4.3.1
Requisiti
I CC definiscono un insieme comune di potenziali requisiti di sicurezza da utilizzare nella valutazione. L'acronimo TOE (Target Of Evaluation, o obiettivo della valutazione) si riferisce a quella parte di applicazione o sistema oggetto di valutazione. I requisiti si raggruppano in due categorie.
• Requisiti funzionali: definiscono il comportamento di sicurezza desiderato. La
documentazione stabilisce un insieme di componenti che forniscono una modalità standardizzata per esprimere i requisiti funzionali di sicurezza di un TOE.
• Requisiti di garanzia: gli elementi di base per garantire che le misure di sicurezza
impostate siano efficaci e correttamente implementate. La documentazione stabilisce un insieme di componenti per esprimere in forma standardizzata i requisiti di garanzia relativi a un TOE.
Sia i requisiti funzionali sia i requisiti di garanzia sono organizzati in classi. Una classe è un insieme di requisiti che condividono il medesimo obiettivo o intenzione. Le Tabelle 3.3 e 3.4 definiscono sinteticamente le classi dei requisiti funzionali e di garanzia. Ciascuna di queste classi contiene un insieme di famiglie. I requisiti in ciascuna famiglia condividono gli obiettivi di sicurezza ma differiscono nell'enfasi o nel rigore. Per esempio la classe audit contiene sei famiglie relative a vari aspetti di auditing (tra le quali la generazione dei dati di audit, l'analisi di audit e la memorizzazione degli eventi di audit). Ciascuna famiglia, a sua volta, contiene una o più componenti. Una componente descrive un insieme specifico di requisiti di sicurezza e costituisce il più piccolo insieme selezionabile per far parte delle strutture definite nei CC.
Tabella 3.3 Requisiti funzionali di sicurezza CC.
Classe Descrizione Audit
Riguarda il riconoscimento, la registrazione, la memorizzazione e l'analisi delle informazioni relative alle attività di sicurezza. Queste attività generano i record di audit, che possono essere esaminati per determinarne l'impatto sulla sicurezza.
Supporto crittografico
Utilizzata nel caso in cui il TOE implementa funzioni di crittografia. Queste possono essere impiegate, per esempio, per supportare la comunicazione, l'identificazione e autenticazione, o la separazione dei dati.
Comunicazioni
Fornisce due famiglie relative alla non-ripudiazione da parte del mittente e del destinatario dei dati.
Protezione dei dati utente
Specifica i requisiti relativi alla protezione dei dati utente nel TOE durante l'importazione, l'esportazione e la memorizzazione, oltre agli attributi di sicurezza relativi ai dati utente.
Identificazione e
autenticazione Garantisce l'identificazione non ambigua degli utenti autorizzati e la corretta associazione degli attributi di sicurezza agli utenti e ai soggetti.
Gestione della sicurezza Specifica la gestione degli attributi, dei dati e delle funzioni di sicurezza.
Privacy Garantisce all'utente la protezione dalla rilevazione e dall'utilizzo improprio della propria identità da parte di altri utenti.
Protezione delle funzioni
di sicurezza del TOE Riguarda la protezione dei dati relativi alle funzioni di sicurezza del TOE (TSF), anziché dei dati utente. La classe concerne l'integrità e la gestione dei meccanismi e dati TSF. Utilizzazione delle risorse Riguarda la disponibilità delle risorse richieste, quali le capacità di elaborazione e di
allocazione delle risorse.
Accesso al TOE Specifica i requisiti funzionali, oltre a quelli specificati per l'identificazione e l'autenticazione, per controllare l'apertura di una sessione utente. I requisiti di accesso al TOE determinano per esempio i limiti nel numero e nella portata delle sessioni utente, riportando informazioni storiche relative agli accessi e alle modifiche dei parametri di accesso.
Canali/percorsi fidati Riguarda i percorsi di comunicazione fidati fra gli utenti e TSF, e fra TSF.
Tabella 3.4 Requisiti di garanzia di sicurezza CC.
Classe Descrizione Gestione della
configurazione
Richiede la protezione adeguata dell'integrità del TOE. Più in particola re, la gestione della configurazione garantisce che il TOE e la documentazione utilizzata per la valutazione siano quelle preparate per la distribuzione.
Consegna e impiego operativo
Riguarda le misure, procedure e standard per la sicurezza delle fasi di consegna, installazione e uso operativo del TOE. Ha lo scopo di garantire che la protezione di sicurezza offerta dal TOE non venga compromessa durante queste fasi.
Sviluppo Concerne il raffinamento delle TFS dalle specifiche definite negli ST all'implementazione, oltre al mapping dai requisiti di sicurezza al più basso livello di rappresentazione.
Documenti di supporto Riguarda l'impiego operativo sicuro del TOE da parte di utenti e amministratori. Supporto al ciclo di
sviluppo
Inerente al ciclo di vita del TOE, comprende definizione, strumenti e tecniche del ciclo di vita, sicurezza dell'ambiente di sviluppo e correzione degli errori identificati dagli utenti.
Verifiche Riguarda la dimostrazione che il TOE soddisfa i propri requisiti funzionali. Le famiglie di questa classe sono attinenti all'ampiezza e alla profondità delle verifiche dello sviluppatore e ai requisiti per le verifiche Indipendenti.
Valutazione della
vulnerabilità Definisce i requisiti per l'identificazione di eventuali lacune di sicurezza che potrebbero essere introdotte per costruzione, impiego, utilizzo improprio o configurazione scorretta del TOE. Le famiglie di questa classe sono attinenti all'identificazione delle vulnerabilità tramite analisi di canale nascosto, analisi della configurazione del TOE, esame della robustezza dei meccanismi delle funzioni di sicurezza e identificazione degli errori introdotti nella fase di sviluppo del TOE. La seconda famiglia riguarda la classificazione della sicurezza delle componenti del TOE. La terza e la quarta famiglia riguardano l'analisi dell'impatto delle modifiche sulla sicurezza e la certificazione di conformità alle procedure. Questa classe fornisce gli elementi di base per stabilire gli schemi di mantenimento delle garanzie di sicurezza.
Mantenimento delle Garanzie di sicurezza
Fornisce i requisiti che si devono applicare dopo che il TOE è stato certificato rispetto ai CC. Questi requisiti hanno lo scopo di garantire che il TOE continuerà a soddisfare i propri obiettivi di sicurezza, nonostante le modifiche al TOE stesso o al suo ambiente.
Per esempio, la classe di requisiti funzionali per il supporto crittografico comprende due famiglie: gestione della chiave di crittografia ed elaborazione crittografica. Vi sono quattro componenti nella famiglia gestione della chiave di crittografia, utilizzate per specificare: l'algoritmo di generazione e la dimensione, il metodo di distribuzione, il metodo di accesso e il metodo di distruzione della chiave. Per ciascuna componente è possibile fare riferimento a uno standard per definire il requisito. Vi è una sola componente nella famiglia elaborazione crittografica; essa specifica un algoritmo e la dimensione della chiave sulla base del particolare standard assegnato.
Gli insiemi di componenti funzionali e di garanzia possono essere raggruppati in package riutilizzabili, che si sono rivelati utili per soddisfare gli obiettivi identificati. Un esempio di tale package sono le componenti funzionali richieste per il controllo di accesso.
Profili e obiettivi
I CC definiscono anche due tipi di documenti che possono essere generati utilizzando i requisiti definiti tramite CC.
• Profili di protezione (PP - Protection Profiles): definiscono un insieme di requisiti e
obiettivi di sicurezza indipendenti dall'implementazione, per una categoria di prodotti o sistemi che soddisfano esigenze di sicurezza dei clienti similari. Un PP deve essere riutilizzabile e deve definire requisiti di provata utilità ed efficacia nel soddisfare gli obiettivi identificati. Il concetto di PP è stato sviluppato per supportare la definizione di standard funzionali e come ausilio per la formulazione delle specifiche per gli acquisti.
• Obiettivi di sicurezza (ST - Security Targets): contengono gli obiettivi e i requisiti
di sicurezza di un particolare TOE e definiscono le misure funzionali e di garanzia offerte da tale TOE per soddisfare i requisiti definiti. L'ST può dichiarare la conformità coi uno o più PP e costituisce la base per una valutazione. L'ST è fornito dal produttore e dallo sviluppatore.
L'illustrazione 20 mostra la relazione fra requisiti da un lato e profili e obiettivi dall'altro Per definire i requisiti del prodotto, l'utente può scegliere un insieme di componenti come PP. L'utente può anche fare riferimento a package predefiniti che raccolgono vari requisiti solitamente raggruppati all'interno di un documento di requisiti del prodotto. Analogamente il produttore o il progettista possono scegliere varie componenti e package per definire un ST.