xác định tất cả các PP mà PP yêu cầu tuân thủ theo.

26

TCVN xxx: 2015Nếu PP không yêu cầu tuân thủ theo PP khác, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng bất kỳ PP tham chiếu nào cũng được xác định một cách rõ ràng (ví dụ như theo tiêu đề và số phiên bản, hoặc bằng cách xác định có trong phần giới thiệu của PP đó).

Người đánh giá được nhắc nhở rằng không được phép có yêu cầu tuân thủ một phần đối với PP.


Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có bao gồm yêu cầu gói để xác định tất cả các gói mà PP yêu cầu tuân thủ.

Nếu PP không yêu cầu tuân thủ theo gói, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng bất kỳ gói tham chiếu nào cũng được xác định một cách rõ ràng (ví dụ như theo tiêu đề và số phiên bản, hoặc bằng cách xác định có trong phần giới thiệu của gói đó).

Người đánh giá được nhắc nhở rằng không được phép có yêu cầu tuân thủ một phần đối với gói.

TCVN 8709-3: 2011 APE_CCL.1.6C: Yêu cầu tuân thủ cần mô tả bất kỳ sự tuân thủ nào của PP theo hoặc gói tuân thủ hoặc gói gia tăng.

.8.4.1.3.8 Đơn vị công việc APE_CCL.1-8

Người đánh giá cần kiểm tra xem với mỗi gói đã được xác định, trạng thái yêu cầu tuân thủ là yêu cầu của hoặc là tên gói tuân thủ hoặc tên gói tăng cường.

Nếu PP không yêu cầu tuân thủ theo gói, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu yêu cầu tuân thủ gói chứa tên gói tuân thủ, người đánh giá xác định rằng:

a) Nếu gói là một gói đảm bảo, thì PP có chứa tất cả các SAR kèm theo gói, nhưng không thêm các SAR.

b) Nếu gói là một gói chức năng, thì PP chứa tất cả các SFR kèm theo gói, nhưng không thêm các SFR.

Nếu yêu cầu tuân thủ gói chứa tên gói mở rộng, người đánh giá xác định rằng:

a) Nếu gói là một gói đảm bảo, thì PP có chứa tất cả các SAR kèm theo gói và thêm ít nhất một SAR hoặc ít nhất một SAR là phân cấp của một SAR trong gói.

b) Nếu gói là một gói chức năng, thì PP chứa tất cả các SFR kèm theo gói, và thêm ít nhất một SFR hoặc ít nhất một SFR là phân cấp của một SFR trong gói.

TCVN 8709-3: 2011 APE_CCL.1.7C: Sở cứ cho yêu cầu tuân thủ cần chứng minh rằng kiểu TOE này là nhất quán với kiểu TOE trong các PP mà sự tuân thủ được yêu cầu.


Người đánh giá cần thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng kiểu TOE của TOE là nhất quán với tất cả các kiểu TOE của các PP.

Nếu PP không yêu cầu tuân thủ theo PP khác, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Mối quan hệ giữa các kiểu có thể đơn giản là: yêu cầu tuân thủ PP tường lửa với PP tường lửa khác, hoặc phức tạp hơn: một PP thẻ thông minh yêu cầu tuân thủ đối với một số PP khác cùng một thời

27

TCVN xxx: 2015

điểm: một PP cho các mạch tích hợp, một PP cho hệ điều hành thẻ thông minh, và hai PP cho hai ứng dụng trên thẻ thông minh.

TCVN 8709-3: 2011 APE_CCL.1.8C: Sở cứ cho yêu cầu tuân thủ cần chứng minh rằng tuyên bố định nghĩa vấn đề an toàn là nhất quán với tuyên bố về định nghĩa các vấn đề an toàn bên trong các PP mà sự tuân thủ được yêu cầu.


Người đánh giá cần thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng nó chứng minh tuyên bố của định nghĩa vấn đề an toàn là nhất quán, như định nghĩa tuyên bố tuân thủ của PP, với các tuyên bố định nghĩa vấn đề an toàn nêu trong PP mà sự tuân thủ được yêu cầu.

Nếu PP được đánh giá không yêu cầu tuân thủ theo PP khác, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu PP mà sự tuân thủ được yêu cầu không tuyên bố định nghĩa vấn đề an toàn, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu tuân thủ chặt chẽ được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, không yêu cầu sở cứ yêu cầu tuân thủ. Thay vào đó, người đánh giá xác định rằng liệu:

a) Các mối đe dọa trong PP có được đánh giá là một tập lớn của hoặc giống với các mối đe dọa trong PP mà sự tuân thủ được yêu cầu không;

b) Các OSP trong PP có được đánh giá là một tập lớn của hoặc giống với các OSP trong PP mà sự tuân thủ được yêu cầu không;

c) Các giả thiết trong PP có được đánh giá là giống với các giả thiết trong PP mà sự tuân thủ được yêu cầu không;

Nếu tính tuân thủ diễn giải được được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định nó chứng minh rằng tuyên bố định nghĩa vấn đề an toàn của PP được đánh giá là tương đương hoặc chặt chẽ hơn so với tuyên bố định nghĩa vấn đề an toàn trong PP mà sự tuân thủ được yêu cầu.

Hướng dẫn về "tương đương hoặc chặt chẽ hơn" xem TCVN 8709-1: 2011 Phụ lục D, tuân thủ PP.

TCVN 8709-3: 2011 APE_CCL.1.9C: Sở cứ cho yêu cầu tuân thủ cần chứng minh rằng tuyên bố các mục tiêu an toàn là nhất quán với tuyên bố về các mục tiêu an toàn trong các PP mà sự tuân thủ được yêu cầu.


Người đánh giá cần thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng tuyên bố các mục tiêu an toàn là nhất quán, như định nghĩa tuyên bố sự tuân thủ của các PP, với tuyên bố mục tiêu an toàn trong các PP.


Nếu tuân thủ chặt chẽ được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, không cần sở cứ yêu cầu tuân thủ. Thay vào đó, người đánh giá xác định liệu:

PP được đánh giá có chứa tất cả mục tiêu an toàn trong TOE của PP mà sự tuân thủ được yêu cầu không. Lưu ý rằng nó được phép để PP được đánh giá mục có tiêu an toàn bổ sung cho TOE;

28

TCVN xxx: 2015 PP được đánh giá có chứa chính xác tất cả các mục tiêu an toàn đối với môi trường vận hành (với

ngoại lệ được trình bày ở ý tiếp theo) không. Lưu ý rằng không được phép để PP được đánh giá có mục tiêu an toàn bổ sung đối với môi trường vận hành;

PP được đánh giá có thể chỉ định các mục tiêu nhất định đới với môi trường vận hành trong PP mà tuân thủ đang được yêu cầu có là các mục tiêu an toàn trong TOE trong PP được đánh giá không. Đây là trường hợp ngoại lệ được trình bày ở ý trước.

Nếu tính tuân thủ diễn giải được được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định nó chứng minh rằng tuyên bố các mục tiêu an toàn của PP được đánh giá là tương đương hoặc chặt chẽ hơn so với tuyên bố các mục tiêu an toàn trong PP mà sự tuân thủ được yêu cầu.


TCVN 8709-3: 2011 APE_CCL.1.10C: Sở cứ cho yêu cầu tuân thủ cần chứng minh rằng tuyên bố các yêu cầu an toàn là nhất quán với tuyên bố về các yêu cầu an toàn trong các PP mà sự tuân thủ được yêu cầu.


Người đánh giá cần thẩm tra PP để xác định rằng nó là nhất quán, như đã xác định bởi tuyên bố tuân thủ của PP, với tất cả các yêu cầu an toàn trong các PP mà sự tuân thủ được yêu cầu.


Nếu tuân thủ chặt chẽ được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, không cần sở cứ yêu cầu tuân thủ. Thay vào đó, Người đánh giá xác định rằng xem tuyên bố các yêu cầu an toàn trong PP được đánh giá có là một tập lớn của hoặc giống hệt tuyên bố các yêu cầu an toàn trong PP mà sự tuân thủ được yêu cầu không (cho tuân thủ chặt chẽ).

Nếu tính tuân thủ diễn giải được được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định nó chứng minh rằng tuyên bố các yêu cầu an toàn của PP được đánh giá là tương đương hoặc chặt chẽ hơn so với tuyên bố các yêu cầu an toàn trong PP mà sự tuân thủ được yêu cầu.


TCVN 8709-3: 2011 APE_CCL.1.11C: Tuyên bố tuân thủ cần mô tả sự tuân thủ đã yêu cầu của bất kỳ các PP/ST trong PP như tuân thủ PP chặt chẽ hoặc PP có thể chứng minh.


Người đánh giá cần kiểm tra yêu cầu các trạng thái tuyên bố tuân thủ PP của tuân thủ PP chặt chẽ hoặc PP có thể chứng minh.

8.5 Định nghĩa vấn đề an toàn (APE_SPD)

8.5.1 Đánh giá hoạt động con (APE_SPD.1)

8.5.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định rằng vấn đề an toàn dự kiến được đề cập đến bởi TOE và môi trường vận hành của nó được xác định rõ ràng.

8.5.1.2 Đầu vào


29

TCVN xxx: 2015

a) PP.

8.5.1.3 Hành động APE_SPD.1.1E

TCVN 8709-3: 2011 APE_SPD.1.1C: Định nghĩa vấn đề an toàn cần mô tả các mối đe dọa.

8.5.1.3.1 Đơn vị công việc APE_SPD.1-1

Người đánh giá cần kiểm tra rằng định nghĩa vấn đề an toàn mô tả các mối đe dọa.

Nếu tất cả các mục tiêu an toàn xuất phát từ các giả thiết và/hoặc chỉ các OSP, tuyên bố các mối đe dọa không cần có trong PP. Trong trường hợp này, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng định nghĩa vấn đề an toàn mô tả các mối đe dọa phải được chống trả bởi TOE và/hoặc môi trường vận hành của nó.

TCVN 8709-3: 2011 APE_SPD.1.2C: Tất cả các mối đe dọa cần được mô tả dưới dạng tác nhân đe dọa, tài sản và hành động có hại.


Người đánh giá cần thẩm tra định nghĩa vấn đề an toàn để xác định rằng tất cả các mối đe dọa được mô tả dưới dạng tác nhân đe dọa, tài sản, và hành động có hại.

Nếu tất cả các mục tiêu an toàn xuất phát từ giả thiết và chỉ các OSP, tuyên bố các mối đe dọa không cần có trong PP. Trong trường hợp này, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Các tác nhân đe dọa có thể được mô tả bằng cách thêm các phương diện như chuyên môn, nguồn lực, cơ hội và động lực.

TCVN 8709-3: 2011 APE_SPD.1.3C: Định nghĩa vấn đề an toàn cần mô tả các OSP.


Người đánh giá cần kiểm tra rằng định nghĩa vấn đề an toàn mô tả các OSP.

Nếu tất cả các mục tiêu an toàn xuất phát từ giả thiết và/hoặc chỉ các mối đe dọa, các OSP không cần có trong PP. Trong trường hợp này, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng các tuyên bố OSP được thực hiện trong điều khoản quy tắc hoặc hướng dẫn phải theo TOE và/hoặc môi trường vận hành của nó.

Người đánh giá xác định rằng mỗi OSP được giải thích và/hoặc diễn dịch đầy đủ chi tiết để nó rõ ràng dễ hiểu; trình bày rõ ràng về các tuyên bố chính sách là được yêu cầu để cho phép theo dấu mục tiêu an toàn cho chúng.

TCVN 8709-3: 2011 APE_SPD.1.4C: Định nghĩa vấn đề an toàn cần mô tả các giả thiết về môi trường vận hành của TOE.


Người đánh giá cần thẩm tra định nghĩa vấn đề an toàn để xác định rằng nó mô tả các giả thiết về môi trường vận hành của TOE.

Nếu không có các giả thiết, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

30

TCVN xxx: 2015Người đánh giá xác định rằng mỗi giả thiết về môi trường vận hành của TOE được giải thích đầy đủ chi tiết, cho phép người sử dùng xác định môi trường vận hành của họ phù hợp với giả thiết. Nếu các giả thiết chưa được hiểu rõ, kết quả cuối cùng có thể TOE được sử dụng trong môi trường vận hành, khi đó nó sẽ không hoạt động theo cách an toàn.

8.6 Mục tiêu an toàn (APE_OBJ)

8.6.1 Đánh giá hoạt động con (APE_OBJ.1)

8.6.1.1 Mục tiêu

Mục tiêu của hoạt động con này để xác định liệu mục tiêu an toàn cho môi trường vận hành có được xác định rõ ràng không.

8.6.1.2 Đầu vào


a) PP.

8.6.1.3 Hành động APE_OBJ.1.1E

TCVN 8709-3: 2011 APE_OBJ.1.1C: Tuyên bố các mục tiêu an toàn cần mô tả các mục tiêu an toàn cho môi trường vận hành.

8.6.1.3.1 Đơn vị công việc APE_OBJ.1-1

Người đánh giá cần kiểm tra rằng tuyên bố của các mục tiêu an toàn định nghĩa các mục tiêu an toàn cho môi trường vận hành.

Người đánh giá kiểm tra rằng các mục tiêu an toàn cho môi trường vận hành đã được xác định.

8.6.2 Đánh giá hoạt động con (APE_OBJ.2)

8.6.2.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các mục tiêu an toàn có được thỏa đáng và được đề cập đầy đủ định nghĩa vấn đề an toàn và rằng cách phân chia vấn đề này giữa TOE và môi trường vận hành của nó có được xác định rõ ràng không.

8.6.2.2 Đầu vào


a) PP.

8.6.2.3 Hành động APE_OBJ.2.1E

TCVN 8709-3: 2011 APE_OBJ.2.1C: Tuyên bố về các mục tiêu an toàn cần mô tả các mục tiêu an toàn cho TOE và các mục tiêu an toàn cho môi trường vận hành.


Người đánh giá cần kiểm tra rằng tuyên bố các mục tiêu an toàn định nghĩa các mục tiêu an toàn cho TOE và các mục tiêu an toàn cho môi trường vận hành.

Người đánh giá kiểm tra rằng cả hai phạm trù mục tiêu an toàn đã được xác định rõ ràng và tách ra từ phạm trù khác.

TCVN 8709-3: 2011 APE_OBJ.2.2C: Sở cứ các mục tiêu an toàn cần theo dấu từng mục tiêu an toàn cho TOE chống lại các mối đe dọa bởi mục tiêu an toàn đó và các OSP được thực thi bởi mục tiêu an toàn.


31

TCVN xxx: 2015

Người đánh giá cần kiểm tra rằng sở cứ các mục tiêu an toàn theo dấu tất cả các mục tiêu an toàn cho TOE chống lại các mối đe dọa bởi các mục tiêu và/hoặc các OSP được thực thi bởi mục tiêu an toàn.

Mỗi mục tiêu an toàn trong TOE có thể truy vết các mối đe dọa hoặc các OSP, hoặc sự kết hợp của các mối đe dọa và OSP, nhưng nó phải truy vết ít nhất một mối đe dọa hoặc OSP.

Lỗi khi thực hiện theo dấu có nghĩa là hoặc sở cứ mục tiêu an toàn không đầy đủ, định nghĩa vấn đề an toàn không đầy đủ, hoặc mục tiêu an toàn trong TOE không có mục đích hữu ích.

TCVN 8709-3: 2011 APE_OBJ.2.3C: Sở cứ các mục tiêu an toàn cần theo dấu từng mục tiêu an toàn cho môi trường vận hành chống lại các mối đe dọa bởi mục tiêu an toàn đó và các OSP được thực thi bởi mục tiêu an toàn và giả thiết duy trì mục tiêu an toàn.


Người đánh giá cần kiểm tra rằng sở cứ các mục tiêu an toàn theo dấu các mục tiêu an toàn cho môi trường vận hành chống lại các mối đe dọa bởi mục tiêu an toàn,các OSP được thực thi bởi mục tiêu an toàn và giả thiết duy trì mục tiêu an toàn.

Mỗi mục tiêu an toàn cho môi trường vận hành có thể truy vết các mối đe dọa, OSP, giả thiết, hoặc sự kết hợp của các mối đe dọa, các OSP và/hoặc các giả thiết, nhưng nó phải truy vết ít nhất một mối đe dọa, một OSP hoặc một giả thiết.

Lỗi khi thực hiện theo dấu có nghĩa là hoặc sở cứ mục tiêu an toàn không đầy đủ, định nghĩa vấn đề an toàn là không đầy đủ, hoặc mục tiêu an cho môi trường vận hành không có mục đích hữu ích.

TCVN 8709-3: 2011 APE_OBJ.2.4C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an toàn chống lại tất cả các mối đe dọa.


Người đánh giá cần thẩm tra sở cứ các mục tiêu an toàn để xác định rằng nó biện minh cho mỗi mối đe dọa của các mục tiêu an toàn là phù hợp để chống lại mối đe dọa đó.

Nếu không có mục tiêu an toàn truy vết mối đe dọa, thì hành động của người đánh giá liên quan đến đơn vị công việc này được ấn định là một nhận định không đạt.

Người đánh giá xác định rằng việc biện minh cho một mối đe dọa cho thấy liệu mối đe dọa có được loại bỏ, giảm bớt hoặc giảm nhẹ hay không.

Người đánh giá xác định rằng biện minh cho một mối đe dọa chứng minh rằng các mục tiêu an toàn là đầy đủ: nếu tất cả các mục tiêu an toàn truy vết mối đe dọa đã đạt được, thì mối đe dọa đã được loại bỏ, giảm bớt thỏa đáng, hoặc những ảnh hưởng của các mối đe dọa được giảm nhẹ.

Lưu ý rằng việc theo dấu từ các mục tiêu an toàn đến các mối đe dọa được cung cấp trong sở cứ mục tiêu an toàn có thể là một phần của một sự biện minh, nhưng bản thân chúng không được coi là biện minh. Ngay cả trong trường hợp một mục tiêu an toàn chỉ là một tuyên bố phản ánh mục đích để ngăn chặn một mối đe dọa cụ thể đang được thực hiện, thì một sự biện minh lđược yêu cầu, nhưng biện minh này có thể là tối thiểu như " mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y".

Người đánh giá cũng xác định rằng mỗi mục tiêu an toàn truy vết mối đe dọa là yêu cầu: khi mục tiêu an toàn đã đạt được nó thực sự góp phần vào việc loại bỏ, giảm bớt hoặc giảm thiểu mối đe dọa đó.

TCVN 8709-3: 2011 APE_OBJ.2.5C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an toàn thực thi tất cả OSP.

32

TCVN xxx: 20158.6.2.3.5 Đơn vị công việc APE_OBJ.2-5

Người đánh giá cần thẩm tra sở cứ các mục tiêu an toàn để xác định rằng đối với mỗi OSP nó biện minh rằng các mục tiêu an toàn là phù hợp để thực thi OSP đó.

Nếu không có mục tiêu an toàn truy vết OSP, hành động của người đánh giá liên quan đến đơn vị công việc này được ấn định là nhận định không đạt.

Người đánh giá xác định rằng biện minh cho các diễn giải mối đe dọa tại các mục tiêu an toàn là đầy đủ: nếu tất cả các mục tiêu an toàn truy vết OSP đạt được, OSP được thực thi.

Người đánh giá cũng xác định mỗi mục tiêu an toàn theo dấu quayg lại OSP là được yêu cầu: khi mục tiêu an toàn đạt được nó thực sự góp phần vào việc thực thi của OSP.

Lưu ý rằng các theo dấu từ các mục tiêu an toàn đến các mối đe dọa được cung cấp trong sở cứ mục tiêu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính nó. Ngay cả trong trường hợp đó, mục tiêu an toàn chỉ là một tuyên bố phản ánh mục đích để ngăn chặn một mối đe dọa cụ thể đang được thực hiện, một sự biện minh là được yêu cầu, nhưng biện minh này là tối thiểu "Mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y".

TCVN 8709-3: 2011 APE_OBJ.2.6C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an toàn cho môi trường vận hành duy trì tất cả các giả thiết.


Người đánh giá cần thẩm tra sở cứ các mục tiêu an toàn để xác định rằng đối với mỗi giả thiết cho môi trường vận hành nó có chứa một sự biện minh hợp lý mà các mục tiêu an toàn cho môi trường vận hành phù hợp để duy trì giả thiết đó.

Nếu không có các mục tiêu an toàn cho môi trường vận hành truy vết giả thiết, hành động của người đánh giá liên quan đến đơn vị công việc này được ấn định là nhận định không đạt.

Người đánh giá xác định rằng biện minh cho một giả thiết về môi trường vận hành của TOE diễn giải rằng các mục tiêu an toàn là đầy đủ: nếu tất cả các mục tiêu an toàn cho môi trường vận hành truy vết giả thiết đạt được, môi trường vận hành duy trì giả thiết.

Người đánh giá cũng xác định mỗi mục tiêu an toàn cho môi trường vận hành truy vết giả thiết về môi trường vận hành của TOE là được yêu cầu: khi mục tiêu an toàn đạt được nó thực sự góp phần vào việc duy trì môi trường vận hành giả thiết.

Lưu ý rằng các theo dấu từ các mục tiêu an toàn cho môi trường vận hành đến các giả thiết đã cung cấp trong sở cứ các mục tiêu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính nó. Trong trường hợp đó, mục tiêu an toàn của môi trường vận hành chỉ đơn thuần là trình bày lại một giả thiết, một sự biện minh là được yêu cầu, nhưng biện minh này là tối thiểu "Mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y".

8.7 Định nghĩa các thành phần mở rộng (APE_ECD)

8.7.1 Đánh giá hoạt động con (APE_ECD.1)

8.7.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các thành phần mở rộng có được định nghĩa rõ ràng và mạch lạc không, và chúng có được yêu cầu không, nghĩa là chúng có thể không thể hiện rõ ràng bằng cách sử dụng các thành phần TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện có.

8.7.1.2 Đầu vào


33

TCVN xxx: 2015

a) PP.

8.7.1.3 Hành động APE_ECD.1.1E

TCVN 8709-3: 2011 APE_ECD.1.1C: Tuyên bố các yêu cầu an toàn cần xác định tất cả các yêu cầu an toàn mở rộng.

8.7.1.3.1 Đơn vị công việc APE_ECD.1-1

Người đánh giá cần kiểm tra rằng tất cả các yêu cầu an toàn trong tuyên bố các yêu cầu an toàn là không xác định như yêu cầu mở rộng TCVN 8709 đang tồn tại-2: 2011 [2] hoặc TCVN 8709-3: 2011.

TCVN 8709-3: 2011 APE_ECD.1.2C: Định nghĩa các thành phần mở rộng cần xác định thành phần mở rộng cho từng yêu cầu an toàn mở rộng.


Người đánh giá cần kiểm tra rằng định nghĩa các thành phần mở rộng xác định thành phần mở rộng cho từng yêu cầu an toàn mở rộng.

Nếu PP không chứa các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Thành phần mở rộng đơn nhất có thể được sử dụng để định nghĩa nhiều lần yêu cầu an toàn mở rộng, không được yêu cầu nhắc lại định nghĩa này cho mỗi lần lặp lại.

TCVN 8709-3: 2011 APE_ECD.1.3C: Định nghĩa các thành phần mở rộng cần mô tả cách thức mỗi thành phần mở rộng quan hệ thế nào với các lớp, họ và thành phần TCVN 8709 đang tồn tại.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng nó mô tả mỗi thành phần mở rộng phù hợp thế nào với các lớp, họ, thành phần TCVN 8709 đang tồn tại.

Nếu PP không có các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng mỗi thành phần mở rộng hoặc là:

a) Thành phần của họ TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện tại, hoặc làb) Thành phần của một họ mới được định nghĩa trong PP.

Nếu thành phần mở rộng là thành phần của họ TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện tại, Người đánh giá xác định rằng định nghĩa các thành phần mở rộng mô tả đầy đủ lý do tại sao các thành phần mở rộng nên là một thành phần của họ và làm thế nào nó liên quan với các thành phần khác của họ đó.

Nếu các thành phần mở rộng là một thành phần của một họ mới được định nghĩa trong PP, người đánh giá xác nhận rằng các thành phần mở rộng là không phù hợp với họ hiện tại.

Nếu PP định nghĩa các họ mới, Người đánh giá xác định rằng mỗi họ mới hoặc là:

a) Thành phần của lớp trong TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện tại, hoặc làb) Thành phần của một lớp mới được định nghĩa trong PP.

Nếu họ là thành phần của lớp trong TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện tại, người đánh giá xác định rằng định nghĩa các thành phần mở rộng mô tả đầy đủ tại sao nó nên là một thành phần của lớp đó và làm thế nào nó liên quan đến họ khác trong lớp đó.

34

TCVN xxx: 2015Nếu họ là thành phần của một lớp mới được định nghĩa trong PP, người đánh giá xác nhận rằng họ không thích hợp đối với lớp hiện tại.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của một thành phần mở rộng xác định tất cả các phụ thuộc có thể áp dụng của thành phần đó.


Người đánh giá xác nhận rằng các phụ thuộc không thể áp dụng đã được bỏ qua bởi tác giả PP.

TCVN 8709-3: 2011 APE_ECD.1.4C: Định nghĩa các thành phần mở rộng cần sử dụng các lớp, họ, thành phần TCVN 8709 đang tồn tại và hệ thống phương pháp như là mô hình cho sự trình bày.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi thành phần chức năng mở rộng sử dụng các thành phần TCVN 8709-2: 2011 đang tồn tạin như là mô hình cho sự trình bày.

Nếu PP không có các SFR mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng thành phần chức năng mở rộng là nhất quán với TCVN 8709-2: 2011: Điều 6.1.3, cấu trúc thành phần.

Nếu thành phần chức năng mở rộng sử dụng các hoạt động, Người đánh giá xác định rằng thành phần chức năng mở rộng là là nhất quán với TCVN 8709-1: 2011 Phụ lục 7, Các hoạt động.

Nếu thành phần chức năng mở rộng là phân cấp của thành phần chức năng hiện có, Người đánh giá xác định rằng thành phần chức năng mở rộng là nhất quán với TCVN 8709-2: 2011: Điều 6.2.1, Nhấn mạnh các thay đổi thành phần.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của họ chức năng mới sử dụng các họ chúc năng của TCVN 8709 hiện tại như là mô hình cho sự trình bày.

Nếu PP không định nghĩa các họ chức năng mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả các họ chức năng mới được định nghĩa nhất quán với TCVN 8709-2: 2011: Điều 6.1.2, Cấu trúc họ.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của lớp chức năng mới sử dụng các lớp chức năng TCVN 8709 hiện tại như là mô hình cho sự trình bày.

Nếu PP không định nghĩa các lớp chức năng mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả lớp chức năng mới được định nghĩa nhất quán với TCVN 8709-2: 2011: Điều 6.1.1, Cấu trúc lớp.


35

TCVN xxx: 2015

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của thành phần đảm bảo mở rộng sử dụng các thành phần TCVN 8709-3 hiện tại như là mô hình cho sự trình bày.

Nếu PP không chứa các SAR mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng định nghĩa thành phần đảm bảo mở rộng là nhất quán với TCVN 8709-3: 2011: Điều c 6.1.3, Cấu trúc thành phần đảm bảo.

Nếu thành phần đảm bảo mở rộng sử dụng các hoạt động, Người đánh giá xác định rằng các thành phần đảm bảo mở rộng là nhất quán với TCVN 8709-1: 2011 Phụ lục 7, Các hoạt động.

Nếu thành phần bảo đảm mở rộng là phân cấp của thành phần đảm bảo hiện tại, Người đánh giá xác định rằng thành phần đảm bảo mở rộng là nhất quán với TCVN 8709-3: 2011: Điều 6.1.3, Cấu trúc thành phần đảm bảo.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng, đối với mỗi thành phần đảm bảo mở rộng định nghĩa, hệ thống phương pháp áp dụng đã được cung cấp.

Nếu PP không chứa các SAR mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng, cho mỗi phần tử hành động của người đánh giá của mỗi SAR mở rộng, được cung cấp một hoặc nhiều đơn vị công việc và thực hiện thành công tất cả các đơn vị công việc cho yếu tố hành động được đánh giá sẽ chứng minh rằng các phần tử đã đạt được.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của họ đảm bảo mới sử dụng các họ đảm bảo TCVN 8709 hiện tại như là mô hình cho sự trình bày.

Nếu PP không định nghĩa các họ bảo đảm mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả các họ bảo đảm mới được định nghĩa nhất quán với TCVN 8709-3: 2011: Điều 6.1.2, Cấu trúc họ đảm bảo.


Người đánh cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của một lớp đảm bảo mới sử dụng các lớp đảm bảo TCVN 8709 hiện tại như là mô hình cho sự trình bày.

Nếu PP không định nghĩa các lớp bảo đảm mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả các lớp đảm bảo mới được định nghĩa nhất quán với TCVN 8709-3: 2011: Điều 6.1.1, Cấu trúc lớp đảm bảo.

TCVN 8709-3: 2011 APE_ECD.1.5C: Các thành phần mở rộng cần bao gồm các phần tử mục tiêu và các phần tử đo lường sao cho sự tuân thủ hoặc không tuân thủ theo những phần tử này có thể được chứng minh.


36

TCVN xxx: 2015Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi phần tử trong mỗi thành phần mở rộng là đo được và các yêu cầu đánh giá mục tiêu trạng thái như là tuân thủ hoặc không tuân thủ có thể được chứng minh.


Người đánh giá xác định rằng các phần tử của các thành phần chức năng mở rộng được thể hiện theo cách mà chúng có thể kiểm chứng, và có thể theo dấu thông qua các đại diện TSF thích hợp.

Người đánh giá cũng xác định các phần tử của các thành phần đảm bảo mở rộng tránh tạo ra phán xét đánh giá chủ quan.

Người đánh giá được nhắc nhở rằng khi đo lường và mục tiêu phù hợp với tất cả các tiêu chí đánh giá, phải thừa nhận rằng không tồn tại phương pháp chính thức để chứng minh đặc tính đó. Do đó, các thành phần chức năng và đảm bảo của TCVN 8709 hiện tại sẽ được sử dụng như một mô hình để xác định thế nào là tuân thủ với yêu cầu này.

8.7.1.4 Hành động APE_ECD.1.2E


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi thành phần mở rộng có thể không thể hiện rõ ràng bằng cách sử dụng các thành phần hiện tại.

Nếu PP không có yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá nên có các thành phần từ TCVN 8709-2: 2011 và TCVN 8709-3: 2011, các thành phần mở rộng khác đã được định nghĩa trong PP, sự kết hợp của các thành phần này và các hoạt động có thể trên các thành phần này khi tạo ra quyết định này.

Người đánh giá được nhắc nhở rằng vai trò của đơn vị công việc này là để loại trừ sự trùng lặp không được yêu cầu của các thành phần, có nghĩa là, các thành phần có thể được thể hiện rõ ràng bằng cách sử dụng các thành phần khác. Người đánh giá không nên thực hiện việc tìm kiếm đầy đủ tất cả các kết hợp có thể bao gồm các hoạt động trong nỗ lực để tìm một cách thể hiện các thành phần mở rộng bằng cách sử dụng các thành phần hiện tại.

8.8 Các yêu cầu an toàn (APE_REQ)

8.8.1 Đánh giá hoạt động con (APE_REQ.1)

8.8.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các SFR và SAR có rõ ràng, mạch lạc và được định nghĩa rõ ràng không và liệu chúng có nhất quán nội bộ không.

8.8.1.2 Đầu vào


a) PP.

8.8.1.3 Hành động APE_REQ.1.1E

TCVN 8709-3: 2011 APE_REQ.1.1C: Tuyên bố về các yêu cầu an toàn cần mô tả các SFR và SAR.

8.8.1.3.1 Đơn vị công việc APE_REQ.1-1

Người đánh giá cần kiểm tra rằng tuyên bố các yêu cầu an toàn mô tả các SFR.

37

TCVN xxx: 2015

Người đánh giá xác định rằng mỗi SFR được xác định bởi một trong những cách sau đây:

a) Bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-2: 2011; b) Bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của PP; c) Bằng cách tham chiếu đến một PP mà các yêu cầu PP tuân thủ; d) Bằng cách tham chiếu đến gói các yêu cầu an toàn mà các yêu cầu PP tuân thủ; e) Bằng việc tái sử dụng trong PP.

Không yêu cầu sử dụng cùng một phương tiện nhận dạng cho tất cả các SFR.


Người đánh giá cần kiểm tra rằng tuyên bố các yêu cầu an toàn mô tả các SAR.


a) Bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-3: 2011; b) Bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của PP; c) Bằng cách tham chiếu đến một PP mà các yêu cầu PP tuân thủ; d) Bằng cách tham chiếu đến gói các yêu cầu an toàn mà các yêu cầu PP tuân thủ; e) Bằng việc tái sử dụng trong PP.

Không yêu cầu sử dụng cùng một phương tiện nhận dạng cho tất cả các SAR.

TCVN 8709-3: 2011 APE_REQ.1.2C: Tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR, cần được xác định.


Người đánh giá cần thẩm tra PP để xác định rằng tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR được xác định.

Người đánh giá xác định rằng PP xác định tất cả:

(Các kiểu của) các đối tượng và mục tiêu được sử dụng trong các SFR; (Các kiểu của) thuộc tính an toàn của các đối tượng, người sử dụng, mục tiêu, thông tin, phiên bản

và/hoặc tài nguyên, các giá trị mà thuộc tính này có thể cần và bất kỳ các sở cứ giữa các giá trị này (ví dụ như top_secret là "cao hơn” secret);

(Các kiểu của) các hoạt động được sử dụng trong các SFR, bao gồm cả những ảnh hưởng của các hoạt động này;

(Các kiểu của) các thực thể bên ngoài trong SFR; Các thuật ngữ khác được giới thiệu trong các SFR và/hoặc SAR bằng cách hoàn thành các thao

tác, nếu các thuật ngữ này không rõ ràng ngay, hoặc được sử dụng bên ngoài định nghĩa từ điển của chúng.

Mục tiêu của đơn vị công việc này là để đảm bảo rằng các SFR và SAR dễ phân biệt và không gây hiểu lầm có thể xảy ra do việc giới thiệu các thuật ngữ không rõ ràng. Đơn vị công việc này không nên đưa vào giới hạn, bằng cách buộc người viết PP xác định tất cả các từ đơn nhất. Các khán giả chung của tập hợp các yêu cầu an toàn nên được giả thiết có kiến thức hợp lý về CNTT, an toàn và "Tiêu chí đánh giá về an toàn CNTT".

Tất cả các vấn đề trên có thể được trình bày trong các nhóm, các lớp, các bên, các kiểu hoặc nhóm khác hoặc đặc trung khác để cho dễ hiểu.

38

TCVN xxx: 2015Người đánh giá được nhắc nhở rằng các danh sách và định nghĩa không phải là một phần của tuyên bố về các yêu cầu an toàn, nhưng có thể được đặt (một phần hoặc toàn bộ) tại các mục khác nhau. Điều này có thể áp dụng đặc biệt nếu các thuật ngữ tương tự được sử dụng trong phần còn lại của PP.

TCVN 8709-3: 2011 APE_REQ.1.3C: Tuyên bố về các yêu cầu an toàn cần xác định tất cả các hoạt động trên các yêu cầu an toàn.


Người đánh giá cần kiểm tra tuyên bố các yêu cầu an toàn để xác định tất cả các hoạt động trên các yêu cầu an toàn.

Người đánh giá xác định rằng tất cả các quá trình hoạt động được xác định trong mỗi SFR hoặc SAR nơi quá trình hoạt động được sử dụng. Điều này bao gồm cả các quá trình hoạt động đã hoàn thành và còn dở dang. Nhận dạng có thể thực hiện được bằng cách phân biệt các bản in, hoặc bằng cách xác định tường minh trong các văn bản xung quanh, hoặc bằng bất kỳ phương tiện đặc trưng khác.

TCVN 8709-3: 2011 APE_REQ.1.4C: Tất cả các hoạt động cần phải thực hiện đúng.


Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động nhiệm vụ đã thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể tìm thấy trong TCVN 8709-1: 2011 Phụ lục 7, Các hoạt động.


Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động lặp lại đã được thực hiện đúng.



Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động lựa chọn đã được thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể được tìm thấy trong TCVN 8709-1: 2011 Phụ lục 7, Các hoạt động.


Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động bổ sung chi tiết đã được thực hiện đúng.


TCVN 8709-3: 2011 APE_REQ.1.5C: Mỗi sự phụ thuộc của các yêu cầu an toàn cần hoặc được thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụ thuộc còn chưa được thỏa mãn.


Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng mỗi phụ thuộc của các yêu cầu an toàn cần hoặc được thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụ thuộc còn chưa được thỏa mãn.

39

TCVN xxx: 2015

Sự phụ thuộc được thỏa mãn bao gồm các thành phần có liên quan (hoặc một trong số đó là phân cấp của nó) trong tuyên bố các yêu cầu an toàn. Thành phần được sử dụng để đáp ứng sự phụ thuộc nên, nếu được yêu cầu, được sửa đổi bởi các hoạt động để đảm bảo rằng nó thỏa mãn đúng sự phụ thuộc đó.

Biện minh về việc một sự phụ thuộc không được đáp ứng cần đề cập hoặc:

a) Tại sao sự phụ thuộc là không được yêu cầu hoặc hữu ích, trong trường hợp thông tin không được yêu cầu thêm; hoặc

b) Sự phụ thuộc đã được đề cập bởi môi trường vận hành của TOE, trong trường hợp đó biện minh nên mô tả cách thức các mục tiêu an toàn cho môi trường vận hành đề cập sự phụ thuộc này.

TCVN 8709-3: 2011 APE_REQ.1.6C: Tuyên bố về các yêu cầu an toàn cần có tính nhất quán nội bộ.


Người đánh giá cần thẩm tra tuyên bố các yêu cầu an toàn để xác định rằng nó có tính nhất quán nội bộ.

Người đánh giá xác định rằng các thiết lập liên hợp của tất cả các SFR và SAR có tính nhất quán nội bộ.

Người đánh giá xác định rằng trong tất cả các cơ hội mà tại đó các yêu cầu an toàn khác nhau áp dụng cho cùng một loại bằng chứng của nhà phát triển, các sự kiện, các hoạt động, dữ liệu, kiểm thử được thực hiện... hoặc "tất cả các đối tượng", "tất cả các mục tiêu"…, mà các yêu cầu này không mâu thuẫn.

Một số mâu thuẫn có thể là:

a) SAR mở rộng xác định rằng thiết kế của thuật toán mã hóa cụ thể phải được giữ bí mật, và SAR mở rộng khác xác định việc thẩm tra mã nguồn mở;

b) FAU_GEN.1 Tạo ra thế hệ dữ liệu kiểm toán xác định rằng danh tính đối tượng để đăng nhập, FDP_ACC.1 Tập con kiểm soát truy cập xác định những người có quyền truy cập vào các bản ghi, và FPR_UNO.1 Tính không thể quan sát xác định rằng một số hành động của các đối tượng nên có thể không quan sát được các đối tượng khác. Nếu đối tượng đó không thể quan sát một hoạt động có thể truy cập các bản ghi của các hoạt động này, các SFR này mâu thuẫn;

c) FDP_RIP.1 Bảo vệ thông tin còn dư thừa của tập con xác định cụ thể việc xóa các thông tin không còn được yêu cầu, và FDP_ROL.1 Khôi phục cơ bản xác định rằng một TOE có thể trở lại trạng thái trước đó. Nếu thông tin đó là được yêu cầu cho việc khôi phục trạng thái trước đó đã bị xóa, các yêu cầu này mâu thuẫn;

d) Nhiều bước lặp của FDP_ACC.1 Kiểm soát truy cập của tập con đặc biệt khi số bước lặp bao gồm cùng các đối tượng, mục tiêu, hoặc hoạt động. Nếu một SFR kiểm soát truy cập cho phép đối tượng thực hiện hoạt động trên mục tiêu, trong khi một SFR khác kiểm soát truy cập không cho phép, các yêu cầu này mâu thuẫn.

8.8.2 Đánh giá hoạt động con (APE_REQ.2)

8.8.2.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các SFR và SAR có rõ ràng, mạch lạc và được xác định rõ ràng không, liệu chúng có nhất quán nội bộ không, và liệu các SFR có đáp ứng các mục tiêu an toàn của TOE không.

8.8.2.2 Đầu vào

40

TCVN xxx: 2015Bằng chứng đánh giá cho hoạt động con này là:

a) PP.

8.8.2.3 Hành động APE_REQ.2.1E

TCVN 8709-3: 2011 APE_REQ.2.1C: Tuyên bố các yêu cầu an toàn cần mô tả các SFR và SAR.




a) Bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-2: 2011; b) Bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của PP; c) Bằng cách tham chiếu đến thành phần riêng lẻ trong PP mà các yêu cầu PP tuân thủ; d) Bằng cách tham chiếu đến thành phần riêng lẻ trong gói các yêu cầu an toàn mà các yêu cầu PP

tuân thủ; e) Bằng việc tái sử dụng trong PP.

Không là yêu cầu sử dụng cùng một phương tiện nhận dạng cho tất cả các SFR.


Người đánh giá cần kiểm tra rằng tuyên bố các yêu cầu an toàn mô tả các SAR.


a) Bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-3: 2011; b) Bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của PP; c) Bằng cách tham chiếu đến thành phần riêng lẻ trong PP mà các yêu cầu PP tuân thủ; d) Bằng cách tham chiếu đến thành phần riêng lẻ trong gói các yêu cầu an toàn mà các yêu cầu PP

tuân thủ; e) Bằng việc tái sử dụng trong PP.


TCVN 8709-3: 2011 APE_REQ.2.2C: Tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR cần được định nghĩa.


Người đánh giá cần thẩm tra PP để xác định rằng tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR được định nghĩa.

Người đánh giá xác định rằng PP định nghĩa tất cả:

(Các kiểu của) các đối tượng và mục tiêu được sử dụng trong các SFR; (Các kiểu của) thuộc tính an toàn của các đối tượng, người sử dụng, mục tiêu, thông tin, phiên bản


(Các kiểu của) các hoạt động được sử dụng trong các SFR, bao gồm cả những ảnh hưởng của các hoạt động này;

(Các kiểu của) các thực thể bên ngoài trong SFR;

41

TCVN xxx: 2015

Các thuật ngữ khác được giới thiệu trong các SFR và/hoặc SAR bằng cách hoàn thành các thao tác, nếu các thuật ngữ này không rõ ràng ngay, hoặc được sử dụng bên ngoài định nghĩa từ điển của chúng.

Mục tiêu của đơn vị công việc này là để đảm bảo rằng các SFR và SAR dễ phân biệt và không gây hiểu lầm có thể xảy ra do việc giới thiệu các thuật ngữ không rõ ràng. Đơn vị công việc này không nên đưa vào giới hạn, bằng cách buộc người viết PP xác định tất cả các từ đơn nhất. Các khán giả chung của tập hợp các yêu cầu an toàn nên được giả thiết có kiến thức hợp lý về CNTT, an toàn và "Tiêu chí đánh giá an toàn CNTT".

Tất cả các vấn đề trên có thể được trình bày trong các nhóm, các lớp, các vai trò, kiểu hoặc nhóm khác hoặc đặc trung khác để cho dễ hiểu.

Người đánh giá được nhắc nhở rằng các danh sách và định nghĩa không phải là một phần của tuyên bố về các yêu cầu an toàn, nhưng có thể được đặt (một phần hoặc toàn bộ) tại các mục khác nhau. Điều này có thể áp dụng đặc biệt nếu các thuật ngữ tương tự được sử dụng trong phần còn lại của PP.

TCVN 8709-3: 2011 APE_REQ.2.3C: Tuyên bố về các yêu cầu an toàn cần xác định tất cả các hoạt động trên các yêu cầu an toàn.


Người đánh giá cần kiểm tra tuyên bố các yêu cầu an toàn để xác định tất cả các hoạt động trên các yêu cầu an toàn.

Người đánh giá xác định rằng tất cả các quá trình hoạt động được xác định trong mỗi SFR hoặc SAR nơi quá trình hoạt động được sử dụng. Điều này bao gồm cả các quá trình hoạt động đã hoàn thành và còn dở dang. Nhận dạng có thể thực hiện được bằng cách phân biệt các bản in, hoặc bằng cách xác định tường minh trong các văn bản xung quanh, hoặc bằng bất kỳ phương tiện đặc trưng khác.

TCVN 8709-3: 2011 APE_REQ.2.4C: Tất cả các hoạt động cần phải được thực hiện đúng.


Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động chỉ định đã thực hiện đúng.








42

TCVN xxx: 20158.8.2.3.8 Đơn vị công việc APE_REQ.2-8



TCVN 8709-3: 2011 APE_REQ.2.5C: Mỗi sự phụ thuộc của các yêu cầu an toàn cần hoặc là thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụ thuộc còn chưa được thỏa mãn.


Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng mỗi phụ thuộc của các yêu cầu an toàn cần hoặc là thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụ thuộc còn chưa được thỏa mãn.


Biện minh sự phụ thuộc không được đáp ứng nên đề cập bằng một trong hai cách sau:

a) Tại sao sụ phụ thuộc không được yêu cầu hoặc hữu ích, trong trường hợp thông tin không được yêu cầu thêm; hoặc

b) Sự phụ thuộc đã được đề cập bởi các môi trường vận hành của TOE, trong trường hợp này biện minh nên mô tả các mục tiêu an toàn để môi trường vận hành đề cập sự phụ thuộc này.

TCVN 8709-3: 2011 APE_REQ.2.6C: Sở cứ các yêu cầu an toàn cần theo dấu mỗi SFR theo các mục tiêu an toàn trong TOE.


Người đánh giá cần kiểm tra rằng sở cứ các yêu cầu an toàn theo dấu mỗi SFR quay lại các mục tiêu an toàn trong TOE.

Người đánh giá xác định rằng mỗi SFR được truy vết ít nhất một mục tiêu an toàn trong TOE.

Không theo dấu có nghĩa là hoặc sở cứ các yêu cầu an toàn chưa đầy đủ, các mục tiêu an toàn trong TOE chưa đầy đủ, hoặc SFR không có mục đích hữu ích.

TCVN 8709-3: 2011 APE_REQ.2.7C: Sở cứ các yêu cầu an toàn cần chứng minh rằng SFR đáp ứng tất cả các mục tiêu an toàn cho TOE.


Người đánh giá cần thẩm tra sở cứ các yêu cầu an toàn để xác định rằng mỗi mục tiêu an toàn trong TOE nó biện minh rằng các SFR phù hợp để đáp ứng mục tiêu an toàn cho TOE.

Nếu các SFR không truy vết mục tiêu an toàn trong TOE, hành động của người đánh giá liên quan đến đơn vị công việc này được ấn định là nhận định không đạt.

Người đánh giá xác định rằng biện minh mục tiêu an toàn trong TOE chứng minh rằng các SFR là đầy đủ: nếu tất cả các SFR truy vết mục tiêu được thỏa mãn sẽ đạt được mục tiêu an toàn trong TOE.

Nếu các SFR truy vết mục tiêu an toàn trong TOE có bất kỳ nhiệm vụ chưa hoàn thành, hoặc các lựa chọn chưa hoàn thành hoặc dở dang, Người đánh giá xác định rằng đối với mỗi hoàn thành có thể hiểu được hoặc sự kết hợp để hoàn tất các hoạt động này, các mục tiêu an toàn vẫn được đáp ứng.

43

TCVN xxx: 2015

Người đánh giá cũng xác định rằng mỗi SFR truy vết mục tiêu an toàn trong TOE là được yêu cầu: khi SFR được thỏa mãn, nó thực sự góp phần vào việc đạt được các mục tiêu an toàn.

Lưu ý rằng theo dấu từ các SFR tại các mục tiêu an toàn trong TOE được cung cấp trong sở cứ các yêu cầu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính nó.

TCVN 8709-3: 2011 APE_REQ.2.8C: Sở cứ các yêu cầu an toàn cần giải thích vì sao các SAP đã được chọn.


Người đánh giá cần kiểm tra rằng sở cứ các yêu cầu an toàn giải thích tại sao các SAR được lựa chọn.

Người đánh giá được nhắc nhở rằng mọi lời giải thích là chính xác, miễn là nó chặt chẽ và không phải các SAR cũng không phải giải thích có sự không nhất quán hiển nhiên với phần còn lại của PP không.

Ví dụ sự không nhất quán hiển nhiên giữa các SAR và phần còn lại của PP sẽ là các tác nhân đe dọa rất có năng lực, nhưng AVA_VAN SAR không bảo vệ chống lại các tác nhân đe dọa này.

TCVN 8709-3: 2011 APE_REQ.2.9C: Tuyên bố về các yêu cầu an toàn cần nhất quán nội bộ.


Người đánh giá cần thẩm tra tuyên bố của các yêu cầu bảo mật để xác định nó là nhất quán nội bộ.

Người đánh giá xác định rằng các thiết lập liên hợp của tất cả các SFR và SAR là nhất quán nội bộ.

Người đánh giá xác định rằng trong tất cả các cơ hội mà tại đó các yêu cầu an toàn khác nhau áp dụng cho cùng một loại bằng chứng của nhà phát triển, các sự kiện, các hoạt động, dữ liệu, kiểm thử cần được thực hiện... hoặc "tất cả các đối tượng", "tất cả các mục tiêu"…, mà các yêu cầu này không mâu thuẫn.


a) Một SAR mở rộng xác định rằng thiết kế của thuật toán mã hóa cụ thể phải được giữ bí mật, và SAR mở rộng khác xác định một việc soát xét mã nguồn mở;

b) FAU_GEN.1 Tạo ra thế hệ dữ liệu kiểm toán xác định rằng xác định đối tượng cần được đăng nhập, FDP_ACC.1 Tập con kiểm soát truy cập xác định những người có quyền truy cập vào các bản ghi, và FPR_UNO.1 Tính không thể quan sát xác định rằng một số hành động của các đối tượng nên có thể không quan sát được các đối tượng khác. Nếu đối tượng đó không thể quan sát một hoạt động có thể truy cập các bản ghi của các hoạt động này, các SFR này mâu thuẫn;



44

TCVN xxx: 20159 Lớp ASE: Đánh giá đích an toàn

9.1 Giới thiệu

Điều này mô tả việc đánh giá một ST. Việc đánh giá ST nên được bắt đầu trước khi có bất kỳ hoạt động con đánh giá TOE do ST cung cấp cơ sở và bối cảnh để thực hiện các hoạt động con này. Hệ thống phương pháp đánh giá trong Điều này căn cứ vào các yêu cầu dựa trên ST theo quy định tại TCVN 8709-3: 2011 lớp ASE.

Điều này nên sử dụng kết hợp với các Phụ lục A, B và C trong TCVN 8709-1: 2011, vì các Phụ lục này làm rõ các khái niệm nêu ở đây và cung cấp nhiều ví dụ.

9.2 Các lưu ý áp dụng

9.2.1 Tái sử dụng các kết quả đánh giá của các PP đã được chứng nhận

Trong khi việc đánh giá một ST dựa trên một hoặc nhiều PP đã được chứng nhận, có thể tái sử dụng các PP đã được chứng nhận. Khả năng tái sử dụng các kết quả của PP đã được chứng nhận lớn hơn nếu ST không có thêm các mối đe dọa, các OSP, mục tiêu an toàn và/hoặc các yêu cầu an toàn cho những so với PP. Nếu ST đang được đánh giá chịu nhiều thứ hơn so với PP đã được chứng nhận, tái sử dụng có thể thực sự không có tác dụng.

Người đánh giá được phép tái sử dụng các kết quả đánh giá PP bằng cách thực hiện phân tích chỉ một phần hoặc không nếu những phân tích hoặc các phần của chúng đã được thực hiện như một phần của việc đánh giá PP. Trong khi làm điều này, người đánh giá nên giả định rằng những phân tích trong PP được thực hiện đúng.

Ví dụ khi PP tuân thủ đang được yêu cầu có chứa một tập hợp các yêu cầu an toàn, và chúng được xác định là nhất quán nội bộ trong quá trình đánh giá nó. Nếu PP được đánh giá sử dụng các yêu cầu đúng như vậy, phân tích tính nhất quán không phải lặp lại trong quá trình đánh giá PP. Nếu PP được đánh giá thêm một hoặc nhiều yêu cầu, hoặc thực hiện các hoạt động trên các yêu cầu này, việc phân tích sẽ phải được lặp lại. Tuy nhiên, có thể tiết kiệm việc phân tích tính nhất quán này bằng cách sử dụng thực tế các yêu cầu ban đầu là nhất quán nội bộ. Nếu các yêu cầu ban đầu là nhất quán nội bộ, người đánh giá chỉ cần xác định rằng:

a) Tập hợp tất cả các yêu cầu mới và/hoặc thay đổi là nhất quán nội bộ, và

b) Tập tất cả các yêu cầu mới và/hoặc thay đổi nhất quán với yêu cầu ban đầu.

Người đánh giá lưu ý trong ETR các trường hợp khi việc phân tích không được thực hiện hoặc chỉ được thực hiện một phần vì lý do này.

9.3 Giới thiệu ST (ASE_INT)

9.3.1 Đánh giá hoạt động con (ASE_INT.1)

9.3.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu ST và TOE có được nhận dạng đúng không, liệu TOE có được mô tả đúng trong cách tường thuật ở ba cấp độ trừu tượng (tham chiếu TOE, tổng quan TOE và mô tả TOE) không, và liệu ba mô tả này có nhất quán với nhau không.

9.3.1.2 Đầu vào


a) ST.

9.3.1.3 Hành động ASE_INT.1.1E

45

TCVN xxx: 2015

TCVN 8709-3: 2011 ASE_INT.1.1C: Giới thiệu ST cần chứa tham chiếu ST, tham chiếu TOE, tổng quan TOE và mô tả TOE.

9.3.1.3.1 Đơn vị công việc ASE_INT.1-1

Người đánh giá cần kiểm tra rằng giới thiệu ST có chứa tham chiếu ST, tham chiếu TOE, tổng quan TOE và mô tả TOE.

TCVN 8709-3: 2011 ASE_INT.1.2C: Tham chiếu ST cần xác định duy nhất cho ST.


Người đánh giá cần kiểm tra tham chiếu ST để xác định rằng nó xác định duy nhất cho ST.

Người đánh giá xác định rằng tham chiếu ST xác định chính bản thân ST, đo đó nó có thể dễ dàng phân biệt với các ST khác, và nó cũng xác định duy nhất trong mỗi phiên bản của ST, ví dụ: bằng cách đưa vào số phiên bản và/hoặc ngày công bố.

Trong các đánh giá nơi mà một hệ thống CM được cung cấp, người đánh giá có thể xác nhận tính duy nhất của các tài liệu tham khảo bằng cách kiểm tra danh sách cấu hình. Trong trường hợp khác, ST nên có một số hệ thống tham khảo có khả năng hỗ trợ tham chiếu duy nhất (ví dụ như sử dụng các số, chữ cái hoặc ngày).

TCVN 8709-3: 2011 ASE_INT.1.3C: Tham chiếu TOE cần xác định TOE.


Người đánh giá cần thẩm tra tham chiếu TOE để xác định rằng nó xác định TOE.

Người đánh giá xác định rằng tham chiếu TOE xác định TOE, do đó, TOE rõ ràng tham chiếu đến ST, và nó cũng xác định các phiên bản của TOE, ví dụ: bằng cách đưa vào số phiên bản/phát hành/thiết kế, hoặc ngày phát hành.


Người đánh giá cần thẩm tra tham chiếu TOE để xác định rằng nó không sai lệch.

Nếu TOE có liên quan đến một hoặc nhiều sản phẩm nổi tiếng, nó được cho phép phản ánh điều này trong các tham chiếu TOE. Tuy nhiên, điều này không nên sử dụng để đánh lừa người tiêu dùng: trạng thái này chỉ là một phần nhỏ của một sản phẩm được đánh giá, nhưng tham chiếu TOE không được phép không phản ánh điều này.

TCVN 8709-3: 2011 ASE_INT.1.4C: Tổng quan TOE cần tóm tắt việc sử dụng và các đặc trưng an toàn chính của TOE.


Người đánh giá cần thẩm tra tổng quan TOE để xác định rằng nó mô tả việc sử dụng và các đặc trưng an toàn chính của TOE.

Tổng quan TOE nên ngắn gọn (ví dụ một vài đoạn) mô tả việc sử dụng và các đặc trưng an toàn chính của TOE. Tổng quan TOE nên cho phép người tiêu dùng tiềm năng nhanh chóng xác định liệu TOE có phù hợp cho các nhu cầu an toàn của họ không.

Tổng quan TOE trong ST cho một TOE tổng hợp nên mô tả việc sử dụng và đặc trưng an toàn chính của TOE tổng hợp chứ không phải là các TOE thành phần riêng lẻ.

46

TCVN xxx: 2015Người đánh giá xác định rằng tổng quan đủ rõ ràng cho người tiêu dùng, và đủ để cung cấp cho họ một sự hiểu biết chung về dự định sử dụng và các đặc trưng an toàn chính của TOE.

TCVN 8709-3: 2011 ASE_INT.1.5C: Tổng quan TOE cần xác định kiểu TOE.


Người đánh giá cần kiểm tra tổng quan TOE xác định kiểu TOE.


Người đánh giá cần thẩm tra tổng quan TOE để xác định rằng kiểu TOE không sai lệch.

Có những tình huống mà người tiêu dùng nói chung sẽ kỳ vọng một số chức năng của TOE vì kiểu TOE của nó. Nếu chức năng này không có trong TOE, Người đánh giá xác định rằng tổng quan TOE đã thảo luận thỏa đáng mà không có chức năng này.

Cũng có các TOE mà người tiêu dùng nói chung kỳ vọng rằng TOE có thể nên hoạt động trong môi trường vận hành nhất định vì kiểu TOE của nó. Nếu TOE không thể hoạt động trong môi trường vận hành như vậy, Người đánh giá xác định rằng tổng quan TOE này đã thảo luận đầy đủ.

TCVN 8709-3: 2011 ASE_INT.1.6C: Tổng quan TOE cần xác định bất kỳ phần cứng, phần mềm, phần sụn nào không phải TOE được yêu cầu bởi TOE.


Người đánh giá cần thẩm tra tổng quan TOE để xác định rằng nó xác định bất kỳ phần cứng / phần mềm / phần sụn không phải TOE được yêu cầu bởi TOE.

Trong khi một số TOE có thể chạy độc lập, một số TOE khác (đặc biệt là các TOE phần mềm) cần thêm phần cứng, phần mềm và phần sụn để hoạt động. Nếu TOE không yêu cầu bất kỳ phần cứng, phần mềm và phần sụn nào, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tổng quan TOE xác định bất kỳ phần cứng, phần mềm và phần sụn được yêu cầu cho TOE để hoạt động. Sự xác định này không phải là đầy đủ, nhưng chi tiết này đủ cho người tiêu dùng tiềm năng của TOE xác định liệu phần cứng, phần mềm và phần sụn hiện tại của họ có hỗ trợ sử dụng của TOE không, và nếu không phải là trường hợp này, có cần phải thêm phần cứng, phần mềm và phần sụn không.

TCVN 8709-3: 2011 ASE_INT.1.7C: Mô tả TOE cần mô tả phạm vi vật lý của TOE.


Người đánh giá cần thẩm tra mô tả TOE để xác định rằng nó mô tả phạm vi vật lý của TOE.

Người đánh giá xác định rằng các mô tả TOE liệt kê các phần cứng, phần mềm, phần sụn và hướng dẫn các thành phần cấu thành TOE và mô tả chúng ở một mức độ chi tiết đủ để cung cấp cho người đọc một sự hiểu biết chung về những thành phần này.

Người đánh giá cũng xác định rằng không có khả năng không hiểu liệu bất kỳ phần cứng, phần mềm, phần sụn hoặc hướng dẫn có là một phần của TOE hoặc không không.

TCVN 8709-3: 2011 ASE_INT.1.8C: Mô tả TOE cần mô tả phạm vi logic của TOE.


Người đánh giá cần thẩm tra mô tả TOE để xác định rằng nó mô tả phạm vi logic của TOE.

Người đánh giá xác định rằng các mô tả TOE thảo luận về các tính năng an toàn logic được cung cấp bởi TOE ở mức độ chi tiết đó đủ để cung cấp cho người đọc sự hiểu biết chung về các tính năng này.

47

TCVN xxx: 2015

Người đánh giá cũng xác định rằng không có sự không hiểu liệu bất kỳ tính năng an toàn logic có được cung cấp bởi TOE hay không không.

Một ST cho một TOE tổng hợp có thể giới thiệu ra để mô tả về phạm vi logic của các TOE thành phần đã cung cấp trong các ST của TOE thành phần để cung cấp phần lớn mô tả này cho TOE tổng hợp. Tuy nhiên, người đánh giá xác định rằng ST của TOE tổng hợp thảo luận rõ ràng các tính năng của các thành phần riêng lẻ không nằm trong TOE tổng hợp, và do đó không phải là một tính năng của TOE tổng hợp.

9.3.1.4 Hành động ASE_INT.1.2E


Người đánh giá cần thẩm tra tham chiếu TOE, tổng quan TOE và mô tả TOE để xác định rằng chúng nhất quán với nhau.

9.4 Các yêu cầu tuân thủ (ASE_CCL)

9.4.1 Đánh giá hoạt động con (ASE_CCL.1)

9.4.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định tính hợp lệ của các yêu cầu tuân thủ khác nhau. Mô tả này như thế nào để ST và TOE phù hợp với TCVN 8709 và làm thế nào để ST phù hợp với PP và các gói.

9.4.1.2 Đầu vào


a) ST;

b) (Các) PP mà ST yêu cầu tuân thủ theo;

c) (Các) gói mà ST yêu cầu tuân thủ theo.

9.4.1.3 Hành động ASE_CCL.1.1E

TCVN 8709-3: 2011 ASE_CCL.1.1C: Yêu cầu tuân thủ cần chứa yêu cầu tuân thủ TCVN 8709 để xác định phiên bản của TCVN 8709 mà yêu cầu tuân thủ TOE và ST.

9.4.1.3.1 Đơn vị công việc ASE_CCL.1-1

Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có chứa yêu cầu tuân thủ TCVN 8709 để xác định phiên bản của TCVN 8709 mà yêu cầu tuân thủ TOE và ST.

Người đánh giá xác định rằng yêu cầu tuân thủ TCVN 8709 để xác định phiên bản TCVN 8709 đã được sử dụng để phát triển ST này. Điều này nên bao gồm số phiên bản của TCVN 8709 và sử dụng ngôn ngữ của phiên bản TCVN 8709 trừ khi phiên bản tiếng Anh quốc tế của TCVN 8709 được sử dụng.

Đối với TOE tổng hợp, người đánh giá sẽ xem xét bất kỳ sự khác biệt giữa phiên bản của TCVN 8709 đã yêu cầu đối với TOE thành phần và phiên bản của TCVN 8709 yêu cầu đối với TOE tổng hợp. Nếu các phiên bản khác nhau người đánh giá sẽ đánh giá liệu sự khác biệt giữa các phiên bản có dẫn đến các mâu thuẫn yêu cầu không.

Đối với trường hợp khi các yêu cầu tuân thủ TCVN 8709 cho TOE cơ sở và TOE phụ thuộc là các bản phát hành chính thức khác nhau của TCVN 8709 (ví dụ như một yêu cầu tuân thủ TOE thành phần là TCVN 8709 v2.x và yêu cầu tuân thủ TOE thành phần khác là TCVN 8709 v3.x), yêu cầu tuân

48

TCVN xxx: 2015thủ cho TOE tổng hợp sẽ là phiên bản trước đó của TCVN 8709, TCVN 8709 được phát triển với mục tiêu cung cấp tính tương thích ngược (mặc dù điều này có thể không đạt được ý nghĩa chặt chẽ, nó được hiểu phải đạt được về nguyên tắc).

TCVN 8709-3: 2011 ASE_CCL.1.2C: Yêu cầu tuân thủ TCVN 8709 cần mô tả tuân thủ của ST theo TCVN 8709-2: 2011 như là hoặc tuân thủ TCVN 8709-2: 2011 hoặc mở rộng của TCVN 8709-2: 2011.


Người đánh giá cần kiểm tra xem các trạng thái yêu cầu tuân thủ TCVN 8709 yêu cầu hoặc tuân thủ TCVN 8709-2: 2011 hoặc mở rộng của TCVN 8709-3: 2011 đối với ST.

Đối với một TOE tổng hợp, người đánh giá sẽ xem xét liệu yêu cầu này có nhất quán không chỉ với TCVN 8709-2: 2011, mà còn với những yêu cầu tuân thủ TCVN 8709-2: 2011 của các TOE thành phần không. Nghĩa là: nếu một hoặc nhiều yêu cầu các TOE thành phần là phần mở rộng của TCVN 8709-2: 2011, thì TOE tổng hợp cũng nên yêu cầu phần mở rộng của TCVN 8709-2: 2011.

Yêu cầu tuân thủ TCVN 8709 cho TOE tổng hợp có thể theo phần mở rộng của TCVN 8709-2: 2011, dù các TOE thành phần là tuân thủ Phần 2, trong trường hợp các SFR bổ sung được yêu cầu cho TOE cơ sở (xem hướng dẫn TOE tổng hợp cho ASE_CCL. 1.6C).

TCVN 8709-3: 2011 ASE_CCL.1.3C: Yêu cầu tuân thủ TCVN 8709 cần mô tả sự tuân thủ của ST theo TCVN 8709-3: 2011 như là hoặc tuân thủ TCVN 8709-3: 2011 hoặc mở rộng của TCVN 8709-3: 2011.


Người đánh giá cần kiểm tra xem các trạng thái yêu cầu tuân thủ TCVN 8709 yêu cầu hoặc tuân thủ TCVN 8709-3: 2011 hoặc mở rộng TCVN 8709-3: 2011 đối với ST.

TCVN 8709-3: 2011 ASE_CCL.1.4C: Yêu cầu tuân thủ TCVN 8709 cần nhất quán với định nghĩa các thành phần mở rộng.


Người đánh giá cần thẩm tra yêu cầu tuân thủ TCVN 8709 đối với TCVN 8709-2: 2011 để xác định rằng nó nhất quán với định nghĩa các thành phần mở rộng.


Nếu yêu cầu tuân thủ TCVN 8709 có chứa mở rộng của TCVN 8709-2: 2011, người đánh giá xác định rằng định nghĩa các thành phần mở rộng định nghĩa ít nhất một thành phần chức năng mở rộng.


Người đánh giá cần thẩm tra yêu cầu tuân thủ TCVN 8709 đối với TCVN 8709-2: 2011 [3] để xác định rằng nó nhất quán với định nghĩa các thành phần mở rộng.


Nếu yêu cầu tuân thủ TCVN 8709 có chứa mở rộng của TCVN 8709-3: 2011, người đánh giá xác định rằng định nghĩa các thành phần mở rộng định nghĩa ít nhất một thành phần chức năng mở rộng.

TCVN 8709-3: 2011 ASE_CCL.1.5C: Yêu cầu tuân thủ cần chỉ ra tất cả các PP và các gói đảm bảo an toàn mà ST yêu cầu tuân thủ.


Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có chứa yêu cầu PP để xác định tất cả các PP mà ST yêu cầu tuân thủ.

49

TCVN xxx: 2015

Nếu ST không yêu cầu tuân thủ theo PP, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng bất kỳ PP tham chiếu nào cũng được xác định một cách rõ ràng (ví dụ như theo tiêu đề và số phiên bản, hoặc bằng cách xác định có trong phần giới thiệu của PP đó).

Người đánh giá được nhắc nhở rằng không được phép yêu cầu tuân thủ một phần với PP. Vì vậy, tuân thủ theo PP đòi hỏi một giải pháp tổng hợp có thể được yêu cầu trong ST cho TOE tổng hợp. Tuân thủ theo PP như vậy sẽ không thể thực hiện được trong quá trình đánh giá của các TOE thành phần, như các thành phần này sẽ không thỏa mãn các giải pháp tổng hợp. Điều này chỉ có thể có trong các trường hợp PP "tổng hợp" cho phép sử dụng các phương pháp đánh giá thành phần (sử dụng các thành phần ACO).

ST cho TOE tổng hợp sẽ xác định các ST của các TOE thành phần từ ST tổng hợp đã bao gồm. TOE tổng hợp tuân thủ yêu cầu được yêu cầu theo các ST của các TOE thành phần.


Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có bao gồm yêu cầu gói để xác định tất cả các gói mà ST yêu cầu tuân thủ.

Nếu ST không yêu cầu tuân thủ theo gói, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng bất kỳ gói tham chiếu nào cũng được xác định một cách rõ ràng (ví dụ như theo tiêu đề và số phiên bản, hoặc bằng cách xác định có trong phần giới thiệu của gói đó).

Người đánh giá xác định rằng các ST của TOE thành phần từ các TOE tổng hợp có nguồn gốc rõ ràng cũng được xác định.

Người đánh giá được nhắc nhở rằng không được phép có yêu cầu tuân thủ một phần đối với gói.

TCVN 8709-3: 2011 ASE_CCL.1.6C: Yêu cầu tuân thủ cần mô tả bất kỳ sự tuân thủ nào của ST theo hoặc gói tuân thủ hoặc gói tăng cường.


Người đánh giá cần kiểm tra xem với mỗi gói đã được xác định, trạng thái yêu cầu tuân thủ là yêu cầu của hoặc là tên gói tuân thủ hoặc tên gói tăng cường.

Nếu ST không yêu cầu tuân thủ theo gói, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu yêu cầu tuân thủ gói chứa tên gói tuân thủ, người đánh giá xác định rằng:

a) Nếu gói là một gói đảm bảo, thì ST có chứa tất cả các SAR kèm theo gói, nhưng không thêm các SAR.

b) Nếu gói là một gói chức năng, thì ST chứa tất cả các SFR kèm theo gói, nhưng không thêm các SFR.

Nếu yêu cầu tuân thủ gói chứa tên gói mở rộng, người đánh giá xác định rằng:

a) Nếu gói là một gói đảm bảo, thì ST có chứa tất cả các SAR kèm theo gói và thêm ít nhất một SAR hoặc ít nhất một SAR là phân cấp của một SAR trong gói.

b) Nếu gói là một gói chức năng, thì ST chứa tất cả các SFR kèm theo trong gói, và thêm ít nhất một SFR hoặc ít nhất một SFR là phân cấp của một SFR trong gói.

50

TCVN xxx: 2015TCVN 8709-3: 2011 ASE_CCL.1.7C: Sở cứ yêu cầu tuân thủ cần chứng minh rằng kiểu TOE là nhất quán với kiểu TOE trong PP theo đó sự tuân thủ được yêu cầu.


Người đánh giá cần thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng kiểu TOE của TOE là nhất quán với tất cả các kiểu TOE của PP.


Mối quan hệ giữa các kiểu có thể đơn giản là: yêu cầu tuân thủ ST tường lửa theo PP tường lửa, hoặc phức tạp hơn: một ST thẻ thông minh yêu cầu tuân thủ đối với một số PP cùng một thời điểm (một PP cho các mạch tích hợp, một PP cho hệ điều hành thẻ thông minh, và hai PP cho hai ứng dụng trên thẻ thông minh).

Đối với TOE tổng hợp, người đánh giá sẽ xác định liệu sở cứ yêu cầu tuân thủ có chứng minh rằng các loại TOE của TOE thành phần nhất quán với các kiểuTOE tổng hợp không. Điều này không có nghĩa là cả hai loại TOE thành phần và TOE tổng hợp phải giống nhau, nhưng đúng hơn là các TOE thành phần phù hợp để tích hợp cung cấp TOE tổng hợp. Nó nên thực hiện rõ ràng trong ST của TOE tổng hợp mà các SFR chỉ bao gồm kết quả của thành phần, và không được thẩm tra như các SFR trong đánh giá TOE cơ sở và phụ thuộc (ví dụ EALx).

TCVN 8709-3: 2011 ASE_CCL.1.8C: Sở cứ yêu cầu tuân thủ cần chứng minh rằng tuyên bố của định nghĩa vấn đề an toàn là nhất quán với tuyên bố định nghĩa các vấn đề an toàn trong PP theo đó sự tuân thủ được yêu cầu.


Người đánh giá cần thẩm tra sở cứ cho yêu cầu tuân thủ để xác định rằng nó chứng minh tuyên bố của định nghĩa vấn đề an toàn là nhất quán, như định nghĩa tuyên bố tuân thủ của PP, với các tuyên bố định nghĩa vấn đề an toàn nêu trong PP mà sự tuân thủ được yêu cầu.


Nếu ST không tuyên bố định nghĩa vấn đề an toàn, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu tuân thủ chặt chẽ được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, không được yêu cầu lý do yêu cầu tuân thủ. Thay vào đó, người đánh giá xác định liệu:

a) Các mối đe dọa trong STcó là một tập lớn của hoặc giống với các mối đe dọa trong PP mà sự tuân thủ được yêu cầu không;

b) Các OSP trong ST có là một tập lớn của hoặc giống với các OSP trong PP mà sự tuân thủ được yêu cầu không;

c) Các giả thiết trong ST có giống với các giả thiết trong PP mà sự tuân thủ được yêu cầu không;

Nếu tính tuân thủ diễn giải được được yêu cầu bởi PP, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định nó chứng minh rằng tuyên bố định nghĩa vấn đề an toàn của ST được đánh giá là tương đương hoặc chặt chẽ hơn so với tuyên bố định nghĩa vấn đề an toàn trong PP mà sự tuân thủ được yêu cầu.


Đối với một TOE tổng hợp, người đánh giá sẽ xem xét liệu định nghĩa vấn đề an toàn của TOE tổng hợp có nhất quán với quy định tại các ST trong các TOE thành phần không. Điều này được xác định

51

TCVN xxx: 2015

trong nhóm tính tuân thủ diễn giải được. Đặc biệt, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng:

a) Các tuyên bố mối đe dọa và các OSP trong ST của TOE tổng hợp không mâu thuẫn với những nội dung từ các ST thành phần.

b) Bất kỳ giả thiết nào được thực hiện trong các ST thành phần cũng được duy trì trong ST của TOE tổng hợp. Nghĩa là, hoặc giả thiết cũng nên có mặt trong ST tổng hợp, hoặc giả thiết nên đề cập một cách tích cực trong ST tổng hợp. Giả thiết có thể được đề cập một cách tích cực thông qua các các yêu cầu về đặc điểm kỹ thuật trong TOE tổng hợp để cung cấp chức năng thực hiện liên quan trong các giả thiết.

TCVN 8709-3: 2011 ASE_CCL.1.9C: Sở cứ yêu cầu tuân thủ cần chứng minh rằng các tuyên bố của mục tiêu an toàn là nhất quán với tuyên bố của mục tiêu an toàn trong PP theo đó sự tuân thủ được yêu cầu.


Người đánh giá cần thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng tuyên bố các mục tiêu an toàn là nhất quán, như định nghĩa tuyên bố sự tuân thủ của các PP, với tuyên bố mục tiêu an toàn trong các PP theo đó sự tuân thủ được yêu cầu..


Nếu tuân thủ chặt chẽ được yêu cầu bởi PP, không cần sở cứ yêu cầu tuân thủ. Thay vào đó, người đánh giá xác định liệu:

ST có chứa tất cả mục tiêu an toàn trong TOE của PP mà sự tuân thủ được yêu cầu không. Lưu ý rằng nó được phép để ST được đánh giá có mục tiêu an toàn bổ sung cho TOE;

ST có chứa chính xác tất cả các mục tiêu an toàn đối với môi trường vận hành (với ngoại lệ được trình bày ở ý tiếp theo) không. Lưu ý rằng không được phép để ST được đánh giá có mục tiêu an toàn bổ sung đối với môi trường vận hành;

ST có thể chỉ định các mục tiêu nhất định cho môi trường vận hành trong PP mà tuân thủ đang được yêu cầu có là những mục tiêu an toàn đối với TOE trong ST được đánh giá không. Đây là trường hợp ngoại lệ được trình bày ở ý trước.

Nếu tính tuân thủ diễn giải được được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định nó chứng minh rằng tuyên bố các mục tiêu an toàn của ST là tương đương hoặc chặt chẽ hơn so với tuyên bố các mục tiêu an toàn trong PP mà sự tuân thủ được yêu cầu.


Đối với một TOE tổng hợp, người đánh giá sẽ xem xét liệu các mục tiêu an toàn của TOE tổng hợp có nhất quán với quy định tại các ST trong các TOE thành phần không. Điều này được xác định trong các thuật ngữ của tính tuân thủ diễn giải được. Đặc biệt, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng:

a) Tuyên bố các mục tiêu an toàn trong ST của TOE phụ thuộc liên quan đến bất kỳ CNTT trong môi trường vận hành là nhất quán với tuyên bố các mục tiêu an toàn đối với TOE trong ST của TOE cơ sở. Nó không phải là dự kiến tuyên bố các mục tiêu an toàn cho môi trường trong ST của TOE phụ thuộc sẽ bao gồm tất cả các nội dung của tuyên bố các mục tiêu an toàn đối với TOE trong ST của TOE cơ sở.

52

TCVN xxx: 2015b) Tuyên bố các mục tiêu an toàn trong ST tổng hợp là nhất quán với tuyên bố các mục tiêu an toàn

trong các ST đối với các TOE thành phần.

Nếu tính tuân thủ diễn giải được được yêu cầu của PP, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng nó chứng minh tuyên bố các mục tiêu an toàn của ST ít nhất là tương đương với tuyên bố các mục tiêu an toàn trong PP hoặc ST của TOE thành phần trong trường hợp ST của TOE tổng hợp.

TCVN 8709-3: 2011 ASE_CCL.1.10C: Sở cứ các yêu cầu tuân thủ cần chứng minh rằng tuyên bố của các yêu cầu an toàn là nhất quán với tuyên bố của các yêu cầu an toàn trong PP mà theo đó sự tuân thủ được yêu cầu.


Người đánh giá cần thẩm tra ST để xác định rằng nó là nhất quán, như định nghĩa tuyên bố tuân thủ của PP, với tất cả các yêu cầu an toàn trong các PP mà sự tuân thủ được yêu cầu.


Nếu tuân thủ chặt chẽ được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, không cần sở cứ yêu cầu tuân thủ. Thay vào đó, người đánh giá xác định rằng xem tuyên bố các yêu cầu an toàn trong ST có là một tập lớn của hoặc giống hệt tuyên bố các yêu cầu an toàn trong PP mà sự tuân thủ được yêu cầu không (cho tuân thủ chặt chẽ).

Nếu tính tuân thủ diễn giải được được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định nó chứng minh rằng tuyên bố các yêu cầu an toàn của ST là tương đương hoặc chặt chẽ hơn so với tuyên bố các yêu cầu an toàn trong PP mà sự tuân thủ được yêu cầu.


Đối với một TOE tổng hợp, người đánh giá sẽ xem xét liệu các yêu cầu an toàn của TOE tổng hợp có nhất quán với quy định tại các ST trong các TOE thành phần không. Điều này được xác định trong nhóm của tính tuân thủ diễn giải được. Đặc biệt, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng:

a) Tuyên bố các mục tiêu an toàn trong ST của TOE phụ thuộc liên quan đến bất kỳ CNTT trong môi trường vận hành là nhất quán với tuyên bố các yêu cầu an toàn đối với TOE trong ST của TOE cơ sở. Nó không phải là dự kiến tuyên bố các yêu cầu an toàn cho môi trường trong ST của TOE phụ thuộc sẽ bao gồm tất cả các nội dung của tuyên bố các yêu cầu an toàn trong TOE trong ST TOE cơ sở, như một số SFR có thể phải được bổ sung tuyên bố của các yêu cầu an toàn trong ST của TOE tổng hợp. Tuy nhiên, tuyên bố các yêu cầu an toàn trong cơ sở nên hỗ trợ các hoạt động của thành phần phụ thuộc

b) Tuyên bố các mục tiêu an toàn trong ST của TOE phụ thuộc liên quan đến bất kỳ CNTT trong môi trường vận hành là nhất quán với tuyên bố các yêu cầu an toàn đối với TOE trong ST của TOE cơ sở. Nó không phải là dự kiến tuyên bố các mục tiêu an toàn cho môi trường trong ST của TOE phụ thuộc sẽ bao gồm tất cả các nội dung của tuyên bố các yêu cầu an toàn đối với TOE trong ST của TOE cơ sở.

c) Tuyên bố các yêu cầu an toàn trong ST tổng hợp là nhất quán với tuyên bố các yêu cầu an toàn trong các ST đối với các TOE thành phần.

Nếu tính tuân thủ diễn giải được được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng nó chứng minh tuyên bố các yêu cầu an toàn của

53

TCVN xxx: 2015

ST ít nhất là tương đương với tuyên bố các yêu cầu an toàn trong PP hoặc ST của TOE thành phần trong trường hợp ST của TOE tổng hợp.

9.5 Định nghĩa vấn đề an toàn (ASE_SPD)

9.5.1 Đánh giá hoạt động con (ASE_SPD.1)

9.5.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định rằng vấn đề an toàn dự kiến được đề cập đến bởi TOE và môi trường vận hành của nó được xác định rõ ràng.

9.5.1.2 Đầu vào


a) ST.

9.5.1.3 Hành động ASE_SPD.1.1E

TCVN 8709-3: 2011 ASE_SPD.1.1C: Định nghĩa vấn đề an toàn cần mô tả các mối đe dọa.

9.5.1.3.1 Đơn vị công việc ASE_SPD.1-1

Người đánh giá cần kiểm tra rằng định nghĩa vấn đề an toàn mô tả các mối đe dọa.

Nếu tất cả các mục tiêu an toàn xuất phát từ các giả thiết và/hoặc chỉ các OSP, tuyên bố các mối đe dọa không cần có trong ST. Trong trường hợp này, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng định nghĩa vấn đề an toàn mô tả các mối đe dọa phải được chống lại bởi TOE và/hoặc môi trường vận hành của nó.

TCVN 8709-3: 2011 ASE_SPD.1.2C: Tất cả các mối đe dọa cần được mô tả dưới dạng tác nhân đe dọa, tài sản và hành động có hại.


Người đánh giá cần thẩm tra định nghĩa vấn đề an toàn để xác định rằng tất cả các mối đe dọa được mô tả dưới dạng tác nhân đe dọa, tài sản, và hành động có hại.

Nếu tất cả các mục tiêu an toàn xuất phát từ giả thiết và chỉ các OSP, tuyên bố các mối đe dọa không cần có trong ST. Trong trường hợp này, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Các tác nhân đe dọa có thể được mô tả bằng cách thêm các phương diện như chuyên môn, nguồn lực, cơ hội và động lực.

TCVN 8709-3: 2011 ASE_SPD.1.3C: Định nghĩa vấn đề an toàn cần mô tả các OSP.


Người đánh giá cần kiểm tra rằng định nghĩa vấn đề an toàn mô tả các OSP.

Nếu tất cả các mục tiêu an toàn xuất phát từ giả thiết và/hoặc chỉ các mối đe dọa, các OSP không cần có trong ST. Trong trường hợp này, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng các tuyên bố OSP được thực hiện trong các thuật ngữ quy tắc hoặc hướng dẫn phải theo TOE và/hoặc môi trường vận hành của nó.

54

TCVN xxx: 2015Người đánh giá xác định rằng mỗi OSP được giải thích và/hoặc diễn dịch đầy đủ chi tiết để nó rõ ràng dễ hiểu; trình bày rõ ràng về các tuyên bố chính sách là được yêu cầu để cho phép theo dấu mục tiêu an toàn cho chúng.

TCVN 8709-3: 2011 ASE_SPD.1.4C: Định nghĩa vấn đề an toàn cần mô tả giả thiết về môi trường vận hành của TOE.


Người đánh giá cần thẩm tra định nghĩa vấn đề an toàn để xác định rằng nó mô tả các giả thiết về môi trường vận hành của TOE.

Nếu không có các giả thiết, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng mỗi giả thiết về môi trường vận hành của TOE được giải thích đầy đủ chi tiết, cho phép người sử dùng xác định môi trường vận hành của họ phù hợp với giả thiết. Nếu các giả thiết chưa được hiểu rõ, kết quả cuối cùng có thể TOE được sử dụng trong môi trường vận hành, khi đó nó sẽ không hoạt động theo cách an toàn.

9.6 Mục tiêu an toàn (ASE_OBJ)

9.6.1 Đánh giá hoạt động con (ASE_OBJ.1)

9.6.1.1 Mục tiêu

Mục tiêu của hoạt động con này để xác định liệu mục tiêu an toàn cho môi trường vận hành có được xác định rõ ràng không.

9 6.1.2 Đầu vào


a) ST.

9.6.1.3 Hành động ASE_OBJ.1.1E

TCVN 8709-3: 2011 ASE_OBJ.1.1C: Tuyên bố về các mục tiêu an toàn cần mô tả các mục tiêu an toàn cho môi trường vận hành.

9.6.1.3.1 Đơn vị công việc ASE_OBJ.1-1

Người đánh giá cần kiểm tra rằng tuyên bố của các mục tiêu an toàn định nghĩa các mục tiêu an toàn cho môi trường vận hành.

Người đánh giá kiểm tra rằng các mục tiêu an toàn cho môi trường vận hành được xác định.

9.6.2 Đánh giá hoạt động con (ASE_OBJ.2)

9.6.2.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các mục tiêu an toàn có được thỏa đáng và được đề cập đầy đủ định nghĩa vấn đề an toàn và rằng cách phân chia vấn đề này giữa TOE và môi trường vận hành của nó có được xác định rõ ràng không.

9.6.2.2 đầu vào


a) ST.

9.6.2.3 Hành động ASE_OBJ.2.1E

55

TCVN xxx: 2015

TCVN 8709-3: 2011 ASE_OBJ.2.1C: Tuyên bố về các mục tiêu an toàn cần mô tả các mục tiêu an toàn trong TOE và các mục tiêu an toàn cho môi trường vận hành.


Người đánh giá cần kiểm tra rằng tuyên bố các mục tiêu an toàn định nghĩa các mục tiêu an toàn trong TOE và các mục tiêu an toàn cho môi trường vận hành.

Người đánh giá kiểm tra rằng cả hai phạm trù mục tiêu an toàn đã được xác định rõ ràng và tách ra từ phạm trù khác.

TCVN 8709-3: 2011 ASE_OBJ.2.2C: Sở cứ các mục tiêu an toàn cần theo dấu từng mục tiêu an toàn cho TOE chống lại các mối đe dọa bởi mục tiêu an toàn đó và các OSP được thực thi bởi mục tiêu an toàn.


Người đánh giá cần kiểm tra rằng sở cứ các mục tiêu an toàn theo dấu tất cả các mục tiêu an toàn trong TOE chống lại các mối đe dọa bởi các mục tiêu và/hoặc thực thi các OSP bởi các mục tiêu.

Mỗi mục tiêu an toàn trong TOE có thể truy vết các mối đe dọa hoặc các OSP, hoặc sự kết hợp của các mối đe dọa và OSP, nhưng nó phải truy vết ít nhất một mối đe dọa hoặc một OSP.

Không thực hiện theo dấu có nghĩa là hoặc sở cứ mục tiêu an toàn không đầy đủ, định nghĩa vấn đề an toàn không đầy đủ, hoặc mục tiêu an toàn trong TOE không có mục đích hữu ích.

TCVN 8709-3: 2011 ASE_OBJ.2.3C: Sở cứ các mục tiêu an toàn cần theo dấu từng mục tiêu an toàn cho môi trường vận hành chống lại các mối đe dọa bởi mục tiêu an toàn đó và các OSP được thực thi bởi mục tiêu an toàn và giả thiết duy trì mục tiêu an toàn.


Người đánh giá cần kiểm tra rằng sở cứ các mục tiêu an toàn theo dấu các mục tiêu an toàn cho môi trường vận hành chống lại các mối đe dọa bởi mục tiêu an toàn đó và thực thi OSP bởi mục tiêu an toàn đó và giả thiết duy trì mục tiêu an toàn đó.

Mỗi mục tiêu an toàn cho môi trường vận hành có thể truy vết các mối đe dọa, OSP, giả thiết, hoặc sự kết hợp của các mối đe dọa, các OSP và/hoặc các giả thiết, nhưng nó phải truy vết ít nhất một mối đe dọa, một OSP hoặc một giả thiết.

Không thực hiện theo dấu có nghĩa là hoặc sở cứ mục tiêu an toàn không đầy đủ, định nghĩa vấn đề an toàn là không đầy đủ, hoặc mục tiêu an toàn cho môi trường vận hành không có mục đích hữu ích.

TCVN 8709-3: 2011 ASE_OBJ.2.4C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an toàn chống lại tất cả các mối đe dọa.


Người đánh giá cần thẩm tra sở cứ các mục tiêu an toàn để xác định rằng nó biện minh cho mỗi mối đe dọa của các mục tiêu an toàn là phù hợp để chống lại mối đe dọa đó.

Nếu không có mục tiêu an toàn truy vết mối đe dọa, thì hành động của người đánh giá liên quan đến đơn vị công việc này được ấn định là một nhận định không đạt.

Người đánh giá xác định rằng việc biện minh cho một mối đe dọa cho thấy liệu mối đe dọa có được loại bỏ, giảm bớt hoặc giảm nhẹ hay không.

56

TCVN xxx: 2015Người đánh giá xác định rằng biện minh cho một mối đe dọa chứng minh rằng các mục tiêu an toàn là đầy đủ: nếu tất cả các mục tiêu an toàn truy vết mối đe dọa đã đạt được, thì mối đe dọa đã được loại bỏ, giảm bớt thỏa đáng, hoặc những ảnh hưởng của các mối đe dọa được giảm nhẹ.

Lưu ý rằng việc theo dấu từ các mục tiêu an toàn đến các mối đe dọa được cung cấp trong sở cứ mục tiêu an toàn có thể là một phần của một sự biện minh, nhưng bản thân chúng không được coi là biện minh. Ngay cả trong trường hợp một mục tiêu an toàn chỉ là một tuyên bố phản ánh mục đích để ngăn chặn một mối đe dọa cụ thể đang được thực hiện, thì một sự biện minh lđược yêu cầu, nhưng biện minh này có thể là tối thiểu như " mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y".

Người đánh giá cũng xác định rằng mỗi mục tiêu an toàn truy vết mối đe dọa là yêu cầu: khi mục tiêu an toàn đã đạt được nó thực sự góp phần vào việc loại bỏ, giảm bớt hoặc giảm thiểu mối đe dọa đó.

TCVN 8709-3: 2011 ASE_OBJ.2.5C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an toàn thực thi tất cả OSP.


Người đánh giá cần thẩm tra sở cứ các mục tiêu an toàn để xác định rằng đối với mỗi OSP nó biện minh rằng các mục tiêu an toàn là phù hợp để thực thi OSP đó.

Nếu không có mục tiêu an toàn truy vết OSP, hành động của người đánh giá liên quan đến đơn vị công việc này được ấn định là nhận định không đạt.

Người đánh giá xác định rằng biện minh cho các diễn giải mối đe dọa tại các mục tiêu an toàn là đầy đủ: nếu tất cả các mục tiêu an toàn truy vết mối đe dọa đạt được, OSP được thực thi.

Người đánh giá cũng xác định mỗi mục tiêu an toàn truy vết OSP là được yêu cầu: khi mục tiêu an toàn đạt được nó thực sự góp phần vào việc thực thi của OSP.

Lưu ý rằng các theo dấu từ các mục tiêu an toàn đến các mối đe dọa được cung cấp trong sở cứ mục tiêu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính nó. Ngay cả trong trường hợp đó, mục tiêu an toàn chỉ là một tuyên bố phản ánh mục đích để ngăn chặn một mối đe dọa cụ thể đang được thực hiện, một sự biện minh là được yêu cầu, nhưng biện minh này là tối thiểu " Mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y".

TCVN 8709-3: 2011 ASE_OBJ.2.6C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an cho môi trường vận hành duy trì tất cả các giả thiết.


Người đánh giá cần thẩm tra sở cứ các mục tiêu an toàn để xác định rằng đối với mỗi giả thiết cho môi trường vận hành nó có chứa một sự biện minh hợp lý mà các mục tiêu an toàn cho môi trường vận hành phù hợp để duy trì giả thiết đó.

Nếu không có các mục tiêu an toàn cho môi trường vận hành truy vết giả thiết, hành đông của người đánh giá liên quan đến đơn vị công việc này được ấn định là nhận định không đạt.

Người đánh giá xác định rằng biện minh cho một giả thiết về môi trường vận hành của TOE diễn giải rằng các mục tiêu an toàn là đầy đủ: nếu tất cả các mục tiêu an toàn cho môi trường vận hành truy vết giả thiết đạt được, môi trường vận hành duy trì giả thiết.

Người đánh giá cũng xác định mỗi mục tiêu an toàn cho môi trường vận hành truy vết giả thiết về môi trường vận hành của TOE là được yêu cầu: khi mục tiêu an toàn đạt được nó thực sự góp phần vào việc duy trì môi trường vận hành giả thiết.

57

TCVN xxx: 2015

Lưu ý rằng các theo dấu từ các mục tiêu an toàn cho môi trường vận hành đến các giả thiết đã cung cấp trong sở cứ các mục tiêu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính nó. Trong trường hợp đó, mục tiêu an toàn của môi trường vận hành chỉ đơn thuần là trình bày lại một giả thiết, một sự biện minh là được yêu cầu, nhưng biện minh này là tối thiểu "Mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y".

9.7 Định nghĩa các thành phần mở rộng (ASE_ECD)

9.7.1 Đánh giá hoạt động con (ASE_ECD.1)

9.7.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các thành phần mở rộng có được định nghĩa rõ ràng và mạch lạc không, và nó có được yêu cầu không, nghĩa là nó có thể không thể hiện rõ ràng bằng cách sử dụng các thành phần TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện có.

9.7.1.2 Đầu vào


a) ST.

9.7.1.3 Hành động ASE_ECD.1.1E

TCVN 8709-3: 2011 ASE_ECD.1.1C: Tuyên bố các yêu cầu an toàn cần xác định tất cả các yêu cầu an toàn mở rộng.

9.7.1.3.1 Đơn vị công việc ASE_ECD.1-1

Người đánh giá cần kiểm tra rằng tất cả các yêu cầu an toàn trong tuyên bố các yêu cầu an toàn là không xác định như yêu cầu mở rộng đang tồn tại TCVN 8709 -2: 2011 [2] hoặc TCVN 8709-3: 2011.

TCVN 8709-3: 2011 ASE_ECD.1.2C: Định nghĩa các thành phần mở rộng cần định nghĩa một thành phần mở rộng cho mỗi yêu cầu an toàn mở rộng.


Người đánh giá cần kiểm tra rằng định nghĩa các thành phần mở rộng định nghĩa thành phần mở rộng cho mỗi yêu cầu an toàn mở rộng.

Nếu ST không chứa các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Thành phần mở rộng đơn nhất có thể được sử dụng để định nghĩa nhiều lần yêu cầu an toàn mở rộng, không được yêu cầu nhắc lại định nghĩa này cho mỗi lần lặp lại.

TCVN 8709-3: 2011 ASE_ECD.1.3C: Định nghĩa các thành phần mở rộng cần mô tả mỗi thành phần mở rộng có mối quan hệ như thế nào với các lớp, các họ và các thành phần TCVN 8709 đang tồn tại.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng nó mô tả mỗi thành phần mở rộng phù hợp thế nào với các lớp, họ, thành phần TCVN 8709 đang tồn tại.

Nếu ST không có các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng mỗi thành phần mở rộng hoặc là:

a) Thành phần của họ TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện tại, hoặc là58

TCVN xxx: 2015b) Thành phần của một họ mới được định nghĩa trong ST.

Nếu thành phần mở rộng là thành phần của họ TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện tại, người đánh giá xác định rằng định nghĩa các thành phần mở rộng mô tả đầy đủ lý do tại sao các thành phần mở rộng nên là một thành phần của họ và làm thế nào nó liên quan với các thành phần khác của họ đó.

Nếu các thành phần mở rộng là một thành phần của một họ mới được định nghĩa trong PP, người đánh giá xác nhận rằng các thành phần mở rộng là không phù hợp với họ hiện tại.

Nếu ST định nghĩa các họ mới, Người đánh giá xác định rằng mỗi họ mới hoặc là:

a) Thành phần của lớp trong TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện tại, hoặc làb) Thành phần của một lớp mới được định nghĩa trong ST.

Nếu họ là thành phần của lớp trong TCVN 8709-2: 2011 hoặc TCVN 8709-3: 2011 hiện tại, người đánh giá xác định rằng định nghĩa các thành phần mở rộng mô tả đầy đủ tại sao nó nên là một thành phần của lớp đó và làm thế nào nó liên quan đến họ khác trong lớp đó.

Nếu họ là thành phần của một lớp mới được định nghĩa trong ST, người đánh giá xác nhận rằng họ không thích hợp đối với lớp hiện tại.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của một thành phần mở rộng xác định tất cả các phụ thuộc có thể áp dụng của thành phần đó.


Người đánh giá xác nhận rằng các phụ thuộc không thể áp dụng đã được bỏ qua bởi tác giả ST.

TCVN 8709-3: 2011 ASE_ECD.1.4C: Định nghĩa các thành phần mở rộng cần sử dụng các lớp, họ, thành phần TCVN 8709 đang tồn tại và hệ thống phương pháp như là mô hình cho sự trình bày.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi thành phần chức năng mở rộng sử dụng các thành phần TCVN 8709-2: 2011 đang tồn tại như như là mô hình cho sự trình bày.

Nếu ST không có các SFR mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng thành phần chức năng mở rộng là nhất quán với TCVN 8709-2: 2011: Điều 6.1.3, cấu trúc thành phần.

Nếu thành phần chức năng mở rộng sử dụng các hoạt động, Người đánh giá xác định rằng thành phần chức năng mở rộng là là nhất quán với TCVN 8709-1: 2011 Phụ lục 7, Các hoạt động.

Nếu thành phần chức năng mở rộng là phân cấp của thành phần chức năng hiện có, Người đánh giá xác định rằng thành phần chức năng mở rộng là nhất quán với TCVN 8709-2: 2011: Điều 6.2.1, Nhấn mạnh các thay đổi thành phần.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của họ chức năng mới sử dụng các họ chúc năng của TCVN 8709 hiện tại như là mô hình cho sự trình bày.

59

TCVN xxx: 2015

Nếu ST không định nghĩa các họ chức năng mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả các họ chức năng mới được định nghĩa nhất quán với TCVN 8709-2: 2011: Điều 6.1.2, Cấu trúc họ.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của lớp chức năng mới sử dụng các lớp chức năng TCVN 8709 hiện tại như là mô hình cho sự trình bày.

Nếu ST không fđịnh nghĩa các lớp chức năng mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả lớp chức năng mới được định nghĩa nhất quán với TCVN 8709-2: 2011: Điều 6.1.1, Cấu trúc lớp.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của thành phần đảm bảo mở rộng sử dụng các thành phần TCVN 8709-3 hiện tại như là mô hình cho sự trình bày.

Nếu ST không chứa các SAR mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng định nghĩa thành phần đảm bảo mở rộng là nhất quán với TCVN 8709-3: 2011: Điều c 6.1.3, Cấu trúc thành phần đảm bảo.

Nếu thành phần đảm bảo mở rộng sử dụng các hoạt động, Người đánh giá xác định rằng các thành phần đảm bảo mở rộng là nhất quán với TCVN 8709-1: 2011 Phụ lục 7, Các hoạt động.

Nếu thành phần bảo đảm mở rộng là phân cấp của thành phần đảm bảo hiện tại, người đánh giá xác định rằng thành phần đảm bảo mở rộng là nhất quán với TCVN 8709-3: 2011: Điều 6.1.3, Cấu trúc thành phần đảm bảo.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng, đối với mỗi thành phần đảm bảo mở rộng định nghĩa, hệ thống phương pháp áp dụng đã được cung cấp.

Nếu ST không chứa các SAR mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng, cho mỗi phần tử hành động của người đánh giá của mỗi SAR mở rộng, được cung cấp một hoặc nhiều đơn vị công việc và thực hiện thành công tất cả các đơn vị công việc cho yếu tố hành động được đánh giá sẽ chứng minh rằng các phần tử đã đạt được.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của họ đảm bảo mới sử dụng các họ đảm bảo TCVN 8709 hiện tại như là mô hình cho sự trình bày.

Nếu ST không định nghĩa các họ bảo đảm mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả các họ bảo đảm mới được định nghĩa nhất quán với TCVN 8709-3: 2011: Điều 6.1.2, Cấu trúc họ đảm bảo.

60

TCVN xxx: 20159.7.1.3.11 Đơn vị công việc ASE_ECD.1-11

Người đánh cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của một lớp đảm bảo mới sử dụng các lớp đảm bảo TCVN 8709 hiện tại như là mô hình cho sự trình bày.

Nếu ST không định nghĩa các lớp bảo đảm mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả các lớp đảm bảo mới được định nghĩa nhất quán với TCVN 8709-3: 2011: Điều 6.1.1, Cấu trúc lớp đảm bảo.

TCVN 8709-3: 2011 ASE_ECD.1.5C: Các thành phần mở rộng cần bao gồm các phần tử mục tiêu và các phần tử đo lường được sao cho sự tuân thủ hoặc không tuân thủ theo những phần tử có thể được chứng minh.


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi phần tử trong mỗi thành phần mở rộng là đo được và các yêu cầu đánh giá mục tiêu trạng thái như là tuân thủ hoặc không tuân thủ có thể được chứng minh.

Nếu ST không có các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng các phần tử của các thành phần chức năng mở rộng được thể hiện theo cách mà chúng có thể kiểm chứng, và có thể theo dấu thông qua các đại diện TSF thích hợp.

Người đánh giá cũng xác định các phần tử của các thành phần đảm bảo mở rộng tránh tạo ra phán xét đánh giá chủ quan.

Người đánh giá được nhắc nhở rằng khi đo lường và mục tiêu phù hợp với tất cả các tiêu chí đánh giá, phải thừa nhận rằng không tồn tại phương pháp chính thức để chứng minh đặc tính đó. Do đó, các thành phần chức năng và đảm bảo của TCVN 8709 hiện tại sẽ được sử dụng như một mô hình để xác định thế nào là tuân thủ với yêu cầu này.

9.7.1.4 Hành động ASE_ECD.1.2E


Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi thành phần mở rộng có thể không thể hiện rõ ràng bằng cách sử dụng các thành phần hiện tại.

Nếu ST không có yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá nên có các thành phần từ TCVN 8709-2: 2011 và TCVN 8709-3: 2011, các thành phần mở rộng khác đã được định nghĩa trong PP, sự kết hợp của các thành phần này và các hoạt động có thể trên các thành phần này khi tạo ra quyết định này.

Người đánh giá được nhắc nhở rằng vai trò của đơn vị công việc này là để loại trừ sự trùng lặp không được yêu cầu của các thành phần, có nghĩa là, các thành phần có thể được thể hiện rõ ràng bằng cách sử dụng các thành phần khác. Người đánh giá không nên thực hiện việc tìm kiếm đầy đủ tất cả các kết hợp có thể bao gồm các hoạt động trong nỗ lực để tìm một cách thể hiện các thành phần mở rộng bằng cách sử dụng các thành phần hiện tại.

61

TCVN xxx: 2015

9.8 Các yêu cầu an toàn (ASE_REQ)

9.8.1 Đánh giá hoạt động con (ASE_REQ.1)

9.8.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định xem các SFR và SAR có rõ ràng, mạch lạc và được định nghĩa rõ ràng không và liệu chúng có nhất quán nội bộ không.

9.8.1.2 Đầu vào


a) ST.

9.8.1.3 Hành động ASE_REQ.1.1E

TCVN 8709-3: 2011 ASE_REQ.1.1C: Tuyên bố về các yêu cầu an toàn cần mô tả các SFR và SAR.

9.8.1.3.1 Đơn vị công việc ASE_REQ.1-1

Người đánh giá cần kiểm tra tuyên bố yêu cầu an toàn mô tả các SFR.


a) Bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-2: 2011; b) Bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của ST; c) Bằng cách tham chiếu đến một PP mà các yêu cầu PP tuân thủ; d) Bằng cách tham chiếu đến gói các yêu cầu an toàn mà các yêu cầu PP tuân thủ; e) Bằng việc tái sử dụng trong ST.



Người đánh giá cần kiểm tra tuyên bố các yêu cầu an toàn mô tả các SAR.

Người đánh giá xác định rằng mỗi SAR được xác định bởi một trong những cách sau đây:

a) Bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-3: 2011; b) Bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của ST; c) Bằng cách tham chiếu đến một PP mà các yêu cầu PP tuân thủ; d) Bằng cách tham chiếu đến gói các yêu cầu an toàn mà các yêu cầu PP tuân thủ; e) Bằng việc tái sử dụng trong ST.


TCVN 8709-3: 2011 ASE_REQ.1.2C: Tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR, cần được xác định.


Người đánh giá cần thẩm tra ST để xác định rằng tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR được xác định.

Người đánh giá xác định rằng ST xác định tất cả:

(các kiểu của) các đối tượng và mục tiêu được sử dụng trong các SFR;

62

TCVN xxx: 2015 (các kiểu của) thuộc tính an toàn của các đối tượng, người sử dụng, mục tiêu, thông tin, phiên bản


(các kiểu của) các hoạt động được sử dụng trong các SFR, bao gồm cả những ảnh hưởng của các hoạt động này;

(các kiểu của) các thực thể bên ngoài trong SFR; các thuật ngữ khác được giới thiệu trong các SFR và/hoặc SAR bằng cách hoàn thành các thao


Mục tiêu của đơn vị công việc này là để đảm bảo rằng các SFR và SAR dễ phân biệt và không gây hiểu lầm có thể xảy ra do việc giới thiệu các thuật ngữ không rõ ràng. Đơn vị công việc này không nên đưa vào giới hạn, bằng cách buộc người viết PP xác định tất cả các từ đơn nhất. Các khán giả chung của tập hợp các yêu cầu an toàn nên được giả thiết có kiến thức hợp lý về CNTT, an toàn và "Tiêu chí đánh giá về an toàn CNTT".


Người đánh giá được nhắc nhở rằng các danh sách và định nghĩa không phải là một phần của tuyên bố về các yêu cầu an toàn, nhưng có thể được đặt (một phần hoặc toàn bộ) tại các mục khác nhau. Điều này có thể áp dụng đặc biệt nếu các thuật ngữ tương tự được sử dụng trong phần còn lại của ST.

TCVN 8709-3: 2011 ASE_REQ.1.3C: Tuyên bố về các yêu cầu an toàn cần xác định tất cả các hoạt động trên các yêu cầu an toàn.


Người đánh giá cần kiểm tra tuyên bố các yêu cầu an toàn để xác định rằng tất cả các hoạt động trên các yêu cầu an toàn.

Người đánh giá xác định rằng tất cả các hoạt động được xác định trong mỗi SFR hoặc SAR nơi hoạt động được sử dụng. Nhận dạng có thể thực hiện được bằng cách phân biệt các bản in, hoặc bằng cách xác định tường minh trong các văn bản xung quanh, hoặc bằng bất kỳ phương tiện đặc trưng khác.

TCVN 8709-3: 2011 ASE_REQ.1.4C: Tất cả các hoạt động cần phải thực hiện đúng.


Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động chỉ định đã thực hiện đúng.






63

TCVN xxx: 2015






TCVN 8709-3: 2011 ASE_REQ.1.5C: Mỗi sự phụ thuộc của các yêu cầu an toàn cần hoặc thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụ thuộc còn chưa được thỏa mãn.


Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng mỗi phụ thuộc của các yêu cầu an toàn hoặc thỏa mãn, hoặc sở cứ các yêu cầu an toàn biện minh sự phụ thuộc còn chưa được thỏa mãn.


Biện minh về việc một sự phụ thuộc không được đáp ứng cần đề cập hoặc:

a) Tại sao sụ phụ thuộc là không được yêu cầu hoặc hữu ích, trong trường hợp thông tin không được yêu cầu thêm; hoặc

b) Sự phụ thuộc đã được đề cập bởi môi trường vận hành của TOE, trong trường hợp đó biện minh nên mô tả cách thức các mục tiêu an toàn cho môi trường vận hành đề cập sự phụ thuộc này.

TCVN 8709-3: 2011 ASE_REQ.1.6C: Tuyên bố về các yêu cầu an toàn cần phải có tính nhất quán nội bộ.


Người đánh giá cần thẩm tra tuyên bố của các yêu cầu bảo mật để xác định nó có tính nhất quán nội bộ.


Người đánh giá xác định rằng trong tất cả các cơ hội mà tại đó các yêu cầu an toàn khác nhau áp dụng cho cùng một loại bằng chứng của nhà phát triển, các sự kiện, các hoạt động, dữ liệu, kiểm thử được thực hiện... hoặc "tất cả các đối tượng", "tất cả các mục tiêu"…, mà các yêu cầu không mâu thuẫn.


a) SAR mở rộng xác định rằng thiết kế của thuật toán mã hóa cụ thể phải được giữ bí mật, và SAR mở rộng khác xác định việc thẩm tra mã nguồn mở;

b) FAU_GEN.1 Tạo ra thế hệ dữ liệu kiểm toán xác định rằng danh tính đối tượng để đăng nhập, FDP_ACC.1 Tập con kiểm soát truy cập xác định những người có quyền truy cập vào các bản ghi,

64

TCVN xxx: 2015và FPR_UNO.1 Tính không thể quan sát xác định rằng một số hành động của các đối tượng nên có thể không quan sát được các đối tượng khác. Nếu đối tượng đó không thể quan sát một hoạt động có thể truy cập các bản ghi của các hoạt động này, các SFR này mâu thuẫn;



9.8.2 Đánh giá hoạt động con (ASE_REQ.2)

9.8.2.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các SFR và SAR có rõ ràng, mạch lạc và được xác định rõ ràng không, liệu chúng có nhất quán nội bộ không, và liệu các SFR có đáp ứng các mục tiêu an toàn của TOE không.

9.8.2.2 đầu vào


a) ST.

9.8.2.3 Hành động ASE_REQ.2.1E

TCVN 8709-3: 2011 ASE_REQ.2.1C: Tuyên bố các yêu cầu an toàn cần mô tả các SFR và SAR.




a) Bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-2: 2011; b) Bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của ST; c) Bằng cách tham chiếu đến thành phần riêng lẻ trong PP mà các yêu cầu ST tuân thủ; d) Bằng cách tham chiếu đến thành phần riêng lẻ trong gói các yêu cầu an toàn mà các yêu cầu ST

tuân thủ; e) Bằng việc tái sử dụng trong ST.



Người đánh giá cần kiểm tra tuyên bố các yêu cầu an toàn mô tả các SAR.

Người đánh giá xác định rằng mỗi SAR được xác định bởi một trong những cách sau đây:

a) Bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-3: 2011; b) Bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của ST; c) Bằng cách tham chiếu đến thành phần riêng lẻ trong PP mà các yêu cầu ST tuân thủ; d) Bằng cách tham chiếu đến thành phần riêng lẻ trong gói các yêu cầu an toàn mà các yêu cầu ST

tuân thủ; e) Bằng việc tái sử dụng trong ST.


65

TCVN xxx: 2015

TCVN 8709-3: 2011 ASE_REQ.2.2C: Tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngòai và các thuật ngữ khác được sử dụng trong các SFR và SAR, cần được định nghĩa.


Người đánh giá cần thẩm tra PP để xác định rằng tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR được xác định.

Người đánh giá xác định rằng PP xác định tất cả:

(các kiểu của) các đối tượng và mục tiêu được sử dụng trong các SFR; (các kiểu của) thuộc tính an toàn của các đối tượng, người sử dụng, mục tiêu, thông tin, phiên bản


(các kiểu của) các hoạt động được sử dụng trong các SFR, bao gồm cả những ảnh hưởng của các hoạt động này;

(các kiểu của) các thực thể bên ngoài trong SFR; các thuật ngữ khác được giới thiệu trong các SFR và/hoặc SAR bằng cách hoàn thành các thao


Mục tiêu của đơn vị công việc này là để đảm bảo rằng các SFR và SAR dễ phân biệt và không gây hiểu lầm có thể xảy ra do việc giới thiệu các thuật ngữ không rõ ràng. Đơn vị công việc này không nên đưa vào giới hạn, bằng cách buộc người viết ST xác định tất cả các từ đơn nhất. Các khán giả chung của tập hợp các yêu cầu an toàn nên được giả thiết có kiến thức hợp lý về CNTT, an toàn và "Tiêu chí đánh giá về an toàn CNTT".


Người đánh giá được nhắc nhở rằng các danh sách và định nghĩa không phải là một phần của tuyên bố về các yêu cầu an toàn, nhưng có thể được đặt (một phần hoặc toàn bộ) tại các mục khác nhau. Điều này có thể áp dụng đặc biệt nếu các thuật ngữ tương tự được sử dụng trong phần còn lại của ST.

TCVN 8709-3: 2011 ASE_REQ.2.3C: Tuyên bố về các yêu cầu an toàn cần xác định tất cả các quá trình hoạt động trên các yêu cầu an toàn.


Người đánh giá cần kiểm tra tuyên bố các yêu cầu an toàn để xác định rằng tất cả các hoạt động trên các yêu cầu an toàn.

Người đánh giá xác định rằng tất cả các hoạt động được xác định trong mỗi SFR hoặc SAR nơi hoạt động được sử dụng. Nhận dạng có thể thực hiện được bằng cách phân biệt các bản in, hoặc bằng cách xác định tường minh trong các văn bản xung quanh, hoặc bằng bất kỳ phương tiện đặc trưng khác.

TCVN 8709-3: 2011 ASE_REQ.2.4C: Tất cả các hoạt động cần phải được thực hiện đúng.


66

TCVN xxx: 2015Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động chỉ định đã thực hiện đúng.











TCVN 8709-3: 2011 ASE_REQ.2.5C: Mỗi sự phụ thuộc của các yêu cầu an toàn cần hoặc thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụ thuộc còn chưa được thỏa mãn.


Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng mỗi phụ thuộc của các yêu cầu an toàn hoặc thỏa mãn, hoặc sở cứ các yêu cầu an toàn biện minh sự phụ thuộc vẫn chưa được thỏa mãn.


Biện minh sự phụ thuộc không được đáp ứng nên đề cập bằng một trong hai cách sau:

a) Tại sao sụ phụ thuộc không được yêu cầu hoặc hữu ích, trong trường hợp thông tin không được yêu cầu thêm; hoặc

b) Sự phụ thuộc đã được đề cập bởi các môi trường vận hành của TOE, trong trường hợp này biện minh nên mô tả các mục tiêu an toàn để môi trường vận hành đề cập sự phụ thuộc này.

TCVN 8709-3: 2011 ASE_REQ.2.6C: Sở cứ các yêu cầu an toàn cần theo dấu mỗi SFR theo các mục tiêu an toàn trong TOE.


Người đánh giá cần kiểm tra rằng sở cứ các yêu cầu an toàn theo dấu mỗi SFR quay lại các mục tiêu an toàn trong TOE.

Người đánh giá xác định rằng mỗi SFR được truy vết ít nhất một mục tiêu an toàn trong TOE.

67

TCVN xxx: 2015

Không theo dấu có nghĩa là hoặc sở cứ các yêu cầu an toàn chưa đầy đủ, các mục tiêu an toàn trong TOE chưa đầy đủ, hoặc SFR không có mục đích hữu ích.

TCVN 8709-3: 2011 ASE_REQ.2.7C: Sở cứ các yêu cầu an toàn cần chứng minh rằng SFR đáp ứng tất cả các mục tiêu an toàn trong TOE.


Người đánh giá cần thẩm tra sở cứ các yêu cầu an toàn để xác định rằng mỗi mục tiêu an toàn trong TOE nó biện minh rằng các SFR phù hợp để đáp ứng mục tiêu an toàn trong TOE.

Nếu các SFR không truy vết mục tiêu an toàn trong TOE, hành động của người đánh giá liên quan đến đơn vị công việc này được ấn định là nhận định không đạt.

Người đánh giá xác định rằng biện minh mục tiêu an toàn trong TOE chứng minh rằng các SFR là đầy đủ: nếu tất cả các SFR truy vết mục tiêu được thỏa mãn sẽ đạt được mục tiêu an toàn trong TOE.

Người đánh giá cũng xác định rằng mỗi SFR truy vết mục tiêu an toàn trong TOE là được yêu cầu: khi SFR được thỏa mãn, nó thực sự góp phần vào việc đạt được các mục tiêu an toàn.

Lưu ý rằng theo dấu từ các SFR tại các mục tiêu an toàn trong TOE được cung cấp trong sở cứ các yêu cầu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính nó.

TCVN 8709-3: 2011 ASE_REQ.2.8C: Sở cứ các yêu cầu an toàn cần giải thích vì sao các SAP được chọn.


Người đánh giá cần kiểm tra sở cứ các yêu cầu an toàn để giải thích tại sao các SAR được lựa chọn.

Người đánh giá được nhắc nhở rằng mọi lời giải thích là chính xác, miễn là nó chặt chẽ và không phải các SAR cũng không phải giải thích có sự không nhất quán hiển nhiên với phần còn lại của ST không.

Ví dụ sự không nhất quán hiển nhiên giữa các SAR và phần còn lại của ST sẽ là các tác nhân đe dọa rất có năng lực, nhưng AVA_VAN SAR không bảo vệ chống lại các tác nhân đe dọa này.

TCVN 8709-3: 2011 ASE_REQ.2.9C: Tuyên bố về các yêu cầu an toàn cần nhất quán nội bộ.


Người đánh giá cần thẩm tra tuyên bố của các yêu cầu bảo mật để xác định nó có tính nhất quán nội bộ.


Người đánh giá xác định rằng trong tất cả các cơ hội mà tại đó các yêu cầu an toàn khác nhau áp dụng cho cùng một loại bằng chứng của nhà phát triển, các sự kiện, các hoạt động, dữ liệu, kiểm thử cần được thực hiện... hoặc "tất cả các đối tượng", "tất cả các mục tiêu"…, mà các yêu cầu không mâu thuẫn.


a) Một SAR mở rộng xác định rằng thiết kế của thuật toán mã hóa cụ thể phải được giữ bí mật, và SAR mở rộng khác xác định một việc soát xét mã nguồn mở;

b) FAU_GEN.1 Tạo ra thế hệ dữ liệu kiểm toán xác định rằng xác định đối tượng cần được đăng nhập, FDP_ACC.1 Tập con kiểm soát truy cập xác định những người có quyền truy cập vào các

68

TCVN xxx: 2015bản ghi, và FPR_UNO.1 Tính không thể quan sát xác định rằng một số hành động của các đối tượng nên có thể không quan sát được các đối tượng khác. Nếu đối tượng đó không thể quan sát một hoạt động có thể truy cập các bản ghi của các hoạt động này, các SFR này mâu thuẫn;



9.9 Đặc tả tổng quát TOE (ASE_TSS)

9.9.1 Đánh giá hoạt động con (ASE_TSS.1)

9.9.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu đặc tả tổng quát TOE có đề cập đến tất cả các SFR không, và liệu đặc tả tổng quát TOE có nhất quán với các mô tả tường thuật khác của TOE không.

9.9.1.2 Đầu vào


a) ST.

9.9.1.3 Hành động ASE_TSS.1.1E

TCVN 8709-3: 2011 ASE_TSS.1.1C: Đặc tả tổng quát TOE cần mô tả TOE đáp ứng mỗi SFR như thế nào.

9.9.1.3.1 Đơn vị công việc ASE_TSS.1-1

Người đánh giá cần thẩm tra đặc tả tổng quát TOE để xác định rằng nó mô tả TOE đáp ứng mỗi SFR như thế nào.

Người đánh giá xác định rằng các đặc tả tổng quát TOE cung cấp, đối với mỗi SFR từ tuyên bố các yêu cầu an toàn, sự mô tả cách mà SFR đáp ứng.

Người đánh giá cần nhớ rằng mục tiêu của từng mô tả là cung cấp cho khách hàng tiềm năng của TOE một cái nhìn ở mức cao cách mà các nhà phát triển làm bản sao thỏa mãn mỗi SFR và các mô tả do đó không nên quá chi tiết.

Đối với một TOE tổng hợp, người đánh giá cũng xác định rằng nó là thành phần rõ ràng cung cấp mỗi SFR hoặc cách mà các thành phần kết hợp để đáp ứng mỗi SFR.



Người đánh giá cần thẩm tra đặc tả tổng quát TOE để xác định rằng nó nhất quán với tổng quan TOE và mô tả TOE.

Tổng quan TOE, mô tả TOE, và đặc tả tổng quát TOE mô tả TOE dưới dạng tường thuật là tăng mức độ chi tiết. Do đó, những mô tả này cần phải nhất quán.

9.9.2 Đánh giá hoạt động con (ASE_TSS.2)

9.9.2.1 Mục tiêu

69

TCVN xxx: 2015

Mục tiêu của hoạt động con này là xác định liệu đặc tả tổng quát TOE có đề cập đến tất cả các SFR không, liệu đặc tả tổng quát TOE có đề cập đến sự can thiệp, sự giả mạo mức logic và sự bị bỏ qua không, và liệu đặc tả tổng quát TOE có nhất quán với các mô tả tường thuật khác của TOE không.

9.9.2.2 Đầu vào


a) ST.


TCVN 8709-3: 2011 ASE_TSS.2.1C: Đặc tả tổng quát TOE cần mô tả TOE đáp ứng mỗi SFR như thế nào.


Người đánh giá cần thẩm tra đặc tả tổng quát TOE để xác định rằng nó mô tả TOE đáp ứng mỗi SFR như thế nào.

Người đánh giá xác định rằng các đặc tả tổng quát TOE cung cấp, đối với mỗi SFR từ tuyên bố các yêu cầu an toàn, sự mô tả cách mà SFR đáp ứng.

Người đánh giá cần nhớ rằng mục tiêu của từng mô tả là cung cấp cho khách hàng tiềm năng của TOE một cái nhìn ở mức cao cách mà các nhà phát triển làm bản sao thỏa mãn mỗi SFR và các mô tả do đó không nên quá chi tiết.

Đối với một TOE tổng hợp, người đánh giá cũng xác định rằng nó là thành phần rõ ràng cung cấp mỗi SFR hoặc cách mà các thành phần kết hợp để đáp ứng mỗi SFR.

TCVN 8709-3: 2011 ASE_TSS.2.2C: Đặc tả tổng quát TOE cần mô tả làm thế nào TOE tự bảo vệ chống lại sự can thiệp và sự giả mạo mức logic.


Người đánh giá cân thẩm tra đặc tả tổng quát TOE để xác định rằng nó mô tả làm thế nào TOE tự bảo vệ chống lại sự can thiệp và giả mạo mức logic

Người đánh giá cần nhớ rằng mục tiêu của từng mô tả là cung cấp cho người tiêu dùng tiềm năng của TOE có một cái nhìn ở mức cao cách mà các nhà phát triển định cung cấp sự bảo vệ chống lại sự can thiệp và sự giả mạo mức logic và các mô tả do đó không nên quá chi tiết.

Đối với một TOE tổng hợp, người đánh giá cũng xác định rằng nó là thành phần rõ ràng cung cấp sự bảo vệ hoặc cách mà các thành phần kết hợp để cung cấp sự bảo vệ.

TCVN 8709-3: 2011 ASE_TSS.2.3C: Đặc tả tổng quát TOE cần mô tả làm thế nào TOE tự bảo vệ để chống lại sự bị bỏ qua.


Người đánh giá cần thẩm tra đặc tả tổng quát TOE để xác định rằng nó mô tả cách mà TOE tự bảo vệ chống lại sự bị bỏ qua.

Người đánh giá cần nhớ rằng các mục tiêu của từng mô tả là cung cấp cho người tiêu dùng tiềm năng của TOE với một cái nhìn ở mức cao cách mà các nhà phát triển định cung cấp sự bảo vệ chống lại sự bị bỏ qua và các mô tả do đó không nên quá chi tiết.

70

TCVN xxx: 2015Đối với một TOE tổng hợp, người đánh giá cũng xác định rằng nó là thành phần rõ ràng cung cấp sự bảo vệ hoặc cách mà các thành phần kết hợp để cung cấp sự bảo vệ.



Người đánh giá cần thẩm tra đặc tả tổng quát TOE để xác định rằng nó nhất quán với tổng quan TOE và mô tả TOE.

Tổng quan TOE, mô tả TOE, và đặc tả tổng quát TOE mô tả TOE trong hình thức tường thuật là tăng cường mức độ chi tiết. Do đó, những mô tả này cần phải nhất quán.

10. Lớp ADV: Phát triển10.1 Giới thiệu Mục đích của các hoạt động phát triển là đánh giá tài liệu thiết kế trong phạm vi thích hợp của nó để hiểu làm thế nào TSF đáp ứng các SFR và làm thế nào triển khai các SFR này mà không bị giả mạo hoặc bị bỏ qua. Sự hiểu biết này có thể đạt được thông qua thẩm tra các mô tả ngày càng tinh tế của các tài liệu thiết kế TSF. Tài liệu thiết kế bao gồm đặc tả chức năng (trong đó mô tả các giao diện của TSF), mô tả thiết kế TOE (trong đó mô tả kiến trúc của TSF xét về cách thức hoạt động để thực hiện các chức năng liên quan đến các SFR được yêu cầu), và mô tả triển khai (mô tả mức mã nguồn). Ngoài ra, có một mô tả kiến trúc an toàn (trong đó mô tả các đặc tính kiến trúc của TSF để giải thích cách thực thi an toàn của nó không thể bị can thiệp hoặc bị bỏ qua), mô tả nội bộ (trong đó mô tả như thế nào để TSF được kết cấu một cách dễ hiểu được khuyến khích), và một mô hình chính sách an toàn (trong đó chính thức mô tả các chính sách an toàn được thực thi bởi TSF).

10.2 Các lưu ý áp dụng Các yêu cầu của TCVN 8709 đối với tài liệu thiết kế là bình đẳng về số lượng và chi tiết của thông tin được cung cấp, và mức độ hình thức của việc trình bày các thông tin. Ở cấp độ thấp hơn, phần giới hạn an toàn cao hơn của TSF được mô tả chi tiết hơn, trong khi phần giới hạn an toàn thấp hơn của TSF chỉ được tóm tắt; cộng thêm sự đảm bảo đạt được bằng cách tăng số lượng thông tin phần giới hạn an toàn cao hơn của TSF, và tăng các chi tiết các phần giới hạn an toàn thấp hơn. Sự bảo đảm hơn có thể đạt được khi thông qua các chi tiết và thông tin của tất cả các phần được cung cấp.

TCVN 8709 cho rằng mức độ của một tài liệu về hình thức (có nghĩa là, nó không chính thức hay chưa chính thức) được phân cấp. Tài liệu không chính thức là tài liệu được thể hiện bằng một ngôn ngữ tự nhiên. Hệ thống phương pháp này không bắt buộc phải sử dụng một ngôn ngữ cụ thể; vấn đề này dành cho lược đồ. Các phần tiếp theo phân biệt nội dung của các tài liệu không chính thức khác nhau.

Đặc tả chức năng cung cấp mô tả về mục đích và phương pháp sử dụng giao diện của TSF. Ví dụ, nếu hệ điều hành hiện tại cho người sử dụng với cách thức tự xác định, tạo ra các tập tin, sửa chữa hoặc xóa các tập tin, thiết lập cho phép xác định những gì người dùng khác có thể truy cập đến các tập tin, và giao tiếp với các máy từ xa, đặc tả chức năng của nó sẽ chứa các mô tả của một trong số này và cách chúng được thực hiện thông qua các tương tác với các giao diện có thể nhìn thấy bên ngoài TSF. Nếu cũng có chức năng kiểm toán mà phát hiện và ghi lại các lần xuất hiện của sự kiện như vậy, mô tả chức năng kiểm toán này cũng được dự kiến là một phần của đặc tả chức năng; trong khi chức năng này là kỹ thuật không trực tiếp được gọi đến bởi người dùng ở giao diện bên ngoài, nó chắc chắn bị ảnh hưởng bởi những gì xảy ra tại giao diện bên ngoài của người dùng.

Mô tả thiết kế được thể hiện trong thuật ngữ các phân chia theo logic (hệ thống con hoặc mô đun) mà mỗi cung cấp có thể bao hàm dịch vụ hoặc chức năng. Ví dụ, tường lửa có thể tổng hợp các hệ thống

71

TCVN xxx: 2015

con để đối phó với việc lọc gói, với quản trị từ xa, với kiểm toán, và với bộ lọc kết nối mức. Mô tả thiết kế của tường lửa sẽ mô tả các hành động được thực hiện, trong thuật ngữ các hành động nào mà mỗi hệ thống con thực hiện khi đi đến gói tại tường lửa.

10.3 Kiến trúc an toàn (ADV_ARC)

10.3.1 Đánh giá hoạt động con (ADV_ARC.1)

10.3.1.1 Mục tiêu Mục tiêu của hoạt động con này là xác định liệu TSF có được cấu trúc như nó không bị giả mạo hoặc bị bỏ qua không, và liệu các TSF có cung cấp các miền an toàn cách ly với các miền khác không.

10.3.1.2 Đầu vào Bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) Đặc tả chức năng;

c) Thiết kế TOE;

d) Mô tả kiến trúc an toàn;

e) Biểu diễn triển khai (nếu có);

f) Hướng dẫn người sử dụng vận hành.

10.3.1.3 Các lưu ý áp dụngCác thuộc tính tự bảo vệ, tách miền, và không bỏ qua được phân biệt với chức năng an toàn thể hiện trong Phần 2 SFR vì tự bảo vệ và không bỏ qua phần lớn không có giao diện trực tiếp có thể quan sát tại các TSF. Thay vào đó, chúng là thuộc tính của TSF đạt được thông qua thiết kế của TOE và TSF, và được thực thi bởi việc thực hiện chính xác thiết kế đó. Ngoài ra, việc đánh giá các đặc tính này ít thuận lợi hơn so với đánh giá các cơ chế; nó khó khăn hơn để kiểm tra các các trường hợp không có chức so với sự hiện diện của nó. Tuy nhiên, việc xác định các đặc tính này đang được cho là thỏa mãn là quyết định không kém gì việc xác định các cơ chế được triển khai một cách thích đáng.

Cách tiếp cận tổng thể được sử dụng là do nhà phát triển cung cấp TSF đáp ứng các đặc tính nêu trên, và cung cấp bằng chứng (dưới dạng tài liệu) có thể được phân tích để thấy rằng tài sản thực sự được đáp ứng. Người đánh giá có trách nhiệm thẩm tra các bằng chứng và kết hợp với các chứng cứ khác dành cho TOE, xác định bằng chứng đạt được. Các đơn vị công việc có thể được mô tả như việc đặc phái với những gì thông tin đã cung cấp, và những giao dịch này với các phân tích thực tế mà người đánh giá thực hiện.

Mô tả kiến trúc an toàn là mô tả làm thế nào các miền được xác định và làm thế nào TSF giữ được nét riêng biệt của nó. Nó mô tả những gì ngăn cản quá trình không an toàn đến được TSF và sửa đổi nó. Nó mô tả những gì đảm bảo rằng tất cả các nguồn tài nguyên dưới sự kiểm soát của TSF được bảo vệ đầy đủ và rằng tất cả các hành động liên quan đến các SFR đã được sắp xếp bởi TSF. Nó giải thích bất kỳ vai trò của môi trường vận hành trong mỗi điều này (ví dụ: giả sử nó được gọi đến chính xác bởi môi trường cơ bản của nó, làm thế nào gọi đến chức năng bảo mật của nó?). Trong ngắn hạn, nó giải thích cách mà TOE được coi là cung cấp bất kỳ loại dịch vụ “an toàn” nào.

72

TCVN xxx: 2015Thực hiện của người đánh giá về phân tích phải được thực hiện trong bối cảnh tất cả các bằng chứng phát triển cung cấp cho các TOE ở mức cung cấp chi tiết các bằng chứng. Ở các mức độ đảm bảo thấp hơn không nên kỳ vọng, ví dụ, TSF tự bảo vệ được phân tích hoàn toàn, bởi vì chỉ có đại diện thiết kế cao cấp mới được cung cấp. Người đánh giá cũng cần phải chắc chắn sử dụng thông tin thu được từ các phần khác của phân tích của họ (ví dụ, phân tích thiết kế TOE) trong việc tạo ra đánh giá của họ đối với tài sản được thẩm tra trong các đơn vị công việc sau đây.

10.3.1.4 Hành động ADV_ARC.1.1E TCVN 8709-3: 2011 ADV_ARC.1.1C: Mô tả kiến trúc an toàn cần thực hiện tại mức độ chi tiết bằng với mô tả tóm tắt thực thi SFR trong tài liệu thiết kế TOE.

10.3.1.4.1 Đơn vị công việc ADV_ARC.1-1 Người đánh giá cần thẩm tra mô tả kiến trúc an toàn để xác định rằng các thông tin đã cung cấp trong các bằng chứng được trình bày tại mức độ chi tiết tương xứng với mô tả tóm tắt thực thi SFR có trong các đặc tả chức năng và tài liệu thiết kế TOE.

Liên quan đến đặc tả chức năng, người đánh giá nên đảm bảo rằng các chức năng tự bảo vệ được mô tả bao gồm các tác động được thể hiện rõ ở TSFI. Mô tả như vậy có thể bao gồm việc bảo vệ dựa trên những hình ảnh thực thi của TSF, và bảo vệ dựa trên các đối tượng (ví dụ, các tập tin được sử dụng bởi TSF). Người đánh giá đảm bảo rằng các chức năng có thể được viện dẫn thông qua mô tả các TSFI.

Nếu đánh giá của các hoạt động con (ADV_TDS.1) bao gồm cả đánh giá của các hoạt động con (ADV_TDS.2), người đánh giá đảm bảo mô tả kiến trúc an toàn chứa thông tin làm thế nào các hệ thống con góp phần vào việc tách miền TSF.

Nếu đánh giá của các hoạt động con (ADV_TDS.3) hoặc cao hơn có sẵn, người đánh giá đảm bảo rằng các mô tả kiến trúc an toàn cũng chứa thông tin triển khai phụ thuộc. Ví dụ, mô tả như vậy có thể có những thông tin liên quan đến quy ước mã hóa cho các tham số thẩm tra có thể ngăn ngừa TSF thỏa hiệp (ví dụ như lỗi tràn bộ đệm), và thông tin về quản lý ngăn xếp cho các hoạt động gọi và gọi lại. Người đánh giá kiểm tra các mô tả của các cơ chế để đảm bảo rằng mức chi tiết như vậy có rất ít sự không rõ ràng giữa mô tả trong mô tả kiến trúc an toàn và các biểu diễn triển khai.

Các hành động đánh giá liên quan đến đơn vị công việc này được chỉ định nhận định không đạt nếu mô tả kiến trúc an toàn đề cập đến bất kỳ mô đun, hệ thống con, hoặc giao diện mà không được mô tả trong các đặc tả chức năng hoặc tài liệu thiết kế TOE.

TCVN 8709-3: 2011 ADV_ARC.1.2C: Mô tả kiến trúc an toàn cần mô tả việc bảo trì các miền an toàn bởi sự nhất quán của TSF so với SFR.

10.3.1.4.2 Đơn vị công việc ADV_ARC.1-2 Người đánh giá cần thẩm tra mô tả kiến trúc an toàn để xác định rằng nó mô tả việc bảo trì các miền an toàn bởi các TSF.

Các miền an toàn đề cập đến môi trường được cung cấp bởi các TSF để sử dụng với các thực thể có khả năng gây hại; Ví dụ, một hệ thống điều hành an toàn điển hình cung cấp một tập hợp các tài nguyên (không gian địa chỉ, tham số môi trường tiền tiến trình) để sử dụng các tiến trình với quyền truy cập hạn chế và tài sản an toàn. Người đánh giá xác định rằng mô tả của nhà phát triển trong các miền an toàn có tính đến tài khản bất kỳ của các SFR được yêu cầu bởi TOE.

73

TCVN xxx: 2015

Đối với một số TOE như các miền không tồn tại bởi vì tất cả các tương tác có sẵn cho người dùng bị hạn chế khắt khe bởi TSF. Tường lửa gói bộ lọc là ví dụ của một TOE như vậy. Người sử dụng LAN và WAN không tương tác được với các TOE, do đó không được yêu cầu có miền an toàn; chỉ có cấu trúc dữ liệu được bảo trì bởi TSF để giữ các gói tin của người sử dụng tách biệt nhau. Người đánh giá đảm bảo rằng bất kỳ yêu cầu mà không có các miền được hỗ trợ bởi các bằng chứng và không có các miền như vậy có sẵn trên thực tế.

TCVN 8709-3: 2011 ADV_ARC.1.3C: Mô tả kiến trúc an toàn cần mô tả làm thế nào tiến trình khởi tạo TSF là an toàn.

10.3.1.4.3 Đơn vị công việc ADV_ARC.1-3 Người đánh giá cần thẩm tra mô tả kiến trúc an toàn để xác định rằng tiến trình khởi tạo duy trì an toàn.

Thông tin được cung cấp trong mô tả kiến trúc an toàn liên quan đến khởi tạo TSF được hướng dẫn tại các thành phần TOE có liên quan trong việc đưa TSF về trạng thái an toàn ban đầu (nghĩa là khi tất cả các phần của TSF đang vận hành) khi bật nguồn hoặc thiết lập lại được áp dụng. Thảo luận này trong phần mô tả kiến trúc an toàn nên liệt kê các thành phần khởi tạo hệ thống và việc xử lý khi xuất hiện chuyển trạng thái từ "giảm bớt" về trạng thái an toàn ban đầu.

Thường xảy ra trường hợp các thành phần thực hiện chức năng khởi tạo này không thể truy cập sau khi thực hiện trạng thái an toàn; nếu đây là trường hợp đó, mô tả kiến trúc an toàn xác định các thành phần và giải thích làm thế nào chúng không thể truy cập do các thực thể không đáng tin cậy sau khi TSF đã được thiết lập. Về mặt này, đặc tính cần được lưu giữ là các thành phần này hoặc là 1) không thể truy cập bởi các thực thể không đáng tin cậy sau khi trạng thái an toàn được thực hiện, hoặc là 2) nếu chúng cung cấp các giao diện cho các thực thể không đáng tin cậy, TSFI này có thể không được sử dụng để làm giả TSF.

Các thành phần TOE liên quan đến khởi tạo TSF, khi ấy, chính nó là một phần của TSF, và được phân tích từ quan điểm đó. Cần lưu ý rằng mặc dù chúng được coi là một phần của TSF, nó có khả năng là một sự biện minh (như cho phép của nội bộ TSF (ADV_INT)) có thể được thực hiện khi chúng không đáp ứng các yêu cầu cơ cấu nội bộ của ADV_INT.

TCVN 8709-3: 2011 ADV_ARC.1.4C: Mô tả kiến trúc an toàn cần chứng minh rằng TSF bảo vệ chính nó từ sự giả mạo.

10.3.1.4.4 Đơn vị công việc ADV_ARC.1-4 Người đánh giá cần thẩm tra mô tả kiến trúc an toàn để xác định rằng nó chứa đầy đủ thông tin để hỗ trợ việc xác định rằng TSF có thể tự bảo vệ chính nó từ sự giả mạo của các thực thể hoạt động không tin cậy.

"Tự bảo vệ" đề cập đến khả năng của TSF tự bảo vệ chính nó từ thao tác từ các thực thể bên ngoài mà có thể dẫn đến những thay đổi trong TSF. Đối với các TOE có phụ thuộc vào các thực thể CNTT khác, thường xảy ra trường hợp TOE sử dụng các dịch vụ được cung cấp bởi các thực thể CNTT khác để thực hiện các chức năng của mình. Trong trường hợp này, một mình TSF không tự bảo vệ chính nó vì nó phụ thuộc vào các thực thể CNTT khác để cung cấp một số sự bảo vệ. Theo mục đích của mô tả kiến trúc an toàn, quan niệm về tự bảo vệ chỉ áp dụng cho các dịch vụ được cung cấp bởi các TSF qua TSFI của nó, và không để các dịch vụ được cung cấp bởi các thực thể CNTT cơ bản mà nó sử dụng.

74

TCVN xxx: 2015Tự bảo vệ thường được thực hiện bằng nhiều phương thức khác nhau, từ những hạn chế vật lý và logic về truy cập TOE; các phương thức dựa trên phần cứng (ví dụ như "các vòng thực hiện" và chức năng quản lý bộ nhớ); phương thức dựa trên phần mềm (ví dụ như thẩm tra ranh giới của các đầu vào trên một máy chủ đáng tin cậy). Người đánh giá xác định rằng tất cả các cơ chế như vậy được mô tả.

Người đánh giá xác định rằng các mô tả thiết kế bao gồm làm thế nào đầu vào người sử dụng được xử lý bởi các TSF trong cách mà TSF không chịu bản thân để bị hỏng bởi đầu vào người sử dụng. Ví dụ, TSF có thể triển khai các khái niệm đặc quyền và tự bảo vệ chính nó bằng cách sử dụng thủ tục chế độ đặc quyền để xử lý người sử dụng. TSF có thể sử dụng các cơ chế phân chia dựa trên bộ vi xử lý như các mức hoặc các vòng đặc quyền. TSF có thể thực thi các kết cấu bảo vệ phần mềm hoặc các quy ước mã hóa góp phần thực hiện phân chia các miền phần mềm bằng cách phân định không gian địa chỉ người sử dụng từ không gian địa chỉ hệ thống. Và TSF có thể phụ thuộc môi trường của nó để cung cấp một số hỗ trợ cho việc bảo vệ của TSF.

Tất cả các cơ chế góp phần vào các chức năng phân chia miền đã được mô tả. Người đánh giá cần sử dụng kiến thức thu được từ các chứng cứ khác (đặc tả chức năng, thiết kế TOE, mô tả bên trong TSF, các bộ phận khác của mô tả kiến trúc an toàn, hoặc biểu diễn triển khai, như có trong gói đảm bảo cho TOE) trong việc xác định nếu có chức năng đóng góp vào tự bảo vệ được mô tả mà không hiện diện trong mô tả kiến trúc an toàn.

Độ chính xác của các mô tả trong cơ chế tự bảo vệ là đặc tính mà đặc tả chung mô tả những gì đã triển khai. Người đánh giá nên sử dụng các bằng chứng khác (đặc tả chức năng, thiết kế TOE, tài liệu nội bộ của TSF, các thành phần khác của mô tả kiến trúc an toàn, biểu diễn triển khai, như có trong ST của TOE) trong việc xác định liệu có sự khác biệt trong bất kỳ mô tả của các cơ chế tự bảo vệ không. Nếu biểu diễn triển khai (ADV_IMP) được chứa trong gói đảm bảo của TOE, người đánh giá sẽ chọn một mẫu biểu diễn triển khai; người đánh giá cũng nên đảm bảo rằng mô tả là chính xác đối với các mẫu lựa chọn. Nếu người đánh giá không thể hiểu làm thế nào các cơ chế tự bảo vệ làm việc hoặc có thể làm việc trong kiến trúc hệ thống, trong trường hợp này mô tả là không chính xác.

TCVN 8709-3: 2011 ADV_ARC.1.5C: Mô tả kiến trúc an toàn cần chứng minh rằng TSF chống lại việc vượt qua của chức năng thực thi SFR.

10.3.1.4.5 Đơn vị công việc ADV_ARC.1-5 Người đánh giá cần thẩm tra mô tả kiến trúc an toàn để xác định rằng nó trình bày phân tích mô tả đầy đủ làm thế nào các cơ chế “thực thi SFR” không thể vượt qua.

Không bỏ qua là một đặc tính chức năng an toàn của TSF (theo quy định của SFR) luôn luôn gọi đến. Ví dụ, nếu kiểm soát truy cập vào các tập tin được quy định như khả năng của TSF qua SFR, ở đây không có giao diện thông qua các tập tin có thể được truy cập mà không gọi đến cơ chế kiểm soát truy cập của các TSF (chẳng hạn như giao diện thông qua đó truy cập đĩa chưa xử lý tiếp tục diễn ra).

Mô tả làm thế nào các cơ chế TSF không thể vượt qua thường yêu cầu lập luận có hệ thống dựa trên TSF và các TSFI. Các mô tả làm thế nào TSF làm việc (có trong các bằng chứng phân tích thiết kế, chẳng hạn như đặc tả chức năng, tài liệu thiết kế TOE) - cùng với các thông tin trong TSS - cung cấp nền tảng được yêu cầu cho việc đánh giá để hiểu những gì các nguồn lực đang được bảo vệ và những gì chức năng an toàn đang được cung cấp. Đặc tả chức năng cung cấp mô tả của các TSFIs thông qua đó các nguồn lực/chức năng được truy cập.

Người đánh giá đánh giá mô tả đã cung cấp (và các thông tin khác được cung cấp bởi nhà phát triển, chẳng hạn như đặc tả chức năng) để đảm bảo rằng không có giao diện có sẵn có thể được sử dụng

75

TCVN xxx: 2015

để vượt qua các TSF. Điều này có nghĩa là tất cả các giao diện có sẵn phải không liên quan đến các SFR được yêu cầu trong ST (và không tác động tới bất cứ điều gì được sử dụng để đáp ứng các SFR) hoặc nếu không sử dụng các chức năng an toàn được mô tả trong bằng chứng phát triển khác theo cách mô tả . Ví dụ, một trò chơi có thể sẽ không liên quan đến các SFR, vì vậy phải có lời giải thích làm thế nào nó không ảnh hưởng đến an toàn. Tuy nhiên, truy cập vào dữ liệu người dùng có thể có liên quan đến các SFR kiểm soát truy cập, vì vậy việc giải thích sẽ mô tả làm thế nào các chức năng an toàn làm việc khi được gọi đến thông qua các giao diện dữ liệu truy cập. Mô tả như vậy là được yêu cầu cho tất cả các giao diện có sẵn.

Ví dụ về mô tả sau. Giả sử TSF cung cấp bảo vệ tập tin. Hơn nữa giả sử rằng mặc dù hệ thống "truyền thống" gọi các TSFI để mở, đọc, viết gọi đến các cơ chế bảo vệ tập tin được mô tả trong thiết kế TOE, tồn tại ở đó TSFI cho phép truy cập đến chức năng công việc theo khối (tạo ra công việc theo khối, xoá công việc, thay đổi công việc chưa qua xử lý). Người đánh giá có thể nên xác định từ mô tả của nhà cung cấp với điều kiện là TSFI này gọi đến các cơ chế bảo vệ tương tự như thực hiện các giao diện "truyền thống". Điều này có thể được thực hiện, ví dụ, bằng cách tham khảo các mục phù hợp của thiết kế TOE thảo luận làm thế nào chức năng công việc theo khối của TSFI đạt được các mục tiêu an toàn của nó.

Sử dụng cùng một ví dụ này, giả sử có một TSFI với mục đích duy nhất là để hiển thị thời gian trong ngày. Người đánh giá nên xác định rằng sự mô tả đầy đủ lập luận rằng TSFI này không có khả năng thao tác với bất kỳ tài nguyên được bảo vệ và không được gọi đến bất kỳ chức năng an toàn nào.

Một ví dụ khác về vượt qua là khi TSF được cho là phải bảo trì tính bảo mật của một khóa mật mã (cho phép sử dụng nó cho các hoạt động mật mã, nhưng không cho phép đọc/ghi nó). Nếu người tấn công có thể truy cập vật lý trực tiếp vào thiết bị, họ có thể thẩm tra các kênh phụ như việc sử dụng nguồn của thiết bị, thời gian chính xác của thiết bị, hoặc thậm chí bất kỳ phát xạ điện từ của các thiết bị và từ đó suy ra chìa khóa.

Nếu như các kênh phụ có thể xuất hiện, minh chứng nên giải quyết các cơ chế ngăn chặn các kênh phụ xuất hiện, chẳng hạn như đồng hồ nội bộ ngẫu nhiên, công nghệ dual-line… Việc xác nhận các cơ chế này sẽ được xác nhận qua sự kết hợp hoàn toàn vào lập luận dựa trên thiết kế và kiểm thử.

Đối với ví dụ cuối cùng sử dụng chức năng an toàn chứ không phải là nguồn tài nguyên được bảo vệ, hãy thẩm tra một ST có chứa FCO_NRO.2 Buộc tuân theo bằng chứng về nguồn gốc, yêu cầu TSF cung cấp bằng chứng về nguồn gốc với nhiều loại thông tin quy định tại ST. Giả sử rằng "các loại thông tin" bao gồm tất cả các thông tin được gửi bởi TOE qua thư điện tử. Trong trường hợp này người đánh giá nên thẩm tra các mô tả để đảm bảo rằng tất cả TSFI có thể được gọi đến để gửi qua thư điện tử thực hiện chức năng "bằng chứng về hệ nguồn gốc " là chi tiết. Mô tả có thể chỉ để hướng dẫn người sử dụng đến tất cả các địa điểm nơi mà thư điện tử có thể bắt nguồn (ví dụ, chương trình thư điện tử, thông báo từ các kịch bản/các công việc theo khối) và sau đó làm thế nào mỗi địa điểm này gọi đến chức năng hệ bằng chứng.

Người đánh giá cũng nên đảm bảo rằng các mô tả là toàn diện, trong đó mỗi giao diện được phân tích đối với toàn bộ các SFR yêu cầu. Điều này có thể yêu cầu người đánh giá thẩm tra thông tin hỗ trợ (đặc tả chức năng, thiết kế TOE, các thành phần khác của mô tả kiến trúc an toàn, Hướng dẫn người sử dụng vận hành, và có lẽ ngay cả các biểu diễn triển khai theo quy định TOE) để xác định sự mô tả chính xác nắm bắt tất cả các phương diện của giao diện. Người đánh giá nên thẩm tra những gì các

76

TCVN xxx: 2015SFR tại mỗi TSFI có thể ảnh hưởng (từ mô tả của TSFI và triển khai nó trong các tài liệu hỗ trợ), và sau đó thẩm tra các mô tả để xác định xem nó bao trùm những phương diện gì.

10.4 Đặc tả chức năng (ADV_FSP)

10.4.1 Đánh giá hoạt động con (ADV_FSP.1)

10.4.1.1 Mục tiêu Mục tiêu của hoạt động con này là xác định liệu các nhà phát triển có cung cấp mô tả mức cao của ít nhất là các TSFI của thực thi SFR và hỗ trợ SFR trong mô tả các thuật ngữ các thông số của chúng không. Không có yêu cầu khác về bằng chứng có thể được dự kiến có thể có sẵn để đo độ chính xác của những mô tả này; người đánh giá chỉ đơn thuần là đảm bảo các mô tả hợp lý.


a) ST;

b) Các đặc tả chức năng;

c) Hướng dẫn người sử dụng vận hành.

10.4.1.3 hành động ADV_FSP.1.1E TCVN 8709-3: 2011 ADV_FSP.1.1C: Đặc tả chức năng cần mô tả mục tiêu và phương pháp sử dụng cho mỗi TSFI của thực thi SFR và hỗ trợ SFR.

10.4.1.3.1 Đơn vị công việc ADV_FSP.1-1 Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng trạng thái mục tiêu trong mỗi TSFI của hỗ trợ SFR và thực thi SFR.

Mục tiêu của TSFI là tuyên bố khái quát tóm tắt chức năng được cung cấp bởi giao diện. Nó không có ý định tuyên bố tính hoàn thiện của các hành động và kết quả liên quan đến giao diện, mà đúng hơn là một tuyên bố giúp cho người đọc hiểu được khái quát những gì giao diện có ý định sử dụng. Người đánh giá không nên chỉ xác định mục đích tồn tại, mà còn là phản ánh chính xác TSFI bằng cách đưa vào tài khoản các thông tin khác về giao diện, như mô tả của các thông số; điều này có thể được thực hiện kết hợp với các đơn vị công việc khác của thành phần này.

Nếu một hành động có sẵn thông qua giao diện đóng một vai trò trong việc thực thi các chính sách an toàn trên TOE (có nghĩa là, nếu một trong các hành động của giao diện có thể được truy nguồn từ một trong những SFR áp dụng cho TSF), sau đó giao diện thực thi SFR. Các chính sách này không giới hạn các chính sách kiểm soát truy cập, nhưng cũng đề cập đến chức năng bất kỳ xác định bởi một trong những SFR có trong ST. Lưu ý rằng nó có thể xảy ra vì giao diện có thể có những hành động và các kết quả khác nhau, một số trong đó có thể thực thi SFR và một số có thể không.

Các giao diện (hoặc hành động có sẵn thông qua một giao diện liên quan) hành động cái mà chức năng thực thi SFR phụ thuộc vào, nhưng chỉ chức năng chính xác để cho các chính sách an toàn của TOE được lưu giữ, được gọi là hỗ trợ SFR. Các giao diện hành động mà chức năng thực thi SFR không phụ thuộc được gọi là không can thiệp SFR.

Cần lưu ý rằng để cho một giao diện hỗ trợ SFR hoặc không can thiệp SFR nó phải không có các hành động hay các kết quả thực thi SFR. Ngược lại, một giao diện thực thi SFR có thể có những hành động hỗ trợ SFR (ví dụ, khả năng thiết lập đồng hồ hệ thống có thể là một hành động thực thi SFR của

77

TCVN xxx: 2015

giao diện, nhưng nếu cùng một giao diện được sử dụng để hiển thị ngày hệ thống thì hành động chỉ có thể được hỗ trợ SFR). Một ví dụ về một giao diện hỗ trợ SFR hoàn toàn là giao diện gọi hệ thống được sử dụng bởi cả người sử dụng không đáng tin cậy và một phần của TSF đang chạy trong chế độ người dùng.

Ở cấp độ này, không chắc rằng nhà phát triển sẽ nỗ lực đã mở rộng nhãn giao diện như thực thi SFR và hỗ trợ SFR. Trong trường hợp này khi đã được thực hiện, người đánh giá cần xác minh đến mức mà tài liệu hỗ trợ (ví dụ, hướng dẫn người sử dụng vận hành) cho phép xác định điều này là đúng. Lưu ý rằng hoạt động xác định này là được yêu cầu cho một số đơn vị công việc cho thành phần này.

Trong trường hợp nhiều khả năng nhà phát triển đã không dán nhãn các giao diện, người đánh giá phải thực hiện xác định riêng của họ về giao diện đầu tiên, và sau đó xác định liệu các thông tin được yêu cầu (đối với đơn vị công việc này, mục đích) có tồn tại. Một lần nữa, vì thiếu các bằng chứng hỗ trợ về nhận dạng này sẽ rất khó khăn và đảm bảo thấp dù tất cả các giao diện phù hợp đã được xác định một cách chính xác, nhưng dù sao người đánh giá đã thẩm tra các bằng chứng khác đối với TOE để đảm bảo vùng hoạt động hoàn thành tốt.

10.4.1.3.2 Đơn vị công việc ADV_FSP.1-2Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng phương pháp sử dụng cho mỗi TSFI của hỗ trợ SFR và thực thi SFR đã định sẵn.

Xem đơn vị công việc ADV_FSP.1-1 với lập luận để xác định TSFI của hỗ trợ SFR và thực thi SFR.

Phương pháp sử dụng cho TSFI tóm tắt làm thế nào giao diện được thao tác để gọi đến các hành động và đạt được các kết quả liên quan đến TSFI. Người đánh giá nên xác định, từ việc đọc vật liệu này trong đặc tả chức năng, làm sao để sử dụng mỗi giao diện. Điều này không có nghĩa là cần phải có một phương pháp riêng biệt sử dụng cho mỗi TSFI, vì nó có thể mô tả khái quát làm thế nào các cuộc gọi cốt lõi được gọi đến, ví dụ, và khi đó mỗi giao diện xác định sử dụng phong cách chung. Các kiểu giao diện khác nhau sẽ đòi hỏi phương pháp khác nhau của các thông số kỹ thuật sử dụng. Các API, giao diện giao thức mạng, các thông số cấu hình hệ thống, giao diện bus phần cứng, tất cả đều có các phương pháp rất khác nhau để sử dụng, và điều này nên được đưa vào tài khoản của các nhà phát triển khi phát triển các đặc tả chức năng, cũng như thẩm định đánh giá các đặc tả chức năng.

Đối với giao diện hành chính có chức năng là tài liệu không thể tiếp cận với người sử dụng không đáng tin cậy, Người đánh giá đảm bảo rằng phương pháp làm các chức năng không thể tiếp cận được mô tả trong đặc tả chức năng. Cần lưu ý rằng không thể tiếp cận này cần phải được kiểm thử bởi các nhà phát triển trong bộ phần mềm kiểm thử của họ.

TCVN 8709-3: 2011 ADV_FSP.1.2C: Đặc tả chức năng cần xác định tất cả các tham số liên quan với mỗi TSFI của thực thi SFR và hỗ trợ SFR.

10.4.1.3.3 Đơn vị công việc ADV_FSP.1-3 Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó nhận dạng tất cả các thông số liên quan đến mỗi TSFI của thực thi SFR và hỗ trợ SFR.

Xem đơn vị công việc ADV_FSP.1-1 với lập luận về việc xác định TSFI của hỗ trợ SFR và thực thi SFR.

78

TCVN xxx: 2015Người đánh giá thẩm tra đặc tả chức năng để đảm bảo rằng tất cả các tham số được mô tả cho TSFI đã xác định. Các tham số đầu vào và đầu ra rõ ràng trong một giao diện để kiểm soát hoạt động của giao diện đó. Ví dụ, các thông số là các đối số cung cấp cho API; các lĩnh vực khác nhau trong gói tin cho một giao thức mạng nhất định; các giá trị riêng quan trọng trong Windows Registry; các tín hiệu là một tập hợp của các chân trên một con chip…

Trong khi khó để có được nhiều đảm bảo rằng tất cả các thông số cho TSFI áp dụng đã được xác định, người đánh giá cũng nên thẩm tra bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, hướng dẫn người sử dụng vận hành) để xem có hành vi hoặc các tham số bổ sung được mô tả ở đó nhưng không có trong đặc tả chức năng.

TCVN 8709-3: 2011 ADV_FSP.1.3C: Đặc tả chức năng cần cung cấp sở cứ cho việc phân nhóm rõ ràng của các giao diện như không can thiệp SFR.

10.4.1.3.4 Đơn vị công việc ADV_FSP.1-4 Người đánh giá cần kiểm tra sở cứ do các nhà phát triển cung cấp cho việc phân loại ngầm định của giao diện như không can thiệp SFR để xác định rằng nó là chính xác.

Trong trường hợp nơi mà các nhà phát triển cung cấp tài liệu hướng dẫn đầy đủ để thực hiện các phân tích gọi bởi phần còn lại của các đơn vị công việc cho các thành phần này mà không cần xác định một cách rõ ràng giao diện thực thi SFR và hỗ trợ SFR, đơn vị công việc này nên được coi là thỏa mãn.

Đơn vị công tác này được dùng để áp dụng cho trường hợp nơi mà các nhà phát triển không mô tả phần của TSFI, yêu cầu rằng nó là không can thiệp SFR và do đó không có các yêu cầu khác của thành phần này. Trong trường hợp này, các nhà phát triển cung cấp sở cứ cho đặc tính này đầy đủ chi tiết sao cho người đánh giá hiểu được sở cứ, các đặc điểm của giao diện bị ảnh hưởng (ví dụ, chức năng mức cao của họ đối với các TOE, chẳng hạn như "sử dụng bảng màu"), và yêu cầu đây là những không can thiệp SFR được hỗ trợ. Căn cứ vào mức độ đảm bảo, người đánh giá không nên kỳ vọng được cung cấp chi tiết hơn cho các giao diện thực thi SFR hoặc hỗ trợ SFR, và trong thực tế, chi tiết nên ít hơn. Trong hầu hết các trường hợp, giao diện riêng không nên đề cập trong Điều sở cứ nhà phát triển cung cấp.

TCVN 8709-3: 2011 ADV_FSP.1.4C: Việc theo dấu cần chứng minh rằng các SFR theo dấu các TSFI trong đặc tả chức năng.

10.4.1.3.5 Đơn vị công việc ADV_FSP.1-5 Người đánh giá cần kiểm tra rằng các liên kết theo dấu các SFR theo các TSFI tương ứng.

Theo dấu được cung cấp bởi các nhà phát triển để đảm nhiệm như một hướng dẫn mà các SFR liên quan đến các TSFI. Theo dấu này có thể đơn giản là một bảng; nó được sử dụng làm đầu vào cho người đánh giá sử dụng trong các đơn vị công việc tiếp theo, trong đó người đánh giá xác minh tính đầy đủ và chính xác của nó.

10.4.1.4 Hành động ADV_FSP.1.2E

10.4.1.4.1 Đơn vị công việc ADV_FSP.1-6 Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng đó là sự thuyết minh đầy đủ của các SFR.

79

TCVN xxx: 2015

Để đảm bảo rằng tất cả các SFR được bao phủ bởi các đặc tả chức năng, cũng như phân tích độ bao phủ kiểm thử, người đánh giá có thể xây dựng dựa trên của nhà phát triển (xem ADV_FSP.1-5 ánh xạ giữa các yêu cầu chức năng an toàn của TOE và TSFI). Lưu ý rằng ánh xạ này có thể có ở mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, vì các hoạt động (nhiệm vụ, sàng lọc, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.

Ví dụ, các thành phần FDP_ACC.1 chứa các nhiệm vụ trong một phần tử. Ví dụ, nếu ST chứa mười quy tắc trong nhiệm vụ FDP_ACC.1, và mười quy tắc này được bao phủ bởi ba TSFI khác nhau, nó sẽ không đủ để người đánh giá ánh xạ FDP_ACC.1 theo hướng TSFI A, B, và C và yêu cầu chúng hoàn thành các đơn vị công việc. Thay vào đó, người đánh giá sẽ ánh xạ FDP_ACC.1 (quy tắc 1) theo hướng TSFI A; FDP_ACC.1 (quy tắc 2) theo hướng TSFI B… Nó cũng có thể là trường hợp mà giao diện là một giao diện bao (ví dụ IOCTL…), trong trường hợp đó ánh xạ sẽ cần phải được cụ thể để thiết lập các thông số cho giao diện nhất định.

Người đánh giá phải thừa nhận rằng đối với các yêu cầu này có ít hoặc không có biểu hiện tại ranh giới TSF (ví dụ, FDP_RIP) nó không kỳ vọng rằng người đánh giá ánh xạ toàn bộ các yêu cầu này đến TSFI. Việc phân tích cho những yêu cầu này sẽ được thực hiện trong phân tích thiết kế TOE (ADV_TDS) khi đưa vào ST. Điều này cũng quan trọng với lưu ý rằng vì các thông số liên quan đến các TSFI phải được xác định đầy đủ, người đánh giá nên xác định nếu tất cả các khía cạnh xuất hiện trong SFR được triển khai tại mức giao diện.

10.4.1.4.2 Đơn vị công việc ADV_FSP.1-7 Người đánh giá cần thẩm tra đặc tả chức năng để xác định rằng nó là sự chứng minh chính xác của các SFR.

Đối với mỗi yêu cầu chức năng trong ST mà kết quả trong các hiệu ứng có thể nhìn thấy ở ranh giới TSF, thông tin trong TSFI liên quan để yêu cầu riêng của chức năng được yêu cầu đã mô tả bằng yêu cầu. Ví dụ, nếu ST có một yêu cầu đối với các danh sách kiểm soát truy cập, và chỉ TSFI này ánh xạ để yêu cầu chỉ rõ chức năng đối với các bit bảo vệ kiểu Unix, sau đó các đặc tả chức năng không chính xác đối với chi tiết của các yêu cầu.

Người đánh giá phải thừa nhận rằng đối với các yêu cầu này có ít hoặc không có biểu hiện tại ranh giới TSF (ví dụ, FDP_RIP) nó không kỳ vọng rằng người đánh giá ánh xạ toàn bộ các yêu cầu này đến TSFI. Việc phân tích cho những yêu cầu này sẽ được thực hiện trong phân tích thiết kế TOE (ADV_TDS) khi đưa vào ST.


10.4.2.1 Mục tiêu Mục tiêu của hoạt động con này là xác định liệu các nhà phát triển đã cung cấp mô tả của các TSFI trong các thuật ngữ về mục đích, phương pháp sử dụng, và các thông số của chúng chưa. Ngoài ra, các hành động thực thi SFR, các kết quả và thông báo lỗi của mỗi TSFI tức là thực thi SFR cũng được mô tả.

10.4.2.2 Đầu vào Bằng chứng đánh giá cho hoạt động con này đó là yêu cầu bởi các đơn vị công việc là:

a) ST;


80

TCVN xxx: 2015c) Thiết kế TOE.

Bằng chứng đánh giá cho hoạt động con này được sử dụng nếu có trong ST của TOE là:

a) Mô tả kiến trúc an toàn;

b) Hướng dẫn người sử dụng vận hành.

10.4.2.3 Hành động ADV_FSP.2.1E TCVN 8709-3: 2011 ADV_FSP.2.1C: Đặc tả chức năng cần biểu diễn toàn bộ TSF.

10.4.2.3.1 Đơn vị công việc ADV_FSP.2-1 Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng TSF được biểu diễn đầy đủ.

Việc xác định TSFI là điều kiện tiên quyết được yêu cầu cho tất cả các hoạt động khác trong hoạt động con này. TSF phải được xác định (thực hiện như một phần của đơn vị công việc thiết kế TOE (ADV_TDS)) để xác định các TSFI. Hoạt động này có thể được thực hiện ở mức cao để đảm bảo rằng không có nhóm lớn các giao diện bị bỏ qua (các giao thức mạng, các giao diện phần cứng, các tập tin cấu hình), hoặc ở mức thấp như đánh giá của tiến trình đặc tả chức năng.

Khi tạo ra đánh giá cho đơn vị công việc này, người đánh giá xác định rằng tất cả các phần của TSF được đề cập trong các thuật ngữ của giao diện liệt kê trong đặc tả chức năng. Tất cả các phần của TSF cần phải có một mô tả giao diện tương ứng, hoặc nếu không có giao diện tương ứng cho một phần của TSF, người đánh giá xác định rằng có thể chấp nhận công việc này.

TCVN 8709-3: 2011 ADV_FSP.2.2C: Đặc tả chức năng cần mô tả mục tiêu và phương pháp sử dụng cho tất cả TSFI.

10.4.2.3.2 Đơn vị công việc ADV_FSP.2-2 Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng nó là trạng thái mục tiêu của mỗi TSFI.

Mục tiêu của TSFI là tuyên bố khái quát tóm tắt chức năng được cung cấp bởi giao diện. Nó không có ý định tuyên bố tính hoàn thiện của các hành động và kết quả liên quan đến giao diện, mà đúng hơn là một tuyên bố giúp cho người đọc hiểu được khái quát những gì giao diện có ý định sử dụng. Người đánh giá không nên chỉ xác định mục đích tồn tại, mà còn là phản ánh chính xác TSFI bằng cách đưa vào tài khoản các thông tin khác về giao diện, như mô tả các hành động và các thông báo lỗi.

10.4.2.3.3 Đơn vị công việc ADV_FSP.2-3 Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng phương pháp sử dụng cho mỗi TSFI đã định sẵn.


81

TCVN xxx: 2015


Người đánh giá không nên chỉ xác định rằng tập hợp phương pháp sử dụng các mô tả hiện tại, mà chúng cũng bao gồm chính xác mỗi TSFI.

TCVN 8709-3: 2011 ADV_FSP.2.3C: Đặc tả chức năng cần xác định và mô tả tất cả các tham số liên quan đến mỗi TSFI.

10.4.2.3.4 Đơn vị công việc ADV_FSP.2-4 Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó nhận dạng đầy đủ tất cả các thông số liên quan đến mỗi TSFI.

Người đánh giá thẩm tra đặc tả chức năng để đảm bảo rằng tất cả các thông số được mô tả cho mỗi TSFI. Các tham số đầu vào hoặc đầu ra rõ ràng trong một giao diện để kiểm soát hoạt động của giao diện đó. Ví dụ, các thông số là các đối số cung cấp cho API; các lĩnh vực khác nhau trong gói tin cho một giao thức mạng nhất định; các giá trị riêng quan trọng trong Windows Registry; các tín hiệu là tập hợp của các chân trên một con chip…

Để xác định tất cả các thông số có mặt trong TSFI, người đánh giá nên thẩm tra phần còn lại của mô tả giao diện (các hành động, thông báo lỗi…) để xác định nếu ảnh hưởng của các tham số được giải thích trong mô tả. Người đánh giá cũng nên kiểm tra bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để xem xét nếu hành vi hoặc các tham số bổ sung được mô tả ở đó nhưng không có trong đặc tả chức năng.

10.4.2.3.5 Đơn vị công việc ADV_FSP.2-5 Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó mô tả đầy đủ và chính xác tất cả các thông số liên quan đến mỗi TSFI.

Một khi tất cả các thông số đã được xác định, người đánh giá cần đảm bảo rằng chúng được mô tả một cách chính xác, và mô tả của các thông số là hoàn thiện. Mô tả thông số cho biết ý nghĩa của những thông số này. Ví dụ, giao diện “foo(i)” có thể mô tả như là có "tham số i là một số nguyên"; cách mô tả tham số như thế này không được chấp nhận. Mô tả là "tham số i là một số nguyên cho biết số lượng người dùng hiện đang đăng nhập vào hệ thống" được chấp nhận.

Để xác định rằng mô tả của các thông số là hoàn thiện, người đánh giá cần thẩm tra phần còn lại của mô tả giao diện (mục đích, phương pháp sử dụng, các hoạt động, thông báo lỗi…) để xác định nếu các mô tả của (các) tham số được ghi trong mô tả. Người đánh giá cũng nên kiểm tra bằng chứng khác đã cung cấp (ví dụ, thiết kế TOE, thiết kế kiến trúc, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để xem xét nếu hành vi hoặc các tham số bổ sung được mô tả ở đó nhưng không có trong đặc tả chức năng.

TCVN 8709-3: 2011 ADV_FSP.2.4C: Với mỗi TSFI thực thi SFR, đặc tả chức năng cần mô tả các hành động thực thi SFR liên quan đến mỗi TSFI.

10.4.2.3.6 Đơn vị công việc ADV_FSP.2-6

82

TCVN xxx: 2015Người đánh giá cần thẩm tra việc trình bày của các TSFI để xác định rằng nó mô tả đầy đủ và chính xác các hành động thực thi SFR liên quan đến các TSFI thực thi SFR.

Nếu một hành động có sẵn thông qua giao diện có thể được theo dấu đến một trong những SFR áp theo TSF, sau đó giao diện là thực thi SFR. Các chính sách này không giới hạn đến các chính sách kiểm soát truy cập, nhưng cũng đề cập đến bất kỳ chức năng được quy định bởi một trong những SFR có trong ST. Lưu ý rằng nó có thể là giao diện với những hành động và các kết quả khác nhau, một số trong đó có thể là thực thi SFR và một số có thể không.

Các nhà phát triển không cần giao diện "nhãn" như thực thi SFR, và tương tự như vậy không cần xác định các hành động có sẵn thông qua một giao diện như thực thi SFR. Đây là trách nhiệm của người đánh giá để thẩm tra các bằng chứng đã cung cấp bởi nhà phát triển và xác định các thông tin được yêu cầu có mặt. Trong trường hợp khi mà các nhà phát triển đã xác định TSFI thực thi SFR và hành động thực thi SFR có sẵn thông qua những TSFI này, người đánh giá phải đánh giá đầy đủ và chính xác dựa trên các thông tin khác đã cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành), và các thông tin khác được trình bày cho các giao diện (các thông số và mô tả thông số, các thông báo lỗi…).

Trong trường hợp này (khi mà nhà phát triển đã cung cấp chỉ là thông tin thực thi SFR cho TSFI thực thi SFR) người đánh giá cũng đảm bảo rằng không có giao diện bị phân loại sai. Điều này được thực hiện bằng cách thẩm tra các thông tin khác đã cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành), và các thông tin khác được trình bày cho các giao diện (ví dụ, các thông số và mô tả thông số) không có nhãn như thực thi SFR.

Trong trường hợp khi nhà phát triển đã cung cấp cùng mức thông tin dựa trên tất cả các giao diện, người đánh giá thực hiện cùng một loại phân tích đã đề cập trong nội dung phía trên. Người đánh giá cần xác định các giao diện nào là thực thi SFR và các giao diện nào không thực thi SFR, và sau đó đảm bảo rằng các khía cạnh thực thi SFR của các hành động thực thi SFR được mô tả một cách thích hợp.

Các hành động thực thi SFR là những hành động có thể nhìn thấy ở bất kỳ giao diện bên ngoài nào và cung cấp cho việc thi hành các SFR được yêu cầu. Ví dụ, nếu các yêu cầu thẩm tra có trong ST, sau đó hoạt động kiểm tra liên quan đến sẽ là thực thi SFR và do đó phải được mô tả ngay cả khi kết quả của hành động nói chung là không thể nhìn thấy thông qua giao diện gọi đến (thường là trong trường hợp thẩm tra, nơi mà hành động của người sử dụng tại một giao diện sẽ cung cấp một hồ sơ thẩm tra có thể nhìn thấy tại giao diện khác).

Các mức mô tả đó là yêu cầu đủ để người đọc hiểu được vai trò gì để các hành động TSFI vận hành với khía cạch theo hướng SFR. Người đánh giá cần lưu ý rằng sự mô tả nên đầy đủ chi tiết để hỗ trợ sự hình thành (và đánh giá) của các trường hợp kiểm thử với giao diện đó. Nếu mô tả không rõ ràng hoặc thiếu chi tiết như vậy kiểm thử có ý nghĩa là không thể tiến hành chống lại các TSFI, có khả năng mô tả là không đầy đủ.

TCVN 8709-3: 2011 ADV_FSP.2.5C: Với các TSFI thực thi SFR, đặc tả chức năng cần mô tả các thông báo lỗi trực tiếp có kết quả từ xử lý liên quan với các hành động thực thi SFR.

10.4.2.3.7 Đơn vị công việc ADV_FSP.2-7 Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó mô tả đầy đủ và chính xác thông báo lỗi có thể là kết quả từ các hành động thực thi SFR liên quan đến mỗi TSFI thực thi SFR.

83

TCVN xxx: 2015

Đơn vị công việc này nên được thực hiện kết hợp với, hoặc sau đó, đơn vị công việc ADV_FSP.2-6 để đảm bảo các thiết lập của TSFI thực thi SFR và các hành động thực thi SFR được xác định một cách chính xác. Các nhà phát triển có thể cung cấp nhiều thông tin được yêu cầu hơn (ví dụ, tất cả các thông báo lỗi liên quan tới mỗi giao diện), trong trường hợp đó người đánh giá nên hạn chế đánh giá của họ về tính hoàn thiện và chính xác để chỉ họ thấy họ xác định được việc liên quan đến hành động thực thi SFR của TSFI thực thi SFR.

Lỗi có thể có nhiều hình thức, tùy thuộc vào giao diện được mô tả. Đối với một API, giao diện chính nó có thể trả về một mã lỗi, thiết lập một điều kiện lỗi toàn cầu, hoặc thiết lập một thông số nào đó với một mã lỗi. Đối với một tập tin cấu hình, thông số cấu hình không đúng có thể gây ra thông báo lỗi được ghi vào một tập tin đăng nhập. Đối với một card PCI phần cứng, điều kiện lỗi có thể làm tăng tín hiệu trên bus, hoặc kích hoạt điều kiện ngoại lệ đối với CPU.

Lỗi (và các thông báo lỗi liên quan) xảy ra qua sự dẫn chứng của giao diện. Việc xử lý xảy ra để đáp ứng với sự dẫn chứng của giao diện có thể gặp phải các điều kiện lỗi, mà kích hoạt (thông qua một cơ chế triển khai cụ thể) một thông báo lỗi đã được tạo ra. Trong trường hợp này, có thể là giá trị trả về từ giao diện chính nó; trong trường hợp khác, giá trị toàn cầu có thể được thiết lập và kiểm tra sau khi có sự dẫn chứng của giao diện. Có khả năng TOE sẽ có số thông báo lỗi ở mức độ thấp, có thể là kết quả của các điều kiện nguồn tài nguyên cơ bản, chẳng hạn như "đĩa đầy" hay "tài nguyên bị khóa". Trong khi các thông báo lỗi này có thể ánh xạ đến một số lượng lớn các TSFI, chúng có thể được sử dụng để phát hiện các trường hợp chi tiết từ mô tả giao diện đã được bỏ qua. Ví dụ, một TSFI tạo ra tin nhắn “đĩa đầy", nhưng không mô tả rõ ràng về lý do tại sao TSFI này cần tạo ra truy cập vào đĩa trong mô tả của các hành động của nó, có thể người đánh giá thẩm tra các bằng chứng khác (Kiến trúc an toàn (ADV_ARC) , thiết kế TOE (ADV_TDS)) liên quan mà TSFI xác định nếu mô tả là chính xác.

Để xác định rằng các mô tả về các thông báo lỗi của một TSFI là chính xác và đầy đủ, người đánh giá dự lượng mô tả giao diện ngược lại với các bằng chứng khác đã cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành), cũng như bằng chứng khác cho TSFI đó (các thông số, phân tích từ các đơn vị công việc ADV_FSP.2-6).

TCVN 8709-3: 2011 ADV_FSP.2.6C: Việc theo dấu cần chứng minh rằng các SFR theo dấu các TSFI theo đặc tả chức năng.


Theo dấu được cung cấp bởi các nhà phát triển để phục vụ như một hướng dẫn mà các SFR liên quan đến các TSFI. Theo dấu này có thể đơn giản là một bảng; nó được sử dụng làm đầu vào cho người đánh giá sử dụng trong các đơn vị công việc tiếp theo, trong đó người đánh giá xác minh tính đầy đủ và chính xác của nó.



84

TCVN xxx: 2015Để đảm bảo rằng tất cả các SFR được bao phủ bởi các đặc tả chức năng, cũng như phân tích độ bao phủ kiểm thử, người đánh giá có thể xây dựng dựa trên theo dấu của nhà phát triển (xem ADV_FSP.2-8 ánh xạ giữa các yêu cầu chức năng an toàn của TOE và TSFI). Lưu ý rằng ánh xạ này có thể có ở mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, vì các hoạt động (nhiệm vụ, sàng lọc, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.






10.4.3 Đánh giá hoạt động con (ADV_FSP.3) 10.4.3.1 Mục tiêu Mục tiêu của hoạt động con này là xác định liệu các nhà phát triển đã cung cấp mô tả của các TSFI về mục đích, phương pháp sử dụng, và các thông số của chúng không. Ngoài ra, các hành động, các kết quả và các thông báo lỗi của mỗi TSFI cũng mô tả đầy đủ rằng nó có thể được xác định dù chúng có là thực thi SFR, với TSFI thực thi SFR được mô tả chi tiết hơn các TSFI khác không.

10.4.3.2 Đầu vào Bằng chứng đánh giá cho hoạt động con này đó là yêu cầu của các đơn vị công việc:

a) ST;


c) Thiết kế TOE.

85

TCVN xxx: 2015

Bằng chứng đánh giá cho hoạt động con này được sử dụng nếu có trong ST đối với TOE là:


b) Biểu diễn triển khai;

c) Mô tả nội bộ TSF;

d) Hướng dẫn người sử dụng vận hành.

10.4.3.3 Hành động ADV_FSP.3.1ETCVN 8709-3: 2011 ADV_FSP.3.1C: Đặc tả chức năng cần biểu diễn đầy đủ TSF.


Việc xác định TSFI là điều kiện tiên quyết được yêu cầu cho tất cả các hoạt động khác trong hoạt động con này. TSF phải được xác định (thực hiện như một phần của đơn vị công việc thiết kế TOE (ADV_TDS)) để xác định các TSFI. Hoạt động này có thể được thực hiện ở mức cao để đảm bảo rằng không có nhóm lớn các giao diện bị bỏ qua (các giao thức mạng, các giao diện phần cứng, các tập tin cấu hình), hoặc ở mức thấp như đánh giá của tiến hành đặc tả chức năng.






Phương pháp sử dụng cho TSFI tóm tắt làm thế nào giao diện được thao tác để gọi đến các hành động và đạt được các kết quả liên quan đến TSFI. Người đánh giá nên xác định, từ việc đọc vật liệu này trong đặc tả chức năng, làm sao để sử dụng mỗi giao diện. Điều này không có nghĩa là cần phải có một phương pháp riêng biệt sử dụng cho mỗi TSFI, vì nó có thể mô tả khái quát làm thế nào các cuộc gọi cốt lõi được gọi đến, ví dụ, và khi đó mỗi giao diện xác định sử dụng phong cách chung. Các kiểu giao diện khác nhau sẽ đòi hỏi phương pháp khác nhau của các thông số kỹ thuật sử dụng. Các

86

TCVN xxx: 2015API, giao diện giao thức mạng, các thông số cấu hình hệ thống, giao diện bus phần cứng, tất cả đều có các phương pháp rất khác nhau để sử dụng, và điều này nên được đưa vào tài khoản của các nhà phát triển khi phát triển các đặc tả chức năng, cũng như thẩm định đánh giá các đặc tả chức năng.



TCVN 8709-3: 2011 ADV_FSP.3.3C: Đặc tả chức năng cần xác định và mô tả tất cả các tham số liên quan với mỗi TSFI.


Người đánh giá thẩm tra đặc tả chức năng để đảm bảo rằng tất cả các thông số được mô tả cho mỗi TSFI. Các tham số đầu vào hoặc đầu ra rõ ràng trong một giao diện để kiểm soát hoạt độngi của giao diện đó. Ví dụ, các thông số là các đối số cung cấp cho API; các lĩnh vực khác nhau trong gói tin cho một giao thức mạng nhất định; các giá trị riêng quan trọng trong Windows Registry; các tín hiệu là tập hợp của các chân trên một con chip…

Để xác định tất cả các thông số có mặt trong TSFI, người đánh giá nên thẩm tra phần còn lại của mô tả giao diện (các hành động, thông báo lỗi…) để xác định nếu ảnh hưởng của các tham số được giải thích trong mô tả. Người đánh giá cũng nên kiểm tra bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để xem xét nếu hành vi hoặc các tham số bổ sung được mô tả ở đó nhưng không có trong đặc tả chức năng.




TCVN 8709-3: 2011 ADV_FSP.3.4C: Với mỗi TSFI của thực thi SFR, đặc tả chức năng cần mô tả các hành động thực thi SFR liên quan với TSFI.

87

TCVN xxx: 2015

10.4.3.3.6 Đơn vị công việc ADV_FSP.3-6 Người đánh giá cần thẩm tra việc trình bày của các TSFI để xác định nó đầy đủ và mô tả chính xác các hành động thực thi SFR liên quan đến các TSFI thực thi SFR.

Nếu một hành động có sẵn thông qua giao diện đóng một vai trò trong việc thực thi các chính sách an toàn trên TOE (có nghĩa là, nếu một trong các hành động của giao diện có thể được theo dấu đến một trong những SFR áp theo TSF), sau đó giao diện là thực thi SFR. Các chính sách này không giới hạn đến các chính sách kiểm soát truy cập, nhưng cũng đề cập đến bất kỳ chức năng được quy định bởi một trong những SFR có trong ST. Lưu ý rằng nó có thể là giao diện với những hành động và các kết quả khác nhau, một số trong đó có thể là thực thi SFR và một số có thể không.

Các nhà phát triển không cần giao diện "nhãn" như thực thi SFR, và tương tự như vậy không cần xác định các hành động có sẵn thông qua một giao diện như thực thi SFR. Đây là trách nhiệm của người đánh giá để thẩm tra các bằng chứng đã cung cấp bởi nhà phát triển và xác định các thông tin được yêu cầu có mặt. Trong trường hợp khi mà các nhà phát triển đã xác định TSFI thực thi SFR và hành động thực thi SFR có sẵn thông qua những TSFI này, người đánh giá phải đánh giá đầy đủ và chính xác dựa trên các thông tin khác đã cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành), và các thông tin khác được trình bày cho các giao diện (các thông số và mô tả thông số, các thông báo lỗi…).

Trong trường hợp này (nhà phát triển đã cung cấp chỉ là thông tin thực thi SFR cho TSFI thực thi SFR) người đánh giá cũng đảm bảo rằng không có giao diện bị phân loại sai. Điều này được thực hiện bằng cách thẩm tra các thông tin khác đã cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành), và các thông tin khác được trình bày cho các giao diện (ví dụ, các thông số và mô tả thông số) không có nhãn như thực thi SFR. Các phân tích được thực hiện bởi việc sử dụng các đơn vị công việc ADV_FSP.3-7 và ADV_FSP.3-8 trong việc tạo ra quyết định này.

Trong trường hợp khi nhà phát triển đã cung cấp cùng mức thông tin dựa trên tất cả các giao diện, người đánh giá thực hiện cùng một loại phân tích đã đề cập trong nội dung phía trên. Người đánh giá cần xác định các giao diện nào là thực thi SFR và các giao diện nào không thực thi SFR, và sau đó đảm bảo rằng các khía cạnh thực thi SFR của các hành động thực thi SFR được mô tả một cách thích hợp. Lưu ý rằng trong trường hợp này, người đánh giá nên thực hiện phần lớn các công việc liên quan đến đơn vị công việc ADV_FSP.3-8 trong quá trình thực hiện các phân tích thực thi SFR này.

Các hành động thực thi SFR là những hành động có thể nhìn thấy ở bất kỳ giao diện bên ngoài nào và cung cấp cho việc thi hành các SFR được yêu cầu. Ví dụ, nếu các yêu cầu thẩm tra có trong ST, sau đó hoạt động kiểm tra liên quan đến sẽ là thực thi SFR và do đó phải được mô tả ngay cả khi kết quả của hành động nói chung là không thể nhìn thấy thông qua giao diện gọi đến (thường là trong trường hợp thẩm tra, nơi mà hành động của người sử dụng tại một giao diện sẽ cung cấp một hồ sơ thẩm tra có thể nhìn thấy tại giao diện khác).

Các mức mô tả đó là yêu cầu đủ để người đọc hiểu được vai trò gì để các hành động TSFI vận hành với khía cạch theo hướng SFR. Người đánh giá cần lưu ý rằng sự mô tả nên được đầy đủ chi tiết để hỗ trợ sự hình thành (và đánh giá) của các trường hợp kiểm thử với giao diện đó. Nếu mô tả không rõ ràng hoặc thiếu chi tiết như vậy kiểm thử có ý nghĩa là không thể tiến hành chống lại các TSFI, có khả năng mô tả là không đầy đủ.

88

TCVN xxx: 2015TCVN 8709-3: 2011 ADV_FSP.3.5C: Với mỗi TSFI thực thi SFR, đặc tả chức năng cần mô tả trực tiếp các thông báo lỗi thu được từ các kết quả và ngoại lệ liên quan đến các lệnh gọi của TSFI.

10.4.3.3.7 Đơn vị công việc ADV_FSP.3-7 Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó mô tả đầy đủ và chính xác thông báo lỗi có thể là kết quả từ lệnh gọi của mỗi TSFI thực thi SFR.

Đơn vị công việc này nên thực hiện kết hợp với, hoặc sau đó, đơn vị công việc ADV_FSP.3-6 để đảm bảo các thiết lập của TSFI thực thi SFR được xác định một cách chính xác. Người đánh giá nên lưu ý rằng các yêu cầu và đơn vị công việc liên quan mà tất cả việc thông báo lỗi trực tiếp liên quan tới TSFI thực thi SFR phải được mô tả, điều đó có liên quan đến hành động thực thi SFR. Điều này là do ở mức độ đảm bảo, các thông tin "thêm" được cung cấp bởi các mô tả thông báo lỗi nên được sử dụng trong việc xác định tất cả các khía cạnh thực thi SFR của giao diện đã được mô tả một cách thích hợp. Ví dụ, nếu thông báo lỗi liên quan tới TSFI (ví dụ, "truy cập bị từ chối") chỉ ra rằng quyết định hoặc hành động thực thi SFR đã xảy ra, nhưng trong bản mô tả các hành động thực thi SFR-không đề cập đến cơ chế thực thi SFR đặc biệt, do đó mô tả không được trọn vẹn.


Lỗi (và các thông báo lỗi liên quan) xảy ra qua sự dẫn chứng của giao diện. Việc xử lý xảy ra để đáp ứng với sự dẫn chứng của giao diện có thể gặp phải các điều kiện lỗi, mà kích hoạt (thông qua một cơ chế triển khai cụ thể) một thông báo lỗi đã được tạo ra. Trong trường hợp này, có thể là giá trị trả về từ giao diện chính nó; trong trường hợp khác, giá trị toàn cầu có thể được thiết lập và kiểm tra sau khi có sự dẫn chứng của giao diện. Có khả năng TOE sẽ có số thông báo lỗi ở mức độ thấp, có thể là kết quả của các điều kiện nguồn tài nguyên cơ bản, chẳng hạn như " đĩa đầy" hay "tài nguyên bị khóa". Trong khi các thông báo lỗi này có thể ánh xạ đến một số lượng lớn các TSFI, chúng có thể được sử dụng để phát hiện các trường hợp chi tiết từ mô tả giao diện đã được bỏ qua. Ví dụ, một TSFI cung cấp tin nhắn “đĩa đầy", nhưng không có mô tả rõ ràng về lý do tại sao TSFI cần tạo ra truy cập vào đĩa trong mô tả của các hành động của nó, có thể người đánh giá thẩm tra các bằng chứng khác (Kiến trúc an toàn (ADV_ARC) , thiết kế TOE (ADV_TDS)) liên quan mà TSFI xác định nếu mô tả là chính xác.

Để xác định rằng các mô tả về các thông báo lỗi của một TSFI là chính xác và đầy đủ, người đánh giá dự lượng mô tả giao diện ngược lại với các bằng chứng khác đã cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành), cũng như bằng chứng khác cho TSFI đó (mô tả các hành động thực thi SFR, bản tóm tắt hỗ trợ SFR và các hành động không can thiệp SFR và các kết quả).

TCVN 8709-3: 2011 ADV_FSP.3.6C: Đặc tả chức năng cần tóm tắt các hành động hỗ trợ SFR và không can thiệp SFR liên quan đến mỗi TSFI.

10.4.3.3.8 Đơn vị công việc ADV_FSP.3-8 Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó tóm tắt các hành động hỗ trợ SFR và không can thiệp SFR liên quan đến mỗi TSFI.

89

TCVN xxx: 2015

Mục đích của đơn vị công việc này là để bổ sung các chi tiết về các hành động thực thi SFR (được cung cấp trong đơn vị công việc ADV_FSP.3-6) với tóm tắt các hoạt động còn lại (nghĩa là cái đó không thực thi SFR). Điều này bao gồm “tất cả” các hành động hỗ trợ SFR và không can thiệp SFR, liệu có thể gọi đến qua TSFI thực thi SFR hoặc thông qua TSFI hỗ trợ SFR hoặc không can thiệp SFR. Bản tóm tắt này với tất cả các hành động hỗ trợ SFR và không can thiệp SFR giúp cung cấp một bức tranh hoàn chỉnh hơn về các chức năng được cung cấp bởi TSF, và được người đánh giá sử dụng trong việc xác định liệu hành động hoặc TSFI có thể là phân loại sai không.

Các thông tin được cung cấp tóm tắt hơn yêu cầu đối với các hoạt động thực thi SFR. Ví dụ, trong khi nó vẫn nên có đủ chi tiết để người đọc có thể hiểu những gì các hành động thực hiện, mô tả không có đủ chi tiết được hỗ trợ viết kiểm thử dựa theo nó. Đối với người đánh giá, chìa khóa là thông tin phải đủ để tạo ra quyết định tích cực rằng các hành động này là hỗ trợ SFR hoặc không can thiệp SFR. Nếu mức độ thông tin thiếu, bản tóm tắt không đủ và thông tin phải có nhiều hơn nữa.

TCVN 8709-3: 2011 ADV_FSP.3.7C: Theo dấu cần chứng minh rằng các SFR theo dấu các TSFI trong đặc tả chức năng.

10.4.3.3.9 Đơn vị công việc ADV_FSP.3-9Người đánh giá cần kiểm tra rằng các liên kết theo dấu các SFR theo các TSFI tương ứng.




Để đảm bảo rằng tất cả các SFR được bao phủ bởi các đặc tả chức năng, cũng như phân tích độ bao phủ kiểm thử, người đánh giá có thể xây dựng dựa trên theo dấu của nhà phát triển (xem ADV_FSP.3-9 ánh xạ giữa các yêu cầu chức năng an toàn của TOE và TSFI). Lưu ý rằng ánh xạ này có thể có được ở mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, bởi vì các hoạt động (nhiệm vụ, sàng lọc, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.


Người đánh giá phải thừa nhận rằng đối với các yêu cầu này có ít hoặc không có biểu hiện tại ranh giới TSF (ví dụ, FDP_RIP) nó không kỳ vọng rằng người đánh giá ánh xạ toàn bộ các yêu cầu này đến TSFI. Việc phân tích cho những yêu cầu này sẽ được thực hiện trong phân tích thiết kế TOE

90

TCVN xxx: 2015(ADV_TDS) khi đưa vào ST. Điều này cũng quan trọng với lưu ý rằng vì các thông số liên quan đến các TSFI phải được xác định đầy đủ, người đánh giá nên xác định nếu tất cả các khía cạnh xuất hiện trong SFR được triển khai tại mức giao diện.





10.4.4.1 Mục tiêu Mục tiêu của hoạt động con này là xác định liệu các nhà phát triển có mô tả đầy đủ tất cả các TSFI theo một cách sao cho người đánh giá có thể xác định liệu TSFI có mô tả đầy đủ và chính xác, và có trình diện triển khai các yêu cầu chức năng an toàn của ST không.

10.4.4.2 Đầu vào Bằng chứng đánh giá cho hoạt động con này là yêu cầu các đơn vị công việc là:

a) ST;


c) Thiết kế TOE.

Bằng chứng đánh giá cho hoạt động con này được sử dụng nếu có trong ST của TOE:


b) Biểu diễn triển khai;

c) Mô tả nội bộ TSF;


10.4.4.3 Các chú ý áp dụng Các đặc tả chức năng mô tả các giao diện TSF (TSFI) theo một kiểu cấu trúc. Do sự phụ thuộc vào đánh giá của hoạt động con (ADV_TDS.1), người đánh giá dự kiến xác định TSF trước khi bắt đầu công việc của hoạt động con này. Nếu không có kiến thức vững chắc về TSF bao gồm những gì, sẽ không thể đánh giá tính hoàn thiện của TSFI.

Khi thực hiện các đơn vị công việc khác nhau trong họ này, người đánh giá được hỏi để tạo ra đánh giá chính xác và đầy đủ về một số yếu tố (TSFI là chính nó, cũng như các thành phần riêng lẻ (các

91

TCVN xxx: 2015

thông số, các hành động, các thông báo lỗi…) của TSFI). Trong việc phân tích này, người đánh giá dự kiến sẽ sử dụng tài liệu đã cung cấp cho việc đánh giá. Điều này bao gồm ST, thiết kế TOE, và có thể bao gồm tài liệu khác như các hướng dẫn người sử dụng vận hành, mô tả kiến trúc an toàn, và biểu diễn triển khai. Tài liệu nên thẩm tra theo cách lặp lại. Người đánh giá có thể đọc, ví dụ, trong thiết kế TOE làm cách nào mà chức năng đã biết được triển khai, nhưng không có cách nào để gọi đến chức năng đó từ giao diện. Điều này có thể gây ra khi người đánh giá câu hỏi về tính hoàn thiện của mô tả TSFI cụ thể, hoặc liệu giao diện có được bỏ ra hoàn toàn khỏi đặc tả chức năng không. Mô tả các hoạt động phân tích loại này trong ETR là một phương pháp quan trọng trong việc cung cấp sở cứ mà các đơn vị công việc đã thực hiện một cách thích hợp.

Hoạt động con này nên được công nhận là có tồn tại các yêu cầu chức năng mà thể hiện toàn bộ hoặc một phần kiến trúc chức năng, chứ không phải thông qua một cơ chế cụ thể. Ví dụ của việc này là việc triển khai các cơ chế thực hiện các yêu cầu bảo vệ thông tin dư (FDP_RIP). Cơ chế như vậy thường được triển khai để đảm bảo hành vi không có mặt, đó là khó khăn để kiểm thử và thường được thẩm tra thông qua phân tích. Trong trường hợp khi các yêu cầu chức năng như có trong ST, dự kiến rằng người đánh giá công nhận có thể có SFR của loại này mà không có các giao diện, và điều này không nên coi là một sự thiếu hụt trong đặc tả chức năng.

10.4.4.4 Hành động ADV_FSP.4.1E TCVN 8709-3: 2011 ADV_FSP.4.1C: Đặc tả chức năng cần biểu diễn đầy đủ TSF.




TCVN 8709-3: 2011 ADV_FSP.4.2C: Đặc tả chức năng cần mô tả mục tiêu và phương pháp sử dụng của tất cả TSFI.



10.4.4.4.3 Đơn vị công việc ADV_FSP.4-3

92

TCVN xxx: 2015Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng phương pháp sử dụng cho mỗi TSFI đã định sẵn.




10.4.4.4.4 Đơn vị công việc ADV_FSP.4-4 Người đánh giá cần thẩm tra các đặc tả chức năng để xác định tính chất đầy đủ của TSFI.

Người đánh giá cần sử dụng các tài liệu thiết kế để xác định các kiểu có thể có của các giao diện. Người đánh giá cần tìm kiếm các tài liệu thiết kế và các tài liệu hướng dẫn cho TSFI tiềm năng không bao gồm tài liệu của nhà phát triển, điều này chỉ ra rằng tập hợp các TSFI được xác định bởi các nhà phát triển là không đầy đủ. Người đánh giá cần thẩm tra các đối số được trình bày bởi nhà phát triển mà TSFI là đầy đủ và kiểm tra xuống mức thấp nhất của thiết kế hoặc với biểu diễn triển khai mà không tồn tại thêm TSFI.

TCVN 8709-3: 2011 ADV_FSP.4.3C: Đặc tả chức năng cần xác định và mô tả tất cả các tham số liên quan với mỗi TSFI.



Để xác định tất cả các thông số có mặt trong TSFI, người đánh giá nên thẩm tra phần còn lại của mô tả giao diện (các hành động, thông báo lỗi…) để xác định nếu ảnh hưởng của tham số được giải thích trong mô tả. Người đánh giá cũng nên kiểm tra bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để xem xét nếu hành vi hoặc các tham số bổ sung được mô tả ở đó nhưng không có trong đặc tả chức năng.

93

TCVN xxx: 2015




TCVN 8709-3: 2011 ADV_FSP.4.4C: Đặc tả chức năng cần mô tả tất cả các hành động liên quan với mỗi TSFI.

10.4.4.4.7 Đơn vị công việc ADV_FSP.4-7 Người đánh giá cần thẩm tra việc trình bày của các TSFI để xác định rằng nó mô tả đầy đủ và chính xác tất cả các hành động liên quan với mỗi TSFI.

Người đánh giá kiểm tra để đảm bảo rằng tất cả các hành động được mô tả, hành động có thể sử dụng thông qua giao diện mô tả những gì giao diện làm (trái ngược với thiết kế TOE, trong đó mô tả làm cách nào các hành động được cung cấp bởi các TSF).

Các hành động của một giao diện mô tả theo chức năng có thể gọi đến thông qua giao diện, và có thể được phân loại như các hành động thường kỳ, và các hành động liên quan SFR. Hành động thường kỳ mô tả những gì giao diện có. Lượng thông tin cung cấp cho mô tả này phụ thuộc vào sự phức tạp của giao diện. Những hành động liên quan SFR là những hành động có thể nhìn thấy ở bất cứ giao diện bên ngoài nào (ví dụ, hoạt động kiểm toán là nguyên nhân bởi việc gọi đến của giao diện (yêu cầu kiểm toán giả định trong ST) nên được mô tả, mặc dù kết quả của hành động này nói chung là không thể nhìn thấy thông qua giao diện gọi đến). Tùy thuộc vào các thông số của giao diện, có thể có nhiều hành động khác nhau có thể được gọi đến thông qua giao diện (ví dụ, một API có thể có tham số đầu tiên là một "lệnh con”, và các thông số tiếp theo sẽ cụ thể của lệnh con đó. IOCTL API trong hệ thống Unix là một ví dụ về một giao diện như vậy).

Để xác định rằng các mô tả về những hành động của TSFI là đầy đủ, người đánh giá cần soát xét phần còn lại của mô tả giao diện (mô tả tham số, các thông báo lỗi…) để xác định nếu mô tả các hành động được giải thích. Người đánh giá cũng nên phân tích các bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử hoạt động, biểu diễn triển khai) để xem xét nếu có bằng chứng về hành động được mô tả ở đó nhưng không có trong đặc tả chức năng.

TCVN 8709-3: 2011 ADV_FSP.4.5C: Đặc tả chức năng cần mô tả tất cả các thông báo lỗi trực tiếp mà có kết quả từ việc gọi đến mối TSFI.

94

TCVN xxx: 201510.4.4.4.8 Đơn vị công việc ADV_FSP.4-8Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó mô tả đầy đủ và chính xác tất cả các thông báo lỗi mà kết quả từ việc gọi đến mỗi TSFI.


Lỗi (và các thông báo lỗi liên quan) xảy ra qua sự dẫn chứng của giao diện. Việc xử lý xảy ra để đáp ứng với sự dẫn chứng của giao diện có thể gặp phải các điều kiện lỗi, mà kích hoạt (thông qua một cơ chế triển khai cụ thể) một thông báo lỗi đã được tạo ra. Trong trường hợp này, có thể là giá trị trả về từ giao diện chính nó; trong trường hợp khác, giá trị toàn cầu có thể được thiết lập và kiểm tra sau khi có sự dẫn chứng của giao diện. Có khả năng TOE sẽ có số thông báo lỗi ở mức độ thấp, có thể là kết quả của các điều kiện nguồn tài nguyên cơ bản, chẳng hạn như "đĩa đầy" hay "tài nguyên bị khóa". Trong khi các thông báo lỗi này có thể ánh xạ đến một số lượng lớn các TSFI, chúng có thể được sử dụng để phát hiện các trường hợp chi tiết từ mô tả giao diện đã được bỏ qua. Ví dụ, một TSFI cung cấp tin nhắn “đĩa đầy", nhưng không có mô tả rõ ràng về lý do tại sao TSFI cần tạo ra truy cập vào đĩa trong mô tả của các hành động của nó, có thể người đánh giá thẩm tra các bằng chứng khác (Kiến trúc an toàn (ADV_ARC) , thiết kế TOE (ADV_TDS)) liên quan mà TSFI xác định nếu mô tả là chính xác.

Người đánh giá xác định rằng, đối với mỗi TSFI, việc thiết lập chính xác các thông báo lỗi có thể được trả lại dựa trên cách gọi đến mà giao diện có thể được xác định. Người đánh giá soát xét các bằng chứng đã cung cấp cho giao diện để xác định nếu tập hợp các lỗi đã đầy đủ. Họ thẩm tra chéo thông tin này với bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để đảm bảo rằng không có lỗi sinh ra trong tiến trình được đề cập tới mà không có chứa trong đặc tả chức năng.

10.4.4.4.9 Đơn vị công việc ADV_FSP.4-9 Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó mô tả đầy đủ và chính xác ý nghĩa của tất cả các lỗi liên quan với mỗi TSFI.

Để xác định chính xác, người đánh giá phải có khả năng hiểu ý nghĩa của lỗi. Ví dụ, nếu một giao diện trả về một mã số 0, 1, hoặc 2, người đánh giá sẽ không thể hiểu được lỗi nếu đặc tả chức năng chỉ được liệt kê: "lỗi có thể phát sinh từ gọi đến của giao diện foo() là 0, 1, hoặc 2". Thay vào đó, người đánh giá kiểm tra để đảm bảo rằng các lỗi được mô tả như: "lỗi có thể phát sinh từ gọi đến của giao diện foo() là 0 (xử lý thành công), 1 (tập tin không tìm thấy), hoặc 2 (mô tả tên tập tin không chính xác)".

Để xác định rằng các mô tả về lỗi do việc gọi đến của TSFI là đầy đủ, người đánh giá thẩm tra phần còn lại của mô tả giao diện (các mô tả tham số, các hành động...) để xác định nếu các điều kiện lỗi tiềm năng có thể là nguyên nhân do cách sử dụng như một giao diện được giải thích. Người đánh giá cũng nên kiểm tra bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để xem xét nếu xử lý lỗi liên quan đến TSFI được mô tả ở đó nhưng không được mô tả trong đặc tả chức năng.

TCVN 8709-3: 2011 ADV_FSP.4.6C: Theo dấu cần chứng minh rằng các SFR theo dấu các TSFI trong đặc tả chức năng.

95

TCVN xxx: 2015










Người đánh giá phải thừa nhận rằng đối với các yêu cầu này có ít hoặc không có biểu hiện tại ranh giới TSF (ví dụ, FDP_RIP) nó không kỳ vọng rằng người đánh giá ánh xạ toàn bộ các yêu cầu này đến

96

TCVN xxx: 2015TSFI. Việc phân tích cho những yêu cầu này sẽ được thực hiện trong phân tích thiết kế TOE (ADV_TDS) khi đưa vào ST.


10.4.5.1 Mục tiêu Mục tiêu của hoạt động con này là xác định liệu các nhà phát triển có mô tả đầy đủ tất cả các TSFI theo một cách sao cho người đánh giá có thể xác định liệu TSFI có mô tả đầy đủ và chính xác, và xuất hiện để triển khai các yêu cầu chức năng an toàn của ST không. Tính chất đầy đủ của các giao diện được đánh giá dựa trên biểu diễn triển khai.

10.4.5.2 Đầu vào Bằng chứng đánh giá cho hoạt động con này đó là yêu cầu của các đơn vị công việc là:

a) ST;



d) Biểu diễn triển khai.

Bằng chứng đánh giá cho hoạt động con này được sử dụng nếu có trong ST của TOE là:


b) Mô tả bên trong TSF;

c) Mô hình chính sách bảo mật chính thức;


10.4.5.3 Hành động ADV_FSP.5.1E TCVN 8709-3: 2011 ADV_FSP.5.1C: Đặc tả chức năng cần biểu diễn đầy đủ TSF.




TCVN 8709-3: 2011 ADV_FSP.5.2C: Đặc tả chức năng cần mô tả TSFI sử dụng kiểu bán hình thức.

10.4.5.3.2 Đơn vị công việc ADV_FSP.5-2 Người đánh giá cần thẩm tra đặc tả chức năng để xác định rằng nó được trình diện bằng cách sử dụng kiểu bán chính thức.

97

TCVN xxx: 2015

Cách trình diện bán chính thức được đặc trưng bởi một định dạng tiêu chuẩn với một cú pháp hoàn toàn xác định làm giảm sự tối nghĩa có thể xảy ra trong cách trình diện chính thức. Do có định dạng bán chính thức là để tăng khả năng của người đọc để hiểu được cách trình diện, sử dụng một số phương pháp trình diện được cấu trúc nào đó (mã giả, các sơ đồ, sơ đồ khối) là phù hợp, mặc dù không được yêu cầu.

Theo mục đích của hoạt động này, người đánh giá phải đảm bảo rằng các mô tả giao diện được định dạng trong cấu trúc, cách xử lý nhất quán và sử dụng thuật ngữ chung. Cách trình diện bán chính thức của các giao diện cũng có nghĩa là mức độ chi tiết của cách trình diện cho các giao diện phần lớn là nhất quán trên tất cả các TSFI. Đối với đặc tả chức năng, đó là chấp nhận được tham khảo các đặc tả bên ngoài cho các phần của giao diện miễn là các đặc tả bên ngoài đó là bán chính thức của chính nó



Mục tiêu của TSFI là tuyên bố tổng quát tóm tắt chức năng được cung cấp bởi giao diện. Nó không được để tuyên bố tính hoàn thiện của các hành động và kết quả liên quan đến giao diện, mà đúng hơn là một tuyên bố giúp cho người đọc hiểu được tổng thể những gì giao diện được mong đợi để sử dụng. Người đánh giá không nên chỉ xác định mục đích tồn tại, mà còn là phản ánh chính xác TSFI bằng cách đưa vào tài khoản các thông tin khác về giao diện, như mô tả các hành động và các thông báo lỗi.


Phương pháp sử dụng cho TSFI tóm tắt làm thế nào giao diện được thao tác để gọi ra các hành động và đạt được các kết quả liên quan đến TSFI. Người đánh giá nên xác định, từ đọc vật liệu này trong đặc tả chức năng, cách sử dụng mỗi giao diện. Điều này không có nghĩa là cần phải có một phương pháp riêng biệt sử dụng cho mỗi TSFI, vì nó có thể mô tả chung làm thế nào các cuộc gọi cốt lõi được gọi ra, ví dụ, và khi đó mỗi giao diện xác định sử dụng phong cách chung. Các kiểu giao diện khác nhau sẽ đòi hỏi phương pháp khác nhau của thông số kỹ thuật sử dụng. các API, giao diện giao thức mạng, các thông số cấu hình hệ thống, giao diện bus phần cứng, tất cả đều có các phương pháp rất khác nhau để sử dụng, và điều này nên được đưa vào tài khoản của các nhà phát triển khi phát triển các đặc tả chức năng, cũng như thẩm định đánh giá các đặc tả chức năng.



98

TCVN xxx: 201510.4.5.3.5 Đơn vị công việc ADV_FSP.5-5 Người đánh giá cần thẩm tra các đặc tả chức năng để xác định tính chất đầy đủ của TSFI.

Người đánh giá cần sử dụng các tài liệu thiết kế để xác định các kiểu có thể có của các giao diện. Người đánh giá cần tìm kiếm các tài liệu thiết kế và các tài liệu hướng dẫn cho TSFI tiềm năng không bao gồm tài liệu của nhà phát triển, điều này chỉ ra rằng tập hợp các TSFI được xác định bởi các nhà phát triển là không đầy đủ. Người đánh giá cần thẩm tra các đối số được trình bày bởi nhà phát triển mà TSFI là đầy đủ và kiểm tra xuống mức thấp nhất của thiết kế hoặc với biểu diễn triển khai mà không tồn tại thêm TSFI.

TCVN 8709-3: 2011 ADV_FSP.5.4C: Đặc tả chức năng cần xác nhận và mô tả tất cả các tham số liên quan với mối TSFI.



Để xác định tất cả các thông số có mặt trong TSFI, người đánh giá nên thẩm tra phần còn lại của mô tả giao diện (các hành động, thông báo lỗi…) để xác định nếu ảnh hưởng của tham số được giải thích trong mô tả. Người đánh giá cũng nên kiểm tra bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để xem xét nếu hành vi hoặc các tham số bổ sung được mô tả ở đó nhưng không có trong đặc tả chức năng.




TCVN 8709-3: 2011 ADV_FSP.5.5C: Đặc tả chức năng cần mô tả tất cả các hành động liên quan đến mỗi TSFI.

99

TCVN xxx: 2015

10.4.5.3.8 Đơn vị công việc ADV_FSP.5-8 Người đánh giá cần thẩm tra việc trình bày của các TSFI để xác định rằng nó mô tả đầy đủ và chính xác tất cả các hành động liên quan với mỗi TSFI.

Người đánh giá kiểm tra để đảm bảo rằng tất cả các hành động được mô tả, hành động có thể sử dụng thông qua giao diện mô tả những gì giao diện làm (trái ngược với thiết kế TOE, trong đó mô tả làm cách nào các hành động được cung cấp bởi các TSF).

Các hành động của một giao diện mô tả theo chức năng có thể gọi đến thông qua giao diện, và có thể được phân loại như các hành động thường kỳ, và các hành động liên quan SFR. Hành động thường kỳ mô tả những gì giao diện có. Lượng thông tin cung cấp cho mô tả này phụ thuộc vào sự phức tạp của giao diện. Những hành động liên quan SFR là những hành động có thể nhìn thấy ở bất cứ giao diện bên ngoài nào (ví dụ, hoạt động kiểm toán là nguyên nhân bởi việc gọi đến của giao diện (yêu cầu kiểm toán giả định trong ST) nên được mô tả, mặc dù kết quả của hành động này nói chung là không thể nhìn thấy thông qua giao diện gọi đến). Tùy thuộc vào các thông số của giao diện, có thể có nhiều hành động khác nhau có thể được gọi đến thông qua giao diện (ví dụ, một API có thể có tham số đầu tiên là một "lệnh con”, và các thông số tiếp theo sẽ cụ thể của lệnh con đó. IOCTL API trong hệ thống Unix là một ví dụ về một giao diện như vậy).

Để xác định rằng các mô tả về những hành động của TSFI là đầy đủ, người đánh giá cần soát xét phần còn lại của mô tả giao diện (mô tả tham số, các thông báo lỗi…) để xác định nếu mô tả các hành động được giải thích. Người đánh giá cũng nên phân tích các bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử hoạt động, biểu diễn triển khai) để xem xét nếu có bằng chứng về hành động được mô tả ở đó nhưng không có trong đặc tả chức năngTCVN 8709-3: 2011 ADV_FSP.5.6C: Đặc tả chức năng cần mô tả tất cả các thông báo lỗi trực tiếp mà có kết quả từ việc gọi đến từ mỗi TSFI.

10.4.5.3.9 Đơn vị công việc ADV_FSP.5-9Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó mô tả đầy đủ và chính xác tất cả các thông báo lỗi mà kết quả từ việc gọi đến mỗi TSFI.


Lỗi (và các thông báo lỗi liên quan) xảy ra qua sự dẫn chứng của giao diện. Việc xử lý xảy ra để đáp ứng với sự dẫn chứng của giao diện có thể gặp phải các điều kiện lỗi, mà kích hoạt (thông qua một cơ chế triển khai cụ thể) một thông báo lỗi đã được tạo ra. Trong trường hợp này, có thể là giá trị trả về từ giao diện chính nó; trong trường hợp khác, giá trị toàn cầu có thể được thiết lập và kiểm tra sau khi có sự dẫn chứng của giao diện. Có khả năng TOE sẽ có số thông báo lỗi ở mức độ thấp, có thể là kết quả của các điều kiện nguồn tài nguyên cơ bản, chẳng hạn như " đĩa đầy" hay "tài nguyên bị khóa". Trong khi các thông báo lỗi này có thể ánh xạ đến một số lượng lớn các TSFI, chúng có thể được sử dụng để phát hiện các trường hợp chi tiết từ mô tả giao diện đã được bỏ qua. Ví dụ, một TSFI cung cấp tin nhắn “đĩa đầy", nhưng không có mô tả rõ ràng về lý do tại sao TSFI cần tạo ra truy cập vào đĩa trong mô tả của các hành động của nó, có thể người đánh giá thẩm tra các bằng chứng khác ((ADV_ARC), (ADV_TDS)) liên quan mà TSFI xác định nếu mô tả là chính xác.

100

TCVN xxx: 2015Người đánh giá xác định rằng, đối với mỗi TSFI, việc thiết lập chính xác các thông báo lỗi có thể được trả lại trên giao diện gọi đến có thể được xác định. Người đánh giá xem xét các bằng chứng đã cung cấp cho giao diện để xác định nếu tập hợp các lỗi đã hoàn tất. Họ thẩm tra chéo thông tin này với bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để đảm bảo rằng không có lỗi sinh ra trong quá trình được đề cập tới mà không có chứa trong đặc tả chức năng.

10.4.5.3.10 Đơn vị công việc ADV_FSP.5-10 Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó mô tả đầy đủ và chính xác ý nghĩa của tất cả các lỗi liên quan với mỗi TSFI.

Để xác định chính xác, người đánh giá phải có khả năng hiểu ý nghĩa của lỗi. Ví dụ, nếu một giao diện trả về một mã số 0, 1, hoặc 2, người đánh giá sẽ không thể hiểu được lỗi nếu đặc tả chức năng chỉ được liệt kê: "lỗi có thể phát sinh từ gọi đến của giao diện foo() là 0, 1, hoặc 2". Thay vào đó, người đánh giá kiểm tra để đảm bảo rằng các lỗi được mô tả như: "lỗi có thể phát sinh từ gọi đến của giao diện foo() là 0 (xử lý thành công), 1 (tập tin không tìm thấy), hoặc 2 (mô tả tên tập tin không chính xác)".

Để xác định rằng các mô tả về lỗi do việc gọi đến của TSFI là đầy đủ, người đánh giá thẩm tra phần còn lại của mô tả giao diện (các mô tả tham số, các hành động, v.v..) để xác định nếu các điều kiện lỗi tiềm năng có thể là nguyên nhân do cách sử dụng như một giao diện được giải thích. Người đánh giá cũng nên kiểm tra bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để xem xét nếu xử lý lỗi liên quan đến TSFI được mô tả ở đó nhưng không được mô tả trong đặc tả chức năng.

TCVN 8709-3: 2011 ADV_FSP.5.7C: Đặc tả chức năng cần mô tả tất cả các thông báo lỗi mà không phải được gọi đến TSFI.

10.4.5.3.11 Đơn vị công việc ADV_FSP.5-11 Người đánh giá cần thẩm tra đặc tả chức năng để xác định rằng nó mô tả đầy đủ và chính xác tất cả các thông báo lỗi mà không phải được gọi đến từ bấy kỳ TSFI nào.

Đơn vị công việc này bổ sung cho đơn vị công việc ADV_FSP.5-9, trong đó mô tả các thông báo lỗi mà phải được gọi đến từ TSFI . Tóm lại, những đơn vị công việc bao gồm tất cả các thông báo lỗi có thể được tạo ra bởi các TSF.

Người đánh giá đánh giá đầy đủ và chính xác đặc tả chức năng bằng cách so sánh nội dung của nó với các trường hợp tạo ra thông báo lỗi trong các biểu diễn triển khai. Hầu hết các thông báo lỗi này sẽ bao phủ đơn vị công việc ADV_FSP.5-9.

Các thông báo lỗi liên quan đến đơn vị công việc này thường là loại không được dự kiến tạo ra, nhưng được kết cấu như một đối tượng tốt để thực hành lập trình. Ví dụ, trường hợp tuyên bố định nghĩa các hành động từ mỗi danh sách các trường hợp có thể kết thúc với tuyên bố “else” cuối cùng để áp dụng cho bất cứ điều gì có thể không được dự kiến; thực hành này đảm bảo TSF không nhận vào trạng thái không xác định. Tuy nhiên, nó không phải là dự kiến đường dẫn thực hiện sẽ nhận được tuyên bố “else” này; Vì vậy, bất kỳ sự tạo ra thông báo lỗi trong tuyên bố “else” này sẽ không bao giờ được tạo ra. Mặc dù nó sẽ không được tạo ra, nhưng nó vẫn phải bao gồm trong đặc tả chức năng.

TCVN 8709-3: 2011 ADV_FSP.5.8C: Đặc tả chức năng cần cung cấp sở cứ cho mỗi thông báo lỗi chứa trong triển khai TSF nhưng kết quả không phải từ lệnh gọi đến TSFI.

101

TCVN xxx: 2015

10.4.5.3.12 Đơn vị công việc ADV_FSP.5-12 Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng nó cung cấp sở cứ cho mỗi thông báo lỗi chứa trong triển khai TSF nhưng kết quả không phải từ lệnh gọi đến TSFI.

Người đánh giá đảm bảo rằng tất cả các thông báo lỗi tìm thấy trong đơn vị công việc ADV_FSP.5-11 chứa sở cứ mô tả lý do tại sao nó không thể được gọi đến từ TSFI.

Như đã mô tả trong các đơn vị công việc trước đó, sở cứ này có thể đơn giản như thực tế thông báo lỗi trong câu hỏi được cung cấp đối với tính hoàn thiện của logic thực hiện và nó không bao giờ dự kiến sẽ được tạo ra. Người đánh giá đảm bảo rằng sở cứ cho mỗi thông báo lỗi như vậy là hợp lý.

TCVN 8709-3: 2011 ADV_FSP.5.9C: Theo dấu cần chứng minh rằng các SFR theo dấu đến các TSFI trong các đặc tả chức năng.



10.4.5.4 hành động ADV_FSP.5.2E





102

TCVN xxx: 201510.4.5.4.2 Đơn vị công việc ADV_FSP.5-15 Người đánh giá cần thẩm tra đặc tả chức năng để xác định rằng nó là sự chứng minh chính xác của các SFR.



10.4.6 Đánh giá hoạt động con (ADV_FSP.6) Không có hướng dẫn chung; Lược đồ nên được tư vấn để hướng dẫn hoạt động con này.

10.5 Biểu diễn triển khai (ADV_IMP)

10.5.1 Đánh giá hoạt động con (ADV_IMP.1)

10.5.1.1 Mục tiêu Mục tiêu của hoạt động con này là xác định rằng các biểu diễn triển khai được chuẩn bị sẵn sàng bởi nhà phát triển là phù hợp để sử dụng trong các hoạt động phân tích khác; phù hợp được đánh giá bằng sự tuân thủ của nó với các yêu cầu đối với phần này.


a) Biểu diễn triển khai;

b) Tài liệu của các công cụ phát triển, là kết quả của ALC_TAT;

c) Mô tả thiết kế TOE.

10.5.1.3 Các ghi chú áp dụng Toàn bộ biểu diễn triển khai được chuẩn bị sẵn sàng để đảm bảo rằng các hoạt động phân tích không bị rút ngắn do thiếu thông tin. Tuy vậy, điều này không có ngầm định rằng tất cả các biểu diễn được thẩm tra khi các hoạt động phân tích đang được thực hiện. Điều này không thực tế trong hầu hết các trường hợp, ngoài thực tế là nó rất có thể sẽ không dẫn đến một TOE có mức đảm bảo cao hơn so với mẫu mục tiêu của biểu diễn triển khai. Đối với hoạt động con này, điều này đáng tin cậy. Nó sẽ không cung cấp cho người đánh giá mà để dành một lượng lớn thời gian xác minh các yêu cầu cho một phần của biểu diễn triển khai và sau đó sử dụng một phần khác của biểu diễn triển khai trong việc thực hiện phân tích cho các đơn vị công việc khác. Do đó, người đánh giá được khuyến khích chọn mẫu của biểu diễn triển khai từ các lĩnh vực TOE sẽ được quan tâm nhất trong việc phân tích thực hiện trong các đơn vị công việc từ các họ khác (ví dụ ATE_IND, AVA_VAN và ADV_INT).

10.5.1.4 Hành động ADV_IMP.1.1E TCVN 8709-3: 2011 ADV_IMP.1.1C: Biểu diễn triển khai cần định nghĩa TSF theo một mức độ chi tiết như TSF có thể được tạo ra mà không cần các quyết định thiết kế thêm nào.

103

TCVN xxx: 2015

10.5.1.4.1 Đơn vị công việc ADV_IMP.1-1 Người đánh giá cần kiểm tra rằng các biểu diễn triển khai định nghĩa TSF theo một mức độ chi tiết như TSF có thể được tạo ra mà không cần các quyết định thiết kế thêm nào.

Mã nguồn hoặc sơ đồ phần cứng và/hoặc mã ngôn ngữ thiết kế phần cứng IC hoặc dữ liệu bố trí được sử dụng để xây dựng phần cứng thực tế là những ví dụ về các phần của biểu diễn triển khai. Người đánh giá lấy mẫu các biểu diễn triển khai để tăng độ tin cậy rằng nó đang ở mức thích hợp và không thích hợp, ví dụ, một mức mã giả với yêu cầu thực hiện các quyết định thiết kế bổ sung. Người đánh giá được khuyến khích thực hiện kiểm tra nhanh khi lần đầu tiên kiểm tra biểu diễn triển khai để đảm bảo rằng bản thân các nhà phát triển đang đi đúng hướng. Tuy nhiên, người đánh giá cũng được khuyến khích thực hiện phần lớn các kiểm tra này khi làm việc trên đơn vị công việc khác khi truy xuất để thẩm tra triển khai; điều này sẽ đảm bảo mẫu thẩm tra cho đơn vị công việc này là có liên quan.

TCVN 8709-3: 2011 ADV_IMP.1.2C: Biểu diễn triển khai cần dưới dạng được sử dụng bởi các cá nhân phát triển.

10.5.1.4.2 Đơn vị công việc ADV_IMP.1-2Người đánh giá cần kiểm tra biểu diễn triển khai dưới dạng được sử dụng bởi các cá nhân phát triển.

Biểu diễn triển khai được thao tác bởi nhà phát triển dưới hình thức phù hợp cho chuyển đổi để triển khai trong thực tế. Ví dụ, nhà phát triển có thể làm việc với các tập tin có chứa mã nguồn, được biên dịch để cuối cùng trở thành một phần của TSF. Nhà phát triển chuẩn bị sẵn sàng biểu diễn triển khai dưới dạng họ sử dụng, do đó, người đánh giá có thể sử dụng kỹ thuật tự động trong phân tích. Điều này cũng làm tăng sự tự tin cho các biểu diễn triển khai đã thẩm tra là thực sự sử dụng trong sản xuất của TSF (trái ngược với trường hợp được cung cấp theo định dạng trình diễn thay thế, chẳng hạn như một phần mềm xử lý văn bản). Cần lưu ý rằng các dạng khác của các biểu diễn triển khai cũng có thể được sử dụng bởi nhà phát triển; các mẫu này được cung cấp cũng tốt. Mục tiêu tổng thể là cung cấp cho người đánh giá với thông tin sẽ tối đa hóa những nỗ lực phân tích của người đánh giá.

Người đánh giá lấy mẫu các biểu diễn triển khai để tăng độ tin cậy rằng nó đang ở phiên bản có thể sử dụng bởi nhà phát triển. Mẫu này khiến người đánh giá đảm bảo rằng tất cả các vùng của biểu diễn triển khai là sự phù hợp với yêu cầu; tuy nhiên, thẩm tra đầy đủ toàn bộ biểu diễn triển khai là không được yêu cầu.

Quy ước trong một số hình thức biểu diễn triển khai có thể làm cho nó khó hoặc không thể xác định được từ biểu diễn triển khai của chính nó những gì mà các kết quả thực tế của việc biên soạn hoặc thời gian chạy sẽ làm sáng tỏ. Ví dụ, chỉ thị biên dịch cho các trình biên dịch ngôn ngữ C sẽ làm cho các trình biên dịch loại trừ hoặc bao gồm toàn bộ các phần mã.

Một số hình thức của các biểu diễn triển khai có thể yêu cầu thêm thông tin vì chúng tạo ra những rào cản đáng kể cho sự hiểu biết và phân tích. Ví dụ như mã nguồn bị che khuất hoặc mã nguồn đã được làm cho khó hiểu theo những cách khác, do đó nó ngăn cản sự hiểu biết và/hoặc phân tích. Các dạng biểu diễn triển khai thường do kết quả của nhà phát triển TOE tạo ra một phiên bản của biểu diễn triển khai và chạy một chương trình bị che khuất hay làm cho khó hiểu trong đó. Trong khi biểu diễn bị che khuất là những gì được biên dịch và có thể được gần hơn để triển khai (trong các thuật ngữ về cấu trúc) so với ban đầu, biểu diễn bị làm cho khó hiểu, cung cấp mã khó hiểu có thể tiêu tốn thời gian đáng kể khí thực hiện việc phân tích các nhiệm vụ gọi đến biểu diễn. Khi các hình thức biểu diễn được tạo ra, các thành phần yêu cầu chi tiết về các công cụ/thuật toán bị che khuất được sử dụng để biểu

104

TCVN xxx: 2015điện không bị che khuất có thể được cung cấp, và các thông tin bổ sung có thể được sử dụng để đạt được sự tự tin trong quá trình bị che khuất không làm tổn hại bất kỳ cơ chế an toàn nào.

Người đánh giá lấy mẫu các biểu diễn triển khai để tăng độ tin cậy rằng tất cả các thông tin được yêu cầu để giải thích cho biểu diễn triển khai đã được cung cấp. Lưu ý rằng các công cụ này là một trong số những công cụ được tham chiếu bởi các thành phần Công cụ và kỹ thuật (ALC_TAT). Người đánh giá được khuyến khích thực hiện kiểm tra nhanh khi lần đầu tiên kiểm tra biểu diễn triển khai để đảm bảo rằng bản thân các nhà phát triển đang đi đúng hướng. Tuy nhiên, người đánh giá cũng được khuyến khích thực hiện phần lớn các kiểm tra này khi làm việc trên đơn vị công việc khác khi truy xuất để thẩm tra triển khai; điều này sẽ đảm bảo mẫu thẩm tra cho đơn vị công việc này là có liên quan.

TCVN 8709-3: 2011 ADV_IMP.1.3C: Ánh xạ giữa mô tả thiết kế TOE và ví dụ biểu diễn triển khai cần chứng minh sự đáp ứng của nó.

10.5.1.4.3 Đơn vị công việc ADV_IMP.1-3 Người đánh giá cần thẩm tra ánh xạ giữa mô tả thiết kế TOE và mẫu của biểu diễn triển khai để xác định rằng nó là chính xác.

Người đánh giá làm tăng việc xác định sự tồn tại (quy định tại đơn vị công việc ADV_IMP.1-1) bằng cách thẩm tra độ chính xác một phần của biểu diễn triển khai và mô tả thiết kế TOE. Đối với các phần của mô tả thiết kế TOE đáng quan tâm, người đánh giá sẽ thẩm tra việc biểu diễn triển khai phản ánh chính xác mô tả được cung cấp trong mô tả thiết kế TOE.

Ví dụ, mô tả thiết kế TOE có thể xác định một mô đun đăng nhập được sử dụng để xác định và xác thực người dùng. Nếu xác thực người dùng là đủ lớn, người đánh giá sẽ thẩm tra các mã tương ứng trên thực tế triển khai các dịch vụ như mô tả trong mô tả thiết kế TOE. Nó cũng có thể đáng để thẩm tra rằng mã chấp nhận các thông số như mô tả trong đặc tả chức năng.

Đây là giá trị chỉ ra nhà phát triển phải chọn liệu có thực hiện ánh xạ cho toàn bộ biểu diễn triển khai không, do đó đảm bảo các mẫu lựa chọn sẽ được bao phủ, hoặc đợi để lựa chọn mẫu trước khi thực hiện việc ánh xạ. Lựa chọn đầu tiên là công việc có khả năng hơn, nhưng có thể được hoàn thành trước khi đánh giá bắt đầu. Lựa chọn thứ hai ít khả năng hơn, nhưng sẽ tạo ra sự ngừng lại của hoạt động đánh giá trong khi chứng cứ được yêu cầu đang được tạo ra.

10.5.2 Đánh giá hoạt động con (ADV_IMP.2) Không có hướng dẫn chung; Nên tư vấn lược đồ để hướng dẫn hoạt động con này.

10.6 Nội bộ TSF (ADV_INT)

10.6.1 Đánh giá hoạt động con (ADV_INT.1)

10.6.1.1 Mục tiêu Mục tiêu của hoạt động con này là xác định liệu định nghĩa tập con của TSF được thiết kế và cấu trúc như vậy thì khả năng xảy ra lỗ hổng có giảm và bảo trì có thể được thực hiện dễ dàng hơn mà không cần tạo ra các lỗ hổng không.


a) ST;

b) Mô tả thiết kế TOE;

105

TCVN xxx: 2015

c) Biểu diễn triển khai (nếu ADV_IMP là một phần của yêu cầu bảo đảm);

d) Mô tả kiến trúc;

e) Tài liệu hướng dẫn các tiêu chuẩn mã hóa, là kết quả của ALC_TAT.

10.6.1.3 Các ghi chú áp dụng Vai trò của mô tả nội bộ là cung cấp bằng chứng về cấu trúc của thiết kế và triển khai của TSF.

Cấu trúc của thiết kế có hai phần: các phần cấu thành TSF và các thủ tục được sử dụng để thiết kế TSF. Trong trường hợp khi TSF được thiết kế phù hợp với thiết kế đại diện bởi các thiết kế TOE (xem ADV_TDS), việc đánh giá các thiết kế TSF là hiển nhiên. Trong trường hợp khi các thủ tục thiết kế TSF đang được quan sát (xem ALC_TAT), việc đánh giá các thủ tục thiết kế TSF là hiển nhiên tương tự.

Trong trường hợp khi TSF được triển khai bằng cách sử dụng phần mềm thủ tục cơ sở, cấu trúc này được đánh giá trên cơ sở hệ mô đun của nó; các mô đun được xác định trong mô tả nội bộ cũng giống như các mô đun được xác định trong thiết kế TOE (thiết kế TOE (ADV_TDS)). Một mô đun bao gồm một hoặc nhiều tập tin mã nguồn mà không thể được phân chia thành các đơn vị biên dịch nhỏ hơn.

Việc sử dụng các chỉ định trong phần này hạn chế chặt chẽ các khoản thu trên các tập con của TSF được xác định một cách rõ ràng trong chỉ định ADV_INT.1.1D hơn so với phần còn lại của TSF. Trong khi TSF toàn bộ được thiết kế để sử dụng các nguyên tắc kỹ thuật và kết quả của TSF cấu trúc rõ ràng, chỉ tập con quy định được phân tích cụ thể cho bản chất này. Người đánh giá xác định rằng kết quả tiêu chuẩn mã hóa ứng dụng của nhà phát triển trong TSF là dễ hiểu.

Mục tiêu chính của phần này là đảm bảo biểu diễn triển khai các tập con của TSF là dễ hiểu để tạo điều kiện bảo trì và phân tích (của cả nhà phát triển và người đánh giá).

10.6.1.4 Hành động ADV_INT.1.1E TCVN 8709-3: 2011 ADV_INT.1.1C: Biện minh cần giải thích các bản chất được sử dụng để xem xét ý nghĩa của “cấu trúc rõ ràng”.

10.6.1.4.1 Đơn vị công việc ADV_INT.1-1 Người đánh giá cần thẩm tra sự biện minh để xác định rằng nó nhận dạng chuẩn để xác định liệu TSF có cấu trúc rõ ràng không.

Người đánh giá thẩm tra các tiêu chí để xác định bản chất của cấu trúc rõ ràng được định nghĩa rõ ràng trong sự biện minh. Tiêu chí chấp nhận thường bắt nguồn từ tiêu chuẩn công nghiệp đối với quy tắc công nghệ. Ví dụ, phần mềm thủ tục thực thi tuyến tính truyền thống được xem là có cấu trúc rõ ràng nếu nó tuân thủ các thực hành lập trình công nghệ phần mềm, chẳng hạn như những quy định trong tiêu chuẩn IEEE (IEEE Std 610.12-1990). Ví dụ, nó sẽ nhận dạng tiêu chí cho các phần của phần mềm thủ tục của các tập con TSF:

a) Tiến trình được sử dụng để phân tách mô đun, b) Tiêu chuẩn mã hóa được sử dụng trong sự phát triển của triển khai, c) Mô tả về mức độ tối đa có thể chấp nhận khớp nối liên mô đun tạo ra bởi các tập con TSF, và d) Mô tả về mức độ tối thiểu có thể chấp nhận sự gắn kết tạo ra các mô đun của tập con TSF.

Đối với các loại công nghệ được sử dụng trong TOE - chẳng hạn như phần mềm không theo thủ tục (ví dụ như lập trình hướng đối tượng), phần cứng hàng hóa phổ biến (ví dụ như bộ vi xử lý máy tính),

106

TCVN xxx: 2015và phần cứng đặc biệt (ví dụ như bộ vi xử lý thẻ thông minh) - người đánh giá nên tìm kiếm hướng dẫn từ cơ quan đánh giá để xác định sự phù hợp của các tiêu chí đối với "cấu trúc rõ ràng".

TCVN 8709-3: 2011 ADV_INT.1.2C: Mô tả các tính chất của TSF cần chứng minh rằng tập con được ấn định của TSF là được cấu trúc rõ ràng.

10.6.1.4.2 Đơn vị công việc ADV_INT.1-2 Người đánh giá cần kiểm tra việc mô tả tính chất của TSF để xác định rằng nó xác định tập con được ấn định của TSF.

Tập con này có thể được xác định trong các thuật ngữ của TSF nội bộ tại bất kỳ lớp trừu tượng nào. Ví dụ, nó có thể có trong các thuật ngữ các yếu tố cấu trúc của TSF được nhận dạng trong thiết kế TOE (ví dụ như các hệ thống con kiểm toán), hoặc trong các thuật ngữ của triển khai (ví dụ các tập tin encrypt.c và decrypt.c, hoặc chip IC 6227).

Sẽ không đủ khi xác định tập con này trong các thuật ngữ các SFR được yêu cầu (ví dụ như các phần của TSF cung cấp giấu tên như xác định tại FPR_ANO.2) vì điều này không chỉ ra nơi tập trung phân tích.

10.6.1.4.3 Đơn vị công việc ADV_INT.1-3 Người đánh giá cần thẩm tra mô tả tính chất của TSF để xác định rằng nó chứng minh tập con TSF được ấn định có cấu trúc rõ ràng.

Người đánh giá thẩm tra các mô tả tính chất để đảm bảo rằng nó cung cấp lời giải thích hợp lý như thế nào để tập con TSF đáp ứng các tiêu chí từ ADV_INT.1-1.

Ví dụ, nó sẽ giải thích làm thế nào các phần của phần mềm thủ tục của các tập con TSF đáp ứng những điều kiện sau đây:

a) Rằng có một sự tương ứng một-một giữa các mô đun được xác định trong tập con TSF và các mô đun được mô tả trong thiết kế TOE (ADV_TDS),

b) Cách thiết kế TSF là một sự phản ánh của quá trình phân tách mô đun, c) Sự biện minh đối với tất cả các trường hợp khi các tiêu chuẩn mã hóa không được sử dụng hoặc

đáp ứng, và d) Sự biện minh đối với bất kỳ khớp nối hoặc sự gắn kết bên ngoài phạm vi có thể chấp nhận được.

10.6.1.5 Hành động ADV_INT.1.2E

10.6.1.5.1 Đơn vị công việc ADV_INT.1-4 Người đánh giá cần xác định rằng thiết kế TOE cho tập con TSF được ấn định là cấu trúc rõ ràng.

Người đánh giá thẩm tra mẫu thiết kế TOE để thẩm tra tính chính xác của sự biện minh. Ví dụ, một mẫu thiết kế TOE được phân tích để xác định sự tuân thủ của nó với các tiêu chuẩn thiết kế… Như với tất cả các lĩnh vực nơi người đánh giá thực hiện các hoạt động trên một tập con, người đánh giá cung cấp một sự biện minh của kích thước và phạm vi áp dụng mẫu.

Mô tả sự phân tách của TOE thành hệ thống con và các mô đun sẽ tạo ra lập luận rằng tập con của TSF là cấu trúc rõ ràng hiển nhiên. Sự thẩm tra các thủ tục đối với cấu trúc TSF (như thẩm tra trong ALC_TAT) đang xảy ra sẽ là hiển nhiên với tập con TSF có cấu trúc rõ ràng.

10.6.1.5.2 Đơn vị công việc ADV_INT.1-5 Người đánh giá cần xác định rằng tập con TSF được ấn định có cấu trúc rõ ràng.

107

TCVN xxx: 2015

Nếu ADV_IMP không phải là một phần của việc bảo đảm yêu cầu, thì đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá thẩm tra mẫu của tập con TSF để thẩm tra tính chính xác của mô tả các tính chất. Ví dụ, mẫu của các phần của phần mềm thủ tục của tập con TSF được phân tích để xác định sự gắn kết và khớp nối của nó, nó gắn kết với các tiêu chuẩn mã hóa… Như với tất cả các lĩnh vực nơi người đánh giá thực hiện các hoạt động trên một tập con, người đánh giá cung cấp một sự biện minh của kích thước và phạm vi áp dụng mẫu.

10.6.2 Đánh giá hoạt động con (ADV_INT.2)

10.6.2.1 Mục tiêu Mục tiêu của hoạt động con này là xác định liệu định nghĩa TSF được thiết kế và cấu trúc như vậy thì khả năng xảy ra lỗ hổng có giảm và bảo trì có thể được thực hiện dễ dàng hơn mà không cần tạo ra các lỗ hổng không.


a) Mô tả thiết kế TOE;

b) Biểu diễn triển khai (nếu ADV_IMP là một phần của yêu cầu bảo đảm);

c) Mô tả kiến trúc;

d) Tài liệu hướng dẫn các tiêu chuẩn mã hóa, là kết quả của ALC_TAT.

10.6.2.3 Các lưu ý áp dụng Vai trò của mô tả nội bộ là cung cấp bằng chứng về cấu trúc của thiết kế và triển khai của TSF.

Cấu trúc của thiết kế có hai phần: các phần cấu thành TSF và các thủ tục được sử dụng để thiết kế TSF. Trong trường hợp khi TSF được thiết kế phù hợp với thiết kế đại diện bởi các thiết kế TOE (xem ADV_TDS), việc đánh giá các thiết kế TSF là hiển nhiên. Trong trường hợp khi các thủ tục thiết kế TSF đang được quan sát (xem ALC_TAT), việc đánh giá các thủ tục thiết kế TSF là hiển nhiên tương tự.

Trong trường hợp khi TSF được triển khai bằng cách sử dụng phần mềm thủ tục cơ sở, cấu trúc này được đánh giá trên cơ sở hệ mô đun của nó; các mô đun được xác định trong mô tả nội bộ cũng giống như các mô đun được xác định trong thiết kế TOE (thiết kế TOE (ADV_TDS)). Một mô đun bao gồm một hoặc nhiều tập tin mã nguồn mà không thể được phân chia thành các đơn vị biên dịch nhỏ hơn.

Mục tiêu chính của phần này là đảm bảo biểu diễn triển khai các tập con của TSF là dễ hiểu để tạo điều kiện bảo trì và phân tích (của cả nhà phát triển và người đánh giá).

10.6.2.4 hành động ADV_INT.2.1E TCVN 8709-3: 2011 ADV_INT.2.1C: Sự biện minh cần mô tả các tính chất sử dụng để thẩm tra ý nghĩa của “cấu trúc rõ ràng”.

10.6.2.4.1 Đơn vị công việc ADV_INT.2-1 Người đánh giá cần thẩm tra sự biện minh để xác định rằng nó nhận dạng chuẩn để xác định liệu TSF có cấu trúc rõ ràng không.

108

TCVN xxx: 2015Người đánh giá thẩm tra các tiêu chí để xác định bản chất của cấu trúc rõ ràng được định nghĩa rõ ràng trong sự biện minh. Tiêu chí chấp nhận thường bắt nguồn từ tiêu chuẩn công nghiệp đối với quy tắc công nghệ. Ví dụ, phần mềm thủ tục thực thi tuyến tính truyền thống được xem là có cấu trúc rõ ràng nếu nó tuân thủ các thực hành lập trình công nghệ phần mềm, chẳng hạn như những quy định trong tiêu chuẩn IEEE (IEEE Std 610.12-1990). Ví dụ, nó sẽ nhận dạng tiêu chí cho các phần của phần mềm thủ tục của các tập con TSF:

a) Quá trình được sử dụng để phân tách mô đun, b) Tiêu chuẩn mã hóa được sử dụng trong sự phát triển của triển khai, c) Mô tả về mức độ tối đa có thể chấp nhận khớp nối liên mô đun tạo ra bởi các tập con TSF, và d) Mô tả về mức độ tối thiểu có thể chấp nhận sự gắn kết tạo ra các mô đun của tập con TSF.

Đối với các loại công nghệ được sử dụng trong TOE - chẳng hạn như phần mềm không theo thủ tục (ví dụ như lập trình hướng đối tượng), phần cứng hàng hóa phổ biến (ví dụ như bộ vi xử lý máy tính), và phần cứng đặc biệt (ví dụ như bộ vi xử lý thẻ thông minh) - người đánh giá nên tìm kiếm hướng dẫn từ cơ quan đánh giá để xác định sự phù hợp của các tiêu chí đối với "cấu trúc rõ ràng".

TCVN 8709-3: 2011 ADV_INT.2.2C: Mô tả tính chất TSF cần chứng minh rằng toàn bộ TSF có cấu trúc rõ ràng.

10.6.2.4.2 Đơn vị công việc ADV_INT.2-2 Người đánh giá cần thẩm tra mô tả tính chất của TSF để xác định rằng nó chứng minh tập con TSF được ấn định có cấu trúc rõ ràng.

Người đánh giá thẩm tra các mô tả tính chất để đảm bảo rằng nó cung cấp lời giải thích hợp lý như thế nào để tập con TSF đáp ứng các tiêu chí từ ADV_INT.1-1.

Ví dụ, nó sẽ giải thích làm thế nào các phần của phần mềm thủ tục của các tập con TSF đáp ứng những điều kiện sau đây:

a) Rằng có một sự tương ứng một-một giữa các mô đun được xác định trong tập con TSF và các mô đun được mô tả trong thiết kế TOE (ADV_TDS),

b) Cách thiết kế TSF là một sự phản ánh của quá trình phân tách mô đun, c) Sự biện minh đối với tất cả các trường hợp khi các tiêu chuẩn mã hóa không được sử dụng hoặc

đáp ứng, và d) Sự biện minh đối với bất kỳ khớp nối hoặc sự gắn kết bên ngoài phạm vi có thể chấp nhận được.

10.6.2.5 Hành động ADV_INT.2.2E

10.6.2.5.1 Đơn vị công việc ADV_INT.2-3 Người đánh giá cần xác định rằng thiết kế TOE có cấu trúc rõ ràng.

Người đánh giá thẩm tra mẫu thiết kế TOE của TSF để thẩm tra tính chính xác của sự biện minh. Ví dụ, một mẫu thiết kế TOE được phân tích để xác định sự tuân thủ của nó với các tiêu chuẩn thiết kế, v.v… Như với tất cả các lĩnh vực nơi người đánh giá thực hiện các hoạt động trên một tập con, người đánh giá cung cấp một sự biện minh của kích thước và phạm vi áp dụng mẫu.

Mô tả sự phân tách của TOE thành hệ thống con và các mô đun sẽ tạo ra lập luận rằng tập con của TSF là cấu trúc rõ ràng hiển nhiên. Sự thẩm tra các thủ tục đối với cấu trúc TSF (như thẩm tra trong ALC_TAT) đang xảy ra sẽ là hiển nhiên với tập con TSF có cấu trúc rõ ràng.

10.6.2.5.2 Đơn vị công việc ADV_INT.2-4

109

TCVN xxx: 2015

Người đánh giá cần xác định rằng tập con TSF được ấn định có cấu trúc rõ ràng.

Nếu ADV_IMP không phải là một phần của việc bảo đảm yêu cầu, thì đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá thẩm tra mẫu của tập con TSF để thẩm tra tính chính xác của mô tả các tính chất. Ví dụ, mẫu của các phần của phần mềm thủ tục của tập con TSF được phân tích để xác định sự gắn kết và khớp nối của nó, nó gắn kết với các tiêu chuẩn mã hóa… Như với tất cả các lĩnh vực nơi người đánh giá thực hiện các hoạt động trên một tập con, người đánh giá cung cấp một sự biện minh của kích thước và phạm vi áp dụng mẫu.

10.6.3 Đánh giá hoạt động con (ADV_INT.3) Không có hướng dẫn chung; Lược đồ nên được tư vấn để hướng dẫn hoạt động con này.

10.7 Mô hình hóa chính sách an toàn (ADV_SPM)

10.7.1 Đánh giá hoạt động con (ADV_SPM.1)Không có hướng dẫn chung; Lược đồ nên được tư vấn để hướng dẫn hoạt động con này.

10.8 Thiết kế TOE (ADV_TDS)

10.8.1 Đánh giá hoạt động con (ADV_TDS.1)10.8.1.1 Đầu vào


a) ST;b) Đặc tính chức năng;c) Đặc tả kiến trúc an toàn;d) Thiết kế TOE.

10.8.1.2 Hành động ADV_TDS.1.1EISO/IEC 15.408-3 ADV_TDS.1.1C: Bản thiết kế cần mô tả cấu trúc TOE với các hệ thống con.

10.8.1.2.1 Đơn vị công việc ADV_TDS.1-1Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng cấu trúc của toàn bộ TOE được mô tả trong thuật ngữ các hệ thống con.

Người đánh giá đảm bảo rằng tất cả các hệ thống con của TOE được xác định. Đặc tả này của TOE sẽ được sử dụng như đầu vào cho đơn vị công việc ADV_TDS.1-2, nơi các thành phần của TOE tạo nên TSF được xác định. Do đó, yêu cầu này là trên toàn bộ TOE chứ không phải chỉ cho TSF.

TOE (và TSF) có thể được mô tả trong nhiều lớp trừu tượng (ví dụ: các hệ thống con và các mô đun). Tùy thuộc vào sự phức tạp của TOE, thiết kế của nó có thể được mô tả trong các thuật ngữ của các hệ thống con và mô đun, như đã mô tả trong ISO/IEC 15.408-3 Phụ lục A.4, ADV_TDS: Các hệ thống con và các mô đun. Ở cấp độ đảm bảo này, sự chia tách chỉ cần ở mức “hệ thống con”.

Khi thực hiện hoạt động này, người đánh giá thẩm tra bằng chứng khác đối với TOE (ví dụ: ST, hướng dẫn người sử dụng của nhà khai thác) để xác định rằng mô tả TOE trong bằng chứng như vậy là nhất quán với mô tả có trong thiết kế TOE.

110

TCVN xxx: 2015ISO/IEC 15.408-3 ADV_TDS.1.2C: Bản thiết kế cần chỉ ra tất cả các hệ thống con của TSF.

10.8.1.2.2 Đơn vị công việc ADV_TDS.1-2Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng tất cả các hệ thống con của TSF được xác định.

Trong đơn vị công việc ADV_TDS.1-1, tất cả các hệ thống con của TOE đã được xác định, và quyết định chỉ ra rằng các hệ thống con không TSF được đặc tả một cách chính xác. Dựa trên công việc đó, các hệ thống con không được đặc tả như là hệ thống con không TSF nên xác định một cách chính xác. Người đánh giá xác định rằng, trong những phần cứng và phần mềm được cài đặt và cấu hình theo hướng dẫn cho các thủ tục chuẩn bị (AGD_PRE), mỗi hệ thống con đã được xác định như là hoặc một phần của TSF, hoặc không.

ISO/IEC 15.408-3 ADV_TDS.1.3C: Bản thiết kế cần mô tả hoạt động của mỗi hệ thống con TSF kiểu hỗ trợ SFR hoặc không can thiệp SFR ở mức độ chi tiết đủ để khẳng định nó không phải là kiểu thực thi SFR.

10.8.1.2.3 Đơn vị công việc ADV_TDS.1-3Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mỗi hệ thống con hỗ trợ SFR hoặc không can thiệp SFR của TSF được mô tả theo cách mà người đánh giá có thể xác định rằng hệ thống con là hỗ trợ SFR hoặc không can thiệp SFR.

Các hệ thống con hỗ trợ SFR và không can thiệp SFR không cần được mô tả chi tiết chức năng của chúng trong hệ thống như thế nào. Tuy nhiên, người đánh giá tạo ra quyết định dựa trên các bằng chứng được cung cấp bởi nhà phát triển, rằng các hệ thống con không mô tả cấp cao là hỗ trợ SFR hoặc không can thiệp SFR. Lưu ý rằng nếu nhà phát triển cung cấp một mức thống nhất tài liệu chi tiết thì đơn vị công việc này sẽ là thoả mãn đầy đủ, kể từ thời điểm phân loại các hệ thống con cho phép nhà phát triển cung cấp ít thông tin hơn cho các hệ thống con hỗ trợ SFR và không can thiệp SFR so với các hệ thống con thực thi SFR.

Một hệ thống con hỗ trợ SFR là một hệ thống con phụ thuộc vào một hệ thống con thực thi SFR để thực hiện một SFR, nhưng không đóng vai trò trực tiếp như là một hệ thống con thực thi SFR. Một hệ thống con không can thiệp SFR là một hệ thống con không phụ thuộc, trong vai trò hoặc hỗ trợ hoặc thực thi, khi thực hiện một SFR.

ISO/IEC 15.408-3 ADV_TDS.1.4C: Bản thiết kế cần tóm lược hoạt động thực thi SFR cho các hệ thống con kiểu thực thi SFR.

10.8.1.2.4 Đơn vị công việc ADV_TDS.1-4Người đánh giá cần thẩm tra việc thiết kế TOE để xác định rằng nó cung cấp một sự đặc tả cách đầy đủ, chính xác, và ở mức cao của hoạt động thực thi SFR cho các hệ thống con kiểu thực thi SFR.

Nhà phát triển có thể chỉ định các hệ thống con như là thực thi SFR, hỗ trợ SFR và không can thiệp SFR, nhưng các "thẻ" này chỉ được sử dụng để mô tả số lượng và loại thông tin mà nhà phát triển phải cung cấp, và có thể được sử dụng để hạn chế số lượng thông tin nhà phát triển phải phát triển nếu quy trình kỹ thuật của họ không tạo ra các tài liệu được yêu cầu. Liệu các hệ thống con có được phân loại bởi nhà phát triển hay không, người đánh giá có trách nhiệm xác định các hệ thống con có các thông tin thích hợp cho vai trò của chúng (thực thi SFR…) trong TOE, và để có được những thông tin thích hợp từ nhà phát triển nên lỗi của nhà phát triển cung cấp là thông tin được yêu cầu cho một hệ thống con cụ thể.

111

TCVN xxx: 2015

Hoạt động thực thi SFR liên quan đến ”làm thế nào” một hệ thống con cung cấp chức năng thực hiện một SFR. Một mô tả mức cao không cần phải đề cập đến cấu trúc dữ liệu cụ thể (mặc dù có thể), mà thay vào đó đề cập nhiều hơn đến luồng dữ liệu chung, lưu lượng tin nhắn, và các mối quan hệ kiểm soát trong một hệ thống con. Mục tiêu của những mô tả này là cung cấp cho người đánh giá đủ thông tin để hiểu ”làm thế nào” mà hoạt động thực thi SFR được thực hiện. Lưu ý rằng người đánh giá cần tìm khẳng định không thể chấp nhận thực thi SFR trong các tài liệu thiết kế TOE cho đơn vị công việc này. Cần lưu ý rằng đó là quyết tâm của đánh giá đối với những gì "mức cao" có nghĩa là cho một TOE đặc biệt, và người đánh giá thu thập đầy đủ thông tin từ nhà phát triển để tạo ra nhận định hợp lý cho đơn vị công việc này.

Để xác định tính hoàn thiện và chính xác, người đánh giá thẩm tra các thông tin có sẵn khác (ví dụ, đặc tính kỹ thuật, mô tả kiến trúc an toàn, biểu diễn triển khai). Mô tả các chức năng trong các tài liệu này nên nhất quán với những gì đã cung cấp cho bằng chứng đối vói đơn vị công việc này.

ISO/IEC 15.408-3 ADV_TDS.1.5C: Bản thiết kế cần tạo ra mô tả về tương tác của các hệ thống con kiểu thực thi SFR của TSF, và giữa các hệ thống con đó với các hệ thống con của TSF khác.

10.8.1.2.5 Đơn vị công việc ADV_TDS.1-5Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng sự tương tác giữa các hệ thống con của TSF đã được mô tả.

Mục tiêu của mô tả sự tương tác giữa các hệ thống con thực thi SFR và các hệ thống con khác là giúp cung cấp cho người đọc hiểu biết hơn về cách TSF thực hiện các chức năng của nó. Những tương tác này không cần phải được mô tả ở mức triển khai (ví dụ, thông số được truyền từ một đoạn chương trình trong một hệ thống con đến một đoạn chương trình trong một hệ thống con khác, biến số toàn cục, tín hiệu phần cứng (ví dụ, ngắt) từ một hệ thống con phần cứng tới một hệ thống con điều khiển ngắt), nhưng các yếu tố dữ liệu xác định cho một hệ thống con đặc biệt được sử dụng bởi một hệ thống con khác cần được đề cập trong thảo luận này. Bất kỳ mối quan hệ điều khiển nào giữa hệ thống con (ví dụ, một hệ thống con chịu trách nhiệm cấu hình một nguyên tắc cơ bản cho một hệ thống tường lửa và một hệ thống con thực sự thực hiện các quy tắc này) cũng nên được mô tả.

Người đánh giá cần phải sử dụng nhận định của riêng họ trong việc đánh giá tính trọn vẹn của sự mô tả. Nếu lý do cho một tương tác là không rõ ràng, hoặc nếu có những tương tác liên quan SFR (ví dụ: phát hiện trong kiểm tra các mô tả đáp ứng của hệ thống con) không được mô tả, người đánh giá đảm bảo rằng thông tin này được cung cấp bởi nhà phát triển. Tuy nhiên, nếu người đánh giá có thể xác định rằng sự tương tác trong một tập hợp riêng của các hệ thống con, trong khi nhà phát triển mô tả không đầy đủ, sẽ không hỗ trợ tìm hiểu về chức năng tổng thể cũng như chức năng an toàn được cung cấp bởi TSF, khi đó người đánh giá có thể chọn coi như mô tả đầy đủ, và không theo đuổi tính trọn vẹn vì mục đích riêng của mình.

ISO/IEC 15.408-3 ADV_TDS.1.6C: Bản thiết kế cần biểu thị rằng mọi hoạt động mô tả trong thiết kế TOE được ánh xạ vào trong các TSFI thực thi chúng.

10.8.1.2.6 Đơn vị công việc ADV_TDS.1-6Người đánh giá cần thẩm tra việc thiết kế TOE để xác định rằng nó chứa ánh xạ đầy đủ và chính xác từ TSFI đã mô tả trong đặc tả chức năng đến các hệ thống con của TSF được mô tả trong thiết kế TOE.

112

TCVN xxx: 2015Các hệ thống con được mô tả trong thiết kế TOE cung cấp mô tả về cách mà TSF làm việc ở mức độ chi tiết cho các phần thực thi SFR của TSF, và ở một mức độ cao hơn cho các phần khác của TSF. TSFI cung cấp một mô tả về cách triển khai được tiến hành. Các bằng chứng từ nhà phát triển xác định hệ thống con phức tạp ban đầu khi một hoạt động được yêu cầu tại TSFI, và xác định các hệ thống con khác nhau chịu trách nhiệm chính cho việc triển khai các chức năng. Lưu ý rằng một "cây truy xuất" hoàn thiện đối với mỗi TSFI là không được yêu cầu cho đơn vị công việc này.

Người đánh giá đánh giá tính trọn vẹn của các ánh xạ bằng cách đảm bảo rằng tất cả TSFI ánh xạ đến ít nhất một hệ thống con. Việc xác minh độ chính xác thì phức tạp hơn.

Khía cạnh đầu tiên của độ chính xác là mỗi TSFI được ánh xạ tới một hệ thống con tại ranh giới TSF. Xác định này có thể được thực hiện bằng cách thẩm tra lại các mô tả và tương tác hệ thống con, và từ các thông tin này xác định vị trí của nó trong kiến trúc. Khía cạnh tiếp theo của độ chính xác là ý nghĩa của cách thức ánh xạ. Ví dụ, ánh xạ một TSFI đối phó với kiểm soát quyền truy cập vào một hệ thống con để kiểm tra mật khẩu không chính xác. Người đánh giá nên một lần nữa sử dụng nhận định trong việc tạo ra quyết định này. Mục tiêu là thông tin này là hỗ trợ người đánh giá hiểu biết về hệ thống và triển khai các SFR, và cách thức mà các tổ chức tại ranh giới TSF có thể tương tác với các TSF. Phần lớn đánh giá liệu các SFR có được mô tả chính xác bởi các hệ thống con được thực hiện trong các đơn vị công việc khác không.

10.8.1.3 Hành động ADV_TDS.1.2E10.8.1.3.1 Đơn vị công việc ADV_TDS.1-7Người đánh giá cần thẩm tra các yêu cầu chức năng an toàn TOE và thiết kế TOE, để xác định rằng tất cả các yêu cầu chức năng an toàn của ST được bao phủ bởi thiết kế TOE.

Người đánh giá có thể xây dựng một ánh xạ giữa các yêu cầu chức năng an toàn của TOE và thiết kế TOE. Ánh xạ này có thể từ một yêu cầu chức năng đến một tập hợp các hệ thống con. Lưu ý rằng ánh xạ này có thể có được ở một mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, bởi vì các hoạt động (nhiệm vụ, sàng lọc, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.

Ví dụ, thành phần kiểm soát truy cập tập con FDP_ACC.1 chứa một phần tử với các nhiệm vụ. Ví dụ, nếu ST chứa mười quy tắc trong nhiệm vụ kiểm soát truy cập tập hợp con FDP_ACC.1, và mười quy tắc này được triển khai ở những vị trí xác định trong mười lăm mô đun, nó sẽ không thích hợp chongười đánh giá ánh xạ điều khiển truy cập tập con FDP_ACC.1 tới một hệ thống con và yêu cầu các đơn vị công việc được hoàn thành. Thay vào đó, người đánh giá sẽ ánh xạ điều khiển truy cập tập con FDP_ACC.1 (quy tắc 1) đến hệ thống con A, đáp ứng x, y, và z; điều khiển truy cập tập con FDP_ACC.1 (quy tắc 2) đến hệ thống con A, đáp ứng x, p, và q; …

10.8.1.3.2 Đơn vị công việc ADV_TDS.1-8Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng nó là một cài đặt chính xác của tất cả các yêu cầu chức năng an toàn.

Người đánh giá đảm bảo rằng mỗi yêu cầu an toàn được liệt kê trong Điều các yêu cầu chức năng an toàn TOE của ST có một mô tả thiết kế tương ứng trong thiết kế TOE mà các chi tiết chính xác như thế nào để TSF đáp ứng yêu cầu đó. Điều này đòi hỏi người đánh giá xác định rằng một tập hợp các hệ thống con chịu trách nhiệm triển khai thực hiện yêu cầu chức năng nhất định, và sau đó thẩm tra các hệ thống con này để hiểu làm thế nào các yêu cầu được thực hiện. Cuối cùng, người đánh giá cần đánh giá liệu yêu cầu có được thực hiện một cách chính xác không.

113

TCVN xxx: 2015

Ví dụ, nếu các yêu cầu ST quy định một cơ chế kiểm soát truy cập dựa trên vai trò, người đánh giá cần đầu tiên xác định rằng các hệ thống con đó góp phần triển khai cơ chế này. Điều này có thể được thực hiện nhờ kiến thức và sự hiểu biết chuyên sâu về thiết kế TOE hoặc bằng việc thực hiện trong đơn vị công việc trước đó. Lưu ý rằng theo dấu này chỉ để xác định các hệ thống con, và không phải là phân tích đầy đủ.

Bước tiếp theo là hiểu biết cơ chế nào thực hiện các hệ thống con. Ví dụ, nếu thiết kế mô tả một việc triển khai kiểm soát truy cập dựa trên các bit bảo vệ kiểu-UNIX, thiết kế sẽ không phải là một cài đặt chính xác các yêu cầu kiểm soát truy cập này tạo ra trong ví dụ ST sử dụng ở trên. Nếu người đánh giá không thể xác định các cơ chế đã được thực hiện chính xác vì thiếu chi tiết, người đánh giá cần phải đánh giá xem liệu tất cả các hệ thống con thực thi SFR có được xác định, hoặc nếu đủ chi tiết có được cung cấp cho các hệ thống con này không.

10.8.2 Đánh giá hoạt động con (ADV_TDS.2)

10.8.2.1 Đầu vàoCác bằng chứng đánh giá cho này hoạt động con là:

a) ST;b) Đặc tính chức năng;c) Đặc tả kiến trúc an toàn;d) Thiết kế TOE.




TOE (và TSF) có thể được mô tả trong nhiều lớp trừu tượng (ví dụ: các hệ thống con và các mô đun). Tùy thuộc vào sự phức tạp của TOE, thiết kế của nó có thể được mô tả trong các thuật ngữ của các hệ thống con và mô đun, như đã mô tả trong ISO/IEC 15.408-3 Phụ lục A.4, ADV_TDS: Các hệ thống con và các mô đun. Ở cấp độ đảm bảo này, sự chia tách chỉ cần ở mức “hệ thống con”.


ISO/IEC 15.408-3 ADV_TDS.2.2C: Bản thiết kế cần chỉ ra tất cả các hệ thống con của TSF.


114

TCVN xxx: 2015Trong đơn vị công việc ADV_TDS.2-1, tất cả các hệ thống con của TOE đã được xác định, và quyết định chỉ ra rằng các hệ thống con không TSF được đặc tả một cách chính xác. Dựa trên công việc đó, các hệ thống con không được đặc tả như là hệ thống con không TSF nên xác định một cách chính xác. Người đánh giá xác định rằng, trong những phần cứng và phần mềm được cài đặt và cấu hình theo hướng dẫn cho các thủ tục chuẩn bị (AGD_PRE), mỗi hệ thống con đã được xác định như là hoặc một phần của TSF, hoặc không.

ISO/IEC 15.408-3 ADV_TDS.2.3C: Bản thiết kế cần mô tả hoạt động của mỗi hệ thống con TSF kiểu không can thiệp SFR ở mức độ chi tiết đủ để khẳng định nó là không can thiệp SFR.

10.8.2.2.3 Đơn vị công việc ADV_TDS.2-3Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mỗi hệ thống con không can thiệp SFR của TSF được mô tả theo cách mà người đánh giá có thể xác định rằng hệ thống con là không can thiệp SFR.

Các hệ thống con không can thiệp SFR không cần được mô tả chi tiết chức năng của chúng trong hệ thống như thế nào. Tuy nhiên, người đánh giá tạo ra quyết định dựa trên các bằng chứng được cung cấp bởi nhà phát triển, rằng các hệ thống con mà không có mô tả cấp cao là không can thiệp SFR. Lưu ý rằng nếu nhà phát triển cung cấp một mức thống nhất tài liệu chi tiết thì đơn vị công việc này sẽ là thoả mãn đầy đủ, kể từ thời điểm phân loại các hệ thống con cho phép nhà phát triển cung cấp ít thông tin hơn cho các hệ thống con không can thiệp SFR so với các hệ thống con thực thi SFR và hỗ trợ SFR.

Một hệ thống con không can thiệp SFR là một trong những hệ thống con thực thi SFR và hỗ trợ SFR không phụ thuộc, đó là, chúng không đóng vai trò trong việc thực hiện chức năng SFR.

ISO/IEC 15.408-3 ADV_TDS.2.4C: Bản thiết kế cần tóm lược hoạt động thực thi SFR cho các hệ thống con kiểu thực thi SFR.

10.8.2.2.4 Đơn vị công việc ADV_TDS.2-4Người đánh giá cần thẩm tra việc thiết kế TOE để xác định rằng nó cung cấp một sự đặc tả đầy đủ, chính xác, và chi tiết hoạt động thực thi SFR cho các hệ thống con kiểu thực thi SFR.

Nhà phát triển có thể chỉ định các hệ thống con như là thực thi SFR, hỗ trợ SFR và không can thiệp SFR, nhưng các "thẻ" này chỉ được sử dụng để mô tả số lượng và loại thông tin mà nhà phát triển phải cung cấp, và có thể được sử dụng để hạn chế số lượng thông tin nhà phát triển phải phát triển nếu quy trình kỹ thuật của họ không tạo ra các tài liệu được yêu cầu. Liệu các hệ thống con có được phân loại bởi nhà phát triển hay không, người đánh giá có trách nhiệm xác định các hệ thống con có các thông tin thích hợp cho vai trò của chúng (thực thi SFR…) trong TOE, và để có được những thông tin thích hợp từ nhà phát triển nên lỗi của nhà phát triển cung cấp là thông tin được yêu cầu cho một hệ thống con cụ thể.

Hoạt động thực thi SFR liên quan đến ”làm thế nào” một hệ thống con cung cấp các chức năng triển khai một SFR. Trong khi không phải ở một cấp độ của đặc tả liên quan, một mô tả hoạt động chi tiết thường thảo luận cách thức chức năng được cung cấp theo những dữ liệu và cấu trúc dữ liệu quan trọng, các mối quan hệ kiểm soát những gì tồn tại trong một hệ thống con, và làm thế nào những yếu tố này làm việc cùng nhau để cung cấp các hoạt động thực thi SFR. Một mô tả như vậy cũng tham khảo hoạt động hỗ trợ SFR, mà người đánh giá cần xem xét để thực hiện đơn vị công việc tiếp theo.

115

TCVN xxx: 2015

Để xác định tính hoàn thiện và chính xác, người đánh giá thẩm tra các thông tin có sẵn khác (ví dụ, đặc tính kỹ thuật, mô tả kiến trúc an toàn, biểu diễn triển khai). Mô tả các chức năng trong các tài liệu này nên nhất quán với những gì đã cung cấp cho bằng chứng đối vói đơn vị công việc này.

ISO/IEC 15.408-3 ADV_TDS.2.5C: Bản thiết kế cần tóm tắt hoạt động hỗ trợ SFR và không can thiệp SFR của các hệ thống con kiểu thực thi SFR.

10.8.2.2.5 Đơn vị công việc ADV_TDS.2-5Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng nó cung cấp mô tả đầy đủ và cấp chính xác mức độ cao của hoạt động hỗ trợ SFR và không can thiệp SFR của các hệ thống con kiểu thực thi SFR.

Nhà phát triển có thể chỉ định các hệ thống con như là thực thi SFR, hỗ trợ SFR và không can thiệp SFR, nhưng các "thẻ" này chỉ được sử dụng để mô tả số lượng và loại thông tin mà nhà phát triển phải cung cấp, và có thể được sử dụng để hạn chế số lượng thông tin nhà phát triển phải phát triển nếu quy trình kỹ thuật của họ không tạo ra các tài liệu được yêu cầu. Liệu các hệ thống con có được phân loại bởi nhà phát triển hay không, người đánh giá có trách nhiệm xác định rằng các hệ thống con có các thông tin thích hợp cho vai trò của chúng (thực thi SFR...) trong TOE, và để có được những thông tin thích hợp từ nhà phát triển nên lỗi của nhà phát triển cung cấp các thông tin được yêu cầu cho một hệ thống con cụ thể.

Ngược lại với các đơn vị công việc trước đó, đơn vị công việc này yêu cầu người đánh giá đánh giá các thông tin cung cấp cho hệ thống con thực thi SFR đó là hỗ trợ SFR hoặc không can thiệp SFR. Mục tiêu của đánh giá này là thực hiện hai việc. Đầu tiên, nó sẽ cung cấp những hiểu biết sâu hơn cho người đánh giá về cách mỗi hệ thống hoạt động.Thứ hai, người đánh giá xác định rằng tất cả các hoạt động thực thi SFR trình bày bởi một hệ thống con đã được mô tả. Không giống như các đơn vị công việc trước đó, thông tin được cung cấp cho các hoạt động hỗ trợ SFR hoặc không can thiệp SFR không cần phải chi tiết như đã cung cấp bởi hoạt động thực thi SFR. Ví dụ, cấu trúc dữ liệu hoặc thuật ngữ dữ liệu không liên quan đến chức năng thực thi SFR có thể không cần phải mô tả chi tiết. Quyết định tùy thuộc vào người đánh giá, tuy nhiên, đối với những gì ở "mức cao" cho một TOE cụ thể, và người đánh giá có được đầy đủ thông tin từ nhà phát triển (thậm chí nếu nó là tương đương với thông tin cung cấp cho các bộ phận của hệ thống con là thực thi SFR) để thực hiện một nhận định hợp lý cho đơn vị công việc này.

Người đánh giá được cảnh báo, tuy nhiên, mức độ đảm bảo "hoàn hảo" không phải là mục tiêu không yêu cầu của đơn vị công việc này, do đó nhận định sẽ được thực hiện bằng xác định các số lượng và thành phần của các bằng chứng được yêu cầu để tạo ra một nhận định về đơn vị công việc này.

Để xác định tính hoàn thiện và chính xác, người đánh giá thẩm tra các thông tin có sẵn khác (ví dụ, đặc điểm chức năng, mô tả kiến trúc an toàn, biểu diễn triển khai). Mô tả các chức năng trong các tài liệu cần nhất quán với những gì được cung cấp cho bằng chứng cho đơn vị công việc này. Đặc biệt, các đặc điểm chức năng nên được sử dụng để xác định rằng hoạt động được yêu cầu để thực hiện các giao diện TSF đã mô tả bởi các đặc tả chức năng là được mô tả đầy đủ bởi các hệ thống con khi mà hoạt động hoặc sẽ là thực thi SFR, hỗ trợ SFR hoặc là không can thiệp SFR.

ISO/IEC 15.408-3 ADV_TDS.2.6C: Bản thiết kế cần tóm tắt hoạt động của các hệ thống con kiểu hỗ trợ SFR.

10.8.2.2.6 Đơn vị công việc ADV_TDS.2-6116

TCVN xxx: 2015Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng nó cung cấp mô tả mức độ cao đầy đủ và chính xác cho hoạt động của các hệ thống con hỗ trợ SFR.

Nhà phát triển có thể chỉ định các hệ thống con như là thực thi SFR, hỗ trợ SFR và không can thiệp SFR, nhưng các "thẻ" này chỉ được sử dụng để mô tả số lượng và loại thông tin mà nhà phát triển phải cung cấp, và có thể được sử dụng để hạn chế số lượng thông tin nhà phát triển phải phát triển nếu quy trình kỹ thuật của họ không tạo ra các tài liệu được yêu cầu. Liệu các hệ thống con có được phân loại bởi nhà phát triển hay không, người đánh giá có trách nhiệm xác định rằng các hệ thống con có các thông tin thích hợp cho vai trò của chúng (thực thi SFR...) trong TOE, và để có được những thông tin thích hợp từ nhà phát triển nên lỗi của nhà phát triển cung cấp các thông tin được yêu cầu cho một hệ thống con cụ thể.

Ngược với hai đơn vị công việc trước, đơn vị công việc này yêu cầu nhà phát triển cung cấp (và người đánh giá đánh giá) thông tin về hệ thống con hỗ trợ SFR Cũng như các hệ thống con cần được tham chiếu bởi các mô tả của các hệ thống con thực thi SFR, cũng như các mô tả tương tác trong đơn vị công việc ADV_TDS.2-7. Mục tiêu đánh giá của người đánh giá, giống như cho các đơn vị công việc trước đó, là thực hiện hai việc. Đầu tiên, nó sẽ cung cấp những hiểu biết sâu hơn cho người đánh giá về cách mỗi hệ thống hoạt động.Thứ hai, người đánh giá xác định rằng tất cả các hoạt động thực thi SFR trình bày bởi một hệ thống con đã được mô tả. Không giống như các đơn vị công việc trước đó, thông tin được cung cấp cho các hoạt động hỗ trợ SFR hoặc không can thiệp SFR không cần phải chi tiết như đã cung cấp bởi hoạt động thực thi SFR. Ví dụ, cấu trúc dữ liệu hoặc thuật ngữ dữ liệu không liên quan đến chức năng thực thi SFR có thể không cần phải mô tả chi tiết. Quyết định tùy thuộc vào người đánh giá, tuy nhiên, đối với những gì ở "mức cao" cho một TOE cụ thể, và người đánh giá có được đầy đủ thông tin từ nhà phát triển (thậm chí nếu nó là tương đương với thông tin cung cấp cho các bộ phận của hệ thống con là thực thi SFR) để thực hiện một nhận định hợp lý cho đơn vị công việc này.

Người đánh giá được cảnh báo, tuy nhiên, mức độ đảm bảo "hoàn hảo" không phải là mục tiêu không yêu cầu của đơn vị công việc này, do đó nhận định sẽ được thực hiện bằng xác định các số lượng và thành phần của các bằng chứng được yêu cầu để tạo ra một nhận định về đơn vị công việc này.

Để xác định tính hoàn thiện và chính xác, người đánh giá thẩm tra các thông tin có sẵn khác (ví dụ, đặc điểm chức năng, mô tả kiến trúc an toàn, biểu diễn triển khai). Mô tả các chức năng trong các tài liệu cần nhất quán với những gì được cung cấp cho bằng chứng cho đơn vị công việc này. Đặc biệt, các đặc điểm chức năng nên được sử dụng để xác định rằng hoạt động được yêu cầu để thực hiện các giao diện TSF đã mô tả bởi các đặc tả chức năng là được mô tả đầy đủ bởi các hệ thống con khi mà hoạt động hoặc sẽ là thực thi SFR, hỗ trợ SFR hoặc là không can thiệp SFR.

ISO/IEC 15.408-3 ADV_TDS.2.7C: Bản thiết kế cần tạo ra mô tả về tương tác của tất cả các hệ thống con của TSF.

10.8.2.2.7 Đơn vị công việc ADV_TDS.2-7Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng sự tương tác giữa các hệ thống con của TSF được mô tả.

Mục tiêu của mô tả sự tương tác giữa các hệ thống con là giúp cung cấp cho người đọc hiểu biết hơn làm thế nào TSF thực hiện chức năng của nó. Những tương tác này không cần được mô tả ở mức triển khai (ví dụ, thông số được truyền từ một đoạn chương trình trong một hệ thống con đến một đoạn chương trình trong một hệ thống con khác, biến số toàn cục, tín hiệu phần cứng (ví dụ, ngắt) từ một hệ thống con phần cứng tới một hệ thống con điều khiển ngắt), nhưng các yếu tố dữ liệu xác định cho một

117

TCVN xxx: 2015

hệ thống con đặc biệt được sử dụng bởi một hệ thống con khác cần được đề cập trong thảo luận này. Bất kỳ mối quan hệ điều khiển nào giữa hệ thống con (ví dụ, một hệ thống con chịu trách nhiệm cấu hình một nguyên tắc cơ bản cho một hệ thống tường lửa và một hệ thống con thực sự thực hiện các quy tắc này) cũng nên được mô tả.

Người đánh giá cần phải sử dụng nhận định của riêng họ trong việc đánh giá tính trọn vẹn của sự mô tả. Nếu lý do cho một tương tác là không rõ ràng, hoặc nếu có những tương tác liên quan SFR (ví dụ: phát hiện trong kiểm tra các mô tả đáp ứng của hệ thống con) không được mô tả, người đánh giá đảm bảo rằng thông tin này được cung cấp bởi nhà phát triển. Tuy nhiên, nếu người đánh giá có thể xác định rằng sự tương tác trong một tập hợp riêng của các hệ thống con, trong khi nhà phát triển mô tả không đầy đủ, sẽ không hỗ trợ tìm hiểu về chức năng tổng thể cũng như chức năng an toàn được cung cấp bởi TSF, khi đó người đánh giá có thể chọn coi như mô tả đầy đủ, và không theo đuổi tính trọn vẹn vì mục đích riêng của mình.


10.8.2.2.8 Đơn vị công việc ADV_TDS.2-8Người đánh giá cần thẩm tra việc thiết kế TOE để xác định rằng nó chứa ánh xạ đầy đủ và chính xác từ TSFI đã mô tả trong đặc tả chức năng đến các hệ thống con của TSF được mô tả trong thiết kế TOE.

Các hệ thống con được mô tả trong thiết kế TOE cung cấp mô tả về cách mà TSF làm việc ở mức độ chi tiết cho các phần thực thi SFR của TSF, và ở một mức độ cao hơn cho các phần khác của TSF. TSFI cung cấp một mô tả về cách triển khai được tiến hành. Các bằng chứng từ nhà phát triển xác định hệ thống con phức tạp ban đầu khi một hoạt động được yêu cầu tại TSFI, và xác định các hệ thống con khác nhau chịu trách nhiệm chính cho việc triển khai các chức năng. Lưu ý rằng một "cây truy xuất" hoàn thiện đối với mỗi TSFI là không được yêu cầu cho đơn vị công việc này.

Người đánh giá đánh giá tính trọn vẹn của các ánh xạ bằng cách đảm bảo rằng tất cả TSFI ánh xạ đến ít nhất một hệ thống con. Việc xác minh độ chính xác thì phức tạp hơn.

Khía cạnh đầu tiên của độ chính xác là mỗi TSFI được ánh xạ tới một hệ thống con tại ranh giới TSF. Xác định này có thể được thực hiện bằng cách thẩm tra lại các mô tả và tương tác hệ thống con, và từ các thông tin này xác định vị trí của nó trong kiến trúc. Khía cạnh tiếp theo của độ chính xác là ý nghĩa của cách thức ánh xạ. Ví dụ, ánh xạ một TSFI đối phó với kiểm soát quyền truy cập vào một hệ thống con để kiểm tra mật khẩu không chính xác. Người đánh giá nên một lần nữa sử dụng nhận định trong việc tạo ra quyết định này. Mục tiêu là thông tin này là hỗ trợ người đánh giá hiểu biết về hệ thống và triển khai các SFR, và cách thức mà các tổ chức tại ranh giới TSF có thể tương tác với các TSF. Phần lớn đánh giá liệu các SFR có được mô tả chính xác bởi các hệ thống con được thực hiện trong các đơn vị công việc khác không.


118

TCVN xxx: 2015Người đánh giá có thể xây dựng một ánh xạ giữa các yêu cầu chức năng an toàn của TOE và thiết kế TOE. Ánh xạ này có thể từ một yêu cầu chức năng đến một tập hợp các hệ thống con. Lưu ý rằng ánh xạ này có thể có được ở một mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, bởi vì các hoạt động (nhiệm vụ, sàng lọc, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.

Ví dụ, thành phần kiểm soát truy cập tập con FDP_ACC.1 chứa một phần tử với các nhiệm vụ. Ví dụ, nếu ST chứa mười quy tắc trong nhiệm vụ kiểm soát truy cập tập hợp con FDP_ACC.1, và mười quy tắc này được triển khai ở những vị trí xác định trong mười lăm mô đun, nó sẽ không thích hợp chongười đánh giá ánh xạ điều khiển truy cập tập con FDP_ACC.1 tới một hệ thống con và yêu cầu các đơn vị công việc được hoàn thành. Thay vào đó, người đánh giá sẽ ánh xạ điều khiển truy cập tập con FDP_ACC.1 (quy tắc 1) đến hệ thống con A, đáp ứng x, y, và z; điều khiển truy cập tập con FDP_ACC.1 (quy tắc 2) đến hệ thống con A, đáp ứng x, p, và q;…


Người đánh giá đảm bảo rằng mỗi yêu cầu an toàn được liệt kê trong Điều các yêu cầu chức năng an toàn TOE của ST có một mô tả thiết kế tương ứng trong thiết kế TOE mà các chi tiết chính xác như thế nào để TSF đáp ứng yêu cầu đó. Điều này đòi hỏi người đánh giá xác định rằng một tập hợp các hệ thống con chịu trách nhiệm triển khai thực hiện yêu cầu chức năng nhất định, và sau đó thẩm tra các hệ thống con này để hiểu làm thế nào các yêu cầu được thực hiện. Cuối cùng, người đánh giá cần đánh giá liệu yêu cầu có được thực hiện một cách chính xác không.

Ví dụ, nếu các yêu cầu ST quy định một cơ chế kiểm soát truy cập dựa trên vai trò, người đánh giá cần đầu tiên xác định rằng các hệ thống con đó góp phần triển khai cơ chế này. Điều này có thể được thực hiện nhờ kiến thức và sự hiểu biết chuyên sâu về thiết kế TOE hoặc bằng việc thực hiện trong đơn vị công việc trước đó. Lưu ý rằng theo dấu này chỉ để xác định các hệ thống con, và không phải là phân tích đầy đủ.

Bước tiếp theo là hiểu biết cơ chế nào thực hiện các hệ thống con. Ví dụ, nếu thiết kế mô tả một việc triển khai kiểm soát truy cập dựa trên các bit bảo vệ kiểu-UNIX, thiết kế sẽ không phải là một cài đặt chính xác các yêu cầu kiểm soát truy cập này tạo ra trong ví dụ ST sử dụng ở trên. Nếu người đánh giá không thể xác định các cơ chế đã được thực hiện chính xác vì thiếu chi tiết, người đánh giá cần phải đánh giá xem liệu tất cả các hệ thống con thực thi SFR có được xác định, hoặc nếu đủ chi tiết có được cung cấp cho các hệ thống con này không.


10.8.3.1 Mục tiêuMục tiêu của hoạt động con này là xác định liệu thiết kế TOE có cung cấp một mô tả của TOE trong thuật ngữ của hệ thống con đủ để xác định ranh giới TSF, và cung cấp một mô tả nội bộ TSF trong thuật ngữ của mô đun không (và tùy chọn sự trừu tượng mức cao hơn). Nó cung cấp một mô tả chi tiết các mô đun thực thi SFR và đầy đủ thông tin về các mô đun hỗ trợ SFR và không can thiệp SFR cho người đánh giá để xác định rằng các SFR được triển khai đầy đủ và chính xác, như vậy, thiết kế TOE cung cấp giải thích của biểu diễn triển khai.

10.8.3.2 Đầu vàoCác bằng chứng đánh giá cho hoạt động con này là:

119

TCVN xxx: 2015

a) ST;

b) Đặc điểm kỹ thuật chức năng;

c) Mô tả kiến trúc an toàn;

d) Thiết kế TOE.

10.8.3.3 Các lưu ý áp dụngCó ba loại hoạt động mà người đánh giá cần thực hiện đối với thiết kế TOE. Đầu tiên, người đánh giá xác định rằng ranh giới TSF đã được mô tả đầy đủ. Thứ hai, người đánh giá xác định rằng nhà phát triển đã cung cấp tài liệu phù hợp với các yêu cầu nội dung và trình bày đối với các hệ thống con này, và nó là nhất quán với các tài liệu khác được cung cấp cho TOE. Cuối cùng, người đánh giá phải phân tích thông tin thiết kế đã cung cấp cho các mô đun thực thi SFR (ở mức chi tiết) và các mô đun hỗ trợ SFR và không can thiệp SFR (ở một mức độ ít chi tiết) để hiểu làm thế nào hệ thống được triển khai, và với kiến thức đảm bảo rằng các TSFI trong đặc tả chức năng được mô tả đầy đủ, và các thông tin kiểm thử đầy đủ các kiểm thử TSF (thực hiện trong Lớp ATE: Các đơn vị công việc kiểm thử).

Điều quan trọng cần lưu ý rằng trong khi nhà phát triển có nghĩa vụ phải cung cấp một mô tả đầy đủ của TSF (mặc dù các mô đun thực thi SFR sẽ có nhiều chi tiết hơn so với mô đun hỗ trợ SFR hoặc không can thiệp SFR), người đánh giá dự kiến sẽ sử dụng nhận định trong việc thực hiện phân tích của họ. Trong khi người đánh giá dự kiến sẽ thẩm tra tất cả các mô đun, các chi tiết mà họ thẩm tra từng mô đun có thể thay đổi. Người đánh giá phân tích từng mô đun để đạt tới sự hiểu biết đầy đủ để xác định các tác động của các chức năng của mô đun dựa trên sự an toàn của hệ thống, và các độ sâu mà họ cần phải phân tích các mô đun có thể thay đổi tùy thuộc vào vai trò của mô đun trong hệ thống. Một khía cạnh quan trọng của phân tích này là người đánh giá nên sử dụng các tài liệu được cung cấp khác (TSS, đặc tả chức năng, mô tả kiến trúc an toàn, và tài liệu nội bộ TSF) để xác định rằng chức năng được mô tả là chính xác, và rằng các quy định tiềm ẩn của các mô đun hỗ trợ SFR hoặc không can thiệp SFR (xem bên dưới) được hỗ trợ bởi vai trò của chúng trong kiến trúc hệ thống .

Nhà phát triển có thể chỉ định các mô đun là thực thi SFR, hỗ trợ SFR và không can thiệp SFR, nhưng các "thẻ" này chỉ được sử dụng để mô tả số lượng và loại thông tin mà nhà phát triển phải cung cấp, và có thể được sử dụng để hạn chế số lượng thông tin nhà phát triển phải phát triển nếu quy trình kỹ thuật của họ không tạo ra các tài liệu được yêu cầu. Cho dù các mô đun có được phân loại bởi nhà phát triển hay không, người đánh giá có trách nhiệm xác định các mô đun có các thông tin thích hợp cho vai trò của chúng (thực thi SFR, v.v…) trong TOE, và để có được những thông tin thích hợp từ nhà phát triển nên lỗi của nhà phát triển cung cấp các thông tin được yêu cầu cho một mô đun cụ thể.

10.8.3.4 Hành động ADV_TDS.3.1EISO/IEC 15.408-3 ADV_TDS.3.1C: Bản thiết kế cần mô tả cấu trúc của TOE với các hệ thống con.


120

TCVN xxx: 2015Người đánh giá đảm bảo rằng tất cả các hệ thống con của TOE được xác định. Đặc tả này của TOE sẽ được sử dụng như đầu vào cho đơn vị công việc ADV_TDS.3-2, nơi các thành phần của TOE tạo nên TSF được xác định. Do đó, yêu cầu này là trên toàn bộ TOE chứ không phải chỉ cho TSF.

TOE (và TSF) có thể được mô tả trong nhiều lớp trừu tượng (ví dụ: các hệ thống con và các mô đun). Tùy thuộc vào sự phức tạp của TOE, thiết kế của nó có thể được mô tả trong các thuật ngữ của các hệ thống con và mô đun, như đã mô tả trong ISO/IEC 15.408-3 Phụ lục A.4, ADV_TDS: Các hệ thống con và các mô đun. Đối với một TOE đơn giản có thể được mô tả chỉ tại cấp độ "mô đun" (xem ADV_TDS.3-2), đơn vị công việc này không phải áp dụng và do đó được xem là thỏa mãn.


ISO/IEC 15.408-3 ADV_TDS.3.2C: Bản thiết kế cần mô tả TSF trong thuật ngữ của các mô đun.

10.8.3.4.2 Đơn vị công việc ADV_TDS.3-2Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng toàn bộ TSF được mô tả trong thuật ngữ các mô đun.

Người đánh giá sẽ thẩm tra các mô đun đối với các thuộc tính cụ thể trong các đơn vị công việc khác nhau; trong đơn vị công việc này người đánh giá xác định rằng mô tả mô đun bao gồm toàn bộ các TSF, không chỉ là một phần của TSF. Người đánh giá sử dụng các bằng chứng khác nau đã cung cấp cho việc đánh giá (ví dụ, đặc tả chức năng, mô tả kiến trúc an toàn) trong việc tạo ra quyết định này. Ví dụ, nếu các đặc tả chức năng chứa giao diện chức năng mà không xuất hiện đã được mô tả trong mô tả thiết kế TOE, nó có thể là trường hợp một phần của TSF đã không được đưa vào một cách thích hợp. Việc thực hiện quyết định này có thể là một quá trình lặp đi lặp lại, trong khi đó nhiều phân tích được thực hiện trên các bằng chứng khác, có thể đạt được độ tin cậy cao hơn đối với tính hoàn thiện của tài liệu.

Không giống như các hệ thống con, các mô đun mô tả việc triển khai ở một mức độ chi tiết có thể phục vụ như một hướng dẫn để xem xét các biểu diễn triển khai. Một mô tả của một mô đun nên theo cách sao cho nó có thể triển khai mô đun từ mô tả đó, và kết quả việc triển khai sẽ là 1) giống như việc triển khai TSF thực tế theo các giao diện được trình bày và sử dụng bởi các mô đun và 2) thuật toán giống vớii mô đun TSF. Ví dụ, RFC 793 cung cấp một mô tả cấp độ cao các giao thức TCP. Điều đó nhất thiết phải triển khai độc lập. Trong khi nó cung cấp các chi tiết đầy đủ, nó không phải là một mô tả thiết kế phù hợp bởi vì nó không cụ thể trong việc triển khai. Một triển khai thực tế có thể thêm giao thức quy định trong các RFC, và sự lựa chọn triển khai (ví dụ, các sử dụng các dữ liệu toàn cục, so với dữ liệu cục bộ trong các phần khác nhau của việc triển khai) có thể có một tác động vào việc phân tích được thực hiện. Mô tả thiết kế của mô đun TCP sẽ liệt kê các giao diện được trình bày bởi việc triển khai (thay vì chỉ những định nghĩa trong RFC 793), cũng như một mô tả thuật toán của việc xử lý kết hợp với các mô đun triển khai TCP (giả sử nó là một phần của TSF).



121

TCVN xxx: 2015

Nếu thiết kế được trình bày chỉ trong các thuật ngữ của các mô đun, khi đó các hệ thống con trong những yêu cầu này là tương đương với các mô đun và hoạt động nên được thực hiện ở cấp mô đun.


ISO/IEC 15.408-3 ADV_TDS.3.4C: Bản thiết kế cần tạo ra mô tả cho mỗi hệ thống con của TSF.

10.8.3.4.4 Đơn vị công việc ADV_TDS.3-4Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mỗi hệ thống con của TSF mô tả vai trò của nó trong việc thực thi các SFR đã mô tả trong ST.

Nếu thiết kế được trình bày chỉ trong các thuật ngữ của các mô đun, khi đó đơn vị công việc này sẽ được xem là thỏa mãn việc đánh giá thực hiện trong đơn vị công việc tiếp theo; trong trường hợp này không có hành động của người đánh giá.

Trên các hệ thống đủ phức tạp để đảm bảo một mô tả cấp hệ thống con của TSF ngoài việc mô tả mô đun, mục tiêu của mô tả cấp hệ thống con là để cung cấp cho người đánh giá ngữ cảnh của việc mô tả mô đun tiếp theo. Do đó, người đánh giá đảm bảo rằng mô tả cấp hệ thống con chứa một mô tả cách mà các yêu cầu chức an toàn đạt được trong thiết kế, nhưng ở một mức độ trừu tượng ở trên mô tả mô đun. Mô tả này nên thảo luận các cơ chế sử dụng ở một mức độ được liên kết với mô tả mô đun; điều này sẽ cung cấp cho người đánh giá lộ trình ánh xạ được yêu cầu để đánh giá một cách thông minh các thông tin chứa trong mô tả mô đun. Một tập các mô tả hệ thống con bằng văn bản một cách đầy đủ sẽ giúp hướng dẫn người đánh giá trong việc xác định các mô đun quan trọng nhất để thẩm tra, do đó tập trung vào đánh giá hoạt động trên các phần của TSF mà phù hợp nhất với việc thực thi của các SFR.

Người đánh giá đảm bảo rằng tất cả các hệ thống con của TSF có một mô tả. Trong khi mô tả nên tập trung về vai trò mà hệ thống con trong thi hành hoặc hỗ trợ triển khai các SFR, đầy đủ thông tin phải hiện thị sao cho một bối cảnh cho sự hiểu biết các chức năng liên quan SFR được tạo ra.

ISO/IEC 15.408-3 ADV_TDS.3.5C: Bản thiết kế cần tạo ra mô tả cho các tương tác của mọi hệ thống con của TSF.



Trên các hệ thống đủ phức tạp để đảm bảo một mô tả cấp hệ thống con của TSF ngoài mô tả mô đun, mục tiêu của mô tả sự tương tác giữa các hệ thống con thực thi SFR và các hệ thống con khác là giúp cung cấp cho người đọc hiểu biết hơn về cách TSF thực hiện các chức năng của nó. Những

122

TCVN xxx: 2015tương tác này không cần phải được mô tả ở mức triển khai (ví dụ, thông số được truyền từ một đoạn chương trình trong một hệ thống con đến một đoạn chương trình trong một hệ thống con khác, biến số toàn cục, tín hiệu phần cứng (ví dụ, ngắt) từ một hệ thống con phần cứng tới một hệ thống con điều khiển ngắt), nhưng các yếu tố dữ liệu xác định cho một hệ thống con đặc biệt được sử dụng bởi một hệ thống con khác cần được đề cập trong thảo luận này. Bất kỳ mối quan hệ điều khiển nào giữa hệ thống con (ví dụ, một hệ thống con chịu trách nhiệm cấu hình một nguyên tắc cơ bản cho một hệ thống tường lửa và một hệ thống con thực sự thực hiện các quy tắc này) cũng nên được mô tả.

Cần phải lưu ý trong khi nhà phát triển mô tả tất cả tương tác giữa các hệ thống con, người đánh giá cần phải sử dụng nhận định của riêng họ trong việc đánh giá tính trọn vẹn của sự mô tả. Nếu lý do cho một tương tác là không rõ ràng, hoặc nếu có những tương tác liên quan SFR (ví dụ: phát hiện trong kiểm tra các mô tả đáp ứng của hệ thống con) không được mô tả, người đánh giá đảm bảo rằng thông tin này được cung cấp bởi nhà phát triển. Tuy nhiên, nếu người đánh giá có thể xác định rằng sự tương tác trong một tập hợp riêng của các hệ thống con, trong khi nhà phát triển mô tả không đầy đủ, sẽ không hỗ trợ tìm hiểu về chức năng tổng thể cũng như chức năng an toàn được cung cấp bởi TSF, khi đó người đánh giá có thể chọn coi như mô tả đầy đủ, và không theo đuổi tính trọn vẹn vì mục đích riêng của mình.

ISO/IEC 15.408-3 ADV_TDS.3.6C: Bản thiết kế cần tạo ra ánh xạ từ các hệ thống con của TSF đến các mô đun của TSF.

10.8.3.4.6 Đơn vị công việc ADV_TDS.3-6Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng ánh xạ giữa các hệ thống con của TSF và các mô đun của TSF là đầy đủ.

Nếu thiết kế được trình bày chỉ trong các thuật ngữ của các mô đun, khi đó đơn vị công việc này sẽ được xem là thỏa mãn.

Đối với TOE đủ phức tạp để đảm bảo một mô tả cấp hệ thống con của TSF ngoài mô tả mô đun, nhà phát triển cung cấp một ánh xạ đơn cho thấy làm cách nào các mô đun của TSF phân bổ cho các hệ thống con. Điều này sẽ cung cấp cho người đánh giá một hướng dẫn trong việc thực hiện đánh giá cấp mô đun của nó. Để xác định tính toàn vẹn, người đánh giá thẩm tra từng ánh xạ và xác định rằng tất cả hệ thống con ánh xạ ít nhất đến một mô đun, và tất cả các mô đun ánh xạ chính xác đến một hệ thống con.

10.8.3.4.7 Đơn vị công việc ADV_TDS.3-7Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng ánh xạ giữa các hệ thống con của TSF và các mô đun của TSF là chính xác.


Đối với TOE đủ phức tạp để đảm bảo một mô tả cấp hệ thống con của TSF ngoài mô tả mô đun, nhà phát triển cung cấp một ánh xạ đơn cho thấy làm cách nào các mô đun của TSF phân bổ cho các hệ thống con. Điều này sẽ cung cấp cho người đánh giá một hướng dẫn trong việc thực hiện đánh giá cấp mô đun của nó. Người đánh giá có thể lựa chọn để kiểm tra tính chính xác của các ánh xạ kết hợp với thực hiện các đơn vị công việc khác. Một ánh xạ "không chính xác" là ánh xạ mà các mô đun liên quan ấn định nhầm đến một hệ thống con nơi mà chức năng của nó không được sử dụng trong hệ thống con. Bởi vì ánh xạ được thiết kế để trở thành một hướng dẫn hỗ trợ các phân tích chi tiết hơn, người đánh giá được cảnh báo để cố gắng áp dụng phù hợp với đơn vị công việc này. Mở rộng nguồn

123

TCVN xxx: 2015

tài nguyên sâu rộng của người đánh giá để xác minh tính chính xác của ánh xạ là không được yêu cầu. Tính không chính xác dẫn đến sự hiểu sai liên quan đến việc thiết kế không được đề cập ở đây hay ở các đơn vị công việc khác nên gắn với đơn vị công việc này và được sửa lại cho chính xác.

ISO/IEC 15.408-3 ADV_TDS.3.7C: Bản thiết kế sẽ mô tả các mô đun thực thi SFR theo mục đích và tương tác của chúng với các mô đun khác.

10.8.3.4.8 Đơn vị công việc ADV_TDS.3-8Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng các mô tả theo mục đích của mỗi mô đun thực thi SFR là đầy đủ và chính xác.


Mục đích của mô đun là cung cấp một mô tả cho thấy chức năng gì mô đun thỏa mãn. Người đánh giá cần chú ý tới các thứ tự. Trọng tâm của đơn vị công việc này nên cung cấp cho người đánh giá các hiểu biết về cách mà các mô đun hoạt động để có thể quyết định về tính đúng đắn của việc triển khai các SFR, cũng như để hỗ trợ phân tích kiến trúc thực hiện cho thành phần ADV_ARC. Miễn là người đánh giá hiểu biết về hoạt động của mô đun, và mối quan hệ của nó với các mô đun khác và TOE như một tổng thể, người đánh giá nên xem xét mục tiêu của công việc đạt được và không tham gia vào một tài liệu hướng dẫn thực hiện của nhà phát triển (bằng cách yêu cầu, ví dụ, một thuật toán hoàn chỉnh mô tả cho một biểu diễn triển khai là hiển nhiên).

ISO/IEC 15.408-3 ADV_TDS.3.8C: Bản thiết kế cần mô tả mỗi mô đun thực thi SFR với các giao diện liên quan SFR của chúng, cho lại các giá trị từ các giao diện này, tương tác với và gọi các giao diện tới các mô đun khác.

10.8.3.4.9 Đơn vị công việc ADV_TDS.3-9Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng các mô tả về giao diện được trình bày bởi mỗi mô đun thực thi SFR chứa mô tả chính xác và đầy đủ các thông số liên quan SFR, các quy ước gọi đến đối với mỗi giao diện, và bất kỳ giá trị nào trả về trực tiếp từ các giao diện.

Các giao diện liên quan SFR của một mô đun là những giao diện được sử dụng bởi các mô đun khác như một phương tiện để gọi đến các hoạt động liên quan SFR đã cung cấp, và để cung cấp đầu vào hoặc nhận kết quả đầu ra từ các mô-đun. Mục đích của các đặc tả của các giao diện này là cho phép việc thực hiện chúng trong quá trình kiểm thử. Các giao diện liên mô đun mà không liên quan SFR không cần được quy định hoặc được mô tả, do chúng không phải là một yếu tố trong kiểm thử. Tương tự như vậy, các giao diện nội bộ khác mà không phải là một yếu tố trong liên quan SFR đến cách thức thực hiện (chẳng hạn như những đường cố định bên trong) không cần phải được quy định hoặc được mô tả, do chúng không phải là một yếu tố trong kiểm thử.

Các giao diện liên quan SFR được mô tả trong thuật ngữ theo cách chúng được gọi đến, và bất kỳ các giá trị được trả về. Mô tả này sẽ bao gồm một danh sách các thông số liên quan SFR, và các mô tả 124

TCVN xxx: 2015của các tham số này. Lưu ý rằng dữ liệu toàn cục cũng sẽ được xem là các thông số nếu được sử dụng bởi mô đun (hoặc là các đầu vào hoặc là các đầu ra) khi được gọi đến. Nếu một tham số được dự kiến sẽ đưa vào một tập các giá trị (ví dụ, một tham số "cờ"), thiết lâp đầy đủ của giá trị các tham số có thể đưa vào đó sẽ có một tác động vào việc xử lý mô đun sẽ được xác định. Tương tự như vậy, các thông số đại diện cho cấu trúc dữ liệu được mô tả như các trường của cấu trúc dữ liệu được xác định và mô tả. Lưu ý rằng các ngôn ngữ lập trình khác nhau có thể có thêm "các giao diện" không rõ ràng, ví dụ như nhà điều hành/chức năng quá tải trong C++. "Giao diện không rõ ràng" này trong các lớp mô tả cũng có thể được mô tả như là một phần của thiết kế TOE ở mức độ thấp. Lưu ý rằng mặc dù một mô đun chỉ có thể trình bày một giao diện, thông thường thì một mô đun trình bày một tập con các giao diện liên quan.

Trong thuật ngữ vầ đánh giá các thông số (các đầu vào và các đầu ra) của một mô đun, sử dụng bất kỳ dữ liệu toàn cục nào cũng phải được cân nhắc. Một mô đun "sử dụng" dữ liệu toàn cục nếu nó hoặc là đọc hoặc là ghi dữ liệu. Để đảm bảo sự mô tả các thông số như vậy (nếu sử dụng) là đầy đủ, người đánh giá sử dụng các thông tin khác được cung cấp về mô đun trong thiết kế TOE (các giao diện, thuật toán mô tả, v.v…), cũng như mô tả về tập hợp đặc biệt của dữ liệu toàn cục đã đánh giá trong đơn vị công việc ADV_TDS.3-9. Ví dụ, người đánh giá có thể đầu tiên xác định việc xử lý các mô đun thực hiện bằng cách kiểm tra chức năng và giao diện sẵn có (đặc biệt là các thông số của các giao diện). Sau đó họ có thể kiểm tra để xem xét nếu các quá trình xử lý "chạm" đến bất kỳ khu vực dữ liệu toàn cục được xác định trong thiết kế TOE. Người đánh giá sau đó xác định rằng, đối với mỗi khu vực dữ liệu toàn cục bị "chạm", khu vực dữ liệu toàn cục đó được liệt kê như là đầu vào hay đầu ra của mô đun mà người đánh giá thẩm tra.

Quy ước gọi đến là một đặc tả kiểu tham chiếu lập trình có thể sử dụng để gọi đến chính xác một giao diện của một mô đun nếu một người đang viết một chương trình để sử dụng các chức năng của mô đun thông qua giao diện đó. Điều này bao gồm các đầu vào và các đầu ra được yêu cầu, bao gồm cả các thiết lập mà có thể cần được thực hiện đối với các biến số toàn cục.

Giá trị trả về thông qua giao diện liên quan đến các giá trị mà hoặc là thông qua các thông số hoặc là các thông báo; giá trị mà các chức năng truy xuất tự nó trả về trong kiểu của một truy xuất chức năng lập trình "C", hoặc giá trị được truyền thông qua phương thức toàn cục (chẳng hạn như các tuyến lỗi cụ thể trong các hệ điều hành kiểu *ix).

Để đảm bảo các mô tả là đầy đủ, người đánh giá sử dụng thông tin khác được cung cấp bởi mô đun trong thiết kế TOE (ví dụ, thuật toán mô tả, dữ liệu toàn cục được sử dụng) để đảm bảo rằng tất cả dữ liệu được yêu cầu để thực hiện các chức năng của mô đun đã sẵn có cho các mô đun, và rằng bất kỳ giá trị mà các mô đun khác kỳ vọng việc thẩm tra mô đun để cung cấp được xác định như được phản hồi bởi các mô đun. Người đánh giá xác định độ chính xác để đảm bảo rằng mô tả của các xử lý phù hợp với thông tin được liệt kê như được truyền đến hoặc đi từ một giao diện.

Vì các mô đun ở mức độ thấp như vậy, rất khó có thể xác định tính hoàn thiệt và chính xác tác động từ tài liệu khác, chẳng hạn như hướng dẫn người sử dụng vận hành, đặc tả chức năng,các tính chất TSF, hoặc mô tả kiến trúc an toàn. Tuy nhiên, người đánh giá sử dụng các thông tin sẵn có trong các tài liệu này thuộc phạm vi có thể giúp để đảm bảo rằng mục đích được mô tả đầy đủ và chính xác. Các phân tích này có thể được hỗ trợ bởi các phân tích đã thực hiện cho các đơn vị công việc đối với phần tử ADV_TDS.3.10C, mà các ánh xạ TSFI trong đặc tả chức năng đến các mô đun của TSF.

ISO/IEC 15.408-3 ADV_TDS.3.9C: Bản thiết kế cần mô tả mỗi mô đun hỗ trợ SFR hoặc không can thiệp SFR với mục đích và tương tác của chúng với các mô đun khác.

125

TCVN xxx: 2015

10.8.3.4.10 Đơn vị công việc ADV_TDS.3-10Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mô đun hỗ trợ SFR và không can thiệp SFR được phân loại chính xác.

Trong trường hợp khi nhà phát triển đã cung cấp một lượng thông tin khác nhau cho các mô đun khác nhau, sự phân loại ngầm định đã được thực hiện. Đó là, các mô đun (ví dụ) với các chi tiết sẵn có trên các giao diện liên quan SFR (xem ADV_TDS.3.10C) là các mô đun thực thi SFR ứng cử, mặc dù việc thẩm tra bởi người đánh giá có thể dẫn đến việc quyết định rằng một số thiết lập của chúng là hỗ trợ SFR hoặc không can thiệp SFR. Phần này chỉ mô tả về mục đích của chúng và tương tác với các mô đun khác (ví dụ) là "phân loại không ngầm định" như hỗ trợ SFR hoặc không can thiệp SFR.

Trong những trường hợp này, trọng tâm của người đánh giá cho đơn vị công việc này là cố gắng xác định từ những bằng chứng đã cung cấp cho mỗi mô đun phân loại không ngầm định như là hỗ trợ SFR hoặc không can thiệp SFR và thông tin đánh giá về các mô đun khác (trong thiết kế TOE, các đặc tả chức năng, mô tả kiến trúc an toàn, và hướng dẫn người sử dụng vận hành), liệu các mô đun có thực sự hỗ trợ SFR hoặc không can thiệp SFR không. Ở cấp độ này một số lỗi đảm bảo có thể được bỏ qua; người đánh giá không hoàn toàn chắc chắn rằng một mô đun là hỗ trợ SFR hoặc không can thiệp SFR, mặc dù nó được dán nhãn như vậy. Tuy nhiên, nếu các bằng chứng được cung cấp chỉ ra rằng một mô đun hỗ trợ SFR hoặc không can thiệp SFR là thực thi SFR, người đánh giá yêu cầu thêm thông tin từ nhà phát triển để giải quyết sự không thống nhất rõ ràng. Ví dụ, giả sử các tài liệu hướng dẫn cho Mô đun A (một mô đun thực thi SFR) chỉ ra rằng nó truy xuất Mô đun B để thực hiện kiểm tra truy cập trên một loại kết cấu nhất định. Khi người đánh giá thẩm tra các thông tin liên quan đến Mô đun B, họ thấy rằng tất cả nhà phát triển đã cung cấp một mục đích và một tập hợp các tương tác (như vậy, Mô đun B phân loại không ngầm định như là hỗ trợ SFR hoặc không can thiệp SFR). Khi kiểm tra mục đích và tương tác của Mô đun A, người đánh giá thấy không đề cập đến Mô đun B thực hiện bất kỳ kiểm tra truy cập nào, và Mô đun A không được liệt kê như là một mô đun mà Mô đun B tương tác. Tại thời điểm này, người đánh giá nên tiếp cận nhà phát triển để giải quyết các khác biệt giữa thông tin đã cung cấp trong Mô đun A và trong Mô đun B.

Một ví dụ khác là nơi mà người đánh giá kiểm tra các ánh xạ của các TSFI đến các mô đun như cung cấp bởi ADV_TDS.3.2D. Việc thẩm tra này cho thấy, Mô đun C được kết hợp với một SFR yêu cầu xác định của người sử dụng. Một lần nữa, khi người đánh giá thẩm tra thông tin liên quan đến Mô đun C, người đánh giá thấy rằng tất cả nhà phát triển đã cung cấp một mục đích và một tập hợp các tương tác (như vậy, Mô đun C phân loại không ngầm định như là hỗ trợ SFR hoặc không can thiệp FSR). Kiểm tra mục đích và tương tác được trình bày cho Mô đun C, người đánh giá không thể xác định lý do tại sao Mô đun C, được liệt kê như ánh xạ từ TSFI liên quan đến người sử dụng xác định, sẽ không được phân loại là thực thi SFR. Một lần nữa, người đánh giá cần tiếp cận nhà phát triển để giải quyết sự khác biệt này.

Một ví dụ cuối cùng đi từ quan điểm ngược lại. Như trước đây, nhà phát triển đã cung cấp thông tin kết hợp với Mô đun D bao gồm một mục đích và một tập hợp các tương tác (như vậy, mặc nhiên phân loại Mô đun D phân loại không ngầm định như là hỗ trợ SFR hoặc không can thiệp FSR). Người đánh giá thẩm tra tất cả các bằng chứng đã cung cấp, bao gồm cả mục đích và tương tác với mô đun D. Các mục đích xuất hiện để cung cấp một mô tả ý nghĩa của chức năng Mô đun D trong TOE, sự tương tác nhất quán với mô tả đó, và không có gì chỉ ra rằng Mô đun D là thực thi SFR. Trong trường hợp này, người đánh giá không nên đòi hỏi nhiều thông tin về Mô đun D "chỉ là để đảm bảo" nó được phân loại một cách chính xác. Nhà phát triển đã thõa mãn các nghĩa vụ của họ và người đánh

126

TCVN xxx: 2015giá đảm bảo kết quả có trong phân loại tiềm ẩn của Mô đun D là (theo định nghĩa) thích hợp cho mức độ đảm bảo này.

10.8.3.4.11 Đơn vị công việc ADV_TDS.3-11Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mô tả về mục đích của mỗi mô đun hỗ trợ SFR hoặc không can thiệp SFR là đầy đủ và chính xác.

Các mô tả về mục đích của một mô đun chỉ ra những mô đun chức năng nào là thỏa mãn. Từ sự mô tả, người đánh giá có thể nên có được một ý tưởng chung về vai trò của mô đun. Để đảm bảo sự mô tả là đầy đủ, người đánh giá sử dụng các thông tin đã cung cấp về các tương tác của mô đun với các mô đun khác để đánh giá liệu những lý do các mô đun được truy xuất có nhất quán với các mục đích của mô đun không. Nếu mô tả tương tác có chức năng không rõ ràng, hoặc mâu thuẫn với, các mục đích của mô đun, người đánh giá cần xác định liệu vấn đề có ở tính chính xác hoặc tính toàn diện không. Người đánh giá nên chú ý với các mục đích quá ngắn, do không thể phân tích ý nghĩa dựa trên mục đích chỉ có một câu.

Trong những trường hợp này, trọng tâm của người đánh giá cho đơn vị công việc này là cố gắng xác định từ những bằng chứng đã cung cấp cho mỗi mô đun phân loại không ngầm định như là hỗ trợ SFR hoặc không can thiệp SFR và thông tin đánh giá về các mô đun khác (trong thiết kế TOE, các đặc tả chức năng, mô tả kiến trúc an toàn, và hướng dẫn người sử dụng vận hành), liệu các mô đun có thực sự hỗ trợ SFR hoặc không can thiệp SFR không. Ở cấp độ này một số lỗi đảm bảo có thể được bỏ qua; người đánh giá không hoàn toàn chắc chắn rằng một mô đun là hỗ trợ SFR hoặc không can thiệp SFR, mặc dù nó được dán nhãn như vậy. Tuy nhiên, nếu các bằng chứng được cung cấp chỉ ra rằng một mô đun hỗ trợ SFR hoặc không can thiệp SFR là thực thi SFR, người đánh giá yêu cầu thêm thông tin từ nhà phát triển để giải quyết sự không thống nhất rõ ràng. Ví dụ, giả sử các tài liệu hướng dẫn cho Mô đun A (một mô đun thực thi SFR) chỉ ra rằng nó truy xuất Mô đun B để thực hiện kiểm tra truy cập trên một loại kết cấu nhất định. Khi người đánh giá thẩm tra các thông tin liên quan đến Mô đun B, họ thấy rằng tất cả nhà phát triển đã cung cấp một mục đích và một tập hợp các tương tác (như vậy, Mô đun B phân loại không ngầm định như là hỗ trợ SFR hoặc không can thiệp SFR). Khi kiểm tra mục đích và tương tác của Mô đun A, người đánh giá thấy không đề cập đến Mô đun B thực hiện bất kỳ kiểm tra truy cập nào, và Mô đun A không được liệt kê như là một mô đun mà Mô đun B tương tác. Tại thời điểm này, người đánh giá nên tiếp cận nhà phát triển để giải quyết các khác biệt giữa thông tin đã cung cấp trong Mô đun A và trong Mô đun B.

10.8.3.4.12 Đơn vị công việc ADV_TDS.3-12Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mô tả tương tác của mô đun hỗ trợ SFR hoặc không can thiệp SFR với các mô đun khác là đầy đủ và chính xác.

Điều quan trọng cần lưu ý là, trong các thuật ngữ của yêu cầu ở Phần 3 và đơn vị công việc này, thuật ngữ tương tác có mục đích truyền đạt ít nghiêm ngặt hơn so với thuật ngữ giao diện . Một tương tác không cần phải đặc tả ở cấp triển khai (ví dụ, thông số thông qua từ một tuyến trong một mô đun này tới một tuyến trong một mô đun khác; biến số toàn cục; các tín hiệu phần cứng (ví dụ, các ngắt) từ một phần cứng của hệ thống con tới một hệ thống con xử lý ngắt), nhưng các phần tử dữ liệu xác định cho một mô đun được sử dụng bởi một mô đun đặc biệt nên được đề cập trong thảo luận này. Bất kỳ mối quan hệ kiểm soát giữa các mô đun (ví dụ, một mô đun chịu trách nhiệm cho việc cấu hình một nguyên tắc cơ bản cho một hệ thống tường lửa và các mô đun thực sự thực hiện các quy tắc) cũng nên được mô tả.

127

TCVN xxx: 2015

Vì các mô đun ở mức độ thấp như vậy, rất khó có thể xác định tính hoàn thiệt và chính xác tác động từ tài liệu khác, chẳng hạn như tài liệu hướng dẫn người sử dụng vận hành, đặc tả chức năng, mô tả kiến trúc an toàn, hoặc tài liệu về tính chất TSF. Tuy nhiên, người đánh giá sử dụng các thông tin sẵn có trong các tài liệu này thuộc phạm vi có thể giúp để đảm bảo rằng chức năng được mô tả đầy đủ và chính xác. Các phân tích này có thể được hỗ trợ bởi các phân tích đã thực hiện cho các đơn vị công việc đối với phần tử ADV_TDS.3.10C, mà các ánh xạ TSFI trong đặc tả chức năng đến các mô đun của TSF.

Tương tác của một mô đun với các mô đun khác vượt ra ngoài tài liệu kiểu cây truy xuất. Sự tương tác được mô tả từ góc độ chức năng lý do tại sao một mô đun tương tác với các mô đun khác. Các mục đích của mô đun mô tả những chức năng gì của mô đun cung cấp cho các mô đun khác, sự tương tác nên mô tả những gì các mô đun phụ thuộc vào các mô đun khác để thực hiện chức năng này.

Vì các mô đun ở mức độ thấp như vậy, rất khó có thể xác định tính hoàn thiệt và chính xác tác động từ tài liệu khác, chẳng hạn như tài liệu hướng dẫn người sử dụng vận hành, đặc tả chức năng, mô tả kiến trúc an toàn, hoặc tài liệu về tính chất TSF. Tuy nhiên, người đánh giá sử dụng các thông tin sẵn có trong các tài liệu này thuộc phạm vi có thể giúp để đảm bảo rằng các tương tác được mô tả đầy đủ và chính xác..


10.8.3.4.13 Đơn vị công việc ADV_TDS.3-13Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng nó có chứa đầy đủ và chính xác ánh xạ từ TSFI được mô tả trong các đặc tả chức năng đến các mô đun của TSF đã mô tả trong thiết kế TOE.

Các mô đun được mô tả trong thiết kế TOE cung cấp mô tả về triển khai TSF. Các TSFI cung cấp một mô tả làm cách nào triển khai được thực hiện. Các bằng chứng từ nhà phát triển xác định mô đun ban đầu được gọi đến khi một hoạt động được yêu cầu tại các TSFI, và xác định chuỗi các mô đun gọi đến các mô đun đó chủ yếu chịu trách nhiệm cho việc thực hiện các chức năng. Tuy nhiên, một cây truy xuất đầy dủ cho mỗi TSFI là không được yêu cầu cho đơn vị công việc này. Các trường hợp trong đó nhiều hơn một mô đun sẽ được xác định là nơi có mô đun "điểm khởi đầu" hoặc các mô đun trình bao bọc mà không có chức năng khác ngoài điều kiện đầu vào hoặc giải ghép kênh đầu vào. Ánh xạ đến một trong các mô đun không cung cấp bất kỳ thông tin hữu ích nào cho người đánh giá.

Người đánh giá đánh giá tính hoàn thiện của ánh xạ bằng cách đảm bảo rằng tất cả các TSFI ánh xạ đến ít nhất một mô đun. Các xác minh độ chính xác có nhiều phức tạp.

Vì các mô đun ở mức độ thấp như vậy, rất khó có thể xác định tính hoàn thiệt và chính xác tác động từ tài liệu khác, chẳng hạn như tài liệu hướng dẫn người sử dụng vận hành, đặc tả chức năng, mô tả kiến trúc an toàn, hoặc tài liệu về tính chất TSF. Tuy nhiên, người đánh giá sử dụng các thông tin sẵn có trong các tài liệu này thuộc phạm vi có thể giúp để đảm bảo rằng các tương tác được mô tả đầy đủ và chính xác..


128

TCVN xxx: 2015Người đánh giá có thể xây dựng một ánh xạ giữa các yêu cầu chức năng an toàn TOE và thiết kế TOE. Ánh xạ này có thể từ một yêu cầu chức năng đến một tập hợp các hệ thống con, và sau đó đến các mô đun. Lưu ý rằng ánh xạ này có thể có được ở một mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, bởi vì các hoạt động (nhiệm vụ, sàng lọc, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.

Ví dụ, thành phần kiểm soát truy cập tập con FDP_ACC.1 chứa một phần tử với các nhiệm vụ. Ví dụ, nếu ST chứa mười quy tắc trong nhiệm vụ kiểm soát truy cập tập hợp con FDP_ACC.1, và mười quy tắc này được triển khai ở những vị trí xác định trong mười lăm mô đun, nó sẽ không thích hợp chongười đánh giá ánh xạ điều khiển truy cập tập con FDP_ACC.1 tới một hệ thống con và yêu cầu các đơn vị công việc được hoàn thành. Thay vào đó, người đánh giá sẽ ánh xạ điều khiển truy cập tập con FDP_ACC.1 (quy tắc 1) đến các mô đun x, y, và z của hệ thống con A; điều khiển truy cập tập con FDP_ACC.1 (quy tắc 2) đến các mô đun x, p, và q của hệ thống con A.v.v…



Ví dụ, nếu các yêu cầu ST quy định một cơ chế kiểm soát truy cập dựa trên vai trò, người đánh giá cần đầu tiên xác định rằng các hệ thống con và các mô đun đó góp phần triển khai cơ chế này. Điều này có thể được thực hiện nhờ kiến thức và sự hiểu biết chuyên sâu về thiết kế TOE hoặc bằng việc thực hiện trong đơn vị công việc trước đó. Lưu ý rằng theo dấu này chỉ để xác định các hệ thống con, và không phải là phân tích đầy đủ.

Bước tiếp theo là hiểu biết cơ chế nào thực hiện các hệ thống con và các mô đun . Ví dụ, nếu thiết kế mô tả một việc triển khai kiểm soát truy cập dựa trên các bit bảo vệ kiểu-UNIX, thiết kế sẽ không phải là một cài đặt chính xác các yêu cầu kiểm soát truy cập này tạo ra trong ví dụ ST sử dụng ở trên. Nếu người đánh giá không thể xác định các cơ chế đã được thực hiện chính xác vì thiếu chi tiết, người đánh giá cần phải đánh giá xem liệu tất cả các hệ thống con và các mô đun thực thi SFR có được xác định, hoặc nếu đủ chi tiết có được cung cấp cho các hệ thống con này không.


10.8.4.1 Mục tiêuMục tiêu của hoạt động con này là xác định liệu thiết kế TOE có cung cấp một mô tả của TOE trong thuật ngữ của hệ thống con đủ để xác định ranh giới TSF, và cung cấp một mô tả nội bộ TSF trong thuật ngữ của mô đun không (và tùy chọn sự trừu tượng mức cao hơn). Nó cung cấp một mô tả chi tiết các mô đun thực thi SFR và đầy đủ thông tin về các mô đun hỗ trợ SFR và không can thiệp SFR cho người đánh giá để xác định rằng các SFR được triển khai đầy đủ và chính xác, như vậy, thiết kế TOE cung cấp giải thích của biểu diễn triển khai


129

TCVN xxx: 2015

a) ST;


c) Mô tả kiến trúc an toàn;

d) Thiết kế TOE.

10.8.4.3 Các lưu ý áp dụngCó ba loại hoạt động mà người đánh giá cần thực hiện đối với thiết kế TOE. Đầu tiên, người đánh giá xác định rằng ranh giới TSF đã được mô tả đầy đủ. Thứ hai, người đánh giá xác định rằng nhà phát triển đã cung cấp tài liệu phù hợp với các yêu cầu nội dung và trình bày đối với các hệ thống con này, và nó là nhất quán với các tài liệu khác được cung cấp cho TOE. Cuối cùng, người đánh giá phải phân tích thông tin thiết kế đã cung cấp cho các mô đun thực thi SFR (ở mức chi tiết) và các mô đun hỗ trợ SFR và không can thiệp SFR (ở một mức độ ít chi tiết) để hiểu làm thế nào hệ thống được triển khai, và với kiến thức đảm bảo rằng các TSFI trong đặc tả chức năng được mô tả đầy đủ, và các thông tin kiểm thử đầy đủ các kiểm thử TSF (thực hiện trong Lớp ATE: Các đơn vị công việc kiểm thử).




TOE (và TSF) có thể được mô tả trong nhiều lớp trừu tượng (ví dụ: các hệ thống con và các mô đun). Tùy thuộc vào sự phức tạp của TOE, thiết kế của nó có thể được mô tả trong các thuật ngữ của các hệ thống con và mô đun, như đã mô tả trong ISO/IEC 15.408-3 Phụ lục A.4, ADV_TDS: Các hệ thống con và các mô đun. Đối với một TOE đơn giản có thể được mô tả chỉ tại cấp độ "mô đun" (xem ADV_TDS.4-3), đơn vị công việc này không phải áp dụng và do đó được xem là thỏa mãn.


10.8.4.4.2 Đơn vị công việc ADV_TDS.4-2Người đánh giá cần kiểm tra các tài liệu TDS để xác định rằng ghi chú không chính thức được sử dụng cho mô tả các hệ thống con, mô đun và giao diện của chúng được xác định hoặc tham chiếu.

Một ghi chú không chính thức có thể được hoặc xác định bởi các nhà bảo trợ hoặc tương ứng với tiêu chuẩn được tham chiếu. Người đánh giá nên cung cấp một ánh xạ của các chức năng an toàn và các giao diện phác thảo của chúng trong những gì mà phần tài liệu chức năng hoặc giao diện được mô tả bán chính thức và những gì ký hiệu được sử dụng. Người đánh giá thẩm tra tất cả ghi chú không chính thức được sử dụng để chắc chắn rằng chúng đang theo một kiểu bán chính thức và để biện minh cho sự phù hợp về cách thức làm thế nào các ghi chú không chính thức được sử dụng cho các TOE.

130

TCVN xxx: 2015Người đánh giá được nhắc nhở rằng một bài thuyết trình bán chính thức được đặc trưng bởi một định dạng tiêu chuẩn với một cú pháp rõ ràng làm giảm sự không rõ ràng có thể xảy ra trong các bài thuyết trình chính thức. Cú pháp của tất cả các ghi chú không chính thức được sử dụng trong đặc tả chức năng cần được xác định hoặc tương đương với một tiêu chuẩn được tham chiếu. Người đánh giá xác minh rằng các ghi chú không chính thức được sử dụng để thể hiện các đặc tả chức năng có khả năng thể hiện các tính năng liên quan đến an toàn. Để xác định điều này, người đánh giá có thể tham khảo đến SFR và so sánh các tính năng an toàn của TSF đã nêu trong ST và mô tả ấy trong FSP bằng cách sử dụng các ghi chú không chính thức.

ISO/IEC 15.408-3 ADV_TDS.4.2C: Bản thiết kế cần mô tả TSF với các mô đun, thiết kế mỗi mô đun theo thực thi SFR, hỗ trợ SFR, hoặc không can thiệp SFR.

10.8.4.4.3 Đơn vị công việc ADV_TDS.4-3Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng toàn bộ TSF được mô tả trong thuật ngữ các mô đun.

Người đánh giá sẽ thẩm tra các mô đun đối với các thuộc tính cụ thể trong các đơn vị công việc khác nhau; trong đơn vị công việc này người đánh giá xác định rằng mô tả mô đun bao gồm toàn bộ các TSF, không chỉ là một phần của TSF. Người đánh giá sử dụng các bằng chứng khác nau đã cung cấp cho việc đánh giá (ví dụ, đặc tả chức năng, mô tả kiến trúc) trong việc tạo ra quyết định này. Ví dụ, nếu các đặc tả chức năng chứa giao diện chức năng mà không xuất hiện đã được mô tả trong mô tả thiết kế TOE, nó có thể là trường hợp một phần của TSF đã không được đưa vào một cách thích hợp. Việc thực hiện quyết định này có thể là một quá trình lặp đi lặp lại, trong khi đó nhiều phân tích được thực hiện trên các bằng chứng khác, có thể đạt được độ tin cậy cao hơn đối với tính hoàn thiện của tài liệu.

Không giống như các hệ thống con, các mô đun mô tả việc triển khai ở một mức độ chi tiết có thể phục vụ như một hướng dẫn để xem xét các biểu diễn triển khai. Một mô tả của một mô đun nên theo cách sao cho nó có thể triển khai mô đun từ mô tả đó, và kết quả việc triển khai sẽ là 1) giống như việc triển khai TSF thực tế theo các giao diện được trình bày và sử dụng bởi các mô đun là 2) thuật toán giống với mô đun TSF. Ví dụ, RFC 793 cung cấp một mô tả cấp độ cao các giao thức TCP. Điều đó nhất thiết phải triển khai độc lập. Trong khi nó cung cấp các chi tiết đầy đủ, nó không phải là một mô tả thiết kế phù hợp bởi vì nó không cụ thể trong việc triển khai. Một triển khai thực tế có thể thêm giao thức quy định trong các RFC, và sự lựa chọn triển khai (ví dụ, các sử dụng các dữ liệu toàn cục, so với dữ liệu cục bộ trong các phần khác nhau của việc triển khai) có thể có một tác động vào việc phân tích được thực hiện. Mô tả thiết kế của mô đun TCP sẽ liệt kê các giao diện được trình bày bởi việc triển khai (thay vì chỉ những định nghĩa trong RFC 793), cũng như một mô tả thuật toán của việc xử lý kết hợp với các mô đun triển khai TCP (giả sử nó là một phần của TSF).

10.8.4.4.4 Đơn vị công việc ADV_TDS.4-4Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng các mô đun TSF được xác định hoặc thực thi SFR, hoặc hỗ trợ SFR, hoặc không can thiệp SFR.

Mục đích của việc chỉ định mỗi module (theo vai trò cụ thể của module trong việc thực thi các SFR) là cho phép các nhà phát triển cung cấp ít thông tin về các phần của TSF có vai trò thấp trong an toàn. Nó luôn luôn cho phép nhà phát triển cung cấp nhiều thông tin hay chi tiết hơn so với các yêu cầu, như có thể xảy ra khi các thông tin đã được tập hợp bên ngoài bối cảnh đánh giá. Trong trường hợp này nhà phát triển vẫn phải chỉ định các mô đun hoặc thực thi SFR, hoặc hỗ trợ SFR, hoặc không can thiệp SFR.

131

TCVN xxx: 2015

Độ chính xác của những chỉ định này được tiếp tục xem xét như việc tiến hành đánh giá. Mối quan tâm có chỉ định sai các mô đun là ít quan trọng (và do đó, có ít thông tin) hơn là trường hợp thực tế. Trong khi chỉ định sai rõ ràng có thể là ngay lập tức (ví dụ, chỉ định một thẩm định mô đun như thực thi SFR khi xác định người sử dụng (FIA_UID) là một trong những SFR đang được công bố), chỉ định sai khác có thể không được phát hiện cho đến khi TSF được tìm hiểu kỹ hơn. Do đó, người đánh giá cần phải ghi nhớ rằng những chỉ định này là những nỗ lực ban đầu tốt nhất của nhà phát triển, nhưng là chủ đề để có thể thay đổi. Hướng dẫn chi tiết được cung cấp trong đơn vị công việc ADV_TDS.4-16, thẩm tra về độ chính xác của các chỉ định này.



Nếu thiết kế được trình bày chỉ trong các thuật ngữ của các mô đun, khi đó các hệ thống con trong những yêu cầu này là tương đương với các mô đun và hoạt động nên được thực hiện ở cấp mô đun.


ISO/IEC 15.408-3 ADV_TDS.4.4C: Bản thiết kế cần tạo ra mô tả bán chính thức cho mỗi hệ thống con của TSF, với văn bản giải thích không chính thức phù hợp.

10.8.4.4.6 Đơn vị công việc ADV_TDS.4-6Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mỗi hệ thống con của TSF mô tả vai trò của nó trong việc thực thi các SFR đã mô tả trong ST.


Trên các hệ thống đủ phức tạp để đảm bảo một mô tả cấp hệ thống con của TSF ngoài việc mô tả mô đun, mục tiêu của mô tả cấp hệ thống con là để cung cấp cho người đánh giá ngữ cảnh của việc mô tả mô đun tiếp theo. Do đó, người đánh giá đảm bảo rằng mô tả cấp hệ thống con chứa một mô tả cách mà các yêu cầu chức an toàn đạt được trong thiết kế, nhưng ở một mức độ trừu tượng ở trên mô tả mô đun. Mô tả này nên thảo luận các cơ chế sử dụng ở một mức độ được liên kết với mô tả mô đun; điều này sẽ cung cấp cho người đánh giá lộ trình ánh xạ được yêu cầu để đánh giá một cách thông minh các thông tin chứa trong mô tả mô đun. Một tập các mô tả hệ thống con bằng văn bản một cách đầy đủ sẽ giúp hướng dẫn người đánh giá trong việc xác định các mô đun quan trọng nhất để thẩm tra, do đó tập trung vào đánh giá hoạt động trên các phần của TSF mà phù hợp nhất với việc thực thi của các SFR.

132

TCVN xxx: 2015Người đánh giá đảm bảo rằng tất cả các hệ thống con của TSF có một mô tả. Trong khi mô tả nên tập trung về vai trò mà hệ thống con trong thi hành hoặc hỗ trợ triển khai các SFR, đầy đủ thông tin phải hiện thị sao cho một bối cảnh cho sự hiểu biết các chức năng liên quan SFR được tạo ra.

ISO/IEC 15.408-3 ADV_TDS.4.5C: Bản thiết kế cần tạo ra mô tả cho các tương tác của mọi hệ thống con của TSF.



Trên các hệ thống đủ phức tạp để đảm bảo một mô tả cấp hệ thống con của TSF ngoài mô tả mô đun, mục tiêu của mô tả sự tương tác giữa các hệ thống con thực thi SFR và các hệ thống con khác là giúp cung cấp cho người đọc hiểu biết hơn về cách TSF thực hiện các chức năng của nó. Những tương tác này không cần phải được mô tả ở mức triển khai (ví dụ, thông số được truyền từ một đoạn chương trình trong một hệ thống con đến một đoạn chương trình trong một hệ thống con khác, biến số toàn cục, tín hiệu phần cứng (ví dụ, ngắt) từ một hệ thống con phần cứng tới một hệ thống con điều khiển ngắt), nhưng các yếu tố dữ liệu xác định cho một hệ thống con đặc biệt được sử dụng bởi một hệ thống con khác cần được đề cập trong thảo luận này. Bất kỳ mối quan hệ điều khiển nào giữa hệ thống con (ví dụ, một hệ thống con chịu trách nhiệm cấu hình một nguyên tắc cơ bản cho một hệ thống tường lửa và một hệ thống con thực sự thực hiện các quy tắc này) cũng nên được mô tả.

Cần phải lưu ý trong khi nhà phát triển mô tả tất cả tương tác giữa các hệ thống con, người đánh giá cần phải sử dụng nhận định của riêng họ trong việc đánh giá tính trọn vẹn của sự mô tả. Nếu lý do cho một tương tác là không rõ ràng, hoặc nếu có những tương tác liên quan SFR (ví dụ: phát hiện trong kiểm tra các mô tả đáp ứng của hệ thống con) không được mô tả, người đánh giá đảm bảo rằng thông tin này được cung cấp bởi nhà phát triển. Tuy nhiên, nếu người đánh giá có thể xác định rằng sự tương tác trong một tập hợp riêng của các hệ thống con, trong khi nhà phát triển mô tả không đầy đủ, sẽ không hỗ trợ tìm hiểu về chức năng tổng thể cũng như chức năng an toàn được cung cấp bởi TSF, khi đó người đánh giá có thể chọn coi như mô tả đầy đủ, và không theo đuổi tính trọn vẹn vì mục đích riêng của mình.

ISO/IEC 15.408-3 ADV_TDS.4.6C: Bản thiết kế cần tạo ra ánh xạ từ các hệ thống con của TSF đến các mô đun của TSF.

10.8.4.4.8 Đơn vị công việc ADV_TDS.4-8Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng ánh xạ giữa các hệ thống con của TSF và các mô đun của TSF là đầy đủ.


Đối với TOE đủ phức tạp để đảm bảo một mô tả cấp hệ thống con của TSF ngoài mô tả mô đun, nhà phát triển cung cấp một ánh xạ đơn cho thấy làm cách nào các mô đun của TSF phân bổ cho các hệ thống con. Điều này sẽ cung cấp cho người đánh giá một hướng dẫn trong việc thực hiện đánh giá cấp mô đun của nó. Để xác định tính toàn vẹn, người đánh giá thẩm tra từng ánh xạ và xác định rằng tất cả

133

TCVN xxx: 2015

hệ thống con ánh xạ ít nhất đến một mô đun, và tất cả các mô đun ánh xạ chính xác đến một hệ thống con.

10.8.4.4.9 Đơn vị công việc ADV_TDS.4-9Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng ánh xạ giữa các hệ thống con của TSF và các mô đun của TSF là chính xác.


Đối với TOE đủ phức tạp để đảm bảo một mô tả cấp hệ thống con của TSF ngoài mô tả mô đun, nhà phát triển cung cấp một ánh xạ đơn cho thấy làm cách nào các mô đun của TSF phân bổ cho các hệ thống con. Điều này sẽ cung cấp cho người đánh giá một hướng dẫn trong việc thực hiện đánh giá cấp mô đun của nó. Người đánh giá có thể lựa chọn để kiểm tra tính chính xác của các ánh xạ kết hợp với thực hiện các đơn vị công việc khác. Một ánh xạ "không chính xác" là ánh xạ mà các mô đun liên quan ấn định nhầm đến một hệ thống con nơi mà chức năng của nó không được sử dụng trong hệ thống con. Bởi vì ánh xạ được thiết kế để trở thành một hướng dẫn hỗ trợ các phân tích chi tiết hơn, người đánh giá được cảnh báo để cố gắng áp dụng phù hợp với đơn vị công việc này. Mở rộng nguồn tài nguyên sâu rộng của người đánh giá để xác minh tính chính xác của ánh xạ là không được yêu cầu. Tính không chính xác dẫn đến sự hiểu sai liên quan đến việc thiết kế không được đề cập ở đây hay ở các đơn vị công việc khác nên gắn với đơn vị công việc này và được sửa lại cho chính xác.

ISO/IEC 15.408-3 ADV_TDS.4.7C: Bản thiết kế cần mô tả mỗi mô đun thực thi SFR và hỗ trợ SFR với mục đích và tương tác của chúng với các mô đun khác.

10.8.4.4.10 Đơn vị công việc ADV_TDS.4-10Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng các mô tả về mục đích của mỗi mô đun thực thi SFR và hỗ trợ SFR là đầy đủ và chính xác.


Mục đích của mô đun là cung cấp một mô tả cho thấy chức năng gì mô đun thỏa mãn. Người đánh giá cần chú ý tới các thứ tự. Trọng tâm của đơn vị công việc này nên cung cấp cho người đánh giá các hiểu biết về cách mà các mô đun hoạt động để có thể quyết định về tính đúng đắn của việc triển khai các SFR, cũng như để hỗ trợ phân tích kiến trúc thực hiện cho thành phần ADV_ARC. Miễn là người đánh giá hiểu biết về hoạt động của mô đun, và mối quan hệ của nó với các mô đun khác và TOE như một tổng thể, người đánh giá nên xem xét mục tiêu của công việc đạt được và không tham gia vào một tài liệu hướng dẫn thực hiện của nhà phát triển (bằng cách yêu cầu, ví dụ, một thuật toán hoàn chỉnh mô tả cho một biểu diễn triển khai là hiển nhiên).

134

TCVN xxx: 2015ISO/IEC 15.408-3 ADV_TDS.4.8C: Bản thiết kế cần mô tả mỗi mô đun thực thi SFR với các giao diện liên quan SFR của chúng, cho lại các giá trị từ các giao diện này, tương tác với và gọi các giao diện tới các mô đun khác.

10.8.4.4.11 Đơn vị công việc ADV_TDS.4-11Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng các mô tả về giao diện được trình bày bởi mỗi mô đun thực thi SFR và hỗ trợ SFR chứa mô tả chính xác và đầy đủ các thông số liên quan SFR, các quy ước gọi đến đối với mỗi giao diện, và bất kỳ giá trị nào trả lại trực tiếp từ các giao diện.

Các giao diện liên quan SFR của một mô đun là những giao diện được sử dụng bởi các mô đun khác như một phương tiện để gọi các hoạt động liên quan SFR đã cung cấp, và để cung cấp đầu vào hoặc nhận kết quả đầu ra từ các mô-đun. Mục đích của các đặc điểm kỹ thuật của các giao diện này là cho phép việc thực hiện chúng trong quá trình kiểm thử. Giao diện liên mô đun mà không liên quan SFR không cần được quy định hoặc được mô tả, do chúng không phải là một yếu tố trong kiểm thử. Tương tự như vậy, các giao diện nội bộ khác mà không phải là một yếu tố trong liên quan SFR đến cách thức thực hiện (chẳng hạn như những đường cố định bên trong).

Các giao diện liên quan SFR được mô tả trong thuật ngữ theo cách chúng được gọi đến, và bất kỳ các giá trị được trả về. Mô tả này sẽ bao gồm một danh sách các thông số, và các mô tả của các tham số này. Lưu ý rằng dữ liệu toàn cục cũng sẽ được xem là các thông số nếu được sử dụng bởi mô đun (hoặc là các đầu vào hoặc là các đầu ra) khi được gọi đến. Nếu một tham số được dự kiến sẽ đưa vào một tập các giá trị (ví dụ, một tham số "cờ"), thiết lâp đầy đủ của giá trị các tham số có thể đưa vào đó sẽ có một tác động vào việc xử lý mô đun sẽ được xác định. Tương tự như vậy, các thông số đại diện cho cấu trúc dữ liệu được mô tả như các trường của cấu trúc dữ liệu được xác định và mô tả. Lưu ý rằng các ngôn ngữ lập trình khác nhau có thể có thêm "các giao diện" không rõ ràng, ví dụ như nhà điều hành/chức năng quá tải trong C++. "Giao diện không rõ ràng" này trong các lớp mô tả cũng có thể được mô tả như là một phần của thiết kế TOE ở mức độ thấp. Lưu ý rằng mặc dù một mô đun chỉ có thể trình bày một giao diện, thông thường thì một mô đun trình bày một tập con các giao diện liên quan.

Trong thuật ngữ vầ đánh giá các thông số (các đầu vào và các đầu ra) của một mô đun, sử dụng bất kỳ dữ liệu toàn cục nào cũng phải được cân nhắc. Một mô đun "sử dụng" dữ liệu toàn cục nếu nó hoặc là đọc hoặc là ghi dữ liệu. Để đảm bảo sự mô tả các thông số như vậy (nếu sử dụng) là đầy đủ, người đánh giá sử dụng các thông tin khác được cung cấp về mô đun trong thiết kế TOE (các giao diện, thuật toán mô tả, v.v…), cũng như mô tả về tập hợp đặc biệt của dữ liệu toàn cục đã đánh giá trong đơn vị công việc ADV_TDS.4-10. Ví dụ, người đánh giá có thể đầu tiên xác định việc xử lý các mô đun thực hiện bằng cách kiểm tra chức năng và giao diện sẵn có (đặc biệt là các thông số của các giao diện). Sau đó họ có thể kiểm tra để xem xét nếu các quá trình xử lý "chạm" đến bất kỳ khu vực dữ liệu toàn cục được xác định trong thiết kế TOE. Người đánh giá sau đó xác định rằng, đối với mỗi khu vực dữ liệu toàn cục bị "chạm", khu vực dữ liệu toàn cục đó được liệt kê như là đầu vào hay đầu ra của mô đun mà người đánh giá thẩm tra.

Quy ước gọi đến là một đặc tả kiểu tham chiếu lập trình có thể sử dụng để gọi đến chính xác một giao diện của một mô đun nếu một người đang viết một chương trình để sử dụng các chức năng của mô đun thông qua giao diện đó. Điều này bao gồm các đầu vào và các đầu ra được yêu cầu, bao gồm cả các thiết lập mà có thể cần được thực hiện đối với các biến số toàn cục.

Giá trị trả về thông qua giao diện liên quan đến các giá trị mà hoặc là thông qua các thông số hoặc là các thông báo; giá trị mà các chức năng truy xuất tự nó trả về trong kiểu của một truy xuất chức năng lập trình "C", hoặc giá trị được truyền thông qua phương thức toàn cục (chẳng hạn như các tuyến lỗi cụ thể trong các hệ điều hành kiểu *ix).

135

TCVN xxx: 2015

Để đảm bảo các mô tả là đầy đủ, người đánh giá sử dụng thông tin khác được cung cấp bởi mô đun trong thiết kế TOE (ví dụ, thuật toán mô tả, dữ liệu toàn cục được sử dụng) để đảm bảo rằng tất cả dữ liệu được yêu cầu để thực hiện các chức năng của mô đun đã sẵn có cho các mô đun, và rằng bất kỳ giá trị mà các mô đun khác kỳ vọng việc thẩm tra mô đun để cung cấp được xác định như được phản hồi bởi các mô đun. Người đánh giá xác định độ chính xác để đảm bảo rằng mô tả của các xử lý phù hợp với thông tin được liệt kê như được truyền đến hoặc đi từ một giao diện.

Vì các mô đun ở mức độ thấp như vậy, rất khó có thể xác định tính hoàn thiệt và chính xác tác động từ tài liệu khác, chẳng hạn như hướng dẫn người sử dụng vận hành, đặc tả chức năng,các tính chất TSF, hoặc mô tả kiến trúc an toàn. Tuy nhiên, người đánh giá sử dụng các thông tin sẵn có trong các tài liệu này thuộc phạm vi có thể giúp để đảm bảo rằng mục đích được mô tả đầy đủ và chính xác. Các phân tích này có thể được hỗ trợ bởi các phân tích đã thực hiện cho các đơn vị công việc đối với phần tử ADV_TDS.3.10C, mà các ánh xạ TSFI trong đặc tả chức năng đến các mô đun của TSF.

ISO/IEC 15.408-3 ADV_TDS.4.9C: Bản thiết kế cần mô tả mỗi mô đun không can thiệp SFR với mục đích và tương tác của chúng với các mô đun khác.

10.8.4.4.12 Đơn vị công việc ADV_TDS.4-12Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mô đun không can thiệp SFR được phân loại chính xác.

Như đã đề cập trong đơn vị công việc ADV_TDS.4-3, ít thông tin được yêu cầu về mô đun không can thiệp SFR. Trọng tâm của người đánh giá cho đơn vị công việc này là cố gắng xác định từ những bằng chứng đã cung cấp cho mỗi mô đun phân loại không ngầm định như là không can thiệp SFR và thông tin đánh giá về các mô đun khác (trong thiết kế TOE, các đặc tả chức năng, mô tả kiến trúc an toàn, và hướng dẫn người sử dụng vận hành), liệu các mô đun có thực sự không can thiệp SFR không. Ở cấp độ này một số lỗi đảm bảo có thể được bỏ qua; người đánh giá không hoàn toàn chắc chắn rằng một mô đun là không can thiệp SFR, mặc dù nó được dán nhãn như vậy. Tuy nhiên, nếu các bằng chứng được cung cấp chỉ ra rằng một mô đun không can thiệp SFR là thực thi SFR hoặc hỗ trợ SFR, người đánh giá yêu cầu thêm thông tin từ nhà phát triển để giải quyết sự không thống nhất rõ ràng. Ví dụ, giả sử các tài liệu hướng dẫn cho Mô đun A (một mô đun thực thi SFR) chỉ ra rằng nó truy xuất Mô đun B để thực hiện kiểm tra truy cập trên một loại kết cấu nhất định. Khi người đánh giá thẩm tra các thông tin liên quan đến Mô đun B, họ thấy rằng tất cả nhà phát triển đã cung cấp một mục đích và một tập hợp các tương tác (như vậy, Mô đun B phân loại không ngầm định như là hỗ trợ SFR hoặc không can thiệp SFR). Khi kiểm tra mục đích và tương tác của Mô đun A, người đánh giá thấy không đề cập đến Mô đun B thực hiện bất kỳ kiểm tra truy cập nào, và Mô đun A không được liệt kê như là một mô đun mà Mô đun B tương tác. Tại thời điểm này, người đánh giá nên tiếp cận nhà phát triển để giải quyết các khác biệt giữa thông tin đã cung cấp trong Mô đun A và trong Mô đun B.

Một ví dụ khác là nơi mà người đánh giá kiểm tra các ánh xạ của các TSFI đến các mô đun như cung cấp bởi ADV_TDS.4.2D. Việc thẩm tra này cho thấy, Mô đun C được kết hợp với một SFR yêu cầu xác định của người sử dụng. Một lần nữa, khi người đánh giá thẩm tra thông tin liên quan đến Mô đun C, người đánh giá thấy rằng tất cả nhà phát triển đã cung cấp một mục đích và một tập hợp các tương tác (như vậy, Mô đun C phân loại không ngầm định như là không can thiệp FSR). Kiểm tra mục đích và tương tác được trình bày cho Mô đun C, người đánh giá không thể xác định lý do tại sao Mô đun C, được liệt kê như ánh xạ từ TSFI liên quan đến người sử dụng xác định, sẽ không được phân loại là thực thi SFR hoặc hỗ trợ SFR. Một lần nữa, người đánh giá cần tiếp cận nhà phát triển để giải quyết sự khác biệt này.

136

TCVN xxx: 2015Một ví dụ cuối cùng đi từ quan điểm ngược lại. Như trước đây, nhà phát triển đã cung cấp thông tin kết hợp với Mô đun D bao gồm một mục đích và một tập hợp các tương tác (như vậy, mặc nhiên phân loại Mô đun D phân loại không ngầm định như là hỗ trợ SFR hoặc không can thiệp FSR). Người đánh giá thẩm tra tất cả các bằng chứng đã cung cấp, bao gồm cả mục đích và tương tác với mô đun D. Các mục đích xuất hiện để cung cấp một mô tả ý nghĩa của chức năng Mô đun D trong TOE, sự tương tác nhất quán với mô tả đó, và không có gì chỉ ra rằng Mô đun D là thực thi SFR. Trong trường hợp này, người đánh giá không nên đòi hỏi nhiều thông tin về Mô đun D "chỉ là để đảm bảo" nó được phân loại một cách chính xác. Nhà phát triển đã thõa mãn các nghĩa vụ của họ và người đánh giá đảm bảo kết quả có trong phân loại tiềm ẩn của Mô đun D là (theo định nghĩa) thích hợp cho mức độ đảm bảo này.

10.8.4.4.13 Đơn vị công việc ADV_TDS.4-13Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mô tả về mục đích của mỗi mô đun không can thiệp SFR là đầy đủ và chính xác.

Các mô tả về mục đích của một mô đun chỉ ra những mô đun chức năng nào là thỏa mãn. Từ sự mô tả, người đánh giá có thể nên có được một ý tưởng chung về vai trò của mô đun. Để đảm bảo sự mô tả là đầy đủ, người đánh giá sử dụng các thông tin đã cung cấp về các tương tác của mô đun với các mô đun khác để đánh giá liệu những lý do các mô đun được truy xuất có nhất quán với các mục đích của mô đun không. Nếu mô tả tương tác có chức năng không rõ ràng, hoặc mâu thuẫn với, các mục đích của mô đun, người đánh giá cần xác định liệu vấn đề có ở tính chính xác hoặc tính toàn diện không. Người đánh giá nên chú ý với các mục đích quá ngắn, do không thể phân tích ý nghĩa dựa trên mục đích chỉ có một câu.

Vì các mô đun ở mức độ thấp như vậy, rất khó có thể xác định tính hoàn thiệt và chính xác tác động từ tài liệu khác, chẳng hạn như tài liệu hướng dẫn người sử dụng vận hành, đặc tả chức năng, mô tả kiến trúc an toàn, các tính chất TSF. Tuy nhiên, người đánh giá sử dụng các thông tin tạo ra trong các tài liệu thuộc phạm vi có thể giúp để đảm bảo rằng chức năng được mô tả đầy đủ và chính xác. Phân tích này có thể được hỗ trợ bởi các phân tích đã thực hiện cho các đơn vị công việc đối với phần tử ADV_TDS.4.10C, mà các ánh xạ TSFI trong đặc tả chức năng đến các mô đun của TSF.

10.8.4.4.14 Đơn vị công việc ADV_TDS.4-14Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mô tả tương tác của mô đun không can thiệp SFR với các mô đun khác là đầy đủ và chính xác.

Điều quan trọng cần lưu ý là, trong các thuật ngữ của yêu cầu ở Phần 3 và đơn vị công việc này, thuật ngữ tương tác có mục đích truyền đạt ít nghiêm ngặt hơn so với thuật ngữ giao diện . Một tương tác không cần phải đặc tả ở cấp triển khai (ví dụ, thông số thông qua từ một tuyến trong một mô đun này tới một tuyến trong một mô đun khác; biến số toàn cục; các tín hiệu phần cứng (ví dụ, các ngắt) từ một phần cứng của hệ thống con tới một hệ thống con xử lý ngắt), nhưng các phần tử dữ liệu xác định cho một mô đun được sử dụng bởi một mô đun đặc biệt nên được đề cập trong thảo luận này. Bất kỳ mối quan hệ kiểm soát giữa các mô đun (ví dụ, một mô đun chịu trách nhiệm cho việc cấu hình một nguyên tắc cơ bản cho một hệ thống tường lửa và các mô đun thực sự thực hiện các quy tắc) cũng nên được mô tả.

Tương tác của một mô đun với các mô đun khác có thể được giữ lại bằng nhiều cách khác nhau. Mục đích của thiết kế TOE là cho phép người đánh giá hiểu (một phần thông qua phân tích các tương tác mô đun) vai trò của hỗ trợ SFR và không can thiệp SFR trong tổng thể thiết kế TOE. Sự hiểu biết về vai trò này sẽ giúp người đánh giá trong việc thực hiện các đơn vị công việc ADV_TDS.4-7.

137

TCVN xxx: 2015

Tương tác của một mô đun với các mô đun khác vượt ra ngoài tài liệu kiểu cây truy xuất. Sự tương tác được mô tả từ góc độ chức năng lý do tại sao một mô đun tương tác với các mô đun khác. Các mục đích của mô đun mô tả những chức năng của mô đun cung cấp cho các mô đun, sự tương tác nên mô tả những gì các mô đun phụ thuộc vào các mô đun trong để thực hiện chức năng này.

Vì các mô đun ở mức độ thấp như vậy, rất khó có thể xác định tính hoàn thiệt và chính xác tác động từ tài liệu khác, chẳng hạn như tài liệu hướng dẫn người sử dụng vận hành, đặc tả chức năng, mô tả kiến trúc an toàn, các tính chất TSF. Tuy nhiên, người đánh giá sử dụng các thông tin tạo ra trong các tài liệu thuộc phạm vi có thể giúp để đảm bảo rằng chức năng được mô tả đầy đủ và chính xác.


10.8.4.4.15 Đơn vị công việc ADV_TDS.4-15Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng nó có chứa đầy đủ và chính xác ánh xạ từ TSFI được mô tả trong các đặc tả chức năng cho các mô đun của TSF đã mô tả trong thiết kế TOE.

Các mô đun được mô tả trong thiết kế TOE cung cấp mô tả về triển khai TSF. Các TSFI cung cấp một mô tả làm thế nào các thực hiện được thực hiện. Các bằng chứng từ nhà phát triển xác định các mô đun ban đầu được gọi khi một hoạt động được yêu cầu tại các TSFI, và xác định các chuỗi các mô đun gọi lên đến các mô đun đó chủ yếu chịu trách nhiệm cho việc thực hiện các chức năng. Tuy nhiên, một cây truy xuất đầy dủ cho mỗi TSFI là không được yêu cầu cho đơn vị công việc này. Các trường hợp trong đó nhiều hơn một mô đun sẽ được xác định là nơi có mô đun "điểm đưa vào" hoặc các mô đun trình bao bọc mà không có chức năng khác ngoài điều kiện đầu vào hoặc giải ghép kênh đầu vào. Ánh xạ là một trong các mô đun cung cấp bất kỳ thông tin hữu ích cho người đánh giá.

Người đánh giá đánh giá tính hoàn thiện của ánh xạ bằng cách đảm bảo rằng tất cả các ánh xạ TSFI ít nhất một mô đun. Các xác minh độ chính xác có nhiều phức tạp.

Khía cạnh đầu tiên của độ chính xác là mỗi TSFI được ánh xạ tới một mô đun ở ranh giới TSF. Quyết định này có thể được thực hiện bằng cách xem xét việc mô tả mô đun và các giao diện/tương tác của nó. Các khía cạnh tiếp theo của độ chính xác là mỗi TSFI xác định một chuỗi các mô đun giữa mô đun ban đầu được xác định và một mô đun chịu trách nhiệm chính cho việc thực hiện chức năng sẵn có tại TSF. Lưu ý rằng đây có thể là mô đun đầu tiên, hoặc có thể là một số mô đun, tùy thuộc vào nhiều điều kiện của đầu vào được thực hiện. Cần lưu ý rằng chỉ thị điều kiện ban đầu của mô đun gọi đến một số lượng lớn TSFI, nơi TSFI là cùng loại (ví dụ, truy xuất hệ thống). Khía cạnh cuối cùng của độ chính xác là ánh xạ có ý nghĩa. Ví dụ, ánh xạ việc xử lý TSFI với kiểm soát truy cập tới một mô đun để kiểm tra mật khẩu là không chính xác. Người đánh giá nên một lần nữa sử dụng sự phán xét trong việc tạo ra quyết định này. Mục tiêu là thông tin này hỗ trợ người đánh giá hiểu biết về hệ thống và triển khai các SFR, và cách thức mà các thực thể tại ranh giới TSF có thể tương tác với các TSF. Phần lớn đánh giá liệu các SFR có được mô tả chính xác bởi các mô-đun được thực hiện trong đơn vị công việc khác không.


138

TCVN xxx: 2015Người đánh giá có thể xây dựng một ánh xạ giữa các yêu cầu chức năng an toàn TOE và thiết kế TOE. Ánh xạ này có thể từ một yêu cầu chức năng đến một tập hợp các hệ thống con, và sau đó đến các mô đun. Lưu ý rằng ánh xạ này có thể có được ở một mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, bởi vì các hoạt động (nhiệm vụ, sàng lọc, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.

Ví dụ, thành phần kiểm soát truy cập tập con FDP_ACC.1 chứa một phần tử với các nhiệm vụ. Ví dụ, nếu ST chứa mười quy tắc trong nhiệm vụ kiểm soát truy cập tập hợp con FDP_ACC.1, và mười quy tắc này được triển khai ở những vị trí xác định trong mười lăm mô đun, nó sẽ không thích hợp chongười đánh giá ánh xạ điều khiển truy cập tập con FDP_ACC.1 tới một hệ thống con và yêu cầu các đơn vị công việc được hoàn thành. Thay vào đó, người đánh giá sẽ ánh xạ điều khiển truy cập tập con FDP_ACC.1 (quy tắc 1) đến các mô đun x, y, và z của hệ thống con A; điều khiển truy cập tập con FDP_ACC.1 (quy tắc 2) đến các mô đun x, p, và q của hệ thống con A;…



Ví dụ, nếu các yêu cầu ST quy định một cơ chế kiểm soát truy cập dựa trên vai trò, người đánh giá cần đầu tiên xác định rằng các hệ thống con và các mô đun đó góp phần triển khai cơ chế này. Điều này có thể được thực hiện nhờ kiến thức và sự hiểu biết chuyên sâu về thiết kế TOE hoặc bằng việc thực hiện trong đơn vị công việc trước đó. Lưu ý rằng theo dấu này chỉ để xác định các hệ thống con, và không phải là phân tích đầy đủ.

Bước tiếp theo là hiểu biết cơ chế nào thực hiện các hệ thống con và các mô đun . Ví dụ, nếu thiết kế mô tả một việc triển khai kiểm soát truy cập dựa trên các bit bảo vệ kiểu-UNIX, thiết kế sẽ không phải là một cài đặt chính xác các yêu cầu kiểm soát truy cập này tạo ra trong ví dụ ST sử dụng ở trên. Nếu người đánh giá không thể xác định các cơ chế đã được thực hiện chính xác vì thiếu chi tiết, người đánh giá cần phải đánh giá xem liệu tất cả các hệ thống con và các mô đun thực thi SFR có được xác định, hoặc nếu đủ chi tiết có được cung cấp cho các hệ thống con này không.

10.8.5 Đánh giá hoạt động con (ADV_TDS.5)Không có hướng dẫn chung; Lược đồ nên được tư vấn để hướng dẫn hoạt động con này.

10.8.6 Đánh giá hoạt động con (ADV_TDS.6)Không có hướng dẫn chung; Lược đồ nên được tư vấn để hướng dẫn hoạt động con này.

11 Lớp AGD: Tài liệu hướng dẫn11.1 Giới thiệuMục đích của hoạt động tài liệu hướng dẫn là để đánh giá tính đầy đủ của các tài liệu mô tả cách người sử dụng có thể xử lý các TOE một cách an toàn. Tài liệu hướng dẫn cần phân loại tài khoản theo các kiểu người sử dụng khác nhau (ví dụ như những người chấp nhận, cài đặt, quản trị hoặc vận hành TOE) mà các hành động không chính xác có thể ảnh hưởng xấu đến an toàn của TOE hoặc dữ liệu của nó.

139

TCVN xxx: 2015

Lớp tài liệu hướng dẫn được chia thành hai họ, họ thứ nhất đề cập tới hướng dẫn người dùng chuẩn bị (tất cả các công việc đã được thực hiện để chuyển đổi TOE được giao vào cấu hình đánh giá trong môi trường như được mô tả trong ST, nghĩa là là chấp nhận và cài đặt TOE) và họ thứ hai đề cập tới hướng dẫn người sử dụng vận hành (tất cả các công việc đã được thực hiện trong quá trình vận hành TOE trong cấu hình đánh giá của nó, nghĩa là vận hành và quản trị).

11.2 Các lưu ý áp dụngHoạt động tài liệu hướng dẫn áp dụng cho các chức năng và giao diện có liên quan đến sự an toàn của TOE. Cấu hình an toàn của TOE được mô tả trong ST.

11.3 Hướng dẫn sử dụng vận hành (AGD_OPE)11.3.1 Đánh giá hoạt động con (AGD_OPE.1)

11.3.1.1 Mục tiêuMục tiêu của hoạt động con này là để xác định xem liệu hướng dẫn sử dụng có mô tả với từng vai trò người dùng các chức năng an toàn và giao diện được cung cấp bởi TSF, cung cấp chỉ dẫn và hướng dẫn sử dụng an toàn TOE, giải quyết các thủ tục an toàn cho tất cả các chế độ hoạt động, tạo điều kiện cho việc phòng chống và phát hiện các trạng thái không an toàn của TOE hoặc hướng dẫn sử dụng này có chỉ lỗi sai hoặc không hợp lý không.


a) ST;


c) thiết kế TOE, nếu áp dụng,

d) hướng dẫn người sử dụng;

11.3.1.3 Hành động AGD_OPE.1.1ETCVN 8709-3:2011 AGD_OPE.1.1C: Tài liệu hướng dẫn người dùng vận hành cần mô tả với từng vai trò người dùng, các chức năng có thể truy nhập người dùng và các đặc quyền đó cần được kiểm soát trong môi trường xử lý an toàn, bao gồm các cảnh báo thích hợp.

11.3.1.3.1 Đơn vị công việc AGD_OPE.1-1Người đánh giá cần xem xét các hướng dẫn người dùng vận hành để xác định rằng nó mô tả với từng vai trò người dùng, các chức năng có thể truy nhập người dùng và các đặc quyền đó phải được kiểm soát trong một môi trường xử lý an toàn, bao gồm cả cảnh báo thích hợp.

Cấu hình của TOE có thể cho phép các vai trò người dùng khác nhau có các đặc quyền khác nhau trong việc sử dụng các chức năng khác nhau của TOE. Điều này có nghĩa rằng một số người dùng được cấp quyền thực hiện các chức năng nhất định, trong khi những người dùng khác không được cấp quyền thì không thực hiện được. Các chức năng và đặc quyền này nên được mô tả với từng vai trò người dùng bởi tài liệu hướng dẫn người dùng.

Tài liệu hướng dẫn người dùng xác định với từng vai trò người dùng, các chức năng và đặc quyền phải được kiểm soát, các loại lệnh cần thiết, và các lý do của các lệnh đó. Tài liệu hướng dẫn người dùng nên có cảnh báo về việc sử dụng các chức năng và đặc quyền này. Các cảnh báo cần đưa ra các

140

TCVN xxx: 2015ảnh hưởng dự kiến, tác động phụ có thể có và các tương tác có thể với các chức năng và đặc quyền khác.

TCVN 8709-3:2011 AGD_OPE.1.2C: Tài liệu hướng dẫn người dùng vận hành cần mô tả với từng vai trò người dùng, cách thức sử dụng các giao diện có sẵn được cung cấp bởi TOE một cách an toàn.

11.3.1.3.2 Đơn vị công việc AGD_OPE.1-2Người đánh giá cần kiểm tra hướng dẫn người dùng vận hành để xác định rằng nó mô tả với từng vai trò người dùng, việc sử dụng an toàn giao diện có sẵn được cung cấp bởi TOE.

Tài liệu hướng dẫn người dùng nên cung cấp lời khuyên về sử dụng hiệu quả TSF (ví dụ như xem xét lại thực hành tạo mật khẩu, tần suất người dùng sao lưu tập tin, thảo luận về các tác động của việc thay đổi đặc quyền truy cập người dùng).

TCVN 8709-3:2011 AGD_OPE.1.3C: Tài liệu hướng dẫn người dùng vận hành cần mô tả với từng vai trò người dùng, các chức năng có sẵn và các giao diện, đặc biệt là tất cả các tham số an toàn dưới sự kiểm soát của người dùng, chỉ ra các giá trị an toàn thích hợp.

11.3.1.3.3 Đơn vị công việc AGD_OPE.1-3Người đánh giá cần kiểm tra tài liệu hướng dẫn người dùng vận hành để xác định rằng nó mô tả với từng vai trò người dùng, chức năng an toàn có sẵn và giao diện, đặc biệt là tất cả thông số an toàn dưới quyền kiểm soát của người dùng, chỉ ra các giá trị an toàn thích hợp.

Tài liệu hướng dẫn người dùng nên có một cái nhìn tổng quan về tính năng an toàn có thể nhìn thấy được ở giao diện người dùng.

Tài liệu hướng dẫn người dùng nên xác định và mô tả mục đích, cơ chế và mối quan hệ của các giao diện và chức năng an toàn.

Với mỗi giao diện người dùng có thể truy nhập, tài liệu hướng dẫn người dùng cần:

a) mô tả các phương pháp bằng cách đó các giao diện được gọi (ví dụ như dòng lệnh, truy xuất hệ thống ngôn ngữ lập trình, lựa chọn menu, nút lệnh);

b) mô tả các thông số được thiết lập bởi người dùng, mục đích cụ thể của chúng, các giá trị hợp lệ và mặc định và các thiết lập sử dụng an toàn và không an toàn của các thông số đó, cả riêng rẽ hoặc kết hợp;

c) mô tả các đáp ứng TSF tức thì, bản tin, hoặc mã được trả về.

Người đánh giá cần xem xét đặc tả chức năng và ST để xác định rằng các TSF được mô tả trong các tài liệu này phù hợp với hướng dẫn người dùng vận hành. Người đánh giá phải đảm bảo rằng các hướng dẫn người dùng vận hành là đầy đủ để cho phép sử dụng an toàn thông qua TSFI có sẵn cho tất cả các loại người dùng. Người đánh giá có thể, như một hỗ trợ, chuẩn bị một ánh xạ không chính thức giữa các hướng dẫn và các tài liệu này. Bất kỳ thiếu sót nào trong việc ánh xạ này có thể chỉ ra sự thiếu hoàn chỉnh.

TCVN 8709-3:2011 AGD_OPE.1.4C: Tài liệu hướng dẫn người dùng vận hành với từng vai trò người dùng, cần trình bày rõ ràng từng loại sự kiện an toàn thích hợp liên quan với các chức năng người dùng có thể truy nhập cần được thực hiện, bao gồm cả việc thay đổi các đặc tính an toàn của các thực thể chịu sự kiểm soát của TSF.

11.3.1.3.4 Đơn vị công việc AGD_OPE.1-4

141

TCVN xxx: 2015

Người đánh giá cần kiểm tra hướng dẫn người dùng vận hành để xác định rằng nó mô tả, với từng vai trò người dùng, từng loại sự kiện an toàn thích hợp liên quan đến các chức năng người dùng cần phải được thực hiện, bao gồm cả việc thay đổi các tính chất an toàn của các thực thể chịu sự kiểm soát của TSF và vận hành thất bại hoặc lỗi vận hành.

Tất cả các loại sự kiện an toàn có liên quan được trình bày chi tiết với từng vai trò người dùng, chẳng hạn mỗi người dùng biết những sự kiện gì có thể xảy ra và những hành động (nếu có), có thể duy trì sự an toàn. Các sự kiện an toàn có liên quan có thể xảy ra trong quá trình vận hành của TOE (ví dụ như tràn kiểm tra, sập hệ thống, cập nhật hồ sơ cho người sử dụng, chẳng hạn như hủy một tài khoản người dùng khi người dùng rời khỏi tổ chức) được định nghĩa đầy đủ để cho phép người dùng can thiệp để duy trì hoạt động an toàn.

TCVN 8709-3:2011 AGD_OPE.1.5C: Tài liệu hướng dẫn người dùng vận hành cần xác định tất cả các chế độ hoạt động có thể của TOE (bao gồm hoạt động sau lỗi và lỗi vận hành), hậu quả và tác động của của chúng đối với việc duy trì vận hành an toàn.

11.3.1.3.5 Đơn vị công việc AGD_OPE.1-5Người đánh giá cần kiểm tra hướng dẫn người dùng vận hành và các bằng chứng đánh giá khác để xác định rằng hướng dẫn xác định tất cả các thể chế độ hoạt động của TOE (bao gồm nếu áp dụng, hoạt động sau khi thất bại hoặc lỗi hoạt động), hậu quả và những tác động của chúng đối với việc duy trì hoạt động an toàn.

Bằng chứng đánh giá khác, đặc biệt là các đặc tả chức năng, cung cấp một nguồn thông tin mà người đánh giá cần sử dụng để xác định các hướng dẫn có chứa thông tin hướng dẫn đầy đủ.

Nếu tài liệu kiểm thử bao gồm trong các gói bảo đảm, thì thông tin được cung cấp trong bằng chứng này cũng có thể được sử dụng để xác định rằng các hướng dẫn có chứa tài liệu hướng dẫn đầy đủ. Thông tin chi tiết được cung cấp trong các bước kiểm tra có thể được sử dụng để xác nhận rằng các hướng dẫn được cung cấp là đủ cho việc sử dụng và quản trị TOE.

Người đánh giá cần tập trung vào một TSFI có thể nhìn thấy duy nhất tại một thời điểm, so sánh các hướng dẫn an toàn sử dụng TSFI với bằng chứng đánh giá khác để xác định rằng hướng dẫn liên quan đến TSFI là đủ cho việc sử dụng an toàn (tức là phù hợp với SFRs) của TSFI đó. Người đánh giá cũng nên xem xét các mối quan hệ giữa các giao diện, tìm kiếm xung đột tiềm năng.

TCVN 8709-3:2011 AGD_OPE.1.6C: Tài liệu hướng dẫn người dùng vận hành với từng vai trò người dùng, cần mô tả các biện pháp an toàn kèm theo để thực hiện các mục tiêu an toàn đối với môi trường vận hành như đã mô tả trong ST.

11.3.1.3.6 Đơn vị công việc AGD_OPE.1-6Người đánh giá cần kiểm tra hướng dẫn người dùng vận hành để xác định rằng nó mô tả, với từng vai trò người dùng, các biện pháp an toàn kèm theo để thực hiện các mục tiêu an toàn cho môi trường vận hành như được mô tả trong ST.

Người đánh giá phân tích các mục tiêu an toàn cho các môi trường vận hành trong ST và xác định rằng với từng vai trò người dùng, các biện pháp an toàn liên quan được mô tả một cách thích hợp trong hướng dẫn người dùng.

Các biện pháp an toàn được mô tả trong hướng dẫn người dùng cần bao gồm tất cả các thủ tục, vật lý, nhân sự và các biện pháp kết nối bên ngoài có liên quan.

142

TCVN xxx: 2015Lưu ý rằng các biện pháp liên quan để cài đặt an toàn của TOE được kiểm tra trong các thủ tục chuẩn bị (AGD_PRE).

TCVN 8709-3:2011 AGD_OPE.1.7C: Tài liệu hướng dẫn người dùng vận hành phải rõ ràng và hợp lý.

11.3.1.3.7 Đơn vị công việc AGD_OPE.1-7Người đánh giá cần kiểm tra hướng dẫn người dùng vận hành để xác định rằng nó là rõ ràng.

Tài liệu hướng dẫn không rõ ràng nếu nó có thể tọ ra sự hiểu nhầm cho người quản trị hoặc người dùng và được sử dụng một cách bất lợi cho TOE, hoặc đến an toàn cung cấp bởi TOE.

11.3.1.3.8 Đơn vị công việc AGD_OPE.1-8Người đánh giá cần kiểm tra hướng dẫn người dùng vận hành để xác định rằng nó là hợp lý.

Tài liệu hướng dẫn là không hợp lý nếu nó tạo ra nhu cầu sử dụng TOE hoặc môi trường vận hành không phù hợp với ST hoặc vượt quá mức lựa chọn hợp lý để duy trì an toàn.

11.4 Các thủ tục chuẩn bị (AGD_PRE)11.4.1 Đánh giá hoạt động con (AGD_PRE.1)

11.4.1.1 Mục tiêuMục tiêu của hoạt động con này là để xác định xem liệu các thủ tục và các bước chuẩn bị an toàn của TOE đã được tài liệu hóa và kết quả trong một cấu hình an toàn.

11.4.1.2 Đầu vàoBằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) TOE bao gồm cả các thủ tục chuẩn bị của nó;

c) mô tả các thủ tục chuyển giao của nhà phát triển, nếu áp dụng.

11.4.1.3 Các lưu ý áp dụngCác thủ tục chuẩn bị đề cập đến tất cả các thủ tục chấp nhận và cài đặt cần thiết cho việc cải tiến TOE theo cấu hình an toàn được mô tả trong ST.

11.4.1.4 Hành động AGD_PRE.1.1ETCVN 8709-3:2011 AGD_PRE.1.1C: Các thủ tục chuẩn bị cần mô tả tất cả các bước cần thiết để chấp nhận an toàn của TOE đã chuyển giao phù hợp với các thủ tục chuyển giao của nhà phát triển.

11.4.1.4.1 Đơn vị công việc AGD_PRE.1-1Người đánh giá cần kiểm tra các thủ tục chấp nhận được cung cấp để xác định rằng chúng mô tả các bước cần thiết về chấp nhận an toàn của TOE phù hợp với các thủ tục chuyển giao của nhà phát triển.

Nếu không được dự đoán các thủ tục chuyển giao bởi nhà phát triển rằng các thủ tục chấp nhận sẽ hoặc có thể được áp dụng thì đơn vị công việc này là không áp dụng, và do đó được xem là thỏa mãn.

Các thủ tục chấp nhận nên bao gồm tối thiểu các công việc mà người dùng phải kiểm tra xem tất cả các phần của TOE được chỉ ra trong ST đã được chuyển giao đúng phiên bản.

143

TCVN xxx: 2015

Các thủ tục chấp nhận cần phản ánh các bước mà người dùng phải thực hiện để chấp nhận TOE được giao bao hàm bởi các thủ tục chuyển giao của nhà phát triển.

Các thủ tục chấp nhận cần cung cấp thông tin chi tiết về những điều sau, nếu được áp dụng:

a) Đảm bảo rằng TOE được giao là một đánh giá đầy đủ;

b) phát hiện hiệu chỉnh/giả mạo của TOE được chuyển giao.

TCVN 8709-3:2011 AGD_PRE.1.2C: Các thủ tục chuẩn bị cần mô tả mọi bước cần thiết cho cài đặt an toàn TOE và chuẩn bị an toàn môi trường vận hành phù hợp với các mục tiêu an toàn cho môi trường vận hành đã mô tả trong ST.

11.4.1.4.2 Đơn vị công việc AGD_PRE.1-2Người đánh giá cần kiểm tra các các thủ tục cài đặt được cung cấp để xác định rằng chúng mô tả các bước cần thiết để cài đặt an toàn của TOE và việc chuẩn bị an toàn của môi trường vận hành phù hợp với các mục tiêu an toàn trong ST.

Nếu không dự đoán được các thủ tục cài đặt sẽ hoặc có thể được áp dụng cho TOE và môi trường vận hành (ví dụ: Do TOE có thể đã được chuyển giao trong một trạng thái vận hành và không có các yêu cầu về môi trường) đơn vị công việc này không được áp dụng, và do đó được xem là thỏa mãn.

Nếu không dự đoán được các thủ tục cài đặt sẽ hoặc có thể được áp dụng (ví dụ: Do TOE có thể đã được chuyển giao ở trạng thái vận hành), đơn vị công việc này không được áp dụng, và do đó được xem là thỏa mãn.

Các thủ tục cài đặt nên cung cấp thông tin chi tiết về những điều sau, nếu được áp dụng:

a) Các yêu cầu hệ thống tối thiểu để cài đặt an toàn;

b) Các yêu cầu về môi trường vận hành phù hợp với các mục tiêu an toàn được cung cấp bởi ST;

c) Các bước người dùng phải thực hiện để có được một TOE vận hành phù hợp với cấu hình đánh giá của nó. Một mô tả như vậy phải bao gồm - cho mỗi bước - một kế hoạch rõ ràng cho các quyết định về các bước tiếp theo phụ thuộc vào sự thành công, thất bại hoặc các vấn đề ở bước hiện tại;

d) Thay đổi cài đặt cụ thể các tính chất an toàn của các thực thể dưới sự kiểm soát của TSF (ví dụ các thông số, thiết lập, mật khẩu);

e) Xử lý ngoại lệ và các vấn đề.

11.4.1.5 Hành động AGD_PRE.1.2E11.4.1.5.1 Đơn vị công việc AGD_PRE.1-3Người đánh giá cần thực hiện tất cả các thủ tục người dùng cần thiết để chuẩn bị cho TOE nhằm xác định rằng TOE và môi trường vận hành của nó có thể được chuẩn bị một cách an toàn chỉ bằng cách sử dụng hướng dẫn người dùng chuẩn bị đã được cung cấp.

Việc chuẩn bị đòi hỏi người đánh giá cải tiến TOE từ trạng thái có thể chuyển giao sang trạng thái vận hành, bao gồm cả sự chấp nhận và cài đặt TOE, và thực thi các SFR phù hợp với các mục tiêu an toàn cho TOE được quy định tại ST.

144

TCVN xxx: 2015Người đánh giá chỉ nên làm theo các thủ tục của nhà phát triển và có thể thực hiện các hành động mà các khách hàng thường phải thực hiện để chấp nhận và cài đặt TOE, chỉ sử dụng tài liệu hướng dẫn chuẩn bị được cung cấp. Bất kỳ khó khăn gặp phải trong quá trình thực hiện có thể chỉ ra hướng dẫn sử dụng không đầy đủ, không rõ ràng hoặc không hợp lý.

Đơn vị làm việc này có thể được thực hiện kết hợp với các hoạt động đánh giá theo thử nghiệm độc lập (ATE_IND).

Nếu biết rằng TOE sẽ được sử dụng như một thành phần phụ thuộc cho một đánh giá TOE đề xuất thì người đánh giá cần đảm bảo rằng môi trường vận hành được thỏa mãn bởi các thành phần cơ bản được sử dụng trong TOE đề xuất.

12 Lớp ALC: Hỗ trợ vòng đời12.1 Giới thiệuMục đích của hoạt động hỗ trợ vòng đời là để xác định sự phù hợp của các thủ tục an toàn mà nhà phát triển sử dụng trong quá trình phát triển và bảo trì của TOE. Các thủ tục này bao gồm các mô hình vòng đời được sử dụng bởi nhà phát triển, quản lý cấu hình, các biện pháp an toàn được sử dụng trong suốt quá trình phát triển TOE, các công cụ được sử dụng bởi nhà phát triển trong suốt vòng đời của TOE, các xử lý lỗ hổng an toàn, và hoạt động chuyển giao.

Kiểm soát kém việc phát triển và bảo trì của TOE có thể dẫn đến các điểm yếu trong triển khai thực hiện. Sự phù hợp với một mô hình vòng đời được xác định có thể giúp để cải thiện kiểm soát trong lĩnh vực này. Một mô hình vòng đời có khả năng thành công được sử dụng cho TOE có thể mang đến sự tường minh trong việc đánh giá tiến độ phát triển của TOE.

Mục đích của hoạt động quản lý cấu hình là để hỗ trợ khách hàng trong việc xác định TOE được đánh giá, để đảm bảo rằng hạng mục cấu hình được xác định duy nhất, và đầy đủ các thủ tục được sử dụng bởi nhà phát triển để kiểm soát và theo dõi các thay đổi được thực hiện cho TOE. Điều này bao gồm chi tiết về những thay đổi được theo dõi, cách thức các thay đổi tiềm năng được áp dụng, và mức độ tự động hóa được sử dụng để giảm phạm vi lỗi.

Các thủ tục an toàn phát triển dự định để bảo vệ TOE và các thông tin thiết kế liên quan của nó khỏi sự can thiệp hoặc tiết lộ. Can thiệp vào quá trình phát triển có thể cho phép tạo ra các điểm yếu có chủ định. Tiết lộ thông tin thiết kế có thể cho phép khai thác các điểm yếu dễ dàng hơn. Tính đầy đủ của các thủ tục sẽ phụ thuộc vào bản chất của TOE và sự phát triển quá trình.

Việc sử dụng các công cụ phát triển được xác định và áp dụng các tiêu chuẩn thực hiện bởi nhà phát triển và bởi các bên thứ ba tham gia vào quá trình phát triển giúp đảm bảo rằng các điểm yếu không phát sinh trong quá trình tinh chỉnh.

Hoạt động khắc phục thiếu sót được dự kiến để theo dõi các thiếu sót an toàn, để xác định các hành động hiệu chỉnh, và phân phối các thông tin hành động hiệu chỉnh đến người dùng TOE.

Mục đích của hoạt động chuyển giao là để đánh giá mức độ đầy đủ về tài liệu của các thủ tục được sử dụng để đảm bảo rằng TOE được chuyển giao cho khách hàng mà không sửa đổi.

12.2 Năng lực CM (ALC_CMC)12.2.1 Đánh giá hoạt động con (ALC_CMC.1)

12.2.1.1 Mục tiêuMục tiêu của hoạt động con này là để xác định xem liệu nhà phát triển đã định nghĩa rõ ràng TOE hay không.

145

TCVN xxx: 2015


a) ST;

b) TOE thích hợp để thử nghiệm.

12.2.1.3 Hành động ALC_CMC.1.1ETCVN 8709-3:2011 ALC_CMC.1.1C: TOE cần được gán nhãn với tham chiếu duy nhất của nó.

12.2.1.3.1 Đơn vị công việc ALC_CMC.1-1Người đánh giá cần kiểm tra TOE được cung cấp để đánh giá phải được dán nhãn tham chiếu của nó.

Người đánh giá cần đảm bảo rằng TOE chứa các tham chiếu duy nhất được ghi trong ST. Điều này có thể đạt được thông qua dán nhãn bao bì hoặc phương tiện truyền thông, hoặc bởi một nhãn hiển thị bởi hoạt động TOE. Điều này để đảm bảo rằng nó có thể giúp cho khách hàng xác định TOE (ví dụ tại điểm mua hàng hoặc sử dụng).

TOE có thể cung cấp một phương pháp mà theo đó nó có thể được nhận dạng dễ dàng. Ví dụ, một phần mềm có thể hiển thị tên và số phiên bản của TOE trong quá trình khởi động, hoặc để đáp ứng với một dòng lệnh. Phần cứng và phần sụn TOE có thể được nhận dạng bởi một số hiệu vật lý trên TOE.

Ngoài ra, các tham chiếu duy nhất được cung cấp cho TOE có thể là sự kết hợp của các tham chiếu duy nhất của mỗi thành phần mà từ đó TOE được tạo nên (ví dụ như trong trường hợp của một TOE kết hợp).

12.2.1.3.2 Đơn vị công việc ALC_CMC.1-2Người đánh giá cần kiểm tra xem tài liệu tham chiếu TOE được sử dụng là phù hợp.

Nếu TOE được dán nhiều hơn một nhãn thì các nhãn này phải là nhất quán. Ví dụ, chúng ta có thể dán nhãn tài liệu hướng dẫn được cung cấp như là một phần của TOE đã được đánh giá. Điều này đảm bảo người tiêu dùng có thể tự tin rằng họ đã mua phiên bản TOE đã được đánh giá và đã cài đặt phiên bản này và có phiên bản hướng dẫn chính xác để vận hành TOE phù hợp với ST.

Người đánh giá cũng xác nhận rằng tài liệu tham chiếu TOE phù hợp với ST.

Nếu đơn vị công việc này được áp dụng cho một TOE kết hợp, các điều sau đây sẽ được áp dụng. Các TOE CNTT kết hợp sẽ không được dán nhãn với tham chiếu duy nhất, mà chỉ các thành phần riêng sẽ được dán nhãn với tham chiếu TOE thích hợp. Cần có các phát triển tiếp theo cho TOE CNTT được dán nhãn, ví dụ quá trình khởi động và/hoặc vận hành, với tham chiếu tổng hợp. Nếu TOE kết hợp được chuyển giao như thành phần cấu thành các TOE, thì các hạng mục TOE chuyển giao sẽ không chứa các tham chiếu tổng hợp. Tuy nhiên, TOE ST kết hợp sẽ bao gồm các tham chiếu duy nhất cho TOE kết hợp và sẽ nhận dạng các thành phần bao gồm của TOE kết hợp mà qua đó khách hàng sẽ có thể xác định xem chúng có các hạng mục phù hợp.

12.2.2 Đánh giá hoạt động con (ALC_CMC.2)

12.2.2.1 Mục tiêuMục tiêu của hoạt động con này là để xác định xem liệu nhà phát triển sử dụng một hệ thống CM duy nhất để nhận dạng tất cả các hạng mục cấu hình hay không.

146

TCVN xxx: 201512.2.2.2 Đầu vàoCác bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) TOE phù hợp để thử nghiệm;

c) Tài liệu quản lý cấu hình.

12.2.2.3 Các lưu ý áp dụngThành phần này chứa một hành động đánh giá tiềm ẩn để xác định rằng hệ thống CM đang được sử dụng. Khi các yêu cầu ở đây được giới hạn để nhận dạng TOE và cung cấp một danh sách cấu hình, thì hành động này đã bao gồm bởi bởi giới hạn và đơn vị công việc hiện tại. Ở đánh giá hoạt động con (ALC_CMC.3) các yêu cầu được mở rộng vượt ra ngoài hai hạng mục này, và các bằng chứng rõ ràng hơn về hoạt động được yêu cầu.

12.2.2.4 Hành động ALC_CMC.2.1ETCVN 8709-3:2011 ALC_CMC.2.1C: TOE cần được dán nhãn với tham chiếu duy nhất của nó.

12.2.2.4.1 Đơn vị công việc ALC_CMC.2-1Người đánh giá cần kiểm tra rằng TOE được cung cấp để đánh giá được dán nhãn với tham chiếu của nó.

Người đánh giá cần đảm bảo rằng TOE chứa các tham chiếu duy nhất được ghi trong ST. Điều này có thể đạt được thông qua dán nhãn bao bì hoặc phương tiện truyền thông, hoặc bởi một nhãn hiển thị bởi TOE hoạt động. Điều này là để đảm bảo rằng nó có thể giúp cho khách hàng nhận dạng TOE (ví dụ tại điểm mua hàng hoặc sử dụng).



12.2.2.4.2 Đơn vị công việc ALC_CMC.2-2Người đánh giá cần kiểm tra rằng tham chiếu TOE được sử dụng là phù hợp.


Người đánh giá cũng xác nhận rằng tham chiếu TOE phù hợp với ST.

Nếu đơn vị công việc này được áp dụng cho một TOE kết hợp, các điều sau đây sẽ được áp dụng. Các TOE CNTT kết hợp sẽ không được dán nhãn với tham chiếu duy nhất, mà chỉ các thành phần riêng sẽ được dán nhãn với tham chiếu TOE thích hợp. Cần có các phát triển tiếp theo cho TOE CNTT được dán nhãn, ví dụ quá trình khởi động và/hoặc vận hành, với tham chiếu tổng hợp. Nếu TOE kết hợp được chuyển giao như thành phần cấu thành các TOE, thì các hạng mục TOE chuyển giao sẽ không chứa các tham chiếu tổng hợp. Tuy nhiên, TOE ST kết hợp sẽ bao gồm các tham chiếu

147

TCVN xxx: 2015

duy nhất cho TOE kết hợp và sẽ nhận dạng các thành phần bao gồm của TOE kết hợp mà qua đó khách hàng sẽ có thể xác định xem chúng có các hạng mục phù hợp.

TCVN 8709-3:2011 ALC_CMC.2.2C: Tài liệu CM cần miêu tả phương pháp được sử dụng để nhận dạng duy nhất các hạng mục cấu hình.

12.2.2.4.3 Đơn vị công việc ALC_CMC.2-3Người đánh giá cần xem xét các phương pháp nhận dạng các hạng mục cấu hình để xác định rằng nó mô tả cách các hạng mục cấu hình là nhận dạng duy nhất.

Các thủ tục cần mô tả cách thức có thể theo dõi được tình trạng của từng hạng mục cấu hình trong suốt vòng đời của TOE. Các thủ tục có thể được trình bày chi tiết trong kế hoạch CM hoặc trong các tài liệu CM. Các thông tin cần mô tả bao gồm:

a) Phương pháp để từng hạng mục cấu hình được nhận dạng duy nhất, để có thể theo dõi các phiên bản của cùng một hạng mục cấu hình;

b) Phương pháp để từng hạng mục cấu hình được gán nhận dạng duy nhất, và cách thức cập nhập chúng vào hệ thống CM;

c) Phương pháp được sử dụng để nhận dạng phiên bản thay thế của một hạng mục cấu hình.

TCVN 8709-3:2011 ALC_CMC.2.3C: Hệ thống CM cần nhận dạng một cách duy nhất tất cả các hạng mục cấu hình.

12.2.2.4.4 Đơn vị công việc ALC_CMC.2-4Người đánh giá cần kiểm tra các hạng mục cấu hình để xác định rằng chúng được nhận dạng theo cách phù hợp với tài liệu CM.

Đảm bảo rằng hệ thống CM nhận dạng một cách duy nhất tất cả các hạng mục cấu hình đã đạt được bằng cách kiểm tra bộ nhận dạng cho các hạng mục cấu hình. Đối với cả hai hạng mục cấu hình bao gồm TOE, và dự kiến các hạng mục cấu hình được đề xuất bởi nhà phát triển là bằng chứng đánh giá, Người đánh giá xác nhận rằng mỗi hạng mục cấu hình có một số hiệu nhận dạng duy nhất theo cách phù hợp với phương pháp nhận dạng duy nhất được mô tả trong tài liệu CM.


12.2.3.1 Mục tiêuMục tiêu của hoạt động con này là để xác định xem liệu nhà phát triển sử dụng một hệ thống CM để nhận dạng duy nhất tất cả các hạng mục cấu hình, và có khả năng để sửa đổi các hạng mục này được kiểm soát hợp lý hay không.


a) ST;


c) tài liệu quản lý cấu hình.

12.2.3.3 Hành động ALC_CMC.3.1E

148

TCVN xxx: 2015TCVN 8709-3:2011 ALC_CMC.3.1C: TOE cần được dán nhãn với tham chiếu duy nhất của nó.

12.2.3.3.1 Đơn vị công việc ALC_CMC.3-1Người đánh giá cần kiểm tra rằng TOE được cung cấp để đánh giá được dán nhãn với tham chiếu của nó.







Nếu đơn vị công việc này được áp dụng cho một TOE kết hợp, các điều sau đây sẽ được áp dụng. Các TOE CNTT kết hợp sẽ không được dán nhãn với tham chiếu duy nhất, mà chỉ các thành phần riêng sẽ được dán nhãn với tham chiếu TOE thích hợp. Cần có các phát triển tiếp theo cho TOE CNTT được dán nhãn, ví dụ quá trình khởi động và/hoặc vận hành, với tham chiếu tổng hợp. Nếu TOE kết hợp được chuyển giao như thành phần cấu thành TOEs, thì các hạng mục TOE chuyển giao sẽ không chứa các tham chiếu tổng hợp. Tuy nhiên, TOE ST kết hợp sẽ bao gồm các tham chiếu duy nhất cho TOE kết hợp và sẽ nhận dạng các thành phần bao gồm của TOE kết hợp mà qua đó khách hàng sẽ có thể xác định xem chúng có các hạng mục phù hợp.

TCVN 8709-3:2011 ALC_CMC.2.2C: Tài liệu CM cần mô tả phương pháp được sử dụng để nhận dạng các hạng mục cấu hình một cách duy nhất.


Các thủ tục cần mô tả cách thức có thể theo dõi được tình trạng của từng hạng mục cấu hình trong suốt vòng đời của TOE. Các thủ tục có thể được trình bày chi tiết trong kế hoạch CM hoặc trong các tài liệu CM. Các thông tin cần mô tả bao gồm:


149

TCVN xxx: 2015

b) Phương pháp để từng hạng mục cấu hình được gán nhận bộ dạng duy nhất, và cách thức cập nhập chúng vào hệ thống CM;


TCVN 8709-3:2011 ALC_CMC.3.3C: Hệ thống CM cần nhận dạng tất cả các hạng mục cấu hình một cách duy nhất.



TCVN 8709-3:2011 ALC_CMC.3.4C: Hệ thống CM cần cung cấp các biện pháp như các thay đổi được cấp quyền được thực thi cho các hạng mục cấu hình.

12.2.3.3.5 Đơn vị công việc ALC_CMC.3-5Người đánh giá cần kiểm tra các biện pháp kiểm soát truy nhập CM được mô tả trong các kế hoạch CM để xác định đúng là có hiệu quả trong việc ngăn ngừa truy cập trái phép vào các hạng mục cấu hình.

Người đánh giá có thể sử dụng một số phương pháp để xác định rằng các biện pháp kiểm soát truy nhập CM là có hiệu quả. Ví dụ, Người đánh giá có thể thực hiện các biện pháp kiểm soát truy nhập để đảm bảo rằng các thủ tục không thể được bỏ qua. Người đánh giá có thể sử dụng các kết quả đầu ra được tạo ra bởi các thủ tục hệ thống CM được yêu cầu bởi ALC_CMC.3.8C. Người đánh giá cũng có thể chứng kiến thực thi mô phỏng của hệ thống CM để đảm bảo rằng các biện pháp kiểm soát truy nhập được sử dụng đang hoạt động có hiệu quả.

TCVN 8709-3:2011 ALC_CMC.3.5C: Tài liệu CM cần bao gồm một kế hoạch CM.

12.2.3.3.6 Đơn vị công việc ALC_CMC.3-6Người đánh giá cần kiểm tra rằng tài liệu CM được cung cấp bao gồm một kế hoạch CM.

Kế hoạch CM không phải là một tài liệu kết nối, nhưng nó được khuyến cáo là một tài liệu duy nhất mô tả nơi mà các phần khác nhau của kế hoạch CM có thể được tìm thấy. Nếu kế hoạch CM không phải tài liệu duy nhất, danh sách các đơn vị công việc sau đây đưa ra gợi ý về bối cảnh dự kiến.

TCVN 8709-3:2011 ALC_CMC.3.6C: Kế hoạch CM cần mô tả cách hệ thống CM được sử dụng để phát triển TOE.

12.2.3.3.7 Đơn vị công việc ALC_CMC.3-7Người đánh giá cần xem xét kế hoạch CM để xác định rằng nó mô tả cách thức hệ thống CM được sử dụng để phát triển TOE.

Các mô tả có trong một kế hoạch CM bao gồm, nếu áp dụng:

150

TCVN xxx: 2015a) Tất cả các hoạt động thực hiện trong sự phát triển TOE là đối tượng của các thủ tục quản lý cấu hình (Ví dụ: tạo, chỉnh sửa hoặc xóa một hạng mục cấu hình, dữ liệu sao lưu, lưu trữ);

b) Sác phương tiện (ví dụ: công cụ CM, mẫu) có sẵn;

c) Sử dụng các công cụ CM: các chi tiết cần thiết cho một người sử dụng hệ thống CM để có vận hành các công cụ CM một cách chính xác nhằm duy trì tính toàn vẹn của TOE;

d) Các đối tượng khác (các thành phần phát triển, các công cụ, môi trường đánh giá, vv) được thực hiện dưới kiểm soát CM;

e) Các vai trò và trách nhiệm của các cá nhân cần thiết để thực hiện vận hành các hạng mục cấu hình riêng (Các vai trò khác nhau có thể được nhận dạng cho các loại hạng mục cấu hình khác nhau (ví dụ như thiết kế tài liệu hoặc mã nguồn));

f) Các trường hợp CM (ví dụ như bảng kiểm soát thay đổi , giao diện kiểm soát làm việc nhóm) được cung cấp và nhân viên thực hiện;

g) Mô tả về sự thay đổi quản lý;

h) Các thủ tục được sử dụng để đảm bảo rằng chỉ có những người được cấp quyền có thể thực hiện thay đổi các hạng mục cấu hình;

i) Các thủ tục được sử dụng để đảm bảo rằng các vấn đề không xảy ra đồng thời như là kết quả của việc thay đổi đồng thời các hạng mục cấu hình;

j) bằng chứng được tạo ra như là kết quả của việc áp dụng các thủ tục. Ví dụ, đối với một sự thay đổi một hạng mục cấu hình, hệ thống CM phải ghi lại mô tả về các thay đổi, giải trình về các thay đổi, nhận dạng tất cả các hạng mục cấu hình bị ảnh hưởng và trạng thái của nó (ví dụ như treo hoặc hoàn thành) và ngày giờ của sự thay đổi. Điều này có thể được ghi lại trong tệp tin log (log file) của những thay đổi được thực hiện hoặc bản ghi kiểm soát thay đổi;

k) Phương pháp để kiểm soát phiên bản và tham chiếu duy nhất của phiên bản TOE (ví dụ bao gồm việc phát hành bản vá lỗi trong hệ điều hành và phát hiện tiếp theo của ứng dụng của họ).

các phương pháp tiếp cận để kiểm soát phiên bản và tham khảo duy nhất của phiên bản TOE (ví dụ bao gồm việc phát hành các bản vá lỗi trong hệ điều hành, và tiếp tục theo dõi, phát hiện lỗi của ứng dụng).

TCVN 8709-3:2011 ALC_CMC.3.7C: Bằng chứng cần chứng minh rằng tất cả các hạng mục cấu hình đang được duy trì bởi hệ thống CM.

12.2.3.3.8 Đơn vị công việc ALC_CMC.3-8Người đánh giá cần kiểm tra các hạng mục cấu hình được nhận dạng trong danh sách cấu hình đang được duy trì bởi hệ thống CM.

Hệ thống CM được dùng bởi nhà phát triển cần phải duy trì tính toàn vẹn của TOE. Người đánh giá cần kiểm tra cho mỗi loại hạng mục cấu hình (ví dụ như tài liệu thiết kế hoặc các mô-đun mã nguồn) có trong danh sách cấu hình có những ví dụ về các bằng chứng được tạo ra bởi các thủ tục được mô tả trong kế hoạch CM. Trong trường hợp này, phương pháp lấy mẫu sẽ phụ thuộc vào mức độ chi tiết được sử dụng trong các hệ thống CM để kiểm soát các hạng mục CM. Trong trường hợp, ví dụ, mô-đun mã nguồn 10.000 được nhận dạng trong danh sách cấu hình, phương pháp lấy mẫu khác nhau cần phải được áp dụng so với các trường hợp mà trong đó chỉ có 5, hoặc thậm chí là 1. Tầm quan

151

TCVN xxx: 2015

trọng của hoạt động này cần đảm bảo rằng hệ thống CM đang được vận hành một cách chính xác, chứ không phải để phát hiện bất kỳ lỗi nào.

Xem hướng dẫn về lấy mẫu ở A.2, lấy mẫu.

TCVN 8709-3:2011 ALC_CMC.3.8C: Bằng chứng phải chứng minh rằng hệ thống CM đang vận hành phù hợp với kế hoạch CM.

12.2.3.3.9 Đơn vị công việc ALC_CMC.3-9Người đánh giá cần kiểm tra tài liệu CM để chắc chắn rằng nó bao gồm các hồ sơ hệ thống CM được nhận dạng bởi kế hoạch CM.

Đầu ra của hệ thống CM cần cung cấp bằng chứng giúp người đánh giá chắc chắn rằng kế hoạch CM đang được áp dụng, và tất cả các hạng mục cấu hình cũng đang được duy trì bởi hệ thống CM theo yêu cầu của ALC_CMC.3.7C. Ví dụ kết quả đầu ra có thể bao gồm các hình thức kiểm soát thay đổi hoặc các hình thức chấp thuận truy nhập hạng mục cấu hình.

12.2.3.3.10 Đơn vị công việc ALC_CMC.3-10Người đánh giá cần kiểm tra các bằng chứng để xác định rằng hệ thống CM đang được vận hành phù hợp với kế hoạch CM.

Người đánh giá cần lựa chọn và kiểm tra một mẫu bằng chứng bao gồm từng loại các hoạt động CM-có liên quan đã được thực hiện trên một hạng mục cấu hình (ví dụ như tạo, chỉnh sửa, xóa, chuyển về phiên bản trước) để xác nhận rằng tất cả các hoạt động của hệ thống CM đã được thực hiện phù hợp với thủ tục đã được chứng minh. Người đánh giá xác nhận rằng các bằng chứng bao gồm tất cả các thông tin được nhận dạng là hoạt động trong kế hoạch CM. Kiểm tra các bằng chứng có thể yêu cầu truy cập đến một công cụ CM được sử dụng. Người đánh giá có thể chọn để lấy mẫu bằng chứng.

Xem hướng dẫn về lấy mẫu ở A.2, Lấy mẫu.

Để tăng sự tin cậy trong hoạt động chính xác hơn của hệ thống CM và bảo trì có hiệu quả các hạng mục cấu hình có thể được thiết lập bằng cách phỏng vấn với các nhân viên phát triển được lựa chọn. Khi tiến hành phỏng vấn, người đánh giá với mục đích đạt được sự hiểu biết sâu sắc hơn về cách các hệ thống CM được sử dụng trong thực tế cũng như để xác nhận rằng các thủ tục CM đang được áp dụng như mô tả trong tài liệu CM. Lưu ý rằng phỏng vấn như vậy chỉ là bổ sung chứ không thay thế việc kiểm tra các bằng chứng tài liệu, và có thể là không cần thiết nếu các bằng chứng tài liệu đáp ứng các yêu cầu. Tuy nhiên, với phạm vi rộng của kế hoạch CM nó có thể có một số khía cạnh (ví dụ như các vai trò và trách nhiệm) có thể không rõ ràng từ kế hoạch CM và hồ sơ. Đây là một trong những trường hợp cần làm rõ có thể cần thiết thông qua các cuộc phỏng vấn.

Người đánh giá cần tham khảo các trang web phát triển để hỗ trợ các hoạt động này.

Để biết thông tin về các trang web tham khảo xem A.4, Các trang web tham khảo.


12.2.4.1 Mục tiêuMục tiêu hoạt động con này là để xác định xem liệu nhà phát triển đã nhận dạng rõ ràng TOE và các hạng mục cấu hình liên quan, và có khả năng để sửa đổi các hạng muc này được kiểm soát hợp lý bởi các công cụ tự động hay không, để cho hệ thống CM ít phụ thuộc hơn vào lỗi chủ quan của con người.

152

TCVN xxx: 201512.2.4.2 Đầu vàoCác bằng chứng đánh giá cho hoạt động con này là:

a) ST;




12.2.4.3.1 Đơn vị công việc ALC_CMC.4-1Người đánh giá cần kiểm tra rằng TOE được cung cấp để đánh giá đã được dán nhãn với tham chiếu của nó.



Ngoài ra, các tham chiếu duy nhất được cung cấp cho TOE có thể là sự kết hợp của các tham chiếu duy nhất của mỗi thành phần mà từ tạo ra một TOE kết hợp (ví dụ như trong trường hợp của một TOE kết hợp).






12.2.4.3.3 Đơn vị công việc ALC_CMC.4-3

153

TCVN xxx: 2015

Người đánh giá cần xem xét các phương pháp nhận dạng các hạng mục cấu hình để xác định rằng nó mô tả cách các hạng mục cấu hình là nhận dạng duy nhất.

Các thủ tục cần mô tả cách thức có thể theo dõi được các trạng thái của từng hạng mục cấu hình trong suốt vòng đời của TOE. Các thủ tục có thể được trình bày chi tiết trong kế hoạch CM hoặc trong các tài liệu CM. Các thông tin cần mô tả bao gồm:







TCVN 8709-3:2011 ALC_CMC.4.4C: Hệ thống CM cần cung cấp các biện pháp tự động như các thay đổi được cấp quyền được thực thi cho các hạng mục cấu hình.

12.2.4.3.5 Đơn vị công việc ALC_CMC.4-5Người đánh giá cần kiểm tra các biện pháp kiểm soát truy nhập CM được mô tả trong các kế hoạch CM (cf. ALC_CMC.4.6C) để xác định rằng chúng là tự động là có hiệu quả trong việc ngăn ngừa truy cập trái phép vào các hạng mục cấu hình.

Người đánh giá có thể sử dụng một số phương pháp để xác định rằng các biện pháp kiểm soát truy nhập CM là có hiệu quả. Ví dụ, Người đánh giá có thể thực hiện các biện pháp kiểm soát truy nhập để đảm bảo rằng các thủ tục không thể được bỏ qua. Người đánh giá có thể sử dụng các kết quả đầu ra được tạo ra bởi các thủ tục hệ thống CM được yêu cầu bởi ALC_CMC.4.10C. Người đánh giá cũng có thể chứng kiến thực thi mô phỏng của hệ thống CM để đảm bảo rằng các biện pháp kiểm soát truy nhập được sử dụng đang hoạt động có hiệu quả.

TCVN 8709-3:2011 ALC_CMC.4.5C: Hệ thống CM cần hỗ trợ việc sản xuất của TOE bằng các phương tiện tự động.

12.2.4.3.6 Đơn vị công việc ALC_CMC.4-6Người đánh giá cần kiểm tra các kế hoạch CM (cf. ALC_CMC.4.6C) cho các thủ tục tự động để hỗ trợ việc sản xuất của TOE.

154

TCVN xxx: 2015Thuật ngữ "sản xuất" được áp dụng cho các quá trình được thông qua bởi nhà phát triển để cải tiến TOE từ triển khai thực hiện tới một trạng thái có thể chấp nhận để chuyển giao cho khách hàng.

Người đánh giá xác minh sự tồn tại của thủ tục hỗ trợ sản xuất tự động hóa trong kế hoạch CM.

Sau đây là những ví dụ về các phương tiện tự động hỗ trợ sản xuất của TOE:

- Tạo công cụ (cung cấp với nhiều công cụ phát triển phần mềm) trong trường hợp của một TOE phần mềm;

- Một công cụ đảm bảo tự động (ví dụ là các phương tiện mã vạch) mà chỉ có các bộ phận được kết hợp với nhau trong trường hợp là một TOE phần cứng.

12.2.4.3.7 Đơn vị công việc ALC_CMC.4-7Người đánh giá cần kiểm tra các thủ tục hỗ trợ sản xuất TOE để xác định rằng chúng là có hiệu quả trong đảm bảo rằng một TOE được tạo ra phản ánh việc triển khai thực hiện nó.

Các thủ tục hỗ trợ sản xuất cần mô tả các công cụ đã được sử dụng để sản xuất TOE hoàn chỉnh từ việc triển khai thực hiện một cách rõ ràng. Các quy ước, chỉ thị, hoặc cấu trúc cần thiết khác được mô tả trong ALC_TAT.

Người đánh giá xác định rằng bằng cách làm theo các thủ tục hỗ trợ sản xuất các hạng mục cấu hình chính xác sẽ được sử dụng để tạo ra TOE. Ví dụ, trong một TOE phần mềm này có thể bao gồm việc kiểm tra các thủ tục sản xuất tự động đảm bảo rằng tất cả các tập tin nguồn và các thư viện liên quan đã có trong mã đối tượng biên dịch. Hơn nữa, các thủ tục cần đảm bảo rằng tùy chọn biên dịch và so sánh các lựa chọn khác được xác định duy nhất. Đối với một TOE phần cứng, đơn vị công việc này có thể bao gồm việc kiểm tra các thủ tục sản xuất tự động đảm bảo rằng các bộ phận được ghép lại với nhau và không có bộ phận bị thiếu.

Khi đó khách hàng có thể chắc chắn rằng các phiên bản của TOE được chuyển giao để cài đặt có nguồn gốc từ quá trình triển khai thực hiện một cách tường minh và thực hiện các SFR như được mô tả trong ST.

Người đánh giá cần lưu ý rằng hệ thống CM không nhất thiết phải có khả năng sản xuất TOE, nhưng nên cung cấp hỗ trợ cho quá trình đó sẽ giúp làm giảm xác suất xảy ra lỗi của con người.



Kế hoạch CM không cần chứa trong một tài liệu duy nhất, nhưng nó được khuyến cáo rằng cần có một hồ sơ riêng biệt mô tả nơi mà các phần khác nhau của kế hoạch CM có thể được tìm thấy. Nếu kế hoạch CM được cung cấp bởi một tập các tài liệu, danh sách trong đơn vị công việc sau đây cung cấp hướng dẫn về nội dung yêu cầu.

TCVN 8709-3:2011 ALC_CMC.4.7C: Kế hoạch CM cần mô tả cách thức hệ thống CM được sử dụng để phát triển TOE.

12.2.4.3.9 Đơn vị công việc ALC_CMC.4-9Người đánh giá cần kiểm tra kế hoạch CM để xác định rằng nó mô tả cách thức hệ thống CM được sử dụng để phát triển TOE.


155

TCVN xxx: 2015

a) Tất cả các hoạt động thực hiện trong việc phát triển TOE là đối tượng của các thủ tục quản lý cấu hình (Ví dụ: tạo, chỉnh sửa hoặc xóa một hạng mục cấu hình, dữ liệu sao lưu, lưu trữ);

b) Các phương tiện (ví dụ: công cụ CM, mẫu) có sẵn;

c) Sử dụng các công cụ CM: các chi tiết cần thiết cho một người sử dụng hệ thống CM để có vận hành các công cụ CM một cách chính xác nhằm duy trì tính toàn vẹn của TOE;

d) Các thủ tục hỗ trợ sản xuất;

e) Các đối tượng khác (các thành phần phát triển, các công cụ, môi trường đánh giá, vv) được thực hiện dưới kiểm soát CM;

f) Các vai trò và trách nhiệm của các cá nhân cần thiết để thực hiện vận hành các hạng mục cấu hình riêng (Các vai trò khác nhau có thể được nhận dạng cho các loại hạng mục cấu hình khác nhau (ví dụ như thiết kế tài liệu hoặc mã nguồn));

g) Các trường hợp CM (ví dụ như bảng kiểm soát thay đổi , giao diện kiểm soát làm việc nhóm) được cung cấp và nhân viên thực hiện;

h) Mô tả về quản lý thay đổi;

i) Các thủ tục được sử dụng để đảm bảo rằng chỉ có những người được cấp quyền có thể thực hiện thay đổi các hạng mục cấu hình;

j) Các thủ tục được sử dụng để đảm bảo rằng các vấn đề không xảy ra đồng thời như là kết quả của việc thay đổi đồng thời các hạng mục cấu hình;

k) bằng chứng được tạo ra như là kết quả của việc áp dụng các thủ tục. Ví dụ, đối với một sự thay đổi một hạng mục cấu hình, hệ thống CM phải ghi lại mô tả về các thay đổi, giải trình về các thay đổi, nhận dạng tất cả các hạng mục cấu hình bị ảnh hưởng và trạng thái của nó (ví dụ như treo hoặc hoàn thành) và ngày giờ của sự thay đổi. Điều này có thể được ghi lại trong tệp tin log (log file) của những thay đổi được thực hiện hoặc bản ghi kiểm soát thay đổi;

l) Phương pháp để kiểm soát phiên bản và tham chiếu duy nhất của các phiên bản TOE (ví dụ bao gồm việc phát hành bản vá lỗi trong hệ điều hành và phát hiện tiếp theo của ứng dụng).

TCVN 8709-3:2011 ALC_CMC.4.8C: Kế hoạch CM cần mô tả các thủ tục sử dụng để chấp nhận sửa đổi hoặc tạo ra một hạng mục cấu hình mới như một phần của TOE.

12.2.4.3.10 Đơn vị công việc ALC_CMC.4-10Người đánh giá cần kiểm tra kế hoạch CM để xác định rằng nó mô tả các thủ tục sử dụng để chấp nhận sửa đổi hoặc tạo ra một hạng mục cấu hình mới như các bộ phận của TOE.

Việc mô tả của các thủ tục chấp nhận trong kế hoạch CM nên bao gồm các vai trò nhà phát triển hoặc cá nhân chịu trách nhiệm cho việc chấp nhận và các tiêu chí để được sử dụng chấp nhận. Nên đưa vào tài khoản tất cả tình huống chấp nhận có thể xảy ra, cụ thể:

a) Đối với lần đầu chấp nhận một hạng mục vào hệ thống CM, đặc biệt là các thành phần phần mềm, phần sụn và phần cứng từ các nhà sản xuất khác vào TOE ("Tích hợp");

b) Di chuyển các hạng mục cấu hình trong các giai đoạn vòng đời tiếp theo tại từng giai đoạn của việc xây dựng TOE (ví dụ như mô đun, phân hệ, hệ thống);

156

TCVN xxx: 2015c) Tiếp theo để vận chuyển giữa các điểm phát triển khác nhau.

Nếu đơn vị làm việc này được áp dụng cho một thành phần phụ thuộc có nghĩa là sẽ được tích hợp trong một TOE kết hợp, kế hoạch CM nên xem xét việc kiểm soát các thành phần cơ sở thu được bởi nhà phát triển TOE phụ thuộc.

Khi có được các thành phần, Người đánh giá sẽ xác minh những điều sau:

a) Chuyển từng thành phần cơ sở từ nhà phát triển phần cơ sở tới nhà tích hợp (nhà phát triển TOE phụ thuộc) được thực hiện phù hợp với các thủ tục chuyển giao an toàn thành phần cơ sở của TOE, như được thông báo trong báo cáo xác nhận thành phần cơ sở của TOE.

b) Các thành phần nhận được có cùng số hiệu nhận dạng như đã nêu trong ST và báo cáo chứng nhận cho các thành phần TOE.

c) Tất cả các vật liệu bổ sung theo yêu cầu của nhà phát triển để tích hợp được cung cấp. Điều này bao gồm các chiết xuất cần thiết của đặc tả chức năng các thành phần của TOE.



Hệ thống CM được dùng bởi nhà phát triển cần phải duy trì tính toàn vẹn của TOE. Người đánh giá cần kiểm tra cho mỗi loại hạng mục cấu hình (ví dụ như tài liệu thiết kế hoặc các mô-đun mã nguồn) có trong danh sách cấu hình có những ví dụ về các bằng chứng được tạo ra bởi các thủ tục được mô tả trong kế hoạch CM. Trong trường hợp này, phương pháp lấy mẫu sẽ phụ thuộc vào mức độ chi tiết được sử dụng trong các hệ thống CM để kiểm soát các hạng mục CM. Trong trường hợp, ví dụ, mô-đun mã nguồn 10.000 được nhận dạng trong danh sách cấu hình, phương pháp lấy mẫu khác nhau cần phải được áp dụng so với các trường hợp mà trong đó chỉ có 5, hoặc thậm chí là 1. Tầm quan trọng của hoạt động này cần đảm bảo rằng hệ thống CM đang được vận hành một cách chính xác, chứ không phải để phát hiện bất kỳ lỗi nào.






157

TCVN xxx: 2015

Người đánh giá cần lựa chọn và kiểm tra một mẫu bằng chứng bao gồm từng loại các hoạt động CM-có liên quan đã được thực hiện trên một hạng mục cấu hình (ví dụ như tạo, chỉnh sửa, xóa, chuyển về phiên bản trước) để xác nhận rằng tất cả các hoạt động của hệ thống CM đã được thực hiện phù hợp với thủ tục đã được chứng minh. Người đánh giá xác nhận rằng các bằng chứng bao gồm tất cả các thông tin được nhận dạng là hoạt động trong kế hoạch CM. Kiểm tra các bằng chứng có thể yêu cầu truy cập đến một công cụ CM được sử dụng. Người đánh giá có thể chọn để lấy mẫu bằng chứng.


Để tăng sự tin cậy trong hoạt động chính xác hơn của hệ thống CM và bảo trì có hiệu quả các hạng mục cấu hình có thể được thiết lập bằng cách phỏng vấn với các nhân viên phát triển được lựa chọn. Khi tiến hành phỏng vấn, người đánh giá với mục đích đạt được sự hiểu biết sâu sắc hơn về cách các hệ thống CM được sử dụng trong thực tế cũng như để xác nhận rằng các thủ tục CM đang được áp dụng như mô tả trong tài liệu CM. Lưu ý rằng phỏng vấn như vậy chỉ là bổ sung chứ không thay thế việc kiểm tra các bằng chứng tài liệu, và có thể là không cần thiết nếu các bằng chứng tài liệu đáp ứng các yêu cầu. Tuy nhiên, với phạm vi rộng của kế hoạch CM nó có thể có một số khía cạnh (ví dụ như các vai trò và trách nhiệm) có thể không rõ ràng từ kế hoạch CM và hồ sơ. Đây là một trong những trường hợp cần làm rõ có thể cần thiết thông qua các cuộc phỏng vấn.




12.2.5.1 Mục tiêuMục tiêu hoạt động con này là để xác định xem liệu nhà phát triển đã nhận dạng rõ ràng TOE và các hạng mục cấu hình liên quan, và có khả năng để sửa đổi các hạng muc này được kiểm soát hợp lý bởi các công cụ tự động hay không, để cho hệ thống CM ít phụ thuộc hơn vào lỗi chủ quan của con người.


a) ST;




12.2.5.3.1 Đơn vị công việc ALC_CMC.5-1Người đánh giá cần kiểm tra rằng TOE được cung cấp để đánh giá đã được dán nhãn với tham chiếu của nó.


158

TCVN xxx: 2015TOE có thể cung cấp một phương pháp mà theo đó nó có thể được nhận dạng dễ dàng. Ví dụ, một phần mềm có thể hiển thị tên và số phiên bản của TOE trong quá trình khởi động, hoặc để đáp ứng với một dòng lệnh. Phần cứng và phần sụn TOE có thể được nhận dạng bởi một số hiệu vật lý trên TOE.

Ngoài ra, các tham chiếu duy nhất được cung cấp cho TOE có thể là sự kết hợp của các tham chiếu duy nhất của mỗi thành phần mà từ tạo ra một TOE kết hợp (ví dụ như trong trường hợp của một TOE kết hợp).







Các thủ tục cần mô tả cách thức có thể theo dõi được trạng thái của từng hạng mục cấu hình trong suốt vòng đời của TOE. Các thủ tục có thể được trình bày chi tiết trong kế hoạch CM hoặc trong các tài liệu CM. Các thông tin cần mô tả bao gồm:




TCVN 8709-3:2011 ALC_CMC.5.3C: Tài liệu CM cần xác minh rằng các thủ tục chấp thuận cung cấp một soát xét đầy đủ và thích hợp các thay đổi đối với tất cả các hạng mục cấu hình.

12.2.5.3.4 Đơn vị công việc ALC_CMC.5-4Người đánh giá cần kiểm tra tài liệu CM để xác định rằng nó xác minh các thủ tục chấp nhận cung cấp một soát xét đầy đủ và thích hợp các thay đổi cho tất cả các hạng mục cấu hình.

159

TCVN xxx: 2015

Tài liệu CM nên làm đầy đủ rõ ràng bằng cách tuân theo các thủ tục chấp nhận rằng chỉ các bộ phận đảm bảo chất lượng được đưa vào TOE.


12.2.5.3.5 Đơn vị công việc ALC_CMC.5-5TCVN 8709-3:2011 ALC_CMC.5.5C: Hệ thống CM cần cung cấp các biện pháp tự động để chỉ các thay đổi hợp lệ mới được chấp nhận đối với các mục cấu hình

Người đánh giá cần kiểm tra các hạng mục cấu hình để xác định rằng chúng được nhận dạng theo cách phù hợp với tài liệu CM.


TCVN 8709-3:2011 ALC_CMC.5.5C: Hệ thống CM cần cung cấp các biện pháp tự động mà chỉ các thay đổi được cấp quyền được thực thi đối với các hạng mục cấu hình.

12.2.5.3.6 Đơn vị công việc ALC_CMC.5-6Người đánh giá cần kiểm tra các biện pháp kiểm soát truy nhập CM được mô tả trong các kế hoạch CM (cf. ALC_CMC.5.12C) để xác định rằng chúng là tự động và có hiệu quả trong việc ngăn ngừa truy cập trái phép vào các hạng mục cấu hình.

Người đánh giá có thể sử dụng một số phương pháp để xác định rằng các biện pháp kiểm soát truy nhập CM là có hiệu quả. Ví dụ, Người đánh giá có thể thực hiện các biện pháp kiểm soát truy nhập để đảm bảo rằng các thủ tục không thể được bỏ qua. Người đánh giá có thể sử dụng các kết quả đầu ra được tạo ra bởi các thủ tục hệ thống CM được yêu cầu bởi ALC_CMC.5.16C. Người đánh giá cũng có thể chứng kiến quá trình chứng minh của hệ thống CM để đảm bảo rằng các biện pháp kiểm soát truy nhập được sử dụng đang hoạt động có hiệu quả.

TCVN 8709-3:2011 ALC_CMC.5.6C: Hệ thống CM cần hỗ trợ việc sản xuất của TOE bằng các phương tiện tự động.

12.2.5.3.7 Đơn vị công việc ALC_CMC.5-7Người đánh giá cần kiểm tra các kế hoạch CM (cf. ALC_CMC.5.12C) cho các thủ tục tự động để hỗ trợ việc sản xuất của TOE.

Thuật ngữ "sản xuất" được áp dụng cho các quá trình được thông qua bởi nhà phát triển để cải tiến TOE từ triển khai thực hiện tới một trạng thái có thể chấp nhận để chuyển giao cho khách hàng.

Người đánh giá xác minh sự tồn tại của thủ tục hỗ trợ sản xuất tự động hóa trong kế hoạch CM.

Sau đây là những ví dụ về các phương tiện tự động hỗ trợ sản xuất của TOE:

- Tạo công cụ (cung cấp với nhiều công cụ phát triển phần mềm ) trong trường hợp của một TOE phần mềm;

160

TCVN xxx: 2015- Một công cụ đảm bảo tự động (ví dụ là các phương tiện mã vạch) mà chỉ có các bộ phận được kết hợp với nhau trong trường hợp là một TOE phần cứng.

12.2.5.3.8 Đơn vị công việc ALC_CMC.5-8Người đánh giá cần kiểm tra các thủ tục hỗ trợ sản xuất TOE để xác định rằng chúng là có hiệu quả trong việc đảm bảo rằng một TOE được tạo ra phản ánh việc triển khai thực hiện nó.

Các thủ tục hỗ trợ sản xuất cần mô tả các công cụ đã được sử dụng để sản xuất TOE hoàn chỉnh từ việc triển khai thực hiện một cách rõ ràng. Các quy ước, chỉ thị, hoặc cấu trúc cần thiết khác được mô tả trong ALC_TAT.

Người đánh giá xác định rằng bằng cách làm theo các thủ tục hỗ trợ sản xuất các hạng mục cấu hình chính xác sẽ được sử dụng để tạo ra TOE. Ví dụ, trong một TOE phần mềm này có thể bao gồm việc kiểm tra các thủ tục sản xuất tự động đảm bảo rằng tất cả các tập tin nguồn và các thư viện liên quan đã có trong mã đối tượng biên dịch. Hơn nữa, các thủ tục cần đảm bảo rằng tùy chọn biên dịch và so sánh các lựa chọn khác được xác định duy nhất. Đối với một TOE phần cứng, đơn vị công việc này có thể bao gồm việc kiểm tra các thủ tục sản xuất tự động đảm bảo rằng các bộ phận được ghép lại với nhau và không có bộ phận bị thiếu.

Khi đó khách hàng có thể chắc chắn rằng các phiên bản của TOE được chuyển giao để cài đặt có nguồn gốc từ quá trình triển khai thực hiện một cách tường minh và thực hiện SFRs như được mô tả trong ST.

Người đánh giá cần lưu ý rằng hệ thống CM không nhất thiết phải có khả năng sản xuất TOE, nhưng nên cung cấp hỗ trợ cho quá trình đó sẽ giúp làm giảm xác suất lỗi của con người.

TCVN 8709-3:2011 ALC_CMC.5.7C: Hệ thống CM cần bảo đảm rằng người chịu trách nhiệm chấp nhận một hạng mục cấu hình vào CM không phải là người phát triển nó

12.2.5.3.9 Đơn vị công việc ALC_CMC.5-9Người đánh giá cần kiểm tra hệ thống CM để xác định rằng nó đảm bảo rằng những người chịu trách nhiệm chấp nhận một hạng mục cấu hình không phải là người phát triển nó.

Các thủ tục chấp nhận mô tả những người chịu trách nhiệm cho việc chấp nhận một hạng mục cấu hình. Từ những mô tả đó, Người đánh giá có thể xác định rằng những người đã phát triển một hạng mục cấu hình trong mọi trường hợp không chịu trách nhiệm về việc chấp nhận của nó.

TCVN 8709-3:2011 ALC_CMC.5.8C: Hệ thống CM cần nhận dạng các hạng mục cấu hình có trong TSF.

12.2.5.3.10 Đơn vị công việc ALC_CMC.5-10Người đánh giá cần kiểm tra hệ thống CM để xác định rằng nó nhận dạng các hạng mục cấu hình có trog TSF.

Tài liệu CM cần mô tả cách thức hệ thống CM nhận dạng các hạng mục cấu hình có trong TSF. Người đánh giá nên chọn một mẫu của các hạng mục cấu hình bao gồm từng loại hạng mục, đặc biệt chứa chứa trong các hạng mục TSF và phi-TSF và kiểm tra xem chúng được phân loại chính xác bởi hệ thống CM hay không.


TCVN 8709-3:2011 ALC_CMC.5.9C: Hệ thống CM cần hỗ trợ kiểm soát tất cả các thay đổi của TOE bằng các phương tiện tự động, bao gồm người khởi tạo, ngày giờ trong tệp tin kiểm soát.

161

TCVN xxx: 2015

For guidance on sampling see A.2, Sampling.

12.2.5.3.11 Đơn vị công việc ALC_CMC.5-11Người đánh giá cần kiểm tra hệ thống CM để xác định rằng nó hỗ trợ việc kiểm soát tất cả các thay đổi của TOE bằng các phương tiện tự động, bao gồm người khởi tạo, ngày giờ trong tệp tin kiểm soát.

Người đánh giá cần kiểm tra và xem xét kỹ một mẫu của tệp tin kiểm soát, nếu chúng chứa các thông tin tối thiểu.

TCVN 8709-3:2011 ALC_CMC.5.10C: Hệ thống CM cần cung cấp các phương tiện tự động để nhận dạng tất cả các hạng mục cấu hình khác bị ảnh hưởng bởi sự thay đổi của một hạng mục cấu hình.

12.2.5.3.12 Đơn vị công việc ALC_CMC.5-12Người đánh giá cần kiểm tra hệ thống CM để xác định mà nó cung cấp các phương tiện tự động để nhận dạng tất cả các hạng mục cấu hình khác bị ảnh hưởng bởi sự thay đổi của một hạng mục cấu hình.

Tài liệu CM cần mô tả cách thức hệ thống CM nhận dạng tất cả các hạng mục cấu hình khác bị ảnh hưởng bởi việc thay đổi một hạng mục cấu hình. Người đánh giá nên chọn một mẫu hạng mục cấu hình, bao gồm tất cả các loại hạng mục và sử dụng các phương tiện tự động để xác định rằng nó nhận dạng tất cả các hạng mục đang bị ảnh hưởng bởi sự thay đổi của hạng mục được chọn.


TCVN 8709-3:2011 ALC_CMC.5.11C: Hệ thống CM cần có khả năng nhận dạng phiên bản triển khai thực hiện mà từ đó tạo ra TOE.

12.2.5.3.13 Đơn vị công việc ALC_CMC.5-13Người đánh giá cần kiểm tra hệ thống CM để xác định rằng nó có khả năng nhận dạng phiên bản triển khai thực hiện từ đó tạo ra TOE.

Tài liệu CM cần mô tả cách thức hệ thống CM nhận dạng phiên bản triển khai thực hiện từ đó tạo ra TOE. Người đánh giá cần chọn một mẫu của các bộ phận được sử dụng để sản xuất TOE và nên áp dụng hệ thống CM để xác minh rằng nó nhận dạng việc triển khai thực hiện tương ứng trong phiên bản chính xác.




Kế hoạch CM không nhất thiết phải là một tài liệu kết nối, nhưng nó được khuyến cáo rằng cần có một tài liệu riêng mô tả nơi mà các bộ phận khác nhau của kế hoạch CM có thể được tìm thấy. Nếu kế hoạch CM không phải là tài liệu riêng, danh sách đơn vị công việc sau đây đưa ra gợi ý về bối cảnh dự kiến.

TCVN 8709-3:2011 ALC_CMC.5.13C: Kế hoạch CM cần mô tả cách thức hệ thống CM được sử dụng để phát triển TOE.

12.2.5.3.15 Đơn vị công việc ALC_CMC.5-15

162

TCVN xxx: 2015Người đánh giá cần kiểm tra kế hoạch CM để xác định rằng nó mô tả cách thức hệ thống CM được sử dụng để phát triển TOE.


a) Tất cả các hoạt động thực hiện trong việc phát triển TOE là đối tượng của các thủ tục quản lý cấu hình (Ví dụ: tạo, chỉnh sửa hoặc xóa một hạng mục cấu hình, dữ liệu sao lưu, lưu trữ);

b) Các phương tiện (ví dụ: công cụ CM, mẫu) có sẵn;

c) Sử dụng các công cụ CM: các chi tiết cần thiết cho một người sử dụng hệ thống CM để có khả năng vận hành các công cụ CM một cách chính xác nhằm duy trì tính toàn vẹn của TOE;

d) Các thủ tục hỗ trợ sản xuất;

e) Các đối tượng khác (các thành phần phát triển, các công cụ, môi trường đánh giá, vv) được thực hiện dưới kiểm soát CM;

f) Các vai trò và trách nhiệm của các cá nhân cần thiết để thực hiện vận hành các hạng mục cấu hình riêng (Các vai trò khác nhau có thể được nhận dạng cho các loại hạng mục cấu hình khác nhau (ví dụ như thiết kế tài liệu hoặc mã nguồn));

g) Các trường hợp CM (ví dụ như bảng kiểm soát thay đổi , giao diện kiểm soát làm việc nhóm) được cung cấp và nhân viên thực hiện;

h) Mô tả về quản lý thay đổi;

i) Các thủ tục được sử dụng để đảm bảo rằng chỉ có những người được cấp quyền có thể thực hiện thay đổi các hạng mục cấu hình;

j) Các thủ tục được sử dụng để đảm bảo rằng các vấn đề không xảy ra đồng thời như là kết quả của việc thay đổi đồng thời các hạng mục cấu hình;

k) bằng chứng được tạo ra như là kết quả của việc áp dụng các thủ tục. Ví dụ, đối với một sự thay đổi một hạng mục cấu hình, hệ thống CM phải ghi lại mô tả về các thay đổi, giải trình về các thay đổi, nhận dạng tất cả các hạng mục cấu hình bị ảnh hưởng và trạng thái của nó (ví dụ như treo hoặc hoàn thành) và ngày giờ của sự thay đổi. Điều này có thể được ghi lại trong tệp tin log (log file) của những thay đổi được thực hiện hoặc bản ghi kiểm soát thay đổi;

l) Phương pháp để kiểm soát phiên bản và tham chiếu duy nhất của các phiên bản TOE (ví dụ bao gồm việc phát hành bản vá lỗi trong hệ điều hành và phát hiện tiếp theo của ứng dụng).

TCVN 8709-3:2011 ALC_CMC.5.14C: Kế hoạch CM cần mô tả các thủ tục được sử dụng để chấp nhận sửa đổi hoặc tạo ra một hạng mục cấu hình mới như một phần của TOE.

12.2.5.3.16 Đơn vị công việc ALC_CMC.5-16Người đánh giá cần kiểm tra kế hoạch CM để xác định rằng nó mô tả các thủ tục được sử dụng để chấp nhận sửa đổi hoặc tạo ra một hạng mục cấu hình mới như một phần của TOE.

Việc mô tả của các thủ tục chấp nhận trong kế hoạch CM nên bao gồm các vai trò nhà phát triển hoặc cá nhân chịu trách nhiệm cho việc chấp nhận và các tiêu chí để được sử dụng chấp nhận. Nên đưa vào tài khoản tất cả tình huống chấp nhận có thể xảy ra, cụ thể:

a) Đối với lần đầu chấp nhận một hạng mục vào hệ thống CM, đặc biệt là các thành phần phần mềm, phần sụn và phần cứng từ các nhà sản xuất khác vào TOE ("Tích hợp");

163

TCVN xxx: 2015

b) Di chuyển các hạng mục cấu hình trong các giai đoạn vòng đời tiếp theo tại từng giai đoạn của việc xây dựng TOE (ví dụ như mô đun, phân hệ, hệ thống);

c) Tiếp theo là vận chuyển giữa các điểm phát triển khác nhau.



Hệ thống CM được dùng bởi nhà phát triển cần phải duy trì tính toàn vẹn của TOE. Người đánh giá cần kiểm tra cho mỗi loại hạng mục cấu hình (ví dụ như tài liệu thiết kế hoặc các mô-đun mã nguồn) có trong danh sách cấu hình có những ví dụ về các bằng chứng được tạo ra bởi các thủ tục được mô tả trong kế hoạch CM. Trong trường hợp này, phương pháp lấy mẫu sẽ phụ thuộc vào mức độ chi tiết được sử dụng trong các hệ thống CM để kiểm soát các hạng mục CM. Trong trường hợp, ví dụ, mô-đun mã nguồn 10.000 được nhận dạng trong danh sách cấu hình, phương pháp lấy mẫu khác nhau cần phải được áp dụng so với các trường hợp mà trong đó chỉ có 5, hoặc thậm chí là 1. Tầm quan trọng của hoạt động này cần đảm bảo rằng hệ thống CM đang được vận hành một cách chính xác, chứ không phải để phát hiện bất kỳ lỗi nào.






Người đánh giá cần lựa chọn và kiểm tra một mẫu bằng chứng bao gồm từng loại các hoạt động CM-có liên quan đã được thực hiện trên một hạng mục cấu hình (ví dụ như tạo, chỉnh sửa, xóa, chuyển về phiên bản trước) để xác nhận rằng tất cả các hoạt động của hệ thống CM đã được thực hiện phù hợp với các thủ tục đã được chứng minh. Người đánh giá xác nhận rằng các bằng chứng bao gồm tất cả các thông tin được nhận dạng là hoạt động trong kế hoạch CM. Kiểm tra các bằng chứng có thể yêu cầu truy cập đến một công cụ CM được sử dụng. Người đánh giá có thể chọn để lấy mẫu bằng chứng.


Để tăng sự tin cậy trong hoạt động chính xác hơn của hệ thống CM và bảo trì có hiệu quả các hạng mục cấu hình có thể được thiết lập bằng cách phỏng vấn với các nhân viên phát triển được lựa

164

TCVN xxx: 2015chọn. Khi tiến hành phỏng vấn, người đánh giá với mục đích đạt được sự hiểu biết sâu sắc hơn về cách các hệ thống CM được sử dụng trong thực tế cũng như để xác nhận rằng các thủ tục CM đang được áp dụng như mô tả trong tài liệu CM. Lưu ý rằng phỏng vấn như vậy chỉ là bổ sung chứ không thay thế việc kiểm tra các bằng chứng tài liệu, và có thể là không cần thiết nếu các bằng chứng tài liệu đáp ứng các yêu cầu. Tuy nhiên, với phạm vi rộng của kế hoạch CM nó có thể có một số khía cạnh (ví dụ như các vai trò và trách nhiệm) có thể không rõ ràng từ kế hoạch CM và hồ sơ. Đây là một trong những trường hợp cần làm rõ có thể cần thiết thông qua các cuộc phỏng vấn.



12.2.5.4 Hành động ALC_CMC.5.2E12.2.5.4.1 Đơn vị công việc ALC_CMC.5-20Người đánh giá cần kiểm tra các thủ tục hỗ trợ sản xuất để xác định rằng bằng cách làm theo các thủ tục đó một TOE sẽ được sản xuất như một sản phẩm được cung cấp bởi nhà phát triển cho hoạt động kiểm thử.

Nếu TOE là một TOE phần mềm nhỏ và việc sản xuất bao gồm các biên dịch và liên kết, người đánh giá có thể xác nhận sự phù hợp của các thủ tục hỗ trợ sản xuất bằng cách tự áp dụng lại nó.

Nếu quá trình sản xuất của TOE phức tạp hơn (ví dụ như trong trường hợp của một thẻ thông minh), ngay khi bắt đầu, người đánh giá cần xem xét kỹ việc áp dụng các thủ tục hỗ trợ sản xuất trong quá trình tham khảo các trang web phát triển. Có thể so sánh bản sao của một TOE được sản xuất tại chổ với các mẫu được sử dụng cho các hoạt động kiểm thử của mình.


Nếu không, quyết định của người đánh giá nên dựa trên các bằng chứng tài liệu được cung cấp bởi nhà phát triển.

Đơn vị công việc này có thể được thực hiện kết hợp với các hoạt động đánh giá theo quá trình triển khai thực hiện (ADV_IMP).

12.3 Phạm vi CM (ALC_CMS)12.3.1 Đánh giá hoạt động con (ALC_CMS.1)

12.3.1.1 Mục tiêuMục tiêu hoạt động con này là để xác định xem liệu nhà phát triển có thực hiện quản lý cấu hình trên TOE và các bằng chứng đánh giá. Những hạng mục cấu hình này được kiểm soát phù hợp với khả năng của CM (ALC_CMC) hay không.


a) ST;

b) Danh sách cấu hình.

12.3.1.3 Hành động ALC_CMS.1.1ETCVN 8709-3:2011 ALC_CMS.1.1C: Danh sách cấu hình cần chứa thông tin sau: TOE và các bằng chứng đánh giá được yêu cầu bởi SARs.

165

TCVN xxx: 2015

12.3.1.3.1 Đơn vị công việc ALC_CMS.1-1Người đánh giá cần kiểm tra rằng danh sách cấu hình bao gồm tập hợp các hạng mục sau đây :

a) TOE;

b) Các bằng chứng đánh giá được yêu cầu bởi các SAR trong ST.

TCVN 8709-3:2011 ALC_CMS.1.2C: Danh sách cấu hình cần xác định duy nhất các hạng mục cấu hình.

12.3.1.3.2 Đơn vị công việc ALC_CMS.1-2Người đánh giá cần kiểm tra danh sách cấu hình để xác định rằng nó nhận dạng duy nhất từng hạng mục cấu hình.

Danh sách cấu hình chứa đầy đủ thông tin để nhận dạng duy nhất phiên bản của từng hạng mục đã được sử dụng (thường là số phiên bản). Sử dụng danh sách này sẽ cho phép người đánh giá kiểm tra chính xác các hạng mục cấu hình và phiên bản chính xác của từng hạng mục đã được sử dụng trong quá trình đánh giá.

12.3.2 Đánh giá hoạt động con (ALC_CMS.2)

12.3.2.1 Mục tiêuMục tiêu hoạt động con này là xác định xem liệu danh sách cấu hình có bao gồm TOE, các bộ phận của TOE và các bằng chứng đánh giá. Những hạng mục cấu hình này được kiểm soát phù hợp với khả năng CM (ALC_CMC) hay không.


a) ST;


12.3.2.3 Hành động ALC_CMS.2.1ETCVN 8709-3:2011 ALC_CMS.2.1C: Danh sách cấu hình cần bao gồm: TOE; các bằng chứng đánh giá được yêu cầu bởi SARs và các bộ phần cấu thành TOE.


a) TOE;

b) Các bộ phận cấu thành TOE;

c) Các bằng chứng đánh giá được yêu cầu bởi SARs.

TCVN 8709-3:2011 ALC_CMS.2.2C: Danh sách cấu hình cần nhận dạng duy nhất các hạng mục cấu hình.

12.3.2.3.2 Đơn vị công việc ALC_CMS.2-2

166

TCVN xxx: 2015Người đánh giá cần kiểm tra danh sách cấu hình để xác định rằng nó nhận dạng duy nhất từng hạng mục cấu hình.

Danh sách cấu hình chứa đầy đủ thông tin để nhận dạng duy nhất phiên bản của từng hạng mục đã được sử dụng (thường là số phiên bản). Sử dụng danh sách này sẽ cho phép người đánh giá kiểm tra các hạng mục cấu hình chính xác và phiên bản chính xác của từng hạng mục đã được sử dụng trong quá trình đánh giá.

TCVN 8709-3:2011 ALC_CMS.2.3C: Đối với từng hạng mục cấu hình liên quan TSF, danh sách cấu hình cần chỉ ra nhà phát triển của hạng mục đó.

12.3.2.3.3 Đơn vị công việc ALC_CMS.2-3Người đánh giá cần kiểm tra rằng danh sách cấu hình chỉ ra nhà phát triển của từng hạng mục cấu hình liên quan của TSF.

Nếu chỉ có một nhà phát triển có liên quan đến sự phát triển của TOE, đơn vị công việc này không được áp dụng và do đó được xem là thỏa mãn.


12.3.3.1 Mục tiêuMục tiêu hoạt động con này là để xác định xem liệu danh sách cấu hình có bao gồm TOE, các bộ phận cấu thành TOE, quá trình triển khai thực hiện TOE và các bằng chứng đánh giá. Các hạng mục cấu hình này được kiểm soát phù hợp với khả năng CM (ALC_CMC) hay không.


a) ST;


12.3.3.3 Hành động ALC_CMS.3.1ETCVN 8709-3:2011 ALC_CMS.3.1C: Danh sách cấu hình cần chứa thông tin sau: TOE; các bằng chứng đánh giá được yêu cầu bởi SARs, các bộ phận cấu thành TOE; quá trình triển khai thực hiện.


a) TOE;


c) Quá trình triển khai thực hiện TOE;

d) Các bằng chứng đánh giá được yêu cầu bởi SARs trong ST.



167

TCVN xxx: 2015

Danh sách cấu hình chứa đầy đủ thông tin để nhận dạng duy nhất phiên bản của từng hạng mục đã được sử dụng (thường là số phiên bản). Sử dụng danh sách này sẽ cho phép người đánh giá kiểm tra chính xác các hạng mục cấu hình và phiên bản chính xác của từng hạng mục đã được sử dụng trong quá trình đánh giá.

TCVN 8709-3:2011 ALC_CMS.3.3C: Đối với từng hạng mục cấu hình liên quan của TSF, danh sách cấu hình cần chỉ ra nhà phát triển của hạng mục đó.


Nếu chỉ có một nhà phát triển có liên quan đến sự phát triển của một TOE, đơn vị công việc này không được áp dụng và do đó được xem là thỏa mãn.


12.3.4.1 Mục tiêuMục tiêu hoạt động con này là để xác định xem liệu danh sách cấu hình có bao gồm TOE, các bộ phận cấu thành TOE, quá trình triển khai thực thiện TOE, các sai sót an toàn và các bằng chứng đánh giá. Những hạng mục cấu hình này có được kiểm soát trong phù hợp với khả năng CM (ALC_CMC) hay không.


a) ST;


12.3.4.3 hành động ALC_CMS.4.1ETCVN 8709-3:2011 ALC_CMS.4.1C: Danh sách cấu hình cần bao gồm các thông tin sau: TOE; các bằng chứng đánh giá được yêu cầu bởi SARs, các bộ phận cấu thành TOE, quá trinh triển khai thực hiện; các báo cáo sai sót an toàn và trình huống giải quyết.


a) TOE;



d) Các bằng chứng đánh giá được yêu cầu bởi các SAR trong ST;

e) Tài liệu hướng được sử dụng để ghi lại báo cáo chi tiết các sai sót an toàn liên quan đến việc thực hiện

(Ví dụ, báo cáo tình trạng vấn đề bắt nguồn từ cơ sở dữ liệu vấn đề của nhà phát triển).

168

TCVN xxx: 2015TCVN 8709-3:2011 ALC_CMS.4.2C: Danh sách cấu hình cần nhận dạng duy nhất các hạng mục cấu hình.


Danh sách cấu hình chứa đầy đủ thông tin để nhận dạng duy nhất phiên bản của từng hạng mục đã được sử dụng (thường là số phiên bản). Sử dụng danh sách này cho phép người đánh giá kiểm tra chính xác các hạng mục cấu hình và phiên bản chính xác của từng hạng mục đã được sử dụng trong quá trình đánh giá.

TCVN 8709-3:2011 ALC_CMS.4.3C: Đối với mỗi hạng mục cấu hình liên quan của TSF, danh sách cấu hình cần chỉ ra nhà phát triển của hạng mục đó.

12.3.4.3.3 Đơn vị công việc ALC_CMS.4-3Người đánh giá cần kiểm tra rằng danh sách cấu hình chỉ ra nhà phát triển của từng hạng mục cáu hình liên quan của TSF.

Nếu chỉ có một nhà phát triển có liên quan đến sự phát triển của TOE, đơn vị công việc này không được áp dung và do đó được xem là thỏa mãn.


12.3.5.1 Mục tiêuMục tiêu hoạt động con này là để xác định xem liệu danh sách cấu hình có bao gồm TOE, các bộ phận cấu thành TOE, quá trình triển khai thực hiện TOE, các sai sót an toàn, các công cụ phát triển, các thông tin liên quan và các bằng chứng đánh giá. Các hạng mục cấu hình này có được kiểm soát phù hợp với khả năng CM (ALC_CMC) hay không.

12.3.5.2 đầu vàoCác bằng chứng đánh giá cho hoạt động con này là:

a) ST;


12.3.5.3 Hành động ALC_CMS.5.1ETCVN 8709-3:2011 ALC_CMS.5.1C: Danh sách cấu hình cần bao gồm các thông tin sau: TOE; các bằng chứng đánh giá được yêu cầu bởi SARs, các bộ phận cấu thành TOE, quá trình triển khai thực hiện; báo cáo sai sót an toàn và các trình huống giải quyết; các công cụ phát triển và thông tin liên quan.


a) TOE;



d) Các bằng chứng đánh giá được yêu cầu bởi SARs trong ST;

169

TCVN xxx: 2015

e) Tài liệu được sử dụng để ghi lại báo cáo chi tiết các sai sót an toàn liên quan đến việc thực hiện (Ví dụ, báo cáo các tình trạng vấn đề thu được từ cơ sở dữ liệu vấn đề của nhà phát triển);

f) Tất cả các công cụ (bao gồm phần mềm kiểm thử, nếu áp dụng) tham gia vào việc phát triển và sản xuất TOE bao gồm tên, phiên bản, cấu hình, các vai trò của từng công cụ phát triển và các tài liệu liên quan.

Đối với một TOE phần mềm, "công cụ phát triển" thường là lập trình ngôn ngữ, trình biên dịch và "tài liệu liên quan" bao gồm trình biên dịch và mối liên kết tùy chọn. Đối với một TOE phần cứng, "công cụ phát triển" có thể là ngôn ngữ thiết kế phần cứng, các công cụ mô phỏng và tổng hợp, trình biên dịch, và "tài liệu liên quan" có thể bao gồm cả các tùy chọn trình biên dịch.



Danh sách cấu hình chứa đầy đủ thông tin để nhận dạng duy nhất phiên bản của từng hạng mục đang được sử dụng (thường là số phiên bản). Sử dụng danh sách này cho phép người đánh giá kiểm tra chính xác các hạng mục cấu hình và phiên bản chính xác của từng hạng mục đã được sử dụng trong quá trình đánh giá.

TCVN 8709-3:2011 ALC_CMS.5.3C: Đối với từng hạng mục cấu hình liên quan của TSF, danh sách cấu hình cần chỉ ra nhà phát triển của hạng mục đó.


Nếu chỉ có một nhà phát triển tham gia vào việc phát triển TOE, đơn vị công việc này không được áp dụng và do đó được xem là thỏa mãn.

12.4 Chuyển giao (ALC_DEL)12.4.1 Đánh giá hoạt động con (ALC_DEL.1)

12.4.1.1 Mục tiêuMục tiêu của hoạt động con này là để xác định xem liệu tài liệu chuyển giao có mô tả tất cả các thủ tục được sử dụng để duy trì an toàn của TOE khi phân phối TOE đến người sử dụng hay chưa.


a) ST;

b) Tài liệu chuyển giao.

12.4.1.3 Hành động ALC_DEL.1.1ETCVN 8709-3:2011 ALC_DEL.1.1C: Tài liệu chuyển giao cần mô tả tất cả các thủ tục cần thiết để duy trì an toàn khi phân phối các phiên bản TOE tới người tiêu dùng.170

TCVN xxx: 201512.4.1.3.1 Đơn vị công việc ALC_DEL.1-1Người đánh giá cần kiểm tra các tài liệu chuyển giao để xác định rằng nó mô tả tất cả các thủ tục đó cần thiết để duy trì an toàn khi phân phối các phiên bản của TOE hoặc các bộ phận của nó đến người tiêu dùng.

Các tài liệu chuyển giao mô tả các thủ tục thích hợp để duy trì an toàn của TOE trong quá trình chuyển giao TOE hoặc các bộ phận thành phần của nó và để xác định việc nhận dạng của TOE.

Các tài liệu chuyển giao nên bao gồm toàn bộ TOE, nhưng có thể chứa các thủ tục khác nhau cho các bộ phận khác nhau của TOE Người đánh giá cần xem xét tổng thể các thủ tục.

Các thủ tục chuyển giao nên được áp dụng trên tất cả các giai đoạn của việc chuyển giao từ môi trường sản xuất đến môi trường cài đặt (ví dụ như đóng gói, lưu trữ và phân phối). Tiêu chuẩn thương mại thực hành cho việc đóng gói và chuyển giao có thể được chấp nhận. Điều này bao gồm việc đóng gói bao bì an toàn hoặc niêm phong. Đối với việc phân phối, các thủ tục vật lý (ví dụ như gửi qua đường thư hoặc một dịch vụ phân phối tư nhân) hoặc điện tử (ví dụ như thư điện tử hoặc tải từ Internet) có thể được sử dụng.

Mật mã kiểm tra hoặc chữ ký phần mềm có thể được sử dụng bởi nhà phát triển để đảm bảo rằng việc tráo đổi hoặc làm giả có thể được phát hiện. Bằng chứng tráo đổi niêm phong sẽ chỉ ra nếu tính bảo mật đã bị phá vở. Đối với các TOEs phần mềm, bảo mật có thể được đảm bảo bằng cách sử dụng mã hóa. Việc vận chuyển an toàn được yêu cầu nếu cần thiết.

Giải thích thuật ngữ "cần thiết duy trì an toàn" cần xem xét các khía cạnh sau:

• Các tính chất của TOE (ví dụ: là phần mềm hoặc phần cứng).

• Mức độ an toàn tổng thể nêu cho TOE bằng mức độ lựa chọn của các đánh giá điểm yếu. Nếu TOE yêu cầu phải có khả năng chống lại những kẻ tấn công tiềm năng nhất định trong môi trường dự định của nó, điều này cũng nên áp dụng cho việc chuyển giao TOE. Người đánh giá cần xác định một cách tiếp cận cân bằng đã được thực hiện, chẳng hạn việc chuyển giao không phát sinh điểm yếu trong quá trình phát triển an toàn.

• Các mục tiêu an toàn cung cấp bởi ST. Tầm quan trọng của tài liệu chuyển giao có thể à các biện pháp liên quan đến tính toàn vẹn, như tính toàn vẹn của TOE luôn luôn là quan trọng. Tuy nhiên, bảo mật và khả năng sẵn sàng của việc chuyển giao sẽ được quan tâm trong trong việc chuyển giao một số TOE; Các thủ tục liên quan đến các các khía cạnh của việc chuyển giao an toàn cũng cần được đề cập trong các thủ tục.

12.4.1.4 Hành động đánh giá có chủ ýTCVN 8709-3:2011 ALC_DEL.1.2D: Nhà phát triển cần sử dụng các thủ tục chuyển giao.

12.4.1.4.1 Đơn vị công việc ALC_DEL.1-2Người đánh giá cần xem xét các khía cạnh của quá trình chuyển giao để xác định các thủ tục chuyển giao sử dụng.

Các phương pháp của người đánh giá để kiểm tra việc ápg dụng các thủ tục chuyển giao sẽ phụ thuộc vào bản chất của TOE và quá trình chuyển giao nó. Ngoài việc kiểm tra chính các thủ tục, người đánh giá tìm kiếm sự đảm bảo rằng chúng được áp dụng trong thực tế. Một số phương pháp có thể là:

a) Tham khảo các các trang web phân phối mà ở đó ứng dụng thực tế của các thủ tục có thể được quan sát;

171

TCVN xxx: 2015

b) Kiểm tra TOE ở một số giai đoạn trong quá trình chuyển giao hoặc sau khi người dùng đã nhận được nó (ví dụ như kiểm tra các bằng chứng giả mạo con dấu);

c) Quan sát quá trình này được áp dụng trong thực tế khi người đánh giá có được TOE thông qua kênh hợp lệ;

d) Hỏi người sử dụng về các thức TOE được chuyển giao.

Để biết thông tin về các trang web tham khảo, xem A.4: các trang web tham khảo.

Có thể xảy ra trường hợp một TOE phát triển mới nhưng các thủ tục chuyển giao vẫn chưa được thực hiện. Trong trường hợp này, người đánh giá có để hài lòng rằng các thủ tục và phương tiện thích hợp được cung cấp cho việc chuyển giao sau này và rằng tất cả các nhân viên tham gia đều nhận thức trách nhiệm của mình. Người đánh giá có thể yêu cầu một "dry run" của việc chuyển giao nếu điều này là thực tế. Nếu nhà phát triển đã sản xuất sản phẩm tương tự khác, thì việc kiểm tra các thủ tục trong khi sử dụng chúng có thể là hữu ích trong việc cung cấp sự đảm bảo.

12.5 An toàn phát triển (ALC_DVS)12.5.1 Đánh giá hoạt động con (ALC_DVS.1)

12.5.1.1 Mục tiêuMục tiêu hoạt động con này là để xác định xem liệu kiểm soát an toàn của nhà phát triển về môi trường phát triển đủ để cung cấp tính bảo mật và toàn vẹn của thiết kế TOE và thực hiện đó là cần thiết để đảm bảo rằng hoạt động an toàn của TOE không bị ảnh hưởng hay không.


a) ST;

b) Tài liệu an toàn phát triển.

Ngoài ra, người đánh giá có thể cần phải kiểm tra khả năng chuyên giao khác để xác định rằng các kiểm soát an toàn được xác định rõ và tuân thủ. Cụ thể, người đánh giá có thể cần phải kiểm tra tài liệu quản lý cấu hình của nhà phát triển (đầu vào cho các đánh giá của hoạt động con (ALC_CMC.4) " hỗ trợ sản xuất và các thủ tục chấp nhận" và đánh giá các hoạt động con (ALC_CMS.4) "Vấn đề theo dõi bảo hiểm CM "). Bằng chứng cho thấy các thủ tục đang được áp dụng cũng được yêu cầu.

12.5.1.3 Hành động ALC_DVS.1.1ETCVN 8709-3:2011 ALC_DVS.1.1C: Tài liệu an toàn phát triển cần mô tả tất cả các biện pháp vật lý, thủ tục, nhân sự và các biện pháp an toàn khác cần thiết để bảo vệ tính bảo mật và toàn vẹn của thiết kế và thực thi TOE trong môi trường phát triển của nó.

12.5.1.3.1 Đơn vị công việc ALC_DVS.1-1Người đánh giá cần kiểm tra tài liệu an toàn phát triển để xác định rằng nó chi tiết tất cả các biện pháp an toàn được sử dụng trong các môi trường phát triển là cần thiết để bảo vệ tính bảo mật và toàn vẹn của thiết kế và thực thi TOE.

Người đánh giá sẽ xác định những gì là cần thiết bởi lần đầu đề cập đến ST cho bất kỳ thông tin nào có thể hỗ trợ trong việc việc xác định bảo vệ cần thiết .

172

TCVN xxx: 2015Nếu không có thông tin rõ ràng có sẵn từ ST người đánh giá cần phải xác định các biện pháp cần thiết. Trong trường hợp các biện pháp của nhà phát triển được xem là ít hơn so với những gì là cần thiết, việc xác minh rõ ràng cần được cung cấp cho việc đánh giá dựa vào các điểm yếu tiềm ẩn có thể khai thác.

Các loại các biện pháp an toàn sau đây được xem xét bởi người đánh giá khi xem xét các tài liệu:

a) Vật lý, ví dụ như kiểm soát truy cập vật lý được sử dụng để ngăn chặn truy nhập trái phép môi trường phát triển TOE (trong làm việc bình thường và thời gian khác);

b) Thủ tục, ví dụ bao gồm:

• Cấp quyền truy nhập môi trường phát triển hoặc các bộ phận cụ thể của môi trường như thiết bị phát triển

• Thu hồi quyền truy nhập khi một người rời khỏi đội phát triển

• Chuyển giao các nguyên vật liệu được bảo vệ vào và ra khỏi môi trường phát triển và giữa các địa điểm phát triển khác nhau phù hợp với các thủ tục chấp nhận xác định

• Thừa nhận và đưa khách hàng tới môi trường phát triển

• Vai trò và trách nhiệm trong việc đảm bảo tiếp tục áp dụng các biện pháp an toàn và phát hiện các vi phạm an toàn;

c) Nhân sự, ví dụ như bất kỳ kiểm soát hoặc kiểm tra được thực hiện để thiết lập sự tin cậy của nhân viên phát triển mới ;

d) Các biện pháp an toàn khác, ví dụ như bảo vệ hợp lý các phương tiện phát triển.

Tài liệu an toàn phát triển cần xác định các địa điểm mà tại đó phát triển xảy ra và mô tả các khía cạnh của sự phát triển thực hiện, cùng với các biện pháp an toàn được áp dụng tại mỗi địa điểm và vận chuyển giữa các địa điểm khác nhau. Ví dụ, phát triển có thể xảy ra ở nhiều cơ sở trong một tòa nhà duy nhất, nhiều tòa nhà tại cùng một địa điểm hoặc nhiều địa điểm. Việc vận chuyển các bộ phận của TOE hoặc TOE chưa hoàn chỉnh giữa các địa điểm phát triển khác nhau phải được bảo đảm bởi an toàn phát triển (ALC_DVS), trong khi đó việc vận chuyển TOE hoàn thành tới cho người tiêu dùng được giải quyết trong chuyển giao (ALC_DEL).

Phát triển bao gồm việc sản xuất TOE.

12.5.1.3.2 Đơn vị công việc ALC_DVS.1-2Người đánh giá cần kiểm tra các chính sách tích hợp và bảo mật phát triển để xác định sự đầy đủ của các biện pháp an toàn được sử dụng.

Người đánh giá cần xem xét liệu các điều sau đây có bao gồm trong các chính sách:

a) Các thông tin liên quan đến phát triển TOE cần được giữ bí mật và chỉ các nhân viên đội phát triển được phép truy nhập thông tin đó;

b) Nguyên vật liệu phải được bảo vệ tránh việc sửa đổi trái phép để bảo vệ sự toàn vẹn của TOE, và chỉ các nhân viên đội phát triển được phép chỉnh sửa các nguyên vật liệu này.

Người đánh giá cần xác định rằng các chính sách này đã được mô tả trong tài liệu an toàn phát triển, rằng các biện pháp an toàn được sử dụng phù hợp với các chính sách và rằng chúng là đầy đủ.

173

TCVN xxx: 2015

Cần lưu ý rằng các thủ tục quản lý cấu hình sẽ giúp bảo vệ sự toàn vẹn của TOE và đánh giá nên tránh chồng chéo với các đơn vị công việc áp dụng cho khả năng CM (ALC_CMC). Ví dụ, tài liệu CM có thể mô tả các thủ tục an toàn cần thiết cho việc kiểm soát các vai trò hoặc cá nhân có quyền truy cập môi trường phát triển và những người có thể thay đổi TOE.

Trong khi đó, khả năng CM (ALC_CMC) được yêu cầu cố định, thì đối với an toàn phát triển (ALC_DVS), chỉ yêu cầu có biện pháp cần thiết, phụ thuộc vào bản chất của TOE và thông tin đó có thể được cung cấp trong ST. Ví dụ, ST có thể nhận dạng một mục tiêu an toàn cho môi trường phát triển đòi hỏi TOE được phát triển bởi các nhân viên có kiến thức về an toàn. Người đánh giá sau đó sẽ xác định rằng một chính sách như vây đã được áp dụng theo hoạt động con này.

12.5.1.4 Hành động ALC_DVS.1.2E12.5.1.4.1 Đơn vị công việc ALC_DVS.1-3Người đánh giá cần kiểm tra tài liệu an toàn phát triển và bằng chứng liên quan đến xác định rằng các biện pháp an toàn đang được áp dụng.

Đơn vị công việc này đòi hỏi người đánh giá xác định rằng các biện pháp an toàn được mô tả trong tài liệu phát triển an toàn đang được tuân thủ, chẳng hạn như tính toàn vẹn của TOE và tính bảo mật của các tài liệu liên quan đang được bảo vệ đầy đủ. Ví dụ, điều này có thể được xác định bằng kiểm tra các bằng chứng tài liệu được cung cấp. Bằng chứng tài liệu cần được bổ sung bằng cách đi thực tế môi trường phát triển. Thực tế môi trường phát triển sẽ cho phép người đánh giá:

a) Quan sát việc áp dụng các biện pháp an toàn (ví dụ như các biện pháp vật lý);

b) Kiểm tra bằng chứng tài liệu về áp dụng thủ tục;

c) Phỏng vấn nhân viên phát triển để kiểm tra kiến thức về các chính sách và thủ tục an toàn phát triển và trách nhiệm của họ.

Thực tế địa điểm phát triển là một phương tiện hữu ích đạt được sự tin cậy trong các biện pháp đang được sử dụng. Bất kỳ quyết định nào dẫn đến việc không thực hiện đi thực tế địa điểm phát triển như vậy cần được xác định trong thảo luận với cơ quan đánh giá.

Để biết thông tin về các địa điểm phát triển, xem A.4: các địa điểm thực thế.

12.5.2 Đánh giá hoạt động con (ALC_DVS.2)

12.5.2.1 Mục tiêuMục tiêu của hoạt động con này là để xác định xem liệu kiểm soát an toàn của nhà phát triển về môi trường phát triển là đầy đủ để cung cấp sự bảo mật và tính toàn vẹn của thiết kế TOE và thực hiện điều đó là cần thiết để đảm bảo rằng hoạt động an toàn của TOE không bị tổn thương. Ngoài ra, tính đầy đủ của các biện pháp dự kiến được áp dụng cần được xác minh.


a) ST;

b) Tài liệu an toàn phát triển.

174

TCVN xxx: 2015Ngoài ra, người đánh giá có thể cần phải kiểm tra các khả năng chuyển giao khác để xác định rằng kiểm soát an toàn được xác định rõ và tuân thủ. Cụ thể, người đánh giá có thể cần phải kiểm tra tài liệu quản lý cấu hình của nhà phát triển (đầu vào cho đánh giá của hoạt động con (ALC_CMC.4) "hỗ trợ sản xuất và thủ tục chấp nhận" và đánh giá của hoạt động con (ALC_CMS.4) "Vấn đề theo dõi CM bảo hiểm "). Bằng chứng cho thấy các thủ tục đang được áp dụng cũng được yêu cầu.

12.5.2.3 Hành động ALC_DVS.2.1ETCVN 8709-3:2011 ALC_DVS.2.1C: Tài liệu an toàn phát triển cần mô tả tất cả các biện pháp vật lý, thủ tục, nhân sự và các biện pháp an toàn khác mà cần thiết để đảm bảo tính bảo mật và toàn vẹn của thiết kế và thực thi TOE trong môi trường phát triển của nó.

12.5.2.3.1 Đơn vị công việc ALC_DVS.2-1Người đánh giá cần xem xét các tài liệu an toàn phát triển để xác định rằng nó mô tả chi tiết tất cả các biện pháp an toàn được sử dụng trong môi trường phát triển là cần thiết để đảm bảo tính bảo mật và toàn vẹn của việc thiết kế và thực hiện TOE.

Người đánh giá xác định những gì là cần thiết cho lần đầu đề cập đến các ST cho bất kỳ thông tin nào có thể tham gia vào việc xác định bảo vệ cần thiết.

Nếu không có thông tin rõ ràng có sẵn từ ST, người đánh giá cần phải thực hiện việc xác định các biện pháp cần thiết. Trong trường hợp các biện pháp của nhà phát triển được coi là ít hơn so với những gì là cần thiết, cần cung cấp xác minh rõ ràng cho việc đánh giá dựa trên điểm yếu tiềm ẩn có thể khai thác.

Các loại các biện pháp an toàn sau được xem xét bởi người đánh giá khi kiểm tra các tài liệu:

a) Vật lý, ví dụ như kiểm soát truy cập vật lý được sử dụng để ngăn chặn truy nhập trái phép môi trường phát triển TOE (trong làm việc bình thường và thời gian khác);

b) Thủ tục, ví dụ bao gồm:

• Cấp quyền truy nhập môi trường phát triển hoặc các bộ phận cụ thể của môi trường như thiết bị phát triển

• Thu hồi quyền truy nhập khi một người rời khỏi đội phát triển

• Chuyển giao các nguyên vật liệu được bảo vệ ra khỏi môi trường phát triển và giữa các địa điểm phát triển khác nhau phù hợp với các thủ tục chấp nhận xác định

• Thừa nhận và đưa khách hàng tới môi trường phát triển

• Vai trò và trách nhiệm trong việc đảm bảo tiếp tục áp dụng các biện pháp an toàn và phát hiện các vi phạm an toàn;

c) Nhân sự, ví dụ như bất kỳ kiểm soát hoặc kiểm tra được thực hiện để thiết lập sự tin cậy của nhân viên phát triển mới ;

d) Các biện pháp an toàn khác, ví dụ như bảo vệ hợp lý các phương tiện phát triển.

Tài liệu an toàn phát triển cần xác định các địa điểm mà tại đó phát triển xảy ra và mô tả các khía cạnh của sự phát triển được thực hiện, cùng với các biện pháp an toàn được áp dụng tại mỗi địa điểm và vận chuyển giữa các địa điểm khác nhau. Ví dụ, phát triển có thể xảy ra ở nhiều cơ sở trong một tòa nhà duy nhất, nhiều tòa nhà tại cùng một địa điểm hoặc nhiều địa điểm. Việc vận chuyển các bộ phận của TOE hoặc TOE chưa hoàn chỉnh giữa các địa điểm phát triển khác nhau phải được bảo đảm bởi

175

TCVN xxx: 2015

an toàn phát triển (ALC_DVS), trong khi đó việc vận chuyển TOE hoàn thành tới cho người tiêu dùng được giải quyết trong chuyển giao (ALC_DEL).

Phát triển bao gồm việc sản xuất TOE.

TCVN 8709-3:2011 ALC_DVS.2.2C: Tài liệu an toàn phát triển cần xác minh rằng các biện pháp an toàn cung cấp mức bảo vệ cần thiết nhằm duy trì tính bảo mật và toàn vẹn cho TOE.

12.5.2.3.2 Đơn vị công việc ALC_DVS.2-2Người đánh giá cần kiểm tra các tài liệu an toàn phát triển để xác định rằng có một xác minh phù hơp được đưa tại sao các biện pháp an toàn cung cấp mức độ bảo vệ cần thiết để duy trì tính bảo mật và toàn vẹn của TOE.

Kể từ khi các cuộc tấn công vào TOE hoặc các thông tin liên quan của nó được giả định trong các giai đoạn thiết kế và sản xuât khác nhau, các biện pháp và thủ tục cần phải có một mức độ phù hợp cần thiết để ngăn chặn các cuộc tấn công hoặc tạo ra nhiều khó khăn hơn.

Mức này phụ thuộc vào khả năng tấn công tổng thể cho TOE (cf. phân tích điểm yếu (AVA_VAN) thành phần đã chọn), các tài liệu an toàn phát triển phải xác minh mức độ bảo vệ cần thiết để duy trì tính bảo mật và toàn vẹn của TOE. Mức độ này có đạt được bởi các các biện pháp an toàn được áp dụng.

Khái niệm về các biện pháp bảo vệ cần phải nhất quán và việc xác minh nên bao gồm một phân tích về cách thức các biện pháp hỗ trợ lẫn nhau. tất cả các khía cạnh của sự phát triển và sản xuất tại tất cả các địa điểm khác nhau với tất cả các vai trò có liên quan đến việc chuyển giao của TOE cần được phân tích.

Xác minh có thể bao gồm một phân tích các điểm yếu tiềm ẩn áp dụng các biện pháp an toàn vào tài khoản.

Các lập luận thuyết phục chỉ ra rằng, ví dụ:

Dữ liệu được đưa vào hệ thống này cần phải được xem xét một cách cẩn thận để ngăn chặn việc cài đặt các chức năng ẩn trên hệ thống. Hiệu quả của các biện pháp này cần phải được kiểm tra, ví dụ: bằng cách độc lập cố gắng để có được quyền truy cập vào máy tính, cài đặt một số thực thi bổ sung (chương trình, các dòng lệnh riêng, vv) hoặc lấy một số thông tin trên máy tính sử dụng cho các cuộc tấn công hợp lý.

Các biện pháp thích hợp tổ chức (theo thủ tục và cá nhân) được vô điều kiện thi hành.

• Các biện pháp kỹ thuật và cơ chế về cơ sở hạ tầng của nhà phát triển đủ để duy trì mức độ an toàn phù hợp (ví dụ như cơ chế mã hóa cũng như các cơ chế bảo vệ vật lý, tính chất của hệ thống CM (cf. ALC_CMC.4-5));

• Các hệ thống có chứa quá trình triển khai thực hiện TOE (kể cả các tài liệu hướng liên quan) cung cấp bảo vệ có hiệu quả chống lại các cuộc tấn công hợp lý, ví dụ như bởi mã "Trojan" hoặc virus. Sẽ là đầy đủ, nếu mô tả thực hiện được giữ trên một hệ thống được cô lập nơi mà chỉ có các phần mềm cần thiết để bảo quản nó được cài đặt và không cài đặt phần mềm khác sau đó.

• Dữ liệu được đưa vào hệ thống này cần phải được xem xét cẩn thận để ngăn chặn việc cài đặt các chức năng ẩn vào hệ thống. Hiệu quả của biện pháp này cần phải được kiểm tra, ví dụ bằng cách kiên trì thực hiện độc lập để có được quyền truy cập vào máy tính, cài đặt một số phần mềm bổ sung (chương trình, vĩ mô vv) hoặc lấy một số thông tin trên máy tính sử dụng cho các cuộc tấn công hợp lý.

176

TCVN xxx: 2015• Các biện pháp tổ chức phù hợp (thủ tục và nhân sự) được thực thi vô điều kiện.

12.5.2.3.3 Đơn vị công việc ALC_DVS.2-3Người đánh giá cần kiểm tra các chính sách tích hợp và bảo mật phát triển để xác định tính đầy đủ của các biện pháp an toàn được sử dụng.

Người đánh giá cần xem xét liệu các điều sau đây có bao gồm trong các chính sách:

a) Các thông tin nào liên quan đến việc phát triển TOE cần được giữ bí mật và các nhân viên đội phát triển được phép truy nhập các nguyên vật liêu đó;

b) Các nguyên vật liệu nào phải được bảo vệ tránh sự sửa đổi trái phép để đảm bảo sự toàn vẹn của TOE, và các nhân viên đội phát triển được phép được phép sửa đổi các nguyên vật liệu này.

Người đánh giá cần xác định rằng các chính sách này đã được mô tả trong tài liệu an toàn phát triển, rằng các biện pháp an toàn được sử dụng là phù hợp với các chính sách và rằng chúng là đầy đủ.

Cần lưu ý rằng các thủ tục quản lý cấu hình sẽ giúp bảo vệ sự toàn vẹn của TOE và đánh giá nên tránh chồng chéo với các đơn vị công việc áp dụng cho khả năng CM (ALC_CMC). Ví dụ, tài liệu CM có thể mô tả các thủ tục an toàn cần thiết cho việc kiểm soát các vai trò hoặc cá nhân có quyền truy cập môi trường phát triển và những người có thể thay đổi TOE.

Trong khi đó, khả năng CM (ALC_CMC) được yêu cầu cố định, thì đối với an toàn phát triển (ALC_DVS), chỉ yêu cầu có biện pháp cần thiết, phụ thuộc vào bản chất của TOE và thông tin đó có thể được cung cấp trong ST. Ví dụ, ST có thể nhận dạng một mục tiêu an toàn cho môi trường phát triển đòi hỏi TOE được phát triển bởi các nhân viên có kiến thức rõ ràng về an toàn. Người đánh giá sau đó sẽ xác định rằng một chính sách như vây đã được áp dụng theo hoạt động con này.

12.5.2.4 Hành động ALC_DVS.2.2E12.5.2.4.1 Đơn vị công việc ALC_DVS.2-4Người đánh giá cần kiểm tra tài liệu an toàn phát triển và bằng chứng liên quan đến xác định rằng các biện pháp an toàn đang được áp dụng.

Đơn vị công việc này đòi hỏi người đánh giá xác định rằng các biện pháp an toàn được mô tả trong tài liệu phát triển an toàn đang được tuân thủ, chẳng hạn như tính toàn vẹn của TOE và tính bảo mật của các tài liệu liên quan đang được bảo vệ đầy đủ. Ví dụ, điều này có thể được xác định bằng kiểm tra các bằng chứng tài liệu được cung cấp. Bằng chứng tài liệu cần được bổ sung bằng cách đi thực tế môi trường phát triển. Thực tế môi trường phát triển sẽ cho phép người đánh giá:

a) Quan sát việc áp dụng các biện pháp an toàn (ví dụ như các biện pháp vật lý);

b) Kiểm tra bằng chứng tài liệu về việc áp dụng thủ tục;

c) Phỏng vấn nhân viên phát triển để kiểm tra kiến thức về các chính sách và thủ tục an toàn phát triển và trách nhiệm của họ.

Thực tế địa điểm phát triển là một phương tiện hữu ích đạt được sự tin cậy trong các biện pháp đang được sử dụng. Bất kỳ quyết định nào dẫn đến việc không thực hiện đi thực tế đia điểm phát triển như vậy cần được xác định trong thảo luận với cơ quan đánh giá.

Để biết thông tin về các địa điểm phát triển, xem A.4: các địa điểm thực thế.

177

TCVN xxx: 2015

12.6 Khắc phục sai sót (ALC_FLR)12.6.1 Đánh giá hoạt động con (ALC_FLR.1)

12.6.1.1 Mục tiêuMục tiêu của hoạt động con này là để xác định xem liệu nhà phát triển đã thiết lập các thủ tục khắc phục sai sót để mô tả việc theo dõi các sai sót an toàn, chỉ ra các hành động khắc phục chính xác và các phân phối thông tin các hành động khắc phục chính xác đến người sử dụng TOE.


a) Tài liệu hướng dẫn thủ tục khắc phục sai sót.

12.6.1.3 Hành động ALC_FLR.1.1ETCVN 8709-3:2011 ALC_FLR.1.1C: Tài liệu các thủ tục khắc phục sai sót cần mô tả các thủ tục được sử dụng để theo dõi tất cả các sai sót an toàn đã báo cáo trong từng phiên bản phát hành của TOE.

12.6.1.3.1 Đơn vị công việc ALC_FLR.1-1Người đánh giá cần kiểm tra tài liệu hướng các thủ tục khắc phục sai sót để xác định rằng nó mô tả các thủ tục được sử dụng để theo dõi tất cả các sai sót an toàn được báo cáo trong từng phiên bản phát hành của TOE.

Các thủ tục mô tả các hành động được thực hiện bởi nhà phát triển từ thời gian từng sai sót an toàn khả nghi được báo cáo đến thời gian nó được giải quyết. Điều này bao gồm toàn bộ khung thời gian của sai sót từ phát hiện ban đầu thông qua việc xác định chắc chắn rằng sai sót này là một sai sót an toàn đến lúc giải quyết các sai sót an toàn.

Nếu một sai sót được phát hiện không phải là sai sót an toàn có liên quan, thì không cần thiết (cho mục đích của các yêu cầu khắc phục sai sót (ALC_FLR)) phải tiếp tục theo dõi bởi các thủ tục khắc phục sai sót, mà chỉ cần giải thích lý do tại sao các sai sót không phải là sai sót an toàn có liên quan.

Khi các yêu cầu này là không bắt buộc mà có thể là một phương tiện chung để người dùng TOE báo cáo các sai sót an toàn, họ không bắt buộc rằng tất cả các sai sót an toàn báo cáo cần được theo dõi. Nghĩa là, sai sót an toàn được thông báo không thể bỏ qua một cách đơn giản chỉ vì nó xuất phát từ bên ngoài tổ chức của nhà phát triển.

TCVN 8709-3:2011 ALC_FLR.1.2C: Các thủ tục khắc phục sai sót cần yêu cầu rằng việc mô tả bản chất và ảnh hưởng của từng sai sót an toàn được cung cấp, cũng như các trạng thái tìm kiếm việc hiệu chỉnh sai sót đó.

12.6.1.3.2 Đơn vị công việc ALC_FLR.1-2Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ tạo ra một mô tả của từng sai sót an toàn trong các giới hạn về bản chất và ảnh hưởng của nó.

Các thủ tục chỉ ra các hành động được thực hiện bởi nhà phát triển để mô tả bản chất và ảnh hưởng của từng sai sót an toàn đầy đủ chi tiết để có thể tái tạo nó. Các mô tả về bản chất của một sai sót an toàn để xem nó là lỗi trong tài liệu hướng dẫn, sai sót trong thiết kế của TSF hay là sai sót trong việc thực hiện TSF… Các mô tả về ảnh hưởng của sai sót an toàn chỉ ra các phần của TSF bị ảnh hưởng và mức độ các phần bị ảnh hưởng. Ví dụ, một sai sót an toàn trong việc thực hiện có thể được tìm thấy

178

TCVN xxx: 2015có ảnh hưởng đến việc nhận dạng và thực thi bởi các TSF bằng cách cho phép xác thực với mật khẩu "QUY VỀ".

12.6.1.3.3 Đơn vị công việc ALC_FLR.1-3Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ chỉ ra các trạng thái của việc tìm kiếm sự điều chỉnh cho từng sai sót an toàn.

Thủ tục khắc phục sai sót chỉ ra các giai đoạn khác nhau của các sai sót an toàn. Sự khác biệt này bao gồm ít nhất: sai sót an toàn khả nghi đã được báo cáo, sai sót an toàn khả nghi đã được xác nhận là một sai sót an toàn và sai sót an toàn mà các giải pháp đã được thực hiện. Được phép thêm các giai đoạn (ví dụ như sai sót đó đã được báo cáo nhưng chưa được điều tra, sai sót đang được điều tra, các sai sót an toàn mà một giải pháp đã được tìm thấy nhưng chưa thực hiện).

TCVN 8709-3:2011 ALC_FLR.1.3C: Các thủ tục khắc phục sai sót yêu cầu rằng các hành động hiệu chỉnh được xác định cho từng sai sót an toàn.

12.6.1.3.4 Đơn vị công việc ALC_FLR.1-4Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ chỉ ra các hành động hiệu chỉnh cho từng sai sót an toàn.

Hành động hiệu chỉnh có thể bao gồm việc sửa chữa các bộ phận phần cứng, phần sụn hoặc phần mềm của TOE và Hướng dẫn sửa đổi TOE, hoặc cả hai. Hành động hiệu chỉnh đó cấu thành các sửa đổi hướng dẫn TOE (ví dụ: chi tiết về các biện pháp theo thủ tục được thực hiện để phòng ngừa các sai sót an toàn) bao gồm cả những biện pháp được dùng chỉ là một giải pháp tạm thời (cho đến khi sửa chữa được thực hiện) cũng như các biện pháp được dùng là một giải pháp lâu dài (nơi nó mà được xác định là biện pháp theo thủ tục là giải pháp tốt nhất).

Nếu nguồn gốc của sai sót an toàn là lỗi tài liệu hướng dẫn, hành động hiệu chỉnh bao gồm cập nhật hướng dẫn TOE bị ảnh hưởng. Nếu hành động hiệu chỉnh là một biện pháp thủ tục, biện pháp này sẽ bao gồm cập nhật hướng dẫn TOE bị ảnh hưởng để phản ánh các thủ tục hiệu chỉnh đó.

TCVN 8709-3:2011 ALC_FLR.1.4C: Tài liệu các thủ tục khắc phục sai sót cần mô tả các phương pháp sử dụng để cung cấp thông tin sai sót, các hiệu chỉnh và hướng dẫn về các hành động hiệu chỉnh cho người sử dụng TOE.

12.6.1.3.5 Đơn vị công việc ALC_FLR.1-5Người đánh giá cần kiểm tra tài liệu hướng dẫn thủ tục khắc phục sai sót để xác định rằng nó mô tả một phương tiện cung cấp cho người sử dụng TOE với các thông tin cần thiết về từng sai sót an toàn.

Các thông tin cần thiết về từng sai sót an toàn bao gồm mô tả của nó (không nhất thiết phải ở cùng một mức độ chi tiết như được cung cấp ở phần đơn vị công việc ALC_FLR.1-2), các hành động hiệu chỉnh theo quy định, và bất kỳ hướng dẫn có liên quan về việc thực hiện các hiệu chỉnh.

Người sử dụng TOE có thể được cung cấp những thông tin như vậy, hiệu chỉnh, và cập nhật tài liệu theo nhiều cách, chẳng hạn như đăng tải lên một trang web, gửi tới người dùng TOE, hoặc các thỏa thuận được thực hiện với nhà phát triển để cài đặt hiệu chỉnh. Trong trường hợp nơi mà các phương tiện cung cấp thông tin này đòi hỏi phải có hành động được khởi tạo bởi người sử dụng TOE, người đánh giá kiểm tra bất kỳ hướng dẫn TOE để đảm bảo rằng nó chứa các hướng dẫn để lấy thông tin.

Các số liệu chỉ để đánh giá sự phù hợp của phương pháp được sử dụng để cung cấp các thông tin, hiệu chỉnh và hướng dẫn có thể là một kỳ vọng hợp lý mà người dùng TOE có thể có được hoặc nhận được nó. Ví dụ, xem xét các phương pháp phổ biến mà các dữ liệu cần thiết được trang tải lên một

179

TCVN xxx: 2015

trang web trong một tháng, và người sử dụng TOE biết rằng điều này sẽ xảy ra và khi điều này sẽ xảy ra. Điều này có thể là không đặc biệt hoặc hiệu quả (khi nói rằng nó đăng tải lâu dài trên trang web), nhưng nó khả thi để người sử dụng TOE có thể có được các thông tin cần thiết. Mặt khác, nếu các thông tin được đăng tải trên trang web chỉ trong một giờ, nhưng người dùng TOE không có cách nào biết được điều này hoặc khi nào nó sẽ được đăng, nó là không khả thi để chúng ta có được những thông tin cần thiết.

12.6.2 Đánh giá hoạt động con (ALC_FLR.2)

12.6.2.1 Mục tiêuMục tiêu hoạt động con này là để xác định xem liệu nhà phát triển đã thiết lập các thủ tục khắc phục sai sót để mô tả việc theo dõi các sai sót an toàn, chỉ ra các hành động hiệu chỉnh, và phân phối thông tin các hành động hiệu chỉnh đến người sử dụng TOE hay không. Ngoài ra, hoạt động con này xác định xem liệu các thủ tục của nhà phát triển cung cấp cho sự hiệu chỉnh các sai sót an toàn, nhận các báo cáo sai sót từ người sử dụng TOE, và đảm bảo rằng sự điều chỉnh này không tạo ra các sai sót an toàn mới hay không.

Để nhà phát triển có khả năng thực hiện các hành động một cáchh thích hợp khi nhận được báo cáo sai sót an toàn từ người dùng TOE, người dùng TOE cần phải biết được cách thức để gửi báo cáo sai sót an toàn đến nhà phát triển và nhà phát triển cần biết làm thế nào để nhận được các báo cáo đó. Hướng dẫn khắc phục sai sót gửi tới người sử dụng TOE đảm bảo rằng người dùng TOE biết cách để liên lạc với nhà phát triển; Các thủ tục khắc phục sai sót cần mô tả vai trò của nhà phát triển về liên lạc đó.


a) Tài liệu hướng dẫn các thủ tục khắc phục sai sót ;

b) Tài liệu hướng dẫn khắc phục sai sót.

12.6.2.3 Hành động ALC_FLR.2.1ETCVN 8709-3:2011 ALC_FLR.2.1C: Tài liệu các thủ tục khắc phục sai sót cần mô tả các thủ tục được sử dụng để theo dõi tất cả các sai sót an toàn đã báo cáo trong từng phiên bản phát hành của TOE.

12.6.2.3.1 Đơn vị công việc ALC_FLR.2-1Người đánh giá cần kiểm tra tài liệu hướng dẫn các thủ tục khắc phục sai sót để xác định rằng nó mô tả các thủ tục được sử dụng để theo dõi tất cả các sai sót an toàn đã báo cáo trong từng phiên bản phát hành của TOE.

Các thủ tục mô tả các hành động được thực hiện bởi nhà phát triển từ lúc từng sai sót an toàn được báo cáo đến thời điểm mà nó được giải quyết. Điều này bao gồm toàn bộ khung thời gian sai của sai sót, từ lúc phát hiện ban đầu thông qua việc xác định sai sót là một sai sót an toàn đến lúc giải quyết sai sót an toàn.


180

TCVN xxx: 2015TCVN 8709-3:2011 ALC_FLR.2.2C: Các thủ tục khắc phục sai sót cần yêu cầu việc mô tả bản chất và ảnh hưởng của từng sai sót an toàn được cung cấp, cũng như các trạng thái tìm kiếm hiệu chỉnh sai sót đó.


Các thủ tục chỉ ra các hành động được thực hiện bởi nhà phát triển để mô tả bản chất và ảnh hưởng của từng sai sót an toàn đầy đủ chi tiết để có thể tái tạo nó. Các mô tả về bản chất của một sai sót an toàn để xem nó là lỗi trong tài liệu hướng dẫn, sai sót trong thiết kế của TSF hay là sai sót trong việc thực hiện TSF, vv. Các mô tả về ảnh hưởng của sai sót an toàn chỉ ra các phần của TSF bị ảnh hưởng và mức độ các phần bị ảnh hưởng. Ví dụ, một sai sót an toàn trong việc thực hiện có thể được tìm thấy có ảnh hưởng đến việc nhận dạng và thực thi bởi các TSF bằng cách cho phép xác thực với mật khẩu "QUY VỀ".

12.6.2.3.3 Đơn vị công việc ALC_FLR.2-3Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng của các thủ tục sẽ chỉ ra các trạng thái tìm kiếm một sự hiệu chỉnh cho từng sai sót an toàn.

Các thủ tục khắc phục sai sót chỉ ra các giai đoạn khác nhau của sai sót an toàn. Sự khác biệt nay bao gồm ít nhất: Các sai sót an toàn khả nghi đã được báo cáo, Các sai sót an toàn khả nghi đã được xác định là sai sót an toàn, và các sai sót an toàn mà các giải pháp đã được thực hiện. Được phép thêm các giai đoạn bao gồm (ví dụ như sai sót đó đã được báo cáo nhưng chưa được điều tra, sai sót đang được điều tra, các sai sót an toàn mà một giải pháp đã được tìm thấy nhưng chưa thực hiện).





TCVN 8709-3:2011 ALC_FLR.2.4C: Tài liệu các thủ tục khắc phục sai sót cần mô tả các phương pháp sử dụng để cung cấp thông tin sai sót, các hiệu chỉnh và hướng dẫn về các hành động hiệu chỉnh cho người sử dụng TOE

12.6.2.3.5 Đơn vị công việc ALC_FLR.2-5Người đánh giá cần kiểm tra tài liệu hướng dẫn thủ tục khắc phục sai sót để xác định rằng nó mô tả phương tiện cung cấp cho người sử dụng TOE với các thông tin cần thiết về từng sai sót an toàn.

181

TCVN xxx: 2015


Người sử dụng TOE có thể được cung cấp những thông tin như vậy, hiệu chỉnh, và cập nhật tài liệu theo nhiều cách, chẳng hạn như đăng tải lên một trang web, gửi tới các người dùng TOE, hoặc các thỏa thuận được thực hiện với nhà phát triển để cài đặt hiệu chỉnh. Trong trường hợp nơi mà các phương tiện cung cấp thông tin này đòi hỏi phải có hành động được khởi tạo bởi người sử dụng TOE, người đánh giá kiểm tra bất kỳ hướng dẫn TOE để đảm bảo rằng nó chứa các hướng dẫn để lấy thông tin.

Các số liệu chỉ để đánh giá sự phù hợp của một phương pháp được sử dụng để cung cấp các thông tin, hiệu chỉnh và hướng dẫn có thể là một kỳ vọng hợp lý mà người dùng TOE có thể có được hoặc nhận được nó. Ví dụ, xem xét một phương pháp phổ biến mà các dữ liệu cần thiết được trang tải lên một trang web trong một tháng, và người sử dụng TOE biết rằng điều này sẽ xảy ra và khi nào điều này sẽ xảy ra. Điều này có thể là không đặc biệt hoặc hiệu quả (khi nói rằng nó đăng tải lâu dài trên trang web), nhưng nó khả thi để người sử dụng TOE có thể có được các thông tin cần thiết. Mặt khác, nếu các thông tin được đăng tải trên trang web chỉ trong một giờ, nhưng người dùng TOE không có cách nào biết được điều này hoặc khi nào nó sẽ được đăng, nó là không khả thi để chúng ta có được những thông tin cần thiết.

TCVN 8709-3:2011 ALC_FLR.2.5C: Các thủ tục khắc phục sai sót cần mô tả các phương tiện mà nhà phát triển tiếp nhận các báo cáo từ người sử dụng TOE và các câu hỏi về các sai sót an toàn khả nghi trong TOE.

12.6.2.3.6 Đơn vị công việc ALC_FLR.2-6Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng chúng mô tả các thủ tục cho các nhà phát triển để chấp nhận báo cáo về các sai sót an toàn hoặc yêu cầu hiệu chỉnh các sai sót đó.

Các thủ tục đảm bảo rằng người sử dụng TOE có một phương tiện mà họ có thể giao tiếp với nhà phát triển TOE. Bởi có một phương tiện liên lạc với nhà phát triển, người sử dụng có thể báo cáo các sai sót an toàn, tìm hiểu về các trạng thái của các sao sót an toàn, hoặc yêu cầu hiệu chỉnh các sai sót. Các phương tiên liên lạc này có thể là một phần của hệ thống phương tiện liên lạc để báo cáo các vấn đề liên quan đến không an toàn.

Việc sử dụng các thủ tục này không hạn chế với người dùng TOE; Tuy nhiên, chỉ có những người sử dụng TOE được cung cấp có hiệu lực chi tiết của các thủ tục này. Những người khác có thể truy cập hoặc người am hiểu về TOE có thể sử dụng các thủ tục tương tự để gửi báo cáo cho nhà phát triển, những người sau đó được dự kiến để xử lý chúng. Bất kỳ phương tiện gửi báo cáo nào tới nhà phát triển khác với các phương tiện được xác định bởi nhà phát triển là nằm ngoài phạm vi của đơn vị công việc này; các báo cáo được gửi đến bởi các phương tiện khác không cần thiết phải giải quyết.

TCVN 8709-3:2011 ALC_FLR.2.6C: Các thủ tục để xử lý sai sót an toàn đã báo cáo cần đảm bảo rằng bất kỳ sai sót đã báo cáo nào đều phải được khắc phục và các thủ tục khắc phục được cấp cho người dùng TOE.

12.6.2.3.7 Đơn vị công việc ALC_FLR.2-7Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ giúp đảm bảo tất cả các sai sót báo cáo được hiệu chỉnh.

182

TCVN xxx: 2015Thủ tục khắc phục sai sót không chỉ bao gồm các sai sót an toàn được phát hiện và báo cáo của nhân viên phát triển mà còn có cả các báo cáo của người dùng TOE. Các thủ tục được mô tả theo cách đầy đủ chi tiết để đảm bảo rằng từng sai sót an toàn báo cáo được hiệu chỉnh Các thủ tục bao gồm các bước hợp lý cho thấy sự tiến bộ quan trọng mang lại một giải pháp chắc chắn.

Các thủ tục mô tả quá trình được thực hiện từ thời điểm mà sai sót an toàn khả nghi được xác định là một sai sót an toàn đến thời điểm nó được giải quyết.

12.6.2.3.8 Đơn vị công việc ALC_FLR.2-8Người đánh giá cần kiểm tra các thủ tục khắc phục sao sót để xác định rằng việc áp dụng các thủ tục này sẽ giúp đảm bảo rằng những người sử dụng TOE được cấp thủ tục khắc phục sai sót cho từng sai sót an toàn.

Các thủ tục mô tả quá trình được thực hiện từ thời điểm mà tại đó một sai sót an toàn đã được giải quyết đến thời điểm mà các thủ tục khắc phục được cung cấp. Các thủ tục để chuyển giao các hành động hiệu chỉnh cần có phù hợp mục tiêu an toàn và không cần thiết phải đúng như các thủ tục được sử dụng cho việc chuyển giao TOE theo tài liệu để đáp ứng ALC_DEL, nếu bao gồm các yêu cầu bảo đảm. Ví dụ, nếu bộ phận phần cứng của một TOE được chuyển giao lúc đầu bằng chuyển phát nhanh, việc cập nhật phần cứng để khắc phục sai sót tương tự như vậy dự kiến cũng được phân phối bởi chuyển phát nhanh. Các cập nhật không liên quan đến khắc phục sai sót sẽ thực hiện theo các thủ tục được quy định trong tài liệu các yêu cầu chuyển giao (ALC_DEL).

TCVN 8709-3:2011 ALC_FLR.2.7C: Các thủ tục để xử lý sai sót an toàn đã báo cáo cần cung cấp sự bảo vệ cho bất kỳ hiệu chỉnh nào đối với sai sót an toàn này không làm phát sinh các sai sót mới.

12.6.2.3.9 Đơn vị công việc ALC_FLR.2-9Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ dẫn đến biện pháp bảo vệ sự hiệu chỉnh tiềm năng không có các tác dụng phụ.

Thông qua phân tích, kiểm thử, hoặc kết hợp cả hai, nhà phát triển có thể làm giảm khả năng tác dụng phụ sẽ được tạo ra khi một sai sót an toàn được hiệu chỉnh. Người đánh giá sẽ đánh giá liệu các thủ tục cung cấp chi tiết trong cách kết hợp cần thiết của các hành động phân tích và kiểm thử được xác định cho một hiệu chỉnh nhất định.

Người đánh giá cũng xác định rằng, đối với những trường hợp mà nguồn gốc của các sai sót an toàn là vấn đề về tài liệu hướng dẫn thì thủ tục bao gồm các phương tiện bảo vệ chống lại việc phát sinh của các mâu thuẫn với các tài liệu khác.

TCVN 8709-3:2011 ALC_FLR.2.8C: Hướng dẫn khắc phục sai sót cần mô tả các phương tiện mà người sử dụng TOE báo cáo cho nhà phát triển về bất cứ sai sót an toàn khả nghi nào trong TOE.

12.6.2.3.10 Đơn vị công việc ALC_FLR.2-10Người đánh giá cần kiểm tra các hướng dẫn khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ dẫn đến một phương tiện cho người sử dụng TOE để cung cấp các báo cáo về các sai sót an toàn khả nghi hoặc yêu cầu để hiệu chỉnh sai sót đó.

Các hướng dẫn đảm bảo rằng người sử dụng TOE có một phương tiện mà họ có thể liên lạc với nhà phát triển TOE. Bởi có phương tiện liên lạc với nhà phát triển, người sử dụng có thể báo cáo sai sót an toàn, tìm hiểu về các trạng thái của sai sót an toàn hoặc yêu cầu hiệu chỉnh các sai sót.

12.6.3 Đánh giá hoạt động con (ALC_FLR.3)

12.6.3.1 Mục tiêu

183

TCVN xxx: 2015

Mục tiêu hoạt động con này là để xác định xem liệu nhà phát triển đã thiết lập được thủ tục khắc phục sai sót để mô tả việc theo dõi các sai sót an toàn, chỉ ra các hành động hiệu chỉnh và phân phối các thông tin hành động hiệu chỉnh đến người sử dụng TOE hay không. Ngoài ra, hoạt động con này xác định xem liệu các thủ tục của nhà phát triển cung cấp cho việc hiệu chỉnh các sai sót an toàn, cho việc tiếp nhận báo cáo sai sót từ người sử dụng TOE, để đảm bảo rằng việc hiệu chỉnh không làm phát sinh các sai sót an toàn mới, cho việc thiết lập một điểm liên cho từng người dùng TOE, và cho các vấn đề cấp bách của các hành động hiệu chỉnh tới người sử dụng TOE.

Để nhà phát triển có thể có hành động một cách thích hợp khi tiếp nhận các báo cáo sai sót an toàn từ người dùng TOE. Người dùng TOE cần phải hiểu làm thế nào để nộp báo cáo sai sót an toàn cho nhà phát triển và nhà phát triển cần biết cách để tiếp nhận các báo cáo đó. Hướng dẫn khắc phục sai sót gửi gửi cho người sử dụng TOE đảm bảo rằng người sử dụng TOE hiểu được cách thức liên lạc với nhà phát triển cũng như mô tả các vai trò của nhà phát triển về liên lạc đó.


a) Tài liệu thủ tục khắc phục sai sót;

b) Tài liệu hướng dẫn khắc phục sai sót.

12.6.3.3 Hành động ALC_FLR.3.1ETCVN 8709-3:2011 ALC_FLR.3.1C: Tài liệu thủ tục khắc phục sai sót cần mô tả các thủ tục được sử dụng để theo dõi tất cả các sao sót an toàn đã báo cáo trong từng phiên bản phát hành của TOE.

12.6.3.3.1 Đơn vị công việc ALC_FLR.3-1Người đánh giá cần kiểm tra tài liệu hướng dẫn thủ tục khắc phục sai sót để xác định rằng nó mô tả các thủ tục được sử dụng để theo dõi tất cả các sai sót an toàn được báo cáo trong từng phiên bản phát hành của TOE.

Các thủ tục mô tả các hành động được thực hiện bởi nhà phát triển từ thời điểm từng sai sót an toàn khả nghi được báo cáo đến thời điểm nó được giải quyết. Điều này bao gồm toàn bộ khung thời gian của sai sót, từ lúc phát hiện ban đầu thông qua việc xác rằng sai sót này là một sai sót an toàn đến lúc giải quyết sai sót an toàn.


TCVN 8709-3:2011 ALC_FLR.3.2C: Các thủ tục khắc phục sai sót cần yêu cầu việc mô tả bản chất và ảnh hưởng của từng sai sót an toàn được cung cấp, cũng như các trạng thái tìm kiếm hiệu chỉnh sai sót đó.


Các thủ tục chỉ ra các hành động được thực hiện bởi nhà phát triển để mô tả bản chất và ảnh hưởng của từng sai sót an toàn đầy đủ chi tiết để có thể tái tạo nó. Các mô tả về bản chất của một sai sót an toàn để xem nó là lỗi trong tài liệu hướng dẫn, sai sót trong thiết kế của TSF hay là sai sót trong việc

184

TCVN xxx: 2015thực hiện TSF... Các mô tả về ảnh hưởng của sai sót an toàn chỉ ra các phần của TSF bị ảnh hưởng và mức độ các phần bị ảnh hưởng. Ví dụ, một sai sót an toàn trong việc thực hiện có thể được tìm thấy có ảnh hưởng đến việc nhận dạng và thực thi bởi các TSF bằng cách cho phép xác thực với mật khẩu "QUY VỀ".

12.6.3.3.3 Đơn vị công việc ALC_FLR.3-3Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng của các thủ tục sẽ chỉ ra các trạng thái tìm kiếm một sự hiệu chỉnh cho từng sai sót an toàn.

Các thủ tục khắc phục sai sót chỉ ra các giai đoạn khác nhau của sai sót an toàn. Sự khác biệt này bao gồm ít nhất: Các sai sót an toàn khả nghi đã được báo cáo, Các sai sót an toàn khả nghi đã được xác định là sai sót an toàn, và các sai sót an toàn mà các giải pháp đã được thực hiện. Được phép thêm các giai đoạn bao gồm (ví dụ như sai sót đó đã được báo cáo nhưng chưa được điều tra, sai sót đang được điều tra, các sai sót an toàn mà một giải pháp đã được tìm thấy nhưng chưa thực hiện).





TCVN 8709-3:2011 ALC_FLR.3.4C: Tài liệu các thủ tục khắc phục sai sót cần mô tả các phương pháp sử dụng để cung cấp thông tin sai sót, các hiệu chỉnh và hướng dẫn về các hành động hiệu chỉnh cho người sử dụng TOE

12.6.3.3.5 Đơn vị công việc ALC_FLR.3-5Người đánh giá cần kiểm tra tài liệu hướng dẫn thủ tục khắc phục sai sót để xác định rằng nó mô tả phương tiện cung cấp cho người sử dụng TOE với các thông tin cần thiết về từng sai sót an toàn.


Người sử dụng TOE có thể được cung cấp những thông tin như vậy, hiệu chỉnh, và cập nhật tài liệu theo nhiều cách, chẳng hạn như đăng tải lên một trang web, gửi tới các người dùng TOE, hoặc các thỏa thuận được thực hiện với nhà phát triển để cài đặt hiệu chỉnh. Trong trường hợp nơi mà các phương tiện cung cấp thông tin này đòi hỏi phải có hành động được khởi tạo bởi người sử dụng TOE, người đánh giá kiểm tra bất kỳ hướng dẫn TOE để đảm bảo rằng nó chứa các hướng dẫn để lấy thông tin.

185

TCVN xxx: 2015

Các số liệu chỉ để đánh giá sự phù hợp của một phương pháp được sử dụng để cung cấp các thông tin, hiệu chỉnh và hướng dẫn có thể là một kỳ vọng hợp lý mà người dùng TOE có thể có được hoặc nhận được nó. Ví dụ, xem xét một phương pháp phổ biến mà các dữ liệu cần thiết được trang tải lên một trang web trong một tháng, và người sử dụng TOE biết rằng điều này sẽ xảy ra và khi nào điều này sẽ xảy ra. Điều này có thể là không đặc biệt hoặc hiệu quả (khi nói rằng nó đăng tải lâu dài trên trang web), nhưng nó khả thi để người sử dụng TOE có thể có được các thông tin cần thiết. Mặt khác, nếu các thông tin được đăng tải trên trang web chỉ trong một giờ, nhưng người dùng TOE không có cách nào biết được điều này hoặc khi nào nó sẽ được đăng, nó là không khả thi để chúng ta có được những thông tin cần thiết.

Đối với người dùng TOE người đăng ký với các nhà phát triển (xem đơn vị công tác ALC_FLR.3-12), sự sẵn có thụ động của thông tin này là không đủ. Nhà phát triển phải chủ động gửi thông tin (hoặc một thông báo sẵn có) tới người sử dụng TOE đã đăng ký.

TCVN 8709-3:2011 ALC_FLR.3.5C: Các thủ tục khắc phục sai sót cần mô tả các phương tiện mà nhà phát triển nhận báo cáo từ người sử dụng TOE và các câu hỏi về các sai sót an toàn khả nghi trong TOE.

12.6.3.3.6 Đơn vị công việc ALC_FLR.3-6Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ đem lại một phương tiện để nhà phát triển tiếp nhận các báo cáo về sai sót an toàn khả nghi hoặc các yêu cầu để hiệu chỉnh các sai sót đó từ người sử dụng TOE.

Các thủ tục đảm bảo rằng người sử dụng TOE có một phương tiện mà họ có thể giao tiếp với nhà phát triển TOE. Bởi có một phương tiện liên lạc với nhà phát triển, người sử dụng có thể báo cáo các sai sót an toàn, tìm hiểu về các trạng thái của các sao sót an toàn, hoặc yêu cầu hiệu chỉnh các sai sót. Các phương tiên liên lạc này có thể là một phần của hệ thống phương tiện liên lạc để báo cáo các vấn đề liên quan đến không an toàn.

Việc sử dụng các thủ tục này không hạn chế với người dùng TOE; Tuy nhiên, chỉ có những người sử dụng TOE được cung cấp có hiệu lực chi tiết của các thủ tục này. Những người khác có thể truy cập hoặc người am hiểu về TOE có thể sử dụng các thủ tục tương tự để gửi báo cáo cho nhà phát triển, những người sau đó được dự kiến để xử lý chúng. Bất kỳ phương tiện gửi báo cáo nào tới nhà phát triển khác với các phương tiện được xác định bởi nhà phát triển là nằm ngoài phạm vi của đơn vị công việc này; các báo cáo được gửi đến bởi các phương tiện khác không cần thiết phải giải quyết.

TCVN 8709-3:2011 ALC_FLR.3.6C: Các thủ tục khắc phục sai sót nên bao gồm một thủ tục yêu cầu đáp ứng kịp thời và phân phối tự động các báo cáo sai sót an toàn và các hiệu chỉnh liên quan tới người dùng đã đăng ký có thể bị ảnh hưởng bởi sai sót an toàn.

12.6.3.3.7 Đơn vị công việc ALC_FLR.3-7Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ dẫn đến một phương tiện kịp thời cung cấp người dùng TOE đã đăng ký có thể bị ảnh hưởng với báo cáo và các hiệu chỉnh có liên quan đến từng sai sót an toàn.

Việc phát hành kịp thời áp dụng để phát hành của cả các báo cáo sai sót an toàn và các hiệu chỉnh có liên quan. Tuy nhiên, chúng không nhất thiết phải được phát hành cùng một lúc. Phải thừa nhận rằng báo cáo sai sót cần được tạo ra và ban hành ngay sau khi một giải pháp tạm thời được tìm thấy, ngay cả khi đó là giải pháp quyết liệt như khi tắt TOE. Tương tự như vậy, khi một giải pháp lâu dài hơn (và ít quyết liệt) được tìm thấy, nó cần được ban hành không chậm trễ.

186

TCVN xxx: 2015Không cần thiết phải hạn chế những người nhận các báo cáo và hiệu chỉnh có liên quan chỉ là những người sử dụng TOE có thể bị ảnh hưởng bởi sai sót an toàn; nó cho phép tất cả người dùng TOE được cung cấp báo cáo và hiệu chỉnh cho tất cả các sai sót an toàn, cung cấp như vậy được thực hiện một cách kịp thời.

12.6.3.3.8 Đơn vị công việc ALC_FLR.3-8Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ dẫn đến việc tự động phân phối các báo cáo và hiệu chỉnh có liên quan đến người sử dụng TOE đã đăng ký có thể bị ảnh hưởng.

Tự động phân phối không có nghĩa là con người tương tác với các phương pháp phân phối không được phép. Trong thực tế, phương pháp phân phối có thể bao gồm toàn bộ các thủ tục nhân công, có thể thông qua một thủ tục được giám sát chặt chẽ với sự leo thang được quy định khi thiếu vấn đề của báo cáo hoặc hiệu chỉnh.

Không cần thiết phải hạn chế những người nhận các báo cáo và hiệu chỉnh có liên quan chỉ là những người sử dụng TOE có thể bị ảnh hưởng bởi sai sót an toàn; nó cho phép tất cả người dùng TOE được cung cấp báo cáo và hiệu chỉnh cho tất cả các sai sót an toàn, cung cấp như vậy được thực hiện một cách tự động.

TCVN 8709-3:2011 ALC_FLR.3.7C: Các thủ tục để xử lý các sai sót an toàn đã báo cáo cần đảm bảo rằng bất kỳ sai sót đã báo cáo nào đều phải được khắc phục và các thủ tục khắc phục phỉ được cung cấp cho người dùng TOE.

12.6.3.3.9 Đơn vị công việc ALC_FLR.3-9Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục sẽ giúp để đảm bảo rằng tất cả các sai sót được báo cáo đều được hiệu chỉnh.

Thủ tục khắc phục sai sót không chỉ bao gồm các sai sót an toàn được phát hiện và được báo cáo bởi nhân viên phát triển mà còn có cả các báo cáo của người dùng TOE. Các thủ tục được mô tả theo cách đầy đủ chi tiết để đảm bảo rằng từng sai sót an toàn báo cáo được khắc phục. Các thủ tục bao gồm các bước hợp lý cho thấy sự tiến bộ quan trọng mang lại một giải pháp chắc chắn.

Các thủ tục mô tả các quá trình được thực hiện từ thời điểm mà tại đó các sai sót an toàn khả nghi được xác định là một sai sót an toàn đến thời điểm nó được giải quyết.

12.6.3.3.10 Đơn vị công việc ALC_FLR.3-10Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ giúp đảm bảo rằng người sử dụng TOE được ban hành các thủ tục khắc phục cho từng sai sót an toàn.

Các thủ tục mô tả quá trình được thực hiện từ thời điểm mà tại đó một sai sót an toàn được giải quyết đến điểm các thủ tục khắc phục được cung cấp. Các thủ tục để chuyển giao thủ tục khắc phục nên phù hợp với các mục tiêu an toàn; Chúng không cần thiết phải giống với các thủ tục được sử dụng để chuyển giao TOE theo tài liệu để đáp ứng chuyển giao (ALC_DEL) nếu bao gồm trong các yêu cầu đảm bảo. Ví dụ, nếu bộ phận phần cứng của một TOE đã chuyển giao ban đầu bằng chuyển phát nhanh, cập nhật phần cứng do kết quả từ khắc phục sai sót như vậy dự kiến sẽ được phân phối bởi chuyển phát nhanh. Việc cập nhật không liên quan đến khắc phục sai sót sẽ thực hiện theo các thủ tục quy định trong tài liệu đáp ứng các yêu cầu chuyển giao (ALC_DEL).

187

TCVN xxx: 2015

TCVN 8709-3:2011 ALC_FLR.3.8C: Các thủ tục để xử lý các sai sót an toàn đã báo cáo cần cung cấp sự bảo vệ an toàn sao cho bất kỳ hiệu chỉnh nào đối với các sai sót an toàn đó mà không làm phát sinh bất kỳ sai sót mới.

12.6.3.3.11 Đơn vị công việc ALC_FLR.3-11Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ dẫn đến biện pháp bảo vệ sự hiệu chỉnh tiềm năng không chứa các tác dụng phụ.

Thông qua phân tích, kiểm thử hoặc kết hợp cả hai, nhà phát triển có thể làm giảm khả năng phát sinh các tác dụng phụ khi một sai sót an toàn được hiệu chỉnh. Người đánh giá sẽ đánh giá liệu các thủ tục cung cấp chi tiết trong cách kết hợp cần thiết của các hành động phân tích và kiểm thử được xác định cho một hiệu chỉnh nhất định.

Người đánh giá cũng xác định rằng, đối với những trường hợp mà nguồn gốc của các sai sót an toàn là vấn đề về tài liệu hướng dẫn thì thủ tục bao gồm các phương tiện bảo vệ chống lại việc phát sinh của các mâu thuẫn với các tài liệu khác.

TCVN 8709-3:2011 ALC_FLR.3.9C: Hướng dẫn khắc phục sai sót cần mô tả các phương tiện mà người sử dụng TOE báo cáo cho nhà phát triển về bất kỳ sai sót an toàn khả nghi nào trong TOE.

12.6.3.3.12 Đơn vị công việc ALC_FLR.3-12

Người đánh giá cần kiểm tra các hướng dẫn khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ dẫn đến một phương tiện cho người sử dụng TOE để cung cấp các báo cáo về các sai sót an toàn khả nghi hoặc yêu cầu để hiệu chỉnh sai sót đó.

Các hướng dẫn đảm bảo rằng người sử dụng TOE có một phương tiện mà họ có thể liên lạc với nhà phát triển TOE. Bởi có phương tiện liên lạc với nhà phát triển, người sử dụng có thể báo cáo các sai sót an toàn, tìm hiểu về các trạng thái của sai sót an toàn hoặc yêu cầu hiệu chỉnh các sai sót.

TCVN 8709-3:2011 ALC_FLR.3.10C: Hướng dẫn khắc phục sai sót cần mô tả phương tiện mà người dùng TOE có thể đăng ký với nhà phát triển để có đủ điều kiện để nhận được các báo cáo về sai sót an toàn và hiệu chỉnh.

12.6.3.3.13 Đơn vị công việc ALC_FLR.3-13Người đánh giá cần kiểm tra các hướng dẫn khắc phục sai sót để xác định rằng nó mô tả một phương tiện cho phép người sử dụng TOE để đăng ký với nhà phát triển.

Phương tiện cho phép người sử dụng TOE để đăng ký với nhà phát triển đơn giản có nghĩa là có một cách để mỗi người sử dụng TOE cung cấp cho nhà phát triển với một điểm giao dịch; điểm giao dịch này sẽ được sử dụng để cung cấp cho người sử dụng TOE các thông tin liên quan đến sai sót an toàn có thể ảnh hưởng đến người dùng TOE, với bất kỳ hiệu chỉnh nào về sai sót an toàn. Đăng ký người sử dụng TOE có thể được thực hiện như một phần của quy trình tiêu chuẩn mà người dùng TOE trải qua để xác nhận người sử dụng TOE với nhà phát triển, cho các mục đích đăng ký bản quyền phần mềm, hoặc để nhận được bản cập nhật và thông tin hữu ích khác.

Không nhất thiết phải là một người sử dụng TOE đăng ký cho một cài đặt của TOE; nó sẽ là đủ nếu có một người sử dụng TOE được đăng ký cho một tổ chức. Ví dụ, một người sử dụng TOE của công ty có thể có một văn phòng mua lại tập trung cho tất cả các trang web của mình. Trong trường hợp này, các văn phòng mua lại sẽ là một điểm tiếp xúc đủ cho tất cả các trang web mà người dùng TOE, để tất cả các sự cài đặt của người sử dụng TOE TOE có một điểm đăng ký của liên lạc.

188

TCVN xxx: 2015Mỗi một người dùng TOE không nhất thiết phải đăng ký cho một bản cài đặt TOE, mà sẽ là đủ nếu một người sử dụng TOE đăng ký đại diện cho một tổ chức. Ví dụ, Người sử dụng TOE là một công ty có thể có một trụ sở tập trung cho tất cả các địa điểm của mình. Trong trường hợp này, trụ sở tập trung sẽ là một điểm liên lạc hiệu quả cho tất cả các địa điểm người dùng TOE, do đó cài đặt cho tất cả các người dùng TOE có cùng một điểm liên lạc đăng ký.

Trong cả hai trường hợp, có thể liên kết mỗi TOE được chuyển giao với tổ chức nhằm đảm bảo rằng có một đăng ký sử dụng cho mỗi TOE. Đối với các tổ chức có nhiều địa chỉ khác nhau , điều này đảm bảo rằng sẽ có không có người sử dụng bao gồm bởi một TOE đã đăng ký sử dụng.

Cần lưu ý rằng người dùng TOE không cần phải đăng ký; họ chỉ được cung cấp với một phương tiện để làm như vậy. Tuy nhiên, người sử dụng lựa chọn đăng ký phải gửi thông tin trực tiếp (hoặc thông báo sẵn có của nó).

TCVN 8709-3:2011 ALC_FLR.3.11C: Hướng dẫn khắc phục sai sót cần xác nhận các điểm liên lạc cụ thể cho tất cả các báo cáo và yêu cầu về các vấn đề an toàn liên quan đến TOE.

12.6.3.3.14 Đơn vị công việc ALC_FLR.3-14Người đánh giá cần kiểm tra các hướng dẫn khắc phục sai sót để xác định rằng nó xác định các điểm liên lạc cụ thể của các báo cáo người sử dụng và các yêu cầu về vấn đề an toàn liên quan đến TOE.

Các hướng dẫn bao gồm một phương tiện nhờ đó mà người dùng đã đăng ký TOE có thể tương tác với nhà phát triển để báo cáo các sai sót an toàn được phát hiện trong TOE hoặc để thực hiện các yêu cầu liên quan đến các sai sót an toàn được phát hiện trong TOE.

12.7 Định nghĩa vòng đời (ALC_LCD)12.7.1 Đánh giá hoạt động con (ALC_LCD.1)

12.7.1.1 Mục tiêuMục tiêu hoạt động con này là để xác định xem liệu nhà phát triển đã sử dụng một mô hình tài liệu của vòng đời TOE hay không.


a) ST;

b) Tài liệu định nghĩa vòng đời.

12.7.1.3 Hành động ALC_LCD.1.1ETCVN 8709-3:2011 ALC_LCD.1.1C: Tài liệu định nghĩa vòng đời cần mô tả mô hình được sử dụng để phát triển và bảo trì TOE.

12.7.1.3.1 Đơn vị công việc ALC_LCD.1-1Người đánh giá cần kiểm tra các tài liệu mô tả của mô hình vòng đời sử dụng để xác định rằng nó bao gồm các quá trình phát triển và bảo trì.

Các mô tả của mô hình vòng đời nên bao gồm:

a) Thông tin về các giai đoạn vòng đời của TOE và ranh giới giữa các giai đoạn tiếp theo;

b) thông tin về các thủ tục, các công cụ và kỹ thuật được sử dụng bởi nhà phát triển (ví dụ như thiết kế, lập trình, kiểm thử, phát hiện – sửa lỗi);

189

TCVN xxx: 2015

c) Cấu trúc quản lý tổng thể quản lý việc áp dụng các thủ tục (ví dụ như xác định và mô tả về trách nhiệm cá nhân đối với từng thủ tục theo yêu cầu của quá trình phát triển và bảo trì bao gồm bởi mô hình vòng đời);

d) Thông tin về các phần của TOE được cung cấp bởi các nhà thầu phụ, nếu nhà thầu phụ tham gia. Đánh giá về hoạt động con (ALC_LCD.1) không đòi hỏi mô hình sử dụng để phù hợp với bất kỳ mô hình vòng đời tiêu chuẩn.

TCVN 8709-3:2011 ALC_LCD.1.2C: Mô hình vòng đời cần cung cấp kiểm soát cần thiết cho việc phát triển và bảo trì TOE.

12.7.1.3.2 Đơn vị công việc ALC_LCD.1-2Người đánh giá cần kiểm tra các mô hình vòng đời để xác định rằng việc sử dụng các thủ tục, các công cụ và kỹ thuật được mô tả bởi các mô hình vòng đời sẽ đóng góp tích cực cần thiết cho sự phát triển và bảo trì của TOE.

Các thông tin được cung cấp trong các mô hình vòng đời cho phép người đánh giá đảm bảo rằng các thủ tục phát triển và bảo trì áp dụng sẽ hạn chế tối đa khả năng xảy ra các sai sót an toàn. Ví dụ, nếu các mô hình vòng đời mô tả quá trình xem xét, nhưng không có sự chuẩn bị đầy đủ để ghi lại những thay đổi thành phần, sau đó người đánh giá có thể không chắc chắn rằng các lỗi sẽ không phát sinh trong TOE. Người đánh giá có thể đạt được đảm bảo hơn nữa bằng cách so sánh các mô tả của mô hình đối với sự hiểu biết về quá trình phát triển thu được từ việc thực hiện hành động đánh giá khác liên quan đến sự phát triển TOE (ví dụ như được đề cập trong khả năng CM (ALC_CMC)). Khiếm khuyết được xác định trong mô hình vòng đời sẽ được quan tâm nếu chúng có thể là lý do được dự kiến sẽ làm tăng sự phát sinh của các sai sót vào TOE, hoặc là vô tình hay cố ý.

TCVN 870:2011 không uỷ quyền bất kỳ phương pháp tiếp cận phát triển đặc biệt nào, và nên được đánh giá dựa trên năng lực. Ví dụ, các tiếp cận hình xoắn ốc, nhanh chóng, tạo mẫu và phương pháp tiếp cận thác nước để thiết kế tất cả có thể được sử dụng để sản xuất một TOE chất lượng nếu được áp dụng trong một môi trường có kiểm soát.

12.7.2 Đánh giá hoạt động con (ALC_LCD.2)

12.7.2.1 Mục tiêuMục tiêu hoạt động con này là để xác định nhà phát triển đã sử dụng một mô hình tài liệu và đo lường của vòng đời TOE.


a) ST;

b) Tài liệu định nghĩa vòng đời;

c) Thông tin về các tiêu chuẩn được sử dụng;

d) Tài liệu đầu ra vòng đời.

12.7.2.3 Hành động ALC_LCD.2.1E

190

TCVN xxx: 2015TCVN 8709-3:2011 ALC_LCD.2.1C: Tài liệu định nghĩa vòng đời cần mô tả mô hình được sử dụng để phát triển và bảo trì TOE, bao gồm các chi tiết về tham số sô học của nó và/hoặc các số đo dùng để đo lường chất lượng TOE và/hoặc việc phát triển nó.

12.7.2.3.1 Đơn vị công việc ALC_LCD.2-1Người đánh giá cần kiểm tra các tài liệu mô tả mô hình vòng đời sử dụng để xác định rằng nó bao gồm quá trình phát triển và bảo trì, bao gồm các chi tiết về thông số số học và/hoặc các số đo được sử dụng để đánh giá sự phát triển TOE.

Các mô tả của mô hình vòng đời bao gồm:

a) Thông tin về các giai đoạn vòng đời của TOE và ranh giới giữa các giai đoạn tiếp theo;

b) Thông tin về các thủ tục, các công cụ và kỹ thuật được sử dụng bởi nhà phát triển (ví dụ như thiết kế, lập trình, kiểm thử, phát hiện-sửa lỗi);

c) Cấu trúc quản lý tổng thể quản lý việc áp dụng các thủ tục (ví dụ như xác định và mô tả về trách nhiệm cá nhân đối với từng thủ tục theo yêu cầu của quá trình phát triển và bảo trì bao gồm bởi mô hình vòng đời);

d) Thông tin về các phần của TOE được cung cấp bởi các nhà thầu phụ, nếu nhà thầu phụ tham gia.

e) Thông tin về các thông số/số đo được sử dụng để đánh giá sự phát triển TOE. Tiêu chuẩn số đo thường bao gồm các hướng dẫn để đánh giá và sản xuất sản phẩm đáng tin cậy và bao gồm các khía cạnh độ tin cậy, chất lượng, hiệu suất, độ phức tạp và chi phí. Để đánh giá tất cả các số đo liên quan mà nó được sử dụng để nâng cao chất lượng bằng cách giảm xác suất lỗi và do đó tăng đảm bảo an toàn của TOE.

TCVN 8709-3:2011 ALC_LCD.2.2C: Mô hinh vòng đời cần cung cấp kiểm soát cần thiết cho việc phát triển và bảo trì TOE.

12.7.2.3.2 Đơn vị công việc ALC_LCD.2-2Người đánh giá trách nhiệm kiểm tra các mô hình vòng đời để xác định rằng việc sử dụng các thủ tục, các công cụ và kỹ thuật được mô tả bởi các mô hình vòng đời sẽ làm cho sự đóng góp tích cực cần thiết cho sự phát triển và duy trì của TOE.

Các thông tin được cung cấp trong các mô hình vòng đời cho phép người đánh giá đảm bảo rằng các thủ tục phát triển và bảo trì áp dụng sẽ hạn chế tối đa khả năng xảy ra các sai sót an toàn. Ví dụ, nếu các mô hình vòng đời mô tả quá trình xem xét, nhưng không có sự chuẩn bị đầy đủ để ghi lại những thay đổi thành phần, sau đó người đánh giá có thể không chắc chắn rằng các lỗi sẽ không phát sinh trong TOE. Người đánh giá có thể đạt được đảm bảo hơn nữa bằng cách so sánh các mô tả của mô hình đối với sự hiểu biết về quá trình phát triển thu được từ việc thực hiện hành động đánh giá khác liên quan đến sự phát triển TOE (ví dụ như được đề cấp trong khả năng CM (ALC_CMC)). Khiếm khuyết được xác định trong mô hình vòng đời sẽ được quan tâm nếu chúng có thể là lý do được dự kiến sẽ làm tăng sự phát sinh của các sai sót vào TOE, hoặc là vô tình hay cố ý.

ISO/IEC 15408 không uỷ quyền bất kỳ phương pháp tiếp cận phát triển đặc biệt nào, và nên được đánh giá dựa trên năng lực. Ví dụ, các tiếp cận hình xoắn ốc, nhanh chóng, tạo mẫu và phương pháp tiếp cận thác nước để thiết kế tất cả có thể được sử dụng để sản xuất một TOE chất lượng nếu được áp dụng trong một môi trường có kiểm soát.

Đối với các số đo/đo lường được sử dụng trong các mô hình vòng đời, bằng chứng có để được cung cấp đó cho thấy cách những số đo/đo lường hữu ích góp phần vào sự giảm thiểu khả năng xảy ra sai

191

TCVN xxx: 2015

sót. Điều này có thể xem như là các mục tiêu tổng thể để đo lường trong bối cảnh ALC. Kết quả là các số liệu /đo đã được lựa chọn dựa trên năng lực của mình để đạt được mục tiêu tổng thể hoặc đóng góp vào đó. Trong lần đầu tiên thực hiện một biện pháp phù hợp đối với ALC nếu mối tương quan giữa các số liệu / biện pháp và các số sai sót có thể được ghi với một số mức độ tin cậy. Nhưng cũng có một số liệu / đo hữu ích cho mục đích quản lý là để lập kế hoạch và giám sát sự phát triển TOE hữu ích kể từ khi bị quản lý dự án nguy cơ để khởi tạo dẫn đến chất lượng kém và sai sót.

Có thể sử dụng số liệu cho cải tiến chất lượng, do đó sử dụng này là không rõ ràng. Ví dụ số liệu để ước tính dự kiến chi phí của phát triển sản phẩm có thể giúp chất lượng, nếu nhà phát triển có thể chỉ ra rằng điều này được sử dụng để cung cấp một ngân sách đầy đủ cho dự án phát triển và điều này giúp tránh các vấn đề phát chất lượng sinh từ tình trạng thiếu nguồn lực.

Không cần thiết mà mỗi bước trong các chu kỳ sống của TOE là đo lường được. Tuy nhiên Người đánh giá nên xem xét từ các mô tả về các biện pháp và thủ tục mà các số liệu thích hợp để kiểm soát các chất lượng tổng thể của TOE và để giảm thiểu khả năng sai sót bảo mật của đáp ứng này.

TCVN 8709-3:2011 ALC_LCD.2.3C: Tài liệu đầu ra của vòng đời cần đưa ra kết quả về các phép đo sự phát triển TOE với mô hình vòng đời định lượng.

12.7.2.3.3 Đơn vị công việc ALC_LCD.2-3Người đánh giá cần kiểm tra tài liệu đầu ra vòng đời để xác định nó cung cấp các kết quả của các phép đo phát triển của TOE bằng cách sử dụng mô hình chu kỳ đo lường.

Các kết quả đo và tiến triển vòng đời TOE nên phù hợp với mô hình vòng đời.

Các tài liệu đầu ra không chỉ bao gồm các số giá trị của các số liệu mà còn văn bản hành động thực hiện là kết quả của các phép đo theo các mô hình. Ví dụ có thể là yêu cầu rằng một giai đoạn thiết kế nhất định cần phải được lặp đi lặp lại, nếu một số tỷ lệ lỗi đo trong quá trình kiểm tra là bên ngoài một ngưỡng quy định. Trong trường hợp này các tài liệu hướng dẫn nên xem hành động đã được thực hiện, nếu thực sự các ngưỡng không được đáp ứng.

Nếu việc đánh giá được tiến hành song song với sự phát triển của TOE nó có thể chất lượng đo lường đã không được sử dụng trong quá khứ. Trong trường hợp này Người đánh giá nên sử dụng tài liệu của các thủ tục lên kế hoạch để có được sự tự tin tưởng rằng hành động khắc phục được xác định nếu kết quả của chất lượng đo đi chệch khỏi một số ngưỡng quy định.

12.8 Công cụ và kỹ thuật (ALC_TAT)12.8.1 Đánh giá hoạt động con (ALC_TAT.1)

12.8.1.1 Mục tiêuMục tiêu hoạt động con này là để xác định liệu nhà phát triển đã sử dụng công cụ xác định rõ (ví dụ như lập trình ngôn ngữ hoặc các hệ thống thiết kế máy tính hỗ trợ (CAD)) mang lại các kết quả phù hợp và có thể dự đoán.


a) Tài liệu công cụ phát triển;

b) Tập hợp con của đại diện thực hiện.

192

TCVN xxx: 201512.8.1.3 Lưu ý áp dụngCông việc này có thể được thực hiện song song với các hoạt động đánh giá theo đại diện thực hiện (ADV_IMP), đặc biệt liên quan đến việc xác định sử dụng các tính năng trong các công cụ đó sẽ ảnh hưởng đến các mã đối tượng (ví dụ như các tùy chọn biên dịch).

12.8.1.4 Hành động ALC_TAT.1.1ETCVN 8709-3:2011 ALC_TAT.1.1C: Mọi công cụ phát triển sử dụng cho triển khai cần xác định rõ ràng.

12.8.1.4.1 Đơn vị công việc ALC_TAT.1-1Người đánh giá cần kiểm tra các tài liệu hướng dẫn công cụ phát triển được cung cấp để xác định rằng mỗi công cụ phát triển được xác định rõ ràng.

Ví dụ, một ngôn ngữ xác định, trình biên dịch hoặc hệ thống CAD có thể được xem là một trong những phù hợp với một tiêu chuẩn được công nhận, chẳng hạn như các tiêu chuẩn ISO. Một ngôn ngữ cũng được xác định rõ ràng và mô tả đầy đủ cú pháp của nó, và mô tả chi tiết về các ngữ nghĩa của từng thành phần.

TCVN 8709-3:2011 ALC_TAT.1.2C: Tài liệu cho mỗi công cụ phát triển cần định nghĩa rõ ràng ý nghĩa của tất cả các tuyên bố cũng như các quy ước và các chỉ dẫn sử dụng trong triển khai.

12.8.1.4.2 Đơn vị công việc ALC_TAT.1-2Người đánh giá cần kiểm tra các tài liệu của mỗi công cụ phát triển để xác định rõ ràng ý nghĩa của tất cả các báo cáo cũng như tất cả các công ước và quy ước sử dụng trong việc thực hiện.

Các tài liệu công cụ phát triển (ví dụ như đặc tả ngôn ngữ lập trình và hướng dẫn sử dụng) nên bao gồm tất cả các báo cáo được sử dụng trong các đại diện thực hiện TOE, và cho từng tuyên bố nên cung cấp một định nghĩa rõ ràng về mục đích và hiệu quả của tuyên bố đó, công việc này có thể được thực hiện song song với việc kiểm tra của người đánh giá của các đại diện thực được hiện thực hiện trong các hoạt động con ADV_IMP. Kiểm thử then chốt mà người đánh giá nên áp dụng là có hoặc không có tài liệu hướng dẫn đầy đủ rõ ràng để người đánh giá có khả năng hiểu được các đại diện thực hiện. Tài liệu hướng dẫn không nên giả định (ví dụ) rằng người đọc là một chuyên gia trong các ngôn ngữ lập trình được sử dụng.

Tài liệu tham khảo cho các tài liệu tiêu chuẩn sử dụng là một cách tiếp cận có thể chấp nhận để đáp ứng yêu cầu này, các ý kiến cung cấp có sẵn cho người đánh giá. Bất kỳ sự khác biệt so với tiêu chuẩn cần được ghi nhận.

Các kiểm thử quan trọng là liệu người đánh giá có thể hiểu được TOE nguồn khi thực hiện các nguồn đang phân tích bao gồm trong hoạt động con ADV_IMP. Tuy nhiên, danh sách kiểm tra sau đây có thể bổ sung được sử dụng trong tìm kiếm cho khu vực có vấn đề:

a) Trong các định nghĩa ngôn ngữ, cụm từ như "hiệu quả của cấu trúc này là không xác định" và các thuật ngữ như "Thực hiện phụ thuộc " hay "sai lầm" có thể chỉ ra khu vực xác định sai.

b) Ánh xạ (cho phép cùng một phần của bộ nhớ được tham chiếu trong khác nhau cách) là một nguồn thông thường các vấn đề không rõ ràng.

c) Xử lý ngoại lệ (ví dụ như những gì xảy ra sau khi bộ nhớ cạn kiệt, tràn bộ nhớ) thường xác định không rõ ràng.

193

TCVN xxx: 2015

Hầu hết các ngôn ngữ sử dụng phổ biến, tuy nhiên được thiết kế tốt, sẽ có một số cấu trúc có vấn đề. Nếu ngôn ngữ thực hiện chủ yếu được xác định rõ, nhưng một số cấu trúc có vấn đề tồn tại, sau đó một kết luận phải được phân bổ, cấp phát kiểm tra các mã nguồn.

Người đánh giá cần xác minh, trong các kiểm thử mã nguồn, bất kỳ các cấu trúc sử dụng có vấn đề không gây ra các lỗ hổng. Người đánh giá cũng nên đảm bảo rằng thành phần không nằm trong tài liệu tiêu chuẩn không được sử dụng.

Các tài liệu hướng dẫn công cụ phát triển nên xác định tất cả các công ước và quy ước sử dụng trong việc thực hiện.

TCVN 8709-3:2011 ALC_TAT.1.3C: Tài liệu cho mỗi công cụ phát triển cần định nghĩa rõ ràng ý nghĩa của tất cả các tùy chọn phụ thuộc triển khai.

12.8.1.4.3 Đơn vị công việc ALC_TAT.1-3Người đánh giá cần kiểm tra các tài liệu hướng dẫn phát triển công cụ để xác định rằng rõ ràng định nghĩa các ý nghĩa của tất cả các tùy chọn thực hiện phụ thuộc.

Các tài liệu của công cụ phát triển phần mềm cần bao gồm định nghĩa của việc thực hiện phụ thuộc vào tùy chọn mà có thể ảnh hưởng đến ý nghĩa của thực thi mã, và những điều khác với tiêu chuẩn ngôn ngữ như tài liệu. Trường hợp mã nguồn được cung cấp để người đánh giá, thông tin cũng cần được cung cấp thiết lập và tùy chọn kết nối được sử dụng.

Các tài liệu cho thiết kế phần cứng và phát triển các công cụ cần mô tả việc sử dụng tất cả các tùy chọn ảnh hưởng đến đầu ra từ các công cụ (ví dụ như chi tiết thông số kỹ thuật phần cứng, hoặc phần cứng thực tế).

12.8.2 Đánh giá hoạt động con (ALC_TAT.2)

12.8.2.1 Mục tiêuCác mục tiêu hoạt động con này là để xác định liệu nhà phát triển đã sử dụng công cụ phát triển được xác định rõ (ví dụ như lập trình ngôn ngữ hoặc máy tính hỗ trợ thiết kế (CAD) hệ thống) có năng suất phù hợp và dự đoán được kết quả, và thực hiện các tiêu chuẩn đã được áp dụng.


a) tài liệu công cụ phát triển;

b) đặc tả tiêu chuẩn thực hiện;

c) đại diện thực hiện cung cấp của TSF.

12.8.2.3 Lưu ý áp dụngCông việc này có thể được thực hiện song song với việc đánh giá các hoạt động theo ADV_IMP, đặc biệt để xác định các tính năng sử dụng trong các công cụ đó sẽ ảnh hưởng đến mã đối tượng (ví dụ như tùy chọn biên dịch).


194

TCVN xxx: 201512.8.2.4.1 Đơn vị công việc ALC_TAT.2-1Người đánh giá cần kiểm tra các tài liệu hướng dẫn công cụ phát triển được cung cấp để xác định rằng mỗi công cụ phát triển là rõ ràng.

Ví dụ, một ngôn ngữ, biên dịch hoặc hệ thống CAD cũng được xác định có thể được xem là một trong những phù hợp với một tiêu chuẩn được công nhận, chẳng hạn như các tiêu chuẩn ISO. Một ngôn ngữ cũng được xác định rõ ràng và mô tả đầy đủ cú pháp của nó, và mô tả chi tiết về các ngữ nghĩa của từng thành phần.



Các tài liệu công cụ phát triển (ví dụ như lập trình ngôn ngữ và thông số kỹ thuật hướng dẫn sử dụng) nên bao gồm tất cả các báo cáo được sử dụng trong các đại diện thực hiện TOE, và cho từng như công bố nên cung cấp một định nghĩa rõ ràng về mục đích và hiệu quả của tuyên bố đó, công việc này có thể được thực hiện song song với việc kiểm tra của đánh giá của các đại diện thực hiện thực hiện trong các hoạt động con ADV_IMP. Kiểm tra then chốt mà Người đánh giá nên áp dụng là có hoặc không có tài liệu hướng dẫn đủ rõ ràng để đánh giá và có khả năng để hiểu được các đại diện thực hiện. Các tài liệu hướng dẫn không nên giả định (ví dụ) rằng người đọc là một chuyên gia về các chương trình ngôn ngữ sử dụng.

Tài liệu tham khảo cho các tài liệu tiêu chuẩn sử dụng là một cách tiếp cận có thể chấp nhận để đáp ứng yêu cầu này, các ý kiến cung cấp có sẵn cho Người đánh giá. Bất kỳ sự khác biệt so với tiêu chuẩn cần được ghi nhận.

Các kiểm thử quan trọng là liệu người đánh giá có thể hiểu được TOE nguồn khi thực hiện các nguồn đang phân tích bao gồm trong hoạt động con ADV_IMP. Tuy nhiên, danh sách kiểm tra sau đây có thể bổ sung được sử dụng trong tìm kiếm cho khu vực có vấn đề:

a) Trong các định nghĩa ngôn ngữ, cụm từ như "hiệu quả của cấu trúc này là không xác định" và các thuật ngữ như "Thực hiện phụ thuộc " hay "sai lầm" có thể chỉ ra khu vực xác định sai.


c) xử lý ngoại lệ (ví dụ như những gì xảy ra sau khi bộ nhớ cạn kiệt, tràn bộ nhớ) thường xác định không rõ ràng.




195

TCVN xxx: 2015


12.8.2.4.3 Đơn vị công việc ALC_TAT.2-3Người đánh giá cần kiểm tra các phát triển tài liệu hướng dẫn công cụ để xác định rằng nó rõ ràng định nghĩa các ý nghĩa của tất cả các tùy chọn thực hiện phụ thuộc.

Các tài liệu về phát triển phần mềm công cụ cần bao gồm định nghĩa của việc thực hiện phụ thuộc vào tùy chọn mà có thể ảnh hưởng đến ý nghĩa của thực thi mã, và những điều với tiêu chuẩn ngôn ngữ như tài liệu. Trường hợp mã nguồn được cung cấp để Người đánh giá, thông tin cũng cần được cung cấp dựa trên tùy chọn kết nối được sử dụng.

Các tài liệu cho thiết kế phần cứng và phát triển các công cụ cần mô tả việc sử dụng của tất cả các tùy chọn ảnh hưởng đến đầu ra các công cụ (ví dụ như thông số kỹ thuật phần cứng chi tiết, hoặc thực tế phần cứng).

12.8.2.5 Hành động ALC_TAT.2.2E12.8.2.5.1 Đơn vị công việc ALC_TAT.2-4Người đánh giá cần xem xét các khía cạnh của quá trình thực hiện để xác định rằng tài liệu tiêu chuẩn thực hiện đã được áp dụng.

Điều này đòi hỏi các đơn vị công việc phân tích đánh giá việc thực hiện cung cấp đại diện của TOE để xác định xem tài liệu thực hiện các tiêu chuẩn đã được áp dụng.

Người đánh giá cần xác minh rằng cấu trúc loại trừ các tài liệu tiêu chuẩn không được sử dụng.

Ngoài ra, người đánh giá cần xác minh nhà phát triển các thủ tục để đảm bảo việc áp dụng các tiêu chuẩn quy định trong thiết kế và thực hiện quá trình TOE. Do đó, tài liệu bằng chứng nên được bổ sung sự phát triển môi trường. Một chuyến viếng thăm các môi trường phát triển sẽ cho phép Người đánh giá:

a) thực hiện việc áp dụng các quy định tiêu chuẩn;

b) kiểm tra chứng từ áp dụng thủ tục mô tả các sử dụng các tiêu chuẩn quy định;

c) phỏng vấn nhân viên phát triển để kiểm tra nhận thức về việc áp dụng các quy định tiêu chuẩn, thủ tục.

Một cuộc viếng thăm địa điểm phát triển là một phương tiện hữu ích tăng niềm tin vào các thủ tục được sử dụng. Bất kỳ quyết định không thực hiện như vậy nên được xác định với sự tham vấn các cơ quan đánh giá.

Người đánh giá so sánh cung cấp đại diện thực hiện với các mô tả về các ứng dụng thực hiện các tiêu chuẩn và xác minh việc sử dụng chúng.

Tại mức độ này, không yêu cầu cung cấp đầy đủ đại diện thực hiện các TSF dựa trên tiêu chuẩn thực hiện, nhưng chỉ những phần đó được phát triển bởi TOE phát triển. Người đánh giá có thể tham khảo danh sách cấu hình yêu cầu của các phạm vi CM (ALC_CMS) để có được các thông tin trong đó các bộ phận được phát triển bởi TOE phát triển, và đó bởi nhà phát triển bên thứ ba.

196

TCVN xxx: 2015Nếu các tiêu chuẩn thực hiện tham chiếu không được áp dụng cho ít nhất là các bộ phận của cung cấp đại diện thực hiện, Người đánh giá hành động liên quan này đơn vị công việc được chỉ định một phán quyết thất bại.

Lưu ý rằng các phần của TOE mà không phải TSF liên quan không cần phải được kiểm tra. Đơn vị công việc này có thể được thực hiện kết hợp với các hoạt động đánh giá dưới ADV_IMP.

12.8.3 Đánh giá hoạt động con (ALC_TAT.3)

12.8.3.1 Mục tiêuMục tiêu hoạt động con này là để xác định liệu nhà phát triển và các nhà thầu phụ đã sử dụng công cụ phát triển xác định rõ ràng (ví dụ như lập trình ngôn ngữ hoặc thiết kế máy tính hỗ trợ (CAD) hệ thống) mà năng suất nhất quán và kết quả mong đợi, và cho dù các tiêu chuẩn thực hiện đã được áp dụng.


a) tài liệu công cụ phát triển;

b) đặc tả tiêu chuẩn thực hiện;

c) đại diện thực hiện cung cấp của TSF.

12.8.3.3 Lưu ý áp dụngCông việc này có thể được thực hiện song song với việc đánh giá các hoạt động theo ADV_IMP, đặc biệt đối với xác định các tính năng sử dụng trong các công cụ đó sẽ ảnh hưởng đến mã đối tượng (ví dụ như lập các tùy chọn).


12.8.3.4.1 Đơn vị công việc ALC_TAT.3-1Người đánh giá cần kiểm tra các tài liệu hướng dẫn công cụ phát triển được cung cấp để xác định rằng mỗi công cụ phát triển được xác định rõ ràng.

Ví dụ, một ngôn ngữ, biên dịch hoặc hệ thống CAD cũng được xác định có thể được xem là một trong những phù hợp với một tiêu chuẩn được công nhận, chẳng hạn như các tiêu chuẩn ISO. Một ngôn ngữ cũng được xác định rõ ràng và mô tả đầy đủ cú pháp của nó, và mô tả chi tiết về các ngữ nghĩa của từng thành phần.

Ở cấp độ này, các tài liệu của các công cụ phát triển được sử dụng bởi bên đóng góp thứ ba cho TOE có được trong kiểm tra đánh giá.



Các tài liệu công cụ phát triển (ví dụ như lập trình ngôn ngữ và thông số kỹ thuật hướng dẫn sử dụng) nên bao gồm tất cả các báo cáo được sử dụng trong các đại diện thực hiện TOE, và cho từng

197

TCVN xxx: 2015

như công bố nên cung cấp một định nghĩa rõ ràng về mục đích và hiệu quả của tuyên bố đó, công việc này có thể được thực hiện song song với việc kiểm tra của đánh giá của các đại diện thực hiện thực hiện trong các hoạt động con ADV_IMP. Kiểm tra then chốt mà Người đánh giá nên áp dụng là có hoặc không có tài liệu hướng dẫn đủ rõ ràng để đánh giá và có khả năng để hiểu được các đại diện thực hiện. Các tài liệu hướng dẫn không nên giả định (ví dụ) rằng người đọc là một chuyên gia về các chương trình ngôn ngữ sử dụng.

Tài liệu tham khảo cho các tài liệu tiêu chuẩn sử dụng là một cách tiếp cận có thể chấp nhận để đáp ứng yêu cầu này, các ý kiến cung cấp có sẵn cho Người đánh giá. Bất kỳ sự khác biệt so với tiêu chuẩn cần được ghi nhận.

Các kiểm thử quan trọng là liệu Người đánh giá có thể hiểu được TOE nguồn khi thực hiện các nguồn đang phân tích bao gồm trong hoạt động con ADV_IMP. Tuy nhiên, danh sách kiểm tra sau đây có thể bổ sung được sử dụng trong tìm kiếm cho khu vực có vấn đề:

a) Trong các định nghĩa ngôn ngữ, cụm từ như "hiệu quả của cấu trúc này là không xác định" và các thuật ngữ như "Thực hiện phụ thuộc" hay "sai lầm" có thể chỉ ra khu vực xác định sai.


c) xử lý ngoại lệ (ví dụ như những gì xảy ra sau khi bộ nhớ cạn kiệt, tràn bộ nhớ) thường xác định không rõ ràng.




Ở cấp độ này, các tài liệu của các công cụ phát triển được sử dụng bởi bên thứ ba đóng góp cho TOE có được trong kiểm tra của đánh giá.


12.8.3.4.3 Đơn vị công việc ALC_TAT.3-3Người đánh giá cần kiểm tra các tài liệu hướng dẫn công cụ phát triển để xác định rõ ràng ý nghĩa của tất cả các tùy chọn thực hiện phụ thuộc.

Các tài liệu của các công cụ phát triển phần mềm bao gồm định nghĩa về thực hiện phụ thuộc tùy chọn mà có thể ảnh hưởng đến ý nghĩa của các mã thực thi, và những thành phần khác với tiêu chuẩn ngôn ngữ như tài liệu. Trường hợp mã nguồn được cung cấp cho Người đánh giá, thông tin cũng nên được cung cấp tổng hợp và các tùy chọn kết nối được sử dụng.

198

TCVN xxx: 2015Các tài liệu cho thiết kế và phát triển các công cụ phần cứng nên mô tả việc sử dụng của tất cả các tùy chọn ảnh hưởng đến đầu ra từ các công cụ (ví dụ như chi tiết kỹ thuật phần cứng, hoặc phần cứng thực tế).

Ở cấp độ này, các tài liệu hướng dẫn sử dụng công cụ phát triển đáp ứng của bên thứ ba để TOE có được trong kiểm tra đánh giá.

12.8.3.5 Hành động ALC_TAT.3.2E12.8.3.5.1 Đơn vị công việc ALC_TAT.3-4Người đánh giá cần xem xét các khía cạnh của quá trình thực hiện để xác định rằng tài liệu tiêu chuẩn thực hiện đã được áp dụng.

Đơn vị công việc này đòi hỏi phải đánh giá để phân tích các đại diện thực hiện cung cấp của TOE để xác định các tài liệu tiêu chuẩn thực hiện đã được áp dụng.

Người đánh giá cần xác minh cấu trúc loại trừ bởi các tài liệu tiêu chuẩn không được sử dụng.

Ngoài ra, người đánh giá cần xác minh nhà phát triển các thủ tục để đảm bảo việc áp dụng các tiêu chuẩn quy định trong thiết kế và thực hiện quá trình TOE. Do đó, tài liệu bằng chứng nên được bổ sung sự phát triển môi trường. Một chuyến viếng thăm các môi trường phát triển sẽ cho phép Người đánh giá:

a) Thực hiện việc áp dụng các quy định tiêu chuẩn;

b) Kiểm tra chứng từ áp dụng thủ tục mô tả các sử dụng các tiêu chuẩn quy định;

c) phỏng vấn nhân viên phát triển để kiểm tra nhận thức về việc áp dụng các quy định tiêu chuẩn , thủ tục.

Một cuộc viếng thăm địa điểm phát triển là một phương tiện hữu ích tăng niềm tin vào các thủ tục được sử dụng. Bất kỳ quyết định không thực hiện như vậy nên được xác định với sự tham vấn các cơ quan đánh giá.

Người đánh giá so sánh cung cấp đại diện thực hiện với các mô tả về các ứng dụng thực hiện các tiêu chuẩn và xác minh việc sử dụng chúng.

Tại mức độ này, không yêu cầu cung cấp đầy đủ đại diện thực hiện các TSF dựa trên tiêu chuẩn thực hiện, nhưng chỉ những phần đó được phát triển bởi TOE phát triển. Người đánh giá có thể tham khảo danh sách cấu hình yêu cầu của các phạm vi CM (ALC_CMS) để có được các thông tin trong đó các bộ phận được phát triển bởi TOE phát triển, và đó bởi nhà phát triển bên thứ ba.

Nếu các tiêu chuẩn thực hiện tham chiếu không được áp dụng cho ít nhất là các bộ phận của cung cấp đại diện thực hiện, Người đánh giá hành động liên quan này đơn vị công việc được chỉ định một phán quyết thất bại.

Lưu ý rằng các phần của TOE mà không phải TSF liên quan không cần phải được kiểm tra. Đơn vị công việc này có thể được thực hiện kết hợp với các hoạt động đánh giá dưới ADV_IMP.

13 Lớp ATE: Kiểm thử13.1 Giới thiệuMục đích của hoạt động này là để xác định xem các đáp ứng của TOE như mô tả trong ST và theo quy định tại các bằng chứng đánh giá (được mô tả trong lớp ADV). Xác định này được thực hiện thông qua một số sự kết hợp của nhà phát triển về kiểm thử chức năng của TSF (kiểm thử chức năng

199

TCVN xxx: 2015

(ATE_FUN)) và kiểm thử độc lập TSF bởi người đánh giá (kiểm thử độc lập (ATE_IND)). Ở mức thấp nhất đảm bảo, không có yêu cầu cho sự tham của nhà gia phát triển, vì vậy việc kiểm thử chỉ được tiến hành bởi những người đánh giá, sử dụng các thông tin sẵn có hạn chế về TOE. Đảm bảo bổ sung được tăng thêm khi nhà phát triển tham gia cả trong kiểm thử và cung cấp thêm thông tin về các TOE, và là người đánh giá gia tăng các hoạt động kiểm thử độc lập.

13.2 Các lưu ý áp dụngKiểm thử của TSF được thực hiện bởi người đánh giá và trong hầu hết các trườnghợp là bởi nhà phát triển. Nỗ lực kiểm thử của người đánh giá bao gồm không chỉ tạo ra và thực hiện kiểm thử ban đầu, mà cũng đánh giá sự phù hợp của kiểm thử của nhà phát triển và thực hiện lại một tập hợp con của chúng.

Người đánh giá phân tích kiểm tra của nhà phát triển để xác định phạm vi mà chúng đủ để chứng minh rằng TSFI (xem đặc tả chức năng (ADV_FSP)) thực hiện theo quy định và để hiểu phương pháp kiểm thử của nhà phát triển. Tương tự như vậy, người đánh giá phân tích kiểm thử của nhà phát triển để xác định phạm vi mà chúng đủ để chứng minh các đáp ứng và thuộc tính nội tại của TSF.

Người đánh giá cũng thực hiện một tập hợp các kiểm thử của nhà phát triển như tài liệu để có được sự tin tưởng trong kết quả kiểm thử của nhà phát triển: Người đánh giá cần sử dụng kết quả của phân tích này làm đầu vào để kiểm thử độc lập một tập con của TSF. Đối với tập con này, người đánh giá thực hiện một phương pháp kiểm thử khác so với nhà phát triển, đặc biệt là nếu kiểm thử của nhà phát triển có thiếu sót.

Để xác định sự phù hợp của tài liệu hướng dẫn kiểm thử của nhà phát triển hoặc để tạo ra các kiểm thử mới, người đánh giá cần hiểu được các đáp ứng dự kiến mong muốn của TSF, cả về nội tại và như đã thấy TSFI, trong phạm vi của SFR để đáp ứng. Người đánh giá có thể chọn để chia TSF và TSFI thành các tập con theo các vùng chức năng của ST (phân hệ kiểm tra, kiểm tra liên quan đến TSFI, mô đun xác thực, xác thực liên quan đến TSFI, vv) nếu chúng không được phân chia trong ST, và tập trung vào một tập con của TSF và TSFI tại một thời điểm, kiểm tra các yêu cầu ngắn và các bộ phận liên quan của các tài liệu phát triển và hướng dẫn để có được hiểu biết về các đáp ứng dự kiến của TOE. Sự tin tưởng vào tài liệu phát triển nhấn mạnh sự cần thiết phải phụ thuộc vào ADV bởi độ bao phủ (ATE_COV) và năng lực (ATE_DPT).

TCVN 8709:2011 đã tách vùng phủ và năng lực từ kiểm thử chức năng để tăng tính mềm dẻo khi áp dụng các thành phần của các họ. Tuy nhiên, các yêu cầu của các họ đang dự định sẽ được áp dụng với nhau để xác nhận rằng TSF hoạt động theo đặc tả của nó. Kết hợp chặt chẽ này của các họ đã dẫn một số trùng lặp của các đơn vị công việc đánh giá qua các hoạt động con. Các lưu ý áp dụng này được sử dụng để giảm thiểu sự trùng lặp của văn bản giữa các hoạt động con.

13.2.1 Tìm hiểu đáp ứng dự kiến TOETrước khi tính đầy đủ của tài liệu kiểm thử có thể được đánh giá một cách chính xác, hoặc trước khi kiểm thử mới có thể được tạo ra, người đánh giá có hiểu các đáp ứng dự kiến mong muốn của một chức năng an toàn trong phạm vi của yêu cầu được đáp ứng.

Như đã đề cập trước đó, người đánh giá có thể lựa chọn tập con các kiểm thử TSF và TSFI tuân theo SFR (kiểm tra, xác thực, vv) trong ST và tập trung vào một tạp con tại một thời điểm. Người đánh giá kiểm tra từng yêu cầu ST, các bộ phận đặc tả chức năng có liên quan và tài liệu hướng dẫn để đạt được một sự hiểu biết về các đáp ứng dự kiến của TSFI liên quan. Tương tự như vậy, người đánh giá kiểm tra các bộ phận liên quan của thiết kế TOE và tài liệu kiến trúc an toàn để có được một hiểu biết về các đáp ứng dự kiến của các mô đun hoặc các phân hệ có liên quan của TSF.

200

TCVN xxx: 2015Với hiểu biết về các đáp ứng dự kiến, người đánh giá kiểm tra các kế hoạch kiểm thử để đạt được một hiểu biết về các phương pháp kiểm thử. Trong hầu hết các trường hợp, phương pháp kiểm thử sẽ kéo theo một TSFI bị kích thích và quan sát đáp ứng của nó. Chức năng bên ngoài có thể nhìn thấy có thể được kiểm tra trực tiếp; Tuy nhiên, trong trường hợp chức năng là không nhìn thấy được bên ngoài TOE (ví dụ, kiểm thử các chức năng bảo vệ thông tin còn lại), các phương tiện khác sẽ cần phải được sử dụng.

13.2.2 Kiểm thử so với các phương pháp thay thế để xác minh đáp ứng dự kiến của các chức năngTrong trường hợp là không thực tế hoặc không đầy đủ để kiểm thử chức năng cụ thể (nơi mà không cung cấp khả năng có thể nhìn thấy từ bên ngoài TSFI), kế hoạch kiểm thử cần xác định phương pháp thay thế để xác minh các đáp ứng dự kiến. Đây là trách nhiệm của người đánh giá để xác định sự phù hợp của phương pháp thay thế. Tuy nhiên, các điều sau đây nên được xem xét khi đánh giá sự phù hợp của các phương pháp thay thế:

a) Phân tích các mô tả thực hiện để xác định rằng các đáp ứng cần thiết phải đưa ra bởi TOE là một phương pháp thay thế chấp nhận được. Điều này có thể có nghĩa là một mã kiểm tra cho một TOE phần mềm hoặc có thể kiểm tra mặt nạ chip cho một TOE phần cứng.

b) Có thể chấp nhận được để sử dụng bằng chứng của tích hợp phát triển hoặc kiểm tra mô-đun, ngay cả khi tuyên bố bảo đảm yêu cầu không bao gồm các mô tả mức sẵn có mức thấp hơn của các mô-đun TOE (ví dụ như đánh giá hoạt động con (ADV_TDS.3)) hoặc thực hiện (mô tả thực hiện (ADV_IMP)). Nếu bằng chứng về tích hợp phát triển hoặc kiểm thử mô-đun được sử dụng trong việc xác minh các đáp ứng dự kiến của một chức năng an toàn, chăm sóc nên được đưa ra để xác nhận rằng các bằng chứng kiểm tra phản ánh việc thực hiện hiện tại của TOE. Nếu các phân hệ hoặc mô-đun đã được thay đổi kể từ khi kiểm thử xảy ra, bằng chứng cho thấy thay đổi được theo dõi và giải quyết bằng cách phân tích hoặc kiểm thử tiếp sẽ được yêu cầu.

Cần nhấn mạnh rằng, bổ sung các nỗ lực kiểm thử với các phương pháp thay thế chỉ nên được thực hiện khi cả nhà phát triển và người đánh giá xác định rằng không có cách thức thực tế nào khác để kiểm thử các đáp ứng dự kiến.

13.2.3 Xác minh tính đầy đủ của các kiểm thửKiểm tra điều kiện ban đầu là cần thiết để thiết lập các điều kiện ban đầu cần thiết cho việc kiểm thử. Chúng có thể được thể hiện bằng các thông số cần phải được thiết lập hoặc trong điều kiện kiểm tra đặt trước khi hoàn thành của một kiểm thử thiết lập các điều kiện tiên quyết cần thiết cho kiểm tra khác. Người đánh giá cần xác định rằng điều kiện tiên quyết là đầy đủ và phù hợp trong đó họ sẽ không thiên vị các kết quả kiểm thử quan sát về phía kết quả kiểm thử dự kiến.

Các bước kiểm tra và kết quả dự kiến sẽ quy định các hành động và các thông số được áp dụng cho các TSFI cũng như làm thế nào các kết quả dự kiến cần được xác minh và những gì họ đang có. Người đánh giá cần xác định rằng các bước kiểm tra và kết quả dự kiến phù hợp với mô tả của các TSFI trong đặc tả chức năng. Điều này có nghĩa là mỗi đặc điểm của đáp ứng TSFI được mô tả một cách rõ ràng trong đặc tả chức năng nên có kiểm tra và kết quả dự kiến để xác minh các đáp ứng đó.

Mục đích chung của hoạt động kiểm thử này là để xác định rằng từng phân hệ, mô-đun và TSFI đã được kiểm tra đầy đủ chống lại những tuyên bố đáp ứng trong đặc tả chức năng, thiết kế TOE, và mô tả kiến trúc. Ở mức đảm bảo cao hơn, kiểm thử cũng bao gồm các giới hạn kiểm tra và kiểm tra phủ nhận. Thủ tục kiểm tra sẽ cung cấp cái nhìn sâu sắc về các TSFI, các mô-đun, và các phân hệ đã được thực hiện như thế nào bởi nhà phát triển trong quá trình kiểm thử. Người đánh giá sử dụng thông tin này khi phát triển các kiểm thử bổ sung để kiểm thử độc lập TSF.

201

TCVN xxx: 2015

13.3 Phạm vi (ATE_COV)13.3.1 Đánh giá hoạt động con (ATE_COV.1)

13.3.1.1 Mục tiêuMục tiêu của hoạt động con này là để xác định xem nhà phát triển đã kiểm thử TSFIs, và rằng bằng chứng phạm vi kiểm thử của nhà phát triển cho thấy sự tương ứng giữa các kiểm thử được xác định trong các tài liệu kiểm thử và các TSFI được mô tả trong đặc tả chức năng.

13.3.1.2 Đầu vàoBằng chứng đánh giá cho các hoạt động con này là:

a) ST;


c) Tài liệu kiểm thử;

d) Bằng chứng phạm vi kiểm thử.

13.3.1.3 Các lưu ý áp dụngCác phân tích phạm vi được cung cấp bởi nhà phát triển là cần thiết để cho thấy sự tương ứng giữa các kiểm thử cung cấp như bằng chứng đánh giá và đặc tả chức năng. Tuy nhiên, các phân tích phạm vi không cần chứng minh rằng tất cả các TSFI đã được kiểm tra, hoặc là tất cả các giao diện bên ngoài có thể nhìn thấy của TOE đã kiểm tra. Thiếu sót như vậy được xem xét bởi người đánh giá trong quá trình kiểm thử độc lập hoạt động con (đánh giá của hoạt động con (ATE_IND.2)).

13.3.1.4 Hành động ATE_COV.1.1ETCVN 8709-3:2011 ATE_COV.1.1C: Bằng chứng của phạm vi kiểm thử cần chỉ ra sự tương ứng giữa các kiểm thử trong tài liệu kiểm thử và các TSFI trong đặc tả chức năng.

13.3.1.4.1 Đơn vị công việc ATE_COV.1-1Người đánh giá cần xem xét các bằng chứng phạm vi kiểm thử để xác định sự tương ứng giữa các kiểm thử xác định trong tài liệu hướng dẫn kiểm tra và các TSFI được mô tả trong đặc tả chức năng là chính xác.

Sự tương ứng có thể dưới dạng bảng hoặc ma trận. Bằng chứng phạm vi cần thiết cho thành phần này sẽ tiết lộ mức độ bao gồm, chứ không phải là để cho thấy phạm vi đầy đủ. Trong trường hợp phạm vi được hiển thị là kém, Người đánh giá nên tăng mức độ kiểm tra độc lập để bù đắp.

13.3.2 Đánh giá hoạt động con (ATE_COV.2)

13.3.2.1 Mục tiêuMục tiêu của hoạt động con này là để xác định xem nhà phát triển đã kiểm tra tất cả các TSFIs, và bằng chứng phạm vi kiểm thử của nhà phát triển cho thấy sự tương ứng giữa các kiểm thử được xác định trong các tài liệu kiểm thử và các TSFIs được mô tả trong đặc tả chức năng.

13.3.2.2 Đầu vàoa) ST;


202

TCVN xxx: 2015c) Tài liệu kiểm thử;

d) Phân tích phạm vi kiểm thử.

13.3.2.3 Hành động ATE_COV.2.1ETCVN 8709-3:2011 ATE_COV.2.1C: Phân tích phạm vi kiểm thử cần chứng minh sự tương ứng giữa các kiểm thử trong tài liệu kiểm thử và các TSFI trong đặc tả chức năng.

13.3.2.3.1 Đơn vị công việc ATE_COV.2-1Người đánh giá cần kiểm tra phân tích phạm vi kiểm thử để xác định sự tương ứng giữa các kiểm thử trong tài liệu kiểm thử và các giao diện trong đặc tả chức năng là chính xác.

Một bảng chéo đơn giản có thể là đủ để chỉ ra sừ tương ứng kiểm thử. Việc xác định các kiểm thử và giao diện được trình bày trong phân tích phạm vi kiểm thử cần phải tường minh.

Người đánh giá chú ý rằng điều này không có nghĩa là tất cả các kiểm thử trong tài liệu hướng dẫn kiểm tra phải ánh xạ đến giao diện trong đặc tả chức năng.

13.3.2.3.2 Đơn vị công việc ATE_COV.2-2Người đánh giá cần kiểm tra kế hoạch kiểm thử để xác định rằng phương pháp kiểm thử cho mỗi giao diện chứng minh các đáp ứng dự kiến của giao diện đó.

Hướng dẫn đơn vị công việc này có thể được tìm thấy trong:

a) 10.2.1, Hiểu biết về các đáp ứng dự kiến của TOE

b) 10.2.2, Kiểm tra so với các phương pháp thay thế để xác minh đáp ứng dự kiến của các chức năng

13.3.2.3.3 Đơn vị công việc ATE_COV.2-3Người đánh giá cần kiểm tra các thủ tục kiểm thử để xác định rằng điều kiện tiên quyết kiểm thử, các bước kiểm thử và các kết quả dự kiến là đầy đủ để kiểm thử từng giao diện.

Hướng dẫn các đơn vị làm việc này, vì nó gắn liền với các đặc tả chức năng, có thể được tìm thấy trong:

a) 10.2.3, Kiểm tra tính đầy đủ của các kiểm thử

TCVN 8709-3:2011 ATE_COV.2.2C: Phân tích phạm vi kiểm thử cần minh chứng rằng tất cả các TSFI trong đặc tả chức năng đã được kiểm thử.

13.3.2.3.4 Đơn vị công việc ATE_COV.2-4Người đánh giá cần kiểm tra phân tích phạm vi kiểm thử để xác định sự tương ứng giữa các giao diện trong đặc tả chức năng và các kiểm thử trong tài liệu kiểm thử hoàn thành.

Tất cả TSFIs được mô tả trong các đặc tả chức năng phải được trình bày trong phân tích phạm vi kiểm thử và được ánh xạ tới kiểm thử đầy đủ được tuyên bố, mặc dù kiểm thử toàn diện đặc tả của giao diện là không cần thiết. Phạm vi không đầy đủ sẽ rõ ràng nếu một giao diện đã được xác định trong đặc tả chức năng và không có kiểm thử được ánh xạ tới nó.

Người đánh giá chú ý rằng điều này không có nghĩa là tất cả các kiểm thử trong tài liệu hướng dẫn kiểm thử phải ánh xạ đến giao diện trong đặc tả chức năng.

13.3.3 Đánh giá hoạt động con (ATE_COV.3)Không có hướng dẫn chung; chương trình này nên được tư vấn để hướng dẫn hoạt động con này.

203

TCVN xxx: 2015

13.4 Năng lực/Độ sâu (ATE_DPT)13.4.1 Đánh giá hoạt động con (ATE_DPT.1)

13.4.1.1 Mục tiêuMục tiêu của hoạt động con này là để xác định xem nhà phát triển đã kiểm tra các phân hệ TSF so với thiết kế TOE và mô tả kiến trúc an toàn.





e) Tài liệu kiểm thử;

f) Năng lực của phân tích kiểm thử.

13.4.1.3 Hành động ATE_DPT.1.1ETCVN 8709-3:2011 ATE_DPT.1.1C: Phân tích năng lực của kiểm thử cần xác định rằng việc mô tả các đáp ứng của các phân hệ TSF và các tương tác của chúng bao gồm trong tài liệu kiểm thử.

13.4.1.3.1 Đơn vị công việc ATE_DPT.1-1Người đánh giá cần kiểm tra năng lực của phân tích kiểm thử để xác định rằng các mô tả về đáp ứng TSF của hệ thống con và các tương tác của chúng được bao gồm trong các tài liệu kiểm thử.

Đơn vị công việc này xác minh nội dung tương ứng giữa các kiểm thử và các mô tả trong thiết kế TOE. Trong trường hợp các mô tả về tính hợp lý về kiến trúc của TSF (trong kiến trúc an toàn (ADV_ARC)) trích dẫn các đáp ứng cụ thể, đơn vị công việc này cũng xác minh sự tương ứng giữa các kiểm thử và mô tả về đáp ứng của đáp ứng đó.

Một bảng tham chiếu chéo đơn giản có thể là đủ để mô tả kiểm tra tương ứng. Việc xác định các kiểm thử và đáp ứng/tương tác thể hiện trong năng lực phân tích phạm vi phải tường minh.

Người đánh giá chú ý rằng không phải tất cả các kiểm thử trong tài liệu hướng dẫn kiểm tra phải ánh xạ đến một đáp ứng phân hệ hoặc mô tả tương tác.

13.4.1.3.2 Đơn vị công việc ATE_DPT.1-2Người đánh giá cần kiểm tra kế hoạch kiểm thử, điều kiện tiên quyết kiểm thử, các bước kiểm tra và các kết quả dự kiến để xác định rằng phương pháp kiểm thử cho mô tả đáp ứng chứng minh đáp ứng của các phân hệ đó như được mô tả trong thiết kế TOE.




Nếu giao diện phân hệ TSF được mô tả, đáp ứng của các phân hệ có thể kiểm thử trực tiếp từ các giao diện đó. Nếu không, đáp ứng của các phân hệ được kiểm thử từ các giao diện TSFI. Hoặc sự 204

TCVN xxx: 2015kết hợp của cả hai có thể được sử dụng. Với chiến lược được sử dụng, người đánh giá cần xem xét nó phù hợp để kiểm thử đầy đủ các đáp ứng được mô tả trong thiết kế TOE.

13.4.1.3.3 Đơn vị công việc ATE_DPT.1-3Người đánh giá cần xem xét kế hoạch kiểm thử, điều kiện tiên quyết kiểm tra, bước kiểm tra và kết quả dự kiến để xác định rằng phương pháp kiểm thử cho mô tả đáp ứng chứng minh sự tương tác giữa các phân hệ như được mô tả trong thiết kế TOE.

Trong khi các đơn vị công việc trước đó đề cập đến đáp ứng của các phân hệ, đơn vị công việc này đề cập đến sự tương tác giữa các phân hệ.




Nếu giao diện phân hệ TSF được mô tả, sự tương tác với hệ thống con khác có thể kiểm thử trực tiếp từ các giao diện đó. Nếu không, sự tương tác giữa các phân hệ phải được suy luận từ các giao diện TSFI. Với chiến lược được sử dụng, người đánh giá cần xem xét sự phù hợp của nó để kiểm thử đầy đủ các tương tác giữa các phân hệ được mô tả trong thiết kế TOE.

TCVN 8709-3:2011 ATE_DPT.1.2C: Phân tích năng lực của kiểm thử phải chứng minh rằng tất cả các phân hệ trong thiết kế TOE đã được kiểm thử.

13.4.1.3.4 Đơn vị công việc ATE_DPT.1-4Người đánh giá cần kiểm tra các thủ tục kiểm tra để xác định rằng tất cả các mô tả đáp ứng của phan hệ TSF và tương tác được kiểm tra.

Đơn vị công việc này đã xác minh tính đầy đủ của đơn vị công việc ATE_DPT.1-1. Mọi sự mô tả đáp ứng của phân hệ TSF và tương tác giữa các phân hệ TSF được cung cấp trong thiết kế TOE phải được kiểm thử.

Năng lực kiểm thử chưa đầy đủ sẽ thấy rõ ràng nếu một mô tả về đáp ứng phân hệ TSF hoặc tương tác giữa các phân hệ TSF đã được xác định trong thiết kế TOE và không có kiểm tra có thể thực hiện.

Người đánh giá chú ý rằng điều này không có nghĩa là tất cả các kiểm thử trong tài liệu hướng dẫn kiểm tra phải ánh xạ đến giao diện phân hệ trong thiết kế TOE.

13.4.2 Đánh giá hoạt động con (ATE_DPT.2)

13.4.2.1 Mục tiêuMục tiêu của hoạt động con này là để xác định xem nhà phát triển đã kiểm tra tất cả các phân hệ TSF và các mô-đun SFR-thực thi với thiết kế TOE và mô tả kiến trúc an toàn hay không.





205

TCVN xxx: 2015


f) Năng lực của phân tích kiểm thử.

13.4.2.3 Hành động ATE_DPT.2.1ETCVN 8709-3:2011 ATE_DPT.2.1C: Phân tích năng lực kiểm thử cấn chứng minh sự tương ứng giữa các kiểm thử trong tài liệu kiểm thử và các phân hệ TSF và các mô đun thực thi SFR trong thiết kế TOE.

13.4.2.3.1 Đơn vị công việc ATE_DPT.2-1Người đánh giá cần kiểm tra năng lực của phân tích kiểm thử để xác định mô tả đáp ứng của phân hệ TSF và các tương tác của chug được bao gồm trong tài liệu hướng dẫn kiểm thử.

Đơn vị công việc này xác minh nội dung của sự tương ứng giữa kiểm thử và các mô tả trong thiết kế TOE. Trong trường hợp các mô tả về tính hợp lý kiến trúc của TSF (trong kiến trúc an toàn (ADV_ARC)) trích dẫn các đáp ứng cụ thể, đơn vị công việc này cũng xác minh sự tương ứng giữa các kiểm thử và các mô tả về đáp ứng của đáp ứng đó.

Một bảng tham chiếu chéo đơn giản có thể là đủ để hiển thị kiểm tra tương ứng. Việc xác định các kiểm thử và đáp ứng/tương tác thể hiện trong năng lực của phân tích phạm vi phải là tường minh.

Người đánh giá chú ý rằng không phải tất cả các kiểm thử trong tài liệu hướng dẫn kiểm tra phải ánh xạ cho một đáp ứng phân hệ hoặc mô tả tương tác.

13.4.2.3.2 Đơn vị công việc ATE_DPT.2-2Người đánh giá cần kiểm tra kế hoạch kiểm thử, điều kiện tiên quyết kiểm thử, các bước kiểm thử và các kết quả dự kiến để xác định rằng phương pháp kiểm thử cho mô tả hành vi chứng minh các đáp ứng của phân hệ đó được mô tả trong thiết kế TOE.




Nếu giao diện hệ thống con TSF được mô tả, đáp ứng của các hệ thống con có thể kiểm tra trực tiếp từ các giao diện đó. Nếu không, đáp ứng của các hệ thống con được kiểm tra từ các giao diện TSFI. Hoặc sự kết hợp của cả hai có thể được sử dụng. Dù cách thức nào được sử dụng, người đánh giá cần xem xét nó phù hợp để kiểm tra đầy đủ các đáp ứng được mô tả trong thiết kế TOE.

13.4.2.3.3 Đơn vị công việc ATE_DPT.2-3Người đánh giá cần kiểm tra kế hoạch kiểm thử, điều kiện tiên quyết kiểm tra, các bước kiểm thử và các kết quả dự kiến để xác định rằng phương pháp kiểm thử cho mô tả đáp ứng chứng minh sự tương tác giữa các phân hệ như được mô tả trong thiết kế TOE.

Trong khi các đơn vị công việc trước đó đề cập đến đáp ứng của các phân hệ, đơn vị công việc này đề cập đến sự tương tác giữa các phân hệ.



206

TCVN xxx: 2015b) 10.2.2, Kiểm tra so với các phương pháp thay thế để xác minh đáp ứng dự kiến của các chức năng

Nếu giao diện phân hệ TSF được mô tả, sự tương tác với phân hệ khác có thể kiểm thử trực tiếp từ các giao diện đó. Nếu không, sự tương tác giữa các phân hệ phải được suy ra từ các giao diện TSFI. Dù phương thức nào được sử dụng, người đánh giá cần xem xét sự phù hợp của nó để kiểm thử đầy đủ các tương tác giữa các phân hệ được mô tả trong thiết kế TOE.

13.4.2.3.4 Đơn vị công việc ATE_DPT.2-4Người đánh giá cần kiểm tra năng lực của phân tích kiểm thử để xác định rằng giao diện của SFR-thực thi mô-đun được bao gồm trong tài liệu kiểm thử.

Đơn vị công việc này xác minh nội dung tương ứng giữa các kiểm thử và các mô tả trong thiết kế TOE. Trong trường hợp các mô tả về tính hợp lý kiến trúc của TSF (trong kiến trúc an toàn (ADV_ARC)) trích dẫn các cơ chế cụ thể ở mức phổ biến, đơn vị công việc này cũng xác minh sự tương ứng giữa kiểm thử và các mô tả về đáp ứng của các cơ chế này.

Một bảng tham chiếu chéo đơn giản có thể đủ để hiển thị kiểm tra tương ứng. Việc xác định các kiểm thử và đáp ứng/tương tác thể hiện trong năng lực của phân tích phạm vi phải là tường minh.

Người đánh giá chú ý rằng không phải tất cả các kiểm thử trong tài liệu hướng dẫn kiểm thử phải ánh xạ cho một đáp ứng phân hệ hoặc mô tả tương tác.

13.4.2.3.5 Đơn vị công việc ATE_DPT.2-5Người đánh giá cần kiểm kế hoạch kiểm thử, điều kiện tiên quyết kiểm thử, các bước kiểm thử và các kết quả dự kiến để xác định rằng phương pháp kiểm thử cho mỗi giao diện mô-đun SFR-thực thi chứng minh đáp ứng dự kiến của giao diện đó.

Trong khi địa chỉ đơn vị công việc ATE_DPT.2-1 giải quyết đáp ứng dự kiến của các phân hệ, đơn vị công việc này giải quyết đáp ứng dự kiến của các giao diện mô-đun SFR-thực thi được bao gồm bởi ATE_DPT.2-4.




Kiểm thử một giao diện có thể được thực hiện trực tiếp tại giao diện đó, hoặc tại các giao diện bên ngoài, hoặc kết hợp của cả hai. Dù cách thức nào được sử dụng, người đánh giá cần xem xét sự phù hợp của nó cho đầy đủ kiểm thử các giao diện. Cụ thể, người đánh giá xác định liệu kiểm thử tại các giao diện nội bộ cần thiết hay các giao diện nội bộ có thể được kiểm thử đầy đủ (mặc dù ngầm) bằng cách thực hiện các giao diện bên ngoài. Việc xác định này là trái với các người đánh giá, như là biện minh của nó.

TCVN 8709-3:2011 ATE_DPT.2.2C: Phân tích năng lực của kiểm thử đã tiến hành cần chứng minh rằng tất cáccác phân hệ TSF trong thiết kế TOE đã được kiểm thử.

13.4.2.3.6 Đơn vị công việc ATE_DPT.2-6Người đánh giá cần kiểm tra các thủ tục kiểm thử để xác định rằng tất cả các mô tả đáp ứng của phân hệ TSF và tương tác được kiểm tra.

207

TCVN xxx: 2015

Đơn vị công việc này xác minh tính đầy đủ của đơn vị công việc ATE_DPT.2-1. Mọi sự mô tả đáp ứng của phân hệ TSF và tương tác giữa các phân hệ TSF được cung cấp trong thiết kế TOE phải được kiểm tra.

Năng lực chưa đầy đủ của kiểm thử sẽ là rõ ràng nếu một mô tả về đáp ứng phân hệ TSF hoặc tương tác giữa các phân hệ TSF đã được xác định trong thiết kế TOE và không có kiểm tra có thể được áp dụng cho nó.

Người đánh giá chú ý rằng điều này không có nghĩa là tất cả các kiểm thử trong tài liệu hướng dẫn kiểm tra phải ánh xạ đến giao diện phân hệ trong thiết kế TOE.

TCVN 8709-3:2011 ATE_DPT.2.3C: Phân tích năng lực của kiểm thử cần cần chứng minh rằng các modul thực thi SFR trong thiết kế TOE đã được kiểm thử.

13.4.2.3.7 Đơn vị công việc ATE_DPT.2-7Người đánh giá cần kiểm tra các thủ tục kiểm thử để xác định rằng tất cả các giao diện của mô-đun SFR-thực thi đã được kiểm tra.

Đơn vị công việc này xác minh tính đầy đủ của đơn vị công việc ATE_DPT.2-4. Tất cả giao diện của mô-đun SFR-thực thi được cung cấp trong thiết kế TOE phải được kiểm tra. Năng lực chưa đầy đủ của kiểm thử sẽ là rõ ràng nếu có giao diện của bất kỳ Mô-đun SFR-thực thi đã được xác định trong thiết kế TOE và không có kiểm thử có thể được áp dụng cho nó.

Người đánh giá chú ý rằng điều này không có nghĩa là tất cả các kiểm thử trong tài liệu hướng dẫn kiểm thử phải ánh xạ tới một giao diện của một mô-đun SFR-thực thi trong thiết kế TOE.

13.4.3 Đánh giá hoạt động con (ATE_DPT.3)

13.4.3.1 Mục tiêuMục tiêu của hoạt động con này là để xác định xem nhà phát triển đã kiểm thử tất cả các phân hệ TSF và các mô-đun với thiết kế TOE và mô tả kiến trúc an toàn hay không.






f) Năng lực của phân tích kiểm thử .

13.4.3.3 Hành động ATE_DPT.3.1ETCVN 8709-3:2011 ATE_DPT.3.1C: Phân tích năng lực kiểm thử cấn chứng minh sự tương ứng giữa các kiểm thử trong tài liệu kiểm thử và các phân hệ TSF và các modul trong thiết kế TOE.

13.4.3.3.1 Đơn vị công việc ATE_DPT.3-1Người đánh giá cần kiểm tra năng lực của phân tích kiểm thử để xác định rằng mô tả các đáp ứng của phân hệ TSF và các tương tác của chúng được bao gồm trong các tài liệu kiểm thử.208

TCVN xxx: 2015Đơn vị công việc này xác minh các nội dung tương ứng giữa các kiểm thử và các mô tả trong thiết kế TOE. Một bảng tham chiếu chéo đơn giản đủ để chỉ ra kiểm tra tương ứng. Các xác định các kiểm thử và đáp ứng/tương tác được trình bày trong năng lực phân tích phạm vi phải tường minh.

Người đánh giá chú ý rằngkhông phải tất cả các kiểm thử trong tài liệu hướng dẫn kiểm tra phải ánh xạ tới một đáp ứng phân hệ hoặc mô tả tương tác.

13.4.3.3.2 Đơn vị công việc ATE_DPT.3-2Người đánh giá cần kiểm tra kế hoạch kiểm thử, điều kiện tiên quyết kiểm thử, các bước kiểm thử và các kết quả dự kiến để xác định rằng phương pháp kiểm thử cho các mô tả đáp ứng chứng minh đáp ứng của các phân hệ như được mô tả trong Thiết kế TOE.

Hướng dẫn về đơn vị công việc này có thể được tìm thấy trong:


b) 10.2.2, Kiểm tra so với thay thế các phương pháp để xác minh đáp ứng dự kiến của các chức năng

Nếu giao diện phân hệ TSF được cung cấp, các đáp ứng của các phân hệ có thể được thực hiện trực tiếp từ những giao diện đó. Nếu không, đáp ứng của các phân hệ được kiểm thử từ các giao diện TSFI. Hoặc kết hợp của cả hai có thể được sử dụng. Cho dù sử dụng chiến lược nào, người đánh giá cần xem xét sự thích hợp của các đáp ứng kiểm thử đầy đủ như mô tả trong thiết kết TOE.

13.4.3.3.3 Đơn vị công việc ATE_DPT.3-3Người đánh giá cần kiểm tra kế hoạch kiểm thử, điều kiện tiên quyết kiểm thử, các bước kiểm thử và các kết quả dự kiến để xác định rằng các cách tiếp cận kiểm thử cho các mô tả đáp ứng chứng minh sự tương tác giữa các phân hệ như được mô tả trong thiết kế TOE.



b) 10.2.2, Kiểm tra so với thay thế các phương pháp để xác minh đáp ứng dự kiến của các chức năng

Trong khi các đơn vị công việc trước đó đề cập đến đáp ứng của các phân hệ, đơn vị công việc này giải quyết các tương tác giữa các phân hệ.

Nếu giao diện phân hệ TSF được cung cấp, sự tương tác với các phân hệ có thể được thực hiện trực tiếp từ những giao diện đó. Nếu không, các tương tác giữa các phân hệ phải được suy ra từ các giao diện TSFI. Cho dù sử dụng chiến lược nào, người đánh giá cần xem xét sự thích hợp của các đáp ứng kiểm thử đầy đủ như mô tả trong thiết kết TOE..

13.4.3.3.4 Đơn vị công việc ATE_DPT.3-4Người đánh giá cần kiểm tra năng lực của phân tích kiểm thử để xác định rằng các giao diện của mô-đun TSF bao gồm trong trong tài liệu kiểm thử.

Đơn vị công việc này xác minh các nội dung tương ứng giữa kiểm thử và các mô tả trong thiết kế TOE. Một bảng tham chiếu chéo đơn giản đủ để chỉ ra kiểm tra tương ứng. Việc xác định các kiểm thử và đáp ứng/tương trình bày trong năng lực phân tích phạm vi phải là tường minh.

Người đánh giá chú ý rằng không phải tất cả các kiểm thử trong tài liệu hướng dẫn kiểm tra phải ánh xạ tới một đáp ứng phân hệ hoặc mô tả tương tác.

13.4.3.3.5 Đơn vị công việc ATE_DPT.3-5

209

TCVN xxx: 2015

Người đánh giá cần kiểm tra kế hoạch kiểm thử, điều kiện tiên quyết kiểm thử, các bước kiểm thử và các kết quả dự kiến để xác định rằng các phương pháp kiểm thử cho mỗi giao diện mô-đun TSF chứng minh các đáp ứng dự kiến của giao diện đó.




Kiểm thử một giao diện có thể được thực hiện trực tiếp tại giao diện, hoặc tại các giao diện bên ngoài, hoặc kết hợp của cả hai. Dù chiến lược được sử dụng, người đánh giá cần xem xét nó phù hợp đầy đủ cho kiểm thử các giao diện. Cụ thể, người đánh giá xác định liệu kiểm thử tại giao diện nội bộ là cần thiết hay các giao diện nội bộ có thể được kiểm tra đầy đủ (mặc dù ngầm) bởi việc thực hiện tại giao diện bên ngoài. Việc xác định này là trái với các người đánh giá, như là biện minh của nó.

TCVN 8709-3:2011 ATE_DPT.3.2C: Phân tích năng lực của kiểm thử cấn chứng minh rằng rằng tất cả tất cả các phân hệ TSF trong thiết kế TOE đã được kiểm thử.

13.4.3.3.6 Đơn vị công việc ATE_DPT.3-6Người đánh giá cần kiểm tra các thủ tục kiểm thử để xác định rằng tất cả các mô tả đáp ứng của phân hệ TSF và tương tác đã được kiểm thử.

Đơn vị công việc này xác minh tính đầy đủ của đơn vị công việc ATE_DPT.3-1. Mọi sự mô tả đáp ứng của phân hệ TSF và các tương tác giữa các phân hệ TSF được cung cấp trong thiết kế TOE có để được kiểm tra. Năng lực kiểm thử không đầy đủ sẽ thấy rõ ràng nếu một mô tả đáp ứng của các phân hệ TSF hoặc tương tác giữa các phân hệ TSF được xác định trong thiết kế TOE và không có các kiểm thử có thể được áp dụng cho nó.

Người đánh giá chú ý rằng điều này không có nghĩa rằng tất cả các kiểm thử trong các tài liệu hướng dẫn kiểm tra phải ánh xạ đến giao diện phân hệ trong thiết kế TOE.

TCVN 8709-3:2011 ATE_DPT.3.3C: Phân tích năng lực của kiểm thử cần chứng minh rằng tất cả các mô đun TSF trong thiết kế TOE đã được kiểm thử.

13.4.3.3.7 Đơn vị công việc ATE_DPT.3-7Người đánh giá cần kiểm tra các thủ tục kiểm thử để xác định rằng tất cả các giao diện của tất cả các mô-đun TSF được kiểm tra.

Đơn vị công việc này xác minh tính đầy đủ các đơn vị công việc ATE_DPT.3-4. Tất cả các giao diện của các mô-đun TSF được cung cấp trong thiết kế TOE đã được kiểm tra, Năng lực kiểm thử không đầy đủ sẽ thấy rỗ nếu bất kỳ giao diện của bất kỳ mô-đun TSF đã được xác định trong thiết kế TOE và không có các kiểm thử có thể được áp dụng cho nó.

Người đánh giá chú ý rằng điều này không có nghĩa rằng tất cả các kiểm thử trong các bài tài liệu kiểm thử phải ánh xạ tới một giao diện của một mô-đun TSF trong thiết kế TOE.

13.4.4 Đánh giá hoạt động con (ATE_DPT.4)Không có hướng dẫn chung; các chương trình nên được tư vấn để hướng dẫn trên hoạt động con này.

210

TCVN xxx: 201513.5 Chức năng kiểm thử (ATE_FUN)13.5.1 Đánh giá hoạt động con (ATE_FUN.1)

13.5.1.1 Mục tiêuMục tiêu hoạt động con này là để xác định liệu nhà phát triển thực hiện và tài liệu hóa kiểm thử tài một cách chính xác trong tài liệu kiểm thử.


a) ST;


c) Tài liệu kiểm thử.

13.5.1.3 Các lưu ý áp dụngMức độ mà các tài liệu kiểm thử là cần thiết để để cập các TSF là phụ thuộc vào phạm vi thành phần đảm bảo.

Đối với các kiểm thử nhà phát triển cung cấp, người đánh giá xác định xem các kiểm thử có khả năng lặp lại và mức độ mà các kiểm thử của nhà phát triển có thể được sử dụng cho nỗ lực kiểm thử độc lập của người đánh giá. Bất kỳ TSFI mà các kết quả kiểm thử của nhà phát triển cho rằng nó có thể không thực hiện theo quy định phải được kiểm thử một cách độc lập bởi người đánh giá để xác định có hay không.

13.5.1.4 Hành động ATE_FUN.1.1ETCVN 8709-3:2011 ATE_FUN.1.1C: Các tài liệu kiểm thử sẽ bao gồm các kế hoạch kiểm thử,các kết quả kiểm thử dự kiến và các kết quả kiểm thử thực tế.

13.5.1.4.1 Đơn vị công việc ATE_FUN.1-1Người đánh giá cần kiểm tra các tài liệu hướng dẫn kiểm thử bao gồm kế hoạch kiểm thử, các kiểm thử kết quả dự kiến và các kết quả kiểm thử thực tế.

Người đánh giá kiểm trằng các kế hoạch kiểm thử, kết quả kiểm thử dự kiến và kết quả kiểm thử thực tế bao gồm trong tài liệu hướng dẫn kiểm thử.

TCVN 8709-3:2011 ATE_FUN.1.2C: Các kế hoạch kiểm thử cần xác nhận các kiểm thử được thực hiện và mô tả các kịch bản cho việc thực hiện từng kiểm thử. Các kịch bản này bao gồm bất kỳ sự phụ thuộc nào vào thứ tự các các kết quả các kiểm thử khác.

13.5.1.4.2 Đơn vị công việc ATE_FUN.1-2Người đánh giá cần kiểm tra các kế hoạch kiểm thử để xác định rằng nó mô tả các kịch bản để thực hiện từng kiểm thử.

Người đánh giá xác định rằng kế hoạch kiểm thử cung cấp thông tin về cấu hình kiểm thử được sử dụng: cả về cấu hình của TOE và thiết bị kiểm thử bất kỳ nào được sử dụng. Thông tin này cần được mô tả chi tiết đủ để đảm bảo rằng các cấu hình kiểm thử có khả năng tái sản xuất.

Người đánh giá cũng xác định rằng kế hoạch kiểm thử cung cấp các thông tin về cách thức để thực hiện các kiểm thử: các thủ tục thiết lập tự động cần thiết bất kỳ nào (và cho dù chúng yêu cầu đặc quyền để thực hiện), các đầu vào được áp dụng, cách thức đầu vào được áp dụng, cách thức để thu

211

TCVN xxx: 2015

được kết quả đầu ra, các thủ tục tự động xóa bất kỳ (và cho du chúng đòi hỏi đặc quyền để thực hiện), vv. Các thông tin này nên được mô tả chi tiết đủ để đảm bảo rằng các kiểm thử có khả năng tái sản xuấy.

Người đánh giá có thể mong muốn sử dụng một chiến lược lấy mẫu khi thực hiện các đơn vị công việc này.

13.5.1.4.3 Đơn vị công việc ATE_FUN.1-3Người đánh giá cần kiểm tra kế hoạch kiểm thử để xác định rằng cấu hình kiểm thử TOE phù hợp với ST.

TOE được đề cập trong kế hoạch kiểm thử của nhà phát triển nên có cùng tham chiếu duy nhất như được thiết lập bởi hoạt động con khả năng CM (ALC_CMC) và được xác định trong giới thiệu ST.

ST có thể có chỉ định nhiều hơn so với một cấu hình để đánh giá. Người đánh giá xác minh rằng tất cả cấu hình kiểm thử được xác định trong tài liệu hướng dẫn kiểm thử của nhà phát triển phù hợp với ST. Ví dụ, ST có thể định nghĩa các tùy chọn cấu hình phải được thiết lập, trong đó có thể có một tác động vào những gì cấu thành nên TOE bằng cách bao gồm hoặc không bao gồm các phần bổ sung. Người đánh giá xác minh rằng tất cả các biến đổi như vậy của TOE cần được xem xét.

Người đánh giá cần xem xét mục tiêu an toàn đối với môi trường vận hành được mô tả trong ST có thể áp dụng cho môi trường kiểm thử . Có thể có một số mục tiêu cho môi trường vận hành mà không áp dụng cho các môi trường kiểm thử. Ví dụ, một mục tiêu về xóa người sử dụng có thể không áp dụng; Tuy nhiên, mục tiêu về một điểm kết nối riêng với một mạng sẽ được áp dụng.

Người đánh giá có thể muốn sử dụng một chiến lược lấy mẫu khi thực hiện đơn vị công việc này.

Nếu đơn vị công việc này được áp dụng cho một TOE thành phần có thể được sử dụng/tích hợp trong một TOE kết hợp (xem lớp ACO: Thành phần), các điều sau sẽ được áp dụng. Trong các trường hợp mà TOE thành phần dưới đánh giá phụ thuộc vào các thành phần khác trong môi trường vận hành để hỗ trợ hoạt động của mình, nhà phát triển có thể muốn xem xét sử dụng các thành phần khác sẽ được sử dụng trong TOE kết hợp để thực hiện đầy đủ các yêu cầu của môi trường vận hành là một trong những cấu hình kiểm thử. Điều này sẽ làm giảm số lượng kiểm thử bổ sung sẽ được yêu cầu cho cho việc đánh giá một TOE kết hợp.

13.5.1.4.4 Đơn vị công việc ATE_FUN.1-4Người đánh giá cần kiểm tra các kế hoạch kiểm thử để xác định rằng có hướng dẫn đầy đủ được cung cấp cho bất kỳ thứ tự phụ thuộc nào.

Một số bước có thể để được thực hiện để thiết lập ban điều kiện ban đầu. Ví dụ, tài khoản người dùng cần phải được thêm vào trước khi họ có thể bị xóa. Một ví dụ về thứ tự phụ thuộc vào kết quả của các kiểm thử khác là cần để thực hiện các hành động trong một kiểm thử đó sẽ dẫn đến việc tạo ra các hồ sơ kiểm soát, trước khi thực hiện một kiểm thử để xem xét việc tìm kiếm và phân loại các hồ sơ kiểm soát. Một ví dụ thứ tự phụ thuộc khác sẽ là nơi mà một trường hợp kiểm thử tạo ra một tập tin dữ liệu được sử dụng như là đầu vào cho một trường hợp kiểm thử khác.

Người đánh giá có thể mong muốn sử dụng một chiến lược lấy mẫu khi thực hiện đơn vị công việc này.

TCVN 8709-3:2011 ATE_FUN.1.3C: Các kết quả kiểm thử dự kiến cần chỉ ra các kết quả đầu ra mong đợi từ việc thực hiện thành công của các kiểm thử.

212

TCVN xxx: 201513.5.1.4.5 Đơn vị công việc ATE_FUN.1-5Người đánh giá cần kiểm tra các tài liệu hướng dẫn kiểm thử để xác định rằng tất cả các kết quả kiểm thử dự kiến sẽ được đưa vào.

Các kết quả kiểm thử dự kiến sẽ là cần thiết để xác định có hay không một kiểm thử đã được thực hiện thành công.

Kết quả kiểm thử dự kiến là đầy đủ nếu chúng tường minh và phù hợp với đáp ứng dự kiến cho các phương pháp kiểm thử.


TCVN 8709-3:2011 ATE_FUN.1.4C: Các kết quả kiểm thử thực tế cần phải phù hợp với các kết quả kiểm thử dự kiến.

13.5.1.4.6 Đơn vị công việc ATE_FUN.1-6Người đánh giá cần kiểm tra rằng các kết quả kiểm thử thực tế trong tài liệu kiểm thử phù hợp với các kết quả kiểm thử dự kiến trong tài liệu kiểm thử.

Một so sánh các kết quả kiểm thử thực tế và dự kiến được cung cấp bởi nhà phát triển sẽ đưa ra các mâu thuẫn bất kỳ giữa các kết quả. Có thể việc so sánh trực tiếp các kết quả thực tế có thể không được thực hiện cho đến khi một số dữ liệu giảm hoặc việc tổng hợp đã được thực hiện trước. Trong trường hợp này, tài liệu kiểm thử của nhà phát triển nên mô tả các quá trình để giảm hoặc tổng hợp các dữ liệu thực tế .

Ví dụ, nhà phát triển có thể cần phải kiểm tra các nội dung của bộ đệm bản tin sau khi kết nối mạng xảy ra để xác định các nội dung của bộ đệm. Các bộ đệm bản tin sẽ chứa một số nhị phân, số nhị phân này sẽ được chuyển đổi sang một kiểu dã liệu trình bày khác để việc thực hiện các kiểm tra thuận lợi hơn. Việc chuyển đổi trình bày nhị phân sang kiểu trình bày mức cao hơn của dữ liệu phải được mô tả bởi nhà phát triển một cách chi tiết đày đủ để cho phép người đánh giá thực hiện quá trình chuyển đổi (tức là đồng bộ hoặc không đồng bộ truyền, số bit dừng lại, tính chẵn lẻ…).

Cần lưu ý rằng các mô tả về quá trình sử dụng để giảm hoặc tổng hợp các dữ liệu thực tế được sử dụng bởi người đánh giá không phải để thực hiện các thay đổi cần thiết nhưng để đánh giá xem quá trình này là chính xác hay không. Nhà phát triển thực hiện chuyển đổi kiểm tra kết quả dự kiến vào một định dạng cho phép so sánh dễ dàng với các kết quả kiểm thử thực tế.


13.5.1.4.7 Đơn vị công việc ATE_FUN.1-7Người đánh giá phải báo cáo các nô lực thử nghiệm với nhà phát triển, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và kết quả.

Các thông tin kiểm thử nhà phát triển được ghi trong ETR cho phép người đánh giá chuyển tải phương pháp kiểm thử tổng thể và nỗ lực vào việc kiểm thử của TOE của nhà phát triển. Mục đích của việc cung cấp thông tin này là để cung cấp cho một cái nhìn tổng quan có ý nghĩa của các nỗ lực kiểm thử của nhà nhà phát triển. Điều này không có nghĩa rằng các thông tin liên quan đến kiểm thử nhà phát triển trong ETR là một tái tạo chính xác các bước kiểm tra cụ thể hoặc kết quả kiểm thử cá nhân. Mục đích là để cung cấp đủ chi tiết để cho phép người đánh giá và các cơ quan đánh giá khác để có

213

TCVN xxx: 2015

được cái nhìn toàn diện về các phương pháp kiểm thử của nhà phát triển, số lượng các kiểm thử thực hiện, cấu hình kiểm thử TOE và kết quả tổng thể của việc kiểm thử nhà phát triển.

Thông tin sẽ thường được tìm thấy trong phân lớp ETR liên quan đến nỗ lực kiểm thử nhà phát triển là:

a) Các cấu hình kiểm thử TOE. Các cấu hình cụ thể của TOE đã được kiểm thử, bao gồm cả việc bất kỳ đặc quyền đang được yêu cầu để thiết lập các kiểm thử hoặc làm sạch sau đó;

b) Phương pháp kiểm thử. Một tài khoản của chiến lược kiểm thử nhà phát triển tổng thể sử dụng;

c) Kết quả kiểm thử. Mô tả các kết quả kiểm thử nhà phát triển tổng thể.

Danh sách không có nghĩa là đầy đủ và chỉ nhằm mục đích để cung cấp một số bối cảnh như các loại thông tin cần được trình bày trong ETR liên quan đến các nỗ lực kiểm thử của nhà phát triển.

13.5.2 Đánh giá hoạt động con (ATE_FUN.2)Không có hướng dẫn chung; các chương trình nên được tư vấn cho hướng dẫn về hoạt động con này.

13.6 Kiểm thử độc lập (ATE_IND)13.6.1 Đánh giá hoạt động con (ATE_IND.1)

13.6.1.1 Mục tiêuMục tiêu của hoạt động này là để xác định bằng kiểm thử độc lập một tập con của TSFI, liệu TOE đáp ứng như quy định trong đặc tả chức năng và tài liệu hướng dẫn hay không.


a) ST;


c) Hướng dẫn người sử dụng vận hành;

d) hướng dẫn người sử dụng chuẩn bị;

e) TOE phù hợp để kiểm thử.

13.6.1.3 Hành động ATE_IND.1.1ETCVN 8709-3:2011 ATE_IND.1.1C: TOE phải phù hợp để kiểm thử.

13.6.1.3.1 Đơn vị công việc ATE_IND.1-1Người đánh giá cần kiểm tra TOE để xác định rằng cấu hình kiểm thử là phù hợp với cấu hình để đánh giá theo quy định trong ST.

TOE được cung cấp bởi nhà phát triển cần có cùng tham chiếu duy nhất như được thiết lập hành động con Khả năng CM (ALC_CMC) và được xác định trong giới thiệu ST.

ST có thể có chỉ định nhiều hơn một cấu hình cho đánh giá. TOE có thể bao gồm một số đơn vị phần cứng và phần mềm riêng biệt cần phải được kiểm thử phù hợp với ST. Người đánh giá xác minh tất cả cấu hình kiểm thử là phù hợp với ST.

214

TCVN xxx: 2015Người đánh giá nên xem xét mục tiêu an toàn đối với môi trường vận hành được mô tả trong các ST có thể áp dụng cho các môi trường kiểm thử và đảm bảo chúng đáp ứng trong môi trường kiểm thử. Có thể có một số mục tiêu đối với môi trường vận hành mà không áp dụng với môi trường kiểm thử. Ví dụ, một mục tiêu về xóa người dùng có thể không áp dụng; Tuy nhiên, một mục tiêu về một điểm kết nối mạng riêng sẽ được áp dụng.

Nếu bất kỳ tài nguyên kiểm thử nào được sử dụng (ví dụ: thiết bị đo mét, thiết bị phân tích), Người đánh giá có trách nhiệm đảm bảo rằng các tài nguyên này được hiệu chỉnh một cách chính xác.

13.6.1.3.2 Đơn vị công việc ATE_IND.1-2Người đánh giá cần kiểm tra TOE để xác định rằng nó đã được cài đặt đúng cách và trong một trạng thái xác định.

Người đánh giá có thể xác định trạng thái của TOE theo các cách khác nhau. Ví dụ, kết thúc thành công trước đó của đánh giá hoạt động con (AGD_PRE.1), hoạt động con sẽ đáp ứng đơn vị công việc này nếu người đánh giá tin tưởng rằng TOE được sử dụng để kiểm tra đã được cài đặt đúng cách và trong trạng thái đã biết. Nếu không phải là trường hợp này thì người đánh giá cần thực hiện theo các thủ tục của nhà phát triển để cài đặt và khởi động TOE, chỉ sử dụng hướng dẫn được cung cấp.

Nếu người đánh giá phải thực hiện các thủ tục cài đặt vì trạng thái của TOE không xác định, đơn vị công việc này khi hoàn thành có thể đáp ứng đơn vị công việc AGD_PRE.1-3.

13.6.1.4 Hành động ATE_IND.1.2E13.6.1.4.1 Đơn vị công việc ATE_IND.1-3Người đánh giá cần đưa ra một tập con kiểm thử.

Người đánh giá lựa chọn một tập con kiểm thử và chiến lược kiểm thử đó là phù hợp với TOE. Một chiến lược kiểm thử đặc biệt sẽ bao gồm tập con kiểm thử chứa nhiều giao diện có thể được kiểm thử với tính chặt chẽ không cao. Một chiến lược thử nghiệm sẽ có các tập hợp con thử nghiệm có chứa một vài giao diện dựa trên sự liên quan nhận thức của họ một cách nghiêm túc kiểm thử các giao diện này.

Thông thường các phương pháp kiểm thử thực hiện bởi người đánh giá sẽ rơi vào giữa hai thái cực. Người đánh giá nên thực hiện ít nhất một kiểm thử trên hầu hết các giao diện, nhưng kiểm thử không cần chứng minh đầy đủ đặc điểm kỹ thuật kiểm tra.

Người đánh giá, khi lựa chọn tập con của giao diện để kiểm thử, cần xem xét các các yếu tố sau:

a) Số lượng giao diện để từ đó lựa chọn đưa vào tập con kiểm thử. Trường rường hợp TSF chỉ bao gồm một số lượng nhỏ giao diện tương đối đơn giản, nó có thể được kiểm thử chặt chẽ tất cả các giao diện. Trong các trường hợp khác, điều này là không hiệu quả, và lấy mẫu được yêu cầu.

b) Duy trì sự cân bằng trong các hoạt động đánh giá. Nỗ lực của người đánh giá vào các hoạt động kiểm thử phải phù hợp với các hoạt động kiểm thử khác.

Người đánh giá lựa chọn các giao diện để cấu thành tập hợp con. Lựa chọn này sẽ phụ thuộc vào một số yếu tố, và xem xét các yếu tố này cũng có thể ảnh hưởng đến việc lựa chọn kích thước tập con kiểm thử:

a) Tầm quan trọng của giao diện. Những giao diện quan trọng đáng kể hơn so với những giao diện khác khác nên được đưa vào tập con kiểm thử. Một yếu tố quan trọng của "sự quan trọng" là an toàn–có liên quan (Các giao diện thực thi - SFR sẽ quan trọng hơn so với các giao diện hỗ trợ - SFR, và hơn nhiều so với giao diện không can thiệp - SFR; xem TCVN 8709-3:2011: Mục đặc tả chức

215

TCVN xxx: 2015

năng (ADV_FSP)). Các yếu tố quan trọng khác của "sự quan trọng" là số SFR ánh xạ đến giao diện này (được quyết định khi xác định sự tương ứng giữa mức trừu tượng trong ADV).

b) Tính phức tạp của giao diện. Các giao diện phức tạp có thể đòi hỏi kiểm thử phức tạp mà áp đặt các yêu cầu lựa chọn hợp lý lên nhà phát triển hoặc người đánh giá, trong đó có thể không có lợi cho việc đánh giá hiệu quả - chi phí. Ngược lại, chúng là một khu vực có khả năng để tìm lỗi và là các ứng cử viên rất tốt cho tập con. Người đánh giá cần cần phải sự cân bằng giữa các xem xét này.

c) Kiểm thử tiềm ẩn. Kiểm thử một số giao diện có thể thường kiểm thử tiềm ẩn các giao diện khác, và đưa chúng vào tập con có thể tối đa hóa số lượng các giao diện kiểm thử (mặc dù ngầm). Một số giao diện sẽ thường được được sử dụng để cung cấp một loạt các chức năng an toàn, và sẽ có xu hướng là mục tiêu của một phương pháp kiểm thử hiệu quả.

d) Các loại giao diện (ví dụ như chương trình, dòng lệnh, giao thức). Người đánh giá nên xem xét kiểm thử bao gồm cho tất cả các loại giao diện khác nhau mà TOE hỗ trợ.

e) Giao diện làm phát sinh các tính năng sáng tạo hay bất thường. Trường hợp TOE có các tính năng sáng tạo hay hất thường, trong đó có thể tính năng mạnh mẽ trong tài liệu tiếp thị và tài liệu hướng dẫn, các giao diện tương ứng là ứng viên chính để kiểm thử.

Hướng dẫn này chỉ rõ các yếu tố cần xem xét trong quá trình lựa chọn một tập con kiểm thử thích hợp, nhưng không phải là đầy đủ.

13.6.1.4.2 Đơn vị công việc ATE_IND.1-4Người đánh giá cần cung cấp tài liệu kiểm thử cho việc kiểm thử các tập con đầy đủ chi tiết để cho pháp các kiểm thử có thể lặp lại.

Với hiểu biết về các đáp ứng dự kiến của TSF, từ ST và các đặc tả chức năng, Người đánh giá phải xác định các cách khả thi để kiểm thử giao diện. Cụ thể Người đánh giá xem xét:

a) các phương pháp sẽ được sử dụng, ví dụ, liệu một giao diện bên ngoài sẽ được kiểm thử, hoặc một giao diện bên trong sử dụng một dụng cụ kiểm thử, hoặc một phương pháp kiểm thử thay thế sẽ được sử dụng (ví dụ như trong trường hợp đặc biệt, một kiểm thử mã, nếu có mô tả thực hiện);

b) Các giao diện sẽ được sử dụng để kiểm thử và quan sát các đáp ứng;

c) Các điều kiện ban đầu cần có cho các kiểm thử (tức là bất kỳ đối tượng cụ thể hoặc đối tượng cần có và các thuộc tính an toàn của chúng cần có);

d) Thiết bị kiểm thử đặc biệt sẽ được yêu cầu để kích thích một giao diện (ví dụ như thiết bị phát gói) hoặc quan sát một giao diện (ví dụ như thiết bị phân tích mạng).

Người đánh giá có thể tìm thấy nó thực tế để kiểm thử từng giao diện sử dụng một loạt các trường hợp thử nghiệm, trong đó mỗi trường hợp kiểm thử sẽ kiểm tra một khía cạnh rất cụ thể về đáp ứng dự kiến.

13.6.1.4.3 Đơn vị công việc ATE_IND.1-5Người đánh giá cần tiến hành kiểm thử.

Người đánh giá sử dụng các tài liệu hướng dẫn kiểm thử được phát triển như là cơ sở để thực hiện các kiểm thử trên TOE. Các tài liệu kiểm thử được sử dụng như một cơ sở để kiểm thử nhưng điều này không ngăn cản người đánh giá thực hiện kiểm thử bổ sung đặc biệt khác. Người đánh giá có

216

TCVN xxx: 2015thể đưa ra những kiểm thử mới dựa trên đáp ứng của TOE phát hiện trong quá trình kiểm thử. Những kiểm thư mới này được ghi lại trong tài liệu kiểm thử.

13.6.1.4.4 Đơn vị công việc ATE_IND.1-6Người đánh giá cần ghi lại các thông tin sau về các kiểm thử tạo nên tập con kiểm thử:

a) Xác định các đáp ứng giao diện được kiểm thử;

b) Hướng dẫn để kết nối và thiết lập tất cả các thiết bị kiểm thử được yêu cầu theo yêu cầu để thực hiện kiểm thử;

c) Hướng dẫn để thiết lập tất cả điều kiện kiểm thử tiên quyết;

d) Hướng dẫn để kích thích giao diện;

e) Hướng dẫn để quan sát các đáp ứng của các giao diện;

f) Mô tả tất cả các kết quả dự kiến và các phân tích cần thiết được thực hiện trên đáp ứng quan sát được để so sánh với các kết quả dự kiến;

g) Hướng dẫn để kết thúc kiểm thử và thiết lập trạng thái sau khi kiểm thử cần thiết cho TOE;

h) Các kết quả kiểm thử thực tế .

Mức độ chi tiết nên được như trên để người đánh giá khác có thể lặp lại các kiểm thử và có được một kết quả tương đương. Trong khi một số chi tiết cụ thể của kết quả kiểm thử có thể khác nhau (ví dụ như các trường thời gian, ngày tháng trong bản ghi kiểm soát) các kết quả tổng thể nên giống nhau.

Trường hợp cần thiết có thể cung cấp tất cả các thông tin được trình bày trong đơn vị công việc này (ví dụ: các kết quả kiểm thử thực tế của một kiểm thử có thể không yêu cầu bất kỳ phân tích trước khi so sánh giữa các kết quả dự kiến có thể được thực hiện). Điều này tùy thuộc vào quyết định của Người đánh giá.

13.6.1.4.5 Đơn vị công việc ATE_IND.1-7Người đánh giá cần kiểm tra tất cả các kết quả kiểm thử thực tế phù hợp với các kết quả kiểm thử dự kiến

Bất kỳ sự khác biệt nào trong kết quả kiểm thử thực tế và dự kiến có thể chỉ ra rằng TOE không thực hiện như quy định hoặc tài liệu hướng dẫn kiểm thử của Người đánh giá có thể không chính xác. Các kết quả thực tế không đúng dự kiến có thể cần bảo trì hiệu chỉnh cho TOE hoặc tài liệu kiểm thử và có thể yêu cầu tái thực hiện kiểm thử và thay đổi kích thước mẫu kiểm thử và thành phần. Điều này tùy thuộc vào quyết định của người đánh giá.

13.6.1.4.6 Đơn vị công việc ATE_IND.1-8Người đánh giá phải báo cáo trong ETR các nỗ lực kiểm thử của người đánh giá, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và các kết quả.

Người đánh giá kiểm tra thông tin báo cáo trong các ETR cho phép người đánh giá truyền đạt phương pháp kiểm thử tổng thể và nỗ lực thực hiện các hoạt động kiểm thử trong quá trình đánh giá. Mục đích của việc cung cấp thông tin này để cung cấp một cái nhìn tổng quan đầy ý nghĩa của các nỗ lực kiểm thử. Điều đó không có nghĩa rằng các thông tin liên quan đến kiểm thử tại các ETR là chính xác, tái tạo các hướng dẫn cụ thể hoặc kết quả của kiểm thử riêng. Mục đích là để cung cấp đầy đủ chi tiết cho phép người đánh giá khác và các cơ quan đánh giá đạt được một cái nhìn toàn diện về các phương

217

TCVN xxx: 2015

pháp kiểm thử được lựa chọn, số lượng kiểm thử thực hiện, cấu hình kiểm thử TOE và kết quả tổng thể của các hoạt động kiểm thử.

Thông tin thường được tìm thấy trong phân lớp ETR liên quan đến nỗ lực kiểm thử của người đánh giá là:

a) Các cấu hình kiểm thử TOE. Cấu hình cụ thể của TOE được kiểm thử;

b) Kích thước tập con lựa chọn. Số lượng các giao diện kiểm thử trong quá trình đánh giá và xác minh về kích thước;

c) Tiêu chí lựa chọn các giao diện cấu thành tập con. Báo cáo tóm tắt về các yếu tố xem xét khi lựa chọn giao diện để đưa vào các tập con;

d) Giao diện kiểm thử. Danh sách ngắn các giao diện thỏa mãn đưa vào tập con;

e) Phán quyết cho hoạt động này. Phán quyết tổng thể về kết quả kiểm thử trong quá trình đánh giá.

Danh sách này không có nghĩa là đầy đủ và chỉ nhằm mục đích cung cấp một số bối cảnh như các loại thông tin phải có trong các ETR liên quan đến việc kiểm thử đánh giá được thực hiện trong quá trình đánh giá.

13.6.2 Đánh giá hoạt động con (ATE_IND.2)

13.6.2.1 Mục tiêuMục tiêu của hoạt động này là để xác định bằng cách kiểm tra độc lập một tập con của TSF, cho dù TOE đáp ứng như quy định trong tài liệu hướng dẫn thiết kế, và để đạt được tin tưởng trong các kết quả kiểm thử của nhà phát triển bằng cách thực hiện một mẫu kiểm thử của nhà phát triển.


a) ST;


c) Mô tả thiết kế TOE ;

d) Hướng dẫn người sử dụng vận hành;

e) Hướng dẫn người sử dụng chuyển bị;

f) Tài liệu quản lý cấu hình;

g) Tài liệu kiểm thử;

h) TOE phù hợp để kiểm thử.

13.6.2.3 Hành động ATE_IND.2.1ETCVN 8709-3:2011 ATE_IND.2.1C: TOE phải phù hợp để kiểm thử.

13.6.2.3.1 Đơn vị công việc ATE_IND.2-1

218

TCVN xxx: 2015Người đánh giá cần kiểm tra TOE để xác định các cấu hình kiểm thử phù hợp với cấu hình đánh giá theo quy định trong ST.

TOE được cung cấp bởi nhà phát triển và xác định trong kế hoạch kiểm thử phải có cùng một tham chiếu duy nhất như được thiết lập bởi hoạt động con Khả năng CM (ALC_CMC) và được xác định trong giới thiệu ST.

ST có thể có chỉ định nhiều hơn một cấu hình cho đánh giá. TOE có thể cấu thành từ một số thục thể phần cứng và phần mềm riêng biệt cần phải được kiểm thử phù hợp với ST. Người đánh giá xác nhận rằng tất cả các cấu hình kiểm thử là phù hợp với ST.

Người đánh giá cần xem xét mục tiêu an toàn đối với môi trường vận hành được mô tả trong các ST có thể áp dụng cho các môi trường kiểm thử và đảm bảo chúng đáp ứng trong các môi trường kiểm thử. Có thể có một số mục tiêu đối với môi trường vận hành mà không áp dụng cho môi trường kiểm thử. Ví dụ, một mục tiêu về xóa người dùng có thể không áp dụng; Tuy nhiên, một mục tiêu về một điểm kết nối mạng duy nhất sẽ được áp dụng.

Nếu bất kỳ tài nguyên kiểm thử nào được sử dụng (ví dụ: thiết bị đo mét, thiết bị phân tích), Người đánh giá có trách nhiệm đảm bảo rằng các nguồn này được hiệu chuẩn chính xác.

13.6.2.3.2 Đơn vị công việc ATE_IND.2-2Người đánh giá cần kiểm tra TOE để xác định rằng nó đã được cài đặt đúng và trong một trạng thái xác định.

Người đánh giá có thể xác định trạng thái của TOE theo các cách khác nhau. Ví dụ, kết thúc thành công trước đó của đánh giá hoạt động con (AGD_PRE.1), hoạt động con sẽ đáp ứng đơn vị công việc này nếu người đánh giá tin tưởng rằng TOE được sử dụng để kiểm tra đã được cài đặt đúng cách và trong trạng thái đã biết. Nếu không phải là trường hợp này thì người đánh giá cần thực hiện theo các thủ tục của nhà phát triển để cài đặt và khởi động TOE, chỉ sử dụng hướng dẫn được cung cấp.

Nếu Người đánh giá cần thực hiện cài đặt các thủ tục vì các trạng thái TOE không rõ ràng, đơn vị công việc này khi hoàn thành có thể đáp ứng đơn vị công việc AGD_PRE.1-3.

TCVN 8709-3:2011 ATE_IND.2.2C: Nhà phát triển phải cung cấp tài nguyên tương đương được sử dụng trong các kiểm thử chức năng của nhà phát triển của TSF.

13.6.2.3.3 Đơn vị công việc ATE_IND.2-3Người đánh giá cần kiểm tra các tài nguyên được cung cấp bởi nhà phát triển để xác định rằng chúng tương đương với các tài nguyên được sử dụng bởi nhà phát triển để kiểm tra chức năng của TSF.

Tài nguyên được sử dụng bởi nhà phát triển được tài liệu hóa trong kế hoạch kiểm thử nhà phát triển, như được xem xét đến trong họ Kiểm thử chức năng (ATE_FUN). Tài nguyên có thể bao gồm các phòng thí nghiệm truy nhập và thiết bị kiểm thử đặc biệt, cùng với các tài nguyên khác. Tài nguyên mà không giống với những gì sử dụng bởi nhà phát triển cần phải tương đương xét trên khía cạnh bất kỳ tác động của chúng có thể có đến kết quả kiểm thử.

13.6.2.4 Hành động ATE_IND.2.2E13.6.2.4.1 Đơn vị công việc ATE_IND.2-4Người đánh giá cần tiến hành kiểm thử bằng cách sử dụng một mẫu kiểm thử tìm thấy trong các kế hoạch kiểm thử của nhà phát triển và các thủ tục.

219

TCVN xxx: 2015

Mục tiêu tổng thể của đơn vị công việc này là để thực hiện một số lượng đầy đủ các kiểm thử nhà phát triển để xác nhận tính hợp lệ kết quả kiểm thử của nhà phát triển. Người đánh giá quyết định kích thước của mẫu và các kiểm thử nhà phát triển sẽ cấu thành mẫu (xem A.2).

Tất cả kiểm thử nhà phát triển có thể được theo dõi trở lại đến các giao diện cụ thể. Vì vậy, các yếu tố cần xem xét trong các lựa chọn các kiểm thử để soạn mẫu là tương tự cho những người gì liệt kê để tập hợp lựa chọn trong đơn vị công việc ATE_IND.2-6. Ngoài ra, Người đánh giá có thể muốn sử dụng phương pháp lấy mẫu ngẫu nhiên để chọn kiểm thử nhà phát triển bao gồm trong mẫu.

13.6.2.4.2 Đơn vị công việc ATE_IND.2-5Người đánh giá cần kiểm tra rằng tất cả các kết quả kiểm thử thực tế phù hợp với các kết quả kiểm thử dự kiến.

Mâu thuẫn giữa các kết quả kiểm thử dự kiến của nhà phát triển và kết quả kiểm thử thực tế sẽ buộc người đánh giá cần giải quyết sự khác biệt. Mâu thuẫn gặp phải bởi người đánh giá có thể được giải quyết bởi một giải thích hợp lý và giải trình về những mâu thuẫn bởi nhà phát triển.

Nếu một lời giải thích thỏa đáng hoặc giải trình không thể đạt được, niềm tin của người đánh giá về các kết quả kiểm thử của nhà phát triển có thể bị giảm bớt và Người đánh giá có thể cần tăng kích thước mẫu trong phạm vi mà các tập con được xác định trong đơn vị công việc ATE_IND.2-4 được kiểm thử đầy đủ: Thiếu sót trong các kiểm thử của nhà phát triển sẽ dẫn dẫn hoặc là hành động hiệu chỉnh các kiểm thử của nhà phát triển hoặc thực hiện các kiểm thử mới bởi người đánh giá.

Nếu một lời giải thích thỏa đáng hoặc giải trình không thể đạt được, sự tự tin của người đánh giá trong các kết quả thử nghiệm của nhà phát triển có thể được giảm bớt và nó có thể là cần thiết cho việc đánh giá để tăng kích thước mẫu trong phạm vi mà các tập con được xác định trong đơn vị công tác ATE_IND.2-4 được kiểm tra đầy đủ: thiếu với các bài kiểm tra của nhà phát triển cần phải dẫn đến hoặc là hành động khắc phục để kiểm tra các nhà phát triển hoặc sản xuất thử nghiệm mới của người đánh giá.

13.6.2.5 Hành động ATE_IND.2.3E13.6.2.5.1 Đơn vị công việc ATE_IND.2-6Người đánh giá cần đưa ra một tập con kiểm thử.

Người đánh giá lựa chọn một tập con kiểm thử và chiến lược kiểm thử đó là phù hợp với TOE. Một chiến lược kiểm thử đặc biệt sẽ bao gồm tập con kiểm thử chứa nhiều giao diện có thể được kiểm thử với tính chặt chẽ không cao. Một chiến lược thử nghiệm sẽ có các tập hợp con thử nghiệm có chứa một vài giao diện dựa trên sự liên quan nhận thức của họ một cách nghiêm túc kiểm thử các giao diện này.

Thông thường các phương pháp kiểm thử thực hiện bởi người đánh giá sẽ rơi vào giữa hai thái cực. Người đánh giá nên thực hiện ít nhất một kiểm thử trên hầu hết các giao diện, nhưng kiểm thử không cần chứng minh đầy đủ đặc điểm kỹ thuật kiểm tra.

Người đánh giá, khi lựa chọn tập con của giao diện để kiểm thử, cần xem xét các các yếu tố sau :

a) Bằng chứng kiểm thử nhà phát triển. Bằng chứng kiểm thử nhà phát triển bao gồm: tài liệu kiểm thử, phân tích phạm vi kiểm thử có sẵn và năng lực sẵn có của phân tích kiểm thử. Bằng chứng kiểm thử nhà phát triển sẽ cung cấp cái nhìn sâu sắc về cách TSF đã được thực hiện bởi nhà phát triển trong

220

TCVN xxx: 2015quá trình kiểm thử. Người đánh giá áp dụng các thông tin này khi phát triển kiểm thử mới để kiểm thử độc lập TOE. Cụ thể người đánh giá cần xem xét:

1) tăng thêm kiểm thử nhà phát triển cho các giao diện. Người đánh giá có thể muốn thực hiện nhiều hơn cùng một loại kiểm thử bằng các thông số khác nhau để nhiều kiểm tra chặt chẽ hơn các giao diện.

2) bổ sung chiến lược kiểm thử nhà phát triển cho giao diện. Người đánh giá có thể thay đổi phương pháp kiểm thử một giao diện cụ thể bằng cách kiểm thử nó sử dụng một chiến lược kiểm thử khác.

b) Số giao diện để từ đó rút ra cho tập con kiểm thử. Trường hợp các TSF bao gồm chỉ một số lượng nhỏ giao diện tương đối đơn giản, nó có thể được thực hiện để kiểm tra chặt chẽ tất cả chúng. Trong trường hợp khác, điều này có thể là không có hiệu quả, và lấy mẫu được yêu cầu.

c) Duy trì một sự cân bằng của các hoạt động đánh giá. Nỗ lực của người đánh giá đối với các hoạt động kiểm thử phải phù hợp với các nỗ lực trong hoạt động đánh giá khác.

Người đánh giá lựa chọn các giao diện để tạo nên tập con. Lựa chọn này sẽ phụ thuộc vào một số yếu tố, và xem xét các yếu tố này cũng có thể ảnh hưởng đến sự lựa chọn kích thước tập con kiểm thử :

a) Kiểm thử nhà phát triển các giao diện. Những giao diện mà người đánh giá xác định yêu cầu kiểm thử thêm nên được bao gồm trong tập con kiểm thử .

b) Kết quả kiểm thử nhà phát triển. Nếu các kết quả của kiểm thử nhà phát triển mang lại cho người đánh giá nghi ngờ rằng giao diện không được thực hiện hợp lý thì người đánh giá nên đưa các giao diện đó vào tập con kiểm thử.

c) Tầm quan trọng của giao diện. Những giao diện quan trọng đáng kể hơn so với những giao diện khác khác nên được đưa vào tập con kiểm thử. Một yếu tố quan trọng của "sự quan trọng" là an toàn–có liên quan (Các giao diện thực thi - SFR sẽ quan trọng hơn so với các giao diện hỗ trợ - SFR, và hơn nhiều so với giao diện không can thiệp - SFR; xem TCVN 8709-3:2011: Mục đặc tả chức năng (ADV_FSP)). Các yếu tố quan trọng khác của "sự quan trọng" là số SFR ánh xạ đến giao diện này (được quyết định khi xác định sự tương ứng giữa mức trừu tượng trong ADV).

d) Tính phức tạp của giao diện. Các giao diện phức tạp có thể đòi hỏi kiểm thử phức tạp mà áp đặt các yêu cầu lựa chọn hợp lý lên nhà phát triển hoặc người đánh giá, trong đó có thể không có lợi cho việc đánh giá hiệu quả - chi phí. Ngược lại, chúng là một khu vực có khả năng để tìm lỗi và là các ứng cử viên rất tốt cho tập con. Người đánh giá cần cần phải sự cân bằng giữa các xem xét này.

e) Kiểm thử tiềm ẩn. Kiểm thử một số giao diện có thể thường kiểm thử tiềm ẩn các giao diện khác, và đưa chúng vào tập con có thể tối đa hóa số lượng các giao diện kiểm thử (mặc dù ngầm). Một số giao diện sẽ thường được được sử dụng để cung cấp một loạt các chức năng an toàn, và sẽ có xu hướng là mục tiêu của một phương pháp kiểm thử hiệu quả.

f) Các loại giao diện (ví dụ như chương trình, dòng lệnh, giao thức). Người đánh giá nên xem xét kiểm thử bao gồm cho tất cả các loại giao diện khác nhau mà TOE hỗ trợ.

g) Giao diện làm phát sinh các tính năng sáng tạo hay bất thường. Trường hợp TOE có các tính năng sáng tạo hay hất thường, trong đó có thể tính năng mạnh mẽ trong tài liệu tiếp thị và tài liệu hướng dẫn, các giao diện tương ứng là ứng viên chính để kiểm thử.

Hướng dẫn này nói rõ các yếu tố cần xem xét trong quá trình lựa chọn một tập con kiểm thử phù hợp, nhưng không phải là đầy đủ.

221

TCVN xxx: 2015

13.6.2.5.2 Đơn vị công việc ATE_IND.2-7Người đánh giá cần cung cấp tài liệu kiểm thử cho việc kiểm thử các tập con đầy đủ chi tiết để cho phép các kiểm thử có thể lặp lại.

Với hiểu biết về các đáp ứng dự kiến của TSF, từ ST và các đặc tả chức năng, người đánh giá phải xác định các cách khả thi để kiểm thử giao diện. Cụ thể Người đánh giá xem xét:

a) các phương pháp sẽ được sử dụng, ví dụ, liệu một giao diện bên ngoài sẽ được kiểm thử, hoặc một giao diện bên trong sử dụng một dụng cụ kiểm thử, hoặc một phương pháp kiểm thử thay thế sẽ được sử dụng (ví dụ như trong trường hợp đặc biệt, một kiểm thử mã);

b) Các giao diện sẽ được sử dụng để kiểm thử và quan sát các đáp ứng;

c) Các điều kiện ban đầu cần có cho các kiểm thử (tức là bất kỳ đối tượng cụ thể hoặc đối tượng cần có và các thuộc tính an toàn của chúng cần có);

d) Thiết bị kiểm thử đặc biệt sẽ được yêu cầu để kích thích một giao diện (ví dụ như thiết bị phát gói ) hoặc quan sát một giao diện (ví dụ như thiết bị phân tích mạng).

Người đánh giá có thể tìm thấy nó thực tế để kiểm thử từng giao diện sử dụng một loạt các trường hợp thử nghiệm, trong đó mỗi trường hợp kiểm thử sẽ kiểm tra một khía cạnh rất cụ thể về đáp ứng dự kiến của giao diện đó.

Các tài liệu kiểm thử của người đánh giá cần xác định nguồn gốc của mỗi kiểm thử, theo dõi trở lại các giao diện có liên quan.

13.6.2.5.3 Đơn vị công việc ATE_IND.2-8Người đánh giá cần tiến hành kiểm thử.

Người đánh giá sử dụng các tài liệu hướng dẫn kiểm thử được phát triển như là cơ sở để thực hiện các kiểm thử trên TOE. Các tài liệu kiểm thử được sử dụng như một cơ sở để kiểm thử nhưng điều này không ngăn cản người đánh giá thực hiện kiểm thử bổ sung đặc biệt khác. Người đánh giá có thể đưa ra những kiểm thử mới dựa trên đáp ứng của TOE phát hiện trong quá trình kiểm thử. Những kiểm thư mới này được ghi lại trong tài liệu kiểm thử.

13.6.2.5.4 Đơn vị công việc ATE_IND.2-9Người đánh giá cần ghi lại các thông tin sau về các kiểm thử tạo nên tập con kiểm thử:

a) Xác định các đáp ứng giao diện được kiểm thử;

b) Hướng dẫn để kết nối và thiết lập tất cả các thiết bị kiểm thử được yêu cầu theo yêu cầu để thực hiện kiểm thử;

c) Hướng dẫn để thiết lập tất cả điều kiện kiểm thử tiên quyết;

d) Hướng dẫn để kích thích giao diện;

e) Hướng dẫn để quan sát giao diện;

f) Mô tả tất cả các kết quả dự kiến và các phân tích cần thiết được thực hiện trên đáp ứng quan sát được để so sánh với các kết quả dự kiến ;

g) Hướng dẫn để kết thúc kiểm thử và thiết lập trạng thái sau khi kiểm thử cần thiết cho TOE;

222

TCVN xxx: 2015h) Các kết quả kiểm thử thực tế .

Mức độ chi tiết nên được như trên để người đánh giá khác có thể lặp lại các kiểm thử và có được một kết quả tương đương. Trong khi một số chi tiết cụ thể của kết quả kiểm thử có thể khác nhau (ví dụ như các trường thời gian, ngày tháng trong bản ghi kiểm soát) các kết quả tổng thể nên giống nhau.

Trường hợp cần thiết có thể cung cấp tất cả các thông tin được trình bày trong đơn vị công việc này (ví dụ: các kết quả kiểm thử thực tế của một kiểm thử có thể không yêu cầu bất kỳ phân tích trước khi so sánh giữa các kết quả dự kiến có thể được thực hiện). Điều này tùy thuộc vào quyết định của Người đánh giá.

13.6.2.5.5 Đơn vị công việc ATE_IND.2-10Người đánh giá cần kiểm tra rằng các kết quả kiểm thử thực tế phù hợp với các kết quả kiểm thử dự kiến.

Bất kỳ sự khác biệt trong thực tế và kết quả kiểm thử dự kiến sẽ chỉ ra rằng TOE không thực hiện như quy định hoặc Người đánh giá kiểm tra các tài liệu có thể không chính xác, kết quả thực tế có thể yêu cầu sửa chữa bảo trì cho TOE hoặc tài liệu kiểm thử và có thể yêu cầu tái hoạt động của kiểm tra ảnh hưởng và sửa đổi các kích thước và thành phần mẫu kiểm thử. Điều này tùy thuộc vào phán quyết của Người đánh giá.

Người đánh giá cần kiểm tra tất cả các kết quả kiểm thử thực tế phù hợp với các kết quả kiểm thử dự kiến

Bất kỳ sự khác biệt nào trong kết quả kiểm thử thực tế và dự kiến có thể chỉ ra rằng TOE không thực hiện như quy định hoặc tài liệu hướng dẫn kiểm thử của người đánh giá có thể không chính xác. Các kết quả thực tế không đúng dự kiến có thể yêu cầu bảo trì hiệu chỉnh cho TOE hoặc tài liệu kiểm thử và có thể yêu cầu tái thực hiện kiểm thử và thay đổi kích thước mẫu kiểm thử và thành phần. Điều này tùy thuộc vào quyết định của người đánh giá.

13.6.2.5.6 Đơn vị công việc ATE_IND.2-11Người đánh phải báo cáo trong ETR các nỗ lực kiểm thử của người đánh giá, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và các kết quả.

Người đánh giá kiểm tra thông tin báo cáo trong các ETR cho phép người đánh giá truyền đạt phương pháp kiểm thử tổng thể và nỗ lực thực hiện các hoạt động kiểm thử trong quá trình đánh giá. Mục đích của việc cung cấp thông tin này để cung cấp một cái nhìn tổng quan đầy ý nghĩa của các nỗ lực kiểm thử. Điều đó không có nghĩa rằng các thông tin liên quan đến kiểm thử tại các ETR là chính xác, tái tạo các hướng dẫn cụ thể hoặc kết quả của kiểm thử riêng. Mục đích là để cung cấp đầy đủ chi tiết cho phép người đánh giá khác và các cơ quan đánh giá đạt được một cái nhìn toàn diện về các phương pháp kiểm thử được lựa chọn, số lượng kiểm thử thực hiện, cấu hình kiểm thử TOE và kết quả tổng thể của các hoạt động kiểm thử.

Thông tin thường được tìm thấy trong phân lớp ETR liên quan đến nỗ lực kiểm thử của người đánh giá là:

a) Các cấu hình kiểm thử TOE. Cấu hình cụ thể của TOE được kiểm thử;

b) Kích thước tập con lựa chọn. Số lượng các giao diện kiểm thử trong quá trình đánh giá và xác minh về kích thước;

c) Tiêu chí lựa chọn các giao diện cấu thành tập con. Báo cáo tóm tắt về các yếu tố xem xét khi lựa chọn giao diện để đưa vào các tập con;

223

TCVN xxx: 2015

d) Giao diện kiểm thử. Danh sách ngắn các giao diện thỏa mãn đưa vào tập con;

e) Kiểm thử nhà phát triển thực hiện. Các số lượng kiểm thử nhà phát triển đã thực hiện và mô tả ngắn gọn về các tiêu chí được sử dụng để chọn các kiểm thử.

f) Phán quyết cho hoạt động này. Phán quyết tổng thể về kết quả kiểm thử trong quá trình đánh giá.

Danh sách này không có nghĩa là đầy đủ và chỉ nhằm mục đích cung cấp một số bối cảnh như các loại thông tin phải có trong các ETR liên quan đến việc kiểm thử đánh giá được thực hiện trong quá trình đánh giá.

13.6.3 Đánh giá hoạt động con (ATE_IND.3)Không có hướng dẫn chung; các chương trình nên được tư vấn để hướng dẫn về hoạt động con này.

14 Lớp AVA: Đánh giá điểm yếu14.1 Giới thiệuMục đích của các hoạt động đánh giá điểm yếu là để xác định khả năng khai thác các sai sót hoặc điểm yếu của TOE trong môi trường vận hành. Việc xác định này dựa trên phân tích các bằng chứng đánh giá và tìm kiếm các tài liệu công bố bởi người đánh giá và được hỗ trợ bằng cách kiểm thử thâm nhập của người đánh giá.

14.2 Phân tích điểm yếu (AVA_VAN)14.2.1 Đánh giá hoạt động con (AVA_VAN.1)

14.2.1.1 Mục tiêuMục tiêu của hoạt động con này là để xác định liệu TOE trong môi trường vận hành, có thể khai thác các điểm yếu dễ nhận biết.

14.2.1.2 Đầu vàoBằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) Tài liệu hướng dẫn;

c) TOE phù hợp để kiểm thử;

d) Thông tin công bố công khai để hỗ trợ việc xác định các điểm yếu tiềm ẩn.

Các đầu vào khác cho hoạt động con này là:

a) Thông tin hiện tại về các điểm yếu tiềm ẩn (ví dụ như từ một cơ quan đánh giá).

14.2.1.3 Các lưu ý áp dụngNgười đánh giá cần xem xét thực hiện các các kiểm thử bổ sung như là một kết quả của điểm yếu tiềm ẩn phải đối mặt trong quá trình thực hiện các bộ phận khác của việc đánh giá.

Sử dụng các thuật ngữ hướng dẫn trong hoạt động con liên quan đến các hướng dẫn vận hành và các hướng dẫn dự bị.

224

TCVN xxx: 2015Các điểm yếu tiềm ẩn có thể có trong thông tin công khai hoặc không, và có thể yêu cầu kỹ năng để khai thác hoặc không. Hai khía cạnh có liên quan, nhưng là khác biệt. Không nên giả định rằng. chỉ đơn giản vì một điểm yếu tiềm ẩn có thể nhận dạng từ các thông tin đó là công bố công khai và có thể bị khai thác dễ dàng.

14.2.1.4 Hành động AVA_VAN.1.1ETCVN 8709-3:2011 AVA_VAN.1.1C: TOE phải phù hợp cho kiểm thử.

14.2.1.4.1 Đơn vị công việc AVA_VAN.1-1

Người đánh giá cần kiểm tra TOE để xác định các cấu hình kiểm thử phù hợp với cấu hình để đánh giá theo quy định trong ST.

TOE được cung cấp bởi nhà phát triển và được xác nhận trong kế hoạch kiểm thử phải có cùng một tham chiếu duy nhất như được thiết lập bởi hoạt động con Khả năng CM (ALC_CMC) và và được xác nhận trong giới thiệu ST.

ST có thể có chỉ định nhiều hơn một cấu hình để đánh giá. TOE có thể cấu thành từ một thực thể phần cứng và phần mềm riêng biệt cần phải được kiểm thử phù hợp với ST. Người đánh giá xác minh rằng tất cả các cấu hình kiểm thử là phù hợp với ST.

Người đánh giá cần xem xét mục tiêu an toàn đối với môi trường vận hành được mô tả trong các ST có thể áp dụng cho môi trường kiểm thử và đảm bảo chúng đáp ứng trong môi trường kiểm thử. Có thể có một số mục tiêu đối với môi trường vận hành mà không áp dụng với môi trường kiểm thử. Ví dụ, mục tiêu về xoá người dùng có thể không áp dụng; Tuy nhiên, một mục tiêu về một điểm kết nối mạng duy nhất sẽ được áp dụng.

Nếu bất kỳ tài nguyên kiểm thử nào được sử dụng (ví dụ: thiết bị đo mét, thiết bị phân tích), Người đánh giá có trách nhiệm đảm bảo rằng các tài nguyên này được hiệu chuẩn chính xác.


Người đánh giá cần kiểm tra TOE để xác định rằng nó đã được cài đặt đúng cách và ở trong một trạng thái xác định.

Người đánh giá có thể xác định trạng thái của TOE ttheo một số cách khác nhau. Ví dụ, kết thúc thành công đánh giá của hoạt động con (AGD_PRE.1) trước đó, hoạt động con sẽ đáp ứng đơn vị công việc này nếu người đánh giá tin rằng TOE đang được sử dụng để kiểm thử đã được cài đặt đúng cách và trong một trạng thái biết trước. Nếu không phải là trường hợp này thì người đánh giá cần thực hiện theo các thủ tục của nhà phát triển để cài đặt và khởi động TOE chỉ sử dụng hướng dẫn được cung cấp.

Nếu người đánh giá cần thực hiện các thủ tục cài đặt vì không biết trước trang thái của TOE , đơn vị công việc này khi kết thúc thành công có thể đáp ứng đơn vị công việc AGD_PRE.1-3.

14.2.1.5 Hành động AVA_VAN.1.2E14.2.1.5.1 Đơn vị công việc AVA_VAN.1-3

Người đánh giá cần kiểm tra các nguồn thông tin công bố công khai để xác định các điểm yếu tiềm ẩn trong TOE.

Người đánh giá kiểm tra các nguồn thông tin công bố công khai để hỗ trợ việc xác định điểm yếu tiềm ẩn có thể có trong TOE. Có rất nhiều nguồn thông tin công bố công khai cần được xem xét, ví dụ

225

TCVN xxx: 2015

như danh sách thư và các diễn đàn an toàn trên các trang web rằng các báo cáo điểm yếu được biết đến trong công nghệ quy định.

Người đánh giá không nên hạn chế xem xét thông tin công bố công khai như trên, nhưng nên xem xét bất kỳ thông tin liên quan khác.

Trong khi kiểm tra các bằng chứng được cung cấp người đánh giá sẽ sử dụng thông tin để tiếp tục tìm kiếm các điểm yếu tiềm ẩn trong miền chung. Trường hợp người đánh giá đã xác định được các khu vực quan tâm, Người đánh giá cần xem xét thông tin công bố công khai có liên quan đến những khu vực quan tâm đó.

Tính sẵn có của thông tin có thể có sẵn cho kẻ tấn công giúp xác định và tạo điều kiện cho các cuộc tấn công có hiệu quả hoạt động để tăng cường đáng kể khả năng tấn công của một cho kẻ tấn công nhất định. Khả năng tiếp cận các thông tin điểm yếu và các công cụ tấn công tinh vi trên mạng Internet làm tăng khả năng rằng thông tin này sẽ được sử dụng trong nỗ lực để xác định các điểm yếu tiềm năng trong TOE và khai thác chúng. Công cụ tìm kiếm hiện đại làm cho thông tin như vậy dễ dàng có sẵn cho người đánh giá, và việc xác định khả năng chống công bố điểm yếu tiềm ẩn và các tấn công thông thường đã biết có thể đạt được một cách hiệu quả.

Việc tìm kiếm các thông tin công bố công khai nên tập trung vào những nguồn liên quan cụ thể tới các sản phẩm mà từ đó TOE được cấu thành. Mở rộng việc tìm kiếm này nên xem xét yếu tố sau: loại TOE, kinh nghiệm trong việc đánh giá loại TOE này, khả năng tấn công dự kiến và mức độ bằng chứng sẵn có ADV.

Quá trình nhận dạng là lặp đi lặp lại, nơi mà việc xác định một điểm yếu tiềm ẩn có thể dẫn đến việc xác định một khu vực quan tâm mà yêu cầu phải tiếp tục điều tra.

Người đánh giá cần báo cáo những hành động được thực hiện để xác định các điểm yếu tiềm ẩn trong các thông tin công bố công khai. Tuy nhiên, trong cách tìm kiếm này, Người đánh giá có thể không có khả năng mô tả các bước trong việc xác định điểm yếu tiềm ẩn trước khi bắt đầu kiểm thử, theo phương pháp này có thể phát triển như là kết quả của phát hiện trong quá trình tìm kiếm.

Người đánh giá sẽ báo cáo các bằng chứng kiểm tra hoàn thành việc tìm kiếm các điểm yếu tiềm ẩn.


Người đánh giá sẽ ghi lại trong ETR các điểm yếu tiềm ẩn được xác định là ứng cử viên cho kiểm thử và có thể áp dụng đối với TOE trong môi trường vận hành của nó.

Có thể xác định không tiếp tục xem xét các điểm yếu tiềm ẩn cần thiết nếu, ví dụ người đánh giá xác định rằng các biện pháp trong các môi trường vận hành, hoặc IT hay phi IT, ngăn chặn khai thác các điểm yếu tiềm ẩn trong môi trường vận hành đó. Ví dụ, hạn chế truy cập vật lý vào TOE để người dùng được ủy quyền chỉ có hiệu quả làm cho một điểm yếu tiềm ẩn để giả mạo có thể không khai thác được.

Người đánh giá ghi lại bất kỳ lý do để loại trừ các điểm yếu tiềm ẩn từ xem xét thêm nếu người đánh giá xác định rằng điểm yếu tiềm ẩn không áp dụng trong các môi trường vận hành. Nếu không thì người đánh giá ghi lại điểm yếu tiềm ẩn để xem xét thêm.

Một danh sách các điểm yếu tiềm ẩn áp dụng đối với TOE trong môi trường vận hành của nó, có thể được sử dụng như là một đầu vào hoạt động kiểm thử thâm nhập, được báo cáo trong ETR bởi người đánh giá.

226

TCVN xxx: 201514.2.1.6 Hành động AVA_VAN.1.3E14.2.1.6.1 Đơn vị công việc AVA_VAN.1-5

Người đánh giá cần đưa ra kiểm thử thâm nhập dựa trên cơ sở tìm kiếm độc lập các điểm yếu tiềm ẩn.

Người đánh giá chuẩn bị cho kiểm thử thâm nhập là cần thiết để xác định tính nhạy cảm của TOE trong môi trường vận hành của nó để xác định các điểm yếu tiềm ẩn trong quá trình tìm kiếm các nguồn thông tin công bố công khai. Bất kỳ thông tin hiện nay được cung cấp cho người đánh giá bằng một bên thứ ba (ví dụ: cơ quan đánh giá) liên quan đến các điểm yếu tiềm ẩn được biết đến sẽ được xem xét bởi người đánh giá, cùng với bất kỳ điểm yếu tiềm ẩn gặp phải từ việc thực hiện các hoạt động đánh giá khác.

Người đánh giá có thể tìm thấy nó thực tế để thực hiện các kiểm thử xâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, trong đó mỗi trường hợp kiểm thử sẽ kiểm tra cho một điểm yếu tiềm ẩn cụ thể.

Người đánh giá không dự kiến sẽ kiểm thử các điểm yếu tiềm ẩn (bao gồm cả những người trong miền chung) ngoài những yêu cầu một khả năng tấn công cơ bản. Tuy nhiên trong một số trường hợp, nó sẽ là cần thiết để thực hiện một kiểm thử trước khi khả năng khai thác có thể được xác định. Ở đây, như một kết quả của các chuyên gia đánh giá, người đánh giá phát hiện ra một điểm yếu tiềm ẩn vượt ra ngoài khả năng tấn công cơ bản, điều này được báo cáo trong ETR như một điểm yếu còn tồn tại.


Người đánh giá cần cung cấp tài liệu kiểm thử thâm nhập cho các kiểm thử dựa trên danh sách điểm yếu tiềm ẩn đầy đủ chi tiết để cho phép các kiểm thử có khả năng lặp lại, tài liệu kiểm thử sẽ bao gồm:

a) Xác định các điểm yếu tiềm ẩn của TOE đang được kiểm thử;

b) Hướng dẫn để kết nối và thiết lập tất cả các thiết bị kiểm thử được yêu cầu theo yêu cầu để thực hiện kiểm thử thâm nhập;

c) Hướng dẫn để thiết lập tất cả các điều kiện tiên quyết ban đầu của kiểm thử thâm nhập;

d) Hướng dẫn để kích thích TSF;

e) Hướng dẫn cho quan sát các đáp ứng của TSF;

f) Mô tả tất cả các kết quả dự kiến và thực hiện các phân tích cần thiết về các đáp ứng quan sát được để so sánh với kết quả dự kiến;

g) Hướng dẫn để kết thúc kiểm thử và thiết lập trạng thái sau kiểm thử cần thiết cho TOE.

Người đánh giá chuẩn bị cho kiểm thử thâm nhập dựa trên danh sách các điểm yếu tiềm ẩn được xác định trong quá trình tìm kiếm miền chung.

Người đánh giá không được dự kiến để xác định khả năng khai thác các điểm yếu tiềm ẩn vượt ra ngoài một khả năng tấn công cơ bản là cần thiết để thực một cuộc tấn công. Tuy nhiên, như kết quả của các chuyên gia đánh giá, người đánh giá có thể phát hiện một điểm yếu tiềm ẩn có thể khai thác được chỉ bởi một kẻ tấn công có khả năng tấn công cao hơn khả năng tấn công cơ bản. Điểm yếu đó được báo cáo trong ETR như là điểm yếu còn tồn tại.

Với sự hiểu biết về các điểm yếu tiềm ẩn, người đánh giá xác định cách khả thi nhất để kiểm tra tính nhạy cảm của TOE. Cụ thể người đánh giá cần xem xét:

227

TCVN xxx: 2015

a) TSFI hoặc các giao diện TOE sẽ được sử dụng để kích thích TSF và quan sát đáp ứng;

b) Điều kiện ban đầu cần có cho các kiểm thử (tức là bất kỳ đối tượng cụ thể hoặc đối tượng mà sẽ cần phải tồn tại và các thuộc tính an toàn của chúng cần phải có);

c) Thiết bị kiểm thử đặc biệt sẽ được yêu cầu để kích thích TSFI hoặc thực hiện các quan sát TSFI (Mặc dù không chắc rằng thiết bị chuyên dụng sẽ được yêu cầu để khai thác điểm yếu tiềm ẩn giả định một cuộc tấn công có tiềm năng cơ bản);

d) Liệu phân tích lý thuyết nên thay thế kiểm thử vật lý, đặc biệt phù hợp khi các kết quả của một kiểm thử ban đầu có thể được ngoại suy để chứng minh rằng những nỗ lực lặp đi lặp lại của một cuộc tấn công là có khả năng thành công sau khi nỗ lực thực hiện một số lượng nhất định.

Người đánh giá có thể tìm thấy nó thực tế để thực hiện các kiểm thử xâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, trong đó mỗi trường hợp kiểm thử sẽ kiểm tra cho một điểm yếu tiềm ẩn cụ thể.

Mục đích của quy định cụ thể mức độ chi tiết trong tài liệu hướng dẫn kiểm thử là để cho phép người đánh giá khác lặp lại các bài kiểm thử và có được một kết quả tương đương.


Người đánh giá cần tiến hành kiểm thử thâm nhập.

Người đánh giá sử dụng các tài liệu kiểm thử thâm nhập từ đơn vị công việc AVA_VAN.1-5 làm cơ sở cho việc thực hiện kiểm thử thâm nhập TOE, điều này không ngăn cản người đánh giá thực hiện thêm các kiểm thử thâm nhập đặc biệt. Nếu cần thiết, người đánh giá có thể đưa ra các kiểm thử đặc biệt như là một kết quả của thông tin có được trong quá trình kiểm thử thâm nhập đó, nếu thực hiện bởi người đánh giá sẽ được ghi lại trong các tài liệu kiểm thử xâm nhập. Kiểm thử như vậy có thể được yêu cầu để theo dõi các kết quả ngoài dự kiến hoặc quan sát, hoặc để điều tra điểm yếu tiềm ẩn gợi ý cho người đánh giá trong quá trình lập kế hoạch kiểm thử.

Người đánh giá không dự kiến sẽ kiểm thử các điểm yếu tiềm ẩn (bao gồm cả những người trong miền chung) ngoài những yêu cầu một khả năng tấn công cơ bản. Tuy nhiên trong một số trường hợp, nó sẽ là cần thiết để thực hiện một kiểm thử trước khi khả năng khai thác có thể được xác định. Ở đây, như một kết quả của các chuyên gia đánh giá, người đánh giá phát hiện ra một điểm yếu tiềm ẩn vượt ra ngoài khả năng tấn công cơ bản, điều này được báo cáo trong ETR như một điểm yếu còn tồn tại.


Người đánh giá cần ghi lại các kết quả thực tế của các kiểm thử thâm nhập.

Trong khi một số chi tiết cụ thể của các kết quả kiểm thử thực tế có thể khác nhau so với dự kiến (ví dụ như các trường thời gian, ngày tháng trong bản ghi kiểm soát) nhưng kết quả tổng thể nên giống nhau. Các kết quả kiểm thử ngoài dự kiến bất kỳ sẽ được điều tra. Tác động đối với việc đánh giá cần phải được công bố và đươc xác minh.


Người đánh giá báo cáo trong ETR nỗ lực kiểm thử thâm nhập, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và các kết quả.

228

TCVN xxx: 2015Các thông tin kiểm thử thâm nhập được báo cáo trong ETR cho người phép đánh giá truyền đạt phương pháp kiểm thử thâm nhập tổng thể và nỗ lực mở rộng hoạt động con này. Mục đích cung cấp thông tin này là để cung cấp một cái nhìn tổng quan đầy ý nghĩa của nỗ lực kiểm thử thâm nhập của người đánh giá. Nó không phải là dự định mà các thông tin liên quan đến kiểm thử thâm nhập trong ETR là một việc làm chính xác các bước kiểm tra cụ thể hoặc kết quả kiểm thử thâm nhập cá nhân. Mục đích là để cung cấp đầy đủ chi tiết để cho phép người đánh giá khác và các cơ quan đánh giá để đạt được một số hiểu biết về phương pháp kiểm thử thâm nhập được lựa chọn, số lượng kiểm thử thâm nhập được thực hiện, các cấu hình kiểm thử TOE và kết quả tổng thể của hoạt động kiểm thử thâm nhập.

Thông tin đó sẽ thường được tìm thấy trong mục ETR liên quan đến nỗ lực kiểm thử thâm nhập của đánh giá là:

a) Cấu hình kiểm thử TOE. Các cấu hình cụ thể của TOE đã được kiểm thử thâm nhập;

b) TSFI kiểm thử thâm nhập. Một danh sách ngắn của TSFI và các giao diện TOE là trọng tâm của kiểm thử thâm nhập;

c) Phán quyết cho hoạt động con. Phán quyết tổng thể về các kết quả của kiểm thử thâm nhập.

Danh sách này không có nghĩa là đầy đủ và chỉ nhằm mục đích để cung cấp một số bối cảnh như các loại thông tin nên trình bày trong ETR liên quan đến các kiểm thử thâm nhập người đánh giá thực hiện thực hiện trog quá trình đánh giá.


Người đánh giá cần kiểm tra các kết quả của tất cả các kiểm thử thâm nhập để xác định rằng TOE trong môi trường vận hành của nó có khả năng chống một kẻ tấn công sở hữu một khả năng tấn công cơ bản.

Nếu kết quả cho thấy rằng TOE trong môi trường vận hành của nó, có điểm yếu có thể khai thác bởi một kẻ tấn công có khả năng tấn công thấp hơn khả năng tấn công cơ bản tăng cường thì hành động của người đánh giá này là không thành công.

Các hướng dẫn trong B.4 nên được sử dụng để xác định khả năng tấn công cần thiết để khai thác một điểm yêu cụ thể và liệu nó có thể được khai thác trong môi trường dự định. Nó có thể không cần thiết cho khả năng tấn công được tính toán trong mọi trường hợp, chỉ khi có một số nghi ngờ là có hay không những điểm yếu có thể bị khai thác bởi một kẻ tấn công sở hữu một khả năng tấn công thấp hơn khả năng cơ bản tăng cường.


Người đánh giá cần báo cáo trong ETR tất cả các điểm yếu có thể khai thác và điểm yếu còn tồn tại, chi tiết cho từng:

a) Nguồn (ví dụ như hoạt động của phương pháp đánh giá được thực hiện khi nó được hình thành, được biết đến với người đánh giá, đọc ấn phẩm);

b) SFR không đáp ứng;

c) Mô tả;

d) Liệu có thể khai thác môi trường vận hành của nó hay không (tức là có thể khai thác hoặc còn tồn tại);

229

TCVN xxx: 2015

e) Số lượng thời gian, mức độ chuyên môn, trình độ hiểu biết của TOE, mức độ cơ hội và các thiết bị cần thiết để thực hiện các điểm yếu được xác định, và các giá trị tương ứng sử dụng các bảng B.2 và B.3 của Phụ lục B.4.

14.2.2 Đánh giá hoạt động con (AVA_VAN.2)

14.2.2.1 Mục tiêuMục tiêu hoạt động con này là để xác định liệu TOE trong môi trường vận hành của nó có các điểm yếu có thể khai thác bởi những kẻ tấn công sở hữu khả năng tấn công cơ bản.

14.2.2.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;




e) Tài liệu hướng dẫn;

f) TOE phù hợp để kiểm thử;

g) Thông tin công bố công khai để hỗ trợ việc xác định điểm yếu tiềm năng có thể có.

Các bằng chứng đánh giá tiềm ẩn còn tồn tại cho hoạt động con này phụ thuộc vào các thành phần bao gồm trong gói bảo đảm. Các bằng chứng được cung cấp cho mỗi thành phần được sử dụng như là đầu vào trong hoạt động con này.

Đầu vào khác cho hoạt động con này là:

a) Thông tin hiện tại về điểm yếu tiềm ẩn miền chung và các cuộc tấn công (ví dụ như từ một cơ quan đánh giá).

14.2.2.3 Các lưu ý áp dụngNgười đánh giá cần xem xét thực hiện các kiểm thử bổ sung như là một kết quả của điểm yếu tiềm ẩn phải đối mặt trong các phần khác của việc đánh giá.

14.2.2.4 Hành động AVA_VAN.2.1ETCVN 8709-3:2011 AVA_VAN.2.1C: TOE phải phù hợp cho kiểm thử.


Người đánh giá cần kiểm tra TOE để xác định cấu hình kiểm thử phù hợp với cấu hình để đánh giá theo quy định trong ST.

TOE được cung cấp bởi nhà phát triển và xác định trong kế hoạch kiểm thử phải có cùng một tham chiếu duy nhất như được thiết lập bởi hoạt động con Khả năng CM (ALC_CMC) và được xác định trong giới thiệu ST.

230

TCVN xxx: 2015ST có thể có chỉ định nhiều hơn một cấu hình cho đánh giá. TOE có thể cấu thành từ một số thực thể phần cứng và phần mềm riêng biệt cần phải được kiểm thẻ phù hợp với ST. Người đánh giá xác minh rằng tất cả các cấu hình kiểm thử là phù hợp với ST.

Người đánh giá cần xem xét mục tiêu an toàn đối với môi trường vận hành được mô tả trong các ST có thể áp dụng cho môi trường kiểm thử và đảm bảo chúng đáp ứng trong các môi trường kiểm thử. Có thể có một số mục tiêu đối với môi trường vận hành mà không phải áp dụng với môi trường kiểm thử. Ví dụ, một mục tiêu về xóa người dùng có thể không áp dụng; Tuy nhiên, một mục tiêu về một điểm kết nối mạng duy nhất sẽ được áp dụng.

Nếu có bất kỳ tài nguyên kiểm thử nào được sử dụng (ví dụ: thiết bị đo mét, thiết bị phân tích), người đánh giá có trách nhiệm đảm bảo rằng các tài nguyên này được hiệu chuẩn chính xác.


Người đánh giá cần kiểm tra TOE để xác định rằng nó đã được cài đặt đúng cách và trong một trạng thái xác định.

Người đánh giá có thể xác định trạng thái của TOE theo một số cách khác nhau. Ví dụ, kết thúc thành công trước đó của việc đánh giá hoạt động con (AGD_PRE.1), hoạt động con sẽ đáp ứng đơn vị công việc này nếu người đánh giá tin rằng TOE được sử dụng để kiểm thử đã được cài đặt đúng cách và ở trạng thái đã biết. Nếu không phải là trường hợp này thì người đánh giá cần thực hiện theo các thủ tục của nhà phát triển để cài đặt và khởi động TOE, chỉ sử dụng hướng dẫn được cung cấp.

Người đánh giá cần thực hiện các thủ tục cài đặt vì không biết trước trạng thái TOE, đơn vị công việc này khi kết thúc thành công có thể đáp ứng đơn vị công việc AGD_PRE.1-3.

14.2.2.5 Hành động AVA_VAN.2.2E14.2.2.5.1 Đơn vị công việc AVA_VAN.2-3

Người đánh giá cần kiểm tra các nguồn thông tin công bố công khai để xác định các điểm yếu tiềm ẩn trong TOE.

Người đánh giá xem xét các nguồn thông tin công bố công khai để hỗ trợ việc xác định điểm yếu tiềm ẩn có thể có trong TOE. Có rất nhiều nguồn thông tin công bố công khai mà người đánh giá cần xem xét sử dụng trên các trang web, bao gồm:

a) Ấn phẩm chuyên gia (tạp chí, sách);

b) Tài liệu nghiên cứu.

Người đánh giá không nên hạn chế xem xét thông tin công bố công khai như trên, nhưng nên xem xét bất kỳ thông tin liên quan khác.

Trong khi kiểm tra các bằng chứng được cung cấp, người đánh giá cần sử dụng thông tin trong miền chung để tiếp tục tìm kiếm các điểm yếu tiềm ẩn. Trường hợp người đánh giá đã xác định được khu vực quan tâm, người đánh giá nên xem xét thông tin công bố công khai liên quan đến những lĩnh vực quan tâm đó.

Tính sẵn có của thông tin có thể có sẵn cho kẻ tấn công giúp xác định và tạo điều kiện cho các cuộc tấn công có hiệu quả hoạt động để tăng cường đáng kể khả năng tấn công của một cho kẻ tấn công nhất định. Khả năng tiếp cận các thông tin điểm yếu và các công cụ tấn công tinh vi trên mạng Internet làm tăng khả năng rằng thông tin này sẽ được sử dụng trong nỗ lực để xác định các điểm yếu tiềm năng trong TOE và khai thác chúng. Công cụ tìm kiếm hiện đại làm cho thông tin như vậy dễ dàng có

231

TCVN xxx: 2015

sẵn cho người đánh giá, và việc xác định khả năng chống công bố điểm yếu tiềm ẩn và các tấn công thông thường đã biết có thể đạt được một cách hiệu quả.



Người đánh giá cần báo cáo những hành động được thực hiện để xác định các điểm yếu tiềm ẩn trong các bằng chứng. Tuy nhiên, trong cách tìm kiếm này, Người đánh giá có thể không có khả năng mô tả các bước trong việc xác định điểm yếu tiềm ẩn trước khi bắt đầu kiểm thử, theo phương pháp này có thể phát triển như là kết quả của phát hiện trong quá trình tìm kiếm.

Người đánh giá sẽ báo cáo các bằng chứng kiểm tra hoàn thành việc tìm kiếm các điểm yếu tiềm ẩn. Lựa chọn bằng chứng này có thể được bắt nguồn từ những khu vực quan tâm được xác định bởi người đánh giá, liên kết với các bằng chứng của kẻ tấn công được cho là có khả năng có được, hoặc theo một lý do được cung cấp bởi người đánh giá.

14.2.2.6 Hành động AVA_VAN.2.3E14.2.2.6.1 Đơn vị công việc AVA_VAN.2-4Người đánh giá cần tiến hành tìm kiếm ST, tài liệu hướng dẫn, đặc tả chức năng, thiết kế TOE và mô tả kiến trúc an toàn làm bằng chứng để xác định điểm yếu tiềm ẩn có thể có trong TOE.

Một tìm kiếm các bằng chứng phải được hoàn thành trong đó thông số kỹ thuật và tài liệu hướng dẫn cho TOE được phân tích và sau đó điểm yếu tiềm năng trong TOE được giả thuyết, hoặc suy đoán. Danh sách điểm yếu tiềm ẩn giả thiết sau đó được ưu tiên trên cơ sở xác suất ước tính rằng một điểm yếu tiềm ẩn tồn tại, và giả sử một điểm yếu có thể khai thác tồn tại khả năng tấn công cần thiết để khai thác nó, và trên mức độ kiểm soát hoặc thỏa hiệp sẽ cung cấp. Danh sách ưu tiên về điểm yếu tiềm ẩn được sử dụng để kiểm thử thâm nhập trực tiếp đối với TOE.

Mô tả kiến trúc an toàn cung cấp phân tích điểm yếu nhà phát triển, bằng cách chỉ ra rằng các TSF bảo vệ khỏi sự can thiệp của các đối tượng không đáng tin cậy như thế nào và ngăn ngừa sự bỏ qua việc thực thi chức năng an toàn. Do đó, người đánh giá nên sử dụng mô tả của các bảo vệ TSF làm cơ sở để tìm kiếm cách thức có thể làm suy yếu các TSF.

Liên quan đến các SFR, TOE đáp ứng trong môi trường vận hành, các phân tích điểm yếu đọc lập của người đánh giá cần xem xét các điểm yếu tiềm ẩn chung theo các nhóm sau đây:

a) Điểm yếu tiềm ẩn chung có liên quan cho các loại TOE được đánh giá, có thể được cung cấp bởi cơ quan đánh giá;

b) Bỏ qua;

c) Giả mạo;

d) Các cuộc tấn công trực tiếp;

e) Giám sát;

232

TCVN xxx: 2015f) Sử dụng sai.

Mục b) - f) được giải thích chi tiết hơn trong Phụ lục B.

Mô tả kiến trúc an toàn nên được xem xét mỗi trong phượng diện từng điểm yếu tiềm ẩn chung ở trên. Mỗi điểm yếu tiềm ẩn nên được xem xét để tìm cách có thể, trong đó loại bỏ các bảo vệ TSF và làm suy yếu các TSF.

14.2.2.6.2 Đơn vị công việc AVA_VAN.2-5Người đánh giá cần ghi lại trong ETR các điểm yếu tiềm ẩn đã xác định là ứng viên cho kiểm thử và có thể áp dụng đối với TOE trong môi trường vận hành.

Có thể xác định không tiếp tục xem xét các điểm yếu tiềm ẩn cần thiết nếu, ví dụ người đánh giá xác định rằng các biện pháp trong các môi trường vận hành, hoặc IT hay phi IT, ngăn chặn khai thác các điểm yếu tiềm ẩn trong môi trường vận hành đó. Ví dụ, hạn chế truy cập vật lý vào TOE để người dùng được ủy quyền chỉ có hiệu quả làm cho một điểm yếu tiềm ẩn để giả mạo có thể không khai thác được.

Người đánh giá ghi lại bất kỳ lý do để loại trừ các điểm yếu tiềm ẩn từ xem xét thêm nếu người đánh giá xác định rằng điểm yếu tiềm ẩn không áp dụng trong các môi trường vận hành. Nếu không thì người đánh giá ghi lại điểm yếu tiềm ẩn để xem xét thêm.

Một danh sách các điểm yếu tiềm ẩn có thể áp dụng đối với TOE trong môi trường vận hành của nó, có thể được sử dụng như là một đầu vào hoạt động kiểm thử thâm nhập, được báo cáo trong ETR bởi người đánh giá.

14.2.2.7 Hành động AVA_VAN.2.4E

14.2.2.7.1 Đơn vị công việc AVA_VAN.2-6Người đánh giá cần đưa ra kiểm thử thâm nhập, trên cơ sở tìm kiếm độc lập các điểm yếu tiềm ẩn.

Người đánh giá chuẩn bị cho sự kiểm thử thâm nhập cần thiết để xác định tính nhạy cảm của TOE trong môi trường vận hành của nó để các điểm yếu tiềm ẩn được xác định trong quá trình tìm kiếm các nguồn thông tin công bố công khai. Bất kỳ thông tin hiện nay được cung cấp cho người đánh giá bằng một bên thứ ba (ví dụ: cơ quan đánh giá) liên quan đến các điểm yếu tiềm ẩn được biết đến sẽ được xem xét bởi người đánh giá, cùng với bất kỳ điểm yếu tiềm ẩn gặp phải do việc thực hiện các hoạt động đánh giá khác.

Người đánh giá cần lưu ý rằng, khi xem xét mô tả kiến trúc an toàn trong việc tìm kiếm các điểm yếu (như chi tiết trong AVA_VAN.2-4), kiểm thử nên được thực hiện để xác nhận các đặc tính kiến trúc. Điều này có thể yêu cầu kiểm tra phủ định nhằm cố gắng bác bỏ các thuộc tính của kiến trúc an toàn. Trong việc phát triển các chiến lược để kiểm thử thâm nhập, người đánh giá cần đảm bảo rằng mỗi đặc điểm chính của mô tả kiến trúc an toàn được kiểm tra, hoặc là trong kiểm tra chức năng (như xem xét trong 13) hoặc kiểm thử thâm nhập của người đánh giá .

Người đánh giá có thể tìm thấy nó thực tế để thực hiện các kiểm thử xâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, ở đó mỗi trường hợp kiểm thử sẽ kiểm tra một điểm yếu tiềm ẩn cụ thể .

Người đánh giá không được dự kiến kiểm tra các điểm yếu tiềm ẩn (bao gồm cả những điểm yếu trong miền chung) ngoài những điểm yếu được yêu cầu bởi một khả năng tấn công cơ bản. Tuy nhiên trong một số trường hợp, nó sẽ cần thiết để thực hiện một kiểm thử trước khi khả nưng có thể khai thác được xác định. Ở đây, như là kết quả của các chuyên gia đánh giá, người đánh giá phát hiện ra một điểm yếu có thể khai thác ngoài khả năng tấn công cơ bản, điều này được báo cáo trong ETR như một điểm yếu còn tồn tại.

233

TCVN xxx: 2015

Hướng dẫn xác định tiềm năng tấn công cần thiết khai thác một điểm yếu tiềm ẩn có thể được tìm thấy trong Phụ lục B.4.

Điểm yếu tiềm ẩn đưa ra giả thuyết là có thể khai thác chỉ bởi những kẻ tấn công có tiềm năng tấn công cơ bản nâng cao, trung bình hoặc tiềm năng tấn công cao cũng không dẫn đến thất bại của hoạt động đánh giá này. Các phân tích hỗ trợ giả thuyết, không cần phải được xem xét tiếp như một đầu vào để kiểm thử thâm nhập. Tuy nhiên, các điểm yếu như vậy được báo cáo trong ETR là điểm yếu còn tồn tại.

Điểm yếu tiềm ẩn đưa ra giả thuyết là có thể khai thác bởi một kẻ tấn công sở hữu một khả năng tấn công cơ bản và kết quả là vi phạm các mục tiêu an toàn, nên các điểm yếu tiềm ẩn ưu tiên cao nhất bao gồm một danh sách được sử dụng để kiểm thử thâm nhập trực tiếp chống lại TOE.

14.2.2.7.2 Đơn vị công việc AVA_VAN.2-7Người đánh giá cần cung cấp tài liệu kiểm thử xâm nhập cho các kiểm thử dựa trên danh sách các điểm yếu tiềm ẩn một cách đầy đủ chi tiết để cho phép các kiểm thử có thể lặp lại. Tài liệu kiểm thử sẽ bao gồm:

a) Xác định các điểm yếu tiềm ẩn TOE đang được kiểm thử;

b) Hướng dẫn để kết nối và thiết lập tất cả các thiết bị kiểm thử được yêu cầu theo yêu cầu để thực hiện kiểm thử thâm nhập;

c) Hướng dẫn để thiết lập tất cả điều kiện tiên quyết ban đầu của kiểm thử thâm nhập;


e) hướng dẫn để quan sát các đáp ứng của TSF;

f) Mô tả tất cả các kết quả dự kiến và các phân tích cần thiết được thực hiện về đáp ứng quan sát được để so sánh với các kết quả dự kiến;

g) Hướng dẫn kết thúc kiểm thử và thiết lập trạng thái sau kiểm thử cần thiết cho TOE.

Người đánh giá chuẩn bị cho kiểm thử thâm nhập dựa trên danh sách các điểm yếu tiềm ẩn được xác định trong quá trình tìm kiếm của miền chung và phân tích các bằng chứng đánh giá.

Người đánh giá không được dự kiến để xác định các năng khai thác điểm yếu tiềm ẩn vượt ra ngoài một khả năng tấn công cơ bản là cần thiết để thực một cuộc tấn công. Tuy nhiên, như một kết quả của các chuyên gia đánh giá, người đánh giá có thể phát hiện một điểm yếu tiềm ẩn có thể khai thác được chỉ bởi một kẻ tấn công có khả năng cao hơn khả năng tấn công cơ bản. Điểm yếu được báo cáo trong các ETR là điểm yếu còn tồn tại.

Với sự hiểu biết về các điểm yếu tiềm ẩn, người đánh giá xác định cách khả thi nhất để kiểm thử tính nhạy cảm của TOE. Cụ thể người đánh giá xem xét:

a) TSFI hoặc các giao diện TOE sẽ được sử dụng để kích thích TSF và quan sát đáp ứng (Có thể là người đánh giá cần phải sử dụng một giao diện cho TOE khác hơn với TSFI để chứng minh thuộc tính của TSF như được mô tả trong mô tả kiến trúc an toàn (theo yêu cầu bởi ADV_ARC). Cần ghi nhận rằng, mặc dù các giao diện TOE cung cấp một phương tiện để kiểm thử các tính chất của TSF, chúng không phải là các đối tượng kiểm thử).

234

TCVN xxx: 2015b) Điều kiện ban đầu cần có cho các kiểm thử (tức là bất kỳ đối tượng cụ thể hoặc đối tượng mà sẽ cần phải có và thuộc tính an toàn chúng phải có);

c) Thiết bị kiểm thử đặc biệt sẽ được yêu cầu để có thể kích thích TSFI hoặc thực hiện quan sát TSFI (mặc dù không chắc rằng thiết bị chuyên dụng sẽ được yêu cầu để khai thác điểm yếu tiềm ẩn giả định một cuộc tấn công tiềm năng cơ bản);

d) Liệu phân tích lý thuyết nên thay thế kiểm thử vật lý, đặc biệt phù hợp khi các kết quả của một kiểm thử ban đầu có thể được ngoại suy để chứng minh rằng những nỗ lực lặp đi lặp lại của một cuộc tấn công có khả năng thành công sau khi nỗ lược thược hiện một số lượng nhất định.

Người đánh giá cần có thể tìm thấy nó thực tế để thực hiện kiểm thử thâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, trong đó, mỗi trường hợp kiểm thử sẽ kiểm tra một điểm yếu tiềm ẩn yếu cụ thể.

Mục đích của việc xác định mức độ chi tiết trong tài liệu kiểm thử là cho phép người đánh giá khác lặp lại các kiểm thử và có được một kết quả tương đương.

14.2.2.7.3 Đơn vị công việc AVA_VAN.2-8Người đánh giá cần tiến hành kiểm thử thâm nhập.

Người đánh giá sử dụng các tài liệu kiểm thử xâm nhập từ đơn vị công việc AVA_VAN.2-6 làm cơ sở cho thực hiện kiểm thử thâm nhập vào TOE, nhưng điều này không ngăn cản việc người đánh giá thực hiện các kiểm thử thâm nhập đặc biệt bổ sung. Nếu cần thiết, người đánh giá có thể đưa ra các kiểm thử đặc biệt như là một kết quả của thông tin thu được trong quá trình kiểm thử thâm nhập đó. Nếu thực hiện bởi người đánh giá sẽ được ghi nhận trong các tài liệu kiểm thử xâm nhập. Kiểm thử như vậy có thể được yêu cầu để theo dõi các kết quả ngoài dự kiến hoặc quan sát, hoặc để điều tra điểm yếu tiềm ẩn gợi ý cho người đánh giá trong quá trình lên kế hoạch kiểm thử.

Kiểm thử thâm nhập cho thấy rằng một điểm yếu tiềm ẩn giả thuyết không tồn tại, sau đó người đánh giá cần xác định có hay không phân tích riêng của người đánh giá là không chính xác, hoặc nếu sản phẩm đánh giá là không chính xác hoặc không đầy đủ.

Người đánh giá không được dự kiến để kiểm thử các điểm yếu tiềm ẩn (bao gồm cả những điểm yếu trong miền chung) ngoài những điểm được yêu cầu cho một khả năng tấn công cơ bản. Tuy nhiên trong một số trường hợp, nó sẽ cần thiết để thực hiện một kiểm thử trước khi khả năng khai thác có thể được xác định. Trương hợp như là kết quả của các chuyên gia đánh giá, người đánh giá phát hiện ra một điểm yếu có thẩ khai thác ngoài khả năng tấn công cơ bản, điều này được báo cáo trong ETR như một một điểm yếu còn tồn tại.

14.2.2.7.4 Đơn vị công việc AVA_VAN.2-9Người đánh giá cần ghi lại các kết quả thực tế của các xâm nhập kiểm tra.

Trong khi một số chi tiết cụ thể của các kết quả kiểm thử thực tế có thể là khác nhau so với dự kiến (ví dụ như các trường thời gian và ngày tháng trong một bản ghi kiểm soát), kết quả tổng thể nên giống nhau. Bất kỳ kết quả các kiểm thử ngoài dự kiến sẽ được điều tra. Tác động đến việc đánh giá cần phải được công bố và giải thích.

14.2.2.7.5 Đơn vị công việc AVA_VAN.2-10Người đánh giá cần báo cáo trong ETR nỗ lực kiểm thử thâm nhập, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và kết quả.

235

TCVN xxx: 2015

Các thông tin kiểm thử thâm nhập được báo cáo trong ETR cho người phép đánh giá truyền đạt phương pháp kiểm thử thâm nhập tổng thể và nỗ lực mở rộng hoạt động con này. Mục đích cung cấp thông tin này là để cung cấp một cái nhìn tổng quan đầy ý nghĩa của nỗ lực kiểm thử thâm nhập của người đánh giá. Nó không phải là dự định mà các thông tin liên quan đến kiểm thử thâm nhập trong ETR là một việc làm chính xác các bước kiểm tra cụ thể hoặc kết quả kiểm thử thâm nhập cá nhân. Mục đích là để cung cấp đầy đủ chi tiết để cho phép người đánh giá khác và các cơ quan đánh giá để đạt được một số hiểu biết về phương pháp kiểm thử thâm nhập được lựa chọn, số lượng kiểm thử thâm nhập được thực hiện, các cấu hình kiểm thử TOE và kết quả tổng thể của hoạt động kiểm thử thâm nhập.

Thông tin đó thường được tìm thấy trong mục ETR liên quan đến nỗ lực kiểm thử thâm nhập của người đánh giá là:




Danh sách này không có nghĩa là đầy đủ và chỉ nhằm mục đích để cung cấp một số bối cảnh như các loại thông tin nên trình bày trong ETR liên quan đến các kiểm thử thâm nhập người đánh giá thực hiện trong quá trình đánh giá.

14.2.2.7.6 Đơn vị công việc AVA_VAN.2-11Người đánh giá cần kiểm tra các kết quả của tất cả các kiểm thử thâm nhập để xác định rằng TOE, trong môi trường vận hành của nó có khả năng chống lại những kẻ tấn công sở hữu một khả năng tấn công cơ bản.

Nếu kết quả cho thấy rằng TOE, trong môi trường vận hành của nó, có điểm yếu thể khai thác bởi một kẻ tấn công sở hữu khả năng tấn công thấp hơn khả năng tấn công cơ bản tăng cường thì hoạt động của người đánh giá này là thất bại.

Các hướng dẫn trong B.4 nên được sử dụng để xác định khả năng tấn công càn thiết để khai thác các điểm yếu đặc biệt và liệu nó có thể được khai thác trong môi trường dự kiến. Nó có thể không cần thiết cho khả năng tấn công được tính toán trong mọi trường hợp, chỉ khi có một số nghi ngờ là có hay không điểm yếu có thể bị khai thác bởi những kẻ tấn công sở hữu một khả năng tấn công thấp hơn khả năng cơ bản tăng cường.

14.2.2.7.7 Đơn vị công việc AVA_VAN.2-12Người đánh giá cần báo cáo trong ETR tất cả các điểm yếu có thể khai thác và điểm yếu còn tồn tại, chi tiết cho từng:



c) Mô tả;


236

TCVN xxx: 2015e) Số lượng thời gian, mức độ chuyên môn, trình độ hiểu biết của TOE, mức độ cơ hội và các thiết bị cần thiết để thực hiện các điểm yếu được xác định, và các giá trị tương ứng sử dụng các bảng B.2 và B.3 của Phụ lục B.4.


14.2.3.1 Mục tiêuMục tiêu hoạt động con này là để xác định liệu TOE, trong môi trường vận hành của nó, có điểm yếu có thể khai thác bởi những kẻ tấn công sở khả năng tấn công cơ bản tăng cường.

14.2.3.2 Đầu vàoCác tiềm ẩn còn lại đánh giá bằng chứng cho hoạt động con này phụ thuộc vào các thành phần đã được bao gồm trong gói đảm bảo.

Các bằng chứng được cung cấp cho mỗi thành phần được sử dụng như là đầu vào trong hoạt động con này.


a) thông tin hiện hành liên quan đến lĩnh vực điểm yếu tiềm năng chung và các cuộc tấn công (ví dụ như từ một cơ quan đánh giá).

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;




e) tập con thực hiện được lựa chọn;

f) Tài liệu hướng dẫn;

g) TOE phù hợp để kiểm thử;

h) Thông tin công bố công khai để hỗ trợ việc xác định điểm yếu tiềm năng có thể có.

Các bằng chứng đánh giá tiềm ẩn còn tồn tại cho hoạt động con này phụ thuộc vào các thành phần bao gồm trong gói bảo đảm. Các bằng chứng được cung cấp cho mỗi thành phần được sử dụng như là đầu vào trong hoạt động con này.


a) Thông tin hiện tại về điểm yếu tiềm ẩn miền chung và các cuộc tấn công (ví dụ như từ một cơ quan đánh giá).

14.2.3.3 Các lưu ý áp dụngTrong quá trình tiến hành các hoạt động đánh giá người đánh giá cũng có thể xác định các khu vực quan tâm. Đây là những phần cụ thể của bằng chứng TOE rằng người đánh giá có một số điều kiện hạn chế, mặc dù các bằng chứng đáp ứng các yêu cầu đối với các hoạt động mà các bằng chứng có liên quan. Ví dụ, một đặc tả giao diện cụ thể có vẻ đặc biệt phức tạp, và do đó có thể bị lỗi hoặc trong sự phát triển của TOE hoặc trong các hoạt động của TOE. Không có điểm yếu tiềm ẩn rõ ràng ở giai

237

TCVN xxx: 2015

đoạn này, tiếp tực điều tra cần thiết. Điều này nằm ngoài các giới hạn gặp phải, tiếp rục điều tra là cần thiết.

Phương pháp trọng tâm để xác định các điểm yếu tiềm ẩn là phân tích về các bằng chứng nhằm xác định bất kỳ điểm yếu tiềm ẩn rõ ràng thông qua các thông tin. Nó là một phân tích phi cấu trúc, như phương pháp này không được xác định trước. Hướng dẫn thêm về phân tích điểm yếu trọng tâm có thể tìm thấy trong Phụ lục B.2.2.2.2.

14.2.3.4 Hành động AVA_VAN.3.1ETCVN 8709-3:2011 AVA_VAN.3.1C: TOE cần phù hợp để kiểm thử.

14.2.3.4.1 Đơn vị công việc AVA_VAN.3-1Người đánh giá cần kiểm tra TOE để xác định các cấu hình kiểm thử phù hợp với cấu hình để đánh giá theo quy định trong ST.

TOE được cung cấp bởi nhà phát triển và được xác định trong kế hoạch kiểm thử phải có cùng một tham chiếu duy nhất như được thiết lập bởi hoạt động con Khả năng CM (ALC_CMC) và xác định trong giới thiệu ST.

ST có thể có chỉ định nhiều hơn một cấu hình để đánh giá. TOE có thể cầu thành từ một số thực thể phần cứng và phần mềm riêng biệt cần phải được kiểm tra phù hợp với ST. Người đánh giá xác nhận rằng tất cả các cấu hình kiểm thử phù hợp với ST.

Người đánh giá cần xem xét mục tiêu an toàn đối với môi trường vận hành được mô tả trong ST có thể áp dụng cho môi trường kiểm thử và đảm bảo chúng đáp ứng trong môi trường kiểm thử. Có thể có một số mục tiêu đối với môi trường vận hành mà không phải để áp dụng cho môi trường kiểm thử. Ví dụ, một mục tiêu về xoá người dùng có thể không áp dụng; Tuy nhiên, một mục tiêu về một điểm kết nối mạng duy nhất sẽ được áp dụng.

Nếu có bất kỳ tài nguyên kiểm thử nào được sử dụng (ví dụ: thiết bị đo mét, thiết bị phân tích), Người đánh giá có trách nhiệm đảm bảo rằng các nguồn này được hiệu chuẩn chính xác.

14.2.3.4.2 Đơn vị công việc AVA_VAN.3-2Người đánh giá cần kiểm tra TOE để xác định rằng nó đã được cài đặt đúng cách và trong một trạng thái xác định.

Người đánh giá có thể xác định trạng thái của TOE trong một số cách khác nhau. Ví dụ, kết thúc đánh giá thành công trước đó của hoạt động con (AGD_PRE.1), hoạt động con sẽ đáp ứng đơn vị công việc này nếu người đánh giá vẫn tin rằng TOE được sử dụng để kiểm thử đã được cài đặt đúng cách và ở trạng thái xác định. Nếu không phải là trường hợp này thì người đánh giá cần thực hiện theo các thủ tục của nhà phát triển để cài đặt và khởi động TOE, chỉ sử dụng hướng dẫn được cung cấp.

Nếu người đánh giá thực hiện các thủ tục cài đặt vì trạng thái của TOE không xác định, công việc này đơn vị khi hoàn thành có thể đáp ứng đơn vị công việc AGD_PRE.1-3.

14.2.3.5 Hành động AVA_VAN.3.2E14.2.3.5.1 Đơn vị công việc AVA_VAN.3-3Người đánh giá cần kiểm tra các nguồn thông tin công bố công khai để xác định các điểm yếu tiềm ẩn trong TOE.

238

TCVN xxx: 2015Người đánh giá xem xét các nguồn thông tin công bố công khai để hỗ trợ việc xác định điểm yếu tiềm ẩn có thể có trong TOE. Có rất nhiều nguồn thông tin công bố công khai mà người đánh giá cần xem xét sử dụng các mục có sẵn trên các website, bao gồm:


b) Tài liệu nghiên cứu;

c) Biên bản hội nghị.

Người đánh giá không hạn chế xem xét thông tin công bố công khai như trên, nhưng nên xem xét bất kỳ thông tin có liên quan khác.

Trong khi kiểm tra các bằng chứng được cung cấp người đánh giá cần sử dụng thông tin trong miền chung để tiếp tục tìm kiếm cho các điểm yếu tiềm ẩn. Trường hợp người đánh giá đã xác định được khu vực quan tâm, Người đánh giá nên xem xét thông tin công bố công khai có liên quan đến những lĩnh vực quan tâm.

Tính sẵn có của thông tin có thể có sẵn cho kẻ tấn công giúp xác định và tạo điều kiện cho các cuộc tấn công có hiệu quả hoạt động để tăng cường đáng kể khả năng tấn công của một cho kẻ tấn công nhất định. Khả năng tiếp cận các thông tin điểm yếu và các công cụ tấn công tinh vi trên mạng Internet làm tăng khả năng rằng thông tin này sẽ được sử dụng trong nỗ lực để xác định các điểm yếu tiềm năng trong TOE và khai thác chúng. Công cụ tìm kiếm hiện đại làm cho thông tin như vậy dễ dàng có sẵn cho người đánh giá, và việc xác định khả năng chống công bố điểm yếu tiềm ẩn và các tấn công thông thường đã biết có thể đạt được một cách hiệu quả.



Người đánh giá cần báo cáo những hành động được thực hiện để xác định các điểm yếu tiềm ẩn trong các bằng chứng. Tuy nhiên, trong cách tìm kiếm này, người đánh giá có thể không có khả năng mô tả các bước trong việc xác định điểm yếu tiềm ẩn trước khi bắt đầu kiểm thử, theo phương pháp này có thể phát triển như là kết quả của phát hiện trong quá trình tìm kiếm.

Người đánh giá sẽ báo cáo các bằng chứng kiểm tra hoàn thành việc tìm kiếm các điểm yếu tiềm ẩn. Lựa chọn bằng chứng này có thể được bắt nguồn từ những khu vực quan tâm được xác định bởi người đánh giá, liên kết với các bằng chứng của kẻ tấn công được cho là có khả năng có được, hoặc theo một lý do được cung cấp bởi người đánh giá.

14.2.3.6 Hành động AVA_VAN.3.3E14.2.3.6.1 Đơn vị công việc AVA_VAN.3-4Người đánh giá cần tiến hành tìm kiếm trọng tâm ST, tài liệu hướng dẫn, đặc tả chức năng, thiết kế TOE, mô tả kiến trúc an toàn và mô tả thực hiện để xác định điểm yếu tiềm ẩn có thể có trong TOE.

Một phương pháp luận giả thuyết điểm yếu cần được sử dụng theo đó thông số kỹ thuật, và phát triển và bằng chứng hướng dẫn được phân tích mà sau đó các điểm yếu tiềm ẩn trong TOE được giả thuyết, hoặc suy đoán.

239

TCVN xxx: 2015

Người đánh giá sử dụng các kiến thức về thiết kế TOE và hoạt động thu được từ TOE sẵn sàng chuyển giao để tiến hành một giả thuyết sai sót để xác định các sai sót tiềm ẩn trong việc phát triển TOE và các lỗi tiềm ẩn trong các phương thức hoạt động cụ thể của TOE.

Mô tả kiến trúc an toàn cung cấp các phân tích điểm yếu nhà phát triển, khi nó cung cấp cách thức TSF tự bảo vệ khỏi can thiệp của các đối tượng không đáng tin cậy và ngăn ngừa sự bỏ qua của chức năng thực thi an toàn. Do đó, người đánh giá nên xây dựng dựa trên hiểu biết về bảo vệ TSF thu được từ việc phân tích bằng chứng này và sau đó phát triển trong kiến thức thu được từ bằng chứng phát triển ADV khác.

Phương pháp thực hiện được định hướng bởi các khu vực quan tâm được xác định trong quá trình kiểm tra các bằng chứng trong quá trình tiến hành các hoạt động đánh giá và đảm bảo một mẫu đại diện của sự phát triển và bằng chứng hướng dẫn được cung cấp cho việc đánh giá được tìm kiếm.

Để có hướng dẫn về việc lấy mẫu xem phụ lục A.2. Hướng dẫn này nên được xem xét khi lựa chọn các tập con, đưa ra lý do cho:

a) Các phương pháp được sử dụng trong lựa chọn;

b) Đủ điều kiện là bằng chứng để được xem xét hỗ trợ cho phương pháp đó.

Các khu vực quan tâm có thể liên quan đến sự đầy đủ các tính năng bảo vệ cụ thể chi tiết trong mô tả kiến trúc an toàn.

Các bằng chứng được xem xét trong quá trình phân tích điểm yếu có thể liên quan đến các bằng chứng mà kẻ tấn công được giả định là có thể có được. Ví dụ, nhà phát triển có thể bảo vệ thiết kế TOE và trình bày thực hiện, vì vậy các thông tin giả định là có sẵn cho một kẻ tấn công là đặc tả chức năng và hướng dẫn (công bố công khai). Vì vậy, mặc dù các mục tiêu để đảm bảo trong TOE đảm bảo các yêu cầu về thiết kế TOE và trình bày thực hiện được đáp ứng, các cơ quan đại diện thiết kế chỉ có thể được tìm kiếm để tiếp tục điều tra các khu vực quan tâm.

Mặt khác, nếu tài nguyên là công bố công khai sẽ là hợp lý để giả định rằng kẻ tấn công truy cập vào các tài nguyên và có thể sử dụng chúng trong nỗ lực để tấn công TOE. Do đó, tài nguyên nên được xem xét trong các phương pháp kiểm tra trọng tâm.

Các phần sau đây chỉ ra ví dụ cho việc lựa chọn các tập con của bằng chứng được xem xét:

a) Đối với một đánh giá mà tất cả các mức của thiết kế trừu tượng từ đặc tả chức năng đến trình bày thực hiện được cung cấp, kiểm tra các thông tin trong các đặc tả chức năng và trình bày thực hiện có thể được lựa chọn, như các đặc tả chức năng cung cấp các chi tiết của giao diện có sẵn cho kẻ tấn công, và trình bày thực hiện kết hợp các quyết định thiết kế được thực hiện ở tất cả các khái niệm thiết kế trừu tượng khác. Do đó, các thông tin thiết kế TOE sẽ được coi như là một phần của trình bày thực hiện.

b) Kiểm tra một tập con cụ thế các thông tin trong từng trình bày thiết kế được cung cấp cho việc đánh giá.

c) Phạm vi của các SFR cụ thể qua từng giải trình thiết kế được cung cấp cho việc đánh giá.

d) Kiểm tra từng giải trình thiết kế được cung cấp cho việc đánh giá, xem xét các SFR khác nhau trong từng giải trình thiết kế.

240

TCVN xxx: 2015e) Xem xét các khía cạnh của các bằng chứng được cung cấp cho người đánh giá liên quan tới thông tin điểm yếu tiềm ẩn hiện tại người đánh giá đã nhận được (ví dụ như từ một chương trình).

Phương pháp này để xác định các điểm yếu tiềm ẩn là để có một cách tiếp cận có trật tự và kế hoạch; áp dụng một hệ thống để kiểm tra. Người đánh giá mô tả phương pháp được sử dụng trong các điều khoản mà bằng chứng sẽ được xem xét, các thông tin trong bằng chứng được kiểm tra theo cách thức mà thông tin này phải được xem xét và giả thuyết đó là được tạo ra.

Phần sau đây cung cấp một số ví dụ mà một giả thuyết có thể thực hiện:

a) xem xét đầu vào bị thay đổi đối với các giao diện có sẵn cho một kẻ tấn công tại các giao diện bên ngoài;

b) Kiểm tra cơ chế an toàn chính được tích dẫn trong mô tả kiến trúc an toàn, chẳng hạn như quá trình phân tách, giả thuyết tràn bộ đệm bên trong có thể dẫn đến sự suy giảm của việc phân tách;

c) Tìm kiếm để xác định bất kỳ đối tượng được tạo ra trong trình bày thực hiện TOE mà sau đó không được kiểm soát đầy đủ bởi TSF, và có thể được sử dụng bởi một kẻ tấn công để phá hoại các SFR.

Ví dụ, người đánh giá có thể xác định rằng giao diện là một khu vực tiềm ẩn của điểm yếu trong TOE và xác định một phương pháp để tìm kiếm "tất cả các đăc tả giao diện được cung cấp trong đặc tả chức năng và thiết kế TOE sẽ được tìm kiếm để đưa ra giả thuyết điểm yếu tiềm ẩn" và giải thích các phương pháp được sử dụng trong các giả thuyết.

Các quá trình xác định là lặp đi lặp lại, mà việc xác định một điểm yếu tiềm ẩn có thể dẫn đến việc xác định một khu vực quan tâm đòi hỏi phải tiếp tục điều tra.

Người đánh giá sẽ báo cáo những hành động nào được thực hiện để xác định các điểm yếu tiềm ẩn trong các bằng chứng. Tuy nhiên, trong cách tìm kiếm này, người đánh giá có thể không có khả năng để mô tả các bước trong việc xác định các điểm yếu tiềm ẩn trước khi bắt đầu của việc kiểm tra, theo phương pháp này có thể phát triển như là kết quả của những phát hiện trong quá trình tìm kiếm.

Người đánh giá sẽ báo cáo các bằng chứng kiểm tra khi kết thúc việc tìm kiếm các điểm yếu tiềm ẩn. Lựa chọn này của bằng chứng có thể được bắt nguồn từ những khu vực quan tâm được xác định bởi người đánh giá, liên kết với các chứng cứ mà kẻ tấn công được giả định là có thể có được, hoặc theo một lý do được cung cấp bởi người đánh giá.

Theo các SFR, TOE đáp ứng trong môi trường vận hành, các phân tích điểm yếu độc lập của người đánh giá cần xem xét các điểm yếu tiềm ẩn tổng thể theo từng tiêu đề sau đây:

a) Điểm yếu tiềm ẩn tổng thể có liên quan cho các loại TOE được đánh giá, có thể được cung cấp bởi cơ quan đánh giá;

b) Bỏ qua;

c) Giả mạo;


e) Giám sát;

f) sử dụng sai.


241

TCVN xxx: 2015

Mô tả kiến trúc an toàn nên được xem xét trong phương diện của từng điểm yếu tiềm ẩn tổng thể ở trên. Mỗi điểm yếu tiềm ẩn nên được xem xét để tìm kiếm cách thức có thể có để đánh bại các TSF bảo vệ và làm suy yếu các TSF.

Các mô tả kiến trúc an ninh nên được xem xét trong ánh sáng của mỗi lỗ hổng tiềm năng chung ở trên. Mỗi lỗ hổng tiềm năng cần được xem xét để tìm kiếm những cách có thể, trong đó để đánh bại các TSF bảo vệ và làm suy yếu TSF.

14.2.3.6.2 Đơn vị công việc AVA_VAN.3-5Người đánh giá cần ghi lại trong ETR các điểm yếu tiềm ẩn được xác định là ứng cử viên cho kiểm thử và có khả năng áp dụng đối với TOE trong môi trường vận hành của nó.

Có thể xác định không cần tiếp tục xem xét các điểm yếu tiềm ẩn, nếu ví dụ người đánh giá xác định rằng các biện pháp trong môi trường vận hành, hoặc IT hay phi IT, ngăn chặn việc khai thác các điểm yếu tiềm ẩn trong môi trường vận hành đó. Ví dụ, hạn chế truy cập vật lý vào TOE để người sử dụng đươch ủy quyền chỉ có thể làm cho một điểm yếu tiềm ẩn giả mạo không thể khai thác được một cách hiệu quả.

Người đánh giá ghi lại bất kỳ lý do để loại trừ các điểm yếu tiềm ẩn từ xem xét thêm nếu đánh giá xác định rằng điểm yếu tiềm ẩn là không áp dụng trong môi trường vận hành. Nếu không, người đánh giá ghi lại điểm yếu tiềm ẩn để xem xét thêm.

Một danh sách các điểm yếu tiềm ẩn có khả ăng áp dụng đối với TOE trong môi trường vận hành của nó, có thể được sử dụng là đầu vào cho các hoạt động kiểm thử thâm nhập và phải được báo cáo trong ETR bởi người đánh giá.

14.2.3.7 Hành động AVA_VAN.3.4E14.2.3.7.1 Đơn vị công việc AVA_VAN.3-6Người đánh giá đưa ra kiểm thử thâm nhập, trên cơ sở tìm kiếm độc lập các điểm yếu tiềm ẩn.

Người đánh giá chuẩn bị kiểm thử thâm nhập là cần thiết để xác định tính nhạy cảm của TOE trong môi trường vận hành của nó, với các điểm yếu tiềm ẩn được xác định trong quá trình tìm kiếm các nguồn thông tin công bố công khai. Bất kỳ thông tin hiện tại cung cấp cho người đánh giá bởi một bên thứ ba (ví dụ: cơ quan đánh giá) liên quan đến các điểm yếu tiềm ẩn được biết đến sẽ được xem xét bởi người đánh giá, cùng với bất kỳ điểm yếu tiềm ẩn gặp phải do việc thực hiện các hoạt động đánh giá khác.

Người đánh giá lưu ý rằng, khi xem xét mô tả kiến trúc an toàn trong việc tìm kiếm các điểm yếu (như chi tiết trong AVA_VAN.3-4), việc kiểm thử nên được thực hiện để xác nhận các thuộc tính kiến trúc. Nếu các yêu cầu từ ATE_DPT có trong SARs, các bằng chứng kiểm thử nhà phát triển sẽ bao gồm thử nghiệm được thực hiện để xác nhận việc thực hiện chính xác các cơ chế cụ thể bất kỳ chi tiết trong mô tả kiến trúc an toàn. Tuy nhiên, các kiểm thử nhà phát triển sẽ không nhất thiết phải bao gồm các kiểm thử của tất cả các khía cạnh của thuộc tính kiến trúc bảo vệ TSF, càng nhiều các thử nghiệm này sẽ được kiểm thử phủ định về bản chất để cố gắng bác bỏ các thuộc tính. Trong việc phát triển các chiến lược để kiểm thử thâm nhập, người đánh giá sẽ đảm bảo rằng tất cả các khía cạnh của mô tả kiến trúc an toàn đang được thử nghiệm, hoặc trong kiểm thử chức năng (như xem xét trong 13) hoặc kiểm thử thâm nhập của người đánh giá.

Có thể thực hiện kiểm thử thâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, trong đó mỗi trường hợp kiểm thử sẽ kiểm tra cho một điểm yếu tiềm ẩn cụ thể .

242

TCVN xxx: 2015Người đánh giá không được dự kiến để kiểm thử các điểm yếu tiềm ẩn (bao gồm cả những điểm yếu trong miền chung) ngoài những điểm yếu yêu cầu một bản khả năng tấn công cơ bản tăng cường. Tuy nhiên, trong một số trường hợp, sẽ là cần thiết để thực hiện một kiểm thử trước khi các khả năng khai thác có thể được xác định. Ở đây, như là kết quả đánh giá của các chuyên gia đánh giá, người đánh giá phát hiện ra một điểm yếu có thể khai thác là ngoài khả năng tấn công cơ bản tăng cường, điều này được báo cáo trong ETR như một tố điểm yếu còn tồn tại.

Hướng dẫn xác định khả năng tấn công cần thiết để khai thác một điểm yếu tiềm ẩn có thể được tìm thấy trong Phụ lục B.4.

Điểm yếu tiềm ẩn đưa ra giả thuyết là chỉ có thể khai thác chỉ bởi những kẻ tấn công sở hữu khả năng tấn công trung bình hoặc cao không dẫn đến thất bại của hoạt động đánh giá này. Trường hợp phân tích hỗ trợ giả thuyết, không cần phải được xem xét tiếp như một đầu vào để kiểm thử thâm nhập. Tuy nhiên, điểm yếu này được báo cáo trong ETR là điểm yếu còn tồn tại.

Điểm yếu tiềm ẩn đưa ra giả thuyết là có thể khai thác bởi một kẻ tấn công sở hữu khả năng tấn công cơ bản hoặc cơ bản tăng cường và kết quả là một sự vi phạm mục tiêu an toàn nên các điểm yếu tiềm ẩn ưu tiên cao nhất bao gồm một danh sách được sử dụng để kiểm thử thâm nhập trực tiếp chống lại TOE.

14.2.3.7.2 Đơn vị công việc AVA_VAN.3-7Người đánh giá cần cung cấp tài liệu kiểm thử thâm nhập cho các kiểm thử dựa trên danh sách điểm yếu tiềm ẩn đầy đủ chi tiết để cho phép các kiểm thử có khả năng lặp lại, tài liệu kiểm thử sẽ bao gồm:


b) Hướng dẫn để kết nối và thiết lập tất các các thiết bị kiểm thử được yêu cầu theo yêu cầu để thực hiện sự kiểm thử thâm nhập ;

c) Hướng dẫn để thiết lập tất cả cácđiều kiện tiên quyết ban đầu cho kiểm thử thâm nhập;


e) Hướng dẫn để quan sát các đáp ứng của TSF;



Người đánh giá chuẩn bị cho kiểm thử thâm nhập dựa trên danh sách các điểm yếu tiềm ẩn được xác định trong quá trinh tìm kiếm của miền chung và việc phân tích các bằng chứng đánh giá.

Người đánh giá không được dự kiến để xác định khả năng khai thác đối với các điểm yếu tiềm ẩn vượt ra ngoài một cuộc tấn công tiềm năng cơ bản tăng cường là cần thiết để thực hiện một cuộc tấn công. Tuy nhiên, như một kết quả của các chuyên gia đánh giá, người đánh giá có thể phát hiện ra một một điểm yếu tiềm ẩn có thể khai thác chỉ bởi một kẻ tấn công có khả năng tấn công cao hơn khả năng tấn công cơ bản tăng cường. Điểm yếu đó được báo cáo trong ETR như lỗ hổng còn tồn tại.

Với sự hiểu biết về các điểm yếu tiềm ẩn, người đánh giá xác định cách khả thi nhất để kiểm tra tính nhạy cảm của TOE. Cụ thể người đánh giá xem xét:

a) TSFI hoặc các giao diện TOE sẽ được sử dụng để kích thích TSF và quan sát đáp ứng (Có thể là người đánh giá cần phải sử dụng một giao diện cho TOE khác hơn với TSFI để chứng minh

243

TCVN xxx: 2015

thuộc tính của TSF như được mô tả trong mô tả kiến trúc an toàn (theo yêu cầu bởi ADV_ARC). Cần ghi nhận rằng, mặc dù các giao diện TOE cung cấp một phương tiện để kiểm thử các tính chất của TSF, chúng không phải là các đối tượng kiểm thử).

b) Điều kiện ban đầu cần có cho các kiểm thử (tức là bất kỳ đối tượng cụ thể hoặc đối tượng mà sẽ cần phải có và thuộc tính an toàn chúng phải có);

c) Thiết bị kiểm thử đặc biệt sẽ được yêu cầu để có thể kích thích TSFI hoặc thực hiện quan sát TSFI (mặc dù không chắc rằng thiết bị chuyên dụng sẽ được yêu cầu để khai thác điểm yếu tiềm ẩn giả định một cuộc tấn công tiềm năng cơ bản tăng cường);


Người đánh giá cần có thể tìm thấy nó thực tế để thực hiện kiểm thử thâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, trong đó, mỗi trường hợp kiểm thử sẽ kiểm tra một điểm yếu tiềm ẩn yếu cụ thể.

Mục đích của việc xác định mức độ chi tiết trong tài liệu kiểm thử là để cho phép người đánh giá khác lặp lại các kiểm thử và có được một kết quả tương đương.


Người đánh giá sử dụng các tài liệu kiểm thử xâm nhập từ đơn vị công việc AVA_VAN.3-6 làm cơ sở cho thực hiện kiểm thử thâm nhập vào TOE, nhưng điều này không ngăn cản việc người đánh giá thực hiện các kiểm thử thâm nhập đặc biệt bổ sung. Nếu cần thiết, người đánh giá có thể đưa ra các kiểm thử đặc biệt như là một kết quả của thông tin thu được trong quá trình kiểm thử thâm nhập đó. Nếu được thực hiện bởi người đánh giá sẽ được ghi nhận trong các tài liệu kiểm thử xâm nhập. Kiểm thử như vậy có thể được yêu cầu để theo dõi các kết quả ngoài dự kiến hoặc quan sát, hoặc để điều tra điểm yếu tiềm ẩn gợi ý cho người đánh giá trong quá trình lên kế hoạch kiểm thử.


Người đánh giá không được dự kiến để kiểm thử các điểm yếu tiềm ẩn (bao gồm cả những điểm yếu trong miền chung) ngoài những điểm được yêu cầu cho một khả năng tấn công cơ bản tăng cường. Tuy nhiên trong một số trường hợp, nó sẽ cần thiết để thực hiện một kiểm thử trước khi khả năng khai thác có thể được xác định. Trường hợp như là kết quả của các chuyên gia đánh giá, người đánh giá phát hiện ra một điểm yếu có thể khai thác vượt quá khả năng tấn công cơ bản tăng cường, điều này được báo cáo trong ETR như một một điểm yếu còn tồn tại.

14.2.3.7.4 Đơn vị công việc AVA_VAN.3-9Người đánh giá cần ghi lại các kết quả thực tế của các kiểm thử thâm nhập.

Trong khi một số chi tiết cụ thể của các kết quả kiểm thử thực tế có thể khác so với các kết quả dự kiến (ví dụ như trường thời gian và ngày trong một bản nghi kiểm soát), kết quả tổng thể nên giống như nhau. Bất kỳ kết quả kiểm thử ngoài dự kiến sẽ được điều tra, tác động về việc đánh giá cần phải được công bố và giải thích.

244

TCVN xxx: 201514.2.3.7.5 Đơn vị công việc AVA_VAN.3-10Người đánh giá cần báo cáo trong ETR nỗ lực kiểm thử thâm nhập, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và các kết quả.

Thông tin kiểm thử thâm nhập được báo cáo trong ETR cho người phép đánh giá truyền đạt phương pháp kiểm thử thâm nhập tổng thể và nỗ lực mở rộng hoạt động con này. Mục đích cung cấp thông tin này là để cung cấp một cái nhìn tổng quan đầy ý nghĩa về nỗ lực kiểm thử thâm nhập của người đánh giá. Nó không phải là dự định mà các thông tin liên quan đến kiểm thử thâm nhập trong ETR là một việc làm chính xác các bước kiểm tra cụ thể hoặc kết quả kiểm thử thâm nhập cá nhân. Mục đích là để cung cấp đầy đủ chi tiết để cho phép người đánh giá khác và các cơ quan đánh giá để đạt được một số hiểu biết về phương pháp kiểm thử thâm nhập được lựa chọn, số lượng kiểm thử thâm nhập được thực hiện, các cấu hình kiểm thử TOE và kết quả tổng thể của hoạt động kiểm thử thâm nhập.






14.2.3.7.6 Đơn vị công việc AVA_VAN.3-11Người đánh giá cần xem xét các kết quả của tất cả các kiểm thử thâm nhập để xác định rằng TOE trong môi trường vận hành của nó có khả năng chống một kẻ tấn công sở hữu một khả năng tấn công cơ bản tăng cường.

Nếu kết quả cho thấy rằng TOE trong môi trường vận hành của nó, có điểm yếu có thể khai thác bởi một kẻ tấn công sở hữu khả năng tấn công ít hơn khả năng tấn công cơ bản tăng cường thì hành động của người đánh giá này là thất bại.

Các hướng dẫn trong B.4 nên được sử dụng để xác định khả năng tấn công cần thiết để khai thác một điểm yếu đặc biệt và do đó liệu nó có thể được khai thác trong môi trường dự định. Nó có thể không cần thiết cho khả năng tấn công phải được tính toán trong mọi trường hợp, khi chỉ có một số nghi ngờ là có hay không những điểm yếu có thể bị khai thác bởi những kẻ tấn công sở hữu khả năng tấn công ít hơn khả năng tấn công trung bình.




c) Mô tả;

245

TCVN xxx: 2015




14.2.4.1 Mục tiêuMục tiêu hoạt động con này là để xác định liệu TOE trong môi trường vận hành của nó, có các điểm yếu có thể khai thác bởi những kẻ tấn công sở hữu khả năng tấn công trung bình.


a) ST;




e) Trình bày thực hiện;

f) Tài liệu hướng dẫn;

g) TOE phù hợp để kiểm thử;

h) Thông tin công bố công khai để hỗ trợ việc xác định điểm yếu tiềm ẩn có thể có.

Các bằng chứng đánh giá tiềm ẩn còn tồn tại cho hoạt động con này phụ thuộc vào các thành phần đã được bao gồm trong gói bảo đảm. Các bằng chứng được cung cấp cho mỗi thành phần được sử dụng như là đầu vào trong các hoạt động con này.


a) Thông tin hiện hành liên quan đến các điểm yếu tiềm ẩn miền chung và các cuộc tấn công (ví dụ như từ một cơ quan đánh giá).

14.2.4.3 Các lưu ý áp dụngCác phương pháp phân tích có hệ thống có hình thức của một kiểm tra cấu trúc của các bằng chứng. Phương pháp này đòi hỏi người đánh giá xác định cấu trúc và hình thành các phân tích sẽ thực hiện (tức là cách thức mà các phân tích được thực là xác định trước, không giống như các phân tích trọng tâm). Phương pháp này được quy định trong điều khoản của thông tin đó sẽ được xem xét và làm thế nào/tại sao nó sẽ được xem xét. Hướng dẫn về phân tích điểm yếu có hệ thống có thể được tìm thấy trong Phụ lục B.2.2.2.3.

14.2.4.4 Hành động AVA_VAN.4.1ETCVN 8709-3:2011 AVA_VAN.4.1C: TOE cần phù hợp để kiểm thử.

246

TCVN xxx: 201514.2.4.4.1 Đơn vị công việc AVA_VAN.4-1Người đánh giá cần kiểm tra TOE để xác định các cấu hình kiểm thử phù hợp với cấu hình để đánh giá theo quy định trong ST.

TOE được cung cấp bởi nhà phát triển và được xác định trong kế hoạch kiểm thử phải có cùng một tham chiếu duy nhất như được thiết lập bởi hoạt động con Khả năng CM (ALC_CMC) và xác định trong giới thiệu ST.

ST có thể có chỉ định nhiều hơn một cấu hình để đánh giá. TOE có thể cầu thành từ một số thực thể phần cứng và phần mềm riêng biệt cần phải được kiểm tra phù hợp với ST. Người đánh giá xác nhận rằng tất cả các cấu hình kiểm thử phù hợp với ST.

Người đánh giá cần xem xét mục tiêu an toàn đối với môi trường vận hành được mô tả trong ST có thể áp dụng cho môi trường kiểm thử và đảm bảo chúng đáp ứng trong môi trường kiểm thử. Có thể có một số mục tiêu đối với môi trường vận hành mà không phải để áp dụng cho môi trường kiểm thử. Ví dụ, một mục tiêu về xoá người dùng có thể không áp dụng; Tuy nhiên, một mục tiêu về một điểm kết nối mạng duy nhất sẽ được áp dụng.

Nếu có bất kỳ tài nguyên kiểm thử nào được sử dụng (ví dụ: thiết bị đo mét, thiết bị phân tích), Người đánh giá có trách nhiệm đảm bảo rằng các nguồn này được hiệu chuẩn chính xác.

14.2.4.4.2 Đơn vị công việc AVA_VAN.4-2Người đánh giá cần kiểm tra TOE để xác định rằng nó đã được cài đặt đúng cách và trong một trạng thái xác định.

Người đánh giá có thể xác định trạng thái của TOE trong một số cách khác nhau. Ví dụ, kết thúc đánh giá thành công trước đó của hoạt động con (AGD_PRE.1), hoạt động con sẽ đáp ứng đơn vị công việc này nếu người đánh giá vẫn tin rằng TOE được sử dụng để kiểm thử đã được cài đặt đúng cách và ở trạng thái xác định. Nếu không phải là trường hợp này thì người đánh giá cần thực hiện theo các thủ tục của nhà phát triển để cài đặt và khởi động TOE, chỉ sử dụng hướng dẫn được cung cấp.

Nếu người đánh giá thực hiện các thủ tục cài đặt vì trạng thái của TOE không xác định, công việc này đơn vị khi hoàn thành có thể đáp ứng đơn vị công việc AGD_PRE.1-3.

14.2.4.5 Hành động AVA_VAN.4.2E14.2.4.5.1 Đơn vị công việc AVA_VAN.4-3Người đánh giá cần kiểm tra các nguồn thông tin công bố công khai để xác định các điểm yếu tiềm ẩn trong TOE.

Người đánh giá xem xét các nguồn thông tin công bố công khai để hỗ trợ việc xác định điểm yếu tiềm ẩn có thể có trong TOE. Có rất nhiều nguồn thông tin công bố công khai mà người đánh giá cần xem xét sử dụng các mục có sẵn trên các website, bao gồm:


b) Tài liệu nghiên cứu;

c) Biên bản hội nghị.

Người đánh giá không hạn chế xem xét thông tin công bố công khai như trên, nhưng nên xem xét bất kỳ thông tin có liên quan khác.

247

TCVN xxx: 2015

Các thông tin có thể dễ dàng có sẵn cho một kẻ tấn công giúp để xác định và tạo điều kiện các cuộc tấn công có thể tăng cường đáng kể các cuộc tấn công tiềm năng của một cho kẻ tấn công. Khả năng tiếp cận của lỗ hổng thông tin và phức tạp các công cụ tấn công vào các Internet làm cho nó nhiều khả năng rằng thông tin này sẽ được sử dụng trong nỗ lực để xác định các điểm yếu tiềm năng trong TOE và khai thác chúng. Công cụ tìm kiếm hiện đại giúp cho thông tin như vậy dễ dàng có sẵn cho đánh giá viên, và xác định tiềm năng công bố điểm yếu và tấn công đã biết có thể đạt được một cách hiệu quả.

Trong khi kiểm tra các bằng chứng được cung cấp người đánh giá cần sử dụng thông tin trong miền chung để tiếp tục tìm kiếm cho các điểm yếu tiềm ẩn. Trường hợp người đánh giá đã xác định được khu vực quan tâm, Người đánh giá nên xem xét thông tin công bố công khai có liên quan đến những lĩnh vực quan tâm.

Tính sẵn có của thông tin có thể có sẵn cho kẻ tấn công giúp xác định và tạo điều kiện cho các cuộc tấn công có hiệu quả hoạt động để tăng cường đáng kể khả năng tấn công của một cho kẻ tấn công nhất định. Khả năng tiếp cận các thông tin điểm yếu và các công cụ tấn công tinh vi trên mạng Internet làm tăng khả năng rằng thông tin này sẽ được sử dụng trong nỗ lực để xác định các điểm yếu tiềm ẩn trong TOE và khai thác chúng. Công cụ tìm kiếm hiện đại làm cho thông tin như vậy dễ dàng có sẵn cho người đánh giá, và việc xác định khả năng chống công bố điểm yếu tiềm ẩn và các tấn công thông thường đã biết có thể đạt được một cách hiệu quả.



Người đánh giá cần mô tả phương pháp được thực hiện để xác định các điểm yếu tiềm ẩn trong các tài nguyên công bố công khai, chi tiết việc tìm kiếm được thực hiện. Điều này có thể được điều khiển bởi các yếu tố như khu vực quan tâm xác định bởi người đánh giá, liên kết với các bằng chứng của kẻ tấn công được giả định là có thể có được. Tuy nhiên, thừa nhận rằng kiểu tìm kiếm này có thể tiếp tục phát triển như là kết quả của những phát hiện trong quá trình tìm kiếm. Vì vậy, người đánh giá cũng sẽ báo cáo bất kỳ hành động thực hiện ngoài những mô tả trong phương pháp để tiếp tục điều tra các vấn đề dẫn đến điểm yếu tiềm ẩn và sẽ báo cáo những bằng chứng được kiểm tra khi hoàn thành việc tìm kiếm các điểm yếu tiềm ẩn.

14.2.4.6 Hành động AVA_VAN.4.3E14.2.4.6.1 Đơn vị công việc AVA_VAN.4-4Người đánh giá cần tiến hành phân tích có hệ thống ST, tài liệu hướng dẫn, đặc tả chức năng, thiết kế TOE, mô tả kiến trúc an toàn và trình bày thực hiện để xác định các điểm yếu tiềm ẩn có thể có trong TOE.

Hướng dẫn về phân tích điểm yếu có hệ thống được cung cấp trong Phụ lục B.2.2.2.3.

Phương pháp này để xác định các điểm yếu tiềm ẩn là để có một cách tiếp cận có trật tự và kế hoạch; áp dụng một hệ thống để kiểm tra. Người đánh giá mô tả phương pháp được sử dụng trong các điều khoản mà thông tin này sẽ được xem xét và giả thuyết đó được tạo ra.

248

TCVN xxx: 2015Một phương pháp giả thuyết sai sót cần được sử dụng theo đó ST được phát triển (đặc tả chức năng, thiết kế TOE và trình bày thực hiện) và bằng chứng hướng dẫn được phân tích và sau đó các điểm yếu trong TOE được giả thiết, hoặc suy đoán.

Người đánh giá sử dụng các kiến thức về thiết kế TOE và hoạt động đã đạt được từ chuyển giao TOE để tiến hành một giả thuyết sai sót để xác định các sai sót tiềm ẩn trong việc phát triển TOE và lỗi tiềm ẩn trong các phương thức hoạt động cụ thể của TOE.

Mô tả kiến trúc an toàn cung cấp cho việc phân tích điểm yếu nhà phát triển, khi nó mô tả cách thức TSF tự bảo vệ khỏi sự can thiệp từ các đối tượng không đáng tin cậy và ngăn ngừa bỏ qua chức năng thực thi an toàn. Do đó, người đánh giá nên xây dựng dựa trên sự hiểu biết về bảo vệ của TSF thu được từ việc phân tích bằng chứng này và sau đó phát triển kiến thức thu được từ bằng chứng phát triển ADV khác.

Các phương pháp thực hiện việc tìm kiếm có hệ thống các điểm yếu là để xem xét bất kỳ khu vực quan tâm được xác định trong các kết quả đánh giá của người đánh giá về sự phát triển và bằng chứng hướng dẫn. Tuy nhiên, người đánh giá cũng nên xem xét từng khía cạnh của phân tích kiến trúc an toàn để tìm kiếm bất kỳ cách thức mà bảo vệ của TSF có thể bị suy yếu, nó có thể hữu ích để các cấu trúc việc phân tích có hệ thống trên cơ sở tài liệu trình bày trong mô tả kiến trúc an toàn, giới thiệu mối quan tâm từ bằng chứng ADV khác thích hợp. Các phân tích sau đó có thể được phát triển hơn nữa để đảm bảo tất cả các tài nguyên khác từ bằng chứng ADV được xem xét.

Dưới đây cung cấp một số ví dụ về các giả thuyết có thể được tạo ra khi kiểm tra bằng chứng:

a) xem xét đầu vào bị thay đổi đối với các giao diện có sẵn cho một kẻ tấn công tại các giao diện bên ngoài;

b) Kiểm tra cơ chế an toàn chính được tích dẫn trong mô tả kiến trúc an toàn, chẳng hạn như quá trình phân tách, giả thuyết tràn bộ đệm bên trong có thể dẫn đến sự suy giảm của việc phân tách;

c) Tìm kiếm để xác định bất kỳ đối tượng được tạo ra trong trình bày thực hiện TOE mà sau đó không được kiểm soát đầy đủ bởi TSF, và có thể được sử dụng bởi một kẻ tấn công để phá hoại các SFR.

Ví dụ, người đánh giá có thể xác định rằng giao diện là một khu vực tiềm ẩn của điểm yếu trong TOE và xác định một cách tiếp cận để tìm kiếm là tất cả đặc tả giao diện trong bằng chứng được cung cấp sẽ được tìm kiếm để đưa ra giả thuyết điểm yếu tiềm ẩn và đi vào giải thích các phương pháp được sử dụng trong các giả thuyết.

Ngoài ra, các khu vực quan tâm mà người đánh giá đã xác định trong quá trình kiểm tra các bằng chứng khi tiến hành các hoạt động đánh giá. Các khu vực quan tâm có thể cũng được xác định trong quá trình thực hiện các đơn vị công việc khác liên quan đến thành phần này, đặc biệt là AVA_VAN.4-7, AVA_VAN.4-5 và AVA_VAN.4-6 nơi sự phát triển và tiến hành kiểm thử thâm nhập có thể xác định các khu vực có mối quan tâm cho việc điều tra, hoặc điểm yếu tiềm ẩn.

Tuy nhiên, kiểm tra chỉ là một tập con của sự phát triển và bằng chứng hướng dẫn hoặc các nội dung của chúng không phải là cho phép trong mức độ chặt chẽ. Mô tả phương pháp nên cung cấp một minh chứng rằng phương pháp có hệ thống được sử dụng là hoàn chỉnh, cung cấp sự tin tưởng rằng phương pháp được sử dụng để tìm kiếm các sản phẩm đã xem xét tất cả các thông tin được cung cấp trong các sản phẩm đó.

Phương pháp này để xác định các điểm yếu tiềm ẩn là để có một cách tiếp cận có trật tự và kế hoạch, áp dụng một hệ thống để kiểm tra. Người đánh giá mô tả phương pháp được sử dụng trong điều kiện như thế nào bằng chứng sẽ được xem xét, các cách thức mà thông tin này phải được xem

249

TCVN xxx: 2015

xét và giả thuyết đó được tạo ra. Phương pháp này này nên được thống nhất với các cơ quan đánh giá, và cơ quan đánh giá có thể cung cấp chi tiết bổ sung bất kỳ về phương pháp, người đánh giá thực hiện phân tích điểm yếu và xác định bất kỳ thông tin bổ sung nên được xem xét bởi người đánh giá.

Mặc dù một hệ thống để xác định các điểm yếu tiềm ẩn được xác định trước, quá trình xác định có thể vẫn được lặp đi lặp lại, nơi việc xác định một điểm yếu tiềm ẩn có thể dẫn đến việc xác định một khu vực quan tâm mà đòi hỏi phải điều tra thêm.

Theo cho SFR, TOE là để đáp ứng trong môi trường vận hành, các phân tích độc lập của người đánh giá cần xem xét các điểm yếu tiềm ẩn tổng thể theo từng tiêu đề sau:

a) Điểm yếu tiềm ẩn tổng thể có liên quan cho các loại TOE được đánh giá, có thể được cung cấp bởi cơ quan đánh giá;

b) Bỏ qua;

c) Giả mạo;


e) Giám sát;

f) sử dụng sai.


Mô tả kiến trúc an toàn nên được xem xét trong phương diện của từng điểm yếu tiềm tổng thể ở trên. Mỗi điểm yếu tiềm năng nên được xem xét để tìm kiếm cách có thể, để đánh bại các bảo vệ TSF và làm suy yếu TSF.

14.2.4.6.2 Đơn vị công việc AVA_VAN.4-5Người đánh giá cần ghi lại trong ETR các điểm yếu tiềm ẩn được xác định là ứng cử viên cho kiểm thử và có khả năng áp dụng đối với TOE trong môi trường vận hành của nó.

Có thể xác định không cần tiếp tục xem xét các điểm yếu tiềm ẩn, nếu ví dụ người đánh giá xác định rằng các biện pháp trong môi trường vận hành, hoặc IT hay phi IT, ngăn chặn việc khai thác các điểm yếu tiềm ẩn trong môi trường vận hành đó. Ví dụ, hạn chế truy cập vật lý vào TOE để người sử dụng đươch ủy quyền chỉ có thể làm cho một điểm yếu tiềm ẩn giả mạo không thể khai thác được một cách hiệu quả.

Người đánh giá ghi lại bất kỳ lý do để loại trừ các điểm yếu tiềm ẩn từ xem xét thêm nếu người đánh giá xác định rằng điểm yếu tiềm ẩn là không áp dụng trong môi trường vận hành. Nếu không, người đánh giá ghi lại điểm yếu tiềm ẩn để xem xét thêm.

Một danh sách các điểm yếu tiềm ẩn có khả ăng áp dụng đối với TOE trong môi trường vận hành của nó, có thể được sử dụng là đầu vào cho các hoạt động kiểm thử thâm nhập và phải được báo cáo trong ETR bởi người đánh giá.

14.2.4.7 Hành động AVA_VAN.4.4E14.2.4.7.1 Đơn vị công việc AVA_VAN.4-6Người đánh giá đưa ra kiểm thử thâm nhập, trên cơ sở tìm kiếm độc lập các điểm yếu tiềm ẩn.

250

TCVN xxx: 2015Người đánh giá chuẩn bị kiểm thử thâm nhập là cần thiết để xác định tính nhạy cảm của TOE trong môi trường vận hành của nó, với các điểm yếu tiềm ẩn được xác định trong quá trình tìm kiếm các nguồn thông tin công bố công khai. Bất kỳ thông tin hiện tại cung cấp cho người đánh giá bởi một bên thứ ba (ví dụ: cơ quan đánh giá) liên quan đến các điểm yếu tiềm ẩn được biết đến sẽ được xem xét bởi người đánh giá, cùng với bất kỳ điểm yếu tiềm ẩn gặp phải do việc thực hiện các hoạt động đánh giá khác.

Người đánh giá lưu ý rằng, khi xem xét mô tả kiến trúc an toàn trong việc tìm kiếm các điểm yếu (như chi tiết trong AVA_VAN.4-3), việc kiểm thử nên được thực hiện để xác nhận các thuộc tính kiến trúc. Nếu các yêu cầu từ ATE_DPT có trong SARs, các bằng chứng kiểm thử nhà phát triển sẽ bao gồm thử nghiệm được thực hiện để xác nhận việc thực hiện chính xác các cơ chế cụ thể bất kỳ chi tiết trong mô tả kiến trúc an toàn. Tuy nhiên, các kiểm thử nhà phát triển sẽ không nhất thiết phải bao gồm các kiểm thử của tất cả các khía cạnh của thuộc tính kiến trúc bảo vệ TSF, càng nhiều các thử nghiệm này sẽ được kiểm thử phủ định về bản chất để cố gắng bác bỏ các thuộc tính. Trong việc phát triển các chiến lược để kiểm thử thâm nhập, người đánh giá sẽ đảm bảo rằng tất cả các khía cạnh của mô tả kiến trúc an toàn đang được thử nghiệm, hoặc trong kiểm thử chức năng (như xem xét trong 13) hoặc kiểm thử thâm nhập của người đánh giá.

Người đánh giá có thể sẽ tìm thấy nó thực tế để thực hiện các kiểm thử thâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, trong đó mỗi trường hợp kiểm thử sẽ kiểm tra cho một điểm yếu tiềm ẩn cụ thể.

Người đánh giá không được dự kiến để kiểm thử các điểm yếu tiềm ẩn (bao gồm cả những điểm yếu trong miền chung) ngoài những điểm yếu yêu cầu bởi một khả năng tấn công trung bình. Tuy nhiên, trong một số trường hợp, sẽ là cần thiết để thực hiện một kiểm thử trước khi các khả năng khai thác có thể được xác định. Ở đây, như là kết quả đánh giá của các chuyên gia đánh giá, người đánh giá phát hiện ra một điểm yếu có thể khai thác là ngoài khả năng tấn công trung bình, điều này được báo cáo trong ETR như một tố điểm yếu còn tồn tại.

Hướng dẫn xác định khả năng tấn công cần thiết để khai thác một điểm yếu tiềm ẩn có thể được tìm thấy trong Phụ lục B.4.

Điểm yếu tiềm năng đưa ra giả thuyết là có thể khai thác bởi một kẻ tấn công sở hữu khả năng tấn công trung bình (hoặc thấp hơn) và kết quả là sự vi phạm mục tiêu an toàn là những điểm yếu tiềm ẩn ưu tiên cao nhất bao gồm một danh sách được sử dụng để kiểm thử thâm nhập trực tiếp chống lại TOE.

14.2.4.7.2 Đơn vị công việc AVA_VAN.4-7Người đánh giá cần cung cấp tài liệu kiểm thử thâm nhập cho các kiểm thử dựa trên danh sách điểm yếu tiềm ẩn đầy đủ chi tiết để cho phép các kiểm thử có khả năng lặp lại, tài liệu kiểm thử sẽ bao gồm:


b) Hướng dẫn để kết nối và thiết lập tất các các thiết bị kiểm thử được yêu cầu theo yêu cầu để thực hiện sự kiểm thử thâm nhập ;

c) Hướng dẫn để thiết lập tất cả cácđiều kiện tiên quyết ban đầu cho kiểm thử thâm nhập;


e) Hướng dẫn để quan sát các đáp ứng của TSF;

251

TCVN xxx: 2015



Người đánh giá chuẩn bị cho kiểm thử thâm nhập dựa trên danh sách các điểm yếu tiềm ẩn được xác định trong quá trình tìm kiếm của miền chung và việc phân tích các bằng chứng đánh giá.

Người đánh giá không được dự kiến để xác định khả năng khai thác đối với các điểm yếu tiềm ẩn vượt ra ngoài một cuộc tấn công tiềm năng trung bình là cần thiết để thực hiện một cuộc tấn công. Tuy nhiên, như một kết quả của các chuyên gia đánh giá, người đánh giá có thể phát hiện ra một một điểm yếu tiềm ẩn có thể khai thác chỉ bởi một kẻ tấn công có khả năng tấn công cao hơn khả năng tấn công trung binh. Điểm yếu đó được báo cáo trong ETR như lỗ hổng còn tồn tại.

Với sự hiểu biết về các điểm yếu tiềm ẩn, người đánh giá xác định cách khả thi nhất để kiểm tra tính nhạy cảm của TOE. Cụ thể người đánh giá xem xét:

a) TSFI hoặc các giao diện TOE sẽ được sử dụng để kích thích TSF và quan sát đáp ứng (Có thể là người đánh giá cần cần phải sử dụng một giao diện cho TOE khác hơn với TSFI để chứng minh thuộc tính của TSF như được mô tả trong mô tả kiến trúc an toàn (theo yêu cầu bởi ADV_ARC). Cần ghi nhận rằng, mặc dù các giao diện TOE cung cấp một phương tiện để kiểm thử các tính chất của TSF, chúng không phải là các đối tượng kiểm thử).

b) Điều kiện ban đầu cần có cho các kiểm thử (tức là bất kỳ đối tượng cụ thể hoặc đối tượng mà sẽ cần phải có và thuộc tính an toàn chúng phải có);

c) Thiết bị kiểm thử đặc biệt sẽ được yêu cầu để có thể kích thích TSFI hoặc thực hiện quan sát TSFI;

c) Thiết bị kiểm thử đặc biệt sẽ được yêu cầu để có thể kích thích TSFI hoặc thực hiện quan sát TSFI (mặc dù không chắc rằng thiết bị chuyên dụng sẽ được yêu cầu để khai thác điểm yếu tiềm ẩn giả định một cuộc tấn công tiềm năng cơ bản tăng cường);


Người đánh giá có thể tìm thấy nó thực tế để thực hiện kiểm thử thâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, trong đó, mỗi trường hợp kiểm thử sẽ kiểm tra một điểm yếu tiềm ẩn yếu cụ thể.

Mục đích của việc xác định mức độ chi tiết trong tài liệu kiểm thử là để cho phép người đánh giá khác lặp lại các kiểm thử và có được một kết quả tương đương.


Người đánh giá sử dụng các tài liệu kiểm thử xâm nhập từ đơn vị công việc AVA_VAN.4-6 làm cơ sở cho thực hiện kiểm thử thâm nhập vào TOE, nhưng điều này không ngăn cản việc người đánh giá thực hiện các kiểm thử thâm nhập đặc biệt bổ sung. Nếu cần thiết, người đánh giá có thể đưa ra các kiểm thử đặc biệt như là một kết quả của thông tin thu được trong quá trình kiểm thử thâm nhập đó. Nếu được thực hiện bởi người đánh giá sẽ được ghi nhận trong các tài liệu kiểm thử xâm

252

TCVN xxx: 2015nhập. Kiểm thử như vậy có thể được yêu cầu để theo dõi các kết quả ngoài dự kiến hoặc quan sát, hoặc để điều tra điểm yếu tiềm ẩn gợi ý cho người đánh giá trong quá trình lên kế hoạch kiểm thử.


Người đánh giá không được dự kiến để kiểm thử các điểm yếu tiềm ẩn (bao gồm cả những điểm yếu trong miền chung) ngoài những điểm được yêu cầu cho một khả năng tấn công trung bình. Tuy nhiên trong một số trường hợp, nó sẽ cần thiết để thực hiện một kiểm thử trước khi khả năng khai thác có thể được xác định. Trương hợp như là kết quả của các chuyên gia đánh giá, người đánh giá phát hiện ra một điểm yếu có thể khai thác vượt quá khả năng tấn công trung bình, điều này được báo cáo trong ETR như một một điểm yếu còn tồn tại.

14.2.4.7.4 Đơn vị công việc AVA_VAN.4-9Người đánh giá cần ghi lại các kết quả thực tế của các kiểm thử thâm nhập.

Trong khi một số chi tiết cụ thể của các kết quả kiểm thử thực tế có thể khác so với các kết quả dự kiến (ví dụ như trường thời gian và ngày trong một bản nghi kiểm soát), kết quả tổng thể nên giống như nhau. Bất kỳ kết quả kiểm thử ngoài dự kiến sẽ được điều tra, tác động về việc đánh giá cần phải được công bố và giải thích.

14.2.4.7.5 Đơn vị công việc AVA_VAN.4-10Người đánh giá cần báo cáo trong ETR nỗ lực kiểm thử thâm nhập, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và các kết quả.

Thông tin kiểm thử thâm nhập được báo cáo trong ETR cho người phép đánh giá truyền đạt phương pháp kiểm thử thâm nhập tổng thể và nỗ lực mở rộng hoạt động con này. Mục đích cung cấp thông tin này là để cung cấp một cái nhìn tổng quan đầy ý nghĩa về nỗ lực kiểm thử thâm nhập của người đánh giá. Nó không phải là dự định mà các thông tin liên quan đến kiểm thử thâm nhập trong ETR là một việc làm chính xác các bước kiểm tra cụ thể hoặc kết quả kiểm thử thâm nhập cá nhân. Mục đích là để cung cấp đầy đủ chi tiết để cho phép người đánh giá khác và các cơ quan đánh giá để đạt được một số hiểu biết về phương pháp kiểm thử thâm nhập được lựa chọn, số lượng kiểm thử thâm nhập được thực hiện, các cấu hình kiểm thử TOE và kết quả tổng thể của hoạt động kiểm thử thâm nhập.






14.2.4.7.6 Đơn vị công việc AVA_VAN.4-11Người đánh giá cần xem xét các kết quả của tất cả các kiểm thử thâm nhập để xác định rằng TOE trong môi trường vận hành của nó có khả năng chống một kẻ tấn công sở hữu một khả năng tấn công trung bình.

253

TCVN xxx: 2015

Nếu kết quả cho thấy rằng TOE trong môi trường vận hành của nó, có điểm yếu có thể khai thác bởi một kẻ tấn công sở hữu khả năng tấn công ít hơn khả năng tấn công cao thì hành động của người đánh giá này là thất bại.

Các hướng dẫn trong B.4 nên được sử dụng để xác định khả năng tấn công cần thiết để khai thác một điểm yếu đặc biệt và do đó liệu nó có thể được khai thác trong môi trường dự định. Nó có thể không cần thiết cho khả năng tấn công phải được tính toán trong mọi trường hợp, khi chỉ có một số nghi ngờ là có hay không những điểm yếu có thể bị khai thác bởi những kẻ tấn công sở hữu khả năng tấn công thấp hơn khả năng tấn công cao.




c) Mô tả;



14.2.5 Đánh giá hoạt động con (AVA_VAN.5)Không có hướng dẫn chung; các chương trình nên được tư vấn để hướng dẫn trên hoạt động con này.

15 Lớp ACO: Thành phần15.1 Giới thiệuMục tiêu hoạt động này là để xác định xem các thành phần có thể được tích hợp một cách an toàn theo quy định trong ST cho TOE kết hợp. Điều này đạt được thông qua kiểm tra kiểm thử của các giao diện giữa các thành phần, được hỗ trợ bằng cách kiểm tra việc thiết kế của các thành phần và tiến hành phân tích điểm yếu.

15.2 Các lưu ý áp dụngSự tin cậy của họ thành phần phụ thuộc (ACO_REL) xác định nơi mà các thành phần phụ thuộc là dựa trên CNTT trong môi trường hoạt động của nó (được đáp ứng bởi một thành phần cơ bản trong việc đánh giá TOE kết hợp) để cung cấp các dịch vụ an toàn của nó. Sự tin cậy này được xác định trong điều khoản của giao diện dự kiến bởi các thành phần phụ thuộc được cung cấp bởi các thành phần cơ sở. Bằng chứng phát triển (ACO_DEV) sau đó xác định các giao diện của các thành phần cơ bản được xem xét (như TSFI) trong quá trình đánh giá thành phần của các thành phần cơ sở.

Cần lưu ý rằng sự độ tin cậy của thành phần phụ thuộc (ACO_REL) không bao gồm các bằng chứng khác có thể cần thiết để giải quyết các vấn đề tích hợp kỹ thuật của các thành phần sáng tạo (ví dụ như mô tả của giao diện phi TSF của hệ điều hành, các nguyên tắc tích hợp, vv) . Điều này là ngoài việc đánh giá an toàn của các thành phần và là một vấn đề thành phần chức năng.

254

TCVN xxx: 2015Là một phần của kiểm thử TOE kết hợp (ACO_CTT), người đánh giá sẽ thực hiện kiểm thử các SFRs của TOE kết hợp tại các giao diện TOE kết hợp và các giao diện của các thành phần cơ sở tin cậy bởi các thành phần phụ thuộc để xác nhận chúng hoạt động theo quy định. Các tập con được lựa chọn sẽ xem xét các tác động có thể có của những thay đổi về cấu hình/sử dụng của các thành phần cơ sở được sử dụng trong các TOE kết hợp. Những thay đổi này được xác định từ cấu hình của các thành phần cơ bản được xác định trong quá trình đánh giá thành phần cơ sở. Nhà phát triển sẽ cung cấp bằng chứng kiểm thử cho từng giao diện thành phần cơ sở (các yêu cầu về phạm vi là phù hợp với những áp dụng cho việc đánh giá của các thành phần cơ sở).

Sở cứ việc cấu thành (ACO_COR) yêu cầu người đánh giá xác định liệu các biện pháp phù hợp đã được áp dụng cho các cơ sở thành phần, và liệu thành phần cơ sở có được sử dụng trong cấu hình đánh giá không. Điều này bao gồm việc xác định liệu tất cả các chức năng an toàn cần thiết của thành phần phụ thuộc là có trong các thành phần cơ sở của TSF. Sở cứ cấu thành (ACO_COR) yêu cầu có thể được đáp ứng thông qua việc sản xuất các bằng chứng cho thấy từng được chứng minh để được tôn trọng. Bằng chứng này có thể dưới hình thức các mục tiêu an toàn và một báo cáo công khai của việc đánh giá thành phần (ví dụ như báo cáo chứng nhận).

Mặt khác, nếu một trong những điều trên không được tôn trọng, sau đó nó có thể có một lý do (thảo luận) có thể được thực hiện là tại sao việc bảo đảm đạt được trong quá trình đánh giá ban đầu là không bị ảnh hưởng. Điều là không thể nếu sau đó bằng chứng đánh giá bổ sung cho những khía cạnh của các thành phần cơ bản đó được cung cấp không đề cập đến. Sau đó các tài nguyên này này được đánh giá trong bằng chứng phát triển (ACO_DEV).

Ví dụ, có thể có trường hợp như được mô tả trong các tương tác giữa các thực thể (xem phụ lục B.3, Tương tác giữa các thực thể CNTT kết hợp trong TCVN 8709-3:2011) mà các thành phần phụ thuộc đòi hỏi các cơ sở thành phần để cung cấp chức năng an toàn hơn trong TOE kết hợp trong việc đánh giá thành phần cơ sở. Điều này sẽ được xác định trong quá trình ứng dụng độ tin cậy của thành phần phụ thuộc (ACO_REL) và họ các bằng chứng phát triển (ACO_DEV). Trong trường hợp này các bằng chứng sở cứ cấu thành được cung cấp cho sở cứ cấu thành (ACO_COR) sẽ chứng minh rằng việc đảm bảo thu được từ việc đánh giá thành phần cơ sở là không bị ảnh hưởng. Điều này có thể được đạt được bằng phương tiện bao gồm:

a) Thực hiện đánh giá lại của các thành phần cơ sở tập trung vào các bằng chứng liên quan đến các phần mở rộng của TSF;

b) Chứng minh rằng các phần mở rộng của TSF không thể ảnh hưởng đến các phần của TSF, và cung cấp bằng chứng cho thấy các phần mở rộng của TSF cung cấp chức năng an toàn cần thiết.

15.3 Sở cứ cấu thành (ACO_COR)15.3.1 Đánh giá hoạt động con (ACO_COR.1)


a) ST kết hợp;

b) Sở cứ cấu thành;

c) Thông tin tin cậy;

d) Thông tin phát triển;

e) Định danh duy nhất.

255

TCVN xxx: 2015

15.3.1.2 Hành động ACO_COR.1.1ETCVN 8709-3:2011 ACO_COR.1.1C: Sở cứ cấu thành cần chứng minh rằng ở mức bảo đảm ít nhất cũng như mức của các thành phần phụ thuộc đã thu được nhằm hỗ trợ chức năng của thành phần cơ sở, khi thành phần cơ sở được cấu hình theo yêu cầu để hỗ trợ thành phần phụ thuộc của TSF.

15.3.1.2.1 Đơn vị công việc ACO_COR.1-1Người đánh giá cần kiểm tra các phân tích tương ứng với các thông tin phát triển và thông tin tin cậy để xác định các giao diện dựa vào thành phần phụ thuộc mà không được mô tả chi tiết trong thông tin phát triển.

Mục tiêu của người đánh giá trong đơn vị công việc này là:

a) Để xác định các giao diện dựa vào các thành phần phụ thuộc đã có các biện pháp đảm bảo phù hợp được áp dụng;

b) Để xác định rằng các gói đảm bảo áp dụng cho các thành phần cơ bản trong việc đánh giá các thành phần cở sở chứa một trong hai yêu cầu đảm bảo tương tự như các gói áp dụng cho các thành phần phụ thuộc trong quá trình đánh giá của nó hoặc các yêu cầu đảm bảo phân cấp cao hơn.

Người đánh giá có thể sử dụng các truy tìm tương ứng trong thông tin phát triển trong các hoạt động bằng chứng phát triển (ACO_DEV), (ví dụ như ACO_DEV.1-2, ACO_DEV.2-4, ACO_DEV.3-6) để giúp xác định các giao diện được xác định trong thông tin tin cậy mà không được xem xét trong các thông tin phát triển.

Người đánh giá cần ghi lại các giao diện SFR-thực thi được mô tả trong thông tin tin cậy đó mà không có trong các thông tin phát triển. Điều này sẽ cung cấp đầu vào cho đơn vị công việc ACO_COR.1-3, giúp đỡ để xác định các phần của các thành phần cơ bản, trong đó đảm bảo hơn nữa là cần thiết.

Nếu cả hai thành phần cơ sở và phụ thuộc được đánh giá theo cùng một gói đảm bảo, sau đó xác định xem liệu mức độ đảm bảo trong các phần trong việc đánh giá thành phần cơ sở là ít nhất cũng như của các thành phần phụ thuộc là bình thường. Tuy nhiên, nếu các gói đảm bảo áp dụng cho các các thành phần trong đánh giá thành phần khác nhau, người đánh giá cần xác định rằng các yêu cầu bảo đảm áp dụng cho thành phần cơ sở là tất cả các phân cấp cao hơn để đảm bảo các yêu cầu áp dụng cho các thành phần phụ thuộc.

15.3.1.2.2 Đơn vị công việc ACO_COR.1-2Người đánh giá cần kiểm tra sở cứ cấu thành để xác định, đối với những giao diện thành phần cơ sở mà TSF phụ thuộc vào, cho dù các giao diện đã được xem xét trong việc đánh giá của các thành phần cơ sở.

ST, báo cáo đánh giá công khai thành phần (ví dụ như báo cáo chứng nhận) và các văn bản hướng dẫn cho các thành phần cơ sở cung cấp thông tin tất cả về phạm vi và ranh giới của thành phần cơ sở. ST cung cấp chi tiết về phạm vi hợp lý và ranh giới của các TOE kết hợp, cho phép người đánh giá để xác định liệu một giao diện liên quan đến một phần của sản phẩm đó là trong phạm vi của việc đánh giá. Các tài liệu hướng dẫn cung cấp thông tin chi tiết việc sử dụng của tất cả các giao diện cho TOE kết hợp. Mặc dù các tài liệu hướng dẫn có thể bao gồm thông tin chi tiết của giao diện trong sản phẩm đó không nằm trong phạm vi việc đánh giá, bất kỳ giao diện như vậy nên được nhận biết, hoặc từ thông tin xác định phạm vi trong ST hoặc thông qua một phần của hướng dẫn đó với cấu hình đánh giá. Báo cáo đánh giá công khai có thể cung cấp bất kỳ ràng buộc bổ sung về việc sử dụng các TOE kết hợp đó là cần thiết.

256

TCVN xxx: 2015Do đó, sự kết hợp của các yếu tố đầu vào cho phép người đánh giá để xác định liệu một giao diện được mô tả trong sở cứ cấu thành có sự đảm bảo cần thiết liên kết với nó, hay bảo đảm thêm là cần thiết. Người đánh giá sẽ ghi lại các giao diện của các thành phần cơ sở mà đảm bảo bổ sung là cần thiết để xem xét trong ACO_COR.1-3.

15.3.1.2.3 Đơn vị công việc ACO_COR.1-3Người đánh giá cần kiểm tra sở cứ cấu thành để xác định rằng các biện pháp đảm bảo cần thiết đã được áp dụng cho các thành phần cơ sở.

Các phán quyết đánh giá và đảm bảo kết quả, cho các thành phần cơ sở có thể được tái sử dụng cung cấp các phần tương tự của các thành phần cơ sở được sử dụng trong TOE kết hợp và chúng được sử dụng một cách nhất quán.

Để xác định liệu các biện pháp đảm bảo cần thiết đã đã được áp dụng cho các thành phần và một phần của các thành phần để mà đảm bảo các biện pháp vẫn cần phải được áp dụng, Người đánh giá nên sử dụng các sản phẩm của các hành động ACO_DEV. *. 2E và đơn vị công việc ACO_COR.1-1 và ACO_COR.1-2:

Để xác định liệu các biện pháp bảo đảm cần thiết đã được áp dụng cho các thành phần, và các phần của thành phần mà các biện pháp đảm bảo vẫn cần phải được áp dụng, người đánh giá cần phải sử dụng đầu ra của hành động ACO_DEV. *. 2E và các đơn vị công việc ACO_COR.1-1 và ACO_COR.1-2:

a) Đối với những giao diện được xác định trong các thông tin tin cậy (sự tin cậy của thành phần phụ thuộc (ACO_REL)), nhưng không được thảo luận trong các thông tin phát triển (bằng chứng phát triển (ACO_DEV)), thông tin bổ sung là cần thiết. (được xác định trong ACO_COR.1-1.)

b) Đối với những giao diện sử dụng không nhất quán trong TOE kết hợp từ các thành phần cơ sở (sự khác biệt giữa các thông tin cung cấp trong bằng chứng phát triển (ACO_DEV) và sự tin cậy của thành phần phụ thuộc (ACO_REL) tác động của sự khác biệt trong sử dụng cần được xem xét. (Xác định trong ACO_DEV. *. 2E.)

c) Đối với những giao diện được xác định trong sở cứ cấu thành mà không có bảo đảm đạt được trước đó, thông tin bổ sung là cần thiết. (Xác định trong ACO_COR.1-2.)

d) Đối với những giao diện được mô tả một cách nhất quán trong thông tin tin cậy,sở cứ cấu thành và thông tin phát triển, không cần thiết phải có thêm hành động và các kết quả từ việc đánh giá thành phần cơ sở có thể được tái sử dụng.

Các giao diện của các thành phần cơ sở báo cáo được yêu cầu bởi các thông tin tin cậy nhưng không có trong các thông tin phát triển chỉ ra các phần của các thành phần cơ sở nơi đảm bảo hơn nữa là cần thiết. Các giao diện xác định các điểm nhập vào các thành phần cơ sở.

Đối với những giao diện bao gồm cả các thông tin phát triển và sự phụ thuộc thông tin, Người đánh giá xác định các giao diện được sử dụng trong TOE kết hợp trong một cách đó là phù hợp với các cơ sở đánh giá thành phần. Phương pháp sử dụng của giao diện sẽ được xem xét trong quá trình phát triển hoạt động bằng chứng (ACO_DEV) để xác định rằng các sử dụng các giao diện phù hợp ở cả hai cơ sở các thành phần và TOE kết hợp. Các xem xét còn lại là xác định liệu các cấu hình của các cơ sở thành phần và TOE kết hợp phù hợp. Để xác định điều này, Người đánh giá cần xem xét các tài liệu hướng dẫn để đảm bảo chúng phù hợp (xem thêm hướng dẫn dưới đây liên quan đến tài liệu hướng dẫn phù hợp). Bất kỳ sai lệch trong các tài liệu sẽ được tiếp tục phân tích việc đánh giá để xác định các khả năng ảnh hưởng.

257

TCVN xxx: 2015

Đối với những giao diện được luôn được mô tả trong các sự phụ thuộc thông tin và phát triển thông tin, và để có các hướng dẫn phù hợp cho các cơ sở thành phần và TOE kết hợp, yêu cầu mức độ đảm bảo đã được cung cấp.

Các phần phụ sau đây cung cấp hướng dẫn về cách xác định thống nhất giữa đảm bảo tăng trong các thành phần cơ bản, các bằng chứng cung cấp cho TOE kết hợp, và các phân tích được thực hiện bởi đánh giá trong các trường hợp không thống nhất được xác định.

15.3.1.2.3.1 Phát triểnThông tin phụ thuộc xác định các giao diện trong các thành phần phụ thuộc được kết hợp bởi các thành phần cơ sở. Nếu một giao diện được xác định trong các thông tin tin cậy là không xác định trong thông tin phát triển, sau đó các sở cứ tổng hợp để cung cấp một biện minh các thành phần cơ sở cung cấp các giao diện yêu cầu như thế nào .

Nếu một giao diện được xác định trong thông tin phụ thuộc được xác định trong các thông tin phát triển, nhưng có mâu thuẫn giữa các giới thiệu, phân tích sâu hơn là cần thiết. Người đánh giá xác định sự khác biệt trong việc sử dụng các cơ sở thành phần như xem xét trong các thành phần cơ sở đánh giá và TOE kết hợp đánh giá. Người đánh giá cần đưa ra kiểm tra để được thực hiện (trong các đáp ứng của TOE kiểm tra (ACO_CTT)) để kiểm tra các giao diện.

Các bản vá của tình trạng các thành phần cơ sở và phụ thuộc được sử dụng trong TOE nên được so sánh để tình trạng vá của các thành phần trong Người đánh giá thành phần. Nếu bất kỳ bản vá lỗi đã được áp dụng đến các thành phần, các sở cứ tổng hợp bao gồm chi tiết về các bản vá lỗi, trong đó có bất kỳ tác động tiềm năng đến các SFR của đánh giá thành phần. Người đánh giá cần xem xét các chi tiết của những thay đổi cung cấp và xác minh sự chính xác về tiềm năng tác động của sự thay đổi về thành phần SFR. Người đánh giá nên sau đó xem xét liệu các thay đổi được thực hiện bởi các bản vá cần được xác nhận thông qua kiểm tra, và sẽ xác định cần cách tiếp cận kiểm tra. Các kiểm thử có thể mang hình thức lặp đi lặp lại các áp dụng đánh giá /phát triển kiểm tra thực hiện cho các thành phần đánh giá của các thành phần hoặc nó có thể cần thiết cho Người đánh giá để đưa ra những kiểm tra mới để xác nhận thay đổi thành phần.

Nếu bất kỳ của các thành phần riêng lẻ đã được các đối tượng của hoạt động đảm bảo tính liên tục kể từ khi hoàn thành phần đánh giá, Người đánh giá cần xem xét những thay đổi được đánh giá trong việc bảo đảm tính liên tục hoạt động trong thời gian độc lập phân tích hoạt động điểm yếu cho TOE kết hợp (trong Phân tích thành phần điểm yếu (ACO_VUL)).

15.3.1.2.3.2 Hướng dẫnCác hướng dẫn cho TOE kết hợp là có khả năng làm tài liệu tham khảo đến các hướng dẫn cho các thành phần riêng lẻ. Các dự kiến tối thiểu sẽ hướng dẫn để cần thiết là sự xác định bất kỳ đặt hàng phụ thuộc vào các ứng dụng hướng dẫn cho các thành phần phụ thuộc và cơ sở, đặc biệt là trong chuẩn bị (cài đặt) TOE kết hợp.

Ngoài việc áp dụng các thủ tục chuẩn bị (AGD_PRE) và hướng dẫn người dùng hoạt động (AGD_OPE) để các hướng dẫn cho TOE kết hợp, cần thiết phân tích sự nhất quán giữa các hướng dẫn cho các thành phần và TOE kết hợp, để xác định bất kỳ sai lệch.

Nếu hướng dẫn TOE kết hợp các thành phần cơ sở và hướng dẫn thành phần phụ thuộc, sau đó các xem xét phù hợp được giới hạn để tính nhất quán giữa các tài liệu hướng dẫn quy định mỗi thành phần (tức là thống nhất giữa các thành phần cơ sở hướng dẫn và các phụ thuộc hướng dẫn thành phần). Tuy nhiên, nếu hướng dẫn bổ sung được cung cấp cho TOE kết hợp, để cung cấp cho các

258

TCVN xxx: 2015thành phần, phân tích sâu hơn là cần thiết, là thống nhất được cũng yêu cầu giữa các tài liệu hướng dẫn hướng dẫn cho các thành phần và tài liệu hướng dẫn cho TOE kết hợp.

Phù hợp trong trường hợp này được hiểu là một trong hai hướng dẫn là tương tự hoặc đặt thêm hạn chế về hoạt động của các thành phần cá nhân khi kết hợp, một cách tương tự như tinh lọc các chức năng / đảm bảo các thành phần.

Với những thông tin có sẵn (có sử dụng như đầu vào cho bằng chứng phát triển (ACO_DEV) hoặc sự phát triển khía cạnh thảo luận ở trên) Người đánh giá có thể xác định tất cả khả năng tác động của sai lệch từ cấu hình của cơ sở thành phần quy định trong các phần đánh giá. Tuy nhiên, cho các EALs cao (nơi đánh giá của các cơ sở thành phần bao gồm thiết kế TOE (ADV_TDS) yêu cầu), trừ khi trích dẫn thiết kế chi tiết cho các thành phần cơ bản được cung cấp như một phần của Thông tin phát triển cho TOE kết hợp, các khả năng tác động của sự biến đổi để những hướng dẫn không thể hoàn toàn xác định bên trong chưa được biết. Trong trường hợp này Người đánh giá cần báo cáo rủi ro còn lại của phân tích.

Những còn lại rủi ro sẽ bao gồm trong bất kỳ công đánh giá báo cáo cho TOE kết hợp.

Người đánh giá cần lưu ý những chênh lệch trong hướng dẫn cho đầu vào đánh giá hoạt động kiểm tra độc lập kết hợp kiểm tra (ACO_CTT)).

Các hướng dẫn cho TOE kết hợp có thể thêm vào các hướng dẫn cho các thành phần, đặc biệt là trong điều kiện của cài đặt và thứ tự các bước cài đặt cho các cơ sở trong thành phần liên quan đến việc cài đặt bước phụ thuộc vào thành phần. Các thứ tự của các bước cho việc cài đặt của cá nhân các thành phần không thay đổi, tuy nhiên chúng có thể cần xen kẽ. Người đánh giá cần hướng dẫn kiểm tra này để đảm bảo rằng nó vẫn đáp ứng được các yêu cầu của AGD_PRE hoạt động thực hiện trong quá trình đánh giá của các thành phần.

Có thể có các trường hợp các thông tin tin cậy xác định rằng giao diện của các thành phần cơ bản, trong ngoài được xác định là TSFIs của các thành phần cơ bản, dựa vào các thành phần phụ thuộc được xác định trong các thông tin tin cậy. Có thể cần thiết để hướng dẫn được cung cấp cho việc sử dụng bất kỳ bổ sung như giao diện trong các cơ sở thành phần. Cung cấp người tiêu dùng của TOE kết hợp để nhận được tài liệu hướng dẫn cho các cơ sở thành phần, sau đó các kết quả của AGD_PRE và phán quyết AGD_OPE cho các thành phần cơ bản có thể được tái sử dụng cho những giao diện xem xét trong đánh giá của các thành phần cơ sở.

Tuy nhiên, đối với các giao diện bổ sung bởi thành phần phụ thuộc, Người đánh giá cần cần đến xác định rằng các tài liệu hướng dẫn cho các cơ sở thành phần đáp ứng các yêu cầu của AGD_PRE và AGD_OPE, được áp dụng tại các cơ sở đánh giá thành phần.

Đối với những giao diện xem xét trong các cơ sở thành phần thẩm định, và do đó, để đảm bảo đã đạt được, Người đánh giá cần đảm bảo rằng các hướng dẫn cho việc sử dụng của mỗi giao diện cho TOE kết hợp là phù hợp với cung cấp cho các thành phần cơ sở. Để xác định hướng dẫn cho TOE kết hợp là phù hợp với điều đó cho các cơ sở thành phần, Người đánh giá cần thực hiện một ánh xạ cho mỗi giao diện để các hướng dẫn được cung cấp cho cả hai TOE kết hợp và các cơ sở thành phần. Người đánh giá sau đó so sánh các hướng dẫn để xác định tính nhất quán.

Ví dụ về các hạn chế khác được cung cấp trong Hướng dẫn TOE kết hợp đó sẽ được xem là phù hợp với thành phần là hướng dẫn (hướng dẫn cho một thành phần được đưa ra theo sau là một ví dụ của hướng dẫn cho một TOE kết hợp mà có thể được xem là để cung cấp thêm hạn chế):

· Thành phần: Các chiều dài mật khẩu phải được thiết lập để một tối thiểu 8 ký tự dài, bao gồm cả chữ cái và số ký tự.

259

TCVN xxx: 2015

· Bao gồm TOE: Các chiều dài mật khẩu phải được thiết lập ở mức tối thiểu là 10 ký tự, bao gồm cả chữ cái và số ký tự và ở ít nhất một trong những ký tự đặc biệt sau: () {} ^ <> - _

· Chú ý: Nó sẽ chỉ có thể chấp nhận được để tăng các chiều dài mật khẩu để [ nguyên> 8 ] trong khi loại bỏ nhiệm vụ để bao gồm cả chữ cái và chữ số cho TOE kết hợp, nếu cùng một hoặc nhiều hơn số liệu đã đạt được cho đánh giá điểm mạnh (có tính đến các khả năng của mật khẩu được đoán).

· Thành phần: Các dịch vụ sau đây được vô hiệu hóa trong đăng ký thiết lập: WWW Dịch vụ Xuất bản và dịch vụ ICDBReporter.

· Bao gồm TOE: Sau đây dịch vụ được vô hiệu hóa trong các thiết lập registry: Dịch vụ xuất bản, ICDBReporter dịch vụ, thủ tục từ xa Gọi (RPC) Locator và thủ tục gọi (RPC) Dịch vụ .

· Thành phần: Chọn các thuộc tính sau đây để được bao gồm trong các bản ghi tính toán các tập tin: ngày tháng, thời gian, loại sự kiện, danh tính đối tượng và thành công / thất bại.

· TOE kết hợp: Chọn các thuộc tính sau đây để được bao gồm trong kế toán các file bản ghi: ngày tháng, thời gian, loại của sự kiện, nhận dạng đối tượng, thành công / thất bại, sự kiện thông báo và quá trình.

Nếu hướng dẫn cho TOE kết hợp (là không phải là một cải tiến) từ đó cung cấp cho các cơ sở thành phần, Người đánh giá cần đánh giá tiềm năng rủi ro của việc sửa đổi các hướng dẫn. Người đánh giá cần sử dụng thông tin có sẵn (bao gồm cả cung cấp trong phạm vi chung, các kiến trúc mô tả các thành phần cơ bản trong các báo cáo đánh giá chung (ví dụ như xác nhận báo cáo), bối cảnh của sự hướng dẫn của còn lại của tài liệu hướng dẫn) để xác định tác động có thể của sửa đổi đến các hướng dẫn về các SFR của TOE kết hợp.

Nếu trong quá trình đánh giá các thành phần phụ thuộc kiểm tra cài đặt sử dụng các cơ sở thành phần để đáp ứng các yêu cầu của môi trường phụ thuộc vào thành phần đơn vị công việc này cho TOE kết hợp được xem là thỏa mãn. Nếu các thành phần cơ bản đã không được sử dụng trong sự thỏa mãn của các đơn vị công việc AGD_PRE.1-3 trong Người đánh giá thành phần phụ thuộc, Người đánh giá cần áp dụng cho người sử dụng các thủ tục cung cấp cho TOE kết hợp để chuẩn bị TOE kết hợp, phù hợp với các hướng dẫn quy định trong AGD_PRE.1-3. này sẽ cho phép Người đánh giá để xác định rằng các hướng dẫn dự bị cung cấp cho TOE kết hợp là đủ để chuẩn bị TOE kết hợp và môi trường khai thác an toàn.

15.3.1.2.3.3 Vòng đờiPhân phối

Nếu có một cơ chế phân phối khác nhau được sử dụng cho các phân phối TOE kết hợp (tức là các thành phần không cung cấp cho người tiêu dùng phù hợp với các an toàn thủ tục chuyển giao xác định và đánh giá trong Người đánh giá của các thành phần), các thủ tục chuyển giao đối với TOE kết hợp sẽ yêu cầu đánh giá chống các phân phối (ALC_DEL) yêu cầu áp dụng trong đánh giá thành phần.

TOE kết hợp có thể được cung cấp như là một sản phẩm tích hợp hoặc có thể yêu cầu các thành phần để được cung cấp một cách riêng biệt.

Nếu các thành phần được phân phối riêng biệt, các kết quả của phân phối của các thành phần cơ bản và thành phần phụ thuộc được sử dụng lại. Việc phân phối của các thành phần cơ sở được kiểm tra trong các cài đặt kiểm tra đánh giá của các thành phần phụ thuộc, bằng cách sử dụng quy định

260

TCVN xxx: 2015hướng dẫn và kiểm tra các khía cạnh của phân phối mà các trách nhiệm của người sử dụng, như được mô tả trong tài liệu hướng dẫn cho các cơ sở thành phần.

Nếu TOE kết hợp được phân phối như một thực thể mới, sau đó phương pháp của phân phối của tổ chức đó phải xem xét trong TOE kết hợp hoạt động đánh giá.

Đánh giá của giao làm thủ tục đối với mục TOE sẽ được thực hiện phù hợp với các phương pháp phân phối (ALC_DEL) như đối với bất kỳ [phần] khác TOE, đảm bảo bất kỳ thêm các đơn vị (ví dụ như thêm hướng dẫn các văn bản cho TOE kết hợp) được xem xét trong việc cung cấp các thủ tục.

Năng lực CM

Các xác định riêng biệt TOE kết hợp được xem xét trong việc áp dụng Người đánh giá của hoạt động con (ALC_CMC.1) và các đơn vị từ đó mà TOE kết hợp bao gồm được xem xét trong áp dụng Người đánh giá của hoạt động con (ALC_CMS.2).

Mặc dù hướng dẫn bổ sung có thể được khởi tạo cho TOE kết hợp, việc xác định riêng biệt này hướng dẫn (được xem như là một phần của việc xác định duy nhất của TOE kết hợp trong quá trình đánh giá của hoạt động con (ALC_CMC.1)) được xem là đủ kiểm soát hướng dẫn.

Các phán quyết còn lại (không xem ở trên) Lớp ALC: hoạt động hỗ trợ vòng đời có thể được tái sử dụng từ việc đánh giá thành phần cơ bản, như là không có phát triển được thực hiện trong quá trình hội nhập của TOE kết hợp.

Không có thêm cân nhắc về an toàn phát triển như sự tích hợp được giả định để có ở chỗ hoặc là của người tiêu dùng tại chỗ hoặc trong các trường hợp mà sự kết hợp TOE được phân phối như là một tích hợp sản phẩm, tại các địa điểm của các thành phần phụ thuộc phát triển. Kiểm soát tại của người tiêu dùng là điểm bên ngoài việc xem xét ISO/IEC 15408. Không có yêu cầu bổ sung hoặc hướng dẫn cần thiết nếu hội nhập giống như địa điểm đó cho các thành phần phụ thuộc, như tất cả các thành phần được xem là đơn vị cấu hình cho TOE kết hợp, và do đó cần được xem xét dưới sự phụ thuộc vào thành phần phát triển của thủ tục an toàn.

Công cụ và kỹ thuật thông qua trong hội nhập sẽ được xem xét trong các bằng chứng được cung cấp bởi các phụ thuộc phát triển thành phần. Bất kỳ công cụ / kỹ thuật có liên quan đến các thành phần cơ bản sẽ được xem xét trong quá Người đánh giá cơ sở thành phần. Ví dụ, nếu các cơ sở thành phần được phân phối như nguồn yêu cầu biên soạn bởi người tiêu dùng (ví dụ như phát triển thành phần phụ thuộc người đang thực hiện hội nhập) trình biên dịch sẽ được xác định và đánh giá, cùng với sự thích hợp, trong đánh giá của các thành phần cơ sở.

Không có định nghĩa vòng đời áp dụng đối với TOE kết hợp, như không có tiếp tục phát triển các đơn vị.

Các kết quả khắc phục lỗ hổng cho một thành phần là không áp dụng cho TOE kết hợp. Nếu khắc phục lỗ hổng được bao gồm trong bảo đảm gói cho TOE kết hợp, sau đó là khắc phục lỗ hổng (ALC_FLR) yêu cầu phải được áp dụng trong TOE kết hợp đánh giá (như đối với bất kỳ phân chia nào).

15.3.1.2.3.4 Kiểm traTOE kết hợp sẽ được kiểm tra trong các đáp ứng của Lớp ATE: hoạt động kiểm tra để đánh giá các thành phần phụ thuộc, như các cấu hình sử dụng cho kiểm tra các thành phần phụ thuộc nên bao gồm các thành phần cơ bản để đáp ứng các yêu cầu cho CNTT trong môi trường khai thác. Nếu cơ sở thành phần không được sử dụng trong việc kiểm tra các thành phần phụ thuộc cho việc đánh giá thành phần phụ thuộc, hoặc cấu hình của một trong hai thành phần khác nhau từ cấu hình đánh giá của

261

TCVN xxx: 2015

chúng, sau đó kiểm thử nhà phát triển thực hiện cho đánh giá của các thành phần phụ thuộc để đáp ứng các lớp ATE: Các kiểm thử yêu cầu được lặp đi lặp lại trên TOE kết hợp.

15.4 Bằng chứng phát triển (ACO_DEV)15.4.1 Đánh giá hoạt động con (ACO_DEV.1)

15.4.1.1 Mục tiêuCác mục tiêu hoạt động con này là để xác định rằng các chức năng bảo mật thích hợp được cung cấp bởi thành phần cơ bản để hỗ trợ các thành phần phụ thuộc. Điều này đạt được thông qua kiểm tra các giao diện của các cơ sở thành phần để xác định rằng nó phù hợp với các giao diện được chỉ định trong sự phụ thuộc thông tin; những yêu cầu phụ thuộc vào thành phần.

Các mô tả về giao diện vào các thành phần cơ bản được cung cấp ở mức độ chi tiết phù hợp với Đánh giá về hoạt động con (ADV_FSP.2) mặc dù không phải tất cả các khía cạnh cần thiết để đánh giá sự thỏa mãn của hoạt động con (ADV_FSP.2) được yêu cầu cho đánh giá của hoạt động này (ACO_DEV.1), như khi giao diện đã được xác định và mục đích mô tả chi tiết còn lại của giao diện đặc điểm kỹ thuật có thể tái sử dụng từ đánh giá của các cơ sở thành phần.


a) ST kết hợp;

b) thông tin phát triển;

c) thông tin tin cậy.

15.4.1.3 Hành động ACO_DEV.1.1ETCVN 8709-3:2011 ACO_DEV.1.1C: Thông tin phát triển cần mô tả mục đích mỗi giao diện thành phần cơ sở sử dụng trong TOE tổng hợp.

15.4.1.3.1 Đơn vị công việc ACO_DEV.1-1Người đánh giá cần kiểm tra thông tin phát triển để xác định rằng nó mô tả mục đích của mỗi giao diện.

Các thành phần cơ sở cung cấp giao diện để hỗ trợ tương tác với thành phần phụ thuộc trong việc cung cấp phụ thuộc của TSF. Các mục đích của mỗi giao diện là để được mô tả ở cùng một mức độ như mô tả của các giao diện cho các thành phần TSF phụ thuộc chức năng, như sẽ được cung cấp giữa các hệ thống con trong thiết kế TOE (đánh giá của hoạt động con (ADV_TDS.1)). Điều này mô tả cung cấp cho các độc giả hiểu biết về cách các cơ sở thành phần cung cấp các dịch vụ theo yêu cầu của các thành phần phụ thuộc TSF.

Đơn vị công việc này có thể được thỏa mãn bằng việc cung cấp các đặc điểm kỹ thuật chức năng cho các cơ sở thành phần cho những giao diện mà là TSFIs của thành phần cơ sở.

TCVN 8709-3:2011 ACO_DEV.1.2C: Thông tin phát triển cần chỉ ra sự phù hợp giữa các giao diện, sử dụng trong TOE tổng hợp, của thành phần cơ sở và thành phần phụ thuộc nhằm hỗ trợ TSF của thành phần phụ thuộc.

15.4.1.3.2 Đơn vị công việc ACO_DEV.1-2

262

TCVN xxx: 2015Người đánh giá cần kiểm tra các thông tin phát triển để xác định tương ứng, giữa các giao diện của các cơ sở thành phần và các giao diện mà trên đó các thành phần phụ thuộc, là chính xác.

Các tương ứng giữa các giao diện của các thành phần cơ sở và các giao diện mà các phụ thuộc vào thành phần có thể mang hình thức của một ma trận hay bảng. Các giao diện được dựa trên các phụ thuộc vào thành phần được xác định trong các thông tin tin cậy (như kiểm tra trong của thành phần phụ thuộc (ACO_REL) hoạt động).

Có nghĩa là, trong quá trình hoạt động này, không có yêu cầu để xác định đầy đủ các phạm vi của giao diện đó là dựa vào bởi các thành phần phụ thuộc, chỉ có sự tương ứng là đúng và đảm bảo rằng giao diện của các thành phần cơ sở được ánh xạ tới các giao diện yêu cầu của thành phần phụ thuộc bất cứ nơi nào có thể.

Các phạm vi đầy đủ được xem xét trong phần lý do hoạt động (ACO_COR).

15.4.1.4 Hành động ACO_DEV.1.2E15.4.1.4.1 Đơn vị công việc ACO_DEV.1-3Người đánh giá cần kiểm tra các thông tin phát triển và sự tin cậy thông tin để xác định rằng giao diện được mô tả một cách nhất quán.

Các mục tiêu của đánh giá trong đơn vị công việc này là để xác định các giao diện được mô tả trong phát triển thông tin cho các thành phần cơ bản và phụ thuộc thông tin cho các thành phần phụ thuộc là đại diện một cách nhất quán.

15.4.2 Đánh giá hoạt động con (ACO_DEV.2)

15.4.2.1 Mục tiêuCác mục tiêu hoạt động con này là để xác định rằng sự phù hợp chức năng bảo mật được cung cấp bởi thành phần cơ bản để hỗ trợ các thành phần phụ thuộc. Điều này đạt được thông qua kiểm tra các giao diện và liên quan đến đáp ứng an toàn của các cơ sở thành phần để xác định rằng chúng phù hợp với các giao diện quy định tại các thông tin tin cậy, những yêu cầu của phụ thuộc vào thành phần.


a) ST kết hợp;



15.4.2.3 Hành động ACO_DEV.2.1ETCVN 8709-3:2011 ACO_DEV.2.1C: Các thông tin phát triển sẽ mô tả các mục đích và phương pháp sử dụng của từng giao diện thành phần cơ sở được sử dụng trong TOE tổng hợp.

15.4.2.3.1 Đơn vị công việc ACO_DEV.2-1Người đánh giá cần kiểm tra thông tin phát triển để xác định rằng nó mô tả mục đích của mỗi giao diện.

Các thành phần cơ sở cung cấp giao diện để hỗ trợ tương tác với người thành phần phụ thuộc trong việc cung cấp phụ thuộc của TSF. Các mục đích của mỗi giao diện là mô tả ở cùng một mức độ như mô tả của các giao diện cho các thành phần TSF phụ thuộc chức năng, như sẽ được cung cấp giữa các hệ thống con trong thiết kế TOE (đánh giá của hoạt động con (ADV_TDS.1)). Điều này mô tả

263

TCVN xxx: 2015

để cung cấp cho các độc giả một hiểu biết về cách các cơ sở thành phần cung cấp các dịch vụ theo yêu cầu của các thành phần phụ thuộc TSF.

Đơn vị công việc có thể được thỏa mãn bằng việc cung cấp các đặc điểm kỹ thuật chức năng cho các cơ sở thành phần cho những giao diện mà là TSFIs của thành phần cơ sở.

15.4.2.3.2 Đơn vị công việc ACO_DEV.2-2Người đánh giá cần kiểm tra các thông tin phát triển để xác định rằng nó mô tả các phương pháp sử dụng cho mỗi giao diện.

Phương pháp sử dụng cho một giao diện tóm tắt giao diện được chế tác như thế nào để gọi các hoạt động và đạt được kết quả liên quan đến giao diện. Người đánh giá nên có thể để xác định từ thông tin phát triển như thế nào để sử dụng mỗi giao diện. Điều này không phải không nhất thiết có nghĩa rằng cần có một phương pháp riêng biệt sử dụng cho mỗi giao diện, vì nó có thể mô tả trong API nói chung như thế nào được gọi, ví dụ, và sau đó xác định mỗi giao diện sử dụng.

Đơn vị công việc này có thể được thỏa mãn bằng việc cung cấp của các đặc điểm kỹ thuật chức năng cho các cơ sở thành phần cho những giao diện mà là TSFIs của thành phần cơ sở.

TCVN 8709-3:2011 ACO_DEV.2.2C: Thông tin phát triển cần đưa ra mô tả mức cao về hoạt động của thành phần cơ sở hỗ trợ việc thực thi các SFRs của thành phần phụ thuộc.

15.4.2.3.3 Đơn vị công việc ACO_DEV.2-3Người đánh giá cần kiểm tra thông tin phát triển để xác định rằng nó mô tả đáp ứng của các thành phần cơ bản có hỗ trợ thực thi của các thành phần phụ thuộc SFR.

Các thành phần phụ thuộc gọi giao diện của các cơ sở thành phần cho việc cung cấp các dịch vụ của cơ sở thành phần. Đối với các giao diện của các thành phần cơ bản mà được gọi, các phát triển thông tin có trách nhiệm cung cấp một mô tả cấp cao về các liên kết đáp ứng an toàn của các thành phần cơ sở. Các mô tả của các thành phần cơ sở đáp ứng an toàn sẽ phác thảo như thế nào các cơ sở thành phần cung cấp cần thiết dịch vụ khi các cuộc gọi đến giao diện được thực hiện. Điều này mô tả là một mức độ tương tự như là cung cấp cho ADV_TDS.1.4C. Do đó, việc cung cấp các bằng chứng thiết kết TOE từ các thành phần cơ sở đánh giá sẽ đáp ứng đơn vị công việc này, nơi mà các giao diện được viện dẫn bởi những phụ thuộc vào thành phần là TSFI của cơ sở thành phần. Nếu giao diện gọi bởi các thành phần phụ thuộc không phải là các TSFI của các thành phần cơ bản các liên kết đáp ứng an toàn sẽ không nhất thiết phải được mô tả trong các cơ sở thành phần bằng chứng thiết kết TOE.


15.4.2.3.4 Đơn vị công việc ACO_DEV.2-4Người đánh giá cần kiểm tra các thông tin phát triển để xác định tương ứng, giữa các giao diện của các cơ sở thành phần và các giao diện mà trên đó các thành phần phụ thuộc, là chính xác.


264

TCVN xxx: 2015Có nghĩa là, trong quá trình hoạt động này, không có yêu cầu để xác định đầy đủ các phạm vi của giao diện đó là dựa vào bởi các thành phần phụ thuộc, chỉ có sự tương ứng là đúng và đảm bảo rằng giao diện của các thành phần cơ sở được ánh xạ tới các giao diện yêu cầu của thành phần phụ thuộc bất cứ nơi nào có thể.


15.4.2.4 hành động ACO_DEV.2.2E15.4.2.4.1 Đơn vị công việc ACO_DEV.2-5Người đánh giá cần kiểm tra các thông tin phát triển và sự tin cậy thông tin để xác định rằng giao diện được mô tả một cách nhất quán.

Các mục tiêu của đánh giá trong đơn vị công việc này là để xác định các giao diện được mô tả trong phát triển thông tin cho các thành phần cơ bản và các thông tin tin cậy cho các thành phần phụ thuộc là đại diện một cách nhất quán.

15.4.3 Đánh giá hoạt động con (ACO_DEV.3)

15.4.3.1 Mục tiêuCác mục tiêu hoạt động con này là để xác định sự phù hợp chức năng bảo mật được cung cấp bởi thành phần cơ bản để hỗ trợ các thành phần phụ thuộc. Điều này đạt được thông qua kiểm tra của các giao diện và liên quan đến đáp ứng an toàn của các cơ sở thành phần để xác định rằng chúng phù hợp với các giao diện quy định tại các thông tin tin cậy, những yêu cầu của phụ thuộc vào thành phần.

Ngoài các giao diện mô tả, các hệ thống con của thành phần cơ sở cung cấp các bảo mật chức năng theo yêu cầu của phụ thuộc vào thành phần sẽ được mô tả để cho phép Người đánh giá xác định không phải là giao diện được hình thành một phần của TSF của các cơ sở thành phần.


a) ST kết hợp;



15.4.3.3 Hành động ACO_DEV.3.1ETCVN 8709-3:2011 ACO_DEV.3.1C: Các thông tin phát triển sẽ mô tả các mục đích và phương pháp sử dụng của từng giao diện thành phần cơ sở được sử dụng trong TOE tổng hợp.

15.4.3.3.1 Đơn vị công việc ACO_DEV.3-1Người đánh giá cần kiểm tra thông tin phát triển để xác định rằng nó mô tả các mục đích của mỗi giao diện.

Các thành phần cơ sở cung cấp giao diện để hỗ trợ tương tác với người thành phần phụ thuộc trong việc cung cấp phụ thuộc của TSF. Các mục đích của mỗi giao diện là mô tả ở cùng một mức độ như mô tả của các giao diện cho các thành phần TSF phụ thuộc chức năng, như sẽ được cung cấp giữa các hệ thống con trong thiết kế TOE này (đánh giá của hoạt động con (ADV_TDS.1)). Mô tả này cung cấp cho các độc giả hiểu biết về cách thành phần cơ sở cung cấp các dịch vụ theo yêu cầu của các thành phần phụ thuộc TSF.

265

TCVN xxx: 2015

15.4.3.3.2 Đơn vị công việc ACO_DEV.3-2Người đánh giá cần kiểm tra các phát triển thông tin để xác định rằng nó mô tả các phương pháp sử dụng cho mỗi giao diện.

Phương pháp sử dụng cho một giao diện tóm tắt giao diện được chế tác như thế nào để gọi hoạt động và đạt được kết quả liên quan đến giao diện. Người đánh giá nên có thể để xác định từ thông tin phát triển như thế nào để sử dụng mỗi giao diện. Điều này không phải không nhất thiết có nghĩa cần có một phương pháp riêng biệt sử dụng cho mỗi giao diện, vì nó có thể có thể mô tả trong API nói chung được gọi như thế nào, ví dụ, và sau đó xác định mỗi giao diện sử dụng phong cách chung.

Đơn vị công việc có thể được thỏa mãn bằng việc cung cấp các đặc điểm kỹ thuật chức năng cho các cơ sở thành phần cho những giao diện mà là các TSFI của thành phần cơ sở.

TCVN 8709-3:2011 ACO_DEV.3.2C: Thông tin phát triển cần xác định các hệ thống con của thành phần cơ sở, cung cấp các giao diện của thành phần cơ sở dùng trong TOE tổng hợp.

15.4.3.3.3 Đơn vị công việc ACO_DEV.3-3Người đánh giá cần kiểm tra thông tin phát triển để xác định rằng tất cả các hệ thống con của các cơ sở thành phần cung cấp giao diện cho thành phần phụ thuộc được xác định.

Đối với những giao diện được xem là một phần của TSFI của các cơ sở thành phần, các hệ thống con kết hợp với giao diện sẽ là hệ thống con trong thiết kế TOE (ADV_TDS) hoạt động trong các thành phần cơ sở đánh giá. Các giao diện mà các thành phần phụ thuộc đó đã không tạo thành một phần của các TSFI của các cơ sở thành phần sẽ ghép đến hệ thống con bên ngoài của thành phần cơ sở TSF.

TCVN 8709-3:2011 ACO_DEV.3.3C: Thông tin phát triển cần đưa ra mô tả mức cao về hoạt động của thành phần cơ sở hỗ trợ việc thực thi các SFR của thành phần phụ thuộc.

15.4.3.3.4 Đơn vị công việc ACO_DEV.3-4Người đánh giá cần kiểm tra thông tin phát triển để xác định rằng nó mô tả đáp ứng của các thành phần cơ sở hệ thống con hỗ trợ việc thực thi của các thành phần phụ thuộc SFR.

Các thành phần phụ thuộc gọi giao diện của các cơ sở thành phần cho việc cung cấp các dịch vụ của cơ sở thành phần. Đối với các giao diện của các thành phần cơ bản mà được gọi, các thông tin phát triển có trách nhiệm cung cấp một mô tả cấp cao về các liên kết đáp ứng an toàn của các thành phần cơ sở. Các mô tả của các thành phần cơ sở đáp ứng an toàn sẽ phác thảo các cơ sở thành phần cung cấp cần thiết dịch vụ như thế nào khi các cuộc gọi đến giao diện được thực hiện. Điều này mô tả ở một mức độ tương tự như là cung cấp cho ADV_TDS.1.4C. Do đó, việc cung cấp các bằng chứng thiết kết TOE từ các thành phần cơ sở đánh giá sẽ đáp ứng đơn vị công việc này, nơi mà các giao diện gọi bởi các thành phần phụ thuộc là TSFI của cơ sở thành phần. Nếu giao diện gọi bởi các thành phần phụ thuộc không phải là các TSFI của các thành phần cơ bản, các liên kết đáp ứng an toàn sẽ không nhất thiết phải được mô tả trong các cơ sở thành phần bằng chứng thiết kết TOE.

TCVN 8709-3:2011 ACO_DEV.3.4C: Thông tin phát triển cần cung cấp một ánh xạ từ các giao diện tới các hệ thống con của thành phần cơ sở.

15.4.3.3.5 Đơn vị công việc ACO_DEV.3-5Người đánh giá cần kiểm tra các thông tin phát triển để xác định rằng sự tương ứng giữa các giao diện và hệ thống con của các thành phần cơ bản là chính xác.

266

TCVN xxx: 2015Nếu thiết kế TOE và đặc điểm kỹ thuật chức năng bằng chứng từ việc đánh giá thành phần cơ bản có sẵn, này có thể được sử dụng để xác minh tính chính xác của sự tương ứng giữa các giao diện và hệ thống con của các cơ sở thành phần được sử dụng trong TOE kết hợp. Các giao diện của các thành phần cơ bản, trong đó hình thành một phần của các cơ sở thành phần TSFI sẽ được mô tả trong các cơ sở chức năng thành phần đặc điểm kỹ thuật, và hệ thống con liên quan sẽ được mô tả trong các cơ sở thành phần bằng chứng thiết kế TOE. Các truy tìm sẽ được cung cấp trong các cơ sở thành phần bằng chứng thiết kết TOE.

Nếu, tuy nhiên, giao diện thành phần cơ sở không là một phần của TSFI của các thành phần cơ sở, mô tả về đáp ứng cung cấp hệ thống con trong các thông tin phát triển sẽ được sử dụng để xác minh độ chính xác tương ứng.


15.4.3.3.6 Đơn vị công việc ACO_DEV.3-6Người đánh giá cần kiểm tra các thông tin phát triển để xác định tương ứng, giữa các giao diện của các cơ sở thành phần và các giao diện mà trên đó các thành phần phụ thuộc, là chính xác.


Có nghĩa là, trong quá trình hoạt động này, không có yêu cầu để xác định đầy đủ các phạm vi của giao diện đó là dựa vào bởi các thành phần phụ thuộc, chỉ có sự tương ứng là đúng và đảm bảo rằng giao diện của các thành phần cơ sở được ánh xạ tới các giao diện yêu cầu của thành phần phụ thuộc bất cứ nơi nào có thể.


15.4.3.4 hành động ACO_DEV.3.2E15.4.3.4.1 Đơn vị công việc ACO_DEV.3-7Người đánh giá cần kiểm tra các thông tin phát triển và sự tin cậy thông tin để xác định rằng giao diện được mô tả một cách nhất quán.

Các mục tiêu của đánh giá trong đơn vị công việc này là để xác định các giao diện được mô tả trong thông tin phát triển cho các thành phần cơ bản và các thông tin tin cậy cho các thành phần phụ thuộc là đại diện một cách nhất quán.

15.5 Tính phục thuộc của các thành phần (ACO_REL)15.5.1 Đánh giá hoạt động con (ACO_REL.1)

15.5.1.1 Mục tiêuMục tiêu hoạt động con này là để xác định xem sự phụ thuộc bằng chứng của nhà phát triển cung cấp đầy đủ thông tin để xác định các chức năng cần thiết có sẵn trong các thành phần cơ bản, và các ý nghĩa chức năng được gọi. Đây là những quy định trong các điều khoản của một mô tả cấp cao.


267

TCVN xxx: 2015

a) ST kết hợp;

b) các thành phần phụ thuộc đặc tả chức năng;

c) thiết kế thành phần phụ thuộc;

d) các thiết kế kiến trúc thành phần phụ thuộc;

e) các thông tin tin cậy.

15.5.1.3 Lưu ý áp dụngMột thành phần phụ thuộc có TSF tương tác với các thành phần cơ sở yêu cầu chức năng được cung cấp bởi cơ sở thành phần đó (ví dụ, xác thực từ xa , kiểm tra từ xa lưu trữ dữ liệu). Trong những trường hợp này, những dịch vụ cần phải được mô tả với với cấu hình TOE kết hợp cho người sử dụng. Các lý do cho yêu cầu tài liệu này là để hỗ trợ tích hợp TOE kết hợp để xác định những gì dịch vụ trong các cơ sở thành phần có thể có ảnh hưởng xấu đến thành phần phụ thuộc, và để cung cấp thông tin dựa vào đó xác định khả năng tương thích của các thành phần khi áp dụng phát triển bằng chứng (ACO_DEV).

15.5.1.4 Hành động ACO_REL.1.1ETCVN 8709-3:2011 ACO_REL.1.1C: Thông tin tin cậy cần mô tả chức năng của thành phần cơ sở như phần cứng, phần sụn và/hoặc phần mềm làm nền tảng cho TSF của thành phần phụ thuộc.

15.5.1.4.1 Đơn vị công việc ACO_REL.1-1Người đánh giá cần kiểm tra các thông tin tin cậy để xác định rằng nó mô tả các chức năng của cơ sở phụ thuộc vào phần cứng, phần mềm và/ hoặc phần mềm được dựa vào các thành phần phụ thuộc TSF.

Người đánh giá đánh giá các mô tả về chức năng bảo mật mà TSF thành phần phụ thuộc đòi hỏi phải được cung cấp bởi các cơ sở thành phần của phần cứng, phần mềm Nhấn mạnh của thành phần đơn vị này là trên các mức độ chi tiết của mô tả này, chứ không phải trên một đánh giá chính xác của thông tin.

(Người đánh giá về độ chính xác của thông tin là trọng tâm của đơn vị công việc tiếp theo).

Điều này mô tả cơ sở chức năng của thành phần không cần phải chi tiết hơn mức độ các mô tả một thành phần của TSF, như sẽ được cung cấp trong thiết kế TOE (thiết kế TOE (ADV_TDS)).

15.5.1.4.2 Đơn vị công việc ACO_REL.1-2Người đánh giá cần kiểm tra các thông tin tin cậy để xác định rằng nó phản ánh chính xác các mục tiêu quy định cho các môi trường khai thác của thành phần phụ thuộc.

Thông tin phụ thuộc bao gồm các mô tả về thành phần cơ bản của chức năng bảo mật dựa trên phụ thuộc vào thành phần. Để đảm bảo rằng sự phụ thuộc thông tin phù hợp với sự mong đợi của các môi trường khai thác của các thành phần phụ thuộc, Người đánh giá so sánh các thông tin tin cậy với các tuyên bố các mục tiêu cho các môi trường trong các ST cho người thành phần phụ thuộc.

Ví dụ, nếu phụ thuộc thông tin tuyên bố phụ thuộc vào TSF thành phần dựa vào các cơ sở thành phần để lưu trữ và bảo vệ dữ liệu kiểm tra, nhưng khác bằng chứng đánh giá (ví dụ như các thành phần phụ thuộc thiết kế) làm cho rõ các thành phần phụ thuộc TSF chính nó được lưu trữ và bảo vệ kiểm tra dữ liệu, này sẽ cho thấy một sự thiếu chính xác.

268

TCVN xxx: 2015Cần lưu ý rằng các mục tiêu cho các môi trường vận hành có thể bao gồm các mục tiêu có thể được đáp ứng bằng các biện pháp phi-CNTT. Trong khi các dịch vụ mà cơ sở thành phần môi trường dự kiến sẽ cung cấp có thể được mô tả trong các mục tiêu CNTT cho các môi trường khai thác trong các thành phần phụ thuộc ST, nó không phải là cần thiết trên môi trường được mô tả trong thông tin tin cậy.

TCVN 8709-3:2011 ACO_REL.1.2C: Thông tin tin cậy cần mô tả tất cả các tương tác thông qua đó TSF của thành phần phụ thuộc yêu cầu dịch vụ từ thành phần cơ sở.

15.5.1.4.3 Đơn vị công việc ACO_REL.1-3Người đánh giá cần kiểm tra các thông tin tin cậy để xác định rằng nó mô tả tất cả các tương tác giữa các thành phần phụ thuộc và các cơ sở thành phần, thông qua đó TSF thành phần phụ thuộc yêu cầu dịch vụ từ các thành phần cơ sở.

Các thành phần phụ thuộc TSF có thể yêu cầu dịch vụ của các cơ sở thành phần mà không phải là trong TSF của các cơ sở thành phần (xem B.3, tương tác giữa bao gồm các đơn vị CNTT trong TCVN 8709-3:2011).

Các giao diện cho các thành phần cơ bản của các chức năng được mô tả ở cùng mức độ như các mô tả về các giao diện cho người thành phần phụ thuộc TSF chức năng, như sẽ được cung cấp giữa các hệ thống con trong thiết kế TOE (đánh giá của hoạt động con (ADV_TDS.1)).

Các mục đích mô tả sự tương tác giữa các thành phần phụ thuộc và các thành phần cơ bản là cung cấp một sự hiểu biết về cách các phụ thuộc vào TSF thành phần dựa trên cơ sở thành phần cho cung cấp dịch vụ để hỗ trợ các hoạt động của các chức năng bảo mật phụ thuộc vào thành phần. Những tương tác không cần phải được đặc trưng tại các mức độ triển khai thực hiện (ví dụ như thông số thông qua từ một tuyến trong một thành phần để một tuyến trong thành phần khác), nhưng các yếu tố dữ liệu xác định cho một đặc biệt thành phần đó được sẽ được sử dụng bởi một thành phần nên được bao gồm trong mô tả này. Các tuyên bố sẽ giúp người đọc hiểu chung lý do tại sao sự tương tác là cần thiết.

Độ chính xác và đầy đủ của các giao diện dựa trên các chức năng bảo mật mà các TSF yêu cầu để được được cung cấp bởi các thành phần cơ bản, như đánh giá trong đơn vị công việc ACO_REL.1-1 và ACO_REL.1-2. Nó nên được có thể ghép tất cả các chức năng được mô tả trong các đơn vị công việc trước đó với các giao diện được xác định trong công việc đơn vị này, và ngược lại. Một giao diện không phù hợp để mô tả chức năng sẽ chỉ ra một bất cập.

TCVN 8709-3:2011 ACO_REL.1.3C: Thông tin tin cậy cần mô tả cách thức TSF phụ thuộc tự bảo vệ trước sự can thiệp và giả mạo của thành phần cơ sở.

15.5.1.4.4 Đơn vị công việc ACO_REL.1-4Người đánh giá cần kiểm tra sự phụ thuộc thông tin để xác định rằng nó mô tả cách những phụ thuộc vào TSF bảo vệ chính nó khỏi sự can thiệp và can thiệp bởi các cơ sở thành phần.

Các mô tả về cách các thành phần phụ thuộc bảo vệ khỏi sự can thiệp và can thiệp bởi các cơ sở thành phần được cung cấp tại cùng một mức độ chi tiết là cần thiết cho ADV_ARC.1-4.

15.5.2 Đánh giá hoạt động con (ACO_REL.2)

15.5.2.1 Mục tiêuCác mục tiêu hoạt động con này là để xác định xem sự phụ thuộc bằng chứng của nhà phát triển cung cấp đủ thông tin để xác định rằng các chức năng cần thiết có sẵn trong các thành phần cơ bản, và các

269

TCVN xxx: 2015

ý nghĩa chức năng được gọi. này được cung cấp trong các điều khoản của giao diện giữa các thành phần phụ thuộc và cơ sở và trở lại giá trị từ những giao diện được gọi là bởi sự thành phần phụ thuộc.


a) ST kết hợp;

b) đặc điểm kỹ thuật chức năng thành phần phụ thuộc;

c) thiết kế thành phần phụ thuộc;

d) đại diện thực hiện thành phần phụ thuộc;

e) thiết kế kiến trúc thành phần phụ thuộc;

f) thông tin tin cậy.

15.5.2.3 Lưu ý áp dụngMột thành phần phụ thuộc có TSF tương tác với các thành phần cơ sở yêu cầu chức năng được cung cấp bởi cơ sở thành phần đó (ví dụ, xác thực từ xa , kiểm tra từ xa lưu trữ dữ liệu). Trong những trường hợp này, những dịch vụ cần phải được mô tả với với cấu hình TOE kết hợp cho người sử dụng. Các lý do cho yêu cầu tài liệu này là để hỗ trợ tích hợp TOE kết hợp để xác định những gì dịch vụ trong các cơ sở thành phần có thể có ảnh hưởng xấu đến thành phần phụ thuộc, và để cung cấp thông tin dựa vào đó xác định khả năng tương thích của các thành phần khi áp dụng phát triển bằng chứng (ACO_DEV).

15.5.2.4 Hành động ACO_REL.2.1ETCVN 8709-3:2011 ACO_REL.2.1C: Thông tin tin cậy cần mô tả chức năng của thành phần cơ sở như phần cứng, phần sụn và/hoặc phần mềm làm nền tảng cho TSF của thành phần phụ thuộc.

15.5.2.4.1 Đơn vị công việc ACO_REL.2-1Người đánh giá thực hiện kiểm tra các thông tin tin cậy để xác định rằng nó mô tả các chức năng của cơ sở phụ thuộc vào phần cứng, phần mềm và/hoặc phần mềm được dựa vào các thành phần phụ thuộc TSF.

Người đánh giá đánh giá các mô tả về chức năng bảo mật mà TSF thành phần phụ thuộc đòi hỏi phải được cung cấp bởi các cơ sở thành phần của phần cứng, phần mềm. Các trọng tâm của đơn vị thành phần này là trên các mức độ chi tiết của mô tả này, chứ không phải trên một đánh giá chính xác của thông tin. (Người đánh giá về độ chính xác của thông tin là trọng tâm của đơn vị công việc tiếp theo.)

Điều này mô tả cơ sở chức năng của thành phần không cần phải bất kỳ chi tiết hơn mức độ các mô tả một thành phần của TSF, như sẽ được cung cấp trong thiết kế TOE (thiết kế TOE (ADV_TDS)).

15.5.2.4.2 Đơn vị công việc ACO_REL.2-2Người đánh giá cần kiểm tra các thông tin tin cậy để xác định rằng nó phản ánh chính xác các mục tiêu quy định cho các môi trường khai thác của thành phần phụ thuộc.

Thông tin phụ thuộc bao gồm các mô tả về thành phần cơ bản của chức năng bảo mật dựa trên phụ thuộc vào thành phần. Để đảm bảo rằng sự phụ thuộc thông tin phù hợp với sự mong đợi của các môi

270

TCVN xxx: 2015trường khai thác của các thành phần phụ thuộc, Người đánh giá so sánh các thông tin tin cậy với các tuyên bố các mục tiêu cho các môi trường trong các ST cho người thành phần phụ thuộc.

Ví dụ, nếu phụ thuộc thông tin tuyên bố phụ thuộc vào TSF thành phần dựa vào các cơ sở thành phần để lưu trữ và bảo vệ dữ liệu kiểm tra, nhưng khác bằng chứng đánh giá (ví dụ như các thành phần phụ thuộc thiết kế) làm cho rõ các thành phần phụ thuộc TSF chính nó được lưu trữ và bảo vệ kiểm tra dữ liệu, này sẽ cho thấy một sự thiếu chính xác.

Cần lưu ý rằng các mục tiêu cho các môi trường vận hành có thể bao gồm các mục tiêu có thể được đáp ứng bằng các biện pháp phi-CNTT. Trong khi các dịch vụ mà cơ sở thành phần môi trường dự kiến sẽ cung cấp có thể được mô tả trong các mục tiêu CNTT cho các môi trường khai thác trong các thành phần phụ thuộc ST, nó không phải là cần thiết trên môi trường được mô tả trong thông tin tin cậy.

TCVN 8709-3:2011 ACO_REL.1.2C: Thông tin phụ thuộc cần mô tả tất cả các tương tác thông qua đó các TSF thành phần phụ thuộc yêu cầu dịch vụ từ cơ sở thành phần.

15.5.2.4.3 Đơn vị công việc ACO_REL.2-3Người đánh giá cần kiểm tra các thông tin tin cậy để xác định rằng nó mô tả tất cả các tương tác giữa các thành phần phụ thuộc và các cơ sở thành phần, thông qua đó người thành phần phụ thuộc TSF yêu cầu dịch vụ từ cơ sở thành phần.

Các thành phần phụ thuộc TSF có thể yêu cầu dịch vụ của các cơ sở thành phần mà không phải là trong TSF của các cơ sở thành phần (xem Phụ lục B.3, tương tác giữa bao gồm các đơn vị CNTT trong TCVN 8709-3:2011).

Các giao diện cho các thành phần cơ bản của các chức năng được mô tả ở cùng mức độ như các mô tả về các giao diện cho người thành phần phụ thuộc TSF chức năng, như sẽ được cung cấp giữa các hệ thống con trong thiết kế TOE (đánh giá của hoạt động con (ADV_TDS.1)).

Các mục đích mô tả sự tương tác giữa các thành phần phụ thuộc và các thành phần cơ bản là cung cấp một hiểu biết về cách các phụ thuộc vào TSF thành phần dựa trên cơ sở thành phần cho cung cấp dịch vụ để hỗ trợ các hoạt động của các chức năng bảo mật của phụ thuộc vào thành phần. Những tương tác làm không cần phải được đặc trưng tại các mức độ triển khai thực hiện (ví dụ như thông số thông qua từ một tuyến trong một thành phần đến một tuyến trong thành phần khác), nhưng dữ liệu các yếu tố xác định cho một đặc biệt thành phần đó được sẽ được sử dụng bởi một thành phần nên được bao gồm trong mô tả này. Các tuyên bố sẽ giúp người đọc hiểu trong chung lý do tại sao sự tương tác là cần thiết.

Độ chính xác và đầy đủ của các giao diện dựa trên các chức năng bảo mật mà các TSF yêu cầu để được được cung cấp bởi các thành phần cơ bản, như đánh giá trong đơn vị công việc ACO_REL.2-1 và ACO_REL.2-2. Nên ghép tất cả các chức năng được mô tả trong các đơn vị công việc trước đó với các giao diện được xác định trong đơn vị công việc này, và ngược lại. Một giao diện không phù hợp để mô tả chức năng sẽ cũng chỉ ra một bất cập.

TCVN 8709-3:2011 ACO_REL.2.3C: Thông tin tin cậy cần mô tả từng tương tác về giao diện sử dụng và trả lại giá trị từ những giao diện đó.

15.5.2.4.4 Đơn vị công việc ACO_REL.2-4Thông tin phụ thuộc cần mô tả từng tương tác trong các điều khoản của giao diện sử dụng và giá trị trả lại từ các giao diện.

271

TCVN xxx: 2015

Cách xác định các giao diện được sử dụng bởi các thành phần phụ thuộc TSF khi thực hiện các yêu cầu dịch vụ cơ sở thành phần cho phép một tích hợp để xác định xem liệu các thành phần cơ sở cung cấp tất cả các cần thiết tương ứng với giao diện. Đây là sự hiểu biết đã đạt được hơn nữa thông qua các đặc điểm kỹ thuật của giá trị trả lại dự kiến của các thành phần phụ thuộc. Người đánh giá đảm bảo rằng giao diện được mô tả cho mỗi tương tác được chỉ định (như đã phân tích ở ACO_REL.2-3).

TCVN 8709-3:2011 ACO_REL.2.4C: Thông tin phụ thuộc phải mô tả phụ thuộc vào TSF bảo vệ khỏi sự can thiệp của các cơ sở thành phần.

15.5.2.4.5 Đơn vị công việc ACO_REL.2-5Người đánh giá cần kiểm tra các thông tin tin cậy để xác định rằng nó mô tả cách những phụ thuộc vào TSF bảo vệ khỏi sự can thiệp bởi các cơ sở thành phần.

Các mô tả về cách các thành phần phụ thuộc bảo vệ khỏi sự can thiệp bởi các cơ sở thành phần được cung cấp tại cùng một mức độ chi tiết là cần thiết cho ADV_ARC.1-4.

15.6 Kiểm tra TOE tích hợp (ACO_CTT)15.6.1 Đánh giá hoạt động con (ACO_CTT.1)

15.6.1.1 Mục tiêuCác mục tiêu hoạt động con này là để xác định liệu nhà phát triển thực hiện một cách chính xác và tài liệu kiểm thử đối với từng cơ sở thành phần giao diện mà các thành phần phụ thuộc. Là một phần của việc này quyết tâm đánh giá lặp đi lặp lại một mẫu của các kiểm thử được thực hiện bởi nhà phát triển và thực hiện bất kỳ kiểm tra bổ sung cần thiết để đảm bảo các đáp ứng mong đợi của tất cả TOE kết hợp SFR và giao diện của thành phần cơ bản dựa trên các thành phần phụ thuộc được thể hiện.


a) TOE kết hợp phù hợp cho kiểm tra;

b) TOE kết hợp bằng chứng kiểm tra;

c) thông tin tin cậy;

d) thông tin phát triển.

15.6.1.3 Hành động ACO_CTT.1.1ETCVN 8709-3:2011 ACO_CTT.1.1C: Tài liệu kiểm thử cho TOE tổng hợp và giao diện thành phần cơ sở cần bao gồm kế hoạch kiểm thử, kết quả kiểm thử dự kiến kết quả kiểm thử thực tế.

15.6.1.3.1 Đơn vị công việc ACO_CTT.1-1Người đánh giá cần kiểm tra tài liệu kiểm thử TOE kết hợp để xác định rằng nó bao gồm các kế hoạch kiểm thử, kết quả kiểm thử dự kiến và thực tế kết quả kiểm thử.

Điều này đơn vị công việc có thể được thỏa mãn bằng việc cung cấp các bằng chứng kiểm tra từ việc đánh giá thành phần phụ thuộc nếu các thành phần cơ bản được sử dụng để đáp ứng các yêu cầu cho CNTT trong môi trường khai thác của thành phần phụ thuộc.

Tất cả các công việc cần thiết cho sự thỏa mãn của ATE_FUN.1.1E sẽ được áp dụng để xác định:272

TCVN xxx: 2015a) các tài liệu kiểm thử bao gồm các kế hoạch kiểm thử, kết quả kiểm thử và thực tế kết quả kiểm thử;

b) các tài liệu kiểm thử chứa các thông tin cần thiết để đảm bảo các kiểm thử được lặp lại;

c) mức độ phát triển đó đã được áp dụng để kiểm tra các thành phần cơ sở.

15.6.1.3.2 Đơn vị công việc ACO_CTT.1-2Người đánh giá cần kiểm tra các thành phần cơ sở giao diện tài liệu hướng dẫn kiểm tra để xác định rằng nó bao gồm kế hoạch kiểm thử, kết quả kiểm thử dự kiến và thực tế kết quả kiểm thử.

Đơn vị công việc có thể được thỏa mãn bằng việc cung cấp các bằng chứng kiểm tra từ việc đánh giá của các cơ sở thành phần cho những giao diện dựa vào trong TOE kết hợp của thành phần phụ thuộc là TSFIs của đánh giá thành công cơ sở thành phần. Việc xác định liệu các giao diện của thành phần cơ sở dựa vào các thành phần phụ thuộc là trong thực tế TSFIs của đánh giá cơ sở thành phần được thực hiện trong quá trình hoạt động ACO_COR.

Tất cả các công việc cần thiết cho sự thỏa mãn của ATE_FUN.1.1E sẽ được áp dụng để xác định:

a) các tài liệu kiểm thử bao gồm các kế hoạch kiểm thử, kết quả kiểm thử và thực tế kết quả kiểm thử;



TCVN 8709-3:2011 ACO_CTT.1.2C: Tài liệu kiểm thử có được từ việc nhà phát triển thực hiện kiểm thử TOE tổng hợp cần chứng tỏ rằng TSF tuân thủ theo quy định.

15.6.1.3.3 Đơn vị công việc ACO_CTT.1-3Người đánh giá cần xem xét tài liệu kiểm thử để xác định rằng việc thực hiện phát triển của TOE kết hợp kiểm tra phải chứng minh rằng TSF hoạt động như quy định.

Người đánh giá nên xây dựng một ánh xạ giữa các kiểm thử được mô tả trong kế hoạch kiểm thử và SFR quy định cho TOE kết hợp để xác định SFR đó đã được kiểm tra bởi nhà phát triển.


a) khoản 9.2.1,

b) khoản 9.2.2.

Các kết quả từ việc thực hiện thành công các kiểm thử là đánh giá cho ATE_FUN.1.3C có thể được so sánh với với ánh xạ để xác định rằng các SFR của TOE kết hợp, như kiểm tra bởi nhà phát triển, hoạt động như mong đợi.

TCVN 8709-3:2011 ACO_CTT.1.3C: Tài liệu kiểm thử có được từ việc nhà phát triển thực hiện kiểm thử thành phần cơ sở cần chứng tỏ rằng giao diện thành phần cơ sở mà thành phần cơ sở dựa vào tuân thủ theo quy định.

15.6.1.3.4 Đơn vị công việc ACO_CTT.1-4Người đánh giá cần xem xét tài liệu kiểm thử để xác định rằng nhà phát triển thực hiện của cơ sở thành phần giao diện kiểm tra sẽ chứng minh rằng cơ sở giao diện thành phần dựa vào các thành phần phụ thuộc đáp ứngnhư quy định.

Người đánh giá nên xây dựng một ánh xạ giữa các kiểm thử được mô tả trong các kiểm thử kế hoạch và các giao diện của các cơ sở thành phần dựa trên các thành phần phụ thuộc (như quy định

273

TCVN xxx: 2015

tại các sự phụ thuộc thông tin, kiểm tra dưới ACO_REL) để xác định mà cơ sở thành phần giao diện đã được kiểm tra bởi nhà phát triển.


a) khoản 9.2.1,

b) khoản 9.2.2.

Các kết quả từ việc thực hiện thành công các kiểm thử là đánh giá cho ATE_FUN.1.3C có thể được so sánh với với các ánh xạ để xác định các giao diện của các thành phần cơ bản, như kiểm tra bởi nhà phát triển, ứng xử như mong đợi.

TCVN 8709-3:2011 ACO_CTT.1.4C: Thành phần cơ sở cần thích hợp cho kiểm thử.

15.6.1.3.5 Đơn vị công việc ACO_CTT.1-5Người đánh giá cần kiểm tra TOE kết hợp để xác định rằng nó đã được cài đặt đúng cách và trong trạng thái biết đến.

Để xác định rằng sự TOE kết hợp đã được cài đặt đúng cách và đang trong trạng thái đã biết các ATE_IND.2-1 và đơn vị công việc ATE_IND.2-2 sẽ được áp dụng cho TOE được cung cấp bởi nhà phát triển để kiểm tra.

15.6.1.3.6 Đơn vị công việc ACO_CTT.1-6Người đánh giá cần kiểm tra các thiết lập của các nguồn tài nguyên được cung cấp bởi nhà phát triển để xác định rằng chúng tương đương với tập hợp các nguồn lực được sử dụng bởi các cơ sở phát triển thành phần chức năng để kiểm tra các cơ sở thành phần.

Để xác định rằng tập hợp các nguồn cung cấp tương đương với những người sử dụng với chức năng kiểm tra các cơ sở thành phần được sử dụng trong TOE kết hợp, đơn vị công việc ATE_IND.2-3 sẽ được áp dụng.

15.6.1.4 Hành động ACO_CTT.1.2E15.6.1.4.1 Đơn vị công việc ACO_CTT.1-7Người đánh giá thực hiện kiểm tra theo ATE_IND.2.2E, cho một tập hợp con của các SFR quy định trong các mục tiêu an toàn kết hợp, để xác minh nhà phát triển kết quả kiểm thử.

Người đánh giá cần áp dụng tất cả các đơn vị công việc cần thiết cho sự thỏa mãn của ATE_IND.2.2E, báo cáo trong các ETR cho TOE kết hợp tất cả phân tích, kết quả và phán quyết sau khi ra trường của các đơn vị liên quan làm việc.

15.6.1.5 Hành động ACO_CTT.1.3E15.6.1.5.1 Đơn vị công việc ACO_CTT.1-8Người đánh giá thực hiện kiểm tra theo ATE_IND.2.3E, cho một tập hợp con của các SFR quy định trong các mục tiêu an toàn kết hợp, để xác nhận rằng TSF hoạt động theo quy định.

Người đánh giá cần áp dụng tất cả các đơn vị công việc cần thiết cho sự thỏa mãn của ATE_IND.2.3E, báo cáo trong các ETR cho TOE kết hợp tất cả phân tích, kết quả và phán quyết của các đơn vị công việc.

274

TCVN xxx: 2015Khi lựa chọn giao diện TSF của TOE kết hợp để kiểm tra, thẩm định nên đưa vào tài khoản bất kỳ sửa đổi các thành phần từ phiên bản hoặc cấu hình đánh giá. Sửa đổi các thành phần từ đó đánh giá có thể bao gồm các bản vá lỗi được giới thiệu, một cấu hình khác nhau là kết quả của hướng dẫn sửa đổi tài liệu hướng dẫn, phụ thuộc một phần bổ sung của các thành phần không phải là trong TSF thành phần.

Những sửa đổi sẽ được xác định trong phần lý do (ACO_COR) hoạt động.

15.6.2 Đánh giá hoạt động con (ACO_CTT.2)

15.6.2.1 Mục tiêuCác mục tiêu hoạt động con này là để xác định liệu nhà phát triển thực hiện một cách chính xác tài liệu kiểm thử đối với từng cơ sở thành phần giao diện mà các thành phần phụ thuộc phụ thuộc. Một phần của việc này quyết tâm đánh giá lặp đi lặp lại một mẫu của các kiểm thử được thực hiện bởi nhà phát triển và thực hiện bất kỳ thêm các kiểm thử cần thiết để hoàn toàn chứng minh các đáp ứng mong đợi của TOE kết hợp và các giao diện của các thành phần cơ sở dựa trên bằng các thành phần phụ thuộc.



b) TOE kết hợp bằng chứng kiểm tra;

c) thông tin tin cậy;

d) thông tin phát triển.

15.6.2.3 hành động ACO_CTT.2.1ETCVN 8709-3:2011 ACO_CTT.2.1C: Tài liệu kiểm thử cho TOE tổng hợp và giao diện thành phần cơ sở cần bao gồm kế hoạch kiểm thử, kết quả kiểm thử dự kiến kết quả kiểm thử thực tế.

15.6.2.3.1 Đơn vị công việc ACO_CTT.2-1Người đánh giá cần kiểm tra TOE kết hợp tài liệu kiểm thử để xác định rằng nó bao gồm các kế hoạch kiểm thử, kết quả kiểm thử dự kiến và thực tế kết quả kiểm thử.

Điều này đơn vị công việc có thể được thỏa mãn bằng việc cung cấp các bằng chứng kiểm tra từ việc đánh giá thành phần phụ thuộc nếu các thành phần cơ bản được sử dụng để đáp ứng các yêu cầu cho CNTT trong môi trường khai thác của thành phần phụ thuộc.





15.6.2.3.2 Đơn vị công việc ACO_CTT.2-2Người đánh giá cần kiểm tra các thành phần cơ sở giao diện tài liệu hướng dẫn kiểm tra để xác định rằng nó bao gồm kế hoạch kiểm thử, kết quả kiểm thử dự kiến và thực tế kết quả kiểm thử.

275

TCVN xxx: 2015

Điều này đơn vị công việc có thể được thỏa mãn bằng việc cung cấp các bằng chứng kiểm tra từ việc đánh giá của các cơ sở thành phần cho những giao diện dựa vào TOE kết hợp của thành phần phụ thuộc là TSFIs của đánh giá thành công cơ sở thành phần. Việc xác định liệu các giao diện của thành phần cơ sở dựa vào các thành phần phụ thuộc là TSFIs của đánh giá cơ sở thành phần được thực hiện trong quá trình hoạt động ACO_COR.





TCVN 8709-3:2011 ACO_CTT.2.2C: Tài liệu kiểm thử có được từ việc nhà phát triển thực hiện kiểm thử TOE tổng hợp cần chứng tỏ rằng TSF tuân thủ theo quy định và đầy đủ.

15.6.2.3.3 Đơn vị công việc ACO_CTT.2-3Người đánh giá cần kiểm tra tài liệu kiểm thử để xác định chính xác mà nó cung cấp tương ứng giữa các kiểm thử trong bài tài liệu kiểm thử liên quan đến các kiểm thử của TOE kết hợp và TOE kết hợp SFR trong các mục tiêu an toàn TOE kết hợp.

Một bảng tham chiếu chéo đơn giản có thể đủ để hiển thị kiểm tra tương ứng. Việc xác định các kiểm thử và đáp ứng / tương tác thể hiện trong chiều sâu của phân tích phạm vi phải được rõ ràng.

15.6.2.3.4 Đơn vị công việc ACO_CTT.2-4Người đánh giá cần xem xét tài liệu kiểm thử để xác định rằng nhà phát triển thực hiện của TOE kết hợp kiểm tra phải chứng minh rằng TSF hoạt động như quy định.


a) khoản 9.2.1,

b) khoản 9.2.2.


TCVN 8709-3:2011 ACO_CTT.2.3C: Tài liệu kiểm thử có được từ việc nhà phát triển thực hiện kiểm thử thành phần cơ sở cần chứng tỏ rằng giao diện thành phần cơ sở mà thành phần cơ sở dựa vào tuân thủ theo quy định và đầy đủ.

15.6.2.3.5 Đơn vị công việc ACO_CTT.2-5Người đánh giá cần kiểm tra tài liệu kiểm thử để xác định chính xác mà nó cung cấp tương ứng giữa các kiểm thử trong bài tài liệu kiểm thử liên quan đến các kiểm thử của TOE kết hợp và TOE kết hợp SFR trong các mục tiêu an toàn TOE kết hợp.

Một bảng tham chiếu chéo đơn giản có thể đủ để hiển thị kiểm tra tương ứng. Việc xác định các kiểm thử và đáp ứng / tương tác thể hiện trong chiều sâu của phân tích phạm vi phải được rõ ràng.

15.6.2.3.6 Đơn vị công việc ACO_CTT.2-6

276

TCVN xxx: 2015Người đánh giá cần xem xét tài liệu kiểm thử để xác định rằng nhà phát triển thực hiện của TOE kết hợp kiểm tra phải chứng minh rằng TSF hoạt động như quy định.


a) khoản 9.2.1,

b) khoản 9.2.2.


TCVN 8709-3:2011 ACO_CTT.2.4C: Thành phần cơ sở cần thích hợp cho kiểm thử.

15.6.2.3.7 Đơn vị công việc ACO_CTT.2-7Người đánh giá cần kiểm tra TOE kết hợp để xác định rằng nó đã được cài đặt đúng cách và là một trong trạng thái xác định.

Để xác định rằng sự kết hợp TOE đã được cài đặt đúng cách và đang trong trạng thái đã biết các ATE_IND.2-1 và đơn vị công việc ATE_IND.2-2 sẽ được áp dụng cho TOE được cung cấp bởi nhà phát triển để kiểm tra.

15.6.2.3.8 Đơn vị công việc ACO_CTT.2-8Người đánh giá cần kiểm tra các thiết lập của các nguồn tài nguyên được cung cấp bởi nhà phát triển để xác định rằng họ tương đương với tập hợp các nguồn lực được sử dụng bởi các cơ sở phát triển thành phần chức năng để kiểm tra các cơ sở thành phần.

Để xác định rằng tập hợp các nguồn cung cấp tương đương với những người sử dụng với chức năng kiểm tra các cơ sở thành phần được sử dụng trong TOE kết hợp, đơn vị công việc ATE_IND.2-3 sẽ được áp dụng.

15.6.2.4 Hành động ACO_CTT.2.2E15.6.2.4.1 Đơn vị công việc ACO_CTT.2-9Các kiểm thử này để được lựa chọn và thực hiện theo ATE_IND.2.2E, để chứng minh chính xác đáp ứng của các SFR quy định tại TOE kết hợp mục tiêu an toàn.

Người đánh giá cần áp dụng tất cả các đơn vị công việc cần thiết cho sự thỏa mãn của ATE_IND.2.2E, báo cáo trong các ETR cho TOE kết hợp tất cả phân tích, kết quả và phán quyết của các đơn vị liên quan làm việc.

15.6.2.5 Hành động ACO_CTT.2.3E15.6.2.5.1 Đơn vị công việc ACO_CTT.2-10Người đánh giá thực hiện kiểm tra theo ATE_IND.2.3E, cho một tập hợp con của các SFR quy định trong các mục tiêu an toàn kết hợp, để xác nhận rằng TSF hoạt động theo quy định.


Khi lựa chọn giao diện TSF của TOE kết hợp để kiểm tra, thẩm định nên đưa vào tài khoản bất kỳ sửa đổi các thành phần từ phiên bản hoặc cấu hình đánh giá. Sửa đổi các thành phần từ đó đánh giá có

277

TCVN xxx: 2015

thể bao gồm các bản vá lỗi được giới thiệu, một cấu hình khác nhau là kết quả của hướng dẫn sửa đổi tài liệu hướng dẫn, phụ thuộc một phần bổ sung của các thành phần không phải là trong TSF thành phần.

Những sửa đổi sẽ được xác định trong phần lý do (ACO_COR) hoạt động.

15.6.2.5.2 Đơn vị công việc ACO_CTT.2-11Người đánh giá thực hiện kiểm tra, phù hợp với đánh giá của hoạt động con (ATE_IND.2), cho một tập hợp con của các giao diện cho các thành phần cơ sở để khẳng định họ hoạt động như quy định.


Khi lựa chọn các giao diện của các thành phần cơ sở để kiểm tra, thẩm định nên đưa vào tài khoản bất kỳ sửa đổi các thành phần cơ bản từ các phiên bản hoặc đánh giá cấu hình. Đặc biệt, Người đánh giá nên xem xét phát triển các kiểm thử để chứng minh đáp ứng đúng các giao diện của các cơ sở thành phần đó không được xem là trong đánh giá của các thành phần cơ sở. Những giao diện bổ sung và sửa đổi khác với thành phần cơ sở sẽ được xác định trong phần lý do (ACO_COR) hoạt động.

15.7 Phân tích thành phần điểm yếu (ACO_VUL)15.7.1 Đánh giá hoạt động con (ACO_VUL.1)

15.7.1.1 Mục tiêuCác mục tiêu hoạt động con này là để xác định xem TOE kết hợp, trong môi trường vận hành của nó, có thể dễ dàng khai thác lỗ hổng.

Nhà phát triển cung cấp các chi tiết của bất kỳ điểm yếu còn lại được báo cáo từ đánh giá của các thành phần. Người đánh giá thực hiện một phân tích về bố trí các điểm yếu còn lại báo cáo và cũng thực hiện một tìm kiếm các lĩnh vực chung, để xác định bất kỳ mới điểm yếu tiềm năng trong các thành phần (tức là những vấn đề đã được báo cáo trong miền chung từ đánh giá của các thành phần cơ sở). Người đánh giá sau đó thực hiện kiểm thử thâm nhập để chứng minh rằng các Điểm yếu tiềm năng không thể được khai thác trong TOE, trong môi trường vận hành của nó, bởi một kẻ tấn công với khả năng tấn công cơ bản.

15.7.1.2 đầu vàoCác bằng chứng đánh giá cho hoạt động con này là:


b) ST kết hợp;

c) sở cứ tổng hợp;

d) tài liệu hướng dẫn;

e) thông tin công khai sẵn sàng hỗ trợ các xác định có thể bảo mật lỗ hổng;

f) điểm yếu còn lại báo cáo trong quá trình đánh giá của từng thành phần.

15.7.1.3 Lưu ý áp dụng

278

TCVN xxx: 2015Xem lưu ý áp dụng cho đánh giá của hoạt động con (AVA_VAN.1).

15.7.1.4 Hành động ACO_VUL.1.1ETCVN 8709-3:2011 ACO_VUL.1.1C: TOE tổng hợp cần thích hợp cho kiểm thử.

15.7.1.4.1 Đơn vị công việc ACO_VUL.1-1Người đánh giá cần kiểm tra TOE kết hợp để xác định rằng nó đã được cài đặt đúng cách và là một trong trạng thái xác định.

Để xác định rằng sự TOE kết hợp đã được cài đặt đúng cách và đang trong trạng thái đã biết các ATE_IND.2-1 và đơn vị công việc ATE_IND.2-2 sẽ được áp dụng cho TOE kết hợp.

Bảo đảm bao gồm một thành phần của họ ACO_CTT, sau đó Người đánh giá có thể tham khảo để kết quả của các đơn vị công việc ACO_CTT * -1 để chứng minh điều này đã được thỏa mãn.

15.7.1.4.2 Đơn vị công việc ACO_VUL.1-2Người đánh giá cần kiểm tra TOE kết hợp cấu hình để xác định rằng bất kỳ giả định và mục tiêu trong các ST các thành phần liên quan đến CNTT cho các đơn vị được thực hiện bởi các thành phần khác.

Các ST cho các thành phần có thể bao gồm các giả định về các thành phần khác có thể sử dụng các thành phần ST liên quan, ví dụ như ST cho một hệ điều hành được sử dụng như một thành phần cơ bản có thể bao gồm giả định rằng bất kỳ ứng dụng được tải về các hệ điều hành không chạy trong đặc quyền chế độ. Những giả định và mục tiêu là để được thực hiện bởi các thành phần khác trong TOE kết hợp.

15.7.1.5 Hành động ACO_VUL.1.2E15.7.1.5.1 Đơn vị công việc ACO_VUL.1-3Người đánh giá cần kiểm tra lỗ hổng từ việc đánh giá thành phần cơ sở để xác định rằng họ không thể khai thác trong TOE kết hợp trong môi trường vận hành của nó.

Các danh sách các lỗ hổng an toàn được xác định trong sản phẩm trong quá trình đánh giá của các cơ sở thành phần, đó là chứng minh là không thể khai thác được trong thành phần cơ bản, là để được sử dụng như một đầu vào cho hoạt động này. Người đánh giá cần xác định rằng các tiền đề trên đó một lỗ hổng đã được xem là không thể khai thác được duy trì trong TOE kết hợp, hoặc cho dù đã kết hợp lại giới thiệu điểm yếu tiềm năng. Ví dụ, nếu trong quá trình đánh giá của các cơ sở thành phần nó được giả định rằng một điều hành hệ đặc biệt dịch vụ đã được vô hiệu hóa, mà được cho phép trong TOE kết hợp đánh giá, bất kỳ Điểm yếu tiềm năng liên quan cho dịch vụ mà trước đây bây giờ sẽ được xem xét.

Ngoài ra, đây danh sách các khai thác lỗ hổng an toàn kết quả từ đánh giá của các thành phần cơ sở cần được xem xét trong mục tiêu bất kỳ được biết đến, không thể khai thác lỗ hổng an toàn cho thành phần khác (ví dụ: thành phần phụ thuộc) trong TOE kết hợp. Điều này là để xem xét trường hợp một Điểm yếu tiềm năng đó là không thể khai thác được trong sự cô lập là có thể khai thác khi tích hợp với một IT thực thể có chứa một điểm yếu tiềm năng.

15.7.1.5.2 Đơn vị công việc ACO_VUL.1-4Người đánh giá cần kiểm tra các lỗ hổng từ các thành phần phụ thuộc vào đánh giá xác định rằng họ không thể khai thác trong TOE kết hợp trong môi trường vận hành của nó.

279

TCVN xxx: 2015

Các danh sách các lỗ hổng an toàn được xác định trong sản phẩm trong quá trình đánh giá của các thành phần phụ thuộc, mà đã được chứng minh không khai thác trong phụ thuộc vào thành phần, là để được sử dụng như một đầu vào hoạt động này. Người đánh giá cần xác định rằng các tiền đề mà trên đó một lỗ hổng đã được xem là không khai thác được duy trì trong TOE kết hợp, hay sự kết hợp đã tái giới thiệu điểm yếu tiềm năng. Ví dụ, nếu trong quá trnh đánh giá của phụ thuộc vào thành phần nó được giả định rằng CNTT các môi trường khai thác yêu cầu sẽ không trả về một giá trị nhất định trong phản ứng với một yêu cầu dịch vụ, được cung cấp bởi các thành phần cơ bản trong TOE kết hợp đánh giá, bất kỳ điểm yếu tiềm năng liên quan đến mà trở lại giá trị trước bây giờ sẽ được xem xét.

Ngoài ra, đây danh sách các khai thác lỗ hổng an toàn kết quả từ đánh giá của các thành phần cơ sở cần được xem xét trong mục tiêu bất kỳ được biết đến, không thể khai thác lỗ hổng an toàn cho thành phần khác (ví dụ: thành phần phụ thuộc) trong TOE kết hợp. Điều này là để xem xét trường hợp một Điểm yếu tiềm năng đó là không thể khai thác được trong sự cô lập là có thể khai thác khi tích hợp với một IT thực thể có chứa một điểm yếu tiềm năng.

15.7.1.6 Hành động ACO_VUL.1.3E15.7.1.6.1 Đơn vị công việc ACO_VUL.1-5Người đánh giá cần kiểm tra các nguồn thông tin công khai sẵn sàng hỗ trợ các xác định có thể lỗ hổng an toàn trong các thành phần cơ sở đã trở nên rõ ràng kể từ khi hoàn thành đánh giá của các thành phần cơ sở.

Người đánh giá cần sử dụng thông tin trong lĩnh vực chung như mô tả trong AVA_VAN.1-2 để tìm kiếm lỗ hổng trong các thành phần cơ sở.

Những điểm yếu tiềm năng đó là công khai có sẵn trước khi Người đánh giá các thành phần cơ sở không phải để được điều tra thêm trừ khi nó là rõ ràng cho Người đánh giá rằng khả năng tấn công theo yêu cầu của một kẻ tấn công khai thác điểm yếu tiềm năng đã được giảm đáng kể. Điều này có thể được thông qua giới thiệu một số mới công nghệ từ các thành phần cơ sở đánh giá đó có nghĩa là việc khai thác điểm yếu tiềm năng đã được đơn giản hóa.

15.7.1.6.2 Đơn vị công việc ACO_VUL.1-6Người đánh giá cần kiểm tra các nguồn thông tin công bố công khai để hỗ trợ các xác định có thể bảo mật lỗ hổng trong thành phần phụ thuộc kể từ khi hoàn thành Người đánh giá thành phần phụ thuộc.

Người đánh giá cần sử dụng thông tin trong lĩnh vực chung như mô tả trong AVA_VAN.1-2 để tìm kiếm lỗ hổng trong các thành phần phụ thuộc.

Những điểm yếu tiềm năng mà là công khai có sẵn trước khi Người đánh giá các thành phần phụ thuộc làm không có được tiếp tục điều tra , trừ khi nó là rõ ràng để Người đánh giá rằng khả năng tấn công theo yêu cầu của một kẻ tấn công để khai thác các điểm yếu tiềm năng đã được giảm đáng kể. Điều này có thể được thông qua các giới thiệu một số mới công nghệ kể từ khi đánh giá các thành phần phụ thuộc đó có nghĩa là các khai thác các Điểm yếu tiềm năng đã được đơn giản hóa.

15.7.1.6.3 Đơn vị công việc ACO_VUL.1-7Người đánh giá cần ghi nhận vào ETR khả năng xác định lỗ hổng an toàn mà ứng viên cho kiểm tra và áp dụng cho TOE kết hợp trong môi trường vận hành của nó.

ST, tài liệu hướng dẫn và đặc điểm kỹ thuật chức năng được sử dụng để xác định liệu lỗ hổng là có liên quan đến TOE kết hợp trong môi trường khai thác của nó.

280

TCVN xxx: 2015Người đánh giá ghi lại bất kỳ lý do để loại trừ các lỗ hổng từ xem xét thêm nếu đánh giá xác định rằng lỗ hổng không áp dụng trong các môi trường khai thác. Nếu Người đánh giá ghi lại các Điểm yếu tiềm năng để biết thêm xem xét.

Một danh sách các Điểm yếu tiềm năng áp dụng cho TOE kết hợp trong môi trường khai thác, trong đó có thể sử dụng như một đầu vào vào các hoạt động kiểm thử thâm nhập (tức là ACO_VUL.1.4E), được báo cáo trong các ETR đánh giá.

15.7.1.7 Hành động ACO_VUL.1.4E

15.7.1.7.1 Đơn vị công việc ACO_VUL.1-8Người đánh giá cần tiến hành kiểm thử thâm nhập chi tiết cho AVA_VAN.1.3E.

Người đánh giá cần áp dụng tất cả các đơn vị công việc cần thiết cho sự thỏa mãn của Người đánh giá AVA_VAN.1.3E hành động, báo cáo trong các ETR cho TOE kết hợp tất cả phân tích và phán quyết của các đơn vị công việc.

Người đánh giá cần còn áp dụng các đơn vị công việc cho các hành động đánh giá AVA_VAN.1.1E để xác định rằng TOE bao gồm được cung cấp bởi nhà phát triển phù hợp cho kiểm tra.

15.7.2 Đánh giá hoạt động con (ACO_VUL.2)

15.7.2.1 Mục tiêuCác mục tiêu hoạt động con này là để xác định xem TOE kết hợp, trong môi trường vận hành của nó, có thể khai thác lỗ hổng an toàn bởi những kẻ tấn công sở hữu khả năng tấn công cơ bản.

Nhà phát triển cung cấp một phân tích về bố trí của bất kỳ còn lại báo cáo lỗ hổng cho các thành phần và của bất kỳ lỗ hổng an toàn được giới thiệu thông qua sự kết hợp của các cơ sở thành phần phụ thuộc. Người đánh giá thực hiện một tìm kiếm của lĩnh vực chung để xác định bất kỳ lỗ hổng mới tiềm năng trong các thành phần (tức là những vấn đề đã được báo cáo trong các lĩnh vực chung kể từ khi hoàn thành của đánh giá của các thành phần). Người đánh giá cần còn thực hiện một cách độc lập điểm yếu phân tích TOE kết hợp và kiểm thử thâm nhập.



b) ST kết hợp;


d) thông tin tin cậy;

e) tài liệu hướng dẫn;

f) thông tin công khai sẵn sàng hỗ trợ các xác định các khả năng bảo mật lỗ hổng;

g) điểm yếu còn lại báo cáo trong quá trình đánh giá của từng thành phần.

15.7.2.3 Lưu ý áp dụngXem lưu ý áp dụng cho đánh giá của hoạt động con (AVA_VAN.2).

281

TCVN xxx: 2015



Để xác định rằng sự kết hợp TOE đã được cài đặt đúng cách và đang trong trạng thái đã biết các ATE_IND.2-1 và đơn vị công việc ATE_IND.2-2 sẽ được áp dụng cho TOE kết hợp.

Nếu bảo đảm bao gồm ACO_CTT, sau đó là đánh giá có thể tham khảo các kết quả của các đơn vị công việc TOE kết hợp kiểm tra (ACO_CTT) * - 1 để chứng minh điều này đã được thỏa mãn.

15.7.2.4.2 Đơn vị công việc ACO_VUL.2-2Người đánh giá cần kiểm tra TOE kết hợp cấu hình để xác định rằng bất kỳ giả định và mục tiêu trong các ST các thành phần liên quan đến các tổ chức CNTT để được đáp ứng bởi các thành phần khác.

Các ST cho các thành phần có thể bao gồm các giả định về các thành phần khác có thể sử dụng các thành phần để đó là ST liên quan, ví dụ như ST cho một hệ điều hành được sử dụng như một thành phần cơ bản có thể bao gồm giả định rằng bất kỳ ứng dụng được tải về các hệ điều hành không chạy trong chế độ đặc quyền. Những giả định và mục tiêu là để được thực hiện bởi các thành phần trong TOE kết hợp.

15.7.2.5 Hành động ACO_VUL.2.2E15.7.2.5.1 Đơn vị công việc ACO_VUL.2-3Người đánh giá cần kiểm tra dư lỗ hổng từ các thành phần cơ sở đánh giá để xác định rằng họ không thể khai thác trong TOE kết hợp trong môi trường vận hành của nó.

Các danh sách các lỗ hổng an toàn được xác định trong sản phẩm trong quá trình đánh giá của các cơ sở thành phần, đó là chứng minh là không thể khai thác được trong thành phần cơ bản, là để được sử dụng như một đầu vào cho hoạt động này. Người đánh giá cần xác định rằng các tiền đề trên đó một lỗ hổng đã được xem là không thể khai thác được duy trì trong TOE kết hợp, hoặc cho dù đã kết hợp lại giới thiệu điểm yếu tiềm năng. Ví dụ, nếu trong quá trình đánh giá của các cơ sở thành phần nó được giả định rằng một hệ điều hành cụ thể dịch vụ đã được vô hiệu hóa, mà được cho phép trong TOE kết hợp đánh giá, bất kỳ Điểm yếu tiềm năng liên quan cho dịch vụ mà trước đây bây giờ sẽ được xem xét.

Ngoài ra, danh sách các khai thác lỗ hổng từ việc đánh giá các thành phần cơ sở cần được xem xét trong các bất kỳ được biết đến, không thể khai thác lỗ hổng an toàn cho thành phần khác (ví dụ: thành phần phụ thuộc) trong TOE kết hợp. Điều này là để xem xét trường hợp một Điểm yếu tiềm năng đó là không thể khai thác được trong sự cô lập là có thể khai thác khi tích hợp với một IT thực thể có chứa một điểm yếu tiềm năng.

15.7.2.5.2 Đơn vị công việc ACO_VUL.2-4Người đánh giá cần kiểm tra các lỗ hổng từ các thành phần phụ thuộc vào đánh giá xác định rằng họ không thể khai thác trong TOE kết hợp trong môi trường vận hành của nó.

Các danh sách các lỗ hổng an toàn được xác định trong sản phẩm trong quá trình đánh giá của các thành phần phụ thuộc, đã được chứng minh là không thể khai thác được trong phụ thuộc vào thành 282

TCVN xxx: 2015phần, là để được sử dụng như một đầu vào này hoạt động. Người đánh giá cần xác định rằng các tiền đề mà trên đó một lỗ hổng đã được xem là không khai thác được duy trì trong TOE kết hợp, hay các kết hợp đã tái giới thiệu điểm yếu tiềm năng. Ví dụ, nếu trong quá trình đánh giá của phụ thuộc vào thành phần nó được giả định rằng CNTT đáp các môi trường khai thác yêu cầu sẽ không trả về một giá trị nhất định trong phản ứng với một yêu cầu dịch vụ, được cung cấp bởi các thành phần cơ bản trong TOE kết hợp đánh giá, bất kỳ điểm yếu tiềm năng liên quan đến mà trở lại giá trị trước đó bây giờ sẽ được xem xét.

Ngoài ra, danh sách các khai thác lỗ hổng từ việc đánh giá các thành phần cơ sở cần được xem xét trong các bất kỳ được biết đến, không thể khai thác lỗ hổng an toàn cho thành phần khác (ví dụ: thành phần phụ thuộc) trong TOE kết hợp. Điều này là để xem xét trường hợp một Điểm yếu tiềm năng đó là không thể khai thác được trong sự cô lập là có thể khai thác khi tích hợp với một IT thực thể có chứa một điểm yếu tiềm năng.




15.7.2.6.2 Đơn vị công việc ACO_VUL.2-6Người đánh giá cần kiểm tra các nguồn thông tin công khai sẵn sàng hỗ trợ các xác định có thể lỗ hổng an toàn trong các thành phần cơ sở đã trở nên rõ ràng kể từ khi hoàn thành đánh giá của các thành phần cơ sở.



15.7.2.6.3 Đơn vị công việc ACO_VUL.2-7Người đánh giá cần ghi nhận vào ETR khả năng xác định lỗ hổng an toàn mà là ứng viên cho kiểm tra và áp dụng cho TOE kết hợp trong môi trường vận hành của nó.

ST, tài liệu hướng dẫn và đặc điểm kỹ thuật chức năng được sử dụng để xác định liệu lỗ hổng là có liên quan đến TOE kết hợp trong hoạt động của nó môi trường.

283

TCVN xxx: 2015

Người đánh giá ghi lại bất kỳ lý do để loại trừ các lỗ hổng từ xem xét thêm nếu đánh giá xác định rằng lỗ hổng không phải là áp dụng trong môi trường khai thác. Nếu Người đánh giá ghi lại các Điểm yếu tiềm năng để biết thêm xem xét.

Một danh sách các Điểm yếu tiềm năng áp dụng cho TOE kết hợp trong môi trường khai thác, trong đó có thể sử dụng như là một đầu vào hoạt động kiểm thử thâm nhập (ACO_VUL.2.5E), được báo cáo trong các ETR đánh giá.

15.7.2.7 Hành động ACO_VUL.2.4E15.7.2.7.1 Đơn vị công việc ACO_VUL.2-8Người đánh giá cần tiến hành tìm kiếm của TOE kết hợp ST, tài liệu hướng dẫn, thông tin phụ thuộc và phần lý do để xác định khả năng bảo mật lỗ hổng trong TOE kết hợp.

Các xem xét các thành phần của TOE kết hợp trong các độc lập đánh giá điểm yếu phân tích sẽ có một chút hình thức khác nhau với tài liệu trong AVA_VAN.2.3E cho một thành phần đánh giá, vì nó sẽ không nhất thiết phải xem xét tất cả các lớp của thiết kế trừu tượng có liên quan đến các gói đảm bảo. Những sẽ đã được xem xét trong đánh giá của các thành phần, nhưng các bằng chứng có thể không được có sẵn cho TOE kết hợp đánh giá. Tuy nhiên, cách tiếp cận chung được mô tả trong các đơn vị công việc kết hợp với AVA_VAN.2.3E có thể áp dụng và cần hình thành cơ sở tìm kiếm của Người đánh giá về điểm yếu tiềm năng trong TOE kết hợp.

Một lỗ hổng phân tích của cá nhân các thành phần được sử dụng trong TOE kết hợp sẽ đã được thực hiện trong quá trình đánh giá của các thành phần cá nhân. Trọng tâm của lỗ hổng phân tích trong bao gồm TOE đánh giá là để xác định bất kỳ lỗ hổng an toàn được giới thiệu như là một kết quả của sự hội nhập của thành phần hoặc do để bất kỳ thay đổi trong các sử dụng của các thành phần giữa Người đánh giá thành phần cấu hình để TOE kết hợp cấu hình.

Người đánh giá cần sử dụng những hiểu biết về xây dựng các thành phần như chi tiết trong các sự phụ thuộc thông tin cho các thành phần phụ thuộc, và thông tin phát triển và sở cứ tổng hợp cho sự thành phần cơ bản, cùng với các thông tin thiết kế thành phần phụ thuộc. Thông tin này sẽ cho phép Người đánh giá để đạt được một sự hiểu biết về cách thức các cơ sở thành phần và các thành phần phụ thuộc tương tác và xác định các Điểm yếu tiềm năng có thể được giới thiệu như là một kết quả của sự tương tác này.

Người đánh giá cần xem xét bất kỳ hướng dẫn mới được cung cấp cho quá trình cài đặt, khởi động và hoạt động của các bao gồm TOE để xác định những tiềm năng giới thiệu thông qua các lỗ hổng sửa đổi hướng dẫn này.

Nếu bất kỳ của các thành phần riêng lẻ đã được thông qua đảm bảo tính liên tục hoạt động kể từ khi hoàn thành đánh giá thành phần, Người đánh giá cần xem xét các bản vá trong các phân tích lỗ hổng độc lập .

Thông tin liên quan đến các thay đổi được cung cấp trong một báo cáo chung về bảo đảm tính liên tục hoạt động (ví dụ: Báo cáo bảo trì) sẽ được các chính nguồn gốc của đầu vào của sự thay đổi. Điều này sẽ được bổ sung bởi bất kỳ bản cập nhật để tài liệu hướng dẫn kết quả từ sự thay đổi và bất kỳ thông tin liên quan đến các thay đổi có sẵn trong miền chung, ví dụ như địa điểm của nhà cung cấp.

Bất kỳ rủi ro được xác định do thiếu bằng chứng để thiết lập các tác động đầy đủ của bất kỳ bản vá lỗi hoặc sai lệch trong các cấu hình của một thành phần từ cấu hình được đánh giá là để được ghi lại trong Người đánh giá của điểm yếu phân tích.

284

TCVN xxx: 201515.7.2.8 Hành động ACO_VUL.2.5E15.7.2.8.1 Đơn vị công việc ACO_VUL.2-9Người đánh giá cần tiến hành kiểm thử thâm nhập như chi tiết cho AVA_VAN.2.4E.

Người đánh giá cần áp dụng tất cả các đơn vị công việc cần thiết cho sự thỏa mãn của Người đánh giá AVA_VAN.2.4E hành động, báo cáo trong các ETR cho TOE kết hợp tất cả phân tích và phán quyết của các đơn vị công việc.

Người đánh giá cần còn áp dụng các đơn vị công việc cho các hành động đánh giá AVA_VAN.2.1E để xác định rằng các bao gồm TOE được cung cấp bởi nhà phát triển phù hợp cho kiểm tra.

15.7.3 Đánh giá hoạt động con (ACO_VUL.3)

15.7.3.1 Mục tiêuCác mục tiêu hoạt động con này là để xác định xem TOE kết hợp, trong môi trường vận hành của nó, có thể khai thác lỗ hổng an toàn bởi những kẻ tấn công sở hữu tăng cường, cơ bản khả năng tấn công.

Nhà phát triển cung cấp một phân tích về bố trí của bất kỳ còn lại báo cáo lỗ hổng cho các thành phần và của bất kỳ lỗ hổng an toàn được giới thiệu thông qua sự kết hợp của các cơ sở và thành phần phụ thuộc. Người đánh giá thực hiện tìm kiếm lĩnh vực chung để xác định bất kỳ mới Điểm yếu tiềm năng trong các thành phần (tức là những vấn đề đã được báo cáo trong các lĩnh vực chung kể từ khi hoàn thành của đánh giá thành phần). Người đánh giá cần thực hiện một cách độc lập điểm yếu phân tích TOE kết hợp và kiểm thử thâm nhập.



b) ST kết hợp;


d) thông tin tin cậy;

e) tài liệu hướng dẫn;

f) thông tin công khai sẵn sàng hỗ trợ các xác định các khả năng bảo mật lỗ hổng;

g) điểm yếu còn lại báo cáo trong quá trình đánh giá của từng thành phần.

15.7.3.3 Lưu ý áp dụngXem lưu ý áp dụng cho đánh giá của hoạt động con (AVA_VAN.3).



285

TCVN xxx: 2015

Để xác định rằng sự TOE kết hợp đã được cài đặt đúng cách và đang trong trạng thái đã biết các ATE_IND.2-1 và đơn vị công việc ATE_IND.2-2 sẽ được áp dụng để TOE kết hợp.

Nếu gói bảo đảm bao gồm ACO_CTT, sau đó là đánh giá có thể tham khảo các kết quả của các đơn vị công việc TOE kết hợp kiểm tra (ACO_CTT) * - 1 để chứng minh điều này đã được thỏa mãn.

15.7.3.4.2 Đơn vị công việc ACO_VUL.3-2Người đánh giá cần kiểm tra TOE kết hợp cấu hình để xác định rằng bất kỳ giả định và mục tiêu trong các ST các thành phần liên quan đến các tổ chức CNTT để được đáp ứng bởi các thành phần khác.

Các ST cho các thành phần có thể bao gồm các giả định về các thành phần khác có thể sử dụng các thành phần để đó là ST liên quan, ví dụ như ST cho một hệ điều hành được sử dụng như một thành phần cơ bản có thể bao gồm giả định rằng bất kỳ ứng dụng được tải về các hệ điều hành không chạy trong chế độ đặc quyền. Những giả định và mục tiêu là để được thực hiện bởi các thành phần khác trong TOE kết hợp.

15.7.3.5 Hành động ACO_VUL.3.2E15.7.3.5.1 Đơn vị công việc ACO_VUL.3-3Người đánh giá cần kiểm tra lỗ hổng từ việc đánh giá thành phần cơ sở để xác định rằng họ không thể khai thác trong TOE kết hợp trong môi trường vận hành của nó.

Các danh sách các lỗ hổng an toàn được xác định trong sản phẩm trong quá trình đánh giá của các cơ sở thành phần, đó là chứng minh là không thể khai thác được trong thành phần cơ bản, là để được sử dụng như một đầu vào cho hoạt động này. Người đánh giá cần xác định rằng các tiền đề trên đó một lỗ hổng đã được xem là không thể khai thác được duy trì trong TOE kết hợp, hoặc cho dù đã kết hợp lại giới thiệu điểm yếu tiềm năng. Ví dụ, nếu trong quá trình đánh giá của các cơ sở thành phần nó được giả định rằng một hệ điều hành cụ thể dịch vụ đã được vô hiệu hóa, mà được cho phép trong TOE kết hợp đánh giá, bất kỳ Điểm yếu tiềm năng liên quan cho dịch vụ trước đây bây giờ sẽ được xem xét.

Ngoài ra, đây danh sách các khai thác lỗ hổng từ việc đánh giá các thành phần cơ sở cần được xem xét trong bất kỳ được biết đến, không thể khai thác lỗ hổng an toàn cho khác thành phần (ví dụ: thành phần phụ thuộc) trong TOE kết hợp. Điều này là để xem xét trường hợp một Điểm yếu tiềm năng đó là không thể khai thác được trong sự cô lập là có thể khai thác khi tích hợp với một IT thực thể có chứa một điểm yếu tiềm năng.

15.7.3.5.2 Đơn vị công việc ACO_VUL.3-4Người đánh giá cần kiểm tra lỗ hổng từ việc đánh giá thành phần cơ sở để xác định rằng họ không thể khai thác trong TOE kết hợp trong môi trường vận hành của nó.

Các danh sách các lỗ hổng an toàn được xác định trong sản phẩm trong quá trình đánh giá của các cơ sở thành phần, đó là chứng minh là không thể khai thác được trong thành phần cơ bản, là để được sử dụng như một đầu vào cho hoạt động này. Người đánh giá cần xác định rằng các tiền đề trên đó một lỗ hổng đã được xem là không thể khai thác được duy trì trong TOE kết hợp, hoặc cho dù đã kết hợp lại giới thiệu điểm yếu tiềm năng. Ví dụ, nếu trong quá trình đánh giá của các cơ sở thành phần nó được giả định rằng một hệ điều hành cụ thể dịch vụ đã được vô hiệu hóa, mà được cho phép trong TOE kết hợp đánh giá, bất kỳ Điểm yếu tiềm năng liên quan cho dịch vụ trước đây bây giờ sẽ được xem xét.

286

TCVN xxx: 2015Ngoài ra, đây danh sách các khai thác lỗ hổng từ việc đánh giá các thành phần cơ sở cần được xem xét trong bất kỳ được biết đến, không thể khai thác lỗ hổng an toàn cho khác thành phần (ví dụ: thành phần phụ thuộc) trong TOE kết hợp. Điều này là để xem xét trường hợp một Điểm yếu tiềm năng đó là không thể khai thác được trong sự cô lập là có thể khai thác khi tích hợp với một IT thực thể có chứa một điểm yếu tiềm năng.




15.7.3.6.2 Đơn vị công việc ACO_VUL.3-6Người đánh giá cần kiểm tra các nguồn thông tin công khai sẵn sàng hỗ trợ các xác định có thể lỗ hổng an toàn trong các thành phần cơ sở đã trở nên rõ ràng kể từ khi hoàn thành đánh giá của các thành phần cơ sở.



15.7.3.6.3 Đơn vị công việc ACO_VUL.3-7Người đánh giá cần ghi nhận vào ETR khả năng xác định lỗ hổng an toàn mà là ứng viên cho kiểm tra và áp dụng cho TOE kết hợp trong môi trường vận hành của nó.

ST, tài liệu hướng dẫn và đặc điểm kỹ thuật chức năng được sử dụng để xác định liệu lỗ hổng là có liên quan đến TOE kết hợp trong môi trường khai thác.

Người đánh giá ghi lại bất kỳ lý do để loại trừ các lỗ hổng an toàn từ hơn nữa xem xét nếu đánh giá xác định rằng lỗ hổng không áp dụng trong các môi trường khai thác. Nếu Người đánh giá ghi lại các Điểm yếu tiềm năng để biết thêm xem xét.

Một danh sách các điểm yếu tiềm năng áp dụng cho TOE kết hợp của mình trong môi trường khai thác, trong đó có thể sử dụng như một đầu vào vào các hoạt động kiểm thử thâm nhập (ACO_VUL.3.5E), được báo cáo trong các ETR đánh giá.

15.7.3.7 Hành động ACO_VUL.3.4E15.7.3.7.1 Đơn vị công việc ACO_VUL.3-8

287

TCVN xxx: 2015

Người đánh giá cần tiến hành tìm kiếm của TOE kết hợp ST, tài liệu hướng dẫn, thông tin phụ thuộc và phần lý do để xác định khả năng bảo mật lỗ hổng trong TOE kết hợp.

Các xem xét các thành phần trong Người đánh giá độc lập điểm yếu phân tích sẽ có một chút hình thức khác nhau với tài liệu trong AVA_VAN.3.3E cho một đánh giá thành phần, như nó sẽ không nhất thiết phải xem xét tất cả các lớp thiết kế trừu tượng có liên quan đến các gói đảm bảo. Đây sẽ đã được xem xét trong Người đánh giá của các cơ sở thành phần, nhưng các bằng chứng có thể không có sẵn cho TOE kết hợp đánh giá. Tuy nhiên, cách tiếp cận chung được mô tả trong các đơn vị công việc liên quan AVA_VAN.3.3E có thể áp dụng và cần hình thành tìm kiếm của Người đánh giá cho các Điểm yếu tiềm năng trong TOE kết hợp.

Một lỗ hổng phân tích của cá nhân các thành phần được sử dụng trong TOE kết hợp sẽ đã được thực hiện trong quá trình đánh giá của các thành phần. Các trọng tâm của phân tích lỗ hổng trong TOE kết hợp đánh giá là để xác định những lỗ hổng an toàn được giới thiệu tương tự là một kết quả của sự tích hợp của các thành phần hoặc do cho bất kỳ sự thay đổi trong các sử dụng của các thành phần giữa các cấu hình của các thành phần xác định trong việc đánh giá thành phần và TOE kết hợp cấu hình.

Người đánh giá cần sử dụng những hiểu biết về xây dựng các thành phần như chi tiết trong sự phụ thuộc thông tin cho các thành phần phụ thuộc, và sở cứ tổng hợp và thông tin phát triển cho các thành phần cơ bản, cùng với các thông tin thiết kế thành phần phụ thuộc. Thông tin này sẽ cho phép Người đánh giá để đạt được một sự hiểu biết về cách các cơ sở thành phần và phụ thuộc vào thành phần tương tác với nhau.

Người đánh giá cần xem xét bất kỳ hướng dẫn mới được cung cấp cho quá trình cài đặt, khởi động và hoạt động của các bao gồm TOE để xác định những điểm yếu tiềm năng giới thiệu thông qua sửa đổi hướng dẫn này.

Nếu bất kỳ của các thành phần riêng lẻ đã được thông qua đảm bảo tính liên tục hoạt động kể từ khi hoàn thành Người đánh giá thành phần, Người đánh giá cần xem xét các bản vá trong các độc lập phân tích lỗ hổng.

Thông tin liên quan đến các thay đổi được cung cấp trong một báo cáo của chung về bảo đảm tính liên tục hoạt động (ví dụ: Báo cáo bảo trì). Điều này sẽ được bổ sung bởi bất kỳ bản cập nhật các tài liệu hướng dẫn do sự thay đổi và bất kỳ thông tin liên quan đến sự thay đổi có sẵn trong các lĩnh vực chung, ví dụ như địa điểm của nhà cung cấp.

Bất kỳ rủi ro được xác định do thiếu bằng chứng để thiết lập các tác động đầy đủ của bất kỳ bản vá lỗi hoặc sai lệch trong các cấu hình của một thành phần từ cấu hình được đánh giá là để được ghi lại trong Người đánh giá của điểm yếu phân tích.

15.7.3.8 Hành động ACO_VUL.3.5E15.7.3.8.1 Đơn vị công việc ACO_VUL.3-9Người đánh giá cần tiến hành kiểm thử thâm nhập như chi tiết cho AVA_VAN.3.4E.

Người đánh giá cần áp dụng tất cả các đơn vị công việc cần thiết cho sự thỏa mãn của Người đánh giá AVA_VAN.3.4E hành động, báo cáo trong các ETR cho TOE kết hợp tất cả phân tích và phán quyết sau các đơn vị công việc.

288

TCVN xxx: 2015Người đánh giá cũng sẽ áp dụng các đơn vị công việc cho các hành động đánh giá AVA_VAN.3.1E để xác định rằng các bao gồm TOE được cung cấp bởi nhà phát triển phù hợp cho kiểm tra.

289

TCVN xxx: 2015

Phụ lục A(Tham khảo)

Hướng dẫn đánh giá chung

A.1 Mục đích

Mục đích của phần này là đưa ra hướng dẫn chung về cung cấp chứng cớ kỹ thuật về các kết quả đánh giá. Việc sử dụng hướng dẫn chung này giúp người đánh giá đạt được tính khách quan, lặp lại của công việc.

A.2 Lấy mẫu

Phần này cung cấp hướng dẫn chung về lấy mẫu. Thông tin cụ thể và chi tiết được đưa ra trong những đơn vị công việc theo các phần tử hành động đánh giá cụ thể mà lấy mẫu được thực hiện.

Lấy mẫu là một thủ tục được định nghĩa của người đánh mà nhờ đó một số tập con của một tập chứng cớ đánh được kiểm tra và được giả định là đại diện cho toàn bộ tập chứng cớ đánh giá. Nó cho phép người đánh giá có đủ tin cậy vào tính chính xác của chứng cớ đánh giá mà không cần phân tích toàn bộ chứng cứ.

Lý do để lấy mẫu là để bảo tồn các nguồn tài nguyên khi duy trì một mức đảm bảo phù hợp. Việc lấy mẫu chứng cớ có thể xảy ra hai kết quả:

a) Các tập con không bị lỗi, cho phép người đánh giá tin rằng toàn bộ tập chứng cớ là chính xác.

b) Các tập con bị lỗi và do đó cần phải kiểm tra giá trị của toàn bộ tập chứng cớ. Thậm chí cả việc giải quyết tất cả các lỗi mà đã được tìm thấy có thể không đủ mang lại sự tin cậy cần thiết cho người đánh giá và kết quả là người đánh giá phải tăng kích thước của các tập con hoặc ngừng sử dụng việc lấy mẫu đối với chứng cớ cụ thể này.

Lấy mẫu là một kỹ thuật có thể được sử dụng để có được một kết luận đáng tin cậy nếu một tập hợp các chứng cớ là tương đối đồng nhất về mặt tự nhiên, ví dụ nếu các chứng cớ đã được tạo ra trong một quy trình được xác định rõ.

Lấy mẫu trong các trường hợp được xác định trong tiêu chuẩn TCVN 8709 và trong những trường hợp cụ thể được đề cập trong những hạng mục công việc đánh giá phương pháp được coi là một phương pháp tiếp cận hiệu quả cao để thực hiện các hoạt động đánh giá. lấy mẫu ở các khu vực khác chỉ được phép trong các trường hợp đặc biệt, nơi việc thực thi một hoạt động cụ thể trong toàn bộ các hoạt động của nó sẽ đòi hỏi nỗ lực không cân xứng với các hoạt động đánh giá khác, và nơi này sẽ không tương ứng để đảm bảo. Trong những trường hợp này cần phải đưa ra lý do căn bản về tính hữu ích của việc lấy mẫu trong khu vực đó. Không phải TOE lớn và phức tạp, cũng không phải có nhiều yêu cầu chức năng an toàn là đủ để biện minh, vì những đánh giá về các TOE lớn và phức tạp có thể sẽ đòi hỏi nhiều nỗ lực hơn. Người ta dự định rằng điều ngoại lệ này được giới hạn đối với những trường hợp mà phương pháp phát triển TOE mang lại một lượng lớn nguyên liệu cho một yêu cầu đặc biệt của tiêu chuẩn TCVN 8709 cần để được kiểm tra khảo sát, và nơi thực hiện hành động như vậy sẽ được dự kiến là không tăng mức bảo đảm tương ứng.

Việc lấy mẫu cần phải chứng minh được là có tính đến tác động có thể đối với các mục tiêu an toàn và các mối đe dọa của TOE. Các tác động này phụ thuộc vào những gì có thể được bỏ qua như là

290

TCVN xxx: 2015một kết quả của việc lấy mẫu. Cũng cần xem xét bản chất của các chứng cớ được lấy mẫu, và yêu cầu không giảm hoặc bỏ qua bất kỳ chức năng an toàn nào.

Phải thừa nhận rằng việc lấy mẫu các chứng cớ có liên quan trực tiếp đến việc thực thi TOE (ví dụ: người phát triển kiểm thử các kết quả) đòi hỏi một phương pháp tiếp cận khác để lấy mẫu, việc lấy mẫu liên quan đến việc quyết định xem liệu rằng process có đang được tuân theo không.

Trong nhiều trường hợp người đánh giá cần phải xác định rằng một qui trình được tuân thủ, và lược đồ lấy mẫu được khuyến nghị. Phương pháp lấy mẫu kết quả kiểm thử của người phát triển sẽ khác nhau. Điều này là bởi vì trường hợp đầu có liên quan đến việc đảm bảo qui trình phải thích hợp, và trường hợp sau xác định việc thực thi chính xác TOE. Thông thường, các mẫu có kích thước lớn hơn sẽ được phân tích trong những trường hợp liên quan đến việc thực thi chính xác TOE hơn là cần thiết phải đảm bảo rằng một qui trình là thích hợp.

Trong một số trường hợp nó có thể thích hợp đối với người đánh giá để nhấn mạnh nhiều hơn đến sự lặp lại kiểm thử của người phát triển. Ví dụ, nếu các kiểm thử độc lập lại của người đánh giá thực hiện sẽ khác so với những kiểm thử trong một tập hợp kiểm thử của người phát triển (có thể do người phát triển đã thực hiện thử nghiệm nhiều hơn mức cần thiết để thỏa mãn tiêu chí Tổng quát (ATE_COV) và Chuyên sâu (ATE_DPT)) thì nó sẽ thích hợp cho người đánh giá để đưa ra nhiều điểm trọng tâm hơn về sự lặp lại của các thử nghiệm của người phát triển. Lưu ý rằng điều này không hàm ý rằng cần phải có một mẫu có tỷ lệ phần trăm cao về lặp lại những kiểm thử của người phát triển; thực ra, để đưa ra một tập hợp kiểm thử của người phát triển, người đánh giá có thể biện minh cho một mẫu tỷ lệ phần trăm thấp.

Nếu nhà phát triển đã dùng một loạt những kiểm thử tự động để thực hiện chức năng kiểm tra, thì nó sẽ dễ hơn cho người đánh giá thực hiện lại những kiểm thử hơn là chỉ lặp lại một mẫu kiểm thử của người phát triển. Tuy nhiên người đánh giá có nghĩa vụ phải kiểm tra việc kiểm thử tự động không đem đến những kết quả đặc trưng sai. Tức là, việc kiểm tra này phải được thực hiện cho một mẫu những kiểm thử tự động, với nguyên tắc lựa chọn một số kiểm thử hơn những kiểm thử khác và đảm bảo rằng có đủ kích mẫu thước áp dụng trong trường hợp này.

Các nguyên tắc sau đây phải được tuân thủ bất cứ khi nào thực hiện lấy mẫu :

a) Việc lấy mẫu không được ngẫu nhiên, nó phải được lựa chọn sao cho nó đại diện cho tất cả các chứng cớ. Kích thước và bố cục mẫu phải hợp lý.

b) Khi lấy mẫu có liên quan đến việc thực thi chính xác của TOE, thì các mẫu phải đại diện được cho tất cả các khía cạnh liên quan đến các vùng mà được lấy mẫu. Cụ thể, việc lựa chọn phải bao gồm đủ loại các thành phần, các giao diện, người phát triển và các vị trí vận hành (nếu nhiều hơn một vị trí vận hành có liên quan) và các kiểu nền phần cứng (nếu nhiều hơn một nền phần cứng có liên quan). Kích thước mẫu cần xứng với hiệu quả chi phí đánh giá và sẽ phụ thuộc vào một số yếu tố phụ thuộc TOE (ví dụ như kích thước và độ phức tạp của TOE, số lượng tài liệu hướng dẫn)

c) Ngoài ra, khi lấy mẫu liên quan một cách đặc biệt đến chứng cớ thu được cho thấy kiểm thử người phát triển có thể lặp lại và có thể tái tạo thì các mẫu được sử dụng phải đủ để đại diện cho tất cả khía cạnh khác biệt của kiểm thử người phát triển, chẳng hạn như các cách thử kiểm thử khác nhau. Các mẫu được sử dụng phải có khả năng phát hiện mọi vấn đề mang tính hệ thống trong quá trình kiểm thử chức năng của người phát triển. Sự đóng góp của người đánh giá do sự kết hợp của việc lặp lại những kiểm thử người phát triển và việc thực hiện các kiểm thử độc lập phải có đủ khả năng để giải quyết mối quan tâm đối với TOE.

d) Nếu việc lấy mẫu liên quan đến chứng cớ thu được cho thấy một quá trình (ví dụ kiểm soát người đến thăm và xem xét thiết kế) thì người đánh giá nên lấy mẫu thông tin đầy đủ để tin rằng các thủ tục đã đước tuân thủ.

291

TCVN xxx: 2015

e) Người bảo đảm và người phát triển không được thông báo trước về thành phần chính xác của các mẫu, đối tượng đảm bảo chuyển giao kịp thời các mẫu và hỗ trợ chuyển giao, ví dụ như thiết bị và dụng cụ kiểm thử cho người đánh giá phải phù hợp với lược đồ đánh giá.

f) Việc lựa chọn mẫu không cần phải theo thứ bậc (không nên luôn luôn chọn các mục đầu tiên hoặc mục cuối cùng). Lý tưởng nhất là một người khác chứ không phải người đánh giá lựa chọn mẫu.

Lỗi được tìm thấy trong mẫu có thể được phân loại thành có hệ thống hoặc không thường xuyên. Nếu là lỗi có hệ thống, thì phải điều chỉnh và thực hiện lấy mẫu mới hoàn toàn. Nếu giải thích một cách đúng đắn thì các lỗi không thường xuyên có thể được giải quyết mà không cần thiết thay thế một mẫu mới, mặc dù việc giải thích đã được xác nhận. Người đánh giá phải đưa ra phán quyết để xác định xem liệu rằng có tăng kích thước mẫu hoặc sử dụng một mẫu khác hay không.

A.3 Những phụ thuộc

Nhìn chung có thể thực hiện các hoạt động đánh giá, các hoạt động phụ, và các hành động đánh giá theo thứ tự hoặc song song. Tuy nhiên, có các loại phụ thuộc khác nhau mà người đánh giá phải xem xét. Phần này đưa ra hướng dẫn chung về những phụ thuộc giữa các hoạt động khác nhau, các hoạt động phụ và các hành động.

A.3.1 Những phụ thuộc giữa các hoạt động

Đối với một số trường hợp, các lớp đảm bảo khác nhau có thể được đề xuất hoặc thậm chí yêu cầu phải có một trình tự về các hoạt động liên quan. Một ví dụ cụ thể là hoạt động đánh gia ST. Hoạt động đánh giá ST được bắt đầu trước bất kỳ hoạt động đánh giá TOE nào kể từ khi ST cung cấp cơ sở và bối cảnh để thực hiện chúng. Tuy nhiên, phán quyết cuối cùng về việc đánh giá có thể không hợp lý cho đến khi việc đánh giá TOE hoàn tất, do đó có những thay đổi đối với ST có thể do những phát hiện về hoạt động trong khi đánh giá TOE.

A.3.2 Những phụ thuộc giữa các hoạt động phụ

Người đánh giá phải xem xét những phụ thuộc giữa các thành phần trong TCVN 8709-3:2011. Hầu hết những phụ thuộc là những phụ thuộc một chiều, ví dụ như đánh giá các hoạt động con (AVA_VAN.1) cho thấy rằng có phụ thuộc vào đánh giá hoạt động con (ADV_FSP.1) và đánh giá hoạt động con (AGD_OPE.1). Cũng có những trường hợp phụ thuộc lẫn nhau nếu cả hai thành phần phụ thuộc vào nhau. Một ví dụ về phụ thuộc này là đánh giá hoạt động con (ATE_FUN.1) và đánh giá hoạt động con (ATE_COV.1).

Một hoạt động con có thể được ấn định phán quyết thành công với điều kiện là tất cả những hoạt động con đó được hoàn tất mà trong đó có sự phụ thuộc một chiều. Ví dụ, một phán quyết thành công về việc đánh giá các hoạt động con (AVA_VAN.1) thường chỉ có thể được ấn định nếu các hoạt động con có liên quan việc đánh giá hoạt động con (ADV_FSP.1) và đánh giá của hoạt động con (AGD_OPE.1) cũng được ấn định phán quyết thành công. Trong trường hợp phụ thuộc lẫn nhau thì việc sắp đặt các thành phần này là giảm dần để người đánh giá quyết định xem hoạt động nào thực hiện trước tiên. Chú ý điều này cho thấy rằng những phán quyết thành công chỉ có thể được ấn định khi các hoạt động con đã thành công.

Vì vậy, khi xác định xem liệu một hoạt động con có ảnh hưởng đến một hoạt động con khác hay không thì người đánh giá cần xem xét liệu rằng hoạt động này có phụ thuộc vào các kết quả đánh giá từ bất kỳ các hoạt động con phụ thuộc nào không. Thật vậy, có thể có trường hợp mà một hoạt động con phụ

292

TCVN xxx: 2015thuộc sẽ ảnh hưởng đến hoạt động con này, đòi hỏi các hành động đánh giá đã thực hiện trước đây phải được thực hiện lại.

Có một tác động quan trọng về sự phụ thuộc trong trường hợp người đánh giá phát hiện ra những lỗi nhỏ. Nếu một lỗi nhỏ được xác định là kết quả của việc thực hiện một hoạt động con, thì không thể đưa ra phán quyết về hoạt động con cho đến khi tất cả các lỗi liên quan đến hoạt động con mà nó phụ thuộc được giải quyết.

A.3.3 Những phụ thuộc giữa các hành động

Có thể có trường hợp các kết quả được tạo ra bởi người đánh giá trong khi một hành động được sử dụng để thực hiện một hành động khác. Ví dụ, các hành động về tính chất đầy đủ và nhất quán không thể được hoàn thành cho đến khi hoàn thành những kiểm tra về nội dung và trình bày. Điều này có nghĩa rằng người đánh giá được đề nghị đánh giá cách phân tích PP/ ST sau khi đánh giá các thành phần cấu tạo của PP/ ST.

A.4 Truy cập website (site visits)

A.4.1 Giới thiệu

Lớp đảm bảo ALC bao gồm các yêu cầu về

a) Áp dụng cấu hình quản lý, đảm bảo rằng tính toàn vẹn của TOE được bảo đảm;

b) Các biện pháp, thủ tục, và các tiêu chuẩn liên quan đến chuyển giao đảm bảo TOE, đảm bảo rằng việc bảo vệ an toàn được đưa ra bởi TOE là không bị thỏa hiệp trong khi chuyển cho người dùng.

c) Các biện pháp an toàn, được sử dụng để bảo vệ môi trường phát triển.

Một lượt truy cập website thành công là một phương thức hữu ích mà nhờ đó người đánh giá xác định xem liệu rằng các thủ tục có được thực hiện theo một cách phù hợp với mô tả trong tài liệu hay không.

Lý do để truy cập website là:

a) Để xem xét việc sử dụng hệ thống CM đã được mô tả trong các kế hoạch CM;

b) Để xem xét các ứng dụng thực tế của các thủ tục chuyển giao đã mô tả trong tài liệu chuyển giao;

c) Để thực hiện các ứng dụng của các biện pháp an toàn trong quá trình phát triển và duy trì TOE đã được mô tả trong tài liệu các biện pháp an toàn trong quá trình phát triển.

Thông tin chi tiết và cụ thể được trình bày trong các đơn vị công việc cho những người hoạt động thực hiện các lượt truy cập website:

a) Những khả năng CM (ALC_CMC).n với n≥ 3 (đặc biệt là đơn vị công việc ALC_CMC.3-10 = ALC_CMC.4-13 = ALC_CMC.5-19);

b) Chuyển giao (ALC_DEL) (đặc biệt là đơn vị công việc ALC_DEL.1-2);

c) Các biện pháp an toàn trong quá trình phát triển (ALC_DVS) (đặc biệt là đơn vị công việc ALC_DVS.1-3 = ALC_DVS.2-4).

A.4.2 Cách tiếp cận chung

Trong khi đánh giá, người đánh giá bắt buộc phải gặp người phát triển nhiều hơn một lần và nó là điều bàn đến khi lập kế hoạch kết hợp truy cập website với các cuộc gặp khác để giảm chi phí. Ví dụ người

293

TCVN xxx: 2015

ta có thể kết hợp truy cập website cho quản lý cấu hình, cho an toàn của người phát triển và chuyển giao. Cần thiết phải thực hiện nhiều hơn một lượt truy cập vào cùng một website để kiểm tra tất cả các giai đoạn phát triển. Phải lưu ý rằng giai đoạn phát triển có thể xảy ra tại nhiều thiết bị trong một tòa nhà, nhiều tòa nhà tại cùng một địa điểm, hoặc tại nhiều địa điểm.

Trước tiên phải lập kế hoạch truy cập website trước khi đánh giá. Trong trường hợp việc đánh giá được bắt đầu trong giai đoạn phát triển TOE, thì việc này sẽ cho phép thực hiện các hành động khắc phục nếu cần thiết. Trong trường hợp việc đánh giá được bắt đầu sau giai đoạn phát triển TOE, lượt truy cập website đầu tiên có thể cho phép các biện pháp khắc phục được thực hiện nếu có những thiếu sót nghiêm trọng trong việc áp dụng các thủ tục. Điều này tránh được những nỗ lực đánh giá không cần thiết.

Phỏng vấn cũng là một cách thức hữu hiệu trong việc xác định xem liệu các thủ tục được tạo ra có phản ánh những gì đã làm hay không. Khi thực hiện các cuộc phỏng vấn này, người đánh giá mong muốn có được một sự hiểu biết sâu sắc hơn về các thủ tục đã phân tích tại các website phát triển, làm thế nào chúng được sử dụng trong thực tế và liệu rằng chúng có đang được áp dụng như mô tả trong các chứng cớ đánh giá đã được cung cấp. Các cuộc phỏng vấn này bổ sung nhưng không thay thế việc kiểm tra chứng cớ đánh giá.

Vì bước đầu tiên là chuẩn bị truy cập website nên người đánh giá cần thực hiện các đơn vị công việc đánh giá liên quan đến lớp đảm bảo ALC ngoại trừ các khía cạnh mô tả các kết quả truy cập website. Dựa trên các thông tin được cung cấp bởi người phát triển tài liệu có liên quan và các câu hỏi còn để ngỏ còn lại mà không có được câu trả lời trong các tài liệu, người đánh giá phải biên soạn một danh sách kiểm tra các câu hỏi mà sẽ được giải quyết bởi các số lượt truy cập website.

Bản đầu tiên của báo cáo đánh giá liên quan đến lớp ALC và danh sách kiểm tra dùng như đầu vào để hỏi ý kiến cơ quan đánh giá liên quan đến số lượt truy cập website.

Các danh sách kiểm tra dùng như một phương pháp hướng dẫn cho các truy cập website, những câu hỏi mà được trả lời bằng cách kiểm tra các biện pháp liên quan, kết quả và ứng dụng của chúng, và bằng các cuộc phỏng vấn. Nếu thích hợp, lấy mẫu được sử dụng để có được mức độ cần thiết của sự tin cậy (xem mục con A.2).

Các kết quả về số lượt truy cập website được ghi lại và dùng như đầu vào cho bản cuối cùng của báo cáo đánh giá liên quan đến lớp đảm bảo ALC.

Các phương pháp tiếp cận khác để đạt được sự tin cậy cần được xem xét cung cấp mức bảo đảm tương đương (ví dụ để phân tích chứng cớ đánh giá). Bất kỳ quyết định không thực hiện truy cập phải được xác định với sự tham vấn của các cơ quan đánh giá. Tiêu chí an toàn thích hợp và một phương pháp sẽ được dựa trên các tiêu chuẩn về các hệ thống quản lý an toàn thông tin.

A.4.3 Hướng dẫn định hướng về chuẩn bị danh sách kiểm tra

Trong phần sau có đưa ra một số từ khóa, chủ đề nào cần được kiểm tra trong quá trình kiểm tra.

A.4.3.1 Các khía cạnh về quản lý cấu hình

Bước cơ bản

– Các khoản mục của danh sách cấu hình, bao gồm TOE, mã nguồn, thư viện thời gian thực hiện, tài liệu thiết kế, công cụ phát triển (ALC_CMC.3-8).

294

TCVN xxx: 2015– Kiểm tra các tài liệu thiết kế, mã nguồn, hướng dẫn người dùng sử dụng các phiên bản khác

nhau của TOE. – Tích hợp hệ thống cấu hình trong quá trình thiết kế và phát triển, lập kế hoạch kiểm thử, phân

tích kiểm thử và các thủ tục quản lý chất lượng.Phân tích kiểm thử

– Kiểm tra các kế hoạch kiểm thử và kết quả liên quan đến các cấu hình và các phiên bản cụ thể của TOE.

Kiểm soát truy cập đối với các hệ thống phát triển

– Các chính sách về kiểm soát truy cập và logging.– Các chính sách về chuyển nhượng dự án cụ thể và thay đổi các quyền truy cập .

Làm sạch

– Chính sách về làm sạch TOE và hướng dẫn khách hàng sử dụng.– Chính sách về kiểm thử và phê duyệt các thành phần và TOE trước khi phát triển.

A.4.3.2 Các khía cạnh các biện pháp an toàn trong quá trình phát triển

Cơ sở hạ tầng

– Các biện pháp an toàn đối với kiểm soát truy cập vật lý đối với trang web phát triển và phân tích hiệu quả các biện pháp này.

Các biện pháp của tổ chức

– Cơ cấu tổ chức của công ty về sự an toàn của các môi trường phát triển. – Phân tách tình trạng phát triển, sản xuất, kiểm thử và đảm bảo chất lượng của tổ chức.

Các biện pháp đối với nhân viên

– Các biện pháp giáo dục về các biện pháp an toàn trong quá trình phát triển cho nhân viên.– Các biện pháp và thỏa thuận pháp lý về việc không tiết lộ thông tin nội bộ.

Kiểm soát truy cập

– Chỉ định các đối tượng được bảo đảm (ví dụ TOE, mã nguồn, thư viện thời gian thực hiện, tài liệu thiết kế, công cụ phát triển, tài liệu hướng dẫn sử dụng) và các chính sách an toàn.

– Chính sách và trách nhiệm liên quan đến việc kiểm soát truy cập và xử lý các thông tin xác thực.

– Chính sách về logging các kiểu truy cập vào trang web phát triển và bảo vệ các dữ liệu logging.Nhập, xử lý và xuất dữ liệu ·

– Các biện pháp an toàn bảo vệ việc xuất dữ liệu và các thiết bị đầu ra (máy in, máy vẽ và màn hình).

– Bảo đảm các mạng cục bộ và kết nối truyền thông.Lưu trữ, chuyển giao và tiêu huỷ tài liệu và phương tiện truyền thông dữ liệu

– Chính sách về xử lý tài liệu dữ liệu và phương tiện truyền thông dữ liệu.– Chính sách và trách nhiệm tiêu hủy các tài liệu đã được phân loại, logging những sự kiện này.

Bảo vệ dữ liệu

– Chính sách và trách nhiệm bảo vệ thông tin và dữ liệu (ví dụ thực hiện sao lưu).Kế hoạch bất ngờ

– Thực hành trong trường hợp khẩn cấp để nâng cao trách nhiệm.– Ghi lại các biện pháp dự phòng liên quan đến kiểm soát truy cập.– Thông tin về các nhân viên áp dụng thực hành trong các trường hợp cực đoan.

295

TCVN xxx: 2015

A.4.4 Ví dụ về danh sách kiểm tra

Các ví dụ về danh sách kiểm tra về số lượt truy cập website trình bày ở trong bảng dưới đây dùng để chuẩn bị kiểm tra và trình bày kết quả kiểm tra.

Cấu trúc danh mục kiểm tra được trình bày dưới đây là sơ bộ. Tùy thuộc vào các nội dung cụ thể của hướng dẫn mới, có thể cần thiết phải có những thay đổi.

Danh sách kiểm tra được chia thành ba mục sau theo đối tượng được chỉ định trong mục giới thiệu (mục A.4.1):

a) Hệ thống quản lý cấu hình.

b) Các thủ tục chuyển giao.

c) Các biện pháp an toàn trong quá trình phát triển.

Những mục này tương ứng với lớp ALC của tiêu chuẩn TCVN 8709, đặc biệt là các họ như khả năng CM (ALC_CMC).n với n≥3, chuyển giao (ALC_DEL) và các biện pháp an toàn trong quá trình phát triển (ALC_DVS).

Các mục này được chia nhỏ hơn nữa thành các hàng tương ứng với các đơn vị công việc liên quan của tiêu chuẩn này.

Các cột của danh sách kiểm tra lần lượt bao gồm:

– Số thứ tự A, B, C liên tiếp– Đơn vị công việc,– Các tài liệu tham chiếu tài liệu người phát triển tương ứng,– Sự mô phỏng rõ ràng các biện pháp người phát triển,– Những câu hỏi và nhận xét đặc biệt phải được làm rõ về truy cập (ngoại trừ nhiệm vụ của

người đánh giá tiêu chuẩn để thẩm tra việc áp dụng các biện pháp đã đề cập),– Kết quả kiểm tra trong khi truy cập.

Nếu đã quyết định phải có các danh sách kiểm tra riêng để chuẩn bị và báo cáo kiểm tra, thì cột kết quả được bỏ qua trong danh sách chuẩn bị và cột những câu hỏi và nhận xét được bỏ qua trong danh sách báo cáo. Các cột còn lại phải giống như nhau trong cả hai danh sách.

Bảng A.1 Ví dụ danh sách kiểm tra tại EAL4 (trích dẫn)

A. Kiểm tra hệ thống CM (ALC_CMC.4 và ALC_CMS.4)

STT Đơn vị công việc Tài liệu người phát triển

Các biện pháp Những câu hỏi và nhận xét

Kết quả

A.1 ALC_CMC.4-11,

ALC_CMC.4-12

"Hệ thống quản lý cấu hình", ch. ...

Hệ thống tự động quản lý các tệp tin mã nguồn có khả năng quản lý hồ sơ người dùng và quyền truy cập, và kiểm tra định danh và

Đọc hoặc cập nhật một tệp tin mã nguồn yêu cầu xác thực người dùng?

Nếu người dùng không có quyền truy cập tài liệu mật, thì tài liệu này thậm chí còn không được hiển thị trong danh sách tệp tin của người đó.

296

TCVN xxx: 2015xác thực người dùng.

... ... ... ... ... ...

B. Kiểm tra các thủ tục chuyển giao (ALC_DEL.1)



Kết quả

B.1 ALC_DEL.1-1,

ALC_DEL.1-2

"Chuyển giao TOE ", ch. ...

Các phần mềm được truyền PGP đã ký và mã hóa đến các khách hàng.

--- Người đánh giá đã kiểm tra quá trình và nhận thấy nó giống như mô tả, ngoài ra đã truyền đi kiểm tra tổng.

... ... ... ... ... ...

C. Kiểm tra an toàn người phát triển cơ sở hạ tầng và tổ chức

(ALC_DVS.1, ALC_LCD.1, ALC_TAT.1)



Kết quả

C.1 ALC_DVS.1-1,

ALC_DVS.1-2

"An toàn của phát triển môi trường ", ch. ...

Các dinh cơ được bảo vệ bằng hàng rào an toàn.

Hàng rào có đủ chắc chắn và cao để ngăn ngừa sự xâm nhập vào các dinh cơ không?

Người đánh giá đã kiểm tra hàng rào đủ chắc chắn và cao .

C.2 ALC_DVS.1-1,

ALC_DVS.1-2

"An toàn của môi trường phát triển", ch. ... (Tòa nhà)

Các tòa nhà có khả năng đi vào theo: Lối vào chính được giám sát bằng việc tiếp đón và được đóng lại khi không có người tiếp đón. Và lối vào để tiếp nhận hàng hóa được bảo đảm bởi 2 cửa chớp có trục lăn

Có danh sách đầy đủ về các khả năng đi vào tòa nhà không?

Ngoài các khả năng có thể đi vào tòa nhà đã được chỉ ra, còn có một lối ra khẩn cấp mà không thể mở được từ bên ngoài. Các cửa chớp có trục lăn chỉ có thể được vận hành từ bên trong.

... ... ... ... ... ...

A.5 Trách nhiệm lập kế hoạch

Tiêu chuẩn này mô tả các công việc kỹ thuật tối thiểu mà những hoạt động đánh giá được thực hiện dưới sự giám sát của cơ quan đánh giá. Tuy nhiên, phải thừa nhận rằng các hoạt động hoặc các

297

TCVN xxx: 2015

phương pháp mà nhờ đó việc công nhận kết quả đánh giá của nhau không đáng tin cậy. Các kế hoạch có thể bao gồm những vấn đề sau đây, có thể loại bỏ một số vấn đề không cụ thể. (Tất cả mọi nỗ lực được thực hiện để đảm bảo danh sách này là đầy đủ; người đánh giá phải đối mặt với một vấn đề không được liệt kê ở đây cũng không được giải quyết trong tiêu chuẩn này cần tham khảo kế hoạch đánh giá của họ để xác định dưới sự bảo trợ của ai thì vấn đề sẽ được giải quyết.)

Những vấn đề mà bao gồm trong kế hoạch:

a) Những gì được qui định để đảm bảo rằng việc đánh giá đã được thực hiện đầy đủ - mỗi kế hoạch có một cách thức thẩm định năng lực kỹ thuật, sự hiểu biết về công việc và công việc của người đánh giá, cho dù bằng cách yêu cầu người đánh giá trình bày những phát hiện của mình đối với người giám sát, bằng cách yêu cầu người giám sát làm lại công việc của người đánh giá, hoặc bằng một số cách thức để đảm bảo các kế hoạch mà tất cả các cơ quan đánh giá là thích hợp và có thể so sánh được;

b) Quá trình sắp xếp các chứng cớ đánh giá sau khi hoàn thành đánh giá;

c) Bất kỳ yêu cầu nào về tính mật (trong phần của người đánh giá và thông tin bí mật thu được trong quá trình đánh giá);

d) Phải thực hiện hành động nếu trong khi đánh giá gặp phải một vấn đề phải đối mặt (cho dù việc đánh giá vẫn tiếp tục khi vấn đề đã được khắc phục, hoặc việc đánh giá kết thúc ngay lập tức và các sản phẩm đã được khắc phục phải bị đánh giá lại);

e) Mọi ngôn ngữ cụ thể (tự nhiên) trong đó tài liệu phải được cung cấp;

f) Mọi chứng cớ đã được ghi lại phải được đưa ra trong ETR - tiêu chuẩn quốc tế này quy định tối thiểu chứng cớ phải được báo cáo trong ETR; Tuy nhiên, các kế hoạch riêng có thể yêu cầu thêm thông tin;

g) Mọi báo cáo bổ sung (khác so với ETR) được lấy từ người đánh giá, ví dụ như các báo cáo kiểm thử;

h) Mọi OR cụ thể mà có thể được yêu cầu bởi kế hoạch, bao gồm cả cấu trúc, người nhận, vv của bất kỳ OR nào;

i) Mọi cấu trúc nội dung cụ thể của bất kỳ báo cáo nào là kết quả của đánh giá ST - một kế hoạch có thể có bao gồm tất cả các báo cáo chi tiết kết về quả quả đánh giá, có thể là đánh giá TOE hoặc ST;

j) Mọi thông tin định dạng PP/ ST bổ sung được cần đến;

k) Mọi hoạt động xác định sự phù hợp của các yêu cầu đã được công bố rõ trong ST;

l) Mọi yêu cầu cung cấp chứng cớ cho người đánh giá để hỗ trợ đánh giá lại và tái sử dụng chứng cớ.

m) Mọi trình bày cụ thể về định danh kế hoạch, biểu tượng, tên thương mại, vv .;

n) Bất kỳ hướng dẫn cụ thể nào đề cập đến mật mã;

o) Thực hiện và áp dụng kế hoạch, những diễn giải quốc gia và quốc tế;

p) Danh sách hoặc đặc trưng tiêu biểu của phương pháp tiếp cận thay thế phù hợp để kiểm thử nếu việc kiểm thử không thể thực hiện được;

298

TCVN xxx: 2015q) Cơ chế mà nhờ đó cơ quan đánh giá có thể xác định những bước nào đánh giá thực hiện khi kiểm tra;

r) Phương pháp kiểm thử thích hợp (nếu có): tại giao diện bên trong hay giao diện bên ngoài;

s) Danh sách hoặc đặc trưng tiêu biểu của các biện pháp thực hiện phân tích điểm yếu của người đánh giá có thể chấp nhận được (ví dụ: phương pháp giả thuyết lỗ hổng);

t) Thông tin liên quan đến bất kỳ lỗ hổng và điểm yếu nào phải được xem xét.

299

TCVN xxx: 2015

Phụ lục B(Tham khảo)

Đánh giá điểm yếu (AVA)

Phụ lục này giải thích về tiêu chí AVA_VAN và các ví dụ về ứng dụng của chúng. Phụ lục này không định nghĩa tiêu chí AVA; định nghĩa này có thể được tìm thấy trong TCVN 8709-3:2011 lớp AVA: Đánh giá điểm yếu.

Phụ lục này gồm 2 phần chính:

a) Hướng dẫn để hoàn thành phân tích điểm yếu độc lập. Phần này được tóm tắt trong mục B.1 và được mô tả chi tiết hơn trong mục B.2. Các mục này mô tả cách một người đánh giá sẽ tiếp cận việc phân tích điểm yếu độc lập.

b) Cách mô tả và sử dụng khả năng tấn công giả định của kẻ tấn công. Phần này được mô tả trong các mục từ B.3 đển B.5. Những mục này đưa ra một ví dụ mô tả được mô tả và được sử dụng như thế nào, và một số ví dụ về chúng.

B.1 Phân tích điểm yếu là gì?

Mục đích của hoạt động đánh giá điểm yếu là xác định sự tồn tại và khả năng khai thác những thiếu sót hoặc điểm yếu của TOE trong môi trường vận hành. Việc xác định này dựa trên phân tích của người đánh giá, và được hỗ trợ bởi hoạt động kiểm thử của người đánh giá.

Ở các mức thấp nhất của phân tích điểm yếu (AVA_VAN), người đánh giá chỉ đơn thuần phải thực hiện việc tìm kiếm thông tin có sẵn để xác định những điểm yếu được biết đến trong TOE, trong khi ở các mức cao hơn người đánh giá phải tiến hành phân tích cấu trúc của chứng cớ đánh giá TOE.

Có ba yếu tố chính khi thực hiện phân tích điểm yếu, đó là:

a) Định danh các điểm yếu tiềm ẩn;

b) Đánh giá các điểm yếu tiềm ẩn để xác định xem liệu rằng các điểm yếu tiềm ẩn đã được định danh có thể cho phép kẻ tấn công có khả năng tấn công các SFR hay không;

c) Kiểm thử xâm nhập để xác định xem liệu rằng các điểm yếu tiềm ẩn đã được định danh có thể khai thác trong môi trường vận hành của TOE hay không.

Việc định danh các điểm yếu có thể tiếp tục được phân chia thành các chứng cớ đã được tìm kiếm và cách để tìm kiếm chứng cớ để định các điểm yếu tiềm ẩn. Tương tự như vậy, việc kiểm thử xâm nhập có thể tiếp tục được chia thành phân tích các điểm yếu tiềm ẩn để xác định các phương pháp tấn công và trình bày các phương pháp tấn công.

Những yếu tố chính này lặp đi lặp lại trong tự nhiên, tức là kiểm thử xâm nhập các điểm yếu tiềm ẩn có thể dẫn đến việc phải xác định thêm các điểm yếu tiềm ẩn. Do đó, chúng được thực hiện như một hoạt động phân tích điểm yếu.

B.2 Thực hiện phân tích điểm yếu

Người đánh giá phân tích điểm yếu để xác định xem liệu rằng TOE có khả năng chống lại các cuộc tấn công xâm nhập do kẻ tấn công thực hiện với khả năng tấn công ở mức cơ bản (AVA_VAN.1 và

300

TCVN xxx: 2015AVA_VAN.2), ở mức nâng cao-cơ bản (AVA_VAN.3), ở mức vừa phải (cho AVA_VAN.4) hoặc ở mức cao (AVA_VAN.5). Người đánh giá trước tiên phải đánh giá khả năng khai thác tất cả các điểm yếu tiềm ẩn đã định danh. Việc này được thực hiện bằng cách tiến hành kiểm thử xâm nhập. Người đánh giá sẽ đóng vai trò một kẻ tấn công có khả năng tấn công ở mức cơ bản (AVA_VAN.1 và AVA_VAN.2), ở mức nâng cao-cơ bản (AVA_VAN.3), ở mức vừa phải (cho AVA_VAN.4) hoặc ở mức cao (AVA_VAN.5) khi cố gắng xâm nhập vào TOE.

Người đánh giá xem xét các điểm yếu tiềm ẩn phải đối mặt khi thực hiện các hoạt động đánh giá khác. Người đánh giá thực hiện việc kiểm thử xâm nhập để xác định sự chống lại của TOE đối với những điểm yếu tiềm ẩn khi đóng vai trò một kẻ tấn công có khả năng tấn công ở mức cơ bản (AVA_VAN.1 và AVA_VAN.2), nâng cao-cơ bản (AVA_VAN.3), ở mức vừa phải (cho AVA_VAN.4) hoặc ở mức cao (AVA_VAN.5).

Tuy nhiên, việc phân tích điểm yếu không nên thực hiện độc lập, cần phải liên kết chặt chẽ với lớp ADV và AGD. Người đánh giá thực hiện các hoạt động đánh giá khác tập trung vào việc định danh điểm yếu tiềm ẩn hoặc "các lĩnh vực liên quan". Do đó, người đánh giá cần phải nắm rõ các hướng dẫn chung về điểm yếu (được trình bày trong mục B.2.1)

B.2.1 Hướng dẫn chung về điểm yếu

Dưới đây trình bày năm cách thức tấn công khi thảo luận chung về các điểm yếu.

B.2.1.1 Đi đường vòng (bypassing)

Đi đường vòng là cách thức mà kẻ tấn công có thể thực hiện để tránh được việc thực thi an toàn, bằng cách:

a) Khai thác khả năng của giao diện đối với TOE, hoặc các tiện ích mà có thể tương tác với TOE;

b) Kế thừa những đặc quyền hoặc khả năng khác nếu không sẽ bị từ chối;

c) (Nơi mà tính mật cần phải quan tâm) đọc dữ liệu nhạy cảm được lưu trữ hoặc sao chép đến các vùng bảo vệ không thích hợp.

Cần phải xem xét từng hạng mục dưới đây (nếu liên quan) trong phân tích điểm yếu độc lập của người đánh giá.

a) Các cuộc tấn công dựa trên việc khai thác khả năng của giao diện hay các tiện ích thường tận dụng lợi thế không phải thực thi an toàn cần thiết trên các giao diện này. Ví dụ, chiếm quyền truy cập vào chức năng mà được thực thi ở mức thấp hơn mức kiểm soát truy cập được thi hành. Các mục liên quan bao gồm:

1) Thay đổi trình tự gọi TSFI;

2) Gọi một TSFI bổ sung;

3) Sử dụng một thành phần trong một bối cảnh bất ngờ hoặc cho một mục đích không mong muốn;

4) Sử dụng chi tiết triển khai được đưa vào trong các mô tả kém trừu tượng;

5) Lợi dụng độ trễ giữa thời điểm kiểm tra truy cập và thời điểm sử dụng.

b) Việc thay đổi trình tự gọi các thành phần cần được xem xét khi có một thứ tự dự kiến trong đó các giao diện với TOE (ví dụ như các lệnh của người dùng) được gọi ra để gọi TSFI (ví dụ: mở một tệp tin để truy cập và sau đó đọc dữ liệu của tệp tin đó). Nếu một TSFI được gọi thông qua một trong

301

TCVN xxx: 2015

những giao diện TOE (ví dụ như kiểm tra kiểm soát truy cập), người đánh giá cần xem xét xem liệu nó có thể bỏ qua kiểm soát bằng cách thực hiện gọi tại một điểm sau theo trình tự hoặc bỏ lỡ nó hoàn toàn

c) Thực hiện một thành phần bổ sung (theo trình tự được xác định trước) là một hình thức tấn công tương tự với hình thức tấn công đã mô tả ở trên, nhưng liên quan đến việc gọi một số giao diện khác của TOE tại một số điểm trong theo trình tự. Nó cũng có gọi các cuộc tấn công dựa trên việc chặn dữ liệu nhạy cảm thông truyền qua mạng bằng cách sử dụng bộ phân tích lưu lượng mạng (các thành phần bổ sung ở đây là bộ phân tích lưu lượng mạng).

d) Sử dụng một thành phần trong một bối cảnh bất ngờ hoặc cho một mục đích không mong muốn bao gồm sử dụng giao diện TOE không liên quan để đi vòng TSF bằng cách sử dụng nó để đạt được một mục đích mà nó không được thiết kế hoặc dự định đạt được. Các kênh biến đổi là một ví dụ của kiểu tấn công này (xem B.2.1.4 để thảo luận thêm về các kênh bí biến đổi). Việc sử dụng các giao diện không có cơ sở mà không an toàn, cũng thuộc dạng tấn công này. Các giao diện này có thể bao gồm các facilities hỗ trợ và giúp đỡ không có cơ sở.

đ) Sử dụng chi tiết triển khai được đưa ra trong những mô tả kém trừu tượng có thể cho phép kẻ tấn công tận dụng lợi thế các chức năng bổ sung, nguồn lực hay các thuộc tính được đưa vào TOE như một hệ quả của quá trình cải tiến. Chức năng bổ sung có thể bao gồm kiểm tra mã khai thác có trong các mô-đun phần mềm và các back-door được đưa vào trong quá trình triển khai.

f) Lợi dụng độ trễ giữa thời điểm kiểm tra và thời điểm sử dụng bao gồm các kịch bản mà việc kiểm tra kiểm soát truy cập được thực hiện và cấp quyền truy cập, và sau đó kẻ tấn công có thể tạo ra các các tình huống mà trong đó kẻ tấn công có áp dụng tại thời điểm thực hiện kiểm tra truy cập, sẽ làm cho việc kiểm tra bị thất bại. Một ví dụ là một người sử dụng tạo ra một background process để đọc và gửi dữ liệu rất nhạy cảm đến thiết bị đầu cuối của người sử dụng, và sau đó đăng xuất và đăng nhập lại ở mức độ nhạy cảm thấp hơn. Nếu background process không kết thúc khi người dùng đăng xuất, những kiểm tra MAC sẽ được bỏ qua thực sự.

g) Các cuộc tấn công dựa trên kế thừa đặc quyền thường được dựa trên việc có được bất hợp pháp những đặc quyền hoặc khả năng của một số thành phần có đặc quyền, thường là thoát khỏi nó một cách không kiểm soát hoặc bất ngờ. Các hạng mục có liên quan bao gồm:

1) Thực hiện dữ liệu không nhằm mục đích thực hiện, hoặc làm cho nó hiện;

2) Tạo đầu vào không mong muốn cho một thành phần;

3) Làm mất hiệu lực những đặc tính và những giả định trong đó các thành phần mức thấp dựa vào.

h) Thực hiện dữ liệu không dự định được thực thi, hoặc làm cho nó thực thi bao gồm các cuộc tấn công liên quan đến virus (Ví dụ như đặt mã có thể chạy được hay các lệnh trong một tệp tin mà sẽ được tự động thực hiện khi các tệp tin được hiệu chỉnh hoặc được truy cập, do đó kẻ tấn công kế thừa các đặc quyền chủ sở hữu của các tệp tin có).

i) Tạo đầu vào không mong muốn cho một thành phần có thể có những tác động không mong muốn mà một kẻ tấn công có thể lợi dụng. Ví dụ, nếu TSF có thể được bỏ qua nếu người dùng truy cập vào hệ điều hành cơ sở, nó có thể là có thể có được quyền truy cập này sau trình tự đăng nhập bằng cách khám phá hiệu quả thực hiện kiểm soát khác nhau hoặc thoát khỏi trình tự trong khi mật khẩu đang được xác thực.

302

TCVN xxx: 2015j) Làm mất hiệu lực những đặc tính và những giả định trong đó các thành phần mức thấp dựa vào bao gồm các cuộc tấn công dựa trên việc phá bỏ những ràng buộc của một ứng dụng để truy cập vào hệ điều hành cơ sở để bỏ qua các TSF của một ứng dụng. Trong trường hợp này giả định được coi là mất hiệu lực và người dùng ứng dụng này không thể truy cập được. Một cuộc tấn công tương tự có thể được dự tính dựa trên ứng dụng trên một hệ thống quản lý cơ sở dữ liệu cơ bản: một lần nữa TSF có thể được bỏ qua nếu một kẻ tấn công có thể phá bỏ những ràng buộc của ứng dụng.

k) Tấn công dựa trên việc đọc dữ liệu nhạy cảm được lưu trữ trong các khu vực được bảo vệ không hợp lý (áp dụng những nơi mà tính mật được quan tâm) bao gồm các vấn đề sau đây cần được xem xét khi muốn có quyền truy cập vào dữ liệu nhạy cảm:

1) Quét đĩa;

2) Truy cập vào bộ nhớ không được bảo vệ;

3) Khai thác quyền truy cập vào các tệp tin được chia sẻ mà có thể ghi lại được hoặc các tài nguyên được chia sẻ khác (ví dụ như các tệp tin trung gian);

4) Kích hoạt khắc phục lỗi để xác định những gì người dùng cập có thể có được. Ví dụ, sau một sự cố, hệ thống khôi phục lại tệp tin tự động có thể sử dụng một thư mục bị mất và được tìm thấy thay thế cho các tệp tin không có tiêu đề, mà trên đĩa không có nhãn. Nếu TOE thực thi những kiểm soát truy cập bắt buộc, thì điều quan trọng là phải kiểm tra tại mức bảo mật mà thư mục này có được (ví dụ như tại hệ thống), và những người có quyền truy cập vào thư mục này.

Có một số phương pháp khác nhau mà nhờ đó người đánh giá có thể xác định một back-door, bao gồm hai kỹ thuật chính. Thứ nhất, do người đánh giá vô tình xác định trong quá trình kiểm thử một giao diện mà có thể bị sử dụng sai đặc quyền. Thứ hai, thông qua việc kiểm thử từng giao diện bên ngoài của TSF trong chế độ gỡ rối để xác định bất kỳ mô-đun nào không được gọi là một phần của kiểm thử giao diện và sau đó kiểm tra mã mà không được gọi là để xem liệu rằng nó có phải là một back-door không.

Đối với TOE phần mềm mà việc đánh giá các hoạt động con (ADV_IMP.2) và ALC_TAT.2 hoặc các thành phần cao hơn bao gồm trong gói đảm bảo, người đánh giá có thể xem xét trong quá trình phân tích dụng cụ của chúng mà các thư viện và các gói được liên kết bởi trình biên dịch trong giai đoạn soạn thảo để xác định các back-door không được đưa vào giai đoạn này.

B.2.1.2 Can thiệp (Tampering)

Tấn công can thiệp là tấn công trên đó kẻ tấn công cố tìm cách làm ảnh hưởng đến hành xử của TSF (tức là sửa đổi hoặc làm mất khả năng kích hoạt), ví dụ:

a) Truy cập dữ liệu có tính mật hoặc tính toàn vẹn mà TSF dựa vào;

b) Bắt buộc TOE phải đối phó với tình huống bất thường hoặc không mong đợi;

c) Vô hiệu hóa hoặc trì hoãn thực thi an toàn;

d) Thay đổi vật lý TOE.

Cần phải xem xét từng hạng mục dưới đây (nếu liên quan) trong phân tích điểm yếu độc lập của người đánh giá.

a) Các cuộc tấn công dựa trên truy cập dữ liệu có tính mật hoặc tính toàn vẹn được bảo vệ, bao gồm:

1) Đọc, ghi hoặc sửa đổi dữ liệu nội bộ trực tiếp hoặc gián tiếp;

303

TCVN xxx: 2015

2) Sử dụng một thành phần trong một tình huống không mong đợi hoặc với mục đích không mong muốn;

3) Sử dụng giao diện giữa các thành phần không thể thấy được với mức độ trừu tượng cao hơn.

b) Đọc, ghi hoặc sửa đổi dữ liệu nội bộ trực tiếp hoặc gián tiếp bao gồm các kiểu tấn công cần sau đây cần được xem xét:

1) Đọc "những bí mật" được lưu trữ nội bộ, chẳng hạn như mật khẩu người dùng;

2) Giả mạo dữ liệu nội bộ mà cơ chế thực thi an toàn dựa vào;

3) Sửa đổi các biến môi trường (ví dụ: tên logic), hoặc dữ liệu trong các file cấu hình hoặc file tạm thời.

c) Có thể đánh lừa một quá trình tin cậy để sửa đổi một file được bảo vệ mà bình thường nó không truy cập.

d) Người đánh giá cũng nên xem xét "các tính năng nguy hiểm" sau đây:

1) Mã nguồn của TOE với chương trình biên dịch (chẳng hạn như có thể có thể sửa đổi mã nguồn đăng nhập);

2) Một chương trình gỡ rối tương tác và thiết bị vá lỗi (chẳng hạn như thể là có thể sửa đổi hình ảnh);

3) Khả năng thay đổi mức điều khiển thiết bị, nơi không có bảo vệ tệp tin;

4) Mã chẩn đoán trong mã nguồn;

5) Công cụ của người phát triển còn lại trong TOE.

đ) Sử dụng một thành phần trong một tình huống không mong đợi hoặc với một mục đích không mong muốn, nếu TOE là một ứng dụng được xây dựng trên một hệ điều hành, bao gồm (ví dụ) người sử dụng khai thác kiến thức của một gói xử lý văn bản hoặc trình soạn thảo khác để sửa đổi tập lệnh riêng của họ (ví dụ như để có được đặc quyền cao hơn).

f) 3) Sử dụng giao diện giữa các thành phần không thể thấy được với mức độ trừu tượng cao hơn bao gồm các cuộc tấn công khai thác truy cập các nguồn tài nguyên được chia sẻ, trong đó việc sửa đổi nguồn tài nguyên của một thành phần có thể ảnh hưởng đến hành xử của thành phần (đáng tin cậy) khác, ví dụ như ở mức mã nguồn, thông qua việc sử dụng các dữ liệu chung hoặc các cơ chế gián tiếp như bộ nhớ được chia sẻ hoặc các semaphore.

g) Phải lưu ý thường xuyên đến các cuộc tấn công dựa trên việc bắt buộc TOE đối phó với tình huống bất thường hoặc không mong đợi. Các mục liên quan bao gồm:

1) Tạo đầu vào không mong muốn cho một thành phần;

2) Làm mất hiệu lực những giả định và các thuộc tính mà các thành phần mức thấp hơn dựa vào.

h) Tạo đầu vào không mong muốn cho một thành phần bao gồm việc kiểm tra hành xử của TOE khi:

304

TCVN xxx: 20151) Bộ nhớ đệm chứa dữ liệu lệnh đầu vào tràn (có thể "chồng lấn" hoặc ghi đè lên bộ lưu trữ khác,

mà một kẻ tấn công có thể lợi dụng, hoặc lỗ lực khắc phục lỗi crash dump mà có thể chứa thông tin nhạy cảm như mật khẩu được lưu dưới dạng văn bản rõ ràng);

2) Các lệnh hoặc các thông số không hợp lệ được nhập vào (kể cả việc cung cấp một tham số chỉ đọc cho một giao diện mà mong muốn sẽ gửi lại dữ liệu thông qua tham số đó và cung cấp dữ liệu đầu vào không đúng định dạng mà sẽ thất bại trong việc phân tách như chèn lệnh SQL, chuỗi định dạng);

3) Đánh dấu kết thúc file (ví dụ như dùng tổ hợp phím Ctrl-Z hoặc Ctrl-D) hoặc chèn ký tự null vào tính năng kiểm tra dấu vết.

i) Làm mất hiệu lực những giả định và các thuộc tính mà các thành phần mức thấp hơn dựa vào bao gồm các cuộc tấn công lợi dụng các lỗi trong mã nguồn nếu mã nguồn giả định rằng dữ liệu bảo mật có liên quan có định dạng cụ thể hoặc có một loạt các giá trị cụ thể. Trong những trường hợp này người đánh giá nên xác định xem liệu họ có thể làm mất hiệu lực những giả định như vậy bằng cách tạo ra các dữ liệu có định dạng khác hoặc có các giá trị khác nhau hay không, và nếu như vậy liệu có thể tạo lợi thế cho kẻ tấn công hay không.

k) Hành xử chính xác của TSF có thể phụ thuộc vào các giả định mà bị mất hiệu lực trong các trường hợp mà đạt được những giới hạn tài nguyên hoặc tham số đạt giá trị lớn nhất. Người đánh giá cần lưu ý đến hành xử của TOE khi đã đạt được những giới hạn này, ví dụ:

1) Thay đổi ngày (ví dụ như kiểm tra cách TOE hành xử khi ngưỡng ngày tới hanh đã qua);

2) Làm đầy các ổ đĩa;

3) Vượt quá số người dùng tối đa;

4) Điền vào log kiểm tra;

5) Bão hòa hàng đợi cảnh báo an toàn tại console;

6) Quá tải các phần khác nhau của một TOE có nhiều người sử dụng mà dựa chủ yếu vào các thành phần truyền thông;

7) Nghẽn mạng hoặc các hots riêng biệt;

8) Làm đầy các bộ nhớ đệm hoặc các trường dữ liệu.

k) Các cuộc tấn công dựa trên vô hiệu hóa hoặc trì hoãn thực thi an toàn bao gồm các mục sau đây:

1) Ngắt hoặc sử dụng các chức năng lập lịch làm gián đoạn việc sắp xếp chuỗi;

2) Làm gián đoạn sự trùng lập về thời gian;

3) Sử dụng các giao diện giữa các thành phần mà không thấy được ở mức độ trừu tượng cao hơn.

l) Ngắt hoặc sử dụng các chức năng lập lịch để làm gián đoạn việc sắp xếp chuỗi bao gồm việc kiểm tra hành xử của TOE khi:

1) Một lệnh bị ngắt (với Ctrl-C, Ctrl-Y, vv);

2) Sự gián đoạn thứ hai xuất hiện trước khi xuất hiện gián đoạn thứ nhất.

305

TCVN xxx: 2015

m) Xem xét những tác động của việc chấm dứt quá trình bảo mật quan trọng (ví dụ như dịch vụ kiểm tra). Tương tự như vậy, có thể trì hoãn việc đăng xuất các hồ sơ kiểm tra hoặc phát hoặc nhận các cảnh báo mà một quản trị viên không dùng đến (kể từ khi cuộc tấn công đã thành công).

n) Làm gián đoạn sự trùng lập về thời gian bao gồm việc kiểm tra hành xử của TOE khi hai hoặc nhiều đối tượng cố gắng truy cập đồng thời. TOE có thể đối phó với interlocking khi hai đối tượng cố gắng truy cập đồng thời, nhưng hành xử đó trở nên kém xác định khi có sự hiện diện của nhiều đối tượng hơn nữa. Ví dụ, một quy trình an toàn có thể được đặt trong trạng thái chờ - tài nguyên nếu hai quá trình khác đang truy cập vào một tài nguyên mà nó cần.

o) Sử dụng các giao diện giữa các thàn phần mà không thấy được ở một mức độ trừu tượng cao hơn có thể làm trì hoãn một khoảng thời gian tới hạn đáng tin cậy.

p) Tấn công quyền truy cập vật lý có thể được phân loại thành thăm dò vật lý, thao tác vật lý vật lý, thay đổi quyền truy cập vật lý, và thay thế quyền truy cập vật lý.

1) Thăm dò vật lý bằng xách xâm nhập vào TOE để nhằm vào các mục tiêu bên trong của TOE, ví dụ như đọc các giao diện truyền thông nội bộ, các dòng hay các bộ nhớ.

2) Thao tác vật lý có thể cùng với các phần bên trong TOE nhằm thay đổi nội bộ của TOE (ví dụ: bằng cách sử dụng optical fault induction làm quá trình tương tác), tại giao diện bên ngoài của TOE (ví dụ: do nguồn điện hoặc đồng hồ chạy không ổn định) và môi trường TOE (ví dụ như điều chỉnh nhiệt độ).

3) Việc thay đổi quyền truy cập vật lý về sự an toàn nội bộ của TOE buộc các thuộc tính kế thừa đặc quyền hoặc các khả năng khác mà bị từ chối trong quá hoạt động bình thường. Việc thay đổi này có thể gây ra bởi lỗi optical fault induction. Các cuộc tấn công dựa trên việc thay đổi quyền truy cập vật lý cũng có làm thay đổi chính bản thân TSF, ví dụ bằng cách gây ra lỗi tại dữ liệu chương trình nội bộ TOE truyền đi trước khi thực hiện. Lưu ý rằng kiểu tấn công đường vòng bằng cách thay đổi chính TSF có thể hủy hoại mọi TSF mỗi TSF trừ khi có các biện pháp khác (có thể là biện pháp môi trường) ngăn cản kẻ tấn công có được quyền truy cập vật lý đến TOE.

4) Thay thế quyền truy cập vật lý để thay thế TOE bằng một thực thể CNTT khác trong khi chuyển giao hoặc hoạt động TOE. Việc thay thế trong khi chuyển giao TOE từ môi trường phát triển đến người dùng sẽ được ngăn ngừa thông qua việc áp dụng các thủ tục chuyển giao an toàn (chẳng hạn như xem xét các thủ tục đó dưới thành phần an toàn phát triển (ALC_DVS)). Việc thay thế trong khi hoạt động TOE có thể được xem xét thông qua việc kết hợp hướng dẫn người dùng và môi trường vận hành, như thế người dùng có thể tin tưởng rằng họ đang tương tác với TOE.

B.2.1.3 Tấn công trực tiếp

Tấn công trực tiếp bao gồm việc định danh các kiểm thử xâm nhập để kiểm thử độ mạnh của cơ chế hoán vị hoặc cơ chế tính xác suất và các cơ chế khác để đảm bảo chúng chịu được cuộc tấn công trực tiếp.

Ví dụ, có thể là một giả định sai lầm rằng việc thực hiện cụ thể của một phần mềm tạo số giả với nhiều tính năng tùy chọn sẽ có giá trị yêu cầu cần thiết để đưa ra các cơ chế an toàn.

Nếu cơ chế hoán vị hoặc cơ chế tính xác suất dựa vào việc lựa chọn giá trị thuộc tính an toàn (ví dụ như chọn độ dài của mật khẩu) hoặc nhập dữ liệu (ví dụ như chọn mật khẩu) thì các giả định cần phản ánh được trường hợp xấu nhất.

306

TCVN xxx: 2015Cơ chế hoán vị hoặc cơ chế tính xác suất cần được xác định trong quá trình kiểm tra chứng cứ yêu cầu như là đầu vào đối với hoạt động phụ này (đích an toàn, đặc tả chức năng, thiết kế TOE) và tài liệu TOE khác (ví dụ như hướng dẫn) có thể xác định thêm cơ chế hoán vị hoặc cơ chế tính xác suất.

Nếu chứng cớ hoặc hướng dẫn thiết kế bao gồm những xác nhận hoặc giả định (ví dụ như có thể có khoảng bao nhiêu nỗ lực xác thực trong một phút), người đánh giá cần độc lập xác nhận rằng những xác nhận hoặc những giả định này có chính xác hay không. Việc này có thể đạt được thông qua việc kiểm thử hoặc thông qua phân tích độc lập.

Các cuộc tấn công trực tiếp dựa vào điểm yếu trong một thuật toán mật mã không được xem xét khi phân tích điểm yếu (AVA_VAN), vì điều này nằm ngoài phạm vi của tiêu chuẩn TCVN 8709. Sự chính xác của việc thực thi các thuật toán mật mã hóa được xem xét trong các hoạt động của lớp ADV và ATE .

B.2.1.4 Giám sát (monitoring)

Thông tin là một cái nhìn trừu tượng về mối quan hệ giữa các thuộc tính của các thực thể, có nghĩa là một tín hiệu có thể chứa thông tin của một hệ thống nếu một TOE có sự tương ứng với tín hiệu này. Các nguồn tài nguyên của TOE xử lý và lưu trữ thông tin thu thập được từ dữ liệu người dùng, do đó:

a) Thông tin dữ liệu người dùng có thể được truyền giữa các đối tượng bởi TOE nội bộ truyền hoặc xuất từ TOE;

b) Thông tin có thể được tạo ra và truyền đến dữ liệu người dùng khác;

c) Thông tin có thể được thu thập thông qua việc giám sát các hoạt động trên dữ liệu đặc trưng cho các thông tin.

Thông tin thu được từ dữ liệu người dùng có thể được phân loại theo các thuộc tính an toàn thông

qua việc “đánh giá mức độ” của thông tin, ví dụ như: không được phân loại, bí mật, bí mật hàng đầu,

để kiểm soát các hoạt động dữ liệu. Do đó, thông tin này và các thuộc tính an toàn có thể bị thay đổi

bởi các hoạt động ví dụ FDP_ACC.2 có thể tăng mức “sanitarisation” hoặc giảm bằng cách kết hợp

dữ liệu. Đây là một khía cạnh phân tích thông tin tập trung trên các hoạt động kiểm soát các đối tượng

được kiểm soát hoặc các mục tiêu đã được kiểm soát.

Một khía cạnh khác là phân tích luồng thông tin không hợp pháp. Khía cạnh phân tích này phổ biến hơn truy cập trực tiếp đến các đối tượng chứa dữ liệu người dùng được đưa ra bởi họ FDP_ACC. Kênh thông tin chứa các thông không chính thống truyền thông tin dưới kiểm soát của chính sách kiểm soát luồng thông tin có thể được tạo ra qua việc theo dõi tiến trình của bất kỳ đối tượng nào chứa hoặc có liên quan đến thông tin này (ví dụ như bằng cách sử dụng phương thức tấn công thông qua các kênh phụ).

Các kênh thông tin chính thống có thể được xác định thông qua các đối tượng thao tác các nguồn tài nguyên và đối tượng hoặc người dùng mà giám sát việc thao tác này. Các kênh biến đổi (covert channels - là các kênh liên lạc không mong muốn, truyền tải dữ liệu theo một cách thức làm vi phạm đến chính sách an toàn) được phân thành các kênh định thời (timing channels) hoặc các kênh lưu trữ (storage channels), các kênh này sử dụng khả năng điều chế hoặc thay đổi những nguồn tài nguyên hệ thống mà nó sử dụng. Còn đối với các cuộc tấn công giám sát, sử dụng TOE phù hợp với các SFR.

Covert Channel (kênh biến đổi) là kênh một liên lạc không mong muốn, truyền tải dữ liệu theo một

307

TCVN xxx: 2015

cách thức làm vi phạm đến chính sách an toàn. Covert Channel có thể áp dụng trong trường hợp TOE có các yêu cầu về chính sách an toàn thông tin phân chia nhiều mức và không có khả năng giám sát. Các kênh biến đổi có thể thường xuyên bị phát hiện trong khi phân tích điểm yếu và trong các hoạt động thiết kế, và do đó nó phải được kiểm thử. Tuy nhiên, các cuộc tấn công giám sát chỉ được xác định thông qua các kỹ thuật phân tích chuyên dụng thường được gọi là “phân tích kênh biến đổi”. Các kỹ thuật này đã là chủ đề của nhiều nghiên cứu và đã có nhiều bài báo xuất bản nói về chủ đề này. Việc hướng dẫn thực hiện phân tích kênh biến đổi sẽ được cung cấp từ các cơ quan đánh giá.

Các cuộc tấn công giám sát luồng tin không chính thống bao gồm các kỹ thuật phân tích thụ động nhằm tiết lộ dữ liệu nội bộ nhạy cảm của TOE bằng cách vận hành TỎE theo cách tương ứng với các tài liệu hướng dẫn.

Việc phân tích kênh phụ bao gồm các kỹ thuật phân tích mà dựa trên rò rỉ vật lý của TOE. Rò rỉ vật ly có thể xảy ra bởi kênh thông tin định thời (timing information), tiêu thụ nguồn và phát nguồn trong khi tính toán TSF. Thông tin định thời cũng có thể được sưu tập bởi kẻ tấn công từ xa (có mạng truy cập vào TOE), nguồn dựa trên các kênh thông tin yêu cầu các kẻ tấn công đó ở ngay cạnh môi trường của TOE.

Các kỹ thuật nghe lén bao gồm việc chặn tất cả các dạng năng lượng, ví dụ điện từ hoặc phát quang học của màn hình máy tính, không nhất thiết ở trong trường gần của TOE.

Giám sát cũng bao gồm việc khai thác các lỗ hổng giao thức, ví dụ tấn công vào SSL.

B.2.1.5 Sử dụng sai đặc quyền (Misuse)

Việc sử dụng sai đặc quyền thể do:

a) Tài liệu hướng dẫn không đầy đủ;

b) Hướng dẫn không hợp lý;

c) Lỗi cấu hình không mong muốn của TOE;

d) Hành xử ngoại lệ của TOE.

Nếu các tài liệu hướng dẫn không đầy đủ thì người sử dụng không thể biết cách để vận hành TOE phù hợp với các SFR. Người đánh giá khi áp dụng phải hiểu rõ về TOE có được từ việc thực hiện các hoạt động đánh giá khác để xác định rằng hướng dẫn là đầy đủ. Đặc biệt, người đánh giá cần xem xét các đặc tả chức năng. TSF được mô tả trong tiêu chuẩn này phải được mô tả trong hướng dẫn để cho phép quản trị và sử dụng an toàn thông qua các TSF có sẵn cho người sử dụng. Ngoài ra, nhau cũng cần phải xem xét các chế độ hoạt động khác để đảm bảo rằng hướng dẫn được áp dụng cho tất cả các chế độ hoạt động.

Người đánh giá có thể ánh xạ giữa hướng dẫn và các tài liệu này. Bất kỳ sự thiếu sót nào trong khi ánh xạ có thể chỉ ra sự không hợp lý.

Hướng dẫn được xem là không hợp lý nếu nó đòi hỏi sử dụng TOE và môi trường vận hành mà không phù hợp với ST hoặc không đủ để duy trì an toàn.

Một TOE có thể sử dụng nhiều cách khác nhau để hỗ trợ người tiêu dùng sử dụng một cách hiệu quả TOE đó phù hợp với các SFR và ngăn ngừa cấu hình lỗi không chủ ý. Một TOE có thể sử dụng chức năng (tính năng) để cảnh báo người tiêu dùng khi TOE ở trong trạng thái không nhất quán với các SFR, trong khi TOE khác có thể được chuyển giao có hướng dẫn nâng cao chứa những đề nghị, gợi ý,

308

TCVN xxx: 2015thủ tục, v.v… khi sử dụng tính năng an toàn hiện có một cách hiệu quả nhất, ví dụ, hướng dẫn việc sử dụng tính năng kiểm tra để phát hiện khi nào các SFR là bị tổn hại; cụ thể là không an toàn.

Người đánh giá xem xét chức năng, mục đích và mục tiêu an toàn của TOE đối với môi trường vận hành để đi đến một kết luận dù có hay không mong muốn sử dụng hướng dẫn sẽ cho phép chuyển sang trạng thái không an toàn được phát hiện bằng cách xử lý kịp thời.

Khả năng TOE rơi vào trạng thái an toàn có thể được xác định bằng cách sử dụng các dụng cụ đánh giá, chẳng hạn như ST, các đặc tả chức năng và những người đại diện thiết kế khác cung cấp chứng cớ cho các thành phần kể cả gói đảm bảo cho TOE (ví dụ đặc tả thiết kế TOE /TSF nếu bao gồm một thành phần thiết kế cơ bản TOE (ADV_TDS)).

Các trường hợp hành xử ngoại lệ của TSF bao gồm dưới đây, các trường hợp này không giới hạn đối với:

a) Hành xử của TOE khi quá trình khởi động, tắt hoặc khôi phục lỗi được kích hoạt;

b) Hành xử của TOE trong những trường hợp cực đoan (đôi khi được gọi là hành xử quá tải hoặc tiệm cận), đặc biệt là khi việc này có thể dẫn đến việc ngừng hoạt động hoặc vô hiệu hóa các phần của TSF;

c) Mọi khả năng cấu hình sai không có chủ ý hoặc sử dụng không an toàn xuất hiện từ các cuộc tấn công đã trình bày trong mục B.2.1.2 ở trên.

B.2.2 Định danh các điểm yếu tiềm ẩn

Điểm yếu tiềm ẩn có thể được người đánh giá xác định trong khi thực hiện các hoạt đông khác nhau. Chúng có là hiển nhiên trong khi đánh giá hoặc có thể được định danh như một kết quả phân tích chứng cớ để tìm kiếm các điểm yếu.

B.2.2.1 Các điểm yếu tiềm ẩn phải đối mặt

Định danh các điểm yếu tiềm ẩn phải đối mặt là nơi mà các điểm yếu tiềm ẩn được người đánh giá xác định trong quá trình tiến hành các hoạt động đánh giá, tức là chứng cớ không được phân tích với mục đích xác định rõ ràng các điểm yếu tiềm ẩn.

Phương pháp định danh các điểm yếu tiềm ẩn phải đối mặt phụ thuộc vào kinh nghiệm và kiến thức của người đánh giá; phương pháp mà được theo dõi và kiểm soát bởi tổ chức đánh giá. Nó không thể tiếp cận được, nhưng sẽ được ghi lại để đảm bảo dùng lại các kết luận về các điểm yếu tiềm ẩn được báo cáo.

Không có tiêu chí phân tích chính thức cần thiết cho phương pháp này. Các điểm yếu tiềm ẩn được xác định từ chứng cớ được cung cấp là thành quả của việc hiểu biết và kinh nghiệm. Tuy nhiên, phương pháp định danh này không hạn chế đối với mọi tập hợp nhỏ các chứng cứ.

Người đánh giá được giả định là có kiến thức về công nghệ kiểu-TOE và các lỗ hổng bảo mật được biết đến được ghi lại trong các miền công cộng. Mức độ hiểu biết được giả định là có được từ một danh sách các e-mail an toàn có liên quan đến kiểu TOE, các bản tin thường xuyên (các lỗi, điểm yếu và danh sách các lỗ hổng bảo mật) được công bố bởi các tổ chức nghiên cứu các vấn đề an toàn trong các sản phẩm và công nghệ đang được sử dụng rộng rãi. Kiến thức này không mở rộng đối với các biên bản hội nghị cụ thể hoặc hoặc luận văn chi tiết của trường đại học nghiên cứu về AVA_VAN.1 hoặc AVA_VAN.2. Tuy nhiên, để đảm bảo những kiến thức được áp dụng sẽ được cập nhật thường xuyên thì người đánh giá cần phải tìm kiếm tài liệu về miền an toàn công khai.

309

TCVN xxx: 2015

Đối với thành phần từ AVA_VAN.3 đến AVA_VAN.5 thì việc tìm kiếm thông tin công bố công khai dự kiến sẽ bao gồm các biên bản hội nghị cụ thể hoặc hoặc luận văn chi tiết của các trường đại học và các tổ chức khác có liên quan.

Ví dụ việc này có thể xảy ra (cách người đánh giá có thể phải đối mặt với các điểm yếu tiềm ẩn):

a) Trong khi người đánh giá kiểm tra một vài chứng cớ, nó khuấy động bộ nhớ của một điểm yếu tiềm ẩn được xác định trong một loại sản phẩm tương tự, mà người đánh giá tin là cũng có trong TOE đang được đánh giá;

b) Trong khi kiểm tra một số chứng cứ, người đánh giá phát hiện ra một lỗ hổng trong đặc tả của một giao diện, mà nó tương ứng với một điểm yếu tiềm ẩn.

Việc này có thể gồm nhận thức thích hợp về một điểm yếu tiềm ẩn trong một TOE thông qua việc đọc ra các điểm yếu chung trong một loại sản phẩm cụ thể trong một ấn phẩm về an toàn thông tin hoặc trong một danh sách các e-mail an toàn mà người đánh giá đã đặt mua.

Các phương pháp tấn công có thể được phát triển trực tiếp từ các điểm yếu tiềm ẩn. Do đó, các điểm yếu tiềm ẩn phải đối mặt được tổng hợp tại thời điểm khởi tạo kiểm thử xâm nhập dựa trên phân tích điểm yếu của đánh giá. Không có hành động rõ ràng cho người đánh giá khi đối mặt với các điểm yếu tiềm ẩn.

Do đó, người đánh giá được hướng dẫn thông qua một hành động ngầm được quy định trong AVA_VAN.1.2E và AVA_VAN .*. 4E.

Thông tin hiện thời liên quan đến điểm yếu của miền và các cuộc tấn công có thể được một tổ chức đánh giá cung cấp cho người đánh giá. Thông tin này được người đánh giá tính đến khi kiểm tra và so sánh các điểm yếu phải đối mặt với các phương pháp tấn công khi triển khai kiểm thử xâm nhập.

B.2.2.2 Phân tích

Các loại phân tích sau đây được thể hiện theo những hành động của người đánh giá.

B.2.2.2.1 Phân tích phi cấu trúc

Phân tích phi cấu trúc được thực hiện bởi người đánh giá (đánh giá các hoạt động con (AVA_VAN.2)) cho phép người đánh giá xem xét các điểm yếu chung (như đã thảo luận trong B.2.1). Người đánh giá cũng sẽ dùng kinh nghiệm và kiến thức về các lỗ hổng bảo mật của họ trong các loại công nghệ tương tự.

B.2.2.2.2 Phân tích trọng tâm

Trong khi thực hiện các hoạt động đánh giá, người đánh giá cũng có thể xác định được các vùng liên quan. Đó là những phần chứng cớ TOE mà người đánh giá có một chút e dè, mặc dù các chứng cớ đáp ứng được các yêu cầu về các hoạt động mà các chứng cớ có liên quan. Ví dụ, một đặc tả giao diện cụ thể có vẻ phức tạp, và do đó có thể dễ xảy ra lỗi hoặc trong giai đoạn phát triển TOE hoặc trong giai đoạn hoạt động của TOE. Không có điểm yếu tiềm ẩn rõ ràng ở giai đoạn này và cần phải nghiên cứu thêm. Điều này nằm ngoài phạm vi giới hạn của các điểm yếu tiềm ần phải đối mặt, do đó cần nghiên cứu thêm.

Sự khác biệt giữa điểm yếu tiềm ẩn và vùng liên quan:

310

TCVN xxx: 2015a) Điểm yếu tiềm ẩn - Người đánh giá biết được phương pháp tấn công có thể được sử dụng để khai thác các điểm yếu hoặc người đánh giá biết được thông tin về các điểm yếu có liên quan đến TOE.

b) Vùng liên quan - Người đánh giá có thể có thể không quan tâm như đối với điểm yếu tiềm ẩn dựa trên thông tin cung cấp ở nơi khác. Trong khi đọc ra đặc tả giao diện, người đánh giá xác định rằng do sự phức tạp quá mức (không cần thiết) của một giao diện mà điểm yếu tiềm ẩn có thể nằm trong vùng đó, mặc dù nó là không rõ ràng thông qua kiểm tra ban đầu này.

Phương pháp định danh trọng tâm các điểm yếu là phân tích các chứng cớ với mục tiêu xác định mọi điểm yếu tiềm ẩn rõ ràng qua thông tin chứa đựng nó. Nó được gọi là phân tích không có cấu trúc, như một phương pháp không được xác định trước. Phương pháp định danh các điểm yếu tiềm ẩn có thể được sử dụng trong khi phân tích điểm yếu độc lập được yêu cầu bởi đánh giá hoạt động con (AVA_VAN.3).

Phân tích này có thể có được thông qua các phương pháp khác nhau, sẽ dẫn đến mức độ tin cậy tương xứng . Không một phương pháp nào có một định dạng cứng nhắc cho việc kiểm tra các chứng cớ.

Các phương pháp thực hiện được định hướng theo các kết quả đánh giá đánh giá các chứng cứ của người đánh giá để xác định nó đáp ứng được các yêu cầu của các hoạt động phụ của lớp AVA/AGD. Do đó, việc điều tra các chứng cớ về sự tồn tại của các điểm yếu tiềm ẩn có thể được hướng dẫn theo bất kỳ mục nào sau đây:

a) Vùng liên quan được xác định trong quá trình kiểm tra các chứng cớ trong khi thực hiện các hoạt động đánh giá;

b) Nhờ vào chức năng đặc biệt để phân tách, xác định khi phân tích thiết kế kiến trúc (như trong đánh giá hoạt động con (ADV_ARC.1)), đòi hỏi phải phân tích thêm để xác định nó không thể bị bỏ qua;

c) Kiểm tra các chứng cứ tiêu biểu để giả thuyết có các điểm yếu tiềm ẩn trong TOE.

Người đánh sẽ báo cáo những hành động nào được thực hiện để xác định các điểm yếu tiềm ẩn trong các chứng cớ. Tuy nhiên người đánh giá không thể mô tả các bước khi xác định các điểm yếu tiềm ẩn trước khi bắt đầu kiểm tra. Phương pháp này sẽ đưa ra một kết quả về các tác động của các hoạt động đánh giá.

Vùng liên quan có thể xuất hiện từ việc kiểm tra các chứng cớ được cung cấp để thỏa mãn các SAR quy định cho đánh giá TOE. Các thông tin công khai có thể truy cập cũng cần phải xem xét.

Các hoạt động được thực hiện bởi người đánh giá có thể được lặp đi lặp lại và đưa ra những kết luận như nhau, về mức độ đảm bảo trong TOE, có thể đạt được mặc dù các bước thực hiện để đạt được những kết luận có thể khác nhau. Mặc dù người đánh giá ghi lại dạng phân tích đã thực hiện thì các bước thực tế được thực hiện để có được những kết luận đó.

B.2.2.2.3 Phân tích có hệ thống

Phân tích có hệ thống đưa ra một dạng kiểm tra có cấu trúc các chứng cớ. Phương pháp này đòi hỏi người đánh giá phải xác định cấu trúc và dạng phân tích sẽ thực hiện (tức là cách thức mà các phân tích được thực hiện được xác định trước, không giống như phương pháp định danh tập trung). Phương pháp này được quy định theo thông tin mà sẽ được xem xét và làm thế nào/ tại sao nó được xem xét. Phương pháp định danh các điểm yếu tiềm ẩn có thể được sử dụng trong khi phân tích điểm yếu độc lập được yêu cầu bởi đánh giá hoạt động con (AVA_VAN.4) và đánh giá hoạt động con (AVA_VAN.5).

311

TCVN xxx: 2015

Phân tích các chứng cớ này là có chủ ý và có chuẩn bị trước, xem xét tất cả các chứng cớ xác định như một đầu vào trong các phân tích.

Tất cả chứng cớ được cung cấp thỏa mãn yêu cầu lớp đảm bảo (ADV) quy định trong các gói đảm bảo được sử dụng như là đầu vào cho hoạt động định danh điểm yếu tiềm ẩn.

Ký hiệu "có phương pháp" dùng cho phân tích này được sử dụng khi cố gắng có được đặc tính mà định danh các điểm yếu tiềm ẩn này là đưa ra một cách tiếp cận theo thứ tự và kế hoạch. Từ "phương pháp" hoặc "Hệ thống" được áp dụng trong việc kiểm tra. Người đánh giá sẽ mô tả phương pháp được sử dụng theo những chứng cớ sẽ được xem xét, các thông tin trong các chứng cớ sẽ được kiểm tra, cách thức những thông tin này được xem xét, và giả thuyết được tạo ra.

Dưới đây trình bày một số ví dụ mà một giả thuyết có thể đưa ra:

a) Xem xét đầu vào đối với các giao diện có sẵn cho một kẻ tấn công tại các giao diện ngoài;

b) Kiểm tra cơ chế an toàn, chẳng hạn như phân chia miền, giả thiết rằng bộ đệm tràn dẫn đến sự suy giảm việc phân chia miền;

c) Phân tích để xác định những đối tượng được tạo ra trong TOE đại diện thực hiện mà sau đó không hoàn toàn kiểm soát bởi TSF, và có thể được sử dụng bởi một kẻ tấn công để phá hoại các SFR.

Ví dụ, đánh giá có thể xác định rằng giao diện là một tiềm năng diện tích yếu kém trong TOE và xác định một cách tiếp cận để phân tích rằng "tất cả các giao diện thông số kỹ thuật được cung cấp trong các đặc tả chức năng và Thiết kế TOE sẽ được phân tích để đưa ra giả thuyết điểm yếu tiềm ẩn "và đi vào để giải thích các phương pháp sử dụng trong các giả thuyết.

Điều này xác định phương pháp sẽ cung cấp một kế hoạch tấn công của TOE, mà có thể được thực hiện bởi một người đánh giá hoàn thành kiểm thử xâm nhập của các Điểm yếu tiềm ẩn trong TOE. Các lý do cho các phương pháp của xác định sẽ cung cấp chứng cớ cho độ bao gồm và độ sâu khai thác xác định rằng sẽ được thực hiện trên TOE.

B.3 Khi nào khả năng tấn công được sử dụng

B.3.1 Người phát triển

Khả năng tấn công được sử dụng bởi tác giả PP/ST trong khi phát triển PP/ST, khi xem xét các mối đe dọa môi trường và lựa chọn các thành phần đảm bảo. Việc này có thể chỉ đơn giản là xác định xem khả năng tấn công của những kẻ tấn công giả định TOE được mô tả tổng quát là khả năng tấn công mức cơ bản, khả năng tấn công mức nâng cao-cơ bản, khả năng tấn công mức vừa phải hoặc cao. Ngoài ra, PP/ST có thể xác định mức độ cụ thể của các nhân tố được giả định là thuộc quyền sở hữu của những kẻ tấn công (ví dụ những kẻ tấn công được giả định là chuyên gia công nghệ TOE, truy cập được vào thiết bị của chuyên gia).

Tác giả PP/ST xem xét hồ sơ các mối đe dọa được phát triển trong quá trình đánh giá rủi ro (không thuộc phạm vi của TCVN 8709, nhưng được sử dụng như một đầu vào phát triển của PP/ST theo định nghĩa vấn đề an toàn hoặc trong các trường hợp của các ST đảm bảo mức thấp, công bố các yêu cầu). Việc xem xét điều hồ sơ các mối đe dọa này theo một trong các phương pháp được thảo luận trong các mục dưới đây sẽ cho phép đặc tả khả năng tấn công mà TOE chống lại được.

B.3.2 Người đánh giá

312

TCVN xxx: 2015Khả năng tấn công được xem xét đặc biệt bởi người đánh giá theo hai cách khác nhau trong khi thực hiện các hoạt động đánh giá ST và đánh giá điểm yếu.

Khả năng tấn công được người đánh giá sử dụng trong quá trình thực hiện hoạt động phụ phân tích điểm yếu để xác định xem liệu rằng TOE có hay không có khả năng chống lại các cuộc tấn công được giả định khả năng tấn công cụ thể của kẻ tấn công. Nếu người đánh giá xác định rằng một điểm yếu tiềm ẩn là có thể khai thác trong TOE, họ phải xác nhận rằng nó có thể khai thác khi xem xét tất cả các khía cạnh của môi trường dự định, kể cả khả năng tấn giả định của một kẻ tấn công.

Do đó, việc sử dụng thông tin được cung cấp trong các báo cáo về mối đe dọa đích an toàn, người đánh giá xác định được khả năng tấn công tối thiểu theo yêu cầu của một kẻ tấn công để thực hiện một cuộc tấn công, và đi đến một số kết luận về khả năng chống lại các cuộc tấn công của TOE. Bảng B.1 minh họa mối quan hệ giữa sự phân tích và khả năng tấn công này.

Thành phần điểm yếu

TOE chống lại kẻ tấn công với khả năng tấn công:

Điểm yếu còn tồn tại chỉ có thể khai thác bởi kẻ tấn công với khả

năng tấn công:

VAN.5 Mức cao Trên mức cao

VAN.4 Mức vừa phải Mức cao

VAN.3 Mức nâng cao-cơ bản Mức vừa phải

VAN.2 Mức cơ bản Mức nâng cao-cơ bản

VAN.1 Mức cơ bản Mức nâng cao-cơ bản

Bảng B.1 Kiểm thử điểm yếu và khả năng tấn công

Cụm từ "trên mức cao" trong cột điểm yếu còn tồn tại của bảng trên đặc trưng cho những điểm yếu tiềm ẩn mà đòi hỏi kẻ tấn công phải có khả năng tấn công lớn hơn "mức cao" để khai thác các điểm yếu tiềm ẩn. Một điểm yếu được phân loại là điểm yếu còn tồn tại trong trường hợp này phản ánh thực tế là một yếu được biết đến tồn tại trong TOE, nhưng trong môi trường vận hành hiện tại, với khả năng tấn công giả định, thì điểm yếu không thể khai thác được.

Ở bất kỳ khả năng tấn công mức nào, một điểm yếu tiềm ẩn có thể được cho rằng "không thể khắc phục được" nhờ biện pháp đối phó trong môi trường vận hành đã ngăn ngừa điểm yếu khỏi bị khai thác.

Phân tích điểm yếu áp dụng cho tất cả TSFI, bao gồm cả những người đó truy cập xác suất hoặc cơ chế hoán vị. Không có giả định nào đưa ra liên quan đến tính chính xác của thiết kế và việc thực hiện các TSFI, cũng không có ràng buộc về phương pháp tấn công hoặc sự ảnh hưởng của kẻ tấn công với TOE - nếu có thể có một cuộc tấn công, sau đó nó được xem xét trong khi phân tích điểm yếu. Như trình bày trong Bảng B.1, việc đánh giá thành công đối với một thành phần bảo đảm điểm yếu cho thấy TSF được thiết kế và thực hiện để chống lại mức đe dọa cần thiết.

Người đánh giá không cần thiết phải thực hiện tính toán khả năng tấn công cho từng điểm yếu tiềm ẩn. Trong một số trường hợp, điều hiển nhiên khi phát triển phương pháp tấn công liệu rằng có hay không khả năng tấn công cần thiết để phát triển và thực hiện các phương pháp tấn công là tương xứng với giả định của kẻ tấn công trong môi trường vận hành. Đối với bất kỳ điểm yếu nào mà được xác

313

TCVN xxx: 2015

định có khai thác được, người đánh giá phải thực hiện tính toán khả năng tấn công để xác định rằng việc khai thác là phù hợp với mức khả năng tấn công được giả định áp dụng cho kẻ tấn công.

Các phương pháp mô tả dưới đây được áp dụng bất cứ khi nào nó cần tính toán khả năng tấn công, trừ khi cơ quan đánh quá đưa ra hướng dẫn bắt buộc rằng phải áp dụng một phương pháp thay thế. Các giá trị cho trong bảng B.2 và B.3 dưới đây không đủ chứng cớ để chứng minh một cách chính xác. Do đó, các giá trị cho trong các bảng này cần phải điều chỉnh theo loại công nghệ và môi trường cụ thể. Người đánh giá nên xin tài liệu hướng dẫn từ các cơ quan đánh giá.

B.4 Tính toán khả năng tấn công

B.4.1 Áp dụng khả năng tấn công

Khả năng tấn công bao gồm các yếu tố về chuyên gia, nguồn tài nguyên và động cơ. Có nhiều phương pháp đại diện và định lượng các yếu tố này. Ngoài ra, có thể có các yếu tố khác được áp dụng cho các kiểu TOE đặc biệt.

B.4.1.1 Nghiên cứu động cơ tấn công

Động cơ là một yếu tố khả năng tấn công mà có thể được sử dụng để mô tả một vài khía cạnh liên quan đến kẻ tấn công và các tài sản mà kẻ tấn công mong muốn. Thứ nhất, động cơ có thể ngụ ý rằng có khả năng xảy ra một cuộc tấn công - có thể suy ra từ một mối đe dọa được mô tả là có động cơ cao rằng một cuộc tấn công sắp xảy ra, hoặc không có cuộc tấn công được dự đoán từ một mối đe dọa có động cơ. Tuy nhiên, ngoại trừ hai mức động cơ, rất khó biết được khả năng xảy ra một cuộc tấn công xuất hiện từ động cơ.

Thứ hai, động cơ có thể ngụ ý rằng giá trị tài sản, tiền bạc hoặc cái gì khác, cho kẻ tấn công hoặc người giữ tài sản. Tài sản có giá trị cao có nhiều khả năng để thúc đẩy một cuộc tấn công hơn so với tài sản ít giá trị. Tuy nhiên, nói một cách rất chung, khó có thể liên hệ giá trị tài sản với động cơ tấn công vì giá trị tài sản dựa trên quan điểm cá nhân - nó phụ thuộc phần lớn vào giá trị mà người giữ tài sản đặt vào nó.

Thứ ba, động cơ có thể bao hàm kiến thức chuyên môn và nguồn tài nguyên mà một kẻ tấn công sẵn sàng thực một cuộc tấn công.

Người ta có thể suy ra rằng kẻ tấn công có động cơ cao có khả năng có được đầy đủ kiến thức chuyên môn và nguồn tài nguyên để đánh bại các biện pháp bảo vệ tài sản. Ngược lại, có thể suy ra rằng một kẻ tấn công có kiến chức chuyên môn và nguồn tài nguyên đáng kể không sẵn sàng thực hiện một cuộc tấn công bằng cách sử dụng chúng nếu động cơ của kẻ tấn công là thấp.

Trong quá trình chuẩn bị và thực hiện đánh giá, cả ba khía cạnh của động cơ có một vài điểm cần xem xét. Khía cạnh thứ nhất, có khả năng xảy ra một cuộc tấn công, là những gì có thể thôi thúc người phát triển tiếp tục đánh giá. Nếu người phát triển tin rằng những kẻ tấn công có đủ động cơ để thực hiện một cuộc tấn công, thì việc đánh giá có thể đem đến sự đảm bảo về các khả năng của TOE để cản trở nỗ lực của kẻ tấn công. Nếu môi trường vận hành được xác định rõ ràng, ví dụ như khi đánh giá hệ thống, mức động cơ tấn công có thể được biết đến, và sẽ ảnh hưởng đến việc lựa chọn biện pháp đối phó.

Xem xét khía cạnh thứ hai, người giữ tài sản có thể tin rằng các giá trị tài sản (tuy nhiên đo được) đủ để tạo động cơ tấn công. Một khi việc đánh giá được xem là cần thiết thì động cơ của những kẻ tấn công cần được cân nhắc kỹ khi xác định các phương pháp tấn công, cũng như sử dụng kiến thức chuyên môn và các nguồn tài nguyên trong các cuộc tấn công này. Một khi đã kiểm tra, người phát 314

TCVN xxx: 2015triển có thể chọn mức đảm bảo phù hợp, đặc biệt là các thành phần yêu cầu AVA , phù hợp với các khả năng tấn công các mối đe dọa. Trong quá trình đánh giá, và cụ thể là kết quả hoàn thành hoạt động đánh giá điểm yếu, người đánh giá xác định xem liệu rằng TOE có hay không hoạt động trong môi trường vận hành của nó là đủ để ngăn chặn những kẻ tấn công có kiến thức chuyên môn và tài nguyên xác định.

Tác giả PP có thể xác định được động cơ của một kẻ tấn công, vì tác giả PP có nhiều kiến thức hơn về môi trường vận hành mà trong đó TOE (phù hợp với các yêu cầu của PP) hoạt động trong đó. Do đó, động cơ có thể là một phần diễn tả không rõ ràng khả năng tấn công trong PP, cùng với các phương pháp và biện pháp cần thiết để xác định động cơ.

B.4.2 Đặc tính hoá khả năng tấn công

Phần này kiểm tra các yếu tố để xác định khả năng tấn công, và cung cấp một số hướng dẫn để giúp loại bỏ một số các chủ thể từ khía cạnh này của quá trình đánh giá.

B.4.2.1 Xác định khả năng tấn công

Việc xác định khả năng tấn công cho một cuộc tấn công tương tự việc xác định nỗ lực cần thiết để tạo ra cuộc tấn công, và để chứng minh rằng nó có thể được áp dụng thành công đối với TOE (bao gồm thiết lập lên hoặc xây dựng bất kỳ thiết bị kiểm thử cần thiết nào ), từ đó khai thác các điểm yếu trong TOE. Việc chứng minh rằng các cuộc tấn công có thể được áp dụng thành công thì cần phải xem xét mọi khó khăn trong việc mở rộng kết quả được trình bày trong các phòng thí nghiệm để tạo ra một cuộc tấn công hữu ích.

Ví dụ, nếu một thí nghiệm cho thấy một số bit hoặc byte của dữ liệu mật (chẳng hạn như một key) thì cần thiết phải xem xét làm thế nào để có được các phần còn lại của dữ liệu (ở ví dụ này một số bit có thể đo được trực tiếp bằng cách thực hiện thêm các thí nghiệm, trong khi một số bit khác có thể được tìm thấy bằng kỹ thuật khác như tìm kiếm). Không cần thiết phải hiện tất cả các thí nghiệm để xác định đầy đủ các cuộc tấn công, miễn là phải đảm bảo rằng cuộc tấn công thực sự chứng minh được rằng việc truy cập đến tài sản TOE đã thực hiện được, và chứng minh được rằng cuộc tấn công hoàn thành có thể được thực hiện trong khi khai thác theo thành phần AVA_VAN. Trong một số trường hợp, cách duy nhất để chứng minh rằng một cuộc tấn công có thể được thực hiện khi khai thác theo thành phần AVA_VAN là để thực hiện hoàn toàn các cuộc tấn công và sau đó đánh giá nó dựa trên các nguồn tài nguyên thực sự cần thiết. Một trong những kết quả đầu ra của định danh điểm yếu tiềm ẩn được giả định là một kịch bản mà đưa ra mô tả từng bước về cách thực hiện tấn công có thể được sử dụng trong khi khai thác các điểm yếu trên một ví dụ khác của TOE.

Trong nhiều trường hợp, tốt hơn là người đánh giá nên đánh giá các tham số khai thác hơn là thực hiện khai thác đầy đủ. Những đánh giá và cách phân tích của họ sẽ được ghi lại trong ETR.

B.4.2.2 Các yếu tố cần được xem xét khi phân tích khả năng tấn công

Các yếu tố sau đây cần được xem xét khi phân tích khả năng tấn công khai thác điểm yếu:

a) Thời gian xác định và khai thác (Thời gian trôi qua);

b) Chuyên gia chuyên môn kỹ thuật cần thiết (Chuyên gia kỹ thuật);

c) Kiến thức về thiết kế và hoạt động TOE (Kiến thức về TOE);

d) Cửa sổ cơ hội ;

e) Phần cứng/phần mềm CNTT hoặc các thiết bị khác cần thiết để khai thác.

315

TCVN xxx: 2015

Trong nhiều trường hợp, những yếu tố không phụ thuộc lẫn nhau nhưng có thể thay thế cho nhau ở các mức độ khác nhau. Ví dụ, chuyên môn hoặc phần cứng/phần mềm có thể thay thế cho thời gian. Dưới đây sẽ thảo luận về các yếu tố này. Khi đó trường hợp, việc kết hợp ít "tốn kém" được xem xét trong giai đoạn khai thác .

Thời gian trôi qua là tổng số thời gian một kẻ tấn công thực hiện để xác định một điểm yếu tiềm ẩn có thể tồn tại trong TOE, để triển khai một phương pháp tấn công nhằm duy trì nỗ lực cần thiết để bố trí tấn công chống lại TOE. Khi xem xét yếu tố này, phải sử dụng kịch bản đối với trường hợp tồi tệ nhất để ước lượng khoản thời gian cần thiết. Khoảng thời gian được xác định như sau:

a) Ít hơn một ngày;

b) Khoảng từ một ngày đến một tuần;

c) Khoảng từ một tuần đến hai tuần;

d) Khoảng từ hai tuần đến một tháng;

e) Một tháng đến 6 tháng;

f) Trên 6 tháng.

Chuyên gia kỹ thuật đề cập đến mức độ am hiểu chung về nguyên tắc cơ bản, loại sản phẩm hay phương pháp tấn công (ví dụ như giao thức Internet, hệ điều hành Unix, tràn bộ đệm). Mức độ am hiểu biết xác định như sau:

a) Người không có chuyên môn không am hiểu bằng các chuyên gia hoặc những người thành thạo, không có chuyên môn đặc biệt.

b) Người thành thạo có am hiểu bởi vì họ đã quen thuộc với hành xử an toàn của các sản phẩm hoặc hệ thống.

c) Các chuyên gia quen với các thuật toán cơ bản, các giao thức, phần cứng, các cấu trúc, hành xử an toàn, các nguyên tắc và các khái niệm về an toàn khi làm việc, các kỹ thuật và các công cụ để xác định các cuộc tấn công mới, mật mã, các cuộc tấn công cổ điển với từng kiểu sản phẩm, các phương pháp tấn công… được thực hiện trong các sản phẩm hoặc kiểu hệ thống.

d) Mức "chuyên gia có nhiều am hiểu" được đưa ra đối với tình huống khi mà các lĩnh vực chuyên môn khác nhau được yêu cầu mức độ thành thạo đối với các bước riêng biệt của một cuộc tấn công.

Có thể xuất hiện một vài kiểu chuyên môn được yêu cầu. Theo mặc định, mức cao hơn của các ý kiến chuyên gia khác nhau sẽ được chọn. Trong các trường hợp cụ thể, cấp độ "chuyên gia có nhiều am hiểu" có thể được sử dụng nhưng phải lưu ý rằng ý kiến chuyên môn phải liên quan đến các lĩnh vực mà khác nhau ví dụ thao tác HW và mật mã.

Kiến thức về TOE đề cập đến ý kiến chuyên môn cụ thể liên quan đến TOE. Điều này khác với ý kiến chuyên môn chung, nhưng không phải không có liên quan đến nó. Các mức thông tin về TOE xác định như sau:

a) Thông tin công khai liên quan đến TOE (ví dụ như lấy từ Internet);

b) Thông tin hạn chế liên quan đến TOE (ví dụ như kiến thức được kiểm soát trong tổ chức của người phát triển và chỉ được chia sẻ với các tổ chức khác theo một thỏa thuận bí mật);

316

TCVN xxx: 2015c) Thông tin nhạy cảm về TOE (ví dụ như kiến thức được chia sẻ giữa các nhóm bí mật trong tổ chức của người phát triển, chỉ những thành viên của các nhóm được chỉ định mới có thể được phép truy cập vào);

d) Thông tin quan trọng về TOE (ví dụ như kiến thức mà chỉ có một vài cá nhân mới được phép biết đến, việc truy cập được kiểm soát rất chặt chẽ với một yêu cầu nghiêm ngặt để biết cơ sở và nhiệm vụ cá nhân).

Các kiến thức về TOE có thể phân chia theo mức độ trừu tượng thiết kế, mặc dù điều này có thể chỉ được thực hiện trên một TOE cơ sở. Một số thiết kế TOE có thể là nguồn chung (hoặc chủ yếu dựa vào nguồn tài nguyên chung) và do đó, thậm chí các đại diện thiết kế sẽ được phân loại là chung hay bị hạn chế, trong khi đại diện thực thi cho TOE được kiểm soát rất chặt chẽ vì nó sẽ cung cấp thông tin cho kẻ tấn công và do đó được xem là nhạy cảm hoặc thậm chí quan trọng.

Có xuất hiện một số loại kiến thức được yêu cầu. Trong trường hợp này, mức cao hơn của các yếu tố kiến thức khác nhau sẽ được chọn.

Cửa sổ của cơ hội (Cơ hội) cũng là một yếu tố quan trọng, và quan hệ với yếu tố Thời gian trôi qua. Việc định danh hoặc khai thác điểm yếu có thể yêu cầu một số lượng đáng kể các truy cập vào TOE mà có thể làm tăng khả năng phát hiện. Một số phương pháp tấn công có thể yêu cầu đáng kể nỗ lực hoạt động ngoại tuyến, và chỉ được truy cập ngắn gọn vào TOE để khai thác. Việc truy cập cũng cần phải liên tục, hoặc trong một số phiên.

Đối với một số TOE, cửa sổ của cơ hội có tương đương với số mẫu của TOE mà kẻ tấn công có thể có được. Điều này liên quan đặc biệt khi cố gắng xâm nhập vào TOE và làm suy yếu SFR có thể dẫn đến sự phá hủy TOE ngăn chặn việc sử dụng mẫu TOE đó kiểm thử thêm nữa, ví dụ: các thiết bị phần cứng. Thông thường những trường hợp này việc phân phối TOE được kiểm soát và như vậy kẻ tấn công phải nỗ lực để có được mẫu tiếp theo của TOE.

Đối với mục đích của thảo luận này:

a) Truy cập quá mức/ không giới hạn có nghĩa rằng các cuộc tấn công không cần bất kỳ cơ hội nào để được thực hiện vì ở không có nguy cơ bị phát hiện trong khi truy cập vào TOE và không khó khăn để truy cập vào số các mẫu TOE để thực hiện các cuộc tấn công;

b) Truy cập dễ dàng có nghĩa là truy cập được quy định ít hơn một ngày và số các mẫu TOE qui định để thực hiện các cuộc tấn công nhỏ hơn mười.

c) Truy cập vừa phải có nghĩa là truy cập được quy định ít hơn một tháng và số các mẫu TOE qui định để thực hiện các cuộc tấn công nhỏ hơn một trăm;

d) Truy cập khó khăn có nghĩa là truy cập được quy định ít nhất là một tháng hoặc số các mẫu TOE qui định để thực hiện các cuộc tấn công ít nhất là một trăm;

e) Không có truy cập nghĩa rằng cửa sổ cơ hội không đủ để thực hiện các cuộc tấn công (thời gian mà tài sản được khai thác có sẵn hoặc kém nhạy cảm hơn thời gian cần thiết để thực hiện tấn công - ví dụ, các key phải được thay đổi mỗi tuần và các cuộc tấn công cần hai tuần); trường hợp khác là, có đủ số lượng mẫu TOE cần thiết để thực hiện các cuộc tấn công là không thể sử dụng được cho các kẻ tấn công - ví dụ nếu TOE là phần cứng và có khả năng phá hủy TOE trong khi tấn công thay vì thành công là rất cao và kẻ tấn công có chỉ có thể truy cập vào một mẫu của TOE.

Việc xem xét này yếu tố có thể xác định rằng không thể hoàn thành việc khai thác, do yêu cầu về thời gian sẵn có hiệu lực lớn hơn thời gian thích hợp để khai thác.

317

TCVN xxx: 2015

Phần cứng/ phần mềm CNTT hoặc các thiết bị khác liên quan đến các thiết bị được qui định để xác định hoặc khai thác một điểm yếu.

a) Thiết bị chuẩn có thể dùng cho kẻ tấn công, hoặc cho việc định danh một điểm yếu hoặc cho một cuộc tấn công. Thiết bị này có thể là một phần của chính TOE (ví dụ như chương trình gỡ rối trong hệ điều hành), hoặc có thể dễ dàng có được (ví dụ như tải từ Internet, bộ phân tích giao thức hoặc các tập lệnh tấn công đơn giản).

b) Thiết bị chuyên dụng không dễ dàng dùng cho kẻ tấn công, nhưng có thể có được mà không cần nỗ lực quá mức. Tức là có thể mua một lượng vừa phải các thiết bị (ví dụ như dụng cụ phân tích nguồn, sử dụng hàng trăm máy tính kết nối Internet sẽ thuộc loại này), hoặc phát triển nhiều chương trình hoặc các tập lệnh tấn công hơn. Nếu các kiểm thử khác nhau rõ ràng, thì các thiết bị chuyên dụng được qui định dùng cho các bước tấn công phân biệt sẽ được coi như là thiết bị bespoke.

c) Thiết bị bespoke không dùng cho các nơi công cộng vì nó có thể cần phải được chế tạo một cách đặc biệt (ví dụ: phần mềm rất phức tạp), hoặc do các thiết bị quá chuyên dụng mà việc phân phối nó phải được kiểm soát, thậm chí còn bị hạn chế. Hơn nữa, các thiết bị này rất đắt.

d) Mức "nhiều thiết bị Bespoke " được đưa ra đối với tình huống mà các loại thiết bị bespoke khác nhau được qui định cho các bước tấn công riêng biệt.

Trình độ chuyên môn của chuyên gia và kiến thức về TOE có liên quan với các thông tin cần thiết cho những người có thể tấn công TOE. Có một mối quan hệ ngầm giữa trình độ chuyên môn của một kẻ tấn công (trong đó kẻ tấn công có thể có một hoặc nhiều người có nhiều phạm vi hiểu biết bổ sung cho nhau) và khả năng sử dụng hiệu quả thiết bị trong một cuộc tấn công. Trình độ chuyên môn của kẻ tấn công càng yếu, khả năng sử dụng thiết bị càng thấp (phần cứng/ phần mềm CNTT hay thiết bị khác). Tương tự như vậy, trình độ chuyên môn càng cao, khả năng sử dụng thiết bị trong tấn công càng cao. Mặc dù là quan hệ ngầm nhưng mối quan hệ giữa trình độ chuyên môn và việc sử dụng của thiết bị thường không được để ý, ví dụ, khi các biện pháp môi trường ngăn cản việc sử dụng thiết bị của kẻ tấn công thành thạo, hoặc khi nhờ những nỗ lực của người khác, dụng cụ tấn công đòi hỏi phải có ít chuyên môn để sử dụng có hiệu quả (ví dụ như thông qua Internet).

B.4.2.3 Tính toán khả năng tấn công

Bảng B.2 xác định các yếu tố được thảo luận trong các phần trước và liên kết giá trị số với giá trị tổng của từng yếu tố.

Nếu một yếu tố nằm gần giới hạn qui định thì người đánh giá nên sử dụng một giá trị trung bình trong số các giá trị trong bảng này. Ví dụ, nếu hai mươi mẫu được qui định để thực hiện các cuộc tấn công thì giá trị giữa một và bốn được lựa cho yếu tố đó, hoặc nếu thiết kế được dựa trên một thiết kế công khai có sẵn nhưng người phát triển đã thực hiện một số thay đổi thì giá trị giữa số không và ba được lựa chọn theo quan điểm của người đánh giá về tác động của những thay đổi thiết kế. Bảng này được dùng như một hướng dẫn.

Ký hiệu "**" trong bảng này cho rằng cửa sổ của cơ hội không được coi là một sự phát triển tự nhiên dựa theo khung thời gian quy định trong các giới hạn cho trước được kết với yếu tố này. Ký hiệu này xác định rằng với một lý do cụ thể thì điểm yếu tiềm ẩn không thể được khai thác trong TOE trong môi trường vận hành dự kiến của nó. Ví dụ, việc truy cập vào TOE có thể được phát hiện sau khi một khoảng thời gian cụ thể trong TOE với môi trường đã biết (tức là trong trường hợp của một hệ thống) nếu các hành động kiểm tra thường xuyên đã hoàn tất, và kẻ tấn công không thể truy cập vào TOE trong vòng hai tuần qui định không bị phát hiện. Tuy nhiên, điều này không thể áp dụng đối

318

TCVN xxx: 2015với TOE mà kết nối mạng nếu có thể truy cập từ xa, hoặc trong trường hợp môi trường vật lý của TOE không được biết đến.

Yếu tố Giá trị

Thời gian trôi qua

≤ một ngày 0

≤ một tuần 1

≤ hai tuần 2

≤ một tháng 4

≤ hai tháng 7

≤ ba tháng 10

≤ bốn tháng 13

≤ năm tháng 15

≤ sáu tháng 17

> sáu tháng 19

Trình độ chuyên môn

Người không có chuyên môn 0

Người thành thạo 3 *(1)

Chuyên gia 6

Nhiều chuyên gia 8

Kiến thức về TOE

Thông tin công khai liên quan đến TOE 0

Thông tin hạn chế liên quan đến TOE 3

Thông tin nhạy cảm về TOE 7

Thông tin quan trọng về TOE 11

Cửa sổ cơ hội

Truy cập quá mức/ không giới hạn 0

Truy cập dễ dàng 1

319

TCVN xxx: 2015

Truy cập vừa phải 4

Truy cập khó khăn 10

Không có truy cập **(2)

Thiết bị

Thiết bị chuẩn 0

Thiết bị chuyên dụng 4(3)

Thiết bị bespoke 7

Nhiều bespoke 9

(1) Khi một vài người thành thạo được yêu cầu để hoàn thành hướng tấn công, mức độ chuyên môn yêu cầu phải là "Thành thạo" (tức là mức độ 3).

(2) Cho thấy rằng hướng tấn công không thể khai thác do có các biện pháp khác trong môi trường vận hành dự kiến của TOE.

(3) Nếu các kiểm thử khác nhau rõ ràng có bao gồm các thiết bị chuyên dụng được yêu cầu cho các bước tấn công riêng biệt, thiết bị này được coi là thiết bị bespoke.

Bảng B.2: Tính toán khả năng tấn công

Để xác định khả năng chống lại của TOE đối với các điểm yếu tiềm ẩn xác định, thực hiện các bước sau:

a) Vạch rõ các kịch bản tấn công {AS1, AS2, ..., ASN} cho TOE trong môi trường vận hành.

b) Đối với từng kịch bản tấn công, thực hiện phân tích lý thuyết và tính toán khả năng tấn công liên quan sử dụng Bảng B.2.

c) Đối với từng kịch bản tấn công, nếu cần thiết, thực hiện kiểm thử xâm nhập để xác nhận hoặc bác bỏ những phân tích lý thuyết.

d) Chia các kịch bản tấn công {AS1, AS2, ..., ASN} thành hai nhóm:

1) Các kịch bản tấn công đã thành công (tức là những kịch bản đã được sử dụng để làm suy yếu các SFR), và

2) Các kịch bản tấn công được chứng minh là không thành công.

e) Đối với mỗi kịch bản tấn công thành công, áp dụng Bảng B.3 và xác định xem liệu có một sự mâu thuẫn giữa sự chống lại của TOE và các thành phần đảm bảo AVA_VAN đã chọn hay không, xem cột cuối cùng của Bảng B.3.

f) Nếu có mâu thuẫn thì việc người đánh giá điểm yếu sẽ thất bại, ví dụ tác giả ST chọn thành phần AVA_VAN.5 và một kịch bản tấn công với khả năng tấn công là 21 điểm (mức cao) đã làm mất sự an toàn của TOE. Trong trường hợp này TOE có khả năng chống lại kẻ tấn công có khả năng tấn công 'mức vừa', điều này mâu thuẫn với AVA_VAN.5, do đó, đánh giá điểm yếu bị tất bị.

320

TCVN xxx: 2015Cột "giá trị" của Bảng B.3 chỉ ra một loạt các giá trị về khả năng tấn công (tính theo Bảng B.2) của một kịch bản tấn công mà dẫn đến các SFR bị suy yếu dần.

Giá trị Khả năng tấn công được qui định để khai thác kịch bản

tấn công:

Khả năng TOE chống lại kẻ tấn công với khả năng tấn công:

Thỏa mãn các thành phần đảm

bảo:

Sự thiếu khả năng của các thành phần:

0-9 Mức cơ bản Không đánh giá - AVA_VAN.1,

AVA_VAN.2,

AVA_VAN.3,

AVA_VAN.4,

AVA_VAN.5

10-13 Mức nâng cao-cơ bản

Mức cơ bản AVA_VAN.1,

AVA_VAN.2

AVA_VAN.3,

AVA_VAN.4,

AVA_VAN.5

14-19 Mức vừa phải Mức nâng cao-cơ bản

AVA_VAN.1,

AVA_VAN.2,

AVA_VAN.3

AVA_VAN.4,

AVA_VAN.5

20-24 Mức cao Mức vừa phải AVA_VAN.1,

AVA_VAN.2,

AVA_VAN.3,

AVA_VAN.4

AVA_VAN.5

≥ 25 Trên mức cao Mức cao AVA_VAN.1,

AVA_VAN.2,

AVA_VAN.3,

AVA_VAN.4,

AVA_VAN.5

-

Bảng B.3: Phân loại điểm yếu và khả năng chống lại của TOE

Phương pháp tiếp cận này không thể tính được cho từng trường hợp hoặc từng yếu tố, cần đưa ra chỉ dẫn tốt hơn về mức khả năng chống lại cuộc tấn công được qui định để đạt được những phân loại chuẩn.

321

TCVN xxx: 2015

Cần chú ý rằng trong khi một số các điểm yếu đánh giá riêng biệt có thể cho thấy khả năng tấn công cao, việc kết hợp của các điểm yếu có thể cho thấy có thể áp rating thấp hơn. Sự xuất hiện của một điểm yếu có thể làm điểm yếu khác dễ dàng khai thác hơn.

Nếu tác giả PP/ ST muốn sử dụng bảng khả năng tấn công để xác định mức độ tấn công mà TOE sẽ chống lại (lựa chọn thành phần(AVA_VAN) phân tích điểm yếu), họ sẽ tiến hành như sau:

Đối với tất cả các kịch bản tấn công khác nhau (tức là dùng cho tất cả các loại kẻ tấn công khác nhau và/hoặc các loại tấn công khác nhau mà tác giả PP/ ST phải biết) mà phải không vi phạm các SFR, một số yếu tố trong bảng B.2 phải được thực hiện để xác định các giá trị khác nhau về khả năng tấn công được giả định cho từng lịch bản tấn công không thành công. Sau đó tác giả PP/ ST chọn giá trị cao nhất để xác định mức khả năng TOE chống lại kẻ tấn công được qui định trong Bảng B.3: khả năng chống lại của TOE ít nhất phải bằng giá trị cao nhất này đã được xác định. Ví dụ, giá trị cao nhất tiềm của khả năng tấn công của tất cả các kịch bản tấn công, mà phải không làm suy yếu chính sách an toàn TOE, được xác định là mức vừa phải; Vì thế, khả năng chống lại của TOE ít nhất phải ở mức vừa phải (tức là mức vừa phải hoặc cao); Do đó, tác giả PP/ ST có thể chọn hoặc thành phần AVA_VAN.4 (đối với mức vừa phải) hoặc thành phần AVA_VAN.5 (đối với mức cao) làm các thành phần bảo đảm phù hợp .

B.5 Ví dụ tính toán tấn công trực tiếp

Các cơ chế tấn công trực tiếp đặc biệt quan trọng đối với an toàn hệ thống và người phát triển phải thường xuyên củng cố những cơ chế này. Ví dụ, một TOE có thể sử dụng cơ chế xác thực số pass đơn giản có thể bị đánh bại bởi kẻ tấn công - người mà có cơ hội đoán được số pass của người dùng khác. Hệ thống có thể làm cơ chế này trở nên vững chắc bằng cách hạn chế các số pass và việc sử dụng của họ trong các cách khác nhau. Trong quá trình đánh giá và phân tích tấn công trực tiếp này có thể tiến hành như sau:

Thông tin thu thập được từ ST và chứng cớ thiết kế cho thấy rằng việc định danh và xác thực cung cấp cơ sở để kiểm soát quyền truy cập vào tài nguyên mạng từ thiết bị đầu cuối được phân phối rộng rãi. Truy cập vật lý vào các thiết bị đầu cuối không được kiểm soát bởi bất kỳ phương tiện thích hợp nào. Khoảng thời gian truy cập vào một thiết bị đầu cuối không được kiểm soát bởi bất kỳ hiệu phương tiện nào. Người dùng có thẩm quyền của hệ thống chọn các số pass riêng của họ khi lúc đầu người dùng có thẩm quyền sử dụng hệ thống, và sau đó theo yêu cầu của người dùng. Hệ thống đặt ra những hạn chế dưới đây về các số pass được người dùng lựa chọn:

a) Số pass phải có ít nhất bốn số và dài hơn sáu chữ số;

b) Không được phép dùng các số liên tiếp (ví dụ như 7,6,5,4,3);

c) Không được phép lặp lại các chữ số (mỗi chữ số phải là duy nhất).

Hướng dẫn người sử dụng khi lựa chọn số pass nên chọn các số càng ngẫu nhiên càng tốt và các số này không được liên quan đến những người sử - chẳng hạn như ngày sinh.

Khoảng trống số pass được tính như sau:

a) Mô hình sử dụng nhân lực cần được lưu ý đặc biệt vì có thể ảnh hưởng đến các phương pháp tìm kiếm mật khẩu trống. Giả sử đối với kịch bản xấu nhất và người sử dụng lựa chọn một số chỉ bao gồm bốn chữ số, số lần hoán vị số pass giả định rằng mỗi chữ số phải là duy nhất là:

7(8)(9)(10) = 5040

322

TCVN xxx: 2015b) Số các chuỗi số liên tiếp có thể là bảy vì số các chuỗi giảm. Khoảng trống số pass không được

phép dùng các chuỗi số liên tiếp là:5040-14=5026

Dựa vào thông tin thu được từ những chứng cớ thiết kế, cơ chế số pass được thiết kế với tính năng khóa thiết bị đầu cuối. Khi xác thực lần thứ 6 bị thất bại thiết bị đầu cuối sẽ bị khóa trong vòng một giờ. Việc đếm số lần xác thực bị thất bại sẽ reset sau 5 phút vì thế kẻ tấn công có thể phải cố gắng hết sức để cứ 5 phút phải nhập 5 số pass, hoặc mỗi giờ phải nhập 60 số pass .

Trung bình, một kẻ tấn công sẽ phải nhập 2513 số pass, trên 2513 phút, trước khi nhập số pass chính xác. Kết quả là, cuộc tấn công trung bình sẽ xuất hiện ít hơn:

2513min

65minh

≈42h

Sử dụng phương pháp để tính toán khả năng tấn công được mô tả trong các phần trước, cho thấy rằng một người không có chuyên môn có thể đánh bại các cơ chế trong vòng vài ngày (truy cập dễ dàng vào TOE), với việc sử dụng các thiết bị chuẩn và không có kiến thức về TOE, cho giá trị là 1. Với kết quả tổng 1, khả năng tấn công được qui định để thực hiện một cuộc tấn công thành công không được đánh giá vì nó nằm dưới mức được coi là cơ bản.

323

TCVN xxx: 2015

THƯ MỤC TÀI LIỆU THAM KHẢO

[1.]. ISO/IEC 18045: 2008 “Information Technology – Security Techniques – Methodology for IT Evaluation – Part 1”

324

1 Phạm vi áp dụngmic.gov.vn/Upload/Store/tintuc/vietnam/3/Du-thao-TCVN-He... · Web...

Documents

Transcript of 1 Phạm vi áp dụngmic.gov.vn/Upload/Store/tintuc/vietnam/3/Du-thao-TCVN-He... · Web...