Thuộc tính
Nội dung
Tiếng Anh (English)
Văn bản gốc/PDF
Lược đồ
Liên quan hiệu lực
Liên quan nội dung
Thuộc tính
Tải về

Đang tải văn bản...

Tiêu chuẩn quốc gia TCVN 11386:2016 về Công nghệ thông tin - Phương pháp đánh giá an toàn công nghệ thông tin

Số hiệu:	TCVN11386:2016	Loại văn bản:	Tiêu chuẩn Việt Nam
Nơi ban hành:	***	Người ký:	***
Ngày ban hành:	Năm 2016	Ngày hiệu lực:
		Tình trạng:	Đã biết

ETR	Báo cáo kỹ thuật đánh giá
OR	Báo cáo quan sát

Các ký hiệu và chữ viết tắt khác tham khảo TCVN 8709 (ISO/IEC 15408).

5 Tổng quan

5.1 Bố cục của TCVN 11386:2016 (ISO/IEC 18045:2008)

Điều 6 xác định các quy ước được sử dụng trong tiêu chuẩn này.

Điều 7 mô tả các nhiệm vụ đánh giá chung không có nhận định liên quan đến chúng vì chúng không ánh xạ đến các phần tử hành động của người đánh giá trong TCVN 8709 (ISO/IEC 15408).

Điều 8 đề cập công việc được yêu cầu để đạt được một kết quả đánh giá trên một PP.

Từ Điều 9 đến Điều 15 xác định các hoạt động đánh giá được tổ chức bởi các lớp đảm bảo.

Phụ lục A bao gồm các kỹ thuật đánh giá cơ bản được sử dụng để cung cấp các bằng chứng kỹ thuật của kết quả đánh giá.

Phụ lục B cung cấp diễn giải của các tiêu chí phân tích điểm yếu và những ví dụ về ứng dụng của chúng.

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

6.1 Thuật ngữ

Không giống như TCVN 8709 (ISO/IEC 15408), trong đó mỗi phần tử duy trì chữ số cuối cùng của ký hiệu định dạng của nó cho tất cả các thành phần trong họ, tiêu chuẩn này có thể tạo ra các đơn vị công việc mới khi một phần tử hành động của người đánh giá trong TCVN 8709 (ISO/IEC 15408) thay đổi từ hoạt động con này sang hoạt động con khác; kết quả là chữ số cuối cùng của ký hiệu định dạng đơn vị công việc có thể thay đổi mặc dù đơn vị công việc giữ nguyên không thay đổi.

Một công việc đánh giá cụ thể theo phương pháp luận bất kỳ nào được yêu cầu mà không bắt nguồn trực tiếp từ các yêu cầu trong TCVN 8709 (ISO/IEC 15408) được gọi là "nhiệm vụ" hoặc "nhiệm vụ con".

6.2 Cách sử dụng động từ

Từ "cần" (shall) chỉ được sử dụng khi văn bản được cung cấp là bắt buộc và do vậy chỉ dùng trong các đơn vị công việc và các nhiệm vụ con. Các đơn vị công việc và các nhiệm vụ con bao gồm các hoạt động bắt buộc mà người đánh giá phải thực hiện để chỉ định các nhận định.

Văn bản hướng dẫn kèm theo các đơn vị công việc và nhiệm vụ con đưa ra giải thích thêm về cách áp dụng các từ ngữ TCVN 8709 (ISO/IEC 15408) trong phép đánh giá. Cách sử dụng động từ phù hợp với các định nghĩa ISO cho các động từ này. Từ "nên" (should) được sử dụng khi phương pháp được mô tả là ưa chuộng hơn. Tất cả các từ khác, bao gồm "có thể" (may), được sử dụng khi (các) phương pháp được mô tả là được cho phép song không được khuyến cáo cũng như được ưa chuộng hơn, chúng chỉ dùng để diễn giải.

Các động từ kiểm tra, thẩm tra, báo cáo và ghi lại được sử dụng với ý nghĩa chính xác trong phần này của tiêu chuẩn và nên tham chiếu Điều 3 về các định nghĩa của chúng.

6.3 Hướng dẫn đánh giá tổng quát

Tài liệu có tính ứng dụng cho nhiều hơn một hoạt động con được tập hợp ở một vị trí. Hướng dẫn có tính ứng dụng phổ biến (xuyên suốt các hoạt động và các EAL) được tập hợp trong Phụ lục A. Hướng dẫn gắn liền với nhiều hoạt động con trong một hoạt động đơn lẻ đã được cung cấp trong phần giới thiệu của hoạt động đó. Nếu hướng dẫn liên quan đến chỉ một hoạt động con đơn lẻ thì nó được trình bày trong hoạt động con đó.

...

Giữa cấu trúc của TCVN 8709 (ISO/IEC 15408) (tức là lớp, họ, thành phần và phần tử) và cấu trúc của tiêu chuẩn này có các mối quan hệ trực tiếp. Hình 1 minh họa sự tương ứng giữa các kết cấu TCVN 8709 (ISO/IEC 15408) về lớp, họ và các phần tử hành động của người đánh giá với các hoạt động, hoạt động con và hành động trong phương pháp đánh giá. Tuy nhiên, một số đơn vị công việc trong phương pháp đánh giá có thể là kết quả từ các yêu cầu đã được ghi chú trong các phần tử hành động của nhà phát triển trong TCVN 8709 (ISO/IEC 15408) và phần tử nội dung và trình bày.

Hình 1 - Ánh xạ của các cấu trúc của TCVN 8709 (ISO/IEC 15408) và TCVN 11386:2016 (ISO/IEC 18045:2008)

7 Quy trình đánh giá và các nhiệm vụ liên quan

7.1 Giới thiệu

Điều này cung cấp tổng quan về quy trình đánh giá và xác định các nhiệm vụ của người đánh giá được dự định thực hiện khi tiến hành đánh giá.

Mỗi một đánh giá hoặc là một PP hoặc là một TOE (bao gồm cả ST), đều theo quy trình như nhau và có bốn nhiệm vụ chung của người đánh giá là: nhiệm vụ đầu vào, nhiệm vụ đầu ra, hoạt động con đánh giá và sự thuyết minh về năng lực kỹ thuật đối với nhiệm vụ của tổ chức đánh giá.

Nhiệm vụ đầu vào và các nhiệm vụ đầu ra có liên quan đến quản lý bằng chứng đánh giá và phát sinh báo cáo được mô tả trọn vẹn trong điều này. Mỗi nhiệm vụ có các nhiệm vụ con liên quan được áp dụng và quy định cho tất cả các đánh giá của TCVN 8709 (ISO/IEC 15408) (đánh giá một PP hoặc một TOE).

Các hoạt động con đánh giá chỉ được giới thiệu trong điều này và được mô tả đầy đủ trong các điều tiếp theo.

...

Sự thuyết minh về năng lực kỹ thuật đối với nhiệm vụ của tổ chức đánh giá có thể được hoàn thiện bằng phép phân tích của tổ chức đánh giá về các kết quả nhiệm vụ đầu ra hoặc có thể bao gồm sự thuyết minh của người đánh giá từ sự hiểu biết của họ về các đầu vào đối với các hoạt động con đánh giá. Nhiệm vụ này không có nhận định của người đánh giá liên quan nhưng có nhận định của tổ chức đánh giá. Các tiêu chí chi tiết để đạt nhiệm vụ này là theo quyết định của tổ chức đánh giá, như đã nêu trong Phụ lục A.5.

7.2 Tổng quan về quá trình đánh giá

7.2.1 Mục tiêu

Điều này trình bày mô hình chung của phương pháp luận và xác định:

a) Các vai trò và trách nhiệm của các bên liên quan trong quy trình đánh giá;

b) Mô hình đánh giá chung.

7.2.2 Trách nhiệm của các vai trò

Mô hình chung xác định đặc điểm của các vai trò sau: nhà bảo trợ, nhà phát triển, người đánh giá và tổ chức đánh giá.

Nhà bảo trợ có trách nhiệm yêu cầu và hỗ trợ việc đánh giá. Điều này có nghĩa là nhà bảo trợ thiết lập các thỏa thuận khác nhau cho việc đánh giá (ví dụ như ủy thác đánh giá). Ngoài ra, nhà bảo trợ có trách nhiệm đảm bảo rằng người đánh giá được cung cấp bằng chứng đánh giá.

...

Người đánh giá thực hiện các nhiệm vụ đánh giá được yêu cầu trong bối cảnh của một đánh giá: người đánh giá tiếp nhận bằng chứng đánh giá từ nhà phát triển thay mặt cho nhà bảo trợ hoặc trực tiếp từ nhà bảo trợ, thực hiện các hoạt động con đánh giá và cung cấp các kết quả ước định đánh giá cho tổ chức đánh giá.

Tổ chức đánh giá thiết lập và duy trì lược đồ, giám sát việc đánh giá được thực hiện bởi người đánh giá và tạo ra các báo cáo chứng nhận/công nhận cũng như các chứng chỉ dựa trên Kết quả đánh giá được cung cấp bởi người đánh giá.

7.2.3 Mối quan hệ của các vai trò

Để tránh ảnh hưởng quá mức từ tác động không đúng đến việc đánh giá, việc phân tách vai trò của các bên được yêu cầu. Điều này có nghĩa là các vai trò được mô tả ở trên được thực hiện bởi các thực thể khác nhau, ngoại trừ vai trò của nhà phát triển và nhà bảo trợ có thể được thỏa mãn bởi một thực thể đơn nhất.

Ngoài ra, một số đánh giá (ví dụ như đánh giá EAL1) có thể không yêu cầu các nhà phát triển tham gia vào dự án. Trong trường hợp này, nhà bảo trợ là người cung cấp TOE cho người đánh giá và là người tạo ra bằng chứng đánh giá.

7.2.4 Mô hình đánh giá chung

Quy trình đánh giá bao gồm người đánh giá thực hiện nhiệm vụ đầu vào đánh giá, nhiệm vụ đầu ra đánh giá và các hoạt động con đánh giá. Hình 2 cung cấp tổng quan về mối quan hệ giữa các nhiệm vụ này và các hoạt động con.

Quy trình đánh giá có thể được bắt đầu bằng giai đoạn chuẩn bị, tại đó cuộc gặp gỡ đầu tiên giữa nhà bảo trợ và người đánh giá được thiết lập. Công việc được thực hiện và sự tham gia của các vai trò khác nhau trong giai đoạn này có thể thay đổi. Điển hình trong bước này là người đánh giá thực hiện một phân tích tính khả thi nhằm ước định khả năng một đánh giá thành công.

...

7.2.5 Nhận đỊnh của người đánh giá

Người đánh giá chỉ định các nhận định cho các yêu cầu trong TCVN 8709 (ISO/IEC 15408) và không chỉ định cho các yêu cầu của tiêu chuẩn này. Cấu trúc của TCVN 8709 (ISO/IEC 15408) chi tiết nhất mà một nhận định được chỉ định là phần tử hành động của người đánh giá (tường minh hay ngầm định). Một nhận định được chỉ định cho một phần tử hành động của người đánh giá trong TCVN 8709 (ISO/IEC 15408) như là một kết quả thực hiện hành động theo phương pháp đánh giá tương ứng và các đơn vị công việc cấu thành của nó. Cuối cùng, một kết quả đánh giá được chỉ định như đã mô tả trong Điều 9 TCVN 8709-1 (ISO/IEC 15408-1), Kết quả đánh giá.

Tiêu chuẩn này công nhận ba trạng thái nhận định loại trừ lẫn nhau:

a) Các điều kiện cho một nhận định "đạt" được xác định là một việc hoàn thành của người đánh giá cho phần tử hành động của người đánh giá trong TCVN 8709 (ISO/IEC 15408) và quyết định rằng các yêu cầu đối với PP, ST hoặc TOE cần được đánh giá là đáp ứng. Các điều kiện để các phần tử "đạt" được xác định là:

1) Các đơn vị công việc cấu thành của hành động phương pháp đánh giá có liên quan và;

2) Tất cả các bằng chứng đánh giá đã được yêu cầu để thực hiện các đơn vị công việc này là mạch lạc, có nghĩa là người đánh giá có thể hiểu được đầy đủ và trọn vẹn về nó và

3) Tất cả các bằng chứng đánh giá đã được yêu cầu để thực hiện các đơn vị công việc này không có bất kỳ sự không nhất quán nội bộ rõ ràng nào hoặc sự không nhất quán với bằng chứng đánh giá khác. Lưu ý rằng ý nghĩa rõ ràng ở đây là người đánh giá phát hiện ra sự không nhất quán này trong khi thực hiện các đơn vị công việc: người đánh giá không nên thực hiện các phân tích sự không nhất quán đầy đủ trên toàn bộ bằng chứng đánh giá mỗi khi một đơn vị công việc được thực hiện.

b) Các điều kiện cho một nhận định "không đạt" được xác định là một việc hoàn thành của người đánh giá cho phần tử hành động của người đánh giá trong TCVN 8709 (ISO/IEC 15408) và quyết định rằng các yêu cầu đối với PP, ST hoặc TOE cần được đánh giá là không đáp ứng hoặc bằng chứng không mạch lạc hoặc một sự không nhất quán rõ ràng trong bằng chứng đánh giá được tìm ra;

c) Tất cả các nhận định đều được chỉ định ban đầu là "không có kết luận" và giữ nguyên như vậy cho đến khi nhận định "đạt" hoặc "không đạt" được chỉ định.

...

Hình 3 - Ví dụ về quy tắc chỉ định nhiệm vụ

Nhận định tổng thể là "đạt" khi và chỉ khi tất cả các nhận định thành phần cùng là "đạt". Trong ví dụ minh họa ở Hình 3, nếu nhận định cho một phần tử hành động của người đánh giá là "không đạt" thì các nhận định cho thành phần đảm bảo, lớp đảm bảo và nhận định tổng thể tương ứng cũng là "không đạt".

7.3 Nhiệm vụ đầu vào đánh giá

7.3.1 Mục tiêu

Mục tiêu của nhiệm vụ này là đảm bảo rằng người đánh giá có sẵn phiên bản chính xác của các bằng chứng đánh giá được yêu cầu cho việc đánh giá và nó được bảo vệ thích đáng. Nếu không, độ chính xác kỹ thuật của việc đánh giá không được đảm bảo, việc đánh giá được tiến hành để tạo ra các kết quả có thể lặp lại và có thể tái sản xuất cũng không được đảm bảo.

7.3.2 Lưu ý áp dụng

Trách nhiệm cung cấp tất cả các bằng chứng đánh giá được yêu cầu thuộc về nhà bảo trợ. Tuy nhiên, hầu hết các bằng chứng đánh giá có khả năng được tạo ra và cung cấp bởi nhà phát triển, thay mặt nhà bảo trợ.

Do các yêu cầu đảm bảo áp dụng cho toàn bộ TOE, tất cả bằng chứng đánh giá liên quan đến tất cả các phần của TOE cần được sẵn sàng cung cấp cho người đánh giá. Phạm vi áp dụng và nội dung được yêu cầu của bằng chứng đánh giá như vậy là độc lập với mức độ kiểm soát mà nhà phát triển đã có trên mỗi phần của TOE. Ví dụ, nếu thiết kế được yêu cầu, thì các yêu cầu thiết kế TOE (ADV_TDS) sẽ áp dụng cho tất cả các hệ thống con mà chúng là một phần của TSF. Ngoài ra, các yêu cầu đảm bảo có yêu cầu các thủ tục cần có (ví dụ, các năng lực CM (ALC_CMC) và chuyển giao (ALC_DEL)) cũng sẽ áp dụng cho toàn bộ TOE (bao gồm mọi phần được tạo ra bởi nhà phát triển khác).

Khuyến nghị người đánh giá, kết hợp với các nhà bảo trợ, đưa ra một chỉ mục với bằng chứng đánh giá được yêu cầu. Chỉ mục này có thể là một tập các tham chiếu tới tài liệu. Chỉ mục này nên có đủ thông tin (ví dụ như một bản tóm tắt ngắn gọn của mỗi tài liệu hoặc ít nhất là một tiêu đề, dấu hiệu rõ ràng của các Điều cần quan tâm) để giúp người đánh giá dễ dàng tìm thấy bằng chứng được yêu cầu. Thông tin trong bằng chứng đánh giá được yêu cầu chứ không phải cấu trúc tài liệu cụ thể nào. Bằng chứng đánh giá cho một hoạt động con có thể được cung cấp bởi các tài liệu riêng biệt hoặc một tài liệu đơn nhất có thể thỏa mãn một số các yêu cầu đầu vào của một hoạt động con.

...

a) Tài liệu kiểm thử, để cho phép người đánh giá thực hiện một ước định sớm về các kiểm thử và các thủ tục kiểm thử;

b) Các tài liệu thiết kế, để cung cấp cho người đánh giá nền tảng để thiết kế TOE;

c) Mã nguồn hoặc bản vẽ phần cứng, để cho phép người đánh giá ước định việc áp dụng các tiêu chuẩn của nhà phát triển.

Bằng chứng đánh giá sơ bộ thường được xử lý khi việc đánh giá một TOE được thực hiện đồng thời với việc phát triển nó. Tuy nhiên, chúng cũng có thể được xử lý trong quá trình đánh giá TOE đã phát triển nơi mà các nhà phát triển đã phải thực hiện công việc bổ sung để giải quyết vấn đề xác định bởi người đánh giá (ví dụ như để sửa một lỗi trong thiết kế hoặc triển khai) hoặc cung cấp bằng chứng đánh giá an toàn mà không được cung cấp trong tài liệu hiện có (ví dụ như trong trường hợp TOE không được phát triển để đáp ứng các yêu cầu của TCVN 8709 (ISO/IEC 15408)).

7.3.3 Quản lý nhiệm vụ con bằng chứng đánh giá

7.3.3.1 Kiểm soát cấu hình

Người đánh giá cần thực hiện kiểm soát cấu hình của bằng chứng đánh giá.

TCVN 8709 (ISO/IEC 15408) ngầm định rằng người đánh giá có khả năng xác định và chỉ rõ từng khoản mục của bằng chứng đánh giá sau khi chúng đã được tiếp nhận và có khả năng xác định liệu họ có đang giữ một phiên bản cụ thể của một tài liệu không.

Người đánh giá cần bảo vệ bằng chứng đánh giá tránh việc thay đổi hoặc bị mất khi đang giữ chúng.

...

Các lược đồ có thể mong muốn kiểm soát việc hủy bỏ bằng chứng đánh giá khi kết thúc một đánh giá. Việc hủy bỏ các bằng chứng đánh giá nên đạt được bằng một hoặc nhiều cách sau:

a) Trả lại bằng chứng đánh giá;

b) Lưu trữ bằng chứng đánh giá;

c) Phá hủy bằng chứng đánh giá

7.3.3.3 Tính bí mật

Người đánh giá có thể truy nhập thông tin thương mại nhạy cảm của nhà bảo trợ và nhà phát triển (ví dụ như thông tin thiết kế TOE, các công cụ chuyên dụng) và có thể truy nhập thông tin quốc gia nhạy cảm trong quá trình đánh giá. Các lược đồ có thể mong muốn áp đặt các yêu cầu để người đánh giá duy trì tính bảo mật của các bằng chứng đánh giá. Nhà bảo trợ và người đánh giá có thể cùng đồng ý với các yêu cầu bổ sung, miễn là nhất quán với lược đồ đó.

Các yêu cầu tính bí mật ảnh hưởng đến nhiều mặt của công việc đánh giá, bao gồm cả việc tiếp nhận, giải quyết, lưu trữ và hủy bỏ bằng chứng đánh giá.

7.4 Hoạt động con đánh giá

Hoạt động con đánh giá thay đổi tùy thuộc đó là đánh giá PP hay TOE. Hơn nữa, trong trường hợp đánh giá TOE, hoạt động con phụ thuộc vào các yêu cầu đảm bảo đã được chọn.

...

7.5.1 Mục tiêu

Mục tiêu của Điều này là mô tả Báo cáo quan sát (OR) và Báo cáo kỹ thuật đánh giá (ETR). Các lược đồ có thể yêu cầu các báo cáo bổ sung của người đánh giá như báo cáo về các đơn vị công việc riêng hoặc có thể yêu cầu thông tin bổ sung cần có trong OR và ETR. Tiêu chuẩn này không ngăn cản việc bổ sung thông tin vào các báo cáo do tiêu chuẩn này chỉ quy định nội dung thông tin tối thiểu.

Việc báo cáo nhất quán về Kết quả đánh giá sẽ tạo điều kiện đạt được các nguyên tắc chung trong việc lặp lại và tái tạo các kết quả. Tính nhất quán bao gồm cả về kiểu và số lượng thông tin đã báo cáo trong ETR và OR. Tính nhất quán của ETR và OR giữa các đánh giá khác nhau là trách nhiệm của tổ chức đánh giá.

Người đánh giá thực hiện hai nhiệm vụ con sau đây để đạt được các yêu cầu của tiêu chuẩn này về nội dung thông tin của các báo cáo:

a) Nhiệm vụ con viết OR (nếu được yêu cầu trong bối cảnh của việc đánh giá);

b) Nhiệm vụ con viết ETR.

7.5.2 Quản lý đầu ra đánh giá

Người đánh giá cung cấp ETR và cả các OR khi chúng sẵn sàng, cho tổ chức đánh giá. Các yêu cầu đối với các kiểm soát việc xử lý ETR và các OR được thiết lập bởi lược đồ trong đó có thể bao gồm cả chuyển giao cho nhà bảo trợ hoặc nhà phát triển. ETR và các OR có thể bao gồm các thông tin nhạy cảm hoặc độc quyền và có thể cần phải được tinh chế lại trước khi chúng được trao cho nhà bảo trợ.

7.5.3 Lưu ý áp dụng

...

7.5.4 Nhiệm vụ con viết OR

Các OR cung cấp cho người đánh giá cơ chế để yêu cầu làm rõ (ví dụ từ tổ chức đánh giá đối với việc áp dụng một yêu cầu) hoặc xác định một vấn đề liên quan đến một khía cạnh của việc đánh giá.

Trong trường hợp nhận định không đạt, người đánh giá cần cung cấp OR để phản hồi kết quả đánh giá. Nếu không, người đánh giá có thể sử dụng các OR như một cách diễn tả các yêu cầu làm rõ.

Đối với mỗi OR, người đánh giá cần báo cáo như sau:

a) định danh của PP hay TOE được đánh giá;

b) nhiệm vụ/hoạt động con đánh giá trong đó việc quan sát được tạo ra;

c) sự quan sát;

d) ước định mức độ an toàn của nó (ví dụ ngầm định một nhận định không đạt, giữ tiến độ việc đánh giá, yêu cầu giải quyết trước khi hoàn thành đánh giá);

e) xác định tổ chức chịu trách nhiệm giải quyết vấn đề;

...

g) ước định tác động đối với việc đánh giá không đạt đến quyết định việc quan sát.

Người sử dụng hướng đến của OR và các thủ tục xử lý báo cáo này sẽ phụ thuộc vào bản chất nội dung báo cáo và lược đồ. Các lược đồ có thể phân biệt các loại OR khác nhau hoặc xác định các loại bổ sung, cùng với những khác biệt liên quan trong thông tin yêu cầu và việc phân bố (ví dụ, các OR đánh giá tới các tổ chức đánh giá và các nhà bảo trợ).

7.5.5 Nhiệm vụ con viết ETR

7.5.5.1 Mục tiêu

Người đánh giá cần cung cấp ETR để thể hiện biện minh kỹ thuật của các nhận định.

Tiêu chuẩn này xác định yêu cầu nội dung tối thiểu của ETR; tuy nhiên, các lược đồ có thể chỉ rõ nội dung bổ sung và các yêu cầu về trình bày và cấu trúc riêng. Ví dụ, các lược đồ có thể yêu cầu tài liệu giới thiệu cụ thể (ví dụ các Điều từ chối yêu cầu và bản quyền) được báo cáo trong ETR.

Người đọc ETR được giả thiết đã làm quen với các khái niệm chung về an toàn công nghệ thông tin trong TCVN 8709 (ISO/IEC 15408) - các phương pháp đánh giá và công nghệ thông tin.

ETR hỗ trợ tổ chức đánh giá để xác nhận rằng việc đánh giá đã được thực hiện theo tiêu chuẩn yêu cầu, song tổ chức đánh giá thấy trước rằng các kết quả đã ghi văn bản có thể không cung cấp tất cả thông tin được yêu cầu, do đó thông tin bổ sung theo yêu cầu của lược đồ có thể được yêu cầu. Lĩnh vực này nằm ngoài phạm vi của tiêu chuẩn.

7.5.5.2 ETR cho đánh giá PP

...

Hình 4 - Nội dung thông tin ETR cho một đánh giá PP

7.5.5.2.1 Giới thiệu

Người đánh giá cần báo cáo các định danh lược đồ đánh giá.

Các định danh lược đồ đánh giá (ví dụ như logo) là thông tin được yêu cầu để xác định rõ lược đồ chịu trách nhiệm cho giám sát đánh giá.

Người đánh giá cần báo cáo các định danh kiểm soát cấu hình ETR.

Các định danh kiểm soát cấu hình ETR chứa thông tin định danh ETR (ví dụ như tên, ngày tháng và số hiệu phiên bản).

Người đánh giá cần báo cáo định danh kiểm soát cấu hình PP.

Định danh kiểm soát cấu hình PP (ví dụ như tên, ngày tháng và số hiệu phiên bản) được yêu cầu để định danh những gì đang được đánh giá để tổ chức đánh giá xác định rằng nhận định đã được chỉ định chính xác bởi người đánh giá.

...

Định danh của nhà phát triển PP được yêu cầu để xác định các bên chịu trách nhiệm tạo ra PP.

Người đánh giá phải báo cáo định danh của nhà bảo trợ.

Định danh của nhà bảo trợ được yêu cầu để xác định các bên chịu trách nhiệm cung cấp bằng chứng đánh giá đến người đánh giá.

Người đánh giá cần báo cáo định danh của người đánh giá.

Định danh của người đánh giá được yêu cầu để xác định bên thực hiện việc đánh giá và chịu trách nhiệm về các nhận định đánh giá.

7.5.5.2.2 Đánh giá

Người đánh giá cần báo cáo phương pháp, kỹ thuật, công cụ và tiêu chuẩn đánh giá đã sử dụng.

Người đánh giá tham khảo tiêu chí đánh giá, phương pháp luận và các diễn giải dùng để đánh giá PP.

Người đánh giá cần báo cáo mọi ràng buộc trong việc đánh giá, những ràng buộc về việc xử lý kết quả đánh giá và các giả định đã được đưa ra khi đánh giá có tác động đến Kết quả đánh giá.

...

7.5.5.2.3 Kết quả đánh giá

Người đánh giá cần báo cáo một nhận định và một sở cứ hỗ trợ đối với mỗi thành phần đảm bảo cấu thành nên một hoạt động của APE, như là kết quả của việc thực hiện hành động phương pháp luận đánh giá tương ứng và các đơn vị công việc cấu thành của nó.

Sở cứ biện minh cho nhận định sử dụng TCVN 8709 (ISO/IEC 15408) này là mọi cách diễn giải và bằng chứng đánh giá được thẩm tra và cho thấy cách bằng chứng đánh giá đáp ứng hoặc không đáp ứng mỗi khía cạnh của tiêu chí. Nó bao gồm việc mô tả về công việc được thực hiện, phương pháp được sử dụng và nguồn gốc bất kỳ của các kết quả. Sở cứ có thể cung cấp chi tiết đến cấp độ của đơn vị công việc phương pháp đánh giá.

7.5.5.2.4 Kết luận và khuyến nghị

Người đánh giá cần báo cáo kết luận đánh giá, đặc biệt là nhận định tổng thể theo quy định tại Điều 9 TCVN 8709-1 (ISO/IEC 15408-1), Kết quả đánh giá và được xác định bằng cách áp dụng việc chỉ định nhận định được mô tả trong 7.2.5.

Người đánh giá cung cấp các khuyến nghị có thể hữu ích cho tổ chức đánh giá. Những khuyến nghị này có thể đưa vào các bất cập của PP được phát hiện ra trong quá trình đánh giá hoặc đề cập đến các tính năng đặc biệt hữu ích.

7.5.5.2.5 Danh sách bằng chứng đánh giá

Người đánh giá cần báo cáo các thông tin sau cho từng khoản mục bằng chứng đánh giá:

• Tổ chức phát hành (ví dụ như nhà phát triển, nhà bảo trợ);

...

• Tham chiếu duy nhất (ví dụ như ngày phát hành và số hiệu phiên bản).

7.5.5.2.6 Danh sách các cụm từ viết tắt / giải thích các thuật ngữ

Người đánh giá cần báo cáo mọi từ viết tắt hoặc tên viết tắt được sử dụng trong ETR.

Các định nghĩa thuật ngữ đã được định nghĩa tại TCVN 8709 (ISO/IEC 15408) hoặc tại tiêu chuẩn này không cần lặp lại trong ETR.

7.5.5.2.7 Báo cáo quan sát

Người đánh giá cần báo cáo danh sách đầy đủ xác định duy nhất các OR được tạo ra trong quá trình đánh giá và tình trạng của chúng.

Đối với mỗi OR, danh sách nên có định danh cũng như tiêu đề của nó hoặc bản tóm tắt ngắn gọn về nội dung của nó.

7.5.5.3 ETR cho một đánh giá TOE

Điều này mô tả nội dung tối thiểu của ETR cho một đánh giá TOE. Các nội dung của ETR được miêu tả trong Hình 5; hình này có thể sử dụng như một hướng dẫn khi xây dựng đề cương kết cấu của tài liệu ETR.

...

Hình 5 - Nội dung thông tin ETR cho một đánh giá TOE

7.5.5.3.1 Giới thiệu

Người đánh giá cần báo cáo các định danh lược đồ đánh giá.

Định danh lược đồ đánh giá (ví dụ như logo) là thông tin yêu cầu để xác định rõ lược đồ chịu trách nhiệm cho giám sát đánh giá.

Người đánh giá cần báo cáo các định danh kiểm soát cấu hình ETR.

Các xác định kiểm soát cấu hình ETR chứa thông tin xác định ETR (ví dụ như tên, ngày tháng và số phiên bản).

Người đánh giá cần báo cáo xác định kiểm soát cấu hình ST và TOE.

Các xác định kiểm soát cấu hình ST và TOE xác định những gì đang được đánh giá để các tổ chức đánh giá xác minh rằng các nhận định đã được chỉ định chính xác bởi người đánh giá.

Nếu ST yêu cầu là TOE phù hợp với các yêu cầu của một hoặc nhiều PP, ETR cần báo cáo tham chiếu của các PP tương ứng.

...

Người đánh giá cần báo cáo xác định của nhà phát triển.

Xác định của các nhà phát triển TOE được yêu cầu để xác định các bên chịu trách nhiệm tạo ra TOE. Người đánh giá phải báo cáo xác định của nhà bảo trợ.

Xác định của nhà bảo trợ được yêu cầu để xác định các bên chịu trách nhiệm cung cấp bằng chứng đánh giá đến người đánh giá.

Người đánh giá cần báo cáo xác định của người đánh giá.

Xác định của người đánh giá được yêu cầu để xác định bên thực hiện việc đánh giá và chịu trách nhiệm về các nhận định đánh giá.

7.5.5.3.2 Mô tả kiến trúc của TOE

Người đánh giá cần báo cáo sự mô tả cấp độ cao của TOE và các thành phần chính của nó dựa trên bằng chứng đánh giá đã mô tả trong họ đảm bảo của TCVN 8709 (ISO/IEC 15408) được gắn thiết kế TOE (ADV_TDS), khi áp dụng.

Mục đích của Điều này là mô tả mức độ phân chia kiến trúc của các thành phần chính. Nếu không có yêu cầu thiết kế TOE (ADV_TDS) trong ST, điều này không áp dụng và được coi là thỏa mãn.

7.5.5.3.3 Đánh giá

...

Người đánh giá cần báo cáo mọi hạn chế dựa trên việc đánh giá, những hạn chế về việc xử lý kết quả đánh giá và giả định được thực hiện trong việc đánh giá có tác động đến Kết quả đánh giá.

Người đánh giá có thể đưa vào thông tin liên quan đến vấn đề pháp lý hoặc phương diện luật định, tổ chức, bảo mật, v.v.

7.5.5.3.4 Kết quả đánh giá

Đối với mỗi hoạt động trong đó TOE được đánh giá, người đánh giá cần báo cáo:

• Tiêu đề của hoạt động đã được xem xét;

• Nhận định và sở cứ hỗ trợ cho mỗi thành phần đảm bảo cấu thành nên hoạt động này, như là kết quả của việc thực hiện hành động phương pháp đánh giá tương ứng và các đơn vị công việc cấu thành của nó.

Người đánh giá cần báo cáo tất cả các thông tin cụ thể do đơn vị công việc đã yêu cầu.

Đối với các hoạt động AVA và ATE, các đơn vị công việc để xác định thông tin được báo cáo trong ETR đã định nghĩa.

...

Người đánh giá cần báo cáo các kết luận đánh giá sẽ liên quan đến việc liệu TOE có thỏa mãn ST liên quan của nó không, đặc biệt là nhận định tổng thể như đã quy định tại Điều 9 TCVN 8709-1 (ISO/IEC 15408-1), Kết quả đánh giá và được xác định bằng cách áp dụng việc chỉ định nhận định đã mô tả trong 7.2.5.

Người đánh giá cung cấp các khuyến nghị có thể hữu ích cho tổ chức đánh giá. Những khuyến nghị này có thể đưa vào các bất cập của PP đã phát hiện ra trong quá trình đánh giá hoặc đề cập đến các tính năng đặc biệt hữu ích.

7.5.5.3.6 Danh sách bằng chứng đánh giá

Người đánh giá cần báo cáo từng khoản mục bằng chứng đánh giá theo các thông tin sau đây:

• Tổ chức phát hành (ví dụ như nhà phát triển, nhà bảo trợ);

• Tiêu đề;

• Tham chiếu duy nhất (ví dụ như ngày phát hành và số phiên bản).

7.5.5.3.7 Danh sách các cụm từ viết tắt / Giải thích các thuật ngữ

Người đánh giá cần báo cáo mọi từ viết tắt hoặc tên viết tắt được sử dụng trong ETR.

...

7.5.5.3.8 Báo cáo quan sát

Người đánh giá cần báo cáo danh sách đầy đủ xác định duy nhất của các OR tạo ra trong quá trình đánh giá và tình trạng của chúng.

Đối với mỗi OR, danh sách nên có xác định cũng như tiêu đề của nó hoặc bản tóm tắt ngắn gọn về nội dung của nó.

8 Lớp APE: Đánh giá hồ sơ bảo vệ

8.1 Giới thiệu

Điều này mô tả việc đánh giá PP. Các yêu cầu và phương pháp luận để đánh giá PP là giống nhau đối với mỗi đánh giá PP, không phụ thuộc vào EAL (hoặc tập các yêu cầu đảm bảo khác) được đòi hỏi trong PP. Phương pháp đánh giá trong Điều này dựa trên vào các yêu cầu về PP như đã quy định tại TCVN 8709-3 (ISO/IEC 15408-3) lớp APE.

Điều này nên được sử dụng kết hợp với các Phụ lục A, B và C trong TCVN 8709-1 (ISO/IEC 15408-1), vì các Phụ lục này làm rõ các khái niệm nêu ở đây và cung cấp nhiều ví dụ.

8.2 Lưu ý áp dụng

8.2.1 Tái sử dụng Kết quả đánh giá của các PP đã được chứng nhận

...

Người đánh giá được phép tái sử dụng Kết quả đánh giá PP khi thực hiện những phân tích nhất định theo từng phần hoặc không được phép nếu những phân tích hoặc các phần của chúng đã được thực hiện như một phần của việc đánh giá PP. Trong khi làm điều này, người đánh giá nên giả định rằng những phân tích trong PP được thực hiện đúng.

Ví dụ khi PP tuân thủ đang được yêu cầu có chứa một tập hợp các yêu cầu an toàn và chúng được xác định là nhất quán nội bộ trong quá trình đánh giá nó. Nếu PP được đánh giá sử dụng các yêu cầu đúng như vậy, phân tích tính nhất quán không phải lặp lại trong quá trình đánh giá PP. Nếu PP được đánh giá có thêm một hoặc nhiều yêu cầu hoặc thực hiện các hoạt động trên các yêu cầu này, thì việc phân tích sẽ phải được lặp lại. Tuy nhiên, có thể giảm bớt công việc trong việc phân tích tính nhất quán này bằng cách sử dụng thực tế là các yêu cầu ban đầu là nhất quán nội bộ. Nếu các yêu cầu ban đầu là nhất quán nội bộ, người đánh giá chỉ cần xác định rằng:

a) Tập hợp tất cả các yêu cầu mới và/hoặc thay đổi là nhất quán nội bộ và

b) Tập tất cả các yêu cầu mới và/hoặc thay đổi nhất quán với yêu cầu ban đầu.

Người đánh giá ghi lưu ý trong ETR về từng trường hợp khi việc phân tích chưa được thực hiện xong hoặc chỉ được thực hiện một phần vì lý do này.

8.3 Giới thiệu PP (APE_INT)

8.3.1 Đánh giá hoạt động con (APE_INT.1)

8.3.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu PP có được xác định đúng không và liệu phần tham chiếu PP và tổng quan TOE có nhất quán với nhau không.

...

Bằng chứng đánh giá cho hoạt động con này là:

a) PP.

8.3.1.3 Hành động APE_INT.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) APE_INT.1.1C: Giới thiệu PP cần chứa một tham chiếu PP và một tổng quan TOE.

8.3.1.3.1 Đơn vị công việc APE_INT.1-1

Người đánh giá cần kiểm tra rằng giới thiệu PP chứa một tham chiếu PP và một tổng quan TOE.

TCVN 8709-3 (ISO/IEC 15408-3) APE_INT.1.2C: Tham chiếu PP cần xác định duy nhất cho PP.

8.3.1.3.2 Đơn vị công việc APE_INT.1-2

Người đánh giá cần thẩm tra tham chiếu PP để xác định rằng nó xác định duy nhất cho PP.

...

PP nên có một hệ thống tham chiếu nào đó để có thể hỗ trợ các tham chiếu duy nhất (ví dụ như sử dụng các số, các chữ cái hoặc ngày).

TCVN 8709-3 (ISO/IEC 15408-3) APE_INT.1.3C: Tổng quan TOE cần tóm tắt việc sử dụng và các đặc trưng an toàn chính của TOE.

8.3.1.3.3 Đơn vị công việc APE INT.1-3

Người đánh giá cần thẩm tra tổng quan TOE để xác định rằng nó mô tả việc sử dụng và các đặc trưng an toàn chính của TOE.

Tổng quan TOE nên ngắn gọn (ví dụ như một vài đoạn) mô tả việc sử dụng và đặc trưng an toàn chính dự kiến của TOE. Tổng quan TOE nên cho phép người tiêu dùng và các nhà phát triển TOE tiềm năng nhanh chóng xác định xem liệu PP có được họ quan tâm không.

Người đánh giá xác định rằng tổng quan là đủ rõ ràng đối với các nhà phát triển TOE và người tiêu dùng và đủ để cung cấp cho họ sự hiểu biết chung về việc sử dụng và đặc trưng an toàn chính dự kiến của TOE.

TCVN 8709-3 (ISO/IEC 15408-3) APE_INT.1.4C: Tổng quan TOE cần xác định kiểu TOE.

8.3.1.3.4 Đơn vị công việc APE_INT.1-4

Người đánh giá cần kiểm tra rằng tổng quan TOE xác định kiểu TOE.

...

8.3.1.3.5 Đơn vị công việc APE_INT.1-5

Người đánh giá cần thẩm tra tổng quan TOE để xác định rằng nó xác định phần cứng/phần mềm/phần sụn không phải TOE sẵn sàng cho TOE đó.

Trong khi một số TOE có thể chạy độc lập thì một số TOE khác (đáng lưu ý là các TOE phần mềm) cần thêm phần cứng, phần mềm và phần sụn để hoạt động. Trong Điều này của PP, tác giả của PP liệt kê tất cả phần cứng, phần mềm và/hoặc phần sụn sẽ được dùng để chạy TOE.

Việc xác định này nên chi tiết đủ để người tiêu dùng và các nhà phát triển TOE tiềm năng xác định xem liệu TOE của họ có thể hoạt động với các phần cứng, phần mềm và phần sụn đã được liệt kê không.

8.4 Yêu cầu tuân thủ (APE_CCL)

8.4.1 Đánh giá hoạt động con (APE_CCL.1)

8.4.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định tính hợp lệ của các yêu cầu tuân thủ khác nhau. Chúng mô tả PP phù hợp với TCVN 8709 (ISO/IEC 15408), các PP và các gói khác như thế nào.

8.4.1.2 Đầu vào

...

a) PP;

b) (các) PP mà PP yêu cầu tuân thủ theo;

c) (các) gói mà PP yêu cầu tuân thủ theo.

8.4.1.3 Hành động APE_CCL.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) APE_CCL.1.1C: Tuyên bố tuân thủ cần bao gồm tuyên bố tuân thủ TCVN 8709 (ISO/IEC 15408) để xác định phiên bản của TCVN 8709 (ISO/IEC 15408) mà PP tuân thủ tuyên bố.

8.4.1.3.1 Đơn vị công việc APE_CCL.1-1

Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có chứa một yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) về việc xác định phiên bản của TCVN 8709 (ISO/IEC 15408) mà PP yêu cầu tuân thủ không.

Người đánh giá xác định rằng yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) xác định phiên bản TCVN 8709 (ISO/IEC 15408) đã được sử dụng để phát triển PP này. Điều này nên bao gồm số phiên bản của TCVN 8709 (ISO/IEC 15408) và sử dụng ngôn ngữ của phiên bản TCVN 8709 (ISO/IEC 15408) trừ khi phiên bản tiếng Anh quốc tế của TCVN 8709 (ISO/IEC 15408) được sử dụng.

TCVN 8709-3 (ISO/IEC 15408-3) APE_CCL.1.2C: Yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) cần mô tả sự tuân thủ của PP theo TCVN 8709-2 (ISO/IEC 15408-2) như là hoặc tuân thủ TCVN 8709-2 (ISO/IEC 15408-2) hoặc mở rộng của TCVN 8709-2 (ISO/IEC 15408-2).

...

Người đánh giá cần kiểm tra rằng yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) đưa ra yêu cầu tuân thủ TCVN 8709-2 (ISO/IEC 15408-2) hoặc mở rộng TCVN 8709-2 (ISO/IEC 15408-2) đối với PP.

TCVN 8709-3 (ISO/IEC 15408-3) APE_CCL.1.3C: Yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) cần mô tả sự tuân thủ của PP theo TCVN 8709-3 (ISO/IEC 15408-3) như là tuân thủ TCVN 8709-3 (ISO/IEC 15408-3) hoặc mở rộng TCVN 8709-3 (ISO/IEC 15408-3).

8.4.1.3.3 Đơn vị công việc APE_CCL.1-3

Người đánh giá cần kiểm tra rằng yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) đưa ra yêu cầu tuân thủ TCVN 8709-3 (ISO/IEC 15408-3) hoặc mở rộng TCVN 8709-3 (ISO/IEC 15408-3) đối với PP.

TCVN 8709-3 (ISO/IEC 15408-3) APE_CCL.1.4C: Yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) cần nhất quán với định nghĩa các thành phần mở rộng.

8.4.1.3.4 Đơn vị công việc APE_CCL.1-4

Người đánh giá cần thẩm tra yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) đối với TCVN 8709-2 (ISO/IEC 15408-2) để xác định rằng nó nhất quán với định nghĩa các thành phần mở rộng.

Nếu yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) có chứa tuân thủ TCVN 8709-2 (ISO/IEC 15408-2), người đánh giá xác định rằng định nghĩa các thành phần mở rộng không định nghĩa các thành phần chức năng.

Nếu yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) có chứa mở rộng TCVN 8709-2 (ISO/IEC 15408-2), người đánh giá xác định rằng định nghĩa các thành phần mở rộng định nghĩa ít nhất một thành phần chức năng mở rộng.

...

Nếu yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) có chứa tuân thủ TCVN 8709-3 (ISO/IEC 15408-3), người đánh giá xác định rằng định nghĩa các thành phần mở rộng không định nghĩa các thành phần chức năng.

Nếu yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) có chứa mở rộng TCVN 8709-3 (ISO/IEC 15408-3), người đánh giá xác định rằng định nghĩa các thành phần mở rộng định nghĩa ít nhất một thành phần chức năng mở rộng.

TCVN 8709-3 (ISO/IEC 15408-3) APE_CCL.1.5C: Yêu cầu tuân thủ cần xác định cả các PP và các gói yêu cầu an toàn mà PP yêu cầu tuân thủ theo.

8.4.1.3.6 Đơn vị công việc APE_CCL.1-6

Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có chứa một yêu cầu PP xác định tất cả các PP mà PP đó yêu cầu tuân thủ không.

Nếu PP không yêu cầu tuân thủ theo PP khác, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng bất kỳ PP tham chiếu nào cũng được xác định một cách rõ ràng (ví dụ như theo tiêu đề và số phiên bản hoặc bằng cách xác định có trong phần giới thiệu của PP đó).

Người đánh giá được nhắc nhở rằng không được phép có yêu cầu tuân thủ một phần đối với PP.

...

Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có bao gồm một yêu cầu gói xác định tất cả các gói mà PP yêu cầu tuân thủ.

Nếu PP không yêu cầu tuân thủ theo gói, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng bất kỳ gói tham chiếu nào cũng được xác định một cách rõ ràng (ví dụ như theo tiêu đề và số phiên bản hoặc bằng cách xác định có trong phần giới thiệu của gói đó).

Người đánh giá được nhắc nhở rằng không được phép có yêu cầu tuân thủ một phần đối với gói.

TCVN 8709-3 (ISO/IEC 15408-3) APE_CCL.1.6C: Yêu cầu tuân thủ cần mô tả bất kỳ sự tuân thủ nào của PP theo hoặc gói tuân thủ hoặc gói gia tăng.

8.4.1.3.8 Đơn vị công việc APE_CCL.1-8

Người đánh giá cần kiểm tra xem với mỗi gói đã được xác định, yêu cầu tuân thủ đưa ra yêu cầu tuân thủ tên gói hoặc gia tăng tên gói.

Nếu PP không yêu cầu tuân thủ theo gói, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu yêu cầu tuân thủ gói chứa tuân thủ tên gói, người đánh giá xác định rằng:

...

b) nếu gói là một gói chức năng, thì PP chứa tất cả các SFR kèm theo gói, nhưng không thêm các SFR.

Nếu yêu cầu tuân thủ gói chứa gia tăng tên gói, người đánh giá xác định rằng:

a) nếu gói là một gói đảm bảo, thì PP có chứa tất cả các SAR kèm theo gói và thêm ít nhất một SAR hoặc ít nhất một SAR là phân cấp của một SAR trong gói.

b) nếu gói là một gói chức năng, thì PP chứa tất cả các SFR kèm theo gói và thêm ít nhất một SFR hoặc ít nhất một SFR là phân cấp của một SFR trong gói.

TCVN 8709-3 (ISO/IEC 15408-3) APE_CCL.1.7C: Sở cứ cho yêu cầu tuân thủ cần chứng minh rằng kiểu TOE này là nhất quán với kiểu TOE trong các PP mà sự tuân thủ được yêu cầu.

8.4.1.3.9 Đơn vị công việc APE_CCL.1-9

Người đánh giá cần thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng kiểu TOE của TOE là nhất quán với tất cả các kiểu TOE của các PP.

Nếu PP không yêu cầu tuân thủ theo PP khác, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Mối quan hệ giữa các kiểu có thể đơn giản là: yêu cầu tuân thủ PP tường lửa với PP tường lửa khác hoặc phức tạp hơn: một PP thẻ thông minh yêu cầu tuân thủ đối với một số PP khác cùng một thời điểm: một PP cho các mạch tích hợp, một PP cho hệ điều hành thẻ thông minh và hai PP cho hai ứng dụng trên thẻ thông minh.

...

8.4.1.3.10 Đơn vị công việc APE_CCL.1-10

Người đánh giá cần thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng nó chứng minh tuyên bố của định nghĩa vấn đề an toàn là nhất quán, như định nghĩa tuyên bố tuân thủ của PP, với các tuyên bố định nghĩa vấn đề an toàn nêu trong PP mà sự tuân thủ được yêu cầu.

Nếu PP được đánh giá không yêu cầu tuân thủ theo PP khác, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu PP mà sự tuân thủ được yêu cầu không tuyên bố định nghĩa vấn đề an toàn, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu tuân thủ chặt chẽ được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, không yêu cầu sở cứ yêu cầu tuân thủ. Thay vào đó, người đánh giá xác định rằng liệu:

a) các mối đe dọa trong PP có được đánh giá là một tập lớn của hoặc giống với các mối đe dọa trong PP mà sự tuân thủ được yêu cầu không;

b) các OSP trong PP có được đánh giá là một tập lớn của hoặc giống với các OSP trong PP mà sự tuân thủ được yêu cầu không;

c) các giả thiết trong PP có được đánh giá là giống với các giả thiết trong PP mà sự tuân thủ được yêu cầu không;

Nếu tuân thủ diễn giải được được yêu cầu bởi PP mà tuân thủ đang được yêu cầu, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định nó chứng minh rằng tuyên bố định nghĩa vấn đề an toàn của PP được đánh giá là tương đương hoặc chặt chẽ hơn so với tuyên bố định nghĩa vấn đề an toàn trong PP mà sự tuân thủ được yêu cầu.

...

TCVN 8709-3 (ISO/IEC 15408-3) APE_CCL.1.9C: Sở cứ cho yêu cầu tuân thủ cần chứng minh rằng tuyên bố các mục tiêu an toàn là nhất quán với tuyên bố về các mục tiêu an toàn trong các PP mà sự tuân thủ được yêu cầu.

8.4.1.3.11 Đơn vị công việc APE_CCL.1-11

Người đánh giá cần thẩm tra sở cứ tuyên bố tuân thủ để xác định rằng tuyên bố các mục tiêu an toàn là nhất quán, như đã được định nghĩa bởi tuyên bố tuân thủ của các PP, với tuyên bố mục tiêu an toàn trong các PP.

Nếu PP không yêu cầu tuân thủ theo PP khác, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu tuân thủ chặt chẽ được yêu cầu bởi PP đã tuân thủ với tuyên bố, không nhất thiết phải có sở cứ tuyên bố tuân thủ. Thay vào đó, người đánh giá xác định liệu:

• PP được đánh giá chứa tất cả mục tiêu an toàn cho TOE của PP đã tuân thủ với tuyên bố. Lưu ý rằng nó cho phép PP được đánh giá bổ sung mục tiêu có an toàn cho TOE;

• PP được đánh giá chứa tất cả các mục tiêu an toàn chính xác đối với môi trường vận hành (với ngoại lệ được trình bày ở ý tiếp theo) không. Lưu ý rằng không cho phép PP được đánh giá bổ sung mục tiêu an toàn đối với môi trường vận hành;

• PP được đánh giá có thể xác định các mục tiêu nhất định đối với môi trường vận hành trong PP đã tuân thủ với tuyên bố là các mục tiêu an toàn cho TOE trong PP được đánh giá. Đây là trường hợp ngoại lệ được trình bày ở ý trước.

Nếu tuân thủ diễn giải được được yêu cầu bởi PP mà tuân thủ đang được yêu cầu, người đánh giá thẩm tra sở cứ tuyên bố tuân thủ để xác định rằng nó chứng minh tuyên bố các mục tiêu an toàn của PP được đánh giá là tương đương hoặc chặt chẽ hơn so với tuyên bố các mục tiêu an toàn trong PP đã tuân thủ với tuyên bố.

...

TCVN 8709-3 (ISO/IEC 15408-3) APE_CCL.1.10C: Sở cứ tuyên bố tuân thủ cần chứng minh rằng các yêu cầu tuyên bố an toàn là nhất quán với các yêu cầu tuyên bố về an toàn trong các PP đã tuân thủ với tuyên bố.

8.4.1.3.12 Đơn vị công việc APE_CCL.1-12

Người đánh giá cần thẩm tra PP để xác định rằng nó là nhất quán, như đã được xác định bởi tuyên bố tuân thủ của PP, với tất cả các yêu cầu an toàn trong các PP mà sự tuân thủ được yêu cầu.

Nếu PP không yêu cầu tuân thủ theo PP khác, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu tuân thủ chặt chẽ được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, không cần sở cứ yêu cầu tuân thủ. Thay vào đó, Người đánh giá xác định xem tuyên bố các yêu cầu an toàn trong PP được đánh giá có là một tập lớn hoặc giống với tuyên bố về các yêu cầu an toàn trong PP mà sự tuân thủ được yêu cầu không (đối với tuân thủ chặt chẽ).

Nếu tính tuân thủ diễn giải được được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định nó chứng minh rằng tuyên bố các yêu cầu an toàn của PP được đánh giá là tương đương hoặc chặt chẽ hơn so với tuyên bố các yêu cầu an toàn trong PP mà sự tuân thủ được yêu cầu.

Hướng dẫn về "tương đương hoặc chặt chẽ hơn" xem Phụ lục D TCVN 8709-1 (ISO/IEC 15408-1), tuân thủ PP.

TCVN 8709-3 (ISO/IEC 15408-3) APE_CCL.1.11C: Tuyên bố tuân thủ cần mô tả sự tuân thủ đã yêu cầu của bất kỳ các PP/ST trong PP như tuân thủ PP chặt chẽ hoặc PP diễn giải được.

8.4.1.3.13 Đơn vị công việc APE_CCL.1-13

...

8.5 Định nghĩa vấn đề an toàn (APE_SPD)

8.5.1 Đánh giá hoạt động con (APE_SPD.1)

8.5.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định rằng vấn đề an toàn dự kiến được đề cập đến bởi TOE và môi trường vận hành của nó được xác định rõ ràng.

8.5.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) PP.

8.5.1.3 Hành động APE_SPD.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) APE_SPD.1.1C: Định nghĩa vấn đề an toàn cần mô tả các mối đe dọa.

...

Người đánh giá cần kiểm tra rằng định nghĩa vấn đề an toàn mô tả các mối đe dọa.

Nếu tất cả các mục tiêu an toàn xuất phát từ các giả thiết và/hoặc chỉ các OSP, tuyên bố các mối đe dọa không cần có trong PP. Trong trường hợp này, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng định nghĩa vấn đề an toàn mô tả các mối đe dọa phải được chống lại bởi TOE và/hoặc môi trường vận hành của nó.

TCVN 8709-3 (ISO/IEC 15408-3) APE_SPD.1.2C: Tất cả các mối đe dọa cần được mô tả dưới dạng tác nhân đe dọa, tài sản và hành động có hại.

8.5.1.3.2 Đơn vị công việc APE_SPD.1-2

Người đánh giá cần thẩm tra định nghĩa vấn đề an toàn để xác định rằng tất cả các mối đe dọa được mô tả dưới dạng tác nhân đe dọa, tài sản và hành động có hại.

Nếu tất cả các mục tiêu an toàn chỉ xuất phát từ giả thiết và các OSP, tuyên bố các mối đe dọa không cần có trong PP. Trong trường hợp này, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Các tác nhân đe dọa có thể được mô tả bằng cách thêm các phương diện như chuyên môn, nguồn lực, cơ hội và động lực.

TCVN 8709-3 (ISO/IEC 15408-3) APE_SPD.1,3C: Định nghĩa vấn đề an toàn cần mô tả các OSP.

...

Người đánh giá cần kiểm tra rằng định nghĩa vấn đề an toàn mô tả các OSP.

Nếu tất cả các mục tiêu an toàn chỉ xuất phát từ giả thiết và/hoặc các mối đe dọa, các OSP không cần có trong PP. Trong trường hợp này, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng các tuyên bố OSP được thực hiện trong điều khoản quy tắc hoặc hướng dẫn phải theo TOE và/hoặc môi trường vận hành của nó.

Người đánh giá xác định rằng mỗi OSP được giải thích và/hoặc diễn dịch đầy đủ chi tiết để nó rõ ràng dễ hiểu; trình bày rõ ràng về các tuyên bố chính sách là được yêu cầu để cho phép theo dấu mục tiêu an toàn cho chúng.

TCVN 8709-3 (ISO/IEC 15408-3) APE_SPD.1.4C: Định nghĩa vấn đề an toàn cần mô tả các giả thiết về môi trường vận hành của TOE.

8.5.1.3.4 Đơn vị công việc APE_SPD.1-4

Người đánh giá cần thẩm tra định nghĩa vấn đề an toàn để xác định rằng nó mô tả các giả thiết về môi trường vận hành của TOE.

Nếu không có các giả thiết, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng mỗi giả thiết về môi trường vận hành của TOE được diễn giải đầy đủ chi tiết, cho phép người sử dụng xác định môi trường vận hành của chúng phù hợp với giả thiết. Nếu các giả thiết chưa được hiểu rõ, kết quả cuối cùng là TOE có thể được sử dụng trong môi trường vận hành theo cách không an toàn.

...

8.6.1 Đánh giá hoạt động con (APE_OBJ.1)

8.6.1.1 Mục tiêu

Mục tiêu của hoạt động con này để xác định liệu mục tiêu an toàn cho môi trường vận hành có được xác định rõ ràng không.

8.6.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) PP.

8.6.1.3 Hành động APE_OBJ.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) APE_OBJ.1.1C: Tuyên bố các mục tiêu an toàn cần mô tả các mục tiêu an toàn cho môi trường vận hành.

8.6.1.3.1 Đơn vị công việc APE_OBJ.1-1

...

Người đánh giá kiểm tra rằng các mục tiêu an toàn cho môi trường vận hành đã được xác định.

8.6.2 Đánh giá hoạt động con (APE_OBJ.2)

8.6.2.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các mục tiêu an toàn có đề cập đến định nghĩa vấn đề an toàn một cách thỏa đáng và đầy đủ không và việc phân chia vấn đề này giữa TOE và môi trường vận hành của nó có được xác định rõ ràng không.

8.6.2.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) PP.

8.6.2.3 Hành động APE_OBJ.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) APE_OBJ.2.1C: Tuyên bố về các mục tiêu an toàn cần mô tả các mục tiêu an toàn cho TOE và các mục tiêu an toàn cho môi trường vận hành.

...

Người đánh giá cần kiểm tra rằng tuyên bố các mục tiêu an toàn định nghĩa các mục tiêu an toàn cho TOE và các mục tiêu an toàn cho môi trường vận hành.

Người đánh giá kiểm tra rằng cả hai phạm trù mục tiêu an toàn đã được xác định rõ ràng và tách bạch với nhau.

TCVN 8709-3 (ISO/IEC 15408-3) APE_OBJ.2.2C: Sở cứ các mục tiêu an toàn cần theo dấu từng mục tiêu an toàn cho TOE chống lại các mối đe dọa bởi mục tiêu an toàn đó và các OSP được thực thi bởi mục tiêu an toàn.

8.6.2.3.2 Đơn vị công việc APE_OBJ.2-2

Người đánh giá cần kiểm tra rằng sở cứ các mục tiêu an toàn theo dấu tất cả các mục tiêu an toàn cho TOE đến các mối đe dọa được chống lại bởi các mục tiêu và/hoặc các OSP được thực thi bởi mục tiêu an toàn.

Mỗi mục tiêu an toàn cho TOE có thể theo dấu đến các mối đe dọa hoặc các OSP hoặc sự kết hợp của các mối đe dọa và các OSP, nhưng nó phải theo dấu đến ít nhất một mối đe dọa hoặc một OSP.

Lỗi khi thực hiện theo dấu có nghĩa là sở cứ mục tiêu an toàn không đầy đủ, định nghĩa vấn đề an toàn không đầy đủ hoặc mục tiêu an toàn cho TOE không có mục đích hữu ích.

TCVN 8709-3 (ISO/IEC 15408-3) APE_OBJ.2.3C: Sở cứ các mục tiêu an toàn cần theo dấu từng mục tiêu an toàn cho môi trường vận hành chống lại các mối đe dọa bởi mục tiêu an toàn đó và các OSP được thực thi bởi mục tiêu an toàn và giả thiết duy trì mục tiêu an toàn.

8.6.2.3.3 Đơn vị công việc APE_OBJ.2-3

...

Mỗi mục tiêu an toàn cho môi trường vận hành có thể theo dấu các mối đe dọa, các OSP, các giả thiết hoặc sự kết hợp của các mối đe dọa, các OSP và/hoặc các giả thiết, nhưng nó phải theo dấu ít nhất một mối đe dọa, một OSP hoặc một giả thiết.

Lỗi khi thực hiện theo dấu có nghĩa là sở cứ mục tiêu an toàn không đầy đủ, định nghĩa vấn đề an toàn không đầy đủ hoặc mục tiêu an toàn cho môi trường vận hành không có mục đích hữu ích.

TCVN 8709-3 (ISO/IEC 15408-3) APE_OBJ.2.4C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an toàn chống lại tất cả các mối đe dọa.

8.6.2.3.4 Đơn vị công việc APE_OBJ.2-4

Người đánh giá cần thẩm tra sở cứ các mục tiêu an toàn để xác định rằng nó biện minh cho mỗi mối đe dọa rằng các mục tiêu an toàn là phù hợp để chống lại mối đe dọa đó.

Nếu không có mục tiêu an toàn theo dấu mối đe dọa, thì hành động của người đánh giá liên quan đến đơn vị công việc này được chỉ định là một nhận định không đạt.

Người đánh giá xác định rằng việc biện minh cho một mối đe dọa cho thấy liệu mối đe dọa có được loại bỏ, giảm bớt hoặc giảm nhẹ hay không.

Người đánh giá xác định rằng biện minh cho một mối đe dọa chứng minh rằng các mục tiêu an toàn là đầy đủ: nếu tất cả các mục tiêu an toàn theo dấu mối đe dọa đã đạt được, thì mối đe dọa đã được loại bỏ, giảm nhẹ hoặc những ảnh hưởng của các mối đe dọa được giảm nhẹ.

Lưu ý rằng việc theo dấu từ các mục tiêu an toàn đến các mối đe dọa được cung cấp trong sở cứ mục tiêu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính nó. Ngay cả trong trường hợp một mục tiêu an toàn chỉ là một tuyên bố phản ánh mục đích để ngăn chặn một mối đe dọa cụ thể đang được thực hiện, thì sự biện minh được yêu cầu, nhưng biện minh này có thể là tối thiểu như "mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y".

...

TCVN 8709-3 (ISO/IEC 15408-3) APE_OBJ.2.5C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an toàn thực thi tất cả OSP.

8.6.2.3.5 Đơn vị công việc APE_OBJ.2-5

Người đánh giá cần thẩm tra sở cứ các mục tiêu an toàn để xác định rằng đối với mỗi OSP nó biện minh rằng các mục tiêu an toàn là phù hợp để thực thi OSP đó.

Nếu không có mục tiêu an toàn theo dấu OSP, hành động của người đánh giá liên quan đến đơn vị công việc này được chỉ định là nhận định không đạt.

Người đánh giá xác định rằng biện minh cho các diễn giải mối đe dọa tại các mục tiêu an toàn là đầy đủ: nếu tất cả các mục tiêu an toàn theo dấu OSP đạt được, OSP được thực thi.

Người đánh giá cũng xác định mỗi mục tiêu an toàn theo dấu quay lại OSP là được yêu cầu: khi mục tiêu an toàn đạt được nó thực sự góp phần vào việc thực thi của OSP.

Lưu ý rằng việc theo dấu từ các mục tiêu an toàn đến các mối đe dọa được cung cấp trong sở cứ mục tiêu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính nó. Ngay cả trong trường hợp đó, mục tiêu an toàn chỉ là một tuyên bố phản ánh mục đích để ngăn chặn một mối đe dọa cụ thể đang được thực hiện, một sự biện minh là được yêu cầu, nhưng biện minh này là tối thiểu "Mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y".

TCVN 8709-3 (ISO/IEC 15408-3) APE_OBJ.2.6C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an toàn cho môi trường vận hành duy trì tất cả các giả thiết.

8.6.2.3.6 Đơn vị công việc APE_OBJ.2-6

...

Nếu không có các mục tiêu an toàn cho môi trường vận hành theo dấu giả thiết, hành động của người đánh giá liên quan đến đơn vị công việc này được chỉ định là nhận định không đạt.

Người đánh giá xác định rằng biện minh cho một giả thiết về môi trường vận hành của TOE diễn giải rằng các mục tiêu an toàn là đầy đủ: nếu tất cả các mục tiêu an toàn cho môi trường vận hành theo dấu giả thiết đạt được, môi trường vận hành duy trì giả thiết.

Người đánh giá cũng xác định mỗi mục tiêu an toàn cho môi trường vận hành theo dấu giả thiết về môi trường vận hành của TOE là được yêu cầu: khi mục tiêu an toàn đạt được nó thực sự góp phần vào việc duy trì môi trường vận hành giả thiết.

Lưu ý rằng việc theo dấu từ các mục tiêu an toàn cho môi trường vận hành đến các giả thiết đã cung cấp trong sở cứ các mục tiêu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính nó. Trong trường hợp đó, mục tiêu an toàn của môi trường vận hành chỉ đơn thuần là trình bày lại một giả thiết, một sự biện minh sẽ được yêu cầu, nhưng biện minh này là tối thiểu "Mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y".

8.7 Định nghĩa các thành phần mở rộng (APE_ECD)

8.7.1 Đánh giá hoạt động con (APE_ECD.1)

8.7.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các thành phần mở rộng có được định nghĩa rõ ràng và mạch lạc không và chúng có cần thiết không, nghĩa là chúng có thể đã không được thể hiện rõ ràng khi sử dụng các thành phần TCVN 8709-2 (ISO/IEC 15408-2) hoặc TCVN 8709-3 (ISO/IEC 15408-3) đang tồn tại.

8.7.1.2 Đầu vào

...

a) PP.

8.7.1.3 Hành động APE_ECD.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) APE_ECD.1.1C: Tuyên bố các yêu cầu an toàn cần xác định tất cả các yêu cầu an toàn mở rộng.

8.7.1.3.1 Đơn vị công việc APE_ECD.1-1

Người đánh giá cần kiểm tra rằng tất cả các yêu cầu an toàn trong tuyên bố về các yêu cầu an toàn mà không được xác định là các yêu cầu mở rộng đều có trong TCVN 8709 (ISO/IEC 15408) -2 hoặc TCVN 8709-3 (ISO/IEC 15408-3).

TCVN 8709-3 (ISO/IEC 15408-3) APE_ECD.1.2C: Định nghĩa các thành phần mở rộng cần xác định thành phần mở rộng cho từng yêu cầu an toàn mở rộng.

8.7.1.3.2 Đơn vị công việc APE_ECD.1-2

Người đánh giá cần kiểm tra rằng định nghĩa các thành phần mở rộng xác định thành phần mở rộng cho từng yêu cầu an toàn mở rộng.

Nếu PP không chứa các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

...

TCVN 8709-3 (ISO/IEC 15408-3) APE_ECD.1.3C: Định nghĩa các thành phần mở rộng cần mô tả cách thức mỗi thành phần mở rộng quan hệ thế nào với các lớp, họ và thành phần TCVN 8709 (ISO/IEC 15408) đang tồn tại.

8.7.1.3.3 Đơn vị công việc APE_ECD.1-3

Nếu PP không có các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng mỗi thành phần mở rộng hoặc là:

a) thành phần của họ TCVN 8709-2 (ISO/IEC 15408-2) hoặc TCVN 8709-3 (ISO/IEC 15408-3) đang tồn tại hoặc là

b) thành phần của một họ mới được định nghĩa trong PP.

Nếu thành phần mở rộng là thành phần của họ TCVN 8709-2 (ISO/IEC 15408-2) hoặc TCVN 8709-3 (ISO/IEC 15408-3) đang tồn tại, người đánh giá xác định rằng định nghĩa các thành phần mở rộng mô tả đầy đủ lý do tại sao các thành phần mở rộng nên là một thành phần của họ và nó liên quan với các thành phần khác của họ đó như thế nào.

Nếu các thành phần mở rộng là một thành phần của một họ mới được định nghĩa trong PP, người đánh giá xác nhận rằng các thành phần mở rộng là không phù hợp với họ đang tồn tại.

...

a) thành phần của lớp trong TCVN 8709-2 (ISO/IEC 15408-2) hoặc TCVN 8709-3 (ISO/IEC 15408-3) đang tồn tại hoặc là

b) thành phần của một lớp mới được định nghĩa trong PP.

Nếu họ là thành phần của lớp trong TCVN 8709-2 (ISO/IEC 15408-2) hoặc TCVN 8709-3 (ISO/IEC 15408-3) đang tồn tại, người đánh giá xác định rằng định nghĩa các thành phần mở rộng mô tả đầy đủ tại sao nó nên là một thành phần của lớp đó và nó liên quan đến họ khác trong lớp đó như thế nào.

Nếu họ là thành phần của một lớp mới được định nghĩa trong PP, người đánh giá xác nhận rằng họ không thích hợp đối với lớp đang tồn tại.

8.7.1.3.4 Đơn vị công việc APE_ECD.1-4

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của một thành phần mở rộng xác định tất cả các phụ thuộc có thể áp dụng của thành phần đó.

Nếu PP không có các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác nhận rằng các phụ thuộc không thể áp dụng đã được bỏ qua bởi tác giả PP.

TCVN 8709-3 (ISO/IEC 15408-3) APE_ECD.1.4C: Định nghĩa các thành phần mở rộng cần sử dụng các lớp, họ, thành phần TCVN 8709 (ISO/IEC 15408) đang tồn tại và phương pháp luận như là mô hình cho trình bày.

...

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi thành phần chức năng mở rộng sử dụng các thành phần TCVN 8709-2 (ISO/IEC 15408-2) đang tồn tại như là mô hình cho trình bày.

Nếu PP không có các SFR mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng thành phần chức năng mở rộng là nhất quán với TCVN 8709-2 (ISO/IEC 15408-2): Điều 6.1.3, cấu trúc thành phần.

Nếu thành phần chức năng mở rộng sử dụng các hoạt động, người đánh giá xác định rằng thành phần chức năng mở rộng là nhất quán với Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động. Nếu thành phần chức năng mở rộng là phân cấp của thành phần chức năng đang tồn tại, người đánh giá xác định rằng thành phần chức năng mở rộng là nhất quán với TCVN 8709-2 (ISO/IEC 15408-2), Điều 6.2.1, Nhấn mạnh các thay đổi thành phần.

8.7.1.3.6 Đơn vị công việc APE_ECD.1-6

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của họ chức năng mới sử dụng các họ chức năng của TCVN 8709 (ISO/IEC 15408) đang tồn tại như là mô hình cho trình bày.

Nếu PP không định nghĩa các họ chức năng mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả các họ chức năng mới được định nghĩa nhất quán với Điều 6.1.2 TCVN 8709-2 (ISO/IEC 15408-2), Cấu trúc họ.

8.7.1.3.7 Đơn vị công việc APE_ECD.1-7

...

Nếu PP không định nghĩa các lớp chức năng mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả lớp chức năng mới được định nghĩa nhất quán với Điều 6.1.1 TCVN 8709-2 (ISO/IEC 15408-2), Cấu trúc lớp.

8.7.1.3.8 Đơn vị công việc APE_ECD.1-8

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của thành phần đảm bảo mở rộng sử dụng các thành phần trong TCVN 8709-3 (ISO/IEC 15408-3) đang tồn tại như là mô hình cho trình bày.

Nếu PP không chứa các SAR mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng định nghĩa thành phần đảm bảo mở rộng là nhất quán với Điều 6.1.3 TCVN 8709-3 (ISO/IEC 15408-3), Cấu trúc thành phần đảm bảo.

Nếu thành phần đảm bảo mở rộng sử dụng các hoạt động, người đánh giá xác định rằng các thành phần đảm bảo mở rộng là nhất quán với Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động. Nếu thành phần bảo đảm mở rộng là phân cấp của thành phần đảm bảo đang tồn tại, người đánh giá xác định rằng thành phần đảm bảo mở rộng là nhất quán với Điều 6.1.3 TCVN 8709-3 (ISO/IEC 15408-3), Cấu trúc thành phần đảm bảo.

8.7.1.3.9 Đơn vị công việc APE_ECD.1-9

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng, đối với mỗi thành phần đảm bảo mở rộng định nghĩa, phương pháp luận áp dụng đã được cung cấp.

...

Người đánh giá xác định rằng, cho mỗi phần tử hành động của người đánh giá của mỗi SAR mở rộng, được cung cấp một hoặc nhiều đơn vị công việc và thực hiện thành công tất cả các đơn vị công việc cho yếu tố hành động được đánh giá sẽ chứng minh rằng các phần tử đã đạt được.

8.7.1.3.10 Đơn vị công việc APE_ECD.1-10

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của họ đảm bảo sử dụng các họ đảm bảo trong TCVN 8709 (ISO/IEC 15408) đang tồn tại như là mô hình cho trình bày.

Nếu PP không định nghĩa các họ bảo đảm mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả các họ bảo đảm mới được định nghĩa nhất quán với Điều 6.1.2 TCVN 8709-3 (ISO/IEC 15408-3), Cấu trúc họ đảm bảo.

8.7.1.3.11 Đơn vị công việc APE_ECD.1-11

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của một lớp đảm bảo mới sử dụng các lớp đảm bảo trong TCVN 8709 (ISO/IEC 15408) đang tồn tại như là mô hình cho trình bày.

Nếu PP không định nghĩa các lớp bảo đảm mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả các lớp đảm bảo mới được định nghĩa nhất quán với Điều 6.1.1 TCVN 8709-3 (ISO/IEC 15408-3), Cấu trúc lớp đảm bảo.

...

8.7.1.3.12 Đơn vị công việc APE_ECD.1-12

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi phần tử trong mỗi thành phần mở rộng là đo được và các yêu cầu đánh giá mục tiêu trạng thái như là tuân thủ hoặc không tuân thủ có thể được chứng minh.

Nếu PP không có các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng các phần tử của các thành phần chức năng mở rộng được thể hiện theo cách mà chúng có thể kiểm chứng và có thể theo dấu thông qua các đại diện TSF thích hợp.

Người đánh giá cũng xác định các phần tử của các thành phần đảm bảo mở rộng tránh tạo ra phán xét đánh giá chủ quan.

Người đánh giá được nhắc nhở rằng khi đo lường và mục tiêu phù hợp với tất cả các tiêu chí đánh giá, phải thừa nhận rằng không tồn tại phương pháp chính thức để chứng minh đặc tính đó. Do đó, các thành phần chức năng và đảm bảo của TCVN 8709 (ISO/IEC 15408) đang tồn tại sẽ được sử dụng như một mô hình để xác định thế nào là tuân thủ với yêu cầu này.

8.7.1.4 Hành động APE_ECD.1.2E

8.7.1.4.1 Đơn vị công việc APE_ECD.1-13

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi thành phần mở rộng có thể đã không được thể hiện rõ ràng khi sử dụng các thành phần đang tồn tại.

...

Người đánh giá nên xem xét các thành phần từ TCVN 8709-2 (ISO/IEC 15408-2) và TCVN 8709-3 (ISO/IEC 15408-3), các thành phần mở rộng khác đã được định nghĩa trong PP, sự kết hợp của các thành phần này và các hoạt động có thể trên các thành phần này trong khi đưa ra quyết định này.

Người đánh giá được nhắc nhở rằng vai trò của đơn vị công việc này là để loại trừ sự trùng lặp không được yêu cầu của các thành phần, có nghĩa là, các thành phần có thể được thể hiện rõ ràng bằng cách sử dụng các thành phần khác. Người đánh giá không nên thực hiện việc tìm kiếm đầy đủ tất cả các kết hợp có thể bao gồm các hoạt động trong nỗ lực để tìm một cách thể hiện các thành phần mở rộng bằng cách sử dụng các thành phần đang tồn tại.

8.8 Các yêu cầu an toàn (APE_REQ)

8.8.1 Đánh giá hoạt động con (APE_REQ.1)

8.8.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các SFR và SAR có rõ ràng, mạch lạc và được định nghĩa rõ ràng không và liệu chúng có nhất quán nội bộ không.

8.8.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) PP.

...

TCVN 8709-3 (ISO/IEC 15408-3) APE_REQ.1.1C: Tuyên bố về các yêu cầu an toàn cần mô tả các SFR và SAR.

8.8.1.3.1 Đơn vị công việc APE_REQ.1-1

Người đánh giá cần kiểm tra rằng tuyên bố các yêu cầu an toàn mô tả các SFR.

Người đánh giá xác định rằng mỗi SFR được xác định bởi một trong những cách sau đây:

a) bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-2 (ISO/IEC 15408-2);

b) bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của PP;

c) bằng cách tham chiếu đến một PP mà các yêu cầu PP tuân thủ;

d) bằng cách tham chiếu đến gói các yêu cầu an toàn mà các yêu cầu PP tuân thủ;

e) bằng việc tái sản xuất trong PP.

...

8.8.1.3.2 Đơn vị công việc APE_REQ.1-2

Người đánh giá cần kiểm tra rằng tuyên bố các yêu cầu an toàn mô tả các SAR.

Người đánh giá xác định rằng mỗi SFR được xác định bởi một trong những cách sau đây:

a) bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-3 (ISO/IEC 15408-3);

b) bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của PP;

c) bằng cách tham chiếu đến một PP mà các yêu cầu PP tuân thủ;

d) bằng cách tham chiếu đến gói các yêu cầu an toàn mà các yêu cầu PP tuân thủ;

e) bằng việc tái sản xuất trong PP.

Không yêu cầu sử dụng cùng một phương tiện nhận dạng cho tất cả các SAR.

...

8.8.1.3.3 Đơn vị công việc APE_REQ.1-3

Người đánh giá cần thẩm tra PP để xác định rằng tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR được xác định.

Người đánh giá xác định rằng PP xác định tất cả:

• (các kiểu của) các đối tượng và mục tiêu được sử dụng trong các SFR;

• (các kiểu của) thuộc tính an toàn của các đối tượng, người sử dụng, mục tiêu, thông tin, phiên bản và/hoặc tài nguyên, các giá trị mà thuộc tính này có thể cần và bất kỳ các sở cứ giữa các giá trị này (ví dụ như top_secret là "cao hơn" secret);

• (các kiểu của) các hoạt động được sử dụng trong các SFR, bao gồm cả những ảnh hưởng của các hoạt động này;

• (các kiểu của) các thực thể bên ngoài trong SFR;

• các thuật ngữ khác được giới thiệu trong các SFR và/hoặc SAR bằng cách hoàn thành các thao tác, nếu các thuật ngữ này không rõ ràng ngay hoặc được sử dụng bên ngoài định nghĩa từ điển của chúng.

Mục tiêu của đơn vị công việc này là để đảm bảo rằng các SFR và SAR dễ phân biệt và không gây hiểu lầm có thể xảy ra do việc giới thiệu các thuật ngữ không rõ ràng. Đơn vị công việc này không nên đưa vào giới hạn, bằng cách buộc người viết PP xác định tất cả các từ đơn nhất. Các khán giả chung của tập hợp các yêu cầu an toàn nên được giả thiết có kiến thức hợp lý về công nghệ thông tin, an toàn và "Tiêu chí đánh giá về an toàn công nghệ thông tin".

...

Người đánh giá được nhắc nhở rằng các danh sách và định nghĩa không phải là một phần của tuyên bố về các yêu cầu an toàn, nhưng có thể được đặt (một phần hoặc toàn bộ) tại các mục khác nhau. Điều này có thể áp dụng đặc biệt nếu các thuật ngữ tương tự được sử dụng trong phần còn tại của PP.

TCVN 8709-3 (ISO/IEC 15408-3) APE_REQ.1.3C: Tuyên bố về các yêu cầu an toàn cần xác định tất cả các hoạt động trên các yêu cầu an toàn.

8.8.1.3.4 Đơn vị công việc APE_REQ.1-4

Người đánh giá cần kiểm tra tuyên bố các yêu cầu an toàn để xác định tất cả các hoạt động trên các yêu cầu an toàn.

Người đánh giá xác định rằng tất cả các quá trình hoạt động được xác định trong mỗi SFR hoặc SAR nơi quá trình hoạt động được sử dụng. Điều này bao gồm cả các quá trình hoạt động đã hoàn thành và còn dở dang. Nhận dạng có thể thực hiện được bằng cách phân biệt các bản in hoặc bằng cách xác định tường minh trong các văn bản xung quanh hoặc bằng bất kỳ phương tiện đặc trưng khác.

TCVN 8709-3 (ISO/IEC 15408-3) APE_REQ.1.4C: Tất cả các hoạt động cần phải thực hiện đúng.

8.8.1.3.5 Đơn vị công việc APE_REQ.1-5

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động chỉ định đã thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

...

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động lặp lại đã được thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

8.8.1.3.7 Đơn vị công việc APE_REQ.1-7

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động lựa chọn đã được thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể được tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

8.8.1.3.8 Đơn vị công việc APE_REQ.1-8

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động bổ sung chi tiết đã được thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể được tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

TCVN 8709-3 (ISO/IEC 15408-3) APE_REQ.1.5C: Mỗi sự phụ thuộc của các yêu cầu an toàn cần hoặc được thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụ thuộc còn chưa được thỏa mãn.

...

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng mỗi sự phụ thuộc của các yêu cầu an toàn cần hoặc được thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụ thuộc còn chưa được thỏa mãn.

Sự phụ thuộc được thỏa mãn bao gồm các thành phần có liên quan (hoặc một trong số đó là phân cấp của nó) trong tuyên bố các yêu cầu an toàn. Thành phần được sử dụng để đáp ứng sự phụ thuộc nên, nếu được yêu cầu, được sửa đổi bởi các hoạt động để đảm bảo rằng nó thỏa mãn đúng sự phụ thuộc đó.

Biện minh về việc một sự phụ thuộc không được đáp ứng cần đề cập:

a) lý do tại sao sự phụ thuộc là không được yêu cầu hoặc hữu ích, trường hợp nào không yêu cầu thêm thông tin; hoặc

b) sự phụ thuộc đã được đề cập bởi môi trường vận hành của TOE, trường hợp nào biện minh nên mô tả cách thức mà các mục tiêu an toàn cho môi trường vận hành đề cập sự phụ thuộc này.

TCVN 8709-3 (ISO/IEC 15408-3) APE_REQ.1.6C: Tuyên bố về các yêu cầu an toàn cần có tính nhất quán nội bộ.

8.8.1.3.10 Đơn vị công việc APE_REQ.1-10

Người đánh giá cần thẩm tra tuyên bố các yêu cầu an toàn để xác định rằng nó có tính nhất quán nội bộ.

Người đánh giá xác định rằng các thiết lập liên hợp của tất cả các SFR và SAR có tính nhất quán nội bộ.

...

Một số mâu thuẫn có thể là:

a) một SAR mở rộng xác định rằng thiết kế của thuật toán mã hóa cụ thể phải được giữ bí mật và SAR mở rộng khác xác định việc thẩm tra mã nguồn mở;

b) FAU_GEN.1 Tạo ra thế hệ dữ liệu kiểm toán xác định rằng danh tính đối tượng để đăng nhập, FDP_ACC.1 Tập con kiểm soát truy cập xác định những người có quyền truy nhập vào các hồ sơ và FPR_UNO.1 Tính không thể quan sát xác định rằng một số hành động của các đối tượng nên có thể không quan sát được các đối tượng khác. Nếu đối tượng đó không thể quan sát một hoạt động có thể truy nhập các hồ sơ của các hoạt động này, các SFR này mâu thuẫn;

c) FDP_RIP.1 Bảo vệ thông tin còn dư thừa của tập con xác định cụ thể việc xóa các thông tin không còn được yêu cầu và FDP_ROL.1 Khôi phục cơ bản xác định rằng một TOE có thể trở lại trạng thái trước đó. Nếu thông tin đó là được yêu cầu cho việc khôi phục trạng thái trước đó đã bị xóa, các yêu cầu này mâu thuẫn;

d) nhiều phép lặp của FDP_ACC.1 Kiểm soát truy nhập của tập con đặc biệt khi số phép lặp bao gồm cùng các đối tượng, mục tiêu hoặc hoạt động. Nếu một SFR kiểm soát truy cập cho phép đối tượng thực hiện hoạt động trên mục tiêu, trong khi một SFR khác kiểm soát truy nhập không cho phép, các yêu cầu này mâu thuẫn.

8.8.2 Đánh giá hoạt động con (APE_REQ.2)

8.8.2.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các SFR và SAR có rõ ràng, mạch lạc và được xác định rõ ràng không, liệu chúng có nhất quán nội bộ không và liệu các SFR có đáp ứng các mục tiêu an toàn của TOE không.

8.8.2.2 Đầu vào

...

a) PP.

8.8.2.3 Hành động APE_REQ.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) APE_REQ.2.1C: Tuyên bố các yêu cầu an toàn cần mô tả các SFR và SAR.

8.8.2.3.1 Đơn vị công việc APE_REQ.2-1

Người đánh giá cần kiểm tra rằng tuyên bố các yêu cầu an toàn mô tả các SFR.

Người đánh giá xác định rằng mỗi SFR được xác định bởi một trong những cách sau đây:

a) bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-2 (ISO/IEC 15408-2);

b) bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của PP;

c) bằng cách tham chiếu đến thành phần riêng lẻ trong PP mà các yêu cầu PP tuân thủ;

...

e) bằng việc tái sản xuất trong PP.

Không yêu cầu sử dụng cùng một phương tiện nhận dạng cho tất cả các SFR.

8.8.2.3.2 Đơn vị công việc APE_REQ.2-2

Người đánh giá cần kiểm tra rằng tuyên bố các yêu cầu an toàn mô tả các SAR.

Người đánh giá xác định rằng mỗi SFR được xác định bởi một trong những cách sau đây:

a) bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-3 (ISO/IEC 15408-3);

b) bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của PP;

c) bằng cách tham chiếu đến thành phần riêng lẻ trong PP mà các yêu cầu PP tuân thủ;

d) bằng cách tham chiếu đến thành phần riêng lẻ trong gói các yêu cầu an toàn mà các yêu cầu PP tuân thủ;

...

Không yêu cầu sử dụng cùng một phương tiện nhận dạng cho tất cả các SAR.

TCVN 8709-3 (ISO/IEC 15408-3) APE_REQ.2.2C: Tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR cần được định nghĩa.

8.8.2.3.3 Đơn vị công việc APE_REQ.2-3

Người đánh giá xác định rằng PP định nghĩa tất cả:

• (các kiểu của) các đối tượng và mục tiêu được sử dụng trong các SFR;

• (các kiểu của) các hoạt động được sử dụng trong các SFR, bao gồm cả những ảnh hưởng của các hoạt động này;

• (các kiểu của) các thực thể bên ngoài trong SFR;

...

Tất cả các vấn đề trên có thể được trình bày trong các nhóm, các lớp, các vai trò, kiểu hoặc nhóm khác hoặc đặc trưng khác để cho dễ hiểu.

TCVN 8709-3 (ISO/IEC 15408-3) APE_REQ.2.3C Tuyên bố về các yêu cầu an toàn cần xác định tất cả các hoạt động trên các yêu cầu an toàn.

8.8.2.3.4 Đơn vị công việc APE_REQ.2-4

Người đánh giá cần kiểm tra tuyên bố các yêu cầu an toàn để xác định tất cả các hoạt động trên các yêu cầu an toàn.

TCVN 8709-3 (ISO/IEC 15408-3) APE_REQ.2.4C: Tất cả các hoạt động cần phải được thực hiện đúng.

8.8.2.3.5 Đơn vị công việc APE_REQ.2-5

...

Hướng dẫn thực hiện đúng các hoạt động có thể tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

8.8.2.3.6 Đơn vị công việc APE_REQ.2-6

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động lặp lại đã được thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

8.8.2.3.7 Đơn vị công việc APE_REQ.2-7

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động lặp đã được thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể được tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

8.8.2.3.8 Đơn vị công việc APE_REQ.2-8

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động bổ sung chi tiết đã được thực hiện đúng.

...

TCVN 8709-3 (ISO/IEC 15408-3) APE_REQ.2.5C: Mỗi sự phụ thuộc của các yêu cầu an toàn cần hoặc là thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụ thuộc còn chưa được thỏa mãn.

8.8.2.3.9 Đơn vị công việc APE_REQ.2-9

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng mỗi phụ thuộc của các yêu cầu an toàn cần là thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụ thuộc còn chưa được thỏa mãn.

Biện minh sự phụ thuộc không được đáp ứng nên đề cập:

a) lý do tại sao sự phụ thuộc không được yêu cầu hoặc hữu ích, trường hợp nào thông tin không được yêu cầu thêm; hoặc

b) sự phụ thuộc đã được đề cập bởi các môi trường vận hành của TOE, trong trường hợp nào biện minh nên mô tả các mục tiêu an toàn để môi trường vận hành đề cập sự phụ thuộc này.

TCVN 8709-3 (ISO/IEC 15408-3) APE_REQ.2.6C: Sở cứ các yêu cầu an toàn cần theo dấu mỗi SFR theo các mục tiêu an toàn cho TOE.

8.8.2.3.10 Đơn vị công việc APE_REQ.2-10

...

Người đánh giá xác định rằng mỗi SFR được theo dấu ít nhất một mục tiêu an toàn cho TOE.

Lỗi khi thực hiện theo dấu có nghĩa là sở cứ các yêu cầu an toàn không đầy đủ, các mục tiêu an toàn cho TOE không đầy đủ hoặc SFR không có mục đích hữu ích.

TCVN 8709-3 (ISO/IEC 15408-3) APE_REQ.2.7C: Sở cứ các yêu cầu an toàn cần chứng minh rằng SFR đáp ứng tất cả các mục tiêu an toàn cho TOE.

8.8.2.3.11 Đơn vị công việc APE_REQ.2-11

Người đánh giá cần thẩm tra sở cứ các yêu cầu an toàn để xác định rằng mỗi mục tiêu an toàn cho TOE nó biện minh rằng các SFR phù hợp để đáp ứng mục tiêu an toàn cho TOE.

Nếu các SFR không theo dấu mục tiêu an toàn cho TOE, hành động của người đánh giá liên quan đến đơn vị công việc này được chỉ định là nhận định không đạt.

Người đánh giá xác định rằng biện minh mục tiêu an toàn cho TOE chứng minh rằng các SFR là đầy đủ: nếu tất cả các SFR theo dấu mục tiêu được thỏa mãn thì sẽ đạt được mục tiêu an toàn cho TOE. Nếu các SFR theo dấu mục tiêu an toàn cho TOE có bất kỳ chỉ định chưa hoàn thành hoặc các lựa chọn chưa hoàn thành hoặc dở dang, người đánh giá xác định rằng đối với mỗi hoàn thành có thể hiểu được hoặc sự kết hợp các hoàn tất các hoạt động này, các mục tiêu an toàn vẫn được đáp ứng.

Người đánh giá cũng xác định rằng mỗi SFR theo dấu một mục tiêu an toàn cho TOE là được yêu cầu: khi SFR được thỏa mãn, nó thực sự góp phần vào việc đạt được các mục tiêu an toàn.

Lưu ý rằng theo dấu từ các SFR tại các mục tiêu an toàn cho TOE được cung cấp trong sở cứ các yêu cầu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính nó.

...

8.8.2.3.12 Đơn vị công việc APE_REQ.2-12

Người đánh giá cần kiểm tra rằng sở cứ các yêu cầu an toàn giải thích tại sao các SAR được lựa chọn.

Người đánh giá được nhắc nhở rằng mọi lời giải thích là chính xác, miễn là nó mạch lạc và cả các SAR và phần giải thích đều không có sự không nhất quán hiển nhiên với phần còn lại của PP.

Ví dụ sự không nhất quán hiển nhiên giữa các SAR và phần còn lại của PP sẽ là các tác nhân đe dọa rất có năng lực, nhưng AVA_VAN SAR không bảo vệ chống lại các tác nhân đe dọa này.

TCVN 8709-3 (ISO/IEC 15408-3) APE_REQ.2.9C: Tuyên bố về các yêu cầu an toàn cần nhất quán nội bộ.

8.8.2.3.13 Đơn vị công việc APE_REQ.2-13

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định nó là nhất quán nội bộ. Người đánh giá xác định rằng các thiết lập liên hợp của tất cả các SFR và SAR là nhất quán nội bộ. Người đánh giá xác định rằng trong tất cả các cơ hội mà tại đó các yêu cầu an toàn khác nhau áp dụng cho cùng một loại bằng chứng của nhà phát triển, các sự kiện, các hoạt động, dữ liệu, kiểm thử cần được thực hiện v.v.. hoặc "tất cả các đối tượng", "tất cả các mục tiêu" v.v..., mà các yêu cầu này không mâu thuẫn.

Một số mâu thuẫn có thể là:

a) một SAR mở rộng xác định rằng thiết kế của thuật toán mã hóa cụ thể phải được giữ bí mật và SAR mở rộng khác xác định một việc soát xét mã nguồn mở;

...

d) nhiều phép lặp của FDP_ACC.1 Kiểm soát truy nhập của tập con đặc biệt khi số phép lặp bao gồm cùng các đối tượng, mục tiêu hoặc hoạt động. Nếu một SFR kiểm soát truy nhập cho phép đối tượng thực hiện hoạt động trên mục tiêu, trong khi một SFR khác kiểm soát truy nhập không cho phép, các yêu cầu này mâu thuẫn.

9 Lớp ASE: Đánh giá đích an toàn

9.1 Giới thiệu

Điều này mô tả việc đánh giá một ST. Việc đánh giá ST nên được bắt đầu trước khi có bất kỳ hoạt động con đánh giá TOE do ST cung cấp cơ sở và bối cảnh để thực hiện các hoạt động con này. Phương pháp luận đánh giá trong Điều này căn cứ vào các yêu cầu dựa trên ST theo quy định tại TCVN 8709-3 (ISO/IEC 15408-3) lớp ASE.

Điều này nên sử dụng kết hợp với các Phụ lục A, B và C trong TCVN 8709-1 (ISO/IEC 15408-1), vì các Phụ lục này làm rõ các khái niệm nêu ở đây và cung cấp nhiều ví dụ.

9.2 Lưu ý áp dụng

9.2.1 Tái sử dụng kết quả đánh giá của các PP đã được chứng nhận

Trong khi việc đánh giá một ST dựa trên một hoặc nhiều PP đã được chứng nhận, có thể tái sử dụng một thực tế rằng các PP này đã được chứng nhận. Khả năng tái sử dụng kết quả của một PP đã được chứng nhận lớn hơn nếu ST không đưa thêm các mối đe dọa, các OSP, các mục tiêu an toàn và/hoặc các yêu cầu an toàn vào những PP đó. Nếu ST đó chứa nhiều hơn PP đã được chứng nhận thì tái sử dụng có thể thực sự không có tác dụng.

...

Ví dụ khi PP tuân thủ đang được yêu cầu có chứa một tập hợp các yêu cầu an toàn và chúng được xác định là nhất quán nội bộ trong quá trình đánh giá nó. Nếu PP được đánh giá sử dụng các yêu cầu đúng như vậy, phân tích tính nhất quán không phải lặp lại trong quá trình đánh giá PP. Nếu PP được đánh giá thêm một hoặc nhiều yêu cầu hoặc thực hiện các hoạt động trên các yêu cầu này, việc phân tích sẽ phải được lặp lại. Tuy nhiên, có thể tiết kiệm việc phân tích tính nhất quán này bằng cách sử dụng thực tế các yêu cầu ban đầu là nhất quán nội bộ. Nếu các yêu cầu ban đầu là nhất quán nội bộ, người đánh giá chỉ cần xác định rằng:

a) tập hợp tất cả các yêu cầu mới và/hoặc thay đổi là nhất quán nội bộ và

b) tập tất cả các yêu cầu mới và/hoặc thay đổi nhất quán với yêu cầu ban đầu.

Người đánh giá lưu ý trong ETR các trường hợp khi việc phân tích không được thực hiện hoặc chỉ được thực hiện một phần vì lý do này.

9.3 Giới thiệu ST (ASE_INT)

9.3.1 Đánh giá hoạt động con (ASE_INT.1)

9.3.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu ST và TOE có được nhận dạng đúng không, liệu TOE có được mô tả đúng trong cách tường thuật ở ba cấp độ trừu tượng (tham chiếu TOE, tổng quan TOE và mô tả TOE) không và liệu ba mô tả này có nhất quán với nhau không.

9.3.1.2 Đầu vào

...

a) ST.

9.3.1.3 Hành động ASE_INT.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ASE_INT.1.1C: Giới thiệu ST cần chứa tham chiếu ST, tham chiếu TOE, tổng quan TOE và mô tả TOE.

9.3.1.3.1 Đơn vị công việc ASE_INT.1-1

Người đánh giá cần kiểm tra rằng giới thiệu ST có chứa tham chiếu ST, tham chiếu TOE, tổng quan TOE và mô tả TOE.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_INT.1.2C: Tham chiếu ST cần xác định duy nhất cho ST.

9.3.1.3.2 Đơn vị công việc ASE_INT.1-2

Người đánh giá cần kiểm tra tham chiếu ST để xác định rằng nó xác định duy nhất cho ST.

Người đánh giá xác định rằng tham chiếu ST xác định chính bản thân ST, do đó nó có thể dễ dàng phân biệt với các ST khác và nó cũng xác định duy nhất trong mỗi phiên bản của ST, ví dụ: bằng cách đưa vào số phiên bản và/hoặc ngày công bố.

...

TCVN 8709-3 (ISO/IEC 15408-3) ASE_INT.1.3C: Tham chiếu TOE cần xác định TOE.

9.3.1.3.3 Đơn vị công việc ASE_INT.1-3

Người đánh giá cần thẩm tra tham chiếu TOE để xác định rằng nó xác định TOE.

Người đánh giá xác định rằng tham chiếu TOE xác định TOE, do đó, TOE rõ ràng tham chiếu đến ST và nó cũng xác định các phiên bản của TOE, ví dụ: bằng cách đưa vào số phiên bản/phát hành/thiết kế hoặc ngày phát hành.

9.3.1.3.4 Đơn vị công việc ASE_INT.1-4

Người đánh giá cần thẩm tra tham chiếu TOE để xác định rằng nó không sai lệch.

Nếu TOE có liên quan đến một hoặc nhiều sản phẩm nổi tiếng, nó được cho phép phản ánh điều này trong các tham chiếu TOE. Tuy nhiên, điều này không nên sử dụng để đánh lừa người tiêu dùng: trạng thái này chỉ là một phần nhỏ của một Giao phẩm đánh giá, nhưng tham chiếu TOE không được phép không phản ánh điều này.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_INT.1.4C: Tổng quan TOE cần tóm tắt việc sử dụng và các đặc trưng an toàn chính của TOE.

9.3.1.3.5 Đơn vị công việc ASE_INT.1-5

...

Tổng quan TOE nên ngắn gọn (ví dụ một vài đoạn) mô tả việc sử dụng và các đặc trưng an toàn chính của TOE. Tổng quan TOE nên cho phép người tiêu dùng tiềm năng nhanh chóng xác định liệu TOE có phù hợp cho các nhu cầu an toàn của họ không.

Tổng quan TOE trong ST cho một TOE tổng hợp nên mô tả việc sử dụng và đặc trưng an toàn chính của TOE tổng hợp chứ không phải là các TOE thành phần riêng lẻ.

Người đánh giá xác định rằng tổng quan đủ rõ ràng cho người tiêu dùng và đủ để cung cấp cho họ một sự hiểu biết chung về dự định sử dụng và các đặc trưng an toàn chính của TOE.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_INT.1.5C: Tổng quan TOE cần xác định kiểu TOE.

9.3.1.3.6 Đơn vị công việc ASE_INT.1-6

Người đánh giá cần kiểm tra tổng quan TOE xác định kiểu TOE.

9.3.1.3.7 Đơn vị công việc ASE_INT.1-7

Người đánh giá cần thẩm tra tổng quan TOE để xác định rằng kiểu TOE không sai lệch.

Có những tình huống mà người tiêu dùng nói chung sẽ kỳ vọng một số chức năng của TOE vì kiểu TOE của nó. Nếu chức năng này không có trong TOE, người đánh giá xác định rằng tổng quan TOE đã thảo luận thỏa đáng về việc không có chức năng này.

...

TCVN 8709-3 (ISO/IEC 15408-3) ASE_INT.1.6C: Tổng quan TOE cần xác định bất kỳ phần cứng, phần mềm, phần sụn nào không phải TOE được yêu cầu bởi TOE.

9.3.1.3.8 Đơn vị công việc ASE_INT.1-8

Người đánh giá cần thẩm tra tổng quan TOE để xác định rằng nó xác định bất kỳ phần cứng/phần mềm/phần sụn không phải TOE được yêu cầu bởi TOE.

Trong khi một số TOE có thể chạy độc lập, một số TOE khác (đặc biệt là các TOE phần mềm) cần thêm phần cứng, phần mềm và phần sụn để hoạt động. Nếu TOE không yêu cầu bất kỳ phần cứng, phần mềm và phần sụn nào, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn. Người đánh giá xác định rằng tổng quan TOE xác định bất kỳ phần cứng, phần mềm và phần sụn được yêu cầu cho TOE để hoạt động. Sự xác định này không phải là đầy đủ, nhưng chi tiết này đủ cho người tiêu dùng tiềm năng của TOE xác định liệu phần cứng, phần mềm và phần sụn đang tồn tại của họ có hỗ trợ sử dụng của TOE không và nếu không phải là trường hợp này, có cần phải thêm phần cứng, phần mềm và phần sụn không.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_INT.1.7C: Mô tả TOE cần mô tả phạm vi vật lý của TOE.

9.3.1.3.9 Đơn vị công việc ASE_INT.1-9

Người đánh giá cần thẩm tra mô tả TOE để xác định rằng nó mô tả phạm vi vật lý của TOE.

Người đánh giá xác định rằng các mô tả TOE liệt kê các phần cứng, phần mềm, phần sụn và hướng dẫn các thành phần cấu thành TOE và mô tả chúng ở một mức độ chi tiết đủ để cung cấp cho người đọc một sự hiểu biết chung về những thành phần này.

Người đánh giá cũng xác định rằng không thể hiểu sai về việc liệu một phần cứng, phần mềm, phần sụn hoặc hướng dẫn nào đó có là một phần của TOE không.

...

9.3.1.3.10 Đơn vị công việc ASE_INT.1-10

Người đánh giá cần thẩm tra mô tả TOE để xác định rằng nó mô tả phạm vi logic của TOE.

Người đánh giá xác định rằng các mô tả TOE thảo luận về các tính năng an toàn logic được cung cấp bởi TOE ở mức độ chi tiết đó đủ để cung cấp cho người đọc sự hiểu biết chung về các tính năng này. Người đánh giá cũng xác định rằng không thể hiểu sai về việc liệu một tính năng an toàn logic nào đó có được cung cấp bởi TOE hay không.

Một ST cho một TOE tổng hợp có thể đưa ra mô tả về phạm vi logic của các TOE thành phần, được cung cấp trong các ST của TOE thành phần để cung cấp phần lớn mô tả này cho TOE tổng hợp. Tuy nhiên, người đánh giá xác định rằng ST của TOE tổng hợp thảo luận rõ ràng các tính năng của các thành phần riêng lẻ không nằm trong TOE tổng hợp và do đó không phải là một tính năng của TOE tổng hợp.

9.3.1.4 Hành động ASE_INT.1.2E

9.3.1.4.1 Đơn vị công việc ASE_INT.1-11

Người đánh giá cần thẩm tra tham chiếu TOE, tổng quan TOE và mô tả TOE để xác định rằng chúng nhất quán với nhau.

9.4 Các yêu cầu tuân thủ (ASE_CCL)

9.4.1 Đánh giá hoạt động con (ASE_CCL.1)

...

Mục tiêu của hoạt động con này là xác định tính hợp lệ của các yêu cầu tuân thủ khác nhau. Các yêu cầu này mô tả cách thức ST và TOE tuân thủ với TCVN 8709 (ISO/IEC 15408) và cách thức ST tuân thủ với PP và các gói.

9.4.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) (các) PP mà ST yêu cầu tuân thủ;

c) (các) gói mà ST yêu cầu tuân thủ.

9.4.1.3 Hành động ASE_CCL.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ASE_CCL.1.1C: Yêu cầu tuân thủ cần chứa yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) để xác định phiên bản của TCVN 8709 (ISO/IEC 15408) mà yêu cầu tuân thủ TOE và ST.

9.4.1.3.1 Đơn vị công việc ASE_CCL.1-1

...

Đối với TOE tổng hợp, người đánh giá sẽ xem xét bất kỳ sự khác biệt giữa phiên bản của TCVN 8709 (ISO/IEC 15408) đã yêu cầu đối với TOE thành phần và phiên bản của TCVN 8709 (ISO/IEC 15408) yêu cầu đối với TOE tổng hợp. Nếu các phiên bản khác nhau người đánh giá sẽ đánh giá liệu sự khác biệt giữa các phiên bản có dẫn đến các mâu thuẫn yêu cầu không.

Đối với trường hợp khi các yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) cho TOE cơ sở và TOE phụ thuộc là các bản phát hành chính thức khác nhau của TCVN 8709 (ISO/IEC 15408) (ví dụ như một yêu cầu tuân thủ TOE thành phần là TCVN 8709 (ISO/IEC 15408) v2.x và yêu cầu tuân thủ TOE thành phần khác là TCVN 8709 (ISO/IEC 15408) v3.x), yêu cầu tuân thủ cho TOE tổng hợp sẽ là phiên bản trước đó của TCVN 8709 (ISO/IEC 15408), TCVN 8709 (ISO/IEC 15408) được phát triển với mục tiêu cung cấp tính tương thích ngược (mặc dù điều này có thể không đạt được ý nghĩa chặt chẽ, nó được hiểu phải đạt được về nguyên tắc).

TCVN 8709-3 (ISO/IEC 15408-3) ASE_CCL.1.2C: Yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) cần mô tả tuân thủ của ST theo TCVN 8709-2 (ISO/IEC 15408-2) như là hoặc tuân thủ TCVN 8709-2 (ISO/IEC 15408-2) hoặc mở rộng của TCVN 8709-2 (ISO/IEC 15408-2).

9.4.1.3.2 Đơn vị công việc ASE_CCL.1-2

Người đánh giá cần kiểm tra xem các trạng thái yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) yêu cầu hoặc tuân thủ TCVN 8709-2 (ISO/IEC 15408-2) hoặc mở rộng của TCVN 8709-3 (ISO/IEC 15408-3) đối với ST.

Đối với một TOE tổng hợp, người đánh giá sẽ xem xét liệu yêu cầu này có nhất quán không chỉ với TCVN 8709-2 (ISO/IEC 15408-2) mà còn với những yêu cầu tuân thủ TCVN 8709-2 (ISO/IEC 15408-2) của các TOE thành phần không. Nghĩa là: nếu một hoặc nhiều yêu cầu các TOE thành phần là phần mở rộng của TCVN 8709-2 (ISO/IEC 15408-2), thì TOE tổng hợp cũng nên yêu cầu phần mở rộng của TCVN 8709-2 (ISO/IEC 15408-2).

Yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) cho TOE tổng hợp có thể theo phần mở rộng của TCVN 8709-2 (ISO/IEC 15408-2), dù các TOE thành phần là tuân thủ Phần 2, trong trường hợp các SFR bổ sung được yêu cầu cho TOE cơ sở (xem hướng dẫn TOE tổng hợp cho ASE CCL.1.6C).

TCVN 8709-3 (ISO/IEC 15408-3) ASE CCL.1.3C: Yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) cần mô tả sự tuân thủ của ST theo TCVN 8709-3 (ISO/IEC 15408-3) như là hoặc tuân thủ TCVN 8709-3 (ISO/IEC 15408-3) hoặc mở rộng của TCVN 8709-3 (ISO/IEC 15408-3).

9.4.1.3.3 Đơn vị công việc ASE_CCL.1-3

...

TCVN 8709-3 (ISO/IEC 15408-3) ASE_CCL.1.4C: Yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) cần nhất quán với định nghĩa các thành phần mở rộng.

9.4.1.3.4 Đơn vị công việc ASE_CCL.1-4

Nếu yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) có chứa tuân thủ TCVN 8709-2 (ISO/IEC 15408-2), người đánh giá xác định rằng định nghĩa các thành phần mở rộng mà không định nghĩa các thành phần chức năng.

Nếu yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) có chứa mở rộng của TCVN 8709-2 (ISO/IEC 15408-2), người đánh giá xác định rằng định nghĩa các thành phần mở rộng định nghĩa ít nhất một thành phần chức năng mở rộng.

9.4.1.3.5 Đơn vị công việc ASE_CCL.1-5

Người đánh giá cần thẩm tra yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) đối với TCVN 8709-2 (ISO/IEC 15408-2) [3] để xác định rằng nó nhất quán với định nghĩa các thành phần mở rộng.

Nếu yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) có chứa tuân thủ TCVN 8709-3 (ISO/IEC 15408-3), người đánh giá xác định rằng định nghĩa các thành phần mở rộng mà không định nghĩa các thành phần chức năng.

Nếu yêu cầu tuân thủ TCVN 8709 (ISO/IEC 15408) có chứa mở rộng của TCVN 8709-3 (ISO/IEC 15408-3), người đánh giá xác định rằng định nghĩa các thành phần mở rộng định nghĩa ít nhất một thành phần chức năng mở rộng.

...

9.4.1.3.6 Đơn vị công việc ASE_CCL.1-6

Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có chứa yêu cầu PP để xác định tất cả các PP mà ST yêu cầu tuân thủ.

Nếu ST không yêu cầu tuân thủ theo PP, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá được nhắc nhở rằng không được phép yêu cầu tuân thủ một phần với PP. Vì vậy, tuân thủ theo PP đòi hỏi một giải pháp tổng hợp có thể được yêu cầu trong ST cho TOE tổng hợp. Tuân thủ theo PP như vậy sẽ không thể thực hiện được trong quá trình đánh giá của các TOE thành phần, như các thành phần này sẽ không thỏa mãn các giải pháp tổng hợp. Điều này chỉ có thể có trong các trường hợp PP "tổng hợp" cho phép sử dụng các phương pháp đánh giá thành phần (sử dụng các thành phần ACO).

ST cho TOE tổng hợp sẽ xác định các ST của các TOE thành phần từ ST tổng hợp đã bao gồm. TOE tổng hợp tuân thủ yêu cầu được yêu cầu theo các ST của các TOE thành phần.

9.4.1.3.7 Đơn vị công việc ASE CCL.1-7

Người đánh giá cần kiểm tra xem yêu cầu tuân thủ có bao gồm yêu cầu gói để xác định tất cả các gói mà ST yêu cầu tuân thủ.

Nếu ST không yêu cầu tuân thủ theo gói, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

...

Người đánh giá xác định rằng các ST của TOE thành phần từ các TOE tổng hợp có nguồn gốc rõ ràng cũng được xác định.

Người đánh giá được nhắc nhở rằng không được phép có yêu cầu tuân thủ một phần đối với gói.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_CCL.1.6C: Yêu cầu tuân thủ cần mô tả bất kỳ sự tuân thủ nào của ST theo hoặc gói tuân thủ hoặc gói tăng cường.

9.4.1.3.8 Đơn vị công việc ASE_CCL.1-8

Người đánh giá cần kiểm tra xem với mỗi gói đã được xác định, trạng thái yêu cầu tuân thủ là yêu cầu của tên gói tuân thủ hoặc gia tăng tên gói.

Nếu ST không yêu cầu tuân thủ theo gói, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu yêu cầu tuân thủ gói chứa tên gói tuân thủ, người đánh giá xác định rằng:

a) nếu gói là một gói đảm bảo, thì ST có chứa tất cả các SAR kèm theo gói, nhưng không thêm các SAR.

b) nếu gói là một gói chức năng, thì ST chứa tất cả các SFR kèm theo gói, nhưng không thêm các SFR.

...

a) nếu gói là một gói đảm bảo, thì ST có chứa tất cả các SAR kèm theo gói và thêm ít nhất một SAR hoặc ít nhất một SAR là phân cấp của một SAR trong gói.

b) nếu gói là một gói chức năng, thì ST chứa tất cả các SFR kèm theo trong gói và thêm ít nhất một SFR hoặc ít nhất một SFR là phân cấp của một SFR trong gói.

TCVN 8709-3 (ISO/IEC 15408-3) ASE CCL.1.7C: Sở cứ yêu cầu tuân thủ cần chứng minh rằng kiểu TOE là nhất quán với kiểu TOE trong PP theo đó sự tuân thủ được yêu cầu.

9.4.1.3.9 Đơn vị công việc ASE_CCL.1-9

Người đánh giá cần thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng kiểu TOE của TOE là nhất quán với tất cả các kiểu TOE của PP.

Nếu ST không yêu cầu tuân thủ theo PP, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Mối quan hệ giữa các kiểu có thể đơn giản là: yêu cầu tuân thủ ST tường lửa theo PP tường lửa hoặc phức tạp hơn: một ST thẻ thông minh yêu cầu tuân thủ đối với một số PP cùng một thời điểm (một PP cho các mạch tích hợp, một PP cho hệ điều hành thẻ thông minh và hai PP cho hai ứng dụng trên thẻ thông minh).

Đối với TOE tổng hợp, người đánh giá sẽ xác định liệu sở cứ yêu cầu tuân thủ có chứng minh rằng các loại TOE của TOE thành phần nhất quán với các kiểu TOE tổng hợp không. Điều này không có nghĩa là cả hai loại TOE thành phần và TOE tổng hợp phải giống nhau, nhưng đúng hơn là các TOE thành phần phù hợp để tích hợp cung cấp TOE tổng hợp. Nó nên thực hiện rõ ràng trong ST của TOE tổng hợp mà các SFR chỉ bao gồm kết quả của thành phần và không được thẩm tra như các SFR trong đánh giá TOE cơ sở và phụ thuộc (ví dụ EALx).

TCVN 8709-3 (ISO/IEC 15408-3) ASE_CCL.1.8C: Sở cứ yêu cầu tuân thủ cần chứng minh rằng tuyên bố của định nghĩa vấn đề an toàn là nhất quán với tuyên bố định nghĩa các vấn đề an toàn trong PP theo đó sự tuân thủ được yêu cầu.

...

Người đánh giá cần thẩm tra sở cứ cho yêu cầu tuân thủ để xác định rằng nó chứng minh tuyên bố của định nghĩa vấn đề an toàn là nhất quán, như định nghĩa tuyên bố tuân thủ của PP, với các tuyên bố định nghĩa vấn đề an toàn nêu trong PP mà sự tuân thủ được yêu cầu.

Nếu ST không yêu cầu tuân thủ theo PP, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu ST không tuyên bố định nghĩa vấn đề an toàn, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu tuân thủ chặt chẽ được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, không được yêu cầu lý do yêu cầu tuân thủ. Thay vào đó, người đánh giá xác định liệu:

a) các mối đe dọa trong ST có là một tập lớn của hoặc giống với các mối đe dọa trong PP mà sự tuân thủ được yêu cầu không;

b) các OSP trong ST có là một tập lớn của hoặc giống với các OSP trong PP mà sự tuân thủ được yêu cầu không;

c) các giả thiết trong ST có giống với các giả thiết trong PP mà sự tuân thủ được yêu cầu không;

Nếu tính tuân thủ diễn giải được được yêu cầu bởi PP, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định nó chứng minh rằng tuyên bố định nghĩa vấn đề an toàn của ST được đánh giá là tương đương hoặc chặt chẽ hơn so với tuyên bố định nghĩa vấn đề an toàn trong PP mà sự tuân thủ được yêu cầu.

Hướng dẫn về "tương đương hoặc chặt chẽ hơn" xem Phụ lục D TCVN 8709-1 (ISO/IEC 15408-1), tuân thủ PP.

...

a) các tuyên bố mối đe dọa và các OSP trong ST của TOE tổng hợp không mâu thuẫn với những nội dung từ các ST thành phần.

b) bất kỳ giả thiết nào được thực hiện trong các ST thành phần cũng được duy trì trong ST của TOE tổng hợp. Nghĩa là hoặc giả thiết cũng nên có mặt trong ST tổng hợp hoặc giả thiết nên đề cập một cách tích cực trong ST tổng hợp. Giả thiết có thể được đề cập một cách tích cực thông qua các các yêu cầu về đặc điểm kỹ thuật trong TOE tổng hợp để cung cấp chức năng thực hiện liên quan trong các giả thiết.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_CCL.1.9C: Sở cứ yêu cầu tuân thủ cần chứng minh rằng các tuyên bố của mục tiêu an toàn là nhất quán với tuyên bố của mục tiêu an toàn trong PP theo đó sự tuân thủ được yêu cầu.

9.4.1.3.11 Đơn vị công việc ASE_CCL.1-11

Người đánh giá cần thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng tuyên bố các mục tiêu an toàn là nhất quán, như định nghĩa tuyên bố sự tuân thủ của các PP, với tuyên bố mục tiêu an toàn trong các PP theo đó sự tuân thủ được yêu cầu..

Nếu ST không yêu cầu tuân thủ theo PP, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Nếu tuân thủ chặt chẽ được yêu cầu bởi PP, không cần sở cứ yêu cầu tuân thủ. Thay vào đó, người đánh giá xác định liệu:

• ST có chứa tất cả mục tiêu an toàn cho TOE của PP mà sự tuân thủ được yêu cầu không. Lưu ý rằng nó được phép để ST được đánh giá có mục tiêu an toàn bổ sung cho TOE;

• ST có chứa chính xác tất cả các mục tiêu an toàn đối với môi trường vận hành (với ngoại lệ được trình bày ở ý tiếp theo) không. Lưu ý rằng không được phép để ST được đánh giá có mục tiêu an toàn bổ sung đối với môi trường vận hành;

...

Nếu tính tuân thủ diễn giải được được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định nó chứng minh rằng tuyên bố các mục tiêu an toàn của ST là tương đương hoặc chặt chẽ hơn so với tuyên bố các mục tiêu an toàn trong PP mà sự tuân thủ được yêu cầu.

Hướng dẫn về "tương đương hoặc chặt chẽ hơn" xem Phụ lục D TCVN 8709-1 (ISO/IEC 15408-1), tuân thủ PP.

Đối với một TOE tổng hợp, người đánh giá sẽ xem xét liệu các mục tiêu an toàn của TOE tổng hợp có nhất quán với quy định tại các ST trong các TOE thành phần không. Điều này được xác định trong các thuật ngữ của tính tuân thủ diễn giải được. Đặc biệt, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng:

a) tuyên bố các mục tiêu an toàn trong ST của TOE phụ thuộc liên quan đến bất kỳ công nghệ thông tin trong môi trường vận hành là nhất quán với tuyên bố các mục tiêu an toàn cho TOE trong ST của TOE cơ sở. Nó không phải là dự kiến tuyên bố các mục tiêu an toàn cho môi trường trong ST của TOE phụ thuộc sẽ bao gồm tất cả các nội dung của tuyên bố các mục tiêu an toàn cho TOE trong ST của TOE cơ sở.

b) tuyên bố các mục tiêu an toàn trong ST tổng hợp là nhất quán với tuyên bố các mục tiêu an toàn trong các ST đối với các TOE thành phần.

Nếu tuân thủ có thể chứng minh được yêu cầu bởi PP, người đánh giá thẩm tra sở cứ tuyên bố tuân thủ để xác định rằng nó chứng minh tuyên bố các mục tiêu an toàn của ST ít nhất là tương đương với tuyên bố các mục tiêu an toàn trong PP hoặc ST của TOE thành phần trong trường hợp ST của TOE tổng hợp.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_CCL.1.10C: Sở cứ tuyên bố tuân thủ cần chứng minh rằng tuyên bố của các yêu cầu an toàn là nhất quán với tuyên bố của các yêu cầu an toàn trong PP mà theo đó sự tuân thủ được yêu cầu.

9.4.1.3.12 Đơn vị công việc ASE_CCL.1-12

Người đánh giá cần thẩm tra ST để xác định rằng nó là nhất quán, như định nghĩa tuyên bố tuân thủ của PP, với tất cả các yêu cầu an toàn trong các PP mà sự tuân thủ được yêu cầu.

...

Nếu tuân thủ chặt chẽ được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, không cần thiết phải có sở cứ yêu cầu tuân thủ. Thay vào đó, người đánh giá xác định xem tuyên bố các yêu cầu an toàn trong ST có là một tập lớn của hoặc giống hệt tuyên bố các yêu cầu an toàn trong PP mà sự tuân thủ được yêu cầu không (cho tuân thủ chặt chẽ).

Nếu tuân thủ diễn giải được được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, người đánh giá thẩm tra sở cứ tuyên bố tuân thủ để xác định nó chứng minh rằng tuyên bố các yêu cầu an toàn của ST là tương đương hoặc chặt chẽ hơn so với tuyên bố các yêu cầu an toàn trong PP mà sự tuân thủ được yêu cầu.

Hướng dẫn về "tương đương hoặc chặt chẽ hơn" xem Phụ lục D TCVN 8709-1 (ISO/IEC 15408-1), tuân thủ PP.

Đối với một TOE tổng hợp, người đánh giá sẽ xem xét liệu các yêu cầu an toàn của TOE tổng hợp có nhất quán với quy định tại các ST trong các TOE thành phần không. Điều này được xác định trong nhóm của tính tuân thủ diễn giải được. Đặc biệt, người đánh giá thẩm tra sở cứ yêu cầu tuân thủ để xác định rằng:

a) tuyên bố các mục tiêu an toàn trong ST của TOE phụ thuộc liên quan đến bất kỳ công nghệ thông tin trong môi trường vận hành là nhất quán với tuyên bố các yêu cầu an toàn đối với TOE trong ST của TOE cơ sở. Nó không phải là dự kiến tuyên bố các yêu cầu an toàn cho môi trường trong ST của TOE phụ thuộc sẽ bao gồm tất cả các nội dung của tuyên bố các yêu cầu an toàn trong TOE trong ST TOE cơ sở, như một số SFR có thể phải được bổ sung tuyên bố của các yêu cầu an toàn trong ST của TOE tổng hợp. Tuy nhiên, tuyên bố các yêu cầu an toàn trong cơ sở nên hỗ trợ các hoạt động của thành phần phụ thuộc.

b) tuyên bố các mục tiêu an toàn trong ST của TOE phụ thuộc liên quan đến bất kỳ công nghệ thông tin trong môi trường vận hành là nhất quán với tuyên bố các yêu cầu an toàn đối với TOE trong ST của TOE cơ sở. Nó không phải là dự kiến tuyên bố các mục tiêu an toàn cho môi trường trong ST của TOE phụ thuộc sẽ bao gồm tất cả các nội dung của tuyên bố các yêu cầu an toàn đối với TOE trong ST của TOE cơ sở.

c) tuyên bố các yêu cầu an toàn trong ST tổng hợp là nhất quán với tuyên bố các yêu cầu an toàn trong các ST đối với các TOE thành phần.

Nếu tuân thủ diễn giải được được yêu cầu bởi PP mà sự tuân thủ được yêu cầu, người đánh giá thẩm tra sở cứ tuyên bố tuân thủ để xác định rằng nó chứng minh tuyên bố các yêu cầu an toàn của ST ít nhất là tương đương với tuyên bố các yêu cầu an toàn trong PP hoặc ST của TOE thành phần trong trường hợp ST của TOE tổng hợp.

9.5 Định nghĩa vấn đề an toàn (ASE_SPD)

...

9.5.1.1 Mục tiêu

9.5.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) ST.

9.5.1.3 Hành động ASE_SPD.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ASE_SPD.1.1C: Định nghĩa vấn đề an toàn cần mô tả các mối đe dọa.

9.5.1.3.1 Đơn vị công việc ASE_SPD.1-1

Người đánh giá cần kiểm tra rằng định nghĩa vấn đề an toàn mô tả các mối đe dọa.

...

Người đánh giá xác định rằng định nghĩa vấn đề an toàn mô tả các mối đe dọa phải được chống lại bởi TOE và/hoặc môi trường vận hành của nó.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_SPD.1.2C: Tất cả các mối đe dọa cần được mô tả dưới dạng tác nhân đe dọa, tài sản và hành động có hại.

9.5.1.3.2 Đơn vị công việc ASE_SPD.1-2

Nếu tất cả các mục tiêu an toàn xuất phát từ giả thiết và chỉ các OSP, tuyên bố các mối đe dọa không cần có trong ST. Trong trường hợp này, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Các tác nhân đe dọa có thể được mô tả bằng cách thêm các phương diện như chuyên môn, nguồn lực, cơ hội và động lực.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_SPD. 1.3C: Định nghĩa vấn đề an toàn cần mô tả các OSP.

9.5.1.3.3 Đơn vị công việc ASE SPD.1-3

Người đánh giá cần kiểm tra rằng định nghĩa vấn đề an toàn mô tả các OSP.

...

Người đánh giá xác định rằng các tuyên bố OSP được thực hiện trong các thuật ngữ quy tắc hoặc hướng dẫn phải theo TOE và/hoặc môi trường vận hành của nó.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_SPD.1.4C: Định nghĩa vấn đề an toàn cần mô tả giả thiết về môi trường vận hành của TOE.

9.5.1.3.4 Đơn vị công việc ASE_SPD.1-4

Người đánh giá cần thẩm tra định nghĩa vấn đề an toàn để xác định rằng nó mô tả các giả thiết về môi trường vận hành của TOE.

Nếu không có các giả thiết, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng mỗi giả thiết về môi trường vận hành của TOE được giải thích đầy đủ chi tiết, cho phép người sử dụng xác định môi trường vận hành của họ phù hợp với giả thiết. Nếu các giả thiết chưa được hiểu rõ, kết quả cuối cùng có thể TOE được sử dụng trong môi trường vận hành, khi đó nó sẽ không hoạt động theo cách an toàn.

9.6 Mục tiêu an toàn (ASE_OBJ)

9.6.1 Đánh giá hoạt động con (ASE_OBJ.1)

...

Mục tiêu của hoạt động con này để xác định liệu mục tiêu an toàn cho môi trường vận hành có được xác định rõ ràng không.

9.6.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) ST.

9.6.1.3 Hành động ASE_OBJ.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ASE_OBJ.1.1C: Tuyên bố về các mục tiêu an toàn cần mô tả các mục tiêu an toàn cho môi trường vận hành.

9.6.1.3.1 Đơn vị công việc ASE_OBJ.1-1

Người đánh giá cần kiểm tra rằng tuyên bố của các mục tiêu an toàn định nghĩa các mục tiêu an toàn cho môi trường vận hành.

Người đánh giá kiểm tra rằng các mục tiêu an toàn cho môi trường vận hành được xác định.

...

9.6.2.1 Mục tiêu

9.6.2.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) ST.

9.6.2.3 Hành động ASE_OBJ.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) ASE_OBJ.2.1C: Tuyên bố về các mục tiêu an toàn cần mô tả các mục tiêu an toàn cho TOE và các mục tiêu an toàn cho môi trường vận hành.

9.6.2.3.1 Đơn vị công việc ASE_OBJ.2-1

Người đánh giá cần kiểm tra rằng tuyên bố các mục tiêu an toàn định nghĩa các mục tiêu an toàn cho TOE và các mục tiêu an toàn cho môi trường vận hành.

...

TCVN 8709-3 (ISO/IEC 15408-3) ASE_OBJ.2.2C: Sở cứ các mục tiêu an toàn cần theo dấu từng mục tiêu an toàn cho TOE chống lại các mối đe dọa bởi mục tiêu an toàn đó và các OSP được thực thi bởi mục tiêu an toàn.

9.6.2.3.2 Đơn vị công việc ASE_OBJ.2-2

Người đánh giá cần kiểm tra rằng sở cứ các mục tiêu an toàn theo dấu tất cả các mục tiêu an toàn cho TOE chống lại các mối đe dọa bởi các mục tiêu và/hoặc thực thi các OSP bởi các mục tiêu.

Mỗi mục tiêu an toàn cho TOE có thể theo dấu các mối đe dọa hoặc các OSP hoặc sự kết hợp của các mối đe dọa và OSP, nhưng nó phải theo dấu ít nhất một mối đe dọa hoặc một OSP.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_OBJ.2.3C: Sở cứ các mục tiêu an toàn cần theo dấu từng mục tiêu an toàn cho môi trường vận hành chống lại các mối đe dọa bởi mục tiêu an toàn đó và các OSP được thực thi bởi mục tiêu an toàn và giả thiết duy trì mục tiêu an toàn.

9.6.2.3.3 Đơn vị công việc ASE_OBJ.2-3

Người đánh giá cần kiểm tra rằng sở cứ các mục tiêu an toàn theo dấu các mục tiêu an toàn cho môi trường vận hành chống lại các mối đe dọa bởi mục tiêu an toàn đó và thực thi OSP bởi mục tiêu an toàn đó và giả thiết duy trì mục tiêu an toàn đó.

Mỗi mục tiêu an toàn cho môi trường vận hành có thể theo dấu các mối đe dọa, OSP, giả thiết hoặc sự kết hợp của các mối đe dọa, các OSP và/hoặc các giả thiết, nhưng nó phải theo dấu ít nhất một mối đe dọa, một OSP hoặc một giả thiết.

...

TCVN 8709-3 (ISO/IEC 15408-3) ASE_OBJ.2.4C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an toàn chống lại tất cả các mối đe dọa.

9.6.2.3.4 Đơn vị công việc ASE_OBJ.2-4

Người đánh giá xác định rằng việc biện minh cho một mối đe dọa cho thấy liệu mối đe dọa có được loại bỏ, giảm bớt hoặc giảm nhẹ hay không.

Người đánh giá xác định rằng biện minh cho một mối đe dọa chứng minh rằng các mục tiêu an toàn là đầy đủ: nếu tất cả các mục tiêu an toàn theo dấu mối đe dọa đã đạt được, thì mối đe dọa đã được loại bỏ, giảm bớt hoặc những ảnh hưởng của các mối đe dọa được giảm nhẹ.

Lưu ý rằng việc theo dấu từ các mục tiêu an toàn đến các mối đe dọa được cung cấp trong sở cứ mục tiêu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính nó. Ngay cả trong trường hợp một mục tiêu an toàn chỉ là một tuyên bố phản ánh mục đích để ngăn chặn một mối đe dọa cụ thể đang được thực hiện, thì một sự biện minh được yêu cầu, nhưng biện minh này có thể là tối thiểu như "mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y".

Người đánh giá cũng xác định rằng mỗi mục tiêu an toàn theo dấu mối đe dọa là cần thiết; khi mục tiêu an toàn đã đạt được nó thực sự góp phần vào việc loại bỏ, giảm bớt hoặc giảm thiểu mối đe dọa đó.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_OBJ.2.5C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an toàn thực thi tất cả OSP.

...

Nếu không có mục tiêu an toàn theo dấu OSP, hành động của người đánh giá liên quan đến đơn vị công việc này được chỉ định là nhận định không đạt.

Người đánh giá xác định rằng biện minh cho các diễn giải mối đe dọa tại các mục tiêu an toàn là đầy đủ: nếu tất cả các mục tiêu an toàn theo dấu mối đe dọa đạt được, OSP được thực thi.

Người đánh giá cũng xác định mỗi mục tiêu an toàn theo dấu OSP là được yêu cầu: khi mục tiêu an toàn đạt được nó thực sự góp phần vào việc thực thi của OSP.

Lưu ý rằng các theo dấu từ các mục tiêu an toàn đến các mối đe dọa được cung cấp trong sở cứ mục tiêu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính nó. Ngay cả trong trường hợp đó, mục tiêu an toàn chỉ là một tuyên bố phản ánh mục đích để ngăn chặn một mối đe dọa cụ thể đang được thực hiện, một sự biện minh là được yêu cầu, nhưng biện minh này là tối thiểu "Mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y".

TCVN 8709-3 (ISO/IEC 15408-3) ASE_OBJ.2.6C: Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an toàn cho môi trường vận hành duy trì tất cả các giả thiết.

9.6.2.3.6 Đơn vị công việc ASE_OBJ.2-6

Người đánh giá cần thẩm tra sở cứ các mục tiêu an toàn để xác định rằng đối với mỗi giả thiết cho môi trường vận hành nó có chứa một sự biện minh hợp lý mà các mục tiêu an toàn cho môi trường vận hành phù hợp để duy trì giả thiết đó.

...

Lưu ý rằng các theo dấu từ các mục tiêu an toàn cho môi trường vận hành đến các giả thiết đã cung cấp trong sở cứ các mục tiêu an toàn có thể là một phần của một sự biện minh, nhưng không được coi là biện minh của chính nó. Trong trường hợp đó, mục tiêu an toàn của môi trường vận hành chỉ đơn thuần là trình bày lại một giả thiết, một sự biện minh là được yêu cầu, nhưng biện minh này là tối thiểu "Mục tiêu an toàn X trực tiếp chống lại mối đe dọa Y".

9.7 Định nghĩa các thành phần mở rộng (ASE_ECD)

9.7.1 Đánh giá hoạt động con (ASE_ECD.1)

9.7.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các thành phần mở rộng có được định nghĩa rõ ràng và mạch lạc không và nó có được yêu cầu không, nghĩa là nó có thể đã không được thể hiện rõ ràng khi sử dụng các thành phần TCVN 8709-2 (ISO/IEC 15408-2) hoặc TCVN 8709-3 (ISO/IEC 15408-3) đang tồn tại.

9.7.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) ST.

...

TCVN 8709-3 (ISO/IEC 15408-3) ASE_ECD.1.1C: Tuyên bố các yêu cầu an toàn cần xác định tất cả các yêu cầu an toàn mở rộng.

9.7.1.3.1 Đơn vị công việc ASE_ECD.1-1

Người đánh giá cần kiểm tra rằng tất cả các yêu cầu an toàn trong tuyên bố các yêu cầu an toàn mà không được xác định là các yêu cầu mở rộng đều có trong TCVN 8709-2 (ISO/IEC 15408-2) hoặc TCVN 8709-3 (ISO/IEC 15408-3).

TCVN 8709-3 (ISO/IEC 15408-3) ASE_ECD.1.2C: Định nghĩa các thành phần mở rộng cần định nghĩa một thành phần mở rộng cho mỗi yêu cầu an toàn mở rộng.

9.7.1.3.2 Đơn vị công việc ASE_ECD.1-2

Người đánh giá cần kiểm tra rằng định nghĩa các thành phần mở rộng định nghĩa thành phần mở rộng cho mỗi yêu cầu an toàn mở rộng.

Nếu ST không chứa các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Thành phần mở rộng đơn nhất có thể được sử dụng để định nghĩa nhiều phép lặp của yêu cầu an toàn mở rộng, không được yêu cầu nhắc lại định nghĩa này cho mỗi phép lặp.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_ECD.1.3C: Định nghĩa các thành phần mở rộng cần mô tả mỗi thành phần mở rộng có mối quan hệ như thế nào với các lớp, các họ và các thành phần TCVN 8709 (ISO/IEC 15408) đang tồn tại.

...

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng nó mô tả mỗi thành phần mở rộng phù hợp thế nào với các lớp, họ, thành phần TCVN 8709 (ISO/IEC 15408) đang tồn tại. Nếu ST không có các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng mỗi thành phần mở rộng là:

a) thành phần của họ TCVN 8709-2 (ISO/IEC 15408-2) hoặc TCVN 8709-3 (ISO/IEC 15408-3) đang tồn tại hoặc

b) thành phần của một họ mới được định nghĩa trong ST.

Nếu ST định nghĩa các họ mới, người đánh giá xác định rằng mỗi họ mới là:

a) thành phần của lớp trong TCVN 8709-2 (ISO/IEC 15408-2) hoặc TCVN 8709-3 (ISO/IEC 15408-3) đang tồn tại hoặc

b) thành phần của một lớp mới được định nghĩa trong ST.

...

Nếu họ là thành phần của một lớp mới được định nghĩa trong ST, người đánh giá xác nhận rằng họ không thích hợp đối với lớp đang tồn tại.

9.7.1.3.4 Đơn vị công việc ASE_ECD.1-4

Nếu PP không có các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác nhận rằng các phụ thuộc không thể áp dụng đã được bỏ qua bởi tác giả ST.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_ECD.1.4C: Định nghĩa các thành phần mở rộng cần sử dụng các lớp, họ, thành phần TCVN 8709 (ISO/IEC 15408) đang tồn tại và phương pháp luận như là mô hình cho trình bày.

9.7.1.3.5 Đơn vị công việc ASE_ECD.1-5

Nếu ST không có các SFR mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

...

Nếu thành phần chức năng mở rộng sử dụng các hoạt động, người đánh giá xác định rằng thành phần chức năng mở rộng là nhất quán với Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

Nếu thành phần chức năng mở rộng là phân cấp của thành phần chức năng đang tồn tại, người đánh giá xác định rằng thành phần chức năng mở rộng là nhất quán với TCVN 8709-2 (ISO/IEC 15408-2): Điều 6.2.1, Nhấn mạnh các thay đổi thành phần.

9.7.1.3.6 Đơn vị công việc ASE_ECD.1-6

Nếu ST không định nghĩa các họ chức năng mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả các họ chức năng mới được định nghĩa nhất quán với TCVN 8709-2 (ISO/IEC 15408-2): Điều 6.1.2, Cấu trúc họ.

9.7.1.3.7 Đơn vị công việc ASE_ECD.1-7

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của lớp chức năng mới sử dụng các lớp chức năng TCVN 8709 (ISO/IEC 15408) đang tồn tại như là mô hình cho trình bày.

Nếu ST không định nghĩa các lớp chức năng mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

...

9.7.1.3.8 Đơn vị công việc ASE_ECD.1-8

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của thành phần đảm bảo mở rộng sử dụng các thành phần TCVN 8709-3 (ISO/IEC 15408-3) đang tồn tại như là mô hình cho trình bày.

Nếu ST không chứa các SAR mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng định nghĩa thành phần đảm bảo mở rộng là nhất quán với TCVN 8709-3 (ISO/IEC 15408-3): Điều c 6.1.3, cấu trúc thành phần đảm bảo.

Nếu thành phần đảm bảo mở rộng sử dụng các hoạt động, người đánh giá xác định rằng các thành phần đảm bảo mở rộng là nhất quán với Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

Nếu thành phần bảo đảm mở rộng là phân cấp của thành phần đảm bảo đang tồn tại, người đánh giá xác định rằng thành phần đảm bảo mở rộng là nhất quán với TCVN 8709-3 (ISO/IEC 15408-3): Điều 6.1.3, Cấu trúc thành phần đảm bảo.

9.7.1.3.9 Đơn vị công việc ASE_ECD.1-9

Nếu ST không chứa các SAR mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

...

9.7.1.3.10 Đơn vị công việc ASE_ECD.1-10

Người đánh giá cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của họ đảm bảo mới sử dụng các họ đảm bảo trong TCVN 8709 (ISO/IEC 15408) đang tồn tại như là mô hình cho trình bày.

Nếu ST không định nghĩa các họ bảo đảm mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá xác định rằng tất cả các họ bảo đảm mới được định nghĩa nhất quán với Điều 6.1.2 TCVN 8709-3 (ISO/IEC 15408-3), Cấu trúc họ đảm bảo.

9.7.1.3.11 Đơn vị công việc ASE_ECD.1-11

Người đánh cần thẩm tra định nghĩa các thành phần mở rộng để xác định rằng mỗi định nghĩa của một lớp đảm bảo mới sử dụng các lớp đảm bảo trong TCVN 8709 (ISO/IEC 15408) đang tồn tại như là mô hình cho trình bày.

Nếu ST không định nghĩa các lớp bảo đảm mới, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_ECD.1.5C: Các thành phần mở rộng cần bao gồm các phần tử mục tiêu và các phần tử đo lường được sao cho sự tuân thủ hoặc không tuân thủ theo những phần tử có thể được chứng minh.

...

Nếu ST không có các yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá cũng xác định các phần tử của các thành phần đảm bảo mở rộng tránh tạo ra phán xét đánh giá chủ quan.

9.7.1.4 Hành động ASE_ECD.1.2E

9.7.1.4.1 Đơn vị công việc ASE_ECD.1-13

Nếu ST không có yêu cầu an toàn mở rộng, đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

...

9.8 Yêu cầu an toàn (ASE_REQ)

9.8.1 Đánh giá hoạt động con (ASE_REQ.1)

9.8.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định xem các SFR và SAR có rõ ràng, mạch lạc và được định nghĩa rõ ràng không và liệu chúng có nhất quán nội bộ không.

9.8.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) ST.

9.8.1.3 Hành động ASE_REQ.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ASE_REQ.1.1C: Tuyên bố về các yêu cầu an toàn cần mô tả các SFR và SAR.

...

Người đánh giá cần kiểm tra tuyên bố yêu cầu an toàn mô tả các SFR.

Người đánh giá xác định rằng mỗi SFR được xác định bởi một trong những cách sau đây:

a) bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-2 (ISO/IEC 15408-2);

b) bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của ST;

c) bằng cách tham chiếu đến một PP mà các yêu cầu PP tuân thủ;

d) bằng cách tham chiếu đến gối các yêu cầu an toàn mà các yêu cầu PP tuân thủ;

e) bằng việc tái sản xuất trong ST.

Không yêu cầu sử dụng cùng một phương tiện nhận dạng cho tất cả các SFR.

9.8.1.3.2 Đơn vị công việc ASE_REQ.1-2

...

Người đánh giá xác định rằng mỗi SAR được xác định bởi một trong những cách sau đây:

a) bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-3 (ISO/IEC 15408-3);

b) bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của ST;

c) bằng cách tham chiếu đến một PP mà các yêu cầu PP tuân thủ;

d) bằng cách tham chiếu đến gói các yêu cầu an toàn mà các yêu cầu PP tuân thủ;

e) bằng việc tái sản xuất trong ST.

Không yêu cầu sử dụng cùng một phương tiện nhận dạng cho tất cả các SAR.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_REQ.1.2C: Tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các thuật ngữ khác được sử dụng trong các SFR và SAR, cần được xác định.

9.8.1.3.3 Đơn vị công việc ASE_REQ.1-3

...

Người đánh giá xác định rằng ST xác định tất cả:

• (các kiểu của) các đối tượng và mục tiêu được sử dụng trong các SFR;

• (các kiểu của) các hoạt động được sử dụng trong các SFR, bao gồm cả những ảnh hưởng của các hoạt động này;

• (các kiểu của) các thực thể bên ngoài trong SFR;

Tất cả các vấn đề trên có thể được trình bày trong các nhóm, các lớp, các vai trò, kiểu hoặc nhóm khác hoặc đặc trưng khác để cho dễ hiểu.

...

9.8.1.3.4 Đơn vị công việc ASE_REQ.1-4

Người đánh giá cần kiểm tra tuyên bố các yêu cầu an toàn để xác định rằng tất cả các hoạt động trên các yêu cầu an toàn.

Người đánh giá xác định rằng tất cả các hoạt động được xác định trong mỗi SFR hoặc SAR nơi hoạt động được sử dụng. Nhận dạng có thể thực hiện được bằng cách phân biệt các bản in hoặc bằng cách xác định tường minh trong các văn bản xung quanh hoặc bằng bất kỳ phương tiện đặc trưng khác.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_REQ.1.4C: Tất cả các hoạt động cần phải thực hiện đúng.

9.8.1.3.5 Đơn vị công việc ASE_REQ.1-5

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động chỉ định đã thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

9.8.1.3.6 Đơn vị công việc ASE_REQ.1-6

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động lặp lại đã được thực hiện đúng.

...

9.8.1.3.7 Đơn vị công việc ASE_REQ.1-7

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động lựa chọn đã được thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể được tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

9.8.1.3.8 Đơn vị công việc ASE_REQ.1-8

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động bổ sung chi tiết đã được thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể được tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_REQ.1.5C: Mỗi sự phụ thuộc của các yêu cầu an toàn cần hoặc thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụ thuộc còn chưa được thỏa mãn.

9.8.1.3.9 Đơn vị công việc ASE_REQ.1-9

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng mỗi phụ thuộc của các yêu cầu an toàn hoặc thỏa mãn hoặc sở cứ các yêu cầu an toàn biện minh sự phụ thuộc còn chưa được thỏa mãn.

...

Biện minh về việc một sự phụ thuộc không được đáp ứng cần đề cập:

a) lý do tại sao sự phụ thuộc là không được yêu cầu hoặc hữu ích, trường hợp nào thông tin không được yêu cầu thêm; hoặc

b) sự phụ thuộc đã được đề cập bởi môi trường vận hành của TOE, trường hợp nào biện minh nên mô tả cách thức các mục tiêu an toàn cho môi trường vận hành đề cập sự phụ thuộc này.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_REQ.1.6C: Tuyên bố về các yêu cầu an toàn cần phải có tính nhất quán nội bộ.

9.8.1.3.10 Đơn vị công việc ASE_REQ.1-10

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định nó có tính nhất quán nội bộ.

Người đánh giá xác định rằng các thiết lập liên hợp của tất cả các SFR và SAR có tính nhất quán nội bộ.

Người đánh giá xác định rằng trong tất cả các cơ hội mà tại đó các yêu cầu an toàn khác nhau áp dụng cho cùng một loại bằng chứng của nhà phát triển, các sự kiện, các hoạt động, dữ liệu, kiểm thử được thực hiện v.v.. hoặc "tất cả các đối tượng", "tất cả các mục tiêu" v.v..., mà các yêu cầu không mâu thuẫn.

Một số mâu thuẫn có thể là:

...

b) FAU_GEN.1 Tạo ra thế hệ dữ liệu kiểm toán xác định rằng danh tính đối tượng để đăng nhập, FDP_ACC.1 Tập con kiểm soát truy nhập xác định những người có quyền truy nhập vào các hồ sơ và FPR_UNO.1 Tính không thể quan sát xác định rằng một số hành động của các đối tượng nên có thể không quan sát được các đối tượng khác. Nếu đối tượng đó không thể quan sát một hoạt động có thể truy nhập các hồ sơ của các hoạt động này, các SFR này mâu thuẫn;

c) FDP_RIP.1 Bảo vệ thông tin còn dư thừa của tập con xác định cụ thể việc xóa các thông tin không còn được yêu cầu và FDP_ROL.1 Khôi phục cơ bản xác định rằng một TOE có thể trả lại trạng thái trước đó. Nếu thông tin đó là được yêu cầu cho việc khôi phục trạng thái trước đó đã bị xóa, các yêu cầu này mâu thuẫn;

9.8.2 Đánh giá hoạt động con (ASE_REQ.2)

9.8.2.1 Mục tiêu

9.8.2.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) ST.

...

TCVN 8709-3 (ISO/IEC 15408-3) ASE_REQ.2.1C: Tuyên bố các yêu cầu an toàn cần mô tả các SFR và SAR.

9.8.2.3.1 Đơn vị công việc ASE_REQ.2-1

Người đánh giá cần kiểm tra rằng tuyên bố các yêu cầu an toàn mô tả các SFR.

Người đánh giá xác định rằng mỗi SFR được xác định bởi một trong những cách sau đây:

a) bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-2 (ISO/IEC 15408-2);

b) bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của ST;

c) bằng cách tham chiếu đến thành phần riêng lẻ trong PP mà các yêu cầu ST tuân thủ;

d) bằng cách tham chiếu đến thành phần riêng lẻ trong gói các yêu cầu an toàn mà các yêu cầu ST tuân thủ;

e) bằng việc tái sản xuất trong ST.

...

9.8.2.3.2 Đơn vị công việc ASE_REQ.2-2

Người đánh giá cần kiểm tra tuyên bố các yêu cầu an toàn mô tả các SAR.

Người đánh giá xác định rằng mỗi SAR được xác định bởi một trong những cách sau đây:

a) bằng cách tham chiếu đến thành phần riêng lẻ trong TCVN 8709-3 (ISO/IEC 15408-3);

b) bằng cách tham chiếu đến thành phần mở rộng trong định nghĩa các thành phần mở rộng của ST;

c) bằng cách tham chiếu đến thành phần riêng lẻ trong PP mà các yêu cầu ST tuân thủ;

d) bằng cách tham chiếu đến thành phần riêng lẻ trong gói các yêu cầu an toàn mà các yêu cầu ST tuân thủ;

e) bằng việc tái sản xuất trong ST.

Không yêu cầu sử dụng cùng một phương tiện nhận dạng cho tất cả các SAR.

...

9.8.2.3.3 Đơn vị công việc ASE_REQ.2-3

Người đánh giá xác định rằng PP xác định tất cả:

• (các kiểu của) các đối tượng và mục tiêu được sử dụng trong các SFR;

• (các kiểu của) các hoạt động được sử dụng trong các SFR, bao gồm cả những ảnh hưởng của các hoạt động này;

• (các kiểu của) các thực thể bên ngoài trong SFR;

Mục tiêu của đơn vị công việc này là để đảm bảo rằng các SFR và SAR dễ phân biệt và không gây hiểu lầm có thể xảy ra do việc giới thiệu các thuật ngữ không rõ ràng. Đơn vị công việc này không nên đưa vào giới hạn, bằng cách buộc người viết ST xác định tất cả các từ đơn nhất. Các khán giả chung của tập hợp các yêu cầu an toàn nên được giả thiết có kiến thức hợp lý về công nghệ thông tin, an toàn và "Tiêu chí đánh giá về an toàn công nghệ thông tin".

...

TCVN 8709-3 (ISO/IEC 15408-3) ASE_REQ.2.3C: Tuyên bố về các yêu cầu an toàn cần xác định tất cả các quá trình hoạt động trên các yêu cầu an toàn.

9.8.2.3.4 Đơn vị công việc ASE_REQ.2-4

Người đánh giá cần kiểm tra tuyên bố các yêu cầu an toàn để xác định rằng tất cả các hoạt động trên các yêu cầu an toàn.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_REQ.2.4C: Tất cả các hoạt động cần phải được thực hiện đúng.

9.8.2.3.5 Đơn vị công việc ASE_REQ.2-5

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động chỉ định đã thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

...

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động lặp lại đã được thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

9.8.2.3.7 Đơn vị công việc ASE_REQ.2-7

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động lựa chọn đã được thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể được tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

9.8.2.3.8 Đơn vị công việc ASE_REQ.2-8

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng tất cả các hoạt động bổ sung chi tiết đã được thực hiện đúng.

Hướng dẫn thực hiện đúng các hoạt động có thể được tìm thấy trong Phụ lục 7 TCVN 8709-1 (ISO/IEC 15408-1), Các hoạt động.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_REQ.2.5C: Mỗi sự phụ thuộc của các yêu cầu an toàn cần hoặc thỏa mãn hoặc sở cứ các yêu cầu an toàn cần biện minh sự phụ thuộc còn chưa được thỏa mãn.

...

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định rằng mỗi phụ thuộc của các yêu cầu an toàn hoặc thỏa mãn hoặc sở cứ các yêu cầu an toàn biện minh sự phụ thuộc vẫn chưa được thỏa mãn.

Biện minh sự phụ thuộc không được đáp ứng nên đề cập bằng một trong hai cách sau:

a) lý do tại sao sự phụ thuộc không được yêu cầu hoặc hữu ích, trường hợp nào thông tin không được yêu cầu thêm; hoặc

b) sự phụ thuộc đã được đề cập bởi các môi trường vận hành của TOE, trường hợp nào biện minh nên mô tả các mục tiêu an toàn để môi trường vận hành đề cập sự phụ thuộc này.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_REQ.2.6C: Sở cứ các yêu cầu an toàn cần theo dấu mỗi SFR theo các mục tiêu an toàn cho TOE.

9.8.2.3.10 Đơn vị công việc ASE_REQ.2-10

Người đánh giá cần kiểm tra rằng sở cứ các yêu cầu an toàn theo dấu mỗi SFR đến các mục tiêu an toàn cho TOE.

Người đánh giá xác định rằng mỗi SFR được theo dấu ít nhất một mục tiêu an toàn cho TOE.

...

TCVN 8709-3 (ISO/IEC 15408-3) ASE_REQ.2.7C: Sở cứ các yêu cầu an toàn cần chứng minh rằng SFR đáp ứng tất cả các mục tiêu an toàn cho TOE.

9.8.2.3.11 Đơn vị công việc ASE_REQ.2-11

Người đánh giá xác định rằng biện minh mục tiêu an toàn cho TOE chứng minh rằng các SFR là đầy đủ: nếu tất cả các SFR theo dấu mục tiêu được thỏa mãn thì sẽ đạt được mục tiêu an toàn cho TOE. Người đánh giá cũng xác định rằng mỗi SFR theo dấu mục tiêu an toàn cho TOE là được yêu cầu: khi SFR được thỏa mãn, nó thực sự góp phần vào việc đạt được các mục tiêu an toàn.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_REQ.2.8C: Sở cứ các yêu cầu an toàn cần giải thích vì sao các SAP được chọn.

9.8.2.3.12 Đơn vị công việc ASE_REQ.2-12

Người đánh giá cần kiểm tra sở cứ các yêu cầu an toàn để giải thích tại sao các SAR được lựa chọn. Người đánh giá được nhắc nhở rằng mọi lời giải thích là chính xác, miễn là nó mạch lạc và cả các SAR và phần giải thích đều không có sự không nhất quán hiển nhiên với phần còn lại của ST.

...

TCVN 8709-3 (ISO/IEC 15408-3) ASE_REQ.2.9C: Tuyên bố về các yêu cầu an toàn cần nhất quán nội bộ.

9.8.2.3.13 Đơn vị công việc ASE_REQ.2-13

Người đánh giá cần thẩm tra tuyên bố của các yêu cầu an toàn để xác định nó có tính nhất quán nội bộ.

Người đánh giá xác định rằng các thiết lập liên hợp của tất cả các SFR và SAR có tính nhất quán nội bộ.

Người đánh giá xác định rằng trong tất cả các cơ hội mà tại đó các yêu cầu an toàn khác nhau áp dụng cho cùng một loại bằng chứng của nhà phát triển, các sự kiện, các hoạt động, dữ liệu, kiểm thử cần được thực hiện v.v.. hoặc "tất cả các đối tượng", "tất cả các mục tiêu" v.v..., mà các yêu cầu không mâu thuẫn.

Một số mâu thuẫn có thể là:

b) FAU_GEN.1 Tạo ra thế hệ dữ liệu kiểm toán xác định rằng xác định đối tượng cần được đăng nhập, FDP_ACC.1 Tập con kiểm soát truy nhập xác định những người có quyền truy nhập vào các hồ sơ và FPR_UNO.1 Tính không thể quan sát xác định rằng một số hành động của các đối tượng nên có thể không quan sát được các đối tượng khác. Nếu đối tượng đó không thể quan sát một hoạt động có thể truy nhập các hồ sơ của các hoạt động này, các SFR này mâu thuẫn;

...

9.9 Đặc tả tổng quát TOE (ASE_TSS)

9.9.1 Đánh giá hoạt động con (ASE_TSS.1)

9.9.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu đặc tả tổng quát TOE có đề cập đến tất cả các SFR không và liệu đặc tả tổng quát TOE có nhất quán với các mô tả tường thuật khác của TOE không.

9.9.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) ST.

9.9.1.3 Hành động ASE_TSS.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ASE_TSS.1.1C: Đặc tả tổng quát TOE cần mô tả TOE đáp ứng mỗi SFR như thế nào.

...

Người đánh giá cần thẩm tra đặc tả tổng quát TOE để xác định rằng nó mô tả TOE đáp ứng mỗi SFR như thế nào.

Người đánh giá xác định rằng các đặc tả tổng quát TOE cung cấp, đối với mỗi SFR từ tuyên bố các yêu cầu an toàn, sự mô tả cách mà SFR đáp ứng.

Người đánh giá cần nhớ rằng mục tiêu của từng mô tả là cung cấp cho khách hàng tiềm năng của TOE một cái nhìn ở mức cao cách mà các nhà phát triển làm bản sao thỏa mãn mỗi SFR và các mô tả do đó không nên quá chi tiết.

Đối với một TOE tổng hợp, người đánh giá cũng xác định rằng nó là thành phần rõ ràng cung cấp mỗi SFR hoặc cách mà các thành phần kết hợp để đáp ứng mỗi SFR.

9.9.1.4 Hành động ASE_TSS.1.2E

9.9.1.4.1 Đơn vị công việc ASE_TSS.1-2

Người đánh giá cần thẩm tra đặc tả tổng quát TOE để xác định rằng nó nhất quán với tổng quan TOE và mô tả TOE.

Tổng quan TOE, mô tả TOE và đặc tả tổng quát TOE mô tả TOE dưới dạng tường thuật là tăng mức độ chi tiết. Do đó, những mô tả này cần phải nhất quán.

9.9.2 Đánh giá hoạt động con (ASE_TSS.2)

...

Mục tiêu của hoạt động con này là xác định liệu đặc tả tổng quát TOE có đề cập đến tất cả các SFR không, liệu đặc tả tổng quát TOE có đề cập đến sự can thiệp, sự giả mạo mức logic và sự bị bỏ qua không và liệu đặc tả tổng quát TOE có nhất quán với các mô tả tường thuật khác của TOE không.

9.9.2.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) ST.

9.9.2.3 Hành động ASE_TSS.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) ASE_TSS.2.1C: Đặc tả tổng quát TOE cần mô tả TOE đáp ứng mỗi SFR như thế nào.

9.9.2.3.1 Đơn vị công việc ASE_TSS.2-1

Người đánh giá cần thẩm tra đặc tả tổng quát TOE để xác định rằng nó mô tả TOE đáp ứng mỗi SFR như thế nào.

Người đánh giá xác định rằng các đặc tả tổng quát TOE cung cấp, đối với mỗi SFR từ tuyên bố các yêu cầu an toàn, sự mô tả cách mà SFR đáp ứng.

...

TCVN 8709-3 (ISO/IEC 15408-3) ASE_TSS.2.2C: Đặc tả tổng quát TOE cần mô tả làm thế nào TOE tự bảo vệ chống lại sự can thiệp và sự giả mạo mức logic.

9.9.2.3.2 Đơn vị công việc ASE_TSS.2-2

Người đánh giá cần thẩm tra đặc tả tổng quát TOE để xác định rằng nó mô tả làm thế nào TOE tự bảo vệ chống lại sự can thiệp và giả mạo mức logic

Người đánh giá cần nhớ rằng mục tiêu của từng mô tả là cung cấp cho người tiêu dùng tiềm năng của TOE có một cái nhìn ở mức cao cách mà các nhà phát triển định cung cấp sự bảo vệ chống lại sự can thiệp và sự giả mạo mức logic và các mô tả do đó không nên quá chi tiết.

Đối với một TOE tổng hợp, người đánh giá cũng xác định rằng nó là thành phần rõ ràng cung cấp sự bảo vệ hoặc cách mà các thành phần kết hợp để cung cấp sự bảo vệ.

TCVN 8709-3 (ISO/IEC 15408-3) ASE_TSS.2.3C: Đặc tả tổng quát TOE cần mô tả làm thế nào TOE tự bảo vệ để chống lại sự bị bỏ qua.

9.9.2.3.3 Đơn vị công việc ASE_TSS.2-3

Người đánh giá cần thẩm tra đặc tả tổng quát TOE để xác định rằng nó mô tả cách mà TOE tự bảo vệ chống lại sự bị bỏ qua.

...

9.9.2.4 Hành động ASE_TSS.2.2E

9.9.2.4.1 Đơn vị công việc ASE_TSS.2-4

Người đánh giá cần thẩm tra đặc tả tổng quát TOE để xác định rằng nó nhất quán với tổng quan TOE và mô tả TOE.

Tổng quan TOE, mô tả TOE và đặc tả tổng quát TOE mô tả TOE trong hình thức tường thuật là tăng cường mức độ chi tiết. Do đó, những mô tả này cần phải nhất quán.

10 Lớp ADV: Phát triển

10.1 Giới thiệu

Mục đích của các hoạt động phát triển là đánh giá tài liệu thiết kế về phương diện sự thích hợp của nó để hiểu làm thế nào TSF đáp ứng các SFR và làm thế nào triển khai các SFR này mà không bị giả mạo hoặc bị bỏ qua. Sự hiểu biết này có thể đạt được thông qua thẩm tra các mô tả ngày càng tinh tế của tài liệu thiết kế TSF. Tài liệu thiết kế bao gồm đặc tả chức năng (trong đó mô tả các giao diện của TSF), mô tả thiết kế TOE (trong đó mô tả kiến trúc của TSF xét về cách thức hoạt động để thực hiện các chức năng liên quan đến các SFR được yêu cầu) và mô tả triển khai (mô tả mức mã nguồn). Ngoài ra, có một mô tả kiến trúc an toàn (trong đó mô tả các đặc tính kiến trúc của TSF để giải thích cách thực thi an toàn của nó không thể bị can thiệp hoặc bị bỏ qua), mô tả nội bộ (trong đó mô tả như thế nào để TSF được kết cấu một cách dễ hiểu được khuyến khích) và một mô hình chính sách an toàn (trong đó chính thức mô tả các chính sách an toàn được thực thi bởi TSF).

10.2 Lưu ý áp dụng

...

TCVN 8709 (ISO/IEC 15408) cho rằng mức độ của một tài liệu về hình thức (có nghĩa là, nó chưa chính thức hoặc bán chính thức) được phân cấp. Tài liệu không chính thức là tài liệu được thể hiện bằng một ngôn ngữ tự nhiên. Phương pháp luận này không bắt buộc phải sử dụng một ngôn ngữ cụ thể; vấn đề này dành cho lược đồ. Các phần tiếp theo phân biệt nội dung của các tài liệu không chính thức khác nhau.

Đặc tả chức năng cung cấp mô tả về mục đích và phương pháp sử dụng giao diện của TSF. Ví dụ, nếu hệ điều hành cung cấp cho người sử dụng các phương tiện tự định danh, tạo tập tin, sửa đổi hoặc xóa tập tin, thiết lập cho phép xác định những gì người dùng khác có thể truy nhập đến các tập tin và giao tiếp với các máy từ xa, đặc tả chức năng của nó sẽ chứa các mô tả của một trong số này và cách chúng được thực hiện thông qua các tương tác với các giao diện có thể nhìn thấy bên ngoài TSF. Nếu cũng có chức năng kiểm toán mà phát hiện và ghi lại các lần xuất hiện của sự kiện như vậy, mô tả chức năng kiểm toán này cũng được dự kiến là một phần của đặc tả chức năng; trong khi chức năng này là kỹ thuật không trực tiếp được gọi đến bởi người dùng ở giao diện bên ngoài, nó chắc chắn bị ảnh hưởng bởi những gì xảy ra tại giao diện bên ngoài của người dùng.

Mô tả thiết kế được thể hiện trong thuật ngữ các phân chia theo logic (hệ thống con hoặc mô đun) mà mỗi cung cấp có thể bao hàm dịch vụ hoặc chức năng. Ví dụ, tường lửa có thể tổng hợp các hệ thống con để đối phó với việc lọc gói, với quản trị từ xa, với kiểm toán và với bộ lọc kết nối mức. Mô tả thiết kế của tường lửa sẽ mô tả các hành động được thực hiện, trong thuật ngữ các hành động nào mà mỗi hệ thống con thực hiện khi đi đến gói tại tường lửa.

10.3 Kiến trúc an toàn (ADV_ARC)

10.3.1 Đánh giá hoạt động con (ADV_ARC.1)

10.3.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu TSF có được cấu trúc như nó không bị giả mạo hoặc bị bỏ qua không và liệu các TSF có cung cấp các miền an toàn cách ly với các miền khác không.

10.3.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

...

b) đặc tả chức năng;

c) thiết kế TOE;

d) mô tả kiến trúc an toàn;

e) biểu diễn triển khai (nếu có);

f) hướng dẫn người sử dụng vận hành.

10.3.1.3 Lưu ý áp dụng

Các thuộc tính tự bảo vệ, phân cách miền và khả năng không đi vòng được phân biệt với chức năng an toàn thể hiện trong Phần 2 SFR vì tự bảo vệ và khả năng không đi vòng phần lớn không có giao diện trực tiếp có thể quan sát tại các TSF. Thay vào đó, chúng là thuộc tính của TSF đạt được thông qua thiết kế của TOE và TSF và được thực thi bởi việc thực hiện chính xác thiết kế đó. Ngoài ra, việc đánh giá các đặc tính này ít thuận lợi hơn so với đánh giá các cơ chế; kiểm tra sự không có chức năng thường khó khăn hơn kiểm tra sự hiện diện của chức năng. Tuy nhiên, việc xác định các đặc tính này đang được cho là thỏa mãn cũng quan trọng không kém gì việc xác định các cơ chế được triển khai một cách thích đáng.

Cách tiếp cận tổng thể được sử dụng là do nhà phát triển cung cấp TSF đáp ứng các đặc tính nêu trên và cung cấp bằng chứng (dưới dạng tài liệu) có thể được phân tích để thấy rằng tài sản thực sự được đáp ứng. Người đánh giá có trách nhiệm thẩm tra các bằng chứng và kết hợp với các bằng chứng khác dành cho TOE, xác định bằng chứng đạt được. Các đơn vị công việc có thể được mô tả dưới dạng những đơn vị công việc được chi tiết cùng với những thông tin phải được cung cấp và những đơn vị công việc giải quyết các phân tích thực tế mà người đánh giá thực hiện.

Mô tả kiến trúc an toàn là mô tả làm thế nào các miền được xác định và làm thế nào TSF giữ được nét riêng biệt của nó. Nó mô tả những gì ngăn cản quá trình không tin cậy đến được TSF và sửa đổi nó. Nó mô tả những gì đảm bảo rằng tất cả các nguồn tài nguyên dưới sự kiểm soát của TSF được bảo vệ đầy đủ và rằng tất cả các hành động liên quan đến các SFR đã được sắp xếp bởi TSF. Nó giải thích bất kỳ vai trò của môi trường vận hành trong mỗi điều này (ví dụ: giả sử nó được gọi đến chính xác bởi môi trường cơ bản của nó, làm thế nào gọi đến chức năng an toàn của nó?). Nói ngắn gọn là nó giải thích cách mà TOE được coi là cung cấp bất kỳ loại dịch vụ "an toàn" nào.

...

10.3.1.4 Hành động ADV_ARC.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ADV_ARC.1.1C: Mô tả kiến trúc an toàn cần thực hiện tại mức độ chi tiết bằng với tóm tắt thực thi SFR được mô tả trong tài liệu thiết kế TOE.

10.3.1.4.1 Đơn vị công việc ADV_ARC.1-1

Người đánh giá cần thẩm tra mô tả kiến trúc an toàn để xác định rằng các thông tin đã cung cấp trong các bằng chứng được trình bày tại mức độ chi tiết tương xứng với mô tả tóm tắt thực thi SFR có trong các đặc tả chức năng và tài liệu thiết kế TOE.

Đối với các đặc tả chức năng, người đánh giá cần đảm bảo rằng các chức năng tự bảo vệ được mô tả bao gồm các tác động được thể hiện rõ ở TSFI. Mô tả như vậy có thể bao gồm việc bảo vệ dựa trên những hình ảnh có thể thực thi của TSF và bảo vệ lên các đối tượng (ví dụ, các tập tin được sử dụng bởi TSF). Người đánh giá đảm bảo rằng các chức năng có thể được viện dẫn thông qua các TSFl cần được mô tả.

Nếu đánh giá của các hoạt động con (ADV_TDS.1) bao gồm cả đánh giá của các hoạt động con (ADV_TDS.2), người đánh giá đảm bảo mô tả kiến trúc an toàn chứa thông tin làm thế nào các hệ thống con góp phần vào việc phân cách miền TSF.

Nếu đánh giá của các hoạt động con (ADV_TDS.3) hoặc cao hơn có sẵn, người đánh giá đảm bảo rằng các mô tả kiến trúc an toàn cũng chứa thông tin triển khai phụ thuộc. Ví dụ, mô tả như vậy có thể có những thông tin liên quan đến quy ước mã hóa cho các tham số thẩm tra có thể ngăn ngừa thỏa hiệp TSF (ví dụ như lỗi tràn bộ đệm) và thông tin về quản lý ngăn xếp cho các hoạt động gọi và gọi lại. Người đánh giá kiểm tra các mô tả của các cơ chế để đảm bảo rằng mức chi tiết như vậy là rõ ràng giữa mô tả trong mô tả kiến trúc an toàn và các biểu diễn triển khai.

Các hành động đánh giá liên quan đến đơn vị công việc này được chỉ định nhận định không đạt nếu mô tả kiến trúc an toàn đề cập đến bất kỳ mô đun, hệ thống con hoặc giao diện mà không được mô tả trong các đặc tả chức năng hoặc tài liệu thiết kế TOE.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_ARC.1.2C: Mô tả kiến trúc an toàn cần mô tả việc bảo trì các miền an toàn bởi sự nhất quán của TSF so với SFR.

...

Người đánh giá cần thẩm tra mô tả kiến trúc an toàn để xác định rằng nó mô tả việc bảo trì các miền an toàn bởi các TSF.

Các miền an toàn đề cập đến môi trường được cung cấp bởi các TSF để sử dụng với các thực thể có khả năng gây hại; Ví dụ, một hệ thống điều hành an toàn điển hình cung cấp một tập hợp các tài nguyên (không gian địa chỉ, tham số môi trường tiền tiến trình) để sử dụng các tiến trình với quyền truy nhập hạn chế và tài sản an toàn. Người đánh giá xác định rằng mô tả của nhà phát triển trong các miền an toàn có tính đến tài khoản bất kỳ của các SFR được yêu cầu bởi TOE.

Đối với một số TOE không tồn tại các miền như vậy bởi vì tất cả các tương tác có sẵn cho người dùng bị hạn chế khắt khe bởi TSF. Tường lửa bộ lọc - gói là ví dụ của một TOE như vậy. Người sử dụng LAN và WAN không tương tác được với các TOE, do đó không được yêu cầu có miền an toàn; chỉ có cấu trúc dữ liệu được bảo trì bởi TSF để giữ các gói tin của người sử dụng tách biệt nhau. Người đánh giá đảm bảo rằng bất kỳ yêu cầu mà không có các miền được hỗ trợ bởi các bằng chứng và không có các miền như vậy có sẵn trên thực tế.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_ARC.1.3C: Mô tả kiến trúc an toàn cần mô tả làm thế nào tiến trình khởi tạo TSF là an toàn.

10.3.1.4.3 Đơn vị công việc ADV_ARC.1-3

Người đánh giá cần thẩm tra mô tả kiến trúc an toàn để xác định rằng tiến trình khởi tạo duy trì an toàn.

Thông tin được cung cấp trong mô tả kiến trúc an toàn liên quan đến khởi tạo TSF được hướng dẫn tại các thành phần TOE có liên quan trong việc đưa TSF về trạng thái an toàn ban đầu (nghĩa là khi tất cả các phần của TSF đang vận hành) khi bật nguồn hoặc thiết lập lại được áp dụng. Thảo luận này trong phần mô tả kiến trúc an toàn nên liệt kê các thành phần khởi tạo hệ thống và việc xử lý khi xuất hiện chuyển trạng thái từ "giảm bớt" về trạng thái an toàn ban đầu.

Trường hợp thường xảy ra là các thành phần thực hiện chức năng khởi tạo này không thể truy nhập sau khi thực hiện trạng thái an toàn; nếu đây là trường hợp đó, mô tả kiến trúc an toàn xác định các thành phần và giải thích làm thế nào chúng không thể truy nhập do các thực thể không tin cậy sau khi TSF đã được thiết lập. Về mặt này, đặc tính cần được lưu giữ là các thành phần này hoặc là 1) không thể truy nhập bởi các thực thể không tin cậy sau khi trạng thái an toàn được thực hiện hoặc là 2) nếu chúng cung cấp các giao diện cho các thực thể đáng tin cậy, TSFI này có thể không được sử dụng để làm giả TSF.

Các thành phần TOE liên quan đến khởi tạo TSF, khi ấy, được xem xét là một phần của TSF và được phân tích từ quan điểm đó. Cần lưu ý rằng mặc dù chúng được coi là một phần của TSF, nó có khả năng là một sự biện minh (như cho phép của nội bộ TSF (ADV_INT)) có thể được thực hiện khi chúng không đáp ứng các yêu cầu cơ cấu nội bộ của ADV_INT.

...

10.3.1.4.4 Đơn vị công việc ADV_ARC.1-4

Người đánh giá cần thẩm tra mô tả kiến trúc an toàn để xác định rằng nó chứa đầy đủ thông tin để hỗ trợ việc xác định rằng TSF có thể tự bảo vệ chính nó từ sự giả mạo của các thực thể hoạt động không tin cậy.

"Tự bảo vệ" đề cập đến khả năng của TSF tự bảo vệ chính nó từ thao tác của các thực thể bên ngoài mà có thể dẫn đến những thay đổi trong TSF. Đối với các TOE có phụ thuộc vào các thực thể công nghệ thông tin khác, thường xảy ra trường hợp TOE sử dụng các dịch vụ được cung cấp bởi các thực thể công nghệ thông tin khác để thực hiện các chức năng của mình. Trong trường hợp này, một mình TSF không tự bảo vệ chính nó vì nó phụ thuộc vào các thực thể công nghệ thông tin khác để cung cấp một số sự bảo vệ. Theo mục đích của mô tả kiến trúc an toàn, quan niệm về tự bảo vệ chỉ áp dụng cho các dịch vụ được cung cấp bởi các TSF qua TSFI của nó và không để các dịch vụ được cung cấp bởi các thực thể công nghệ thông tin cơ bản mà nó sử dụng.

Tự bảo vệ thường được thực hiện bằng nhiều phương thức khác nhau, từ những hạn chế vật lý và logic về truy nhập TOE; các phương thức dựa trên phần cứng (ví dụ như "các vòng thực hiện" và chức năng quản lý bộ nhớ); phương thức dựa trên phần mềm (ví dụ như thẩm tra ranh giới của các đầu vào trên một máy chủ đáng tin cậy). Người đánh giá xác định rằng tất cả các cơ chế như vậy cần được mô tả.

Người đánh giá xác định rằng các mô tả thiết kế bao gồm làm thế nào đầu vào người sử dụng được xử lý bởi các TSF theo cách mà TSF không bị hỏng bởi đầu vào người sử dụng. Ví dụ, TSF có thể triển khai các khái niệm đặc quyền và tự bảo vệ chính nó bằng cách sử dụng thủ tục chế độ đặc quyền để xử lý người sử dụng. TSF có thể sử dụng các cơ chế phân chia dựa trên bộ vi xử lý như các mức hoặc các vòng đặc quyền. TSF có thể thực thi các kết cấu bảo vệ phần mềm hoặc các quy ước mã hóa góp phần thực hiện phân chia các miền phần mềm bằng cách phân định không gian địa chỉ người sử dụng từ không gian địa chỉ hệ thống. TSF có thể phụ thuộc môi trường của nó để cung cấp một số hỗ trợ cho việc bảo vệ của TSF.

Tất cả các cơ chế góp phần vào các chức năng phân cách miền đã được mô tả. Người đánh giá cần sử dụng kiến thức thu được từ các bằng chứng khác (đặc tả chức năng, thiết kế TOE, mô tả bên trong TSF, các bộ phận khác của mô tả kiến trúc an toàn hoặc biểu diễn triển khai, như có trong gói đảm bảo cho TOE) trong việc xác định nếu có chức năng đóng góp vào tự bảo vệ được mô tả mà không hiện diện trong mô tả kiến trúc an toàn.

Độ chính xác của các mô tả trong cơ chế tự bảo vệ là đặc tính mà đặc tả chung mô tả những gì đã triển khai. Người đánh giá nên sử dụng các bằng chứng khác (đặc tả chức năng, thiết kế TOE, tài liệu nội bộ của TSF, các thành phần khác của mô tả kiến trúc an toàn, biểu diễn triển khai, như có trong ST của TOE) trong việc xác định liệu có sự khác biệt trong bất kỳ mô tả của các cơ chế tự bảo vệ không. Nếu biểu diễn triển khai (ADV_IMP) được chứa trong gói đảm bảo của TOE, người đánh giá sẽ chọn một mẫu biểu diễn triển khai; người đánh giá cũng nên đảm bảo rằng mô tả là chính xác đối với các mẫu lựa chọn. Nếu người đánh giá không thể hiểu làm thế nào các cơ chế tự bảo vệ làm việc hoặc có thể làm việc trong kiến trúc hệ thống, trong trường hợp này mô tả là không chính xác.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_ARC.1.5C: Mô tả kiến trúc an toàn cần chứng minh rằng TSF phòng chống việc vượt qua của chức năng thực thi SFR.

10.3.1.4.5 Đơn vị công việc ADV_ARC.1-5

...

Khả năng không đi vòng là một đặc tính chức năng an toàn của TSF (theo quy định của SFR) luôn luôn gọi đến. Ví dụ, nếu kiểm soát truy nhập vào các tập tin được quy định như khả năng của TSF qua SFR, ở đây không có giao diện thông qua các tập tin có thể được truy nhập mà không gọi đến cơ chế kiểm soát truy nhập của các TSF (chẳng hạn như giao diện thông qua đó truy nhập đĩa chưa xử lý tiếp tục diễn ra).

Mô tả làm thế nào các cơ chế TSF không thể vượt qua thường yêu cầu lập luận có hệ thống dựa trên TSF và các TSFl. Các mô tả làm thế nào TSF làm việc (có trong các bằng chứng phân tích thiết kế, chẳng hạn như đặc tả chức năng, tài liệu thiết kế TOE) - cùng với các thông tin trong TSS - cung cấp nền tảng được yêu cầu cho việc đánh giá để hiểu những gì các nguồn lực đang được bảo vệ và những gì chức năng an toàn đang được cung cấp. Đặc tả chức năng cung cấp mô tả của các các TSFI thông qua đó các nguồn lực/chức năng được truy cập.

Người đánh giá đánh giá mô tả đã cung cấp (và các thông tin khác được cung cấp bởi nhà phát triển, chẳng hạn như đặc tả chức năng) để đảm bảo rằng không có giao diện có sẵn có thể được sử dụng để vượt qua các TSF. Điều này có nghĩa là tất cả các giao diện có sẵn phải không liên quan đến các SFR được yêu cầu trong ST (và không tác động tới bất cứ điều gì được sử dụng để đáp ứng các SFR) hoặc nếu không sử dụng các chức năng an toàn được mô tả trong bằng chứng phát triển khác theo cách mô tả. Ví dụ, một trò chơi có thể sẽ không liên quan đến các SFR, vì vậy phải có lời giải thích làm thế nào nó không ảnh hưởng đến an toàn. Tuy nhiên, truy nhập vào dữ liệu người dùng có thể có liên quan đến các SFR kiểm soát truy cập, vì vậy việc giải thích sẽ mô tả làm thế nào các chức năng an toàn làm việc khi được gọi đến thông qua các giao diện dữ liệu truy cập. Mô tả như vậy là được yêu cầu cho tất cả các giao diện có sẵn.

Ví dụ về mô tả sau. Giả sử TSF cung cấp bảo vệ tập tin. Hơn nữa giả sử rằng mặc dù hệ thống "truyền thống" gọi các TSFI để mở, đọc, viết gọi đến các cơ chế bảo vệ tập tin được mô tả trong thiết kế TOE, tồn tại ở đó TSFI cho phép truy nhập đến chức năng công việc theo khối (tạo ra công việc theo khối, xóa công việc, thay đổi công việc chưa qua xử lý). Người đánh giá có thể nên xác định từ mô tả của nhà cung cấp với điều kiện là TSFI này gọi đến các cơ chế bảo vệ tương tự như thực hiện các giao diện "truyền thống". Điều này có thể được thực hiện, ví dụ, bằng cách tham khảo các mục phù hợp của thiết kế TOE thảo luận làm thế nào chức năng công việc theo khối của TSFI đạt được các mục tiêu an toàn của nó.

Sử dụng cùng ví dụ trên, giả sử có một TSFl với mục đích duy nhất là để hiển thị thời gian trong ngày. Người đánh giá nên xác định rằng sự mô tả lập luận đầy đủ rằng TSFI này không có khả năng thao tác với bất kỳ tài nguyên được bảo vệ và không gọi đến bất kỳ chức năng an toàn nào.

Một ví dụ khác về vượt qua là khi TSF được cho là phải bảo trì tính bảo mật của một khóa mật mã (cho phép sử dụng nó cho các hoạt động mật mã, nhưng không cho phép đọc/ghi nó). Nếu người tấn công có thể truy nhập vật lý trực tiếp vào thiết bị, họ có thể thẩm tra các kênh phụ như việc sử dụng nguồn của thiết bị, thời gian chính xác của thiết bị hoặc thậm chí bất kỳ phát xạ điện từ của các thiết bị và từ đó suy ra chìa khóa.

Nếu như các kênh phụ có thể xuất hiện, minh chứng nên giải quyết các cơ chế ngăn chặn các kênh phụ xuất hiện, chẳng hạn như đồng hồ nội bộ ngẫu nhiên, công nghệ dual-line v.v...Việc xác nhận các cơ chế này sẽ được xác nhận qua sự kết hợp hoàn toàn vào lập luận dựa trên thiết kế và kiểm thử.

Ví dụ cuối cùng sử dụng chức năng an toàn chứ không phải là nguồn tài nguyên được bảo vệ, giả sử một ST có chứa FCO_NRO.2 Buộc tuân theo bằng chứng về nguồn gốc, yêu cầu TSF cung cấp bằng chứng về nguồn gốc với nhiều loại thông tin quy định tại ST. Giả sử rằng "các loại thông tin" bao gồm tất cả các thông tin được gửi bởi TOE qua thư điện tử. Trong trường hợp này người đánh giá nên thẩm tra các mô tả để đảm bảo rằng tất cả TSFl có thể được gọi đến để gửi qua thư điện tử thực hiện chức năng "bằng chứng về hệ nguồn gốc" là chi tiết. Mô tả có thể chỉ để hướng dẫn người sử dụng đến tất cả các địa điểm nơi mà thư điện tử có thể bắt nguồn (ví dụ, chương trình thư điện tử, thông báo từ các kịch bản/các công việc theo khối) và sau đó làm thế nào mỗi địa điểm này gọi đến chức năng hệ bằng chứng.

Người đánh giá cũng nên đảm bảo rằng các mô tả là toàn diện, trong đó mỗi giao diện được phân tích đối với toàn bộ các SFR yêu cầu. Điều này có thể yêu cầu người đánh giá thẩm tra thông tin hỗ trợ (đặc tả chức năng, thiết kế TOE, các thành phần khác của mô tả kiến trúc an toàn, Hướng dẫn người sử dụng vận hành và có lẽ ngay cả các biểu diễn triển khai theo quy định TOE) để xác định sự mô tả chính xác nắm bắt tất cả các phương diện của giao diện. Người đánh giá nên thẩm tra những gì các SFR tại mỗi TSFI có thể ảnh hưởng (từ mô tả của TSFI và triển khai nó trong các tài liệu hỗ trợ) và sau đó thẩm tra các mô tả để xác định xem nó bao trùm những phương diện gì.

...

10.4.1 Đánh giá hoạt động con (ADV_FSP.1)

10.4.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các nhà phát triển có cung cấp mô tả mức cao của ít nhất là các TSFI của thực thi SFR và hỗ trợ SFR trong mô tả các thuật ngữ các thông số của chúng không. Không có yêu cầu khác về bằng chứng có thể được dự kiến có thể có sẵn để đo độ chính xác của những mô tả này; người đánh giá chỉ đơn thuần là đảm bảo các mô tả hợp lý.

10.4.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) các đặc tả chức năng;

c) hướng dẫn người sử dụng vận hành.

10.4.1.3 Hành động ADV_FSP.1.1E

...

10.4.1.3.1 Đơn vị công việc ADV_FSP.1-1

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng trạng thái mục tiêu trong mỗi TSFI của hỗ trợ SFR và thực thi SFR.

Mục tiêu của TSFI là tuyên bố khái quát tóm tắt chức năng được cung cấp bởi giao diện. Nó không có ý định tuyên bố tính hoàn thiện của các hành động và kết quả liên quan đến giao diện, mà đúng hơn là một tuyên bố giúp cho người đọc hiểu được khái quát những gì giao diện có ý định sử dụng. Người đánh giá không nên chỉ xác định mục đích tồn tại, mà còn là phản ánh chính xác TSFI bằng cách đưa vào tài khoản các thông tin khác về giao diện, như mô tả các thông số; điều này có thể được thực hiện kết hợp với các đơn vị công việc khác của thành phần này.

Nếu một hành động có sẵn thông qua giao diện đóng một vai trò trong việc thực thi các chính sách an toàn trên TOE (có nghĩa là, nếu một trong các hành động của giao diện có thể được truy nguồn từ một trong những SFR áp dụng cho TSF), sau đó giao diện thực thi SFR. Các chính sách này không giới hạn các chính sách kiểm soát truy cập, nhưng cũng đề cập đến chức năng bất kỳ xác định bởi một trong những SFR có trong ST. Lưu ý rằng nó có thể xảy ra vì giao diện có thể có những hành động và các kết quả khác nhau, một số trong đó có thể thực thi SFR và một số có thể không.

Các giao diện (hoặc hành động có sẵn thông qua một giao diện liên quan) hành động cái mà chức năng thực thi SFR phụ thuộc vào, nhưng chỉ chức năng chính xác để cho các chính sách an toàn của TOE được lưu giữ, được gọi là hỗ trợ SFR. Các giao diện hành động mà chức năng thực thi SFR không phụ thuộc được gọi là không can thiệp SFR.

Cần lưu ý rằng để cho một giao diện hỗ trợ SFR hoặc không can thiệp SFR nó phải không có các hành động hay các kết quả thực thi SFR. Ngược lại, một giao diện thực thi SFR có thể có những hành động hỗ trợ SFR (ví dụ, khả năng thiết lập đồng hồ hệ thống có thể là một hành động thực thi SFR của giao diện, nhưng nếu cùng một giao diện được sử dụng để hiển thị ngày hệ thống thì hành động chỉ có thể được hỗ trợ SFR). Một ví dụ về một giao diện hỗ trợ SFR hoàn toàn là giao diện gọi hệ thống được sử dụng bởi cả người sử dụng không tin cậy và một phần của TSF đang chạy trong chế độ người dùng.

Ở cấp độ này, nhà phát triển có thể sẽ không nỗ lực đã mở rộng nhãn giao diện như thực thi SFR và hỗ trợ SFR. Trong trường hợp này khi đã được thực hiện, người đánh giá cần xác minh đạt đến mức mà tài liệu hỗ trợ (ví dụ, hướng dẫn người sử dụng vận hành) cho phép xác định điều này là đúng. Lưu ý rằng hoạt động xác định này là được yêu cầu cho một số đơn vị công việc cho thành phần này. Thông thường, nhà phát triển không dán nhãn các giao diện, người đánh giá phải thực hiện xác định riêng của họ về giao diện đầu tiên và sau đó xác định liệu các thông tin được yêu cầu (đối với đơn vị công việc này, mục đích) có tồn tại. Một lần nữa, vì thiếu các bằng chứng hỗ trợ về nhận dạng này sẽ rất khó khăn và đảm bảo thấp dù tất cả các giao diện phù hợp đã được xác định một cách chính xác, nhưng dù sao người đánh giá đã thẩm tra các bằng chứng khác đối với TOE để đảm bảo vùng hoạt động hoàn thành tốt.

10.4.1.3.2 Đơn vị công việc ADV_FSP.1-2

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng phương pháp sử dụng cho mỗi TSFI của hỗ trợ SFR và thực thi SFR đã định sẵn.

...

Phương pháp sử dụng cho TSFl tóm tắt làm thế nào giao diện được thao tác để gọi đến các hành động và đạt được các kết quả liên quan đến TSFI. Người đánh giá nên xác định, từ việc đọc tài liệu này trong đặc tả chức năng, làm sao để sử dụng mỗi giao diện. Điều này không có nghĩa là cần phải có một phương pháp riêng biệt sử dụng cho mỗi TSFI, vì nó có thể mô tả khái quát làm thế nào các cuộc gọi cốt lõi được gọi đến, ví dụ và khi đó mỗi giao diện xác định sử dụng phong cách chung. Các kiểu giao diện khác nhau sẽ đòi hỏi phương pháp khác nhau của các thông số kỹ thuật sử dụng. Các API, giao diện giao thức mạng, các thông số cấu hình hệ thống, giao diện bus phần cứng, tất cả đều có các phương pháp rất khác nhau để sử dụng và điều này nên được đưa vào tài khoản của các nhà phát triển khi phát triển các đặc tả chức năng, cũng như thẩm định đánh giá các đặc tả chức năng.

Đối với giao diện hành chính mà chức năng của chúng được ghi là không thể tiếp cận với người sử dụng không đáng tin cậy, Người đánh giá đảm bảo rằng phương pháp làm các chức năng không thể tiếp cận được mô tả trong đặc tả chức năng. Cần lưu ý rằng tính năng không thể tiếp cận này cần phải được kiểm thử bởi các nhà phát triển trong bộ phần mềm kiểm thử của họ.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.1.2C: Đặc tả chức năng cần xác định tất cả các tham số liên quan với mỗi TSFI của thực thi SFR và hỗ trợ SFR.

10.4.1.3.3 Đơn vị công việc ADV_FSP.1-3

Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó nhận dạng tất cả các thông số liên quan đến mỗi TSFI của thực thi SFR và hỗ trợ SFR.

Xem đơn vị công việc ADV_FSP.1-1 với lập luận về việc xác định TSFI của hỗ trợ SFR và thực thi SFR.

Người đánh giá thẩm tra đặc tả chức năng để đảm bảo rằng tất cả các tham số được mô tả cho TSFI đã xác định. Các tham số đầu vào và đầu ra rõ ràng trong một giao diện để kiểm soát hoạt động của giao diện đó. Ví dụ, các thông số là các đối số cung cấp cho API; các lĩnh vực khác nhau trong gói tin cho một giao thức mạng nhất định; các giá trị riêng quan trọng trong Windows Registry; các tín hiệu là một tập hợp của các chân trên một con chip; v.v...

Trong khi khó để có được nhiều đảm bảo rằng tất cả các thông số cho TSFI áp dụng đã được xác định, người đánh giá cũng nên thẩm tra bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, hướng dẫn người sử dụng vận hành) để xem có hành vi hoặc các tham số bổ sung được mô tả ở đó nhưng không có trong đặc tả chức năng.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.1.3C: Đặc tả chức năng cần cung cấp sở cứ cho việc phân nhóm rõ ràng của các giao diện như không can thiệp SFR.

...

Người đánh giá cần kiểm tra sở cứ do các nhà phát triển cung cấp cho việc phân loại ngầm định của giao diện như không can thiệp SFR để xác định rằng nó là chính xác.

Trong trường hợp nơi mà các nhà phát triển cung cấp tài liệu hướng dẫn đầy đủ để thực hiện các phân tích gọi bởi phần còn lại của các đơn vị công việc cho các thành phần này mà không cần xác định một cách rõ ràng giao diện thực thi SFR và hỗ trợ SFR, đơn vị công việc này nên được coi là thỏa mãn.

Đơn vị công tác này được dùng để áp dụng cho trường hợp nơi mà các nhà phát triển không mô tả phần của TSFI, yêu cầu rằng nó là không can thiệp SFR và do đó không có các yêu cầu khác của thành phần này. Trong trường hợp này, các nhà phát triển cung cấp sở cứ cho đặc tính này đầy đủ chi tiết sao cho người đánh giá hiểu được sở cứ, các đặc điểm của giao diện bị ảnh hưởng (ví dụ, chức năng mức cao của họ đối với các TOE, chẳng hạn như "sử dụng bảng màu") và yêu cầu đây là những không can thiệp SFR được hỗ trợ. Căn cứ vào mức độ đảm bảo, người đánh giá không nên kỳ vọng được cung cấp chi tiết hơn cho các giao diện thực thi SFR hoặc hỗ trợ SFR và trong thực tế, chi tiết nên ít hơn. Trong hầu hết các trường hợp, giao diện riêng không nên đề cập trong điều sở cứ nhà phát triển cung cấp.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.1.4C: Việc theo dấu cần chứng minh rằng các SFR theo dấu các TSFI trong đặc tả chức năng.

10.4.1.3.5 Đơn vị công việc ADV_FSP.1-5

Người đánh giá cần kiểm tra rằng các liên kết theo dấu các SFR theo các TSFl tương ứng.

Theo dấu được cung cấp bởi các nhà phát triển để đảm nhiệm như một hướng dẫn mà các SFR liên quan đến các TSFl. Theo dấu này có thể đơn giản là một bảng; nó được sử dụng làm đầu vào cho người đánh giá sử dụng trong các đơn vị công việc tiếp theo, trong đó người đánh giá xác minh tính đầy đủ và chính xác của nó.

10.4.1.4 Hành động ADV_FSP.1.2E

10.4.1.4.1 Đơn vị công việc ADV_FSP.1-6

...

Để đảm bảo rằng tất cả các SFR được đề cập bởi các đặc tả chức năng, cũng như phân tích độ bao phủ kiểm thử, người đánh giá có thể xây dựng dựa trên của nhà phát triển (xem ADV_FSP.1-5 ánh xạ giữa các yêu cầu chức năng an toàn của TOE và TSFI). Lưu ý rằng ánh xạ này có thể có ở mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, vì các hoạt động (chỉ định, bổ sung chi tiết, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.

Ví dụ, các thành phần FDP_ACC.1 chứa các chỉ định trong một phần tử. Ví dụ, nếu ST chứa mười quy tắc trong chỉ định FDP_ACC.1 và mười quy tắc này được bao phủ bởi ba TSFI khác nhau, nó sẽ không đủ để người đánh giá ánh xạ FDP_ACC.1 theo hướng TSFI A, B và C và yêu cầu chúng hoàn thành các đơn vị công việc. Thay vào đó, người đánh giá sẽ ánh xạ FDP_ACC.1 (quy tắc 1) theo hướng TSFI A; FDP_ACC.1 (quy tắc 2) theo hướng TSFI B; v,v... Nó cũng có thể là trường hợp mà giao diện là một giao diện bao (ví dụ IOCTL...), trong trường hợp đó ánh xạ sẽ cần phải được cụ thể để thiết tập các thông số cho giao diện nhất định.

Người đánh giá phải thừa nhận rằng với các yêu cầu có ít hoặc không có biểu hiện tại ranh giới TSF (ví dụ, FDP_RIP) nó không kỳ vọng rằng người đánh giá ánh xạ toàn bộ các yêu cầu này đến TSFI. Việc phân tích cho những yêu cầu này sẽ được thực hiện trong phân tích thiết kế TOE (ADV_TDS) khi đưa vào ST. Điều này cũng quan trọng với lưu ý rằng vì các thông số liên quan đến các TSFI phải được xác định đầy đủ, người đánh giá nên xác định nếu tất cả các khía cạnh xuất hiện trong SFR được triển khai tại mức giao diện.

10.4.1.4.2 Đơn vị công việc ADV_FSP.1-7

Người đánh giá cần thẩm tra đặc tả chức năng để xác định rằng nó là sự chứng minh chính xác của các SFR.

Đối với mỗi yêu cầu chức năng trong ST mà kết quả trong các hiệu ứng có thể nhìn thấy ở ranh giới TSF, thông tin trong TSFI liên quan để yêu cầu riêng của chức năng được yêu cầu đã mô tả bằng yêu cầu. Ví dụ, nếu ST có một yêu cầu đối với các danh sách kiểm soát truy cập và chỉ TSFl này ánh xạ để yêu cầu chỉ rõ chức năng đối với các bit bảo vệ kiểu Unix, sau đó các đặc tả chức năng không chính xác đối với chi tiết của các yêu cầu.

10.4.2 Đánh giá hoạt động con (ADV_FSP.2)

10.4.2.1 Mục tiêu

...

10.4.2.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này đó là yêu cầu bởi các đơn vị công việc là:

a) ST;

b) đặc tả chức năng;

c) thiết kế TOE.

Bằng chứng đánh giá cho hoạt động con này được sử dụng nếu có trong ST của TOE là:

a) mô tả kiến trúc an toàn;

b) hướng dẫn người sử dụng vận hành.

10.4.2.3 Hành động ADV_FSP.2.1E

...

10.4.2.3.1 Đơn vị công việc ADV_FSP.2-1

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng TSF được biểu diễn đầy đủ.

Việc xác định TSFI là điều kiện tiên quyết được yêu cầu cho tất cả các hoạt động khác trong hoạt động con này. TSF phải được xác định (thực hiện như một phần của đơn vị công việc thiết kế TOE (ADV_TDS)) để xác định các TSFI. Hoạt động này có thể được thực hiện ở mức cao để đảm bảo rằng không có nhóm lớn các giao diện bị bỏ qua (các giao thức mạng, các giao diện phần cứng, các tập tin cấu hình) hoặc ở mức thấp như đánh giá của tiến trình đặc tả chức năng.

Khi tạo ra đánh giá cho đơn vị công việc này, người đánh giá xác định rằng tất cả các phần của TSF được đề cập trong các thuật ngữ của giao diện liệt kê trong đặc tả chức năng. Tất cả các phần của TSF cần phải có một mô tả giao diện tương ứng hoặc nếu không có giao diện tương ứng cho một phần của TSF, người đánh giá xác định rằng công việc có thể chấp nhận được.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.2.2C: Đặc tả chức năng cần mô tả mục tiêu và phương pháp sử dụng cho tất cả TSFI.

10.4.2.3.2 Đơn vị công việc ADV_FSP.2-2

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng nó là trạng thái mục tiêu của mỗi TSFI.

Mục tiêu của TSFI là tuyên bố khái quát tóm tắt chức năng được cung cấp bởi giao diện. Nó không có ý định tuyên bố đầy đủ các hành động và kết quả liên quan đến giao diện, mà đúng hơn là một tuyên bố giúp cho người đọc hiểu được khái quát những gì giao diện có ý định sử dụng. Người đánh giá không nên chỉ xác định mục đích tồn tại, mà còn là phản ánh chính xác TSFI bằng cách đưa vào tài khoản các thông tin khác về giao diện, như mô tả các hành động và các thông báo lỗi.

10.4.2.3.3 Đơn vị công việc ADV_FSP.2-3

...

Phương pháp sử dụng cho TSFI tóm tắt làm thế nào giao diện được thao tác để gọi đến các hành động và đạt được các kết quả liên quan đến TSFI. Người đánh giá nên xác định, từ việc đọc vật liệu này trong đặc tả chức năng, làm sao để sử dụng mỗi giao diện. Điều này không có nghĩa là cần phải có một phương pháp riêng biệt sử dụng cho mỗi TSFI, vì nó có thể mô tả khái quát làm thế nào các cuộc gọi cốt lõi được gọi đến, ví dụ và khi đó mỗi giao diện xác định sử dụng kiểu chung. Các kiểu giao diện khác nhau sẽ đòi hỏi phương pháp khác nhau của các thông số kỹ thuật sử dụng. Các API, giao diện giao thức mạng, các thông số cấu hình hệ thống, giao diện bus phần cứng, tất cả đều có các phương pháp rất khác nhau để sử dụng và điều này nên được đưa vào tài khoản của các nhà phát triển khi phát triển các đặc tả chức năng, cũng như thẩm định đánh giá các đặc tả chức năng.

Đối với giao diện hành chính có chức năng là tài liệu không thể tiếp cận với người sử dụng không đáng tin cậy, Người đánh giá đảm bảo rằng phương pháp làm các chức năng không thể tiếp cận được mô tả trong đặc tả chức năng, cần lưu ý rằng không thể tiếp cận này cần phải được kiểm thử bởi các nhà phát triển trong bộ phần mềm kiểm thử của họ.

Người đánh giá không nên chỉ xác định rằng tập hợp phương pháp sử dụng các mô tả hiện tại, mà chúng cũng bao gồm chính xác mỗi TSFI.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.2.3C: Đặc tả chức năng cần xác định và mô tả tất cả các tham số liên quan đến mỗi TSFI.

10.4.2.3.4 Đơn vị công việc ADV_FSP.2-4

Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó nhận dạng đầy đủ tất cả các thông số liên quan đến mỗi TSFI.

Người đánh giá thẩm tra đặc tả chức năng để đảm bảo rằng tất cả các thông số được mô tả cho mỗi TSFI. Các tham số đầu vào hoặc đầu ra rõ ràng trong một giao diện để kiểm soát hoạt động của giao diện đó. Ví dụ, các thông số là các đối số cung cấp cho APl; các lĩnh vực khác nhau trong gói tin cho một giao thức mạng nhất định; các giá trị riêng quan trọng trong Windows Registry; các tín hiệu là tập hợp của các chân trên một con chip; v.v...

Để xác định tất cả các thông số có mặt trong TSFI, người đánh giá nên thẩm tra phần còn lại của mô tả giao diện (các hành động, thông báo lỗi, v.v...) để xác định nếu ảnh hưởng của các tham số được giải thích trong mô tả. Người đánh giá cũng nên kiểm tra bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để xem xét nếu hành vi hoặc các tham số bổ sung được mô tả ở đó nhưng không có trong đặc tả chức năng.

10.4.2.3.5 Đơn vị công việc ADV_FSP.2-5

...

Một khi tất cả các thông số đã được xác định, người đánh giá cần đảm bảo rằng chúng được mô tả một cách chính xác và mô tả của các thông số là hoàn thiện. Mô tả thông số cho biết ý nghĩa của những thông số này. Ví dụ, giao diện "foo(i)" có thể mô tả như là có "tham số i là một số nguyên"; cách mô tả tham số như thế này không được chấp nhận. Mô tả chẳng hạn như "tham số i là một số nguyên cho biết số lượng người dùng hiện đang đăng nhập vào hệ thống" được chấp nhận.

Để xác định rằng mô tả của các thông số là hoàn thiện, người đánh giá cần thẩm tra phần còn lại của mô tả giao diện (mục đích, phương pháp sử dụng, các hoạt động, thông báo lỗi, v.v...) để xác định nếu các mô tả của (các) tham số được ghi trong mô tả. Người đánh giá cũng nên kiểm tra bằng chứng khác đã cung cấp (ví dụ, thiết kế TOE, thiết kế kiến trúc, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để xem xét nếu hành vi hoặc các tham số bổ sung được mô tả ở đó nhưng không có trong đặc tả chức năng.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.2.4C: Với mỗi TSFI thực thi SFR, đặc tả chức năng cần mô tả các hành động thực thi SFR liên quan đến mỗi TSFI.

10.4.2.3.6 Đơn vị công việc ADV_FSP.2-6

Người đánh giá cần thẩm tra việc trình bày của các TSFI để xác định rằng nó mô tả đầy đủ và chính xác các hành động thực thi SFR liên quan đến các TSFI thực thi SFR.

Nếu một hành động có sẵn thông qua một giao diện có thể được theo dấu đến một trong những SFR áp trên TSF, sau đó giao diện là thực thi SFR. Các chính sách này không giới hạn đến các chính sách kiểm soát truy cập, nhưng cũng đề cập đến bất kỳ chức năng được quy định bởi một trong những SFR có trong ST. Lưu ý rằng nó có thể là giao diện với những hành động và các kết quả khác nhau, một số trong đó có thể là thực thi SFR và một số có thể không.

Các nhà phát triển không cần giao diện "nhãn" như thực thi SFR và tương tự như vậy không cần xác định các hành động có sẵn thông qua một giao diện như thực thi SFR. Đây là trách nhiệm của người đánh giá để thẩm tra các bằng chứng đã cung cấp bởi nhà phát triển và xác định các thông tin được yêu cầu có mặt. Trong trường hợp khi mà các nhà phát triển đã xác định TSFI thực thi SFR và hành động thực thi SFR có sẵn thông qua những TSFI này, người đánh giá phải đánh giá đầy đủ và chính xác dựa trên các thông tin khác đã cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành) và các thông tin khác được trình bày cho các giao diện (các thông số và mô tả thông số, các thông báo lỗi, v.v).

Trong trường hợp này (khi mà nhà phát triển chỉ cung cấp thông tin thực thi SFR cho TSFI thực thi SFR) người đánh giá cũng đảm bảo rằng không có giao diện bị phân loại sai. Điều này được thực hiện bằng cách thẩm tra các thông tin khác đã cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành) và các thông tin khác được trình bày cho các giao diện (ví dụ, các thông số và mô tả thông số) không được đánh nhãn như thực thi SFR.

...

Các mức mô tả đó là yêu cầu đủ để người đọc hiểu được vai trò gì để các hành động TSFI vận hành với khía cạnh theo hướng SFR. Người đánh giá cần lưu ý rằng sự mô tả nên đầy đủ chi tiết để hỗ trợ sự hình thành (và đánh giá) của các trường hợp kiểm thử với giao diện đó. Nếu mô tả không rõ ràng hoặc thiếu chi tiết dẫn đến không thể tiến hành kiểm thử ý nghĩa chống lại các TSFI, có khả năng mô tả là không đầy đủ.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.2.5C: Với các TSFI thực thi SFR, đặc tả chức năng cần mô tả các thông báo lỗi trực tiếp có kết quả từ xử lý liên quan với các hành động thực thi SFR.

10.4.2.3.7 Đơn vị công việc ADV_FSP.2-7

Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó mô tả đầy đủ và chính xác thông báo lỗi có thể là kết quả từ các hành động thực thi SFR liên quan đến mỗi TSFl thực thi SFR. Đơn vị công việc này nên được thực hiện kết hợp với hoặc sau đó, đơn vị công việc ADV_FSP.2-6 để đảm bảo các thiết lập của TSFI thực thi SFR và các hành động thực thi SFR được xác định một cách chính xác. Các nhà phát triển có thể cung cấp nhiều thông tin được yêu cầu hơn (ví dụ, tất cả các thông báo lỗi liên quan tới mỗi giao diện), trong trường hợp đó người đánh giá nên hạn chế đánh giá của họ về tính hoàn thiện và chính xác để chỉ họ thấy họ xác định được việc liên quan đến hành động thực thi SFR của TSFI thực thi SFR.

Lỗi có thể có nhiều hình thức, tùy thuộc vào giao diện được mô tả. Đối với một API, giao diện chính nó có thể trả về một mã lỗi, thiết lập một điều kiện lỗi tổng thể hoặc thiết lập một thông số nào đó với một mã lỗi. Đối với một tập tin cấu hình, thông số cấu hình không đúng có thể gây ra thông báo lỗi được ghi vào một tập tin đăng nhập. Đối với một card PCI phần cứng, điều kiện lỗi có thể làm tăng tín hiệu trên bus hoặc kích hoạt điều kiện ngoại lệ đối với CPU.

Lỗi (và các thông báo lỗi liên quan) xảy ra qua sự dẫn chứng của giao diện. Việc xử lý đáp ứng với sự dẫn chứng của giao diện có thể gặp phải các điều kiện lỗi, mà kích hoạt (thông qua một cơ chế triển khai cụ thể) một thông báo lỗi đã được tạo ra. Trong trường hợp này, có thể là giá trị trả về từ giao diện chính nó; trong trường hợp khác, giá trị tổng thể có thể được thiết lập và kiểm tra sau khi có sự dẫn chứng của giao diện. Có khả năng TOE sẽ có số thông báo lỗi ở mức độ thấp, có thể là kết quả của các điều kiện nguồn tài nguyên cơ bản, chẳng hạn như "đĩa đầy" hay "tài nguyên bị khóa". Trong khi các thông báo lỗi này có thể ánh xạ đến một số lượng lớn các TSFI, chúng có thể được sử dụng để phát hiện các trường hợp chi tiết từ mô tả giao diện đã được bỏ qua. Ví dụ, một TSFI tạo ra tin nhắn "đĩa đầy", nhưng không mô tả rõ ràng về lý do tại sao TSFl này cần tạo ra truy nhập vào đĩa trong mô tả của các hành động của nó, có thể người đánh giá thẩm tra các bằng chứng khác (Kiến trúc an toàn (ADV_ARC), thiết kế TOE (ADV_TDS)) liên quan mà TSFI xác định nếu mô tả là chính xác.

Để xác định rằng các mô tả về các thông báo lỗi của một TSFI là chính xác và đầy đủ, người đánh giá tính toán mô tả giao diện ngược lại với các bằng chứng khác đã cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành), cũng như bằng chứng khác cho TSFI đó (các thông số, phân tích từ các đơn vị công việc ADV_FSP.2-6).

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.2.6C: Việc theo dấu cần chứng minh rằng các SFR theo dấu các TSFI theo đặc tả chức năng.

10.4.2.3.8 Đơn vị công việc ADV_FSP.2-8

...

Theo dấu được cung cấp bởi các nhà phát triển để phục vụ như một hướng dẫn mà các SFR liên quan đến các TSFI. Theo dấu này có thể đơn giản là một bảng; nó được sử dụng làm đầu vào cho người đánh giá sử dụng trong các đơn vị công việc tiếp theo, trong đó người đánh giá xác minh tính đầy đủ và chính xác của nó.

10.4.2.4 Hành động ADV_FSP.2.2E

10.4.2.4.1 Đơn vị công việc ADV_FSP.2-9

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng đó là sự thuyết minh đầy đủ của các SFR.

Để đảm bảo rằng tất cả các SFR được bao phủ bởi các đặc tả chức năng, cũng như phân tích độ bao phủ kiểm thử, người đánh giá có thể xây dựng dựa trên theo dấu của nhà phát triển (xem ADV_FSP.2-8 ánh xạ giữa các yêu cầu chức năng an toàn của TOE và TSFI). Lưu ý rằng ánh xạ này có thể có ở mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, vì các hoạt động (chỉ định, bổ sung chi tiết, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.

Ví dụ, các thành phần FDP_ACC.1 chứa các chỉ định trong một phần tử. Ví dụ, nếu ST chứa mười quy tắc trong chỉ định FDP_ACC.1 và mười quy tắc này được bao phủ bởi ba TSFI khác nhau, người đánh giá sẽ không đủ để ánh xạ FDP_ACC.1 theo hướng TSFI A, B và C và yêu cầu chúng hoàn thành các đơn vị công việc. Thay vào đó, người đánh giá sẽ ánh xạ FDP_ACC.1 (quy tắc 1) theo hướng TSFI A; FDP_ACC.1 (quy tắc 2) theo hướng TSFI B; v.v... Nó cũng có thể là trường hợp mà giao diện là một giao diện bao (ví dụ IOCTL...), trong trường hợp đó ánh xạ sẽ cần phải được cụ thể để thiết lập các thông số cho giao diện nhất định.

Người đánh giá phải thừa nhận rằng đối với các yêu cầu này có ít hoặc không có biểu hiện tại ranh giới TSF (ví dụ, FDP_RIP) nó không kỳ vọng rằng người đánh giá ánh xạ toàn bộ các yêu cầu này đến TSFI. Việc phân tích cho những yêu cầu này sẽ được thực hiện trong phân tích thiết kế TOE (ADV_TDS) khi đưa vào ST. Điều này cũng quan trọng với lưu ý rằng vì các thông số liên quan đến các TSFI phải được xác định đầy đủ, người đánh giá nên xác định nếu tất cả các khía cạnh xuất hiện trong SFR được triển khai tại mức giao diện.

10.4.2.4.2 Đơn vị công việc ADV_FSP.2-10

Người đánh giá cần thẩm tra đặc tả chức năng để xác định rằng nó là sự chứng minh chính xác của các SFR.

...

10.4.3 Đánh giá hoạt động con (ADV_FSP.3)

10.4.3.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các nhà phát triển đã cung cấp mô tả của các TSFI về mục đích, phương pháp sử dụng và các thông số của chúng không. Ngoài ra, các hành động, các kết quả và các thông báo lỗi của mỗi TSFI cũng mô tả đầy đủ rằng nó có thể được xác định dù chúng có là thực thi SFR, với TSFI thực thi SFR được mô tả chi tiết hơn các TSFI khác không.

10.4.3.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này đó là yêu cầu của các đơn vị công việc:

a) ST;

b) đặc tả chức năng;

c) thiết kế TOE.

...

a) mô tả kiến trúc an toàn;

b) biểu diễn triển khai;

c) mô tả nội bộ TSF;

d) hướng dẫn người sử dụng vận hành.

10.4.3.3 Hành động ADV_FSP.3.1E

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.3.1C: Đặc tả chức năng cần biểu diễn đầy đủ TSF.

10.4.3.3.1 Đơn vị công việc ADV_FSP.3-1

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng TSF được biểu diễn đầy đủ.

...

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.3.2C: Đặc tả chức năng cần mô tả mục tiêu và phương pháp sử dụng cho tất cả TSFI.

10.4.3.3.32 Đơn vị công việc ADV_FSP.3-2

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng nó là trạng thái mục tiêu của mỗi TSFI

10.4.3.3.3 Đơn vị công việc ADV_FSP.3-3

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng phương pháp sử dụng cho mỗi TSFI đã định sẵn.

Phương pháp sử dụng cho TSFI tóm tắt làm thế nào giao diện được thao tác để gọi đến các hành động và đạt được các kết quả liên quan đến TSFI. Người đánh giá nên xác định, từ việc đọc vật liệu này trong đặc tả chức năng, làm sao để sử dụng mỗi giao diện. Điều này không có nghĩa là cần phải có một phương pháp riêng biệt sử dụng cho mỗi TSFI, vì nó có thể mô tả khái quát làm thế nào các cuộc gọi cốt lõi được gọi đến, ví dụ và khi đó mỗi giao diện xác định sử dụng phong cách chung. Các kiểu giao diện khác nhau sẽ đòi hỏi phương pháp khác nhau của các thông số kỹ thuật sử dụng. Các API, giao diện giao thức mạng, các thông số cấu hình hệ thống, giao diện bus phần cứng, tất cả đều có các phương pháp rất khác nhau để sử dụng và điều này nên được đưa vào tài khoản của các nhà phát triển khi phát triển các đặc tả chức năng, cũng như thẩm định đánh giá các đặc tả chức năng.

Đối với giao diện hành chính mà chức năng của chúng được ghi là không thể tiếp cận với người sử dụng không đáng tin cậy, Người đánh giá đảm bảo rằng phương pháp làm các chức năng không thể tiếp cận được mô tả trong đặc tả chức năng. Cần lưu ý rằng không thể tiếp cận này cần phải được kiểm thử bởi các nhà phát triển trong bộ phần mềm kiểm thử của họ.

Người đánh giá không nên chỉ xác định rằng tập hợp phương pháp sử dụng các mô tả hiện tại. mà chúng cũng bao gồm chính xác mỗi TSFI.

...

10.4.3.3.4 Đơn vị công việc ADV_FSP.3-4

Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó nhận dạng đầy đủ tất cả các thông số liên quan đến mỗi TSFI.

Người đánh giá thẩm tra đặc tả chức năng để đảm bảo rằng tất cả các thông số được mô tả cho mỗi TSFI. Các tham số đầu vào hoặc đầu ra rõ ràng trong một giao diện để kiểm soát hoạt động của giao diện đó. Ví dụ, các thông số là các đối số cung cấp cho API; các lĩnh vực khác nhau trong gói tin cho một giao thức mạng nhất định; các giá trị riêng quan trọng trong Windows Registry; các tín hiệu là tập hợp của các chân trên một con chip; v.v...

10.4.3.3.5 Đơn vị công việc ADV_FSP.3-5

Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó mô tả đầy đủ và chính xác tất cả các thông số liên quan đến mỗi TSFI.

Một khi tất cả các thông số đã được xác định, người đánh giá cần đảm bảo rằng chúng được mô tả một cách chính xác và mô tả của các thông số là hoàn thiện. Mô tả thông số cho biết ý nghĩa của những thông số này. Ví dụ, giao diện "foo(i)" có thể mô tả như là có "tham số i là một số nguyên"; cách mô tả tham số như thế này không được chấp nhận. Mô tả là "tham số i là một số nguyên cho biết số lượng người dùng hiện đang đăng nhập vào hệ thống" được chấp nhận.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.3.4C: Với mỗi TSFI của thực thi SFR, đặc tả chức năng cần mô tả các hành động thực thi SFR liên quan với TSFI.

...

Người đánh giá cần thẩm tra việc trình bày của các TSFI để xác định nó mô tả chính xác và đầy đủ các hành động thực thi SFR liên quan đến các TSFI thực thi SFR.

Nếu một hành động có sẵn thông qua giao diện đóng một vai trò trong việc thực thi các chính sách an toàn trên TOE (có nghĩa là, nếu một trong các hành động của giao diện có thể được theo dấu đến một trong những SFR áp theo TSF), sau đó giao diện là thực thi SFR. Các chính sách này không giới hạn đến các chính sách kiểm soát truy cập, nhưng cũng đề cập đến bất kỳ chức năng được quy định bởi một trong những SFR có trong ST. Lưu ý rằng nó có thể là giao diện với những hành động và các kết quả khác nhau, một số trong đó có thể là thực thi SFR và một số có thể không.

Các nhà phát triển không cần gắn nhãn giao diện như thực thi SFR và tương tự như vậy không cần xác định các hành động có sẵn thông qua một giao diện như thực thi SFR. Đây là trách nhiệm của người đánh giá để thẩm tra các bằng chứng đã cung cấp bởi nhà phát triển và xác định các thông tin được yêu cầu có mặt. Trong trường hợp khi mà các nhà phát triển đã xác định TSFI thực thi SFR và hành động thực thi SFR có sẵn thông qua những TSFI này, người đánh giá phải đánh giá đầy đủ và chính xác dựa trên các thông tin khác đã cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành) và các thông tin khác được trình bày cho các giao diện (các thông số và mô tả thông số, các thông báo lỗi, vv).

Trong trường hợp này (nhà phát triển đã cung cấp chỉ là thông tin thực thi SFR cho TSFI thực thi SFR) người đánh giá cũng đảm bảo rằng không có giao diện bị phân loại sai. Điều này được thực hiện bằng cách thẩm tra các thông tin khác đã cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành) và các thông tin khác được trình bày cho các giao diện (ví dụ, các thông số và mô tả thông số) không gắn nhãn thực thi SFR. Các phân tích được thực hiện với các đơn vị công việc ADV_FSP.3-7 và ADV_FSP.3-8 cũng được sử dụng trong việc tạo ra quyết định này.

Trong trường hợp khi nhà phát triển đã cung cấp cùng mức thông tin dựa trên tất cả các giao diện, người đánh giá thực hiện cùng một loại phân tích đã đề cập trong nội dung phía trên. Người đánh giá cần xác định các giao diện nào là thực thi SFR và các giao diện nào không thực thi SFR và sau đó đảm bảo rằng các khía cạnh thực thi SFR của các hành động thực thi SFR được mô tả một cách thích hợp. Lưu ý rằng trong trường hợp này, người đánh giá nên có thể thực hiện phần lớn các công việc liên quan đến đơn vị công việc ADV_FSP.3-8 trong quá trình thực hiện các phân tích thực thi SFR này.

Các hành động thực thi SFR là những hành động có thể nhìn thấy ở bất kỳ giao diện bên ngoài nào và cung cấp cho việc thi hành các SFR được yêu cầu. Ví dụ, nếu các yêu cầu thẩm tra có trong ST, sau đó hoạt động kiểm tra liên quan đến sẽ là thực thi SFR và do đó phải được mô tả ngay cả khi kết quả của hành động nói chung là không thể nhìn thấy thông qua giao diện gọi đến (thường là trong trường hợp thẩm tra, nơi mà hành động của người sử dụng tại một giao diện sẽ cung cấp một hồ sơ thẩm tra có thể nhìn thấy tại giao diện khác).

Các mức mô tả đó là yêu cầu đủ để người đọc hiểu được vai trò gì để các hành động TSFI vận hành với khía cạnh theo hướng SFR. Người đánh giá cần lưu ý rằng sự mô tả nên được đầy đủ chi tiết để hỗ trợ sự hình thành (và đánh giá) của các trường hợp kiểm thử với giao diện đó. Nếu mô tả không rõ ràng hoặc thiếu chi tiết như vậy kiểm thử có ý nghĩa là không thể tiến hành chống lại các TSFI, có khả năng mô tả là không đầy đủ.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.3.5C: Với mỗi TSFI thực thi SFR, đặc tả chức năng cần mô tả trực tiếp các thông báo lỗi thu được từ các kết quả và ngoại lệ liên quan đến các lệnh gọi của TSFI.

10.4.3.3.7 Đơn vị công việc ADV_FSP.3-7

...

Đơn vị công việc này nên thực hiện kết hợp cùng hoặc sau đơn vị công việc ADV_FSP.3-6 để đảm bảo các thiết lập của TSFI thực thi SFR được xác định một cách chính xác. Người đánh giá nên lưu ý rằng các yêu cầu và đơn vị công việc liên quan mà tất cả việc thông báo lỗi trực tiếp liên quan tới TSFI thực thi SFR phải được mô tả, điều đó có liên quan đến hành động thực thi SFR. Điều này là do ở mức độ đảm bảo, các thông tin "thêm" được cung cấp bởi các mô tả thông báo lỗi nên được sử dụng trong việc xác định tất cả các khía cạnh thực thi SFR của giao diện đã được mô tả một cách thích hợp. Ví dụ, nếu thông báo lỗi liên quan tới TSFI (ví dụ, "truy nhập bị từ chối") chỉ ra rằng quyết định hoặc hành động thực thi SFR đã xảy ra, nhưng trong bản mô tả các hành động không thực thi SFR đề cập đến cơ chế thực thi SFR đặc biệt, do đó mô tả có thể không đầy đủ.

Lỗi có thể có nhiều hình thức, tùy thuộc vào giao diện được mô tả. Đối với một API, giao diện chính nó có thể trả về một mã lỗi, thiết lập một điều kiện lỗi toàn cầu hoặc thiết lập một thông số nào đó với một mã lỗi. Đối với một tập tin cấu hình, thông số cấu hình không đúng có thể gây ra thông báo lỗi được ghi vào một tập tin đăng nhập. Đối với một card PCI phần cứng, điều kiện lỗi có thể làm tăng tín hiệu trên bus hoặc kích hoạt điều kiện ngoại lệ đối với CPU.

Lỗi (và các thông báo lỗi liên quan) xảy ra qua sự dẫn chứng của giao diện. Việc xử lý nhằm đáp ứng với sự dẫn chứng của giao diện có thể gặp phải các điều kiện lỗi, mà kích hoạt (thông qua một cơ chế triển khai cụ thể) một thông báo lỗi đã được tạo ra. Trong trường hợp này, có thể là giá trị trả về từ giao diện chính nó; trong trường hợp khác, giá trị toàn cầu có thể được thiết lập và kiểm tra sau khi có sự dẫn chứng của giao diện. Có khả năng TOE sẽ có số thông báo lỗi ở mức độ thấp, có thể là kết quả của các điều kiện nguồn tài nguyên cơ bản, chẳng hạn như "đĩa đầy" hay "tài nguyên bị khóa". Trong khi các thông báo lỗi này có thể ánh xạ đến một số lượng lớn các TSFI, chúng có thể được sử dụng để phát hiện các trường hợp chi tiết từ mô tả giao diện đã được bỏ qua. Ví dụ, một TSFI cung cấp tin nhắn "đĩa đầy", nhưng không có mô tả rõ ràng về lý do tại sao TSFI cần tạo ra truy nhập vào đĩa trong mô tả của các hành động của nó, có thể người đánh giá thẩm tra các bằng chứng khác (Kiến trúc an toàn (ADV_ARC), thiết kế TOE (ADV_TDS)) liên quan mà TSFI xác định nếu mô tả là chính xác.

Để xác định rằng các mô tả về các thông báo lỗi của một TSFI là chính xác và đầy đủ, người đánh giá kiểm tra mô tả giao diện ngược lại với các bằng chứng khác đã cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành), cũng như bằng chứng khác cho TSFI đó (mô tả các hành động thực thi SFR, bản tóm tắt hỗ trợ SFR và các hành động không can thiệp SFR và các kết quả).

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.3.6C: Đặc tả chức năng cần tóm tắt các hành động hỗ trợ SFR và không can thiệp SFR liên quan đến mỗi TSFI.

10.4.3.3.8 Đơn vị công việc ADV_FSP.3-8

Người đánh giá cần thẩm tra việc trình bày của TSFl để xác định rằng nó tóm tắt các hành động hỗ trợ SFR và không can thiệp SFR liên quan đến mỗi TSFI.

Mục đích của đơn vị công việc này là để bổ sung các chi tiết về các hành động thực thi SFR (được cung cấp trong đơn vị công việc ADV_FSP.3-6) với tóm tắt các hoạt động còn lại (nghĩa là cái đó không thực thi SFR). Điều này bao gồm "tất cả" các hành động hỗ trợ SFR và không can thiệp SFR, liệu có thể gọi đến qua TSFI thực thi SFR hoặc thông qua TSFI hỗ trợ SFR hoặc không can thiệp SFR. Bản tóm tắt này với tất cả các hành động hỗ trợ SFR và không can thiệp SFR giúp cung cấp một bức tranh hoàn chỉnh hơn về các chức năng được cung cấp bởi TSF và được người đánh giá sử dụng trong việc xác định liệu hành động hoặc TSFI có thể bị phân loại sai không.

Thông tin được cung cấp tóm tắt hơn so với các yêu cầu đối với các hoạt động thực thi SFR. Ví dụ, trong khi nó vẫn nên có đủ chi tiết để người đọc có thể hiểu những gì các hành động thực hiện, mô tả không có đủ chi tiết được hỗ trợ viết kiểm thử dựa theo nó. Đối với người đánh giá, mấu chốt là thông tin phải đủ để tạo ra quyết định tích cực rằng các hành động này là hỗ trợ SFR hoặc không can thiệp SFR. Nếu thiếu thông tin, bản tóm tắt là không đủ và phải thu thập nhiều thông tin hơn nữa.

...

10.4.3.3.9 Đơn vị công việc ADV_FSP.3-9

Người đánh giá cần kiểm tra rằng các liên kết theo dấu các SFR theo các TSFl tương ứng.

Theo dấu được cung cấp bởi các nhà phát triển để phục vụ như là một hướng dẫn mà các SFR liên quan đến các TSFI. Theo dấu này có thể đơn giản là một bảng; nó được sử dụng làm đầu vào cho người đánh giá sử dụng trong các đơn vị công việc tiếp theo, trong đó người đánh giá xác minh tính đầy đủ và chính xác của nó.

10.4.3.4 Hành động ADV_FSP.3.2E

10.4.3.4.1 Đơn vị công việc ADV_FSP.3-10

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng đó là sự thuyết minh đầy đủ của các SFR.

Để đảm bảo rằng tất cả các SFR được bao phủ bởi các đặc tả chức năng, cũng như phân tích độ bao phủ kiểm thử, người đánh giá có thể xây dựng dựa trên theo dấu của nhà phát triển (xem ADV_FSP.3-9 ánh xạ giữa các yêu cầu chức năng an toàn của TOE và TSFI). Lưu ý rằng ánh xạ này có thể có được ở mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, bởi vì các hoạt động chỉ định, bổ sung chi tiết, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.

Ví dụ, các thành phần FDP_ACC.1 chứa các chỉ định trong một phần tử. Ví dụ, nếu ST chứa mười quy tắc trong chỉ định FDP_ACC.1 và mười quy tắc này được bao phủ bởi ba TSFI khác nhau, nó sẽ không đủ để người đánh giá ánh xạ FDP_ACC.1 theo hướng TSFI A, B và C và yêu cầu chúng hoàn thành các đơn vị công việc. Thay vào đó, người đánh giá sẽ ánh xạ FDP_ACC.1 (quy tắc 1) theo hướng TSFI A; FDP_ACC.1 (quy tắc 2) theo hướng TSFI B; v.v... Nó cũng có thể là trường hợp mà giao diện là một giao diện bao (ví dụ IOCTL...), trong trường hợp đó ánh xạ sẽ cần phải được cụ thể để thiết lập các thông số cho giao diện nhất định.

Người đánh giá phải thừa nhận rằng đối với các yêu cầu có ít hoặc không có biểu hiện tại ranh giới TSF (ví dụ, FDP_RIP) người đánh giá không hy vọng ánh xạ toàn bộ các yêu cầu này đến TSFI. Việc phân tích cho những yêu cầu này sẽ được thực hiện trong phân tích thiết kế TOE (ADV_TDS) khi đưa vào ST. Điều này cũng quan trọng với lưu ý rằng vì các thông số liên quan đến các TSFI phải được xác định đầy đủ, người đánh giá nên xác định nếu tất cả các khía cạnh xuất hiện trong SFR được triển khai tại mức giao diện.

...

Người đánh giá cần thẩm tra đặc tả chức năng để xác định rằng nó là sự chứng minh chính xác của các SFR.

Đối với mỗi yêu cầu chức năng trong ST mà kết quả trong các hiệu ứng có thể nhìn thấy ở ranh giới TSF, thông tin trong TSFI liên quan để yêu cầu riêng của chức năng được yêu cầu đã mô tả bằng yêu cầu. Ví dụ, nếu ST có một yêu cầu đối với các danh sách kiểm soát truy cập và chỉ TSFI này ánh xạ để yêu cầu chỉ rõ chức năng đối với các bit bảo vệ kiểu Unix, sau đó các đặc tả chức năng không chính xác so với các yêu cầu.

10.4.4 Đánh giá hoạt động con (ADV_FSP.4)

10.4.4.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu các nhà phát triển có mô tả đầy đủ tất cả các TSFI theo một cách sao cho người đánh giá có thể xác định liệu TSFI có mô tả đầy đủ và chính xác và có trình diện triển khai các yêu cầu chức năng an toàn của ST không.

10.4.4.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là yêu cầu các đơn vị công việc là:

a) ST;

...

c) thiết kế TOE.

Bằng chứng đánh giá cho hoạt động con này được sử dụng nếu có trong ST của TOE:

a) mô tả kiến trúc an toàn;

b) biểu diễn triển khai;

c) mô tả nội bộ TSF;

d) hướng dẫn người sử dụng vận hành.

10.4.4.3 Lưu ý áp dụng

Các đặc là chức năng mô tả các giao diện TSF (TSFI) theo kiểu cấu trúc. Do sự phụ thuộc vào đánh giá của hoạt động con (ADV_TDS.1), người đánh giá dự kiến xác định TSF trước khi bắt đầu công việc của hoạt động con này. Nếu không có kiến thức vững chắc về thành phần của TSF, sẽ không thể đánh giá tính hoàn thiện của TSFI.

Khi thực hiện các đơn vị công việc khác nhau trong họ này, người đánh giá được yêu cầu tạo ra đánh giá chính xác và đầy đủ về một số yếu tố (TSFI là chính nó, cũng như các thành phần riêng lẻ (các thông số, các hành động, các thông báo lỗi, v.v...) của TSFI). Trong việc phân tích này, người đánh giá dự kiến sẽ sử dụng tài liệu đã cung cấp cho việc đánh giá. Điều này bao gồm ST, thiết kế TOE và có thể bao gồm tài liệu khác như các hướng dẫn người sử dụng vận hành, mô tả kiến trúc an toàn và biểu diễn triển khai. Tài liệu nên được thẩm tra theo cách lặp lại. Người đánh giá có thể đọc, ví dụ, trong thiết kế TOE làm cách nào mà chức năng đã biết được triển khai, nhưng không có cách nào để gọi đến chức năng đó từ giao diện. Điều này có thể gây ra khi người đánh giá câu hỏi về tính hoàn thiện của mô tả TSFI cụ thể hoặc liệu giao diện có được bỏ ra hoàn toàn khỏi đặc tả chức năng không. Mô tả các hoạt động phân tích loại này trong ETR là một phương pháp quan trọng trong việc cung cấp sở cứ mà các đơn vị công việc đã thực hiện một cách thích hợp.

...

10.4.4.4 Hành động ADV_FSP.4.1E

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.4.1C: Đặc tả chức năng cần biểu diễn đầy đủ TSF.

10.4.4.4.1 Đơn vị công việc ADV_FSP.4-1

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng TSF được biểu diễn đầy đủ.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.4.2C: Đặc tả chức năng cần mô tả mục tiêu và phương pháp sử dụng của tất cả TSFI.

10.4.4.4.2 Đơn vị công việc ADV_FSP.4-2

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng nó là trạng thái mục tiêu của mỗi TSFI.

...

10.4.4.4.3 Đơn vị công việc ADV_FSP.4-3

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng phương pháp sử dụng cho mỗi TSFI đã định sẵn.

Phương pháp sử dụng cho TSFI tóm tắt làm thế nào giao diện được thao tác để gọi đến các hành động và đạt được các kết quả liên quan đến TSFI. Người đánh giá nên xác định, từ việc đọc vật liệu này trong đặc tả chức năng, làm sao để sử dụng mỗi giao diện. Điều này không có nghĩa là cần phải có một phương pháp riêng biệt sử dụng cho mỗi TSFl, vì nó có thể mô tả khái quát làm thế nào các cuộc gọi cốt lõi được gọi đến, ví dụ và khi đó mỗi giao diện xác định sử dụng phong cách chung. Các kiểu giao diện khác nhau sẽ đòi hỏi phương pháp khác nhau của các thông số kỹ thuật sử dụng. Các API, giao diện giao thức mạng, các thông số cấu hình hệ thống, giao diện bus phần cứng, tất cả đều có các phương pháp rất khác nhau để sử dụng và điều này nên được đưa vào tài khoản của các nhà phát triển khi phát triển các đặc tả chức năng, cũng như thẩm định đánh giá các đặc tả chức năng.

Đối với giao diện hành chính có chức năng là tài liệu không thể tiếp cận với người sử dụng không đáng tin cậy, Người đánh giá đảm bảo rằng phương pháp làm các chức năng không thể tiếp cận được mô tả trong đặc tả chức năng. Cần lưu ý rằng không thể tiếp cận này cần phải được kiểm thử bởi các nhà phát triển trong bộ phần mềm kiểm thử của họ.

Người đánh giá không nên chỉ xác định rằng tập hợp phương pháp sử dụng các mô tả hiện tại, mà chúng cũng bao gồm chính xác mỗi TSFI.

10.4.4.4.4 Đơn vị công việc ADV_FSP.4-4

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định tính chất đầy đủ của TSFI.

Người đánh giá cần sử dụng các tài liệu thiết kế để xác định các kiểu có thể có của các giao diện. Người đánh giá cần tìm kiếm các tài liệu thiết kế và các tài liệu hướng dẫn cho TSFI tiềm năng không bao gồm tài liệu của nhà phát triển, điều này chỉ ra rằng tập hợp các TSFI được xác định bởi các nhà phát triển là không đầy đủ. Người đánh giá cần thẩm tra các đối số được trình bày bởi nhà phát triển mà TSFI là đầy đủ và kiểm tra xuống mức thấp nhất của thiết kế hoặc với biểu diễn triển khai mà không tồn tại thêm TSFI.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.4.3C: Đặc tả chức năng cần xác định và mô tả tất cả các tham số liên quan với mỗi TSFI.

...

Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó nhận dạng đầy đủ tất cả các thông số liên quan đến mỗi TSFI.

Người đánh giá thẩm tra đặc tả chức năng để đảm bảo rằng tất cả các thông số được mô tả cho mỗi TSFI. Các tham số đầu vào hoặc đầu ra rõ ràng trong một giao diện để kiểm soát hoạt động của giao diện đó. Ví dụ, các thông số là các đối số cung cấp cho API; các lĩnh vực khác nhau trong gói tin cho một giao thức mạng nhất định; các giá trị riêng quan trọng trong Windows Registry; các tín hiệu là tập hợp của các chân trên một con chip; v.v...

Để xác định tất cả các thông số có mặt trong TSFI, người đánh giá nên thẩm tra phần còn lại của mô tả giao diện (các hành động, thông báo lỗi, v.v...) để xác định nếu ảnh hưởng của tham số được giải thích trong mô tả. Người đánh giá cũng nên kiểm tra bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để xem xét nếu hành vi hoặc các tham số bổ sung được mô tả ở đó nhưng không có trong đặc tả chức năng.

10.4.4.4.6 Đơn vị công việc ADV_FSP.4-6

Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó mô tả đầy đủ và chính xác tất cả các thông số liên quan đến mỗi TSFI.

Một khi tất cả các thông số đã được xác định, người đánh giá cần đảm bảo rằng chúng được mô tả một cách chính xác và mô tả của các thông số là hoàn thiện. Mô tả thông số cho biết ý nghĩa của những thông số này. Ví dụ, giao diện "foo(i)" có thể mô tả như là có "tham số i là một số nguyên"; cách mô tả tham số như thế này không được chấp nhận. Mô tả là "tham số i là một số nguyên cho biết số lượng người dùng hiện đang đăng nhập vào hệ thống" được chấp nhận.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.4.4C: Đặc tả chức năng cần mô tả tất cả các hành động liên quan với mỗi TSFI.

10.4.4.4.7 Đơn vị công việc ADV_FSP.4-7

...

Người đánh giá kiểm tra để đảm bảo rằng tất cả các hành động được mô tả, hành động có thể sử dụng thông qua giao diện mô tả những gì giao diện làm (trái ngược với thiết kế TOE, trong đó mô tả làm cách nào các hành động được cung cấp bởi các TSF).

Các hành động của một giao diện mô tả theo chức năng có thể gọi đến thông qua giao diện và có thể được phân loại như các hành động thường kỳ và các hành động liên quan SFR. Hành động thường kỳ mô tả những gì giao diện có. Lượng thông tin cung cấp cho mô tả này phụ thuộc vào sự phức tạp của giao diện. Những hành động liên quan SFR là những hành động có thể nhìn thấy ở bất cứ giao diện bên ngoài nào (ví dụ, hoạt động kiểm toán là nguyên nhân bởi việc gọi đến của giao diện (giả định yêu cầu kiểm toán trong ST) nên được mô tả, mặc dù kết quả của hành động này nói chung là không thể nhìn thấy thông qua giao diện gọi đến). Tùy thuộc vào các thông số của giao diện, có thể có nhiều hành động khác nhau có thể được gọi đến thông qua giao diện (ví dụ, một APl có thể có tham số đầu tiên là một "lệnh con", và các thông số tiếp theo sẽ cụ thể của lệnh con đó. IOCTLAPI trong một vài hệ thống Unix là một ví dụ về một giao diện như vậy).

Để xác định rằng các mô tả về những hành động của TSFl là đầy đủ, người đánh giá cần soát xét phần còn lại của mô tả giao diện (mô tả tham số, các thông báo lỗi, v.v...) để xác định nếu mô tả các hành động được giải thích. Người đánh giá cũng nên phân tích các bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sự hoạt động, biểu diễn triển khai) để xem xét nếu có bằng chứng về hành động được mô tả ở đó nhưng không có trong đặc tả chức năng.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.4.5C: Đặc tả chức năng cần mô tả tất cả các thông báo lỗi trực tiếp mà có kết quả từ việc gọi đến mối TSFI.

10.4.4.4.8 Đơn vị công việc ADV_FSP.4-8

Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó mô tả đầy đủ và chính xác tất cả các thông báo lỗi mà kết quả từ việc gọi đến mỗi TSFI.

Lỗi có thể có nhiều hình thức, tùy thuộc vào giao diện được mô tả. Đối với một API, bản thân giao diện có thể trả về một mã lỗi, thiết lập một điều kiện lỗi tổng quan hoặc thiết lập một thông số nào đó với một mã lỗi. Đối với một tập tin cấu hình, thông số cấu hình không đúng có thể gây ra thông báo lỗi được ghi vào một tập tin đăng nhập. Đối với một card PCI phần cứng, điều kiện lỗi có thể làm tăng tín hiệu trên bus hoặc kích hoạt điều kiện ngoại lệ đối với CPU.

Lỗi (và các thông báo lỗi liên quan) xảy ra qua sự dẫn chứng của giao diện. Quá trình xử lý xảy ra để đáp ứng với sự dẫn chứng của giao diện có thể gặp phải các điều kiện lỗi, mà kích hoạt (thông qua một cơ chế triển khai cụ thể) một thông báo lỗi đã được tạo ra. Trong trường hợp này, có thể là giá trị trả về từ bản thân giao diện; trong trường hợp khác, giá trị toàn cầu có thể được thiết lập và kiểm tra sau khi có sự dẫn chứng của giao diện. Có khả năng TOE sẽ có số thông báo lỗi ở mức độ thấp, có thể là kết quả của các điều kiện nguồn tài nguyên cơ bản, chẳng hạn như "đĩa đầy" hay "tài nguyên bị khóa". Trong khi các thông báo lỗi này có thể ánh xạ đến một số lượng lớn các TSFI, chúng có thể được sử dụng để phát hiện các trường hợp chi tiết từ mô tả giao diện đã được bỏ qua. Ví dụ, một TSFI cung cấp tin nhắn "đĩa đầy", nhưng không có mô tả rõ ràng về lý do tại sao TSFI cần tạo ra truy nhập vào đĩa trong mô tả của các hành động của nó, có thể người đánh giá thẩm tra các bằng chứng khác (Kiến trúc an toàn (ADV_ARC), thiết kế TOE (ADV_TDS)) liên quan mà TSFI xác định nếu mô tả là chính xác.

Người đánh giá xác định rằng, đối với mỗi TSFI, việc thiết lập chính xác các thông báo lỗi có thể được trả lại dựa trên cách gọi đến mà giao diện có thể được xác định. Người đánh giá soát xét các bằng chứng đã cung cấp cho giao diện để xác định nếu tập hợp các lỗi đã đầy đủ. Họ thẩm tra chéo thông tin này với bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để đảm bảo rằng không có lỗi sinh ra trong tiến trình được đề cập tới mà không có chứa trong đặc tả chức năng.

...

Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó mô tả đầy đủ và chính xác ý nghĩa của tất cả các lỗi liên quan với mỗi TSFI.

Để xác định chính xác, người đánh giá phải có khả năng hiểu ý nghĩa của lỗi. Ví dụ, nếu một giao diện trả về một mã số 0, 1 hoặc 2, người đánh giá sẽ không thể hiểu được lỗi nếu đặc tả chức năng chỉ được liệt kê: "lỗi có thể phát sinh từ gọi đến của giao diện foo() là 0, 1 hoặc 2”. Thay vào đó, người đánh giá kiểm tra để đảm bảo rằng các lỗi được mô tả như: "lỗi có thể phát sinh từ gọi đến của giao diện foo() là 0 (xử lý thành công), 1 (tập tin không tìm thấy) hoặc 2 (mô tả tên tập tin không chính xác)".

Để xác định rằng các mô tả về lỗi do việc gọi đến của TSFI là đầy đủ, người đánh giá thẩm tra phần còn lại của mô tả giao diện (các mô tả tham số, các hành động, v.v..) để xác định nếu các điều kiện lỗi tiềm năng có thể là nguyên nhân do cách sử dụng như một giao diện được giải thích. Người đánh giá cũng nên kiểm tra bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để xem xét nếu xử lý lỗi liên quan đến TSFI được mô tả ở đó nhưng không được mô tả trong đặc tả chức năng.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.4.6C: Theo dấu cần chứng minh rằng các SFR theo dấu cácTSFI trong đặc tả chức năng.

10.4.4.4.10 Đơn vị công việc ADV_FSP.4-10

Người đánh giá cần kiểm tra rằng các liên kết theo dấu các SFR theo các TSFI tương ứng.

10.4.4.5 Hành động ADV_FSP.4.2E

10.4.4.5.1 Đơn vị công việc ADV_FSP.4-11

...

Để đảm bảo rằng tất cả các SFR được bao phủ bởi các đặc tả chức năng, cũng như phân tích độ bao phủ kiểm thử, người đánh giá có thể xây dựng dựa trên theo dấu của nhà phát triển (xem ADV_FSP.4-10 ánh xạ giữa các yêu cầu chức năng an toàn của TOE và TSFI). Lưu ý rằng ánh xạ này có thể có được ở mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, bởi vì các hoạt động (chỉ định, bổ sung chi tiết, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.

Ví dụ, các thành phần FDP_ACC.1 chứa các chỉ định trong một phần tử. Ví dụ, nếu ST chứa mười quy tắc trong chỉ định FDP_ACC.1 và mười quy tắc này được bao phủ bởi ba TSFI khác nhau, nó sẽ không đủ để người đánh giá ánh xạ FDP_ACC.1 theo hướng TSFl A, B và C và yêu cầu chúng hoàn thành các đơn vị công việc. Thay vào đó, người đánh giá sẽ ánh xạ FDP_ACC.1 (quy tắc 1) theo hướng TSFI A; FDP_ACC.1 (quy tắc 2) theo hướng TSFI B; v.v... Nó cũng có thể là trường hợp mà giao diện là một giao diện bao (ví dụ IOCTL...), trong trường hợp đó ánh xạ sẽ cần phải được cụ thể để thiết lập các thông số cho giao diện nhất định.

Người đánh giá phải thừa nhận rằng đối với các yêu cầu này có ít hoặc không có biểu hiện tại ranh giới TSF (ví dụ, FDP_RIP) nó không kỳ vọng rằng người đánh giá ánh xạ toàn bộ các yêu cầu này đến TSFl. Việc phân tích cho những yêu cầu này sẽ được thực hiện trong phân tích thiết kế TOE (ADV_TDS) khi đưa vào ST. Điều này cũng quan trọng với lưu ý rằng vì các thông số liên quan đến các TSFI phải được xác định đầy đủ, người đánh giá nên xác định nếu tất cả các khía cạnh xuất hiện trong SFR được triển khai tại mức giao diện.

10.4.4.5.2 Đơn vị công việc ADV_FSP.4-12

Người đánh giá cần thẩm tra đặc tả chức năng để xác định rằng nó là sự chứng minh chính xác của các SFR.

Đối với mỗi yêu cầu chức năng trong ST mà kết quả trong các hiệu ứng có thể nhìn thấy ở ranh giới TSF, thông tin trong TSFl liên quan để yêu cầu riêng của chức năng được yêu cầu đã mô tả bằng yêu cầu. Ví dụ, nếu ST có một yêu cầu đối với các danh sách kiểm soát truy cập và chỉ TSFI này ánh xạ để yêu cầu chỉ rõ chức năng đối với các bit bảo vệ kiểu Unix, sau đó các đặc tả chức năng không chính xác đối với chi tiết của các yêu cầu.

10.4.5 Đánh giá hoạt động con (ADV_FSP.5)

10.4.5.1 Mục tiêu

...

10.4.5.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này đó là yêu cầu của các đơn vị công việc là:

a) ST;

b) đặc tả chức năng;

c) thiết kế TOE;

d) biểu diễn triển khai.

Bằng chứng đánh giá cho hoạt động con này được sử dụng nếu có trong ST của TOE là:

a) mô tả kiến trúc an toàn;

b) mô tả bên trong TSF;

...

d) hướng dẫn người sử dụng vận hành.

10.4.5.3 Hành động ADV_FSP.5.1E

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.5.1C: Đặc tả chức năng cần biểu diễn đầy đủ TSF.

10.4.5.3.1 Đơn vị công việc ADV_FSP.5-1

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng TSF được biểu diễn đầy đủ.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.5.2C: Đặc tả chức năng cần mô tả TSFI sử dụng kiểu bán hình thức.

10.4.5.3.2 Đơn vị công việc ADV_FSP.5-2

...

Cách trình diện bán chính thức được đặc trưng bởi một định dạng tiêu chuẩn với một cú pháp hoàn toàn xác định làm giảm sự tối nghĩa có thể xảy ra trong cách trình diện chính thức. Do có định dạng bán chính thức là để tăng khả năng của người đọc để hiểu được cách trình diện, sử dụng một số phương pháp trình diện được cấu trúc nào đó (mã giả, các biểu đồ, sơ đồ khối) là phù hợp, mặc dù không được yêu cầu.

Theo mục đích của hoạt động này, người đánh giá phải đảm bảo rằng các mô tả giao diện được định dạng trong cấu trúc, cách xử lý nhất quán và sử dụng thuật ngữ chung. Cách trình diện bán chính thức của các giao diện cũng có nghĩa là mức độ chi tiết của cách trình diện cho các giao diện phần lớn là nhất quán trên tất cả các TSFI. Đối với đặc tả chức năng, đó là chấp nhận được tham khảo các đặc tả bên ngoài cho các phần của giao diện miễn là các đặc tả bên ngoài đó là bán chính thức của chính nó.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.5.3C: Đặc tả chức năng cần mô tả mục tiêu và phương pháp sử dụng cho tất cả TSFI.

10.4.5.3.3 Đơn vị công việc ADV_FSP.5-3

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng nó là trạng thái mục tiêu của mỗi TSFI.

Mục tiêu của TSFI là tuyên bố tổng quát tóm tắt chức năng được cung cấp bởi giao diện. Nó không nhằm mục đích tuyên bố hoàn thiện của các hành động và kết quả liên quan đến giao diện, mà đúng hơn là một tuyên bố giúp cho người đọc hiểu được tổng thể những gì giao diện được mong đợi để sử dụng. Người đánh giá không nên chỉ xác định mục đích tồn tại, mà còn là phản ánh chính xác TSFI bằng cách xem xét các thông tin khác về giao diện, như mô tả các hành động và các thông báo lỗi.

10.4.5.3.4 Đơn vị công việc ADV_FSP.5-4

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng phương pháp sử dụng cho mỗi TSFI đã định sẵn.

Phương pháp sử dụng cho TSFI tóm tắt làm thế nào giao diện được thao tác để gọi ra các hành động và đạt được các kết quả liên quan đến TSFI. Người đánh giá nên xác định, từ đọc vật liệu này trong đặc tả chức năng, cách sử dụng mỗi giao diện. Điều này không có nghĩa là cần phải có một phương pháp riêng biệt sử dụng cho mỗi TSFI, vì nó có thể mô tả chung làm thế nào các cuộc gọi cốt lõi được gọi ra, ví dụ và khi đó mỗi giao diện xác định sử dụng phong cách chung. Các kiểu giao diện khác nhau sẽ đòi hỏi phương pháp khác nhau của thông số kỹ thuật sử dụng, các API, giao diện giao thức mạng, các thông số cấu hình hệ thống, giao diện bus phần cứng, tất cả đều có các phương pháp rất khác nhau để sử dụng và điều này nên được đưa vào tài khoản của các nhà phát triển khi phát triển các đặc tả chức năng, cũng như thẩm định đánh giá các đặc tả chức năng.

...

Người đánh giá không nên chỉ xác định rằng tập hợp phương pháp sử dụng các mô tả hiện tại, mà chúng cũng bao gồm chính xác mỗi TSFI.

10.4.5.3.5 Đơn vị công việc ADV_FSP.5-5

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định tính chất đầy đủ của TSFI.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.5.4C: Đặc tả chức năng cần xác nhận và mô tả tất cả các tham số liên quan với mối TSFI.

10.4.5.3.6 Đơn vị công việc ADV_FSP.5-6

Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó nhận dạng đầy đủ tất cả các thông số liên quan đến mỗi TSFI.

...

Người đánh giá cần thẩm tra việc trình bày của TSFI để xác định rằng nó mô tả đầy đủ và chính xác tất cả các thông số liên quan đến mỗi TSFI.

Một khi tất cả các thông số đã được xác định, người đánh giá cần đảm bảo rằng chúng được mô tả một cách chính xác và mô tả của các thông số là hoàn thiện. Mô tả thông số cho biết ý nghĩa của những thông số này. Ví dụ, giao diện "foo(i)" có thể mô tả như là có "tham số i là một số nguyên"; cách mô tả tham số như thế này không được chấp nhận. Mô tả là "tham số i là một số nguyên cho biết số lượng người dùng hiện đang đăng nhập vào hệ thống" được chấp nhận.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.5.5C: Đặc tả chức năng cần mô tả tất cả các hành động liên quan đến mỗi TSFI.

10.4.5.3.8 Đơn vị công việc ADV_FSP.5-8

Người đánh giá cần thẩm tra việc trình bày của các TSFI để xác định rằng nó mô tả đầy đủ và chính xác tất cả các hành động liên quan với mỗi TSFI.

Các hành động của một giao diện mô tả theo chức năng có thể gọi đến thống qua giao diện và có thể được phân loại như các hành động thường kỳ và các hành động liên quan SFR. Hành động thường kỳ mô tả những giao diện có. Lượng thông tin cung cấp cho mô tả này phụ thuộc vào sự phức tạp của giao diện. Những hành động liên quan SFR là những hành động có thể nhìn thấy ở bất cứ giao diện bên ngoài nào (ví dụ, hoạt động kiểm toán là nguyên nhân bởi việc gọi đến của giao diện (yêu cầu kiểm toán giả định trong ST) nên được mô tả, mặc dù kết quả của hành động này nói chung là không thể nhìn thấy thông qua giao diện gọi đến). Tùy thuộc vào các thông số của giao diện, có thể có nhiều hành động khác nhau có thể được gọi đến thông qua giao diện (ví dụ, một API có thể có tham số đầu tiên là một "lệnh con", và các thông số tiếp theo sẽ cụ thể của lệnh con đó. IOCTLAPI trong hệ thống Unix là một ví dụ về một giao diện như vậy).

Để xác định rằng các mô tả về những hành động của TSFI là đầy đủ, người đánh giá cần soát xét phần còn lại của mô tả giao diện (mô tả tham số, các thông báo lỗi, v.v...) để xác định nếu mô tả các hành động được giải thích. Người đánh giá cũng nên phân tích các bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sự hoạt động, biểu diễn triển khai) để xem xét nếu có bằng chứng về hành động được mô tả ở đó nhưng không có trong đặc tả chức năng

...

10.4.5.3.9 Đơn vị công việc ADV_FSP.5-9

Lỗi (và các thông báo lỗi liên quan) xảy ra qua sự dẫn chứng của giao diện. Việc xử lý xảy ra để đáp ứng với sự dẫn chứng của giao diện có thể gặp phải các điều kiện lỗi, mà kích hoạt (thông qua một cơ chế triển khai cụ thể) một thông báo lỗi đã được tạo ra. Trong trường hợp này, có thể là giá trị trả về từ giao diện chính nó; trong trường hợp khác, giá trị toàn cầu có thể được thiết lập và kiểm tra sau khi có sự dẫn chứng của giao diện. Có khả năng TOE sẽ có số thông báo lỗi ở mức độ thấp, có thể là kết quả của các điều kiện nguồn tài nguyên cơ bản, chẳng hạn như "đĩa đầy" hay "tài nguyên bị khóa". Trong khi các thông báo lỗi này có thể ánh xạ đến một số lượng lớn các TSFI, chúng có thể được sử dụng để phát hiện các trường hợp chi tiết từ mô tả giao diện đã được bỏ qua. Ví dụ, một TSFI cung cấp tin nhắn "đĩa đầy", nhưng không có mô tả rõ ràng về lý do tại sao TSFI cần tạo ra truy nhập vào đĩa trong mô tả của các hành động của nó, có thể người đánh giá thẩm tra các bằng chứng khác ((ADV_ARC), (ADV_TDS)) liên quan mà TSFI xác định nếu mô tả là chính xác.

Người đánh giá xác định rằng, đối với mỗi TSFI, việc thiết lập chính xác các thông báo lỗi có thể được trả lại trên giao diện gọi đến có thể được xác định. Người đánh giá xem xét các bằng chứng đã cung cấp cho giao diện để xác định nếu tập hợp các lỗi đã hoàn tất. Họ thẩm tra chéo thông tin này với bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để đảm bảo rằng không có lỗi sinh ra trong quá trình được đề cập tới mà không có chứa trong đặc tả chức năng.

10.4.5.3.10 Đơn vị công việc ADV_FSP.5-10

Để xác định chính xác, người đánh giá phải có khả năng hiểu ý nghĩa của lỗi. Ví dụ, nếu một giao diện trả về một mã số 0, 1 hoặc 2, người đánh giá sẽ không thể hiểu được lỗi nếu đặc tả chức năng chỉ được liệt kê: "lỗi có thể phát sinh từ gọi đến của giao diện foo() là 0, 1 hoặc 2". Thay vào đó, người đánh giá kiểm tra để đảm bảo rằng các lỗi được mô tả như: "lỗi có thể phát sinh từ gọi đến của giao diện foo() là 0 (xử lý thành công), 1 (tập tin không tìm thấy) hoặc 2 (mô tả tên tập tin không chính xác)".

Để xác định rằng các mô tả về lỗi do việc gọi đến của TSFI là đầy đủ, người đánh giá kiểm tra phần còn lại của mô tả giao diện (các mô tả tham số, các hành động, v.v..) để xác định nếu các điều kiện lỗi tiềm năng có thể là nguyên nhân do cách sử dụng như một giao diện được giải thích. Người đánh giá cũng nên kiểm tra bằng chứng khác được cung cấp cho việc đánh giá (ví dụ, thiết kế TOE, mô tả kiến trúc an toàn, hướng dẫn người sử dụng vận hành, biểu diễn triển khai) để xem xét nếu xử lý lỗi liên quan đến TSFI được mô tả ở đó nhưng không được mô tả trong đặc tả chức năng.

...

10.4.5.3.11 Đơn vị công việc ADV_FSP.5-11

Người đánh giá cần thẩm tra đặc tả chức năng để xác định rằng nó mô tả đầy đủ và chính xác tất cả các thông báo lỗi mà không phải được gọi đến từ bất kỳ TSFI nào.

Đơn vị công việc này bổ sung cho đơn vị công việc ADV_FSP.5-9, trong đó mô tả các thông báo lỗi mà phải được gọi đến từ TSFI. Tóm lại, những đơn vị công việc bao gồm tất cả các thông báo lỗi có thể được tạo ra bởi các TSF.

Người đánh giá đánh giá đầy đủ và chính xác đặc tả chức năng bằng cách so sánh nội dung của nó với các trường hợp tạo ra thông báo lỗi trong các biểu diễn triển khai. Hầu hết các thông báo lỗi này sẽ được đề cập trong đơn vị công việc ADV_FSP.5-9.

Các thông báo lỗi liên quan đến đơn vị công việc này thường là loại không mong muốn, nhưng được kết cấu như một đối tượng tốt để thực hành lập trình. Ví dụ, trường hợp tuyên bố định nghĩa các hành động từ mỗi danh sách các trường hợp có thể kết thúc với tuyên bố "else" cuối cùng để áp dụng cho bất cứ điều gì có thể không được dự kiến; thực hành này đảm bảo TSF không nhận vào trạng thái không xác định. Tuy nhiên, nó không phải là dự kiến đường dẫn thực hiện sẽ nhận được tuyên bố "else" này; Vì vậy, bất kỳ sự tạo ra thông báo lỗi trong tuyên bố "else" này sẽ không bao giờ được tạo ra. Mặc dù nó sẽ không được tạo ra, nhưng nó vẫn phải bao gồm trong đặc tả chức năng.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.5.8C: Đặc tả chức năng cần cung cấp sở cứ cho mỗi thông báo lỗi chứa trong triển khai TSF nhưng kết quả không phải từ lệnh gọi đến TSFI.

10.4.5.3.12 Đơn vị công việc ADV_FSP.5-12

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng nó cung cấp sở cứ cho mỗi thông báo lỗi chứa trong triển khai TSF nhưng kết quả không phải từ lệnh gọi đến TSFI.

Người đánh giá đảm bảo rằng tất cả các thông báo lỗi tìm thấy trong đơn vị công việc ADV_FSP.5-11 chứa sở cứ mô tả lý do tại sao nó không thể được gọi đến từ TSFI.

...

TCVN 8709-3 (ISO/IEC 15408-3) ADV_FSP.5.9C: Theo dấu cần chứng minh rằng các SFR theo dấu đến các TSFI trong các đặc tả chức năng.

10.4.5.3.13 Đơn vị công việc ADV_FSP.5-13

Người đánh giá cần kiểm tra rằng các liên kết theo dấu các SFR theo các TSFI tương ứng.

10.4.5.4 Hành động ADV_FSP.5.2E

10.4.5.4.1 Đơn vị công việc ADV_FSP.5-14

Người đánh giá cần thẩm tra các đặc tả chức năng để xác định rằng đó là thuyết minh đầy đủ của các SFR.

Để đảm bảo rằng tất cả các SFR được bao phủ bởi các đặc tả chức năng, cũng như phân tích độ bao phủ kiểm thử, người đánh giá có thể xây dựng dựa trên theo dấu của nhà phát triển (xem ADV_FSP.5-13 ánh xạ giữa các yêu cầu chức năng an toàn của TOE và TSFI). Lưu ý rằng ánh xạ này có thể có được ở mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, bởi vì các hoạt động (chỉ định, bổ sung chi tiết, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.

Ví dụ, các thành phần FDP_ACC.1 chứa các chỉ định trong một phần tử. Ví dụ, nếu ST chứa mười quy tắc trong chỉ định FDP_ACC.1 và mười quy tắc này được bao phủ bởi ba TSFI khác nhau, nó sẽ không đủ để người đánh giá ánh xạ FDP_ACC.1 theo hướng TSFI A, B và C và yêu cầu chúng hoàn thành các đơn vị công việc. Thay vào đó, người đánh giá sẽ ánh xạ FDP_ACC.1 (quy tắc 1) theo hướng TSFI A; FDP_ACC.1 (quy tắc 2) theo hướng TSFI B; v.v... Nó cũng có thể là trường hợp mà giao diện là một giao diện bao (ví dụ lOCTl...), trong trường hợp đó ánh xạ sẽ cần phải được cụ thể tới tập các thông số cho giao diện nhất định.

...

10.4.5.4.2 Đơn vị công việc ADV_FSP.5-15

Người đánh giá cần thẩm tra đặc tả chức năng để xác định rằng nó là sự chứng minh chính xác của các SFR.

Đối với mỗi yêu cầu chức năng trong ST mà kết quả trong các hiệu ứng có thể nhìn thấy ở ranh giới TSF, thông tin trong TSFI liên quan để yêu cầu riêng của chức năng được yêu cầu đã mô tả bằng yêu cầu. Ví dụ, nếu ST có một yêu cầu đối với các danh sách kiểm soát truy cập và chỉ TSFI này ánh xạ để yêu cầu chỉ rõ chức năng đối với các bit bảo vệ kiểu Unix, sau đó các đặc tả chức năng không chính xác đối với chi tiết của các yêu cầu.

10.4.6 Đánh giá hoạt động con (ADV_FSP.6)

Không có hướng dẫn chung; Nên tư vấn lược đồ để hướng dẫn hoạt động con này.

10.5 Biểu diễn triển khai (ADV_IMP)

10.5.1 Đánh giá hoạt động con (ADV_IMP.1)

10.5.1.1 Mục tiêu

...

10.5.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) biểu diễn triển khai;

b) tài liệu của các công cụ phát triển, là kết quả của ALC_TAT;

c) mô tả thiết kế TOE.

10.5.1.3 Lưu ý áp dụng

Toàn bộ biểu diễn triển khai được chuẩn bị sẵn sàng để đảm bảo rằng các hoạt động phân tích không bị rút ngắn do thiếu thông tin. Tuy vậy, điều này không có ngầm định rằng tất cả các biểu diễn được thẩm tra khi các hoạt động phân tích đang được thực hiện. Điều này không thực tế trong hầu hết các trường hợp, ngoài thực tế là nó rất có thể sẽ không dẫn đến một TOE có mức đảm bảo cao hơn so với mẫu mục tiêu của biểu diễn triển khai. Đối với hoạt động con này, điều này đáng tin cậy. Nó sẽ không cung cấp cho người đánh giá mà để dành một lượng lớn thời gian xác minh các yêu cầu cho một phần của biểu diễn triển khai và sau đó sử dụng một phần khác của biểu diễn triển khai trong việc thực hiện phân tích cho các đơn vị công việc khác. Do đó, người đánh giá được khuyến khích chọn mẫu của biểu diễn triển khai từ các lĩnh vực TOE sẽ được quan tâm nhất trong việc phân tích thực hiện trong các đơn vị công việc từ các họ khác (ví dụ ATE_IND, AVA_VAN và ADV_INT).

10.5.1.4 Hành động ADV_IMP.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ADV_IMP.1.1C: Biểu diễn triển khai cần định nghĩa TSF theo một mức độ chi tiết như TSF có thể được tạo ra mà không cần các quyết định thiết kế thêm nào.

...

Người đánh giá cần kiểm tra rằng các biểu diễn triển khai định nghĩa TSF theo một mức độ chi tiết như TSF có thể được tạo ra mà không cần các quyết định thiết kế thêm nào.

Mã nguồn hoặc sơ đồ phần cứng và/hoặc mã ngôn ngữ thiết kế phần cứng IC hoặc dữ liệu bố trí được sử dụng để xây dựng phần cứng thực tế là những ví dụ về các phần của biểu diễn triển khai. Người đánh giá lấy mẫu các biểu diễn triển khai để tăng độ tin cậy rằng nó đang ở mức thích hợp và không thích hợp, ví dụ, một mức mã giả với yêu cầu thực hiện các quyết định thiết kế bổ sung. Người đánh giá được khuyến khích thực hiện kiểm tra nhanh khi lần đầu tiên kiểm tra biểu diễn triển khai để đảm bảo rằng bản thân các nhà phát triển đang đi đúng hướng. Tuy nhiên, người đánh giá cũng được khuyến khích thực hiện phần lớn các kiểm tra này khi làm việc trên đơn vị công việc khác khi truy xuất để thẩm tra triển khai; điều này sẽ đảm bảo mẫu thẩm tra cho đơn vị công việc này là có liên quan.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_IMP.1.2C: Biểu diễn triển khai cần dưới dạng được sử dụng bởi các cá nhân phát triển.

10.5.1.4.2 Đơn vị công việc ADV_lMP.1-2

Người đánh giá cần kiểm tra biểu diễn triển khai dưới dạng được sử dụng bởi các cá nhân phát triển.

Biểu diễn triển khai được thao tác bởi nhà phát triển dưới hình thức phù hợp cho chuyển đổi để triển khai trong thực tế. Ví dụ, nhà phát triển có thể làm việc với các tập tin có chứa mã nguồn, được biên dịch để cuối cùng trở thành một phần của TSF. Nhà phát triển chuẩn bị sẵn sàng biểu diễn triển khai dưới dạng họ sử dụng, do đó, người đánh giá có thể sử dụng kỹ thuật tự động trong phân tích. Điều này cũng làm tăng sự tự tin cho các biểu diễn triển khai đã thẩm tra là thực sự sử dụng trong sản xuất của TSF (trái ngược với trường hợp được cung cấp theo định dạng trình diễn thay thế, chẳng hạn như một phần mềm xử lý văn bản). Cần lưu ý rằng các dạng khác của các biểu diễn triển khai cũng có thể được sử dụng bởi nhà phát triển; các mẫu này được cung cấp cũng tốt. Mục tiêu tổng thể là cung cấp cho người đánh giá với thông tin sẽ tối đa hóa những nỗ lực phân tích của người đánh giá.

Người đánh giá lấy mẫu các biểu diễn triển khai để tăng độ tin cậy rằng nó đang ở phiên bản có thể sử dụng bởi nhà phát triển. Mẫu này khiến người đánh giá đảm bảo rằng tất cả các vùng của biểu diễn triển khai là sự phù hợp với yêu cầu; tuy nhiên, thẩm tra đầy đủ toàn bộ biểu diễn triển khai là không được yêu cầu.

Quy ước trong một số hình thức biểu diễn triển khai có thể làm cho nó khó hoặc không thể xác định được từ biểu diễn triển khai của chính nó những gì mà các kết quả thực tế của việc biên soạn hoặc thời gian chạy sẽ làm sáng tỏ. Ví dụ, chỉ thị biên dịch cho các trình biên dịch ngôn ngữ C sẽ làm cho các trình biên dịch loại trừ hoặc bao gồm toàn bộ các phần mã.

Một số hình thức của các biểu diễn triển khai có thể yêu cầu thêm thông tin vì chúng tạo ra những rào cản đáng kể để hiểu và phân tích. Ví dụ như mã nguồn bị che khuất hoặc mã nguồn đã được làm cho khó hiểu theo những cách khác, do đó nó ngăn cản hiểu và/hoặc phân tích. Các dạng biểu diễn triển khai thường do kết quả của nhà phát triển TOE tạo ra một phiên bản của biểu diễn triển khai và chạy một chương trình bị che khuất hay làm cho khó hiểu trong đó. Trong khi biểu diễn bị che khuất là những gì được biên dịch và có thể được gần hơn để triển khai (trong các thuật ngữ về cấu trúc) so với ban đầu, biểu diễn bị làm cho khó hiểu, cung cấp mã khó hiểu có thể tiêu tốn thời gian đáng kể khi thực hiện việc phân tích các nhiệm vụ gọi đến biểu diễn. Khi các hình thức biểu diễn được tạo ra, các thành phần yêu cầu chi tiết về các công cụ/thuật toán bị che khuất được sử dụng để biểu điện không bị che khuất có thể được cung cấp và các thông tin bổ sung có thể được sử dụng để đạt được sự tự tin trong quá trình bị che khuất không làm tổn hại bất kỳ cơ chế an toàn nào.

...

TCVN 8709-3 (ISO/IEC 15408-3) ADV_IMP.1.3C: Ánh xạ giữa mô tả thiết kế TOE và ví dụ biểu diễn triển khai cần chứng minh sự đáp ứng của nó.

10.5.1.4.3 Đơn vị công việc ADV_lMP.1-3

Người đánh giá cần thẩm tra ánh xạ giữa mô tả thiết kế TOE và mẫu của biểu diễn triển khai để xác định rằng nó là chính xác.

Người đánh giá làm tăng việc xác định sự tồn tại (quy định tại đơn vị công việc ADV_IMP.1-1) bằng cách thẩm tra độ chính xác một phần của biểu diễn triển khai và mô tả thiết kế TOE. Đối với các phần của mô tả thiết kế TOE đáng quan tâm, người đánh giá sẽ thẩm tra việc biểu diễn triển khai phản ánh chính xác mô tả được cung cấp trong mô tả thiết kế TOE.

Ví dụ, mô tả thiết kế TOE có thể xác định một mô đun đăng nhập được sử dụng để xác định và xác thực người dùng. Nếu xác thực người dùng là đủ lớn, người đánh giá sẽ thẩm tra các mã tương ứng trên thực tế triển khai các dịch vụ như mô tả trong mô tả thiết kế TOE. Nó cũng có thể đáng để thẩm tra rằng mã chấp nhận các thông số như mô tả trong đặc tả chức năng.

Đây là giá trị chỉ ra nhà phát triển phải chọn liệu có thực hiện ánh xạ cho toàn bộ biểu diễn triển khai không, do đó đảm bảo các mẫu lựa chọn sẽ được bao phủ hoặc đợi để lựa chọn mẫu trước khi thực hiện việc ánh xạ. Lựa chọn đầu tiên là công việc có khả năng hơn, nhưng có thể được hoàn thành trước khi đánh giá bắt đầu. Lựa chọn thứ hai ít khả năng hơn, nhưng sẽ tạo ra sự ngừng lại của hoạt động đánh giá trong khi bằng chứng được yêu cầu đang được tạo ra.

10.5.2 Đánh giá hoạt động con (ADV_IMP.2)

Không có hướng dẫn chung; Nên tư vấn lược đồ để hướng dẫn hoạt động con này.

10.6 Nội bộ TSF (ADV_INT)

...

10.6.1.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu định nghĩa tập con của TSF được thiết kế và cấu trúc như vậy thì khả năng xảy ra lỗ hổng có giảm và bảo trì có thể được thực hiện dễ dàng hơn mà không cần tạo ra các lỗ hổng không.

10.6.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) mô tả thiết kế TOE;

c) biểu diễn triển khai (nếu ADV_IMP là một phần của yêu cầu bảo đảm);

d) mô tả kiến trúc;

e) tài liệu hướng dẫn các tiêu chuẩn mã hóa, là kết quả của ALC_TAT.

...

Vai trò của mô tả nội bộ là cung cấp bằng chứng về cấu trúc của thiết kế và triển khai của TSF.

Cấu trúc của thiết kế có hai phần: các phần cấu thành TSF và các thủ tục được sử dụng để thiết kế TSF. Trong trường hợp khi TSF được thiết kế phù hợp với thiết kế đại diện bởi các thiết kế TOE (xem ADV_TDS), việc đánh giá các thiết kế TSF là hiển nhiên. Trong trường hợp khi các thủ tục thiết kế TSF đang được quan sát (xem ALC_TAT), việc đánh giá các thủ tục thiết kế TSF là rõ ràng tương tự. Trong trường hợp khi TSF được triển khai bằng cách sử dụng phần mềm trên cơ sở thủ tục, cấu trúc này được đánh giá trên cơ sở hệ mô đun của nó; các mô đun được xác định trong mô tả nội bộ cũng giống như các mô đun được xác định trong thiết kế TOE (thiết kế TOE (ADV TDS)). Một mô đun bao gồm một hoặc nhiều tập tin mã nguồn mà không thể được phân chia thành các đơn vị biên dịch nhỏ hơn.

Việc sử dụng các chỉ định trong phần này hạn chế chặt chẽ các khoản thu trên các tập con của TSF được xác định một cách rõ ràng trong chỉ định ADV_INT.1.1D hơn so với phần còn lại của TSF. Trong khi TSF toàn bộ được thiết kế để sử dụng các nguyên tắc kỹ thuật và kết quả của TSF cấu trúc rõ ràng, chỉ tập con quy định được phân tích cụ thể cho bản chất này. Người đánh giá xác định rằng kết quả tiêu chuẩn mã hóa ứng dụng của nhà phát triển trong TSF là dễ hiểu.

Mục tiêu chính của phần này là đảm bảo biểu diễn triển khai các tập con của TSF là dễ hiểu để tạo điều kiện bảo trì và phân tích (của cả nhà phát triển và người đánh giá).

10.6.1.4 Hành động ADV_INT.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ADV_INT.1.1C: Biện minh cần giải thích các bản chất được sử dụng để xem xét ý nghĩa của "cấu trúc rõ ràng".

10.6.1.4.1 Đơn vị công việc ADV_INT.1-1

Người đánh giá cần thẩm tra sự biện minh để xác định rằng nó nhận dạng chuẩn để xác định liệu TSF có cấu trúc rõ ràng không.

Người đánh giá thẩm tra các tiêu chí để xác định bản chất của cấu trúc rõ ràng được định nghĩa rõ ràng trong sự biện minh. Tiêu chí có thể chấp thuận thường bắt nguồn từ tiêu chuẩn công nghiệp đối với quy tắc công nghệ. Ví dụ, phần mềm thủ tục thực thi tuyến tỉnh truyền thống được xem là có cấu trúc rõ ràng nếu nó tuân thủ các thực hành lập trình công nghệ phần mềm, chẳng hạn như những quy định trong tiêu chuẩn IEEE (IEEE Std 610.12-1990). Ví dụ, nó sẽ nhận dạng tiêu chí cho các phần của phần mềm thủ tục của các tập con TSF:

...

b) tiêu chuẩn mã hóa được sử dụng trong phát triển triển khai,

c) mô tả về mức độ tối đa có thể chấp nhận ghép nối liên mô đun tạo ra bởi các tập con TSF và

d) mô tả về mức độ tối thiểu có thể chấp nhận sự gắn kết tạo ra các mô đun của tập con TSF.

Đối với các loại công nghệ được sử dụng trong TOE - chẳng hạn như phần mềm không theo thủ tục (ví dụ như lập trình hướng đối tượng), phần cứng hàng hóa phổ biến (ví dụ như bộ vi xử lý máy tính) và phần cứng đặc biệt (ví dụ như bộ vi xử lý thẻ thông minh) - người đánh giá nên tìm kiếm hướng dẫn từ tổ chức đánh giá để xác định sự phù hợp của các tiêu chí đối với "cấu trúc rõ ràng".

TCVN 8709-3 (ISO/IEC 15408-3) ADV_INT.1.2C: Mô tả các tính chất của TSF cần chứng minh rằng tập con được chỉ định của TSF là được cấu trúc rõ ràng.

10.6.1.4.2 Đơn vị công việc ADV_INT.1-2

Người đánh giá cần kiểm tra việc mô tả tính chất của TSF để xác định rằng nó xác định tập con được chỉ định của TSF.

Tập con này có thể được xác định trong các thuật ngữ của TSF nội bộ tại bất kỳ lớp trừu tượng nào. Ví dụ, nó có thể có trong các thuật ngữ các yếu tố cấu trúc của TSF được nhận dạng trong thiết kế TOE (ví dụ như các hệ thống con kiểm toán) hoặc trong các thuật ngữ của triển khai (ví dụ các tập tin encrypt.c và decrypt.c hoặc chip IC 6227).

Sẽ không đủ khi xác định tập con này trong các thuật ngữ các SFR được yêu cầu (ví dụ như các phần của TSF cung cấp giấu tên như xác định tại FPR_ANO.2) vì điều này không chỉ ra nơi tập trung phân tích.

...

Người đánh giá cần thẩm tra mô tả tính chất của TSF để xác định rằng nó chứng minh tập con TSF được chỉ định có cấu trúc rõ ràng.

Người đánh giá thẩm tra các mô tả tính chất để đảm bảo rằng nó cung cấp giải thích hợp lý để tập con TSF đáp ứng các tiêu chí từ ADV_INT.1-1.

Ví dụ, nó sẽ giải thích cách thức các phần của phần mềm thủ tục của các tập con TSF đáp ứng những điều kiện sau đây:

a) rằng có một sự tương ứng một-một giữa các mô đun được xác định trong tập con TSF và các mô đun được mô tả trong thiết kế TOE (ADV_TDS),

b) cách thiết kế TSF là một sự phản ánh của quá trình phân tách mô đun,

c) sự biện minh đối với tất cả các trường hợp khi các tiêu chuẩn mã hóa không được sử dụng hoặc đáp ứng và

d) sự biện minh đối với bất kỳ ghép nối hoặc sự gắn kết bên ngoài phạm vi có thể chấp nhận được.

10.6.1.5 Hành động ADV_INT.1.2E

10.6.1.5.1 Đơn vị công việc ADV_INT.1-4

...

Mô tả sự phân tách của TOE thành hệ thống con và các mô đun sẽ tạo ra lập luận rằng tập con của TSF là cấu trúc rõ ràng hiển nhiên. Sự thẩm tra các thủ tục đối với cấu trúc TSF (như thẩm tra trong ALC_TAT) đang xảy ra sẽ là hiển nhiên với tập con TSF có cấu trúc rõ ràng.

10.6.1.5.2 Đơn vị công việc ADV_INT.1-5

Người đánh giá cần xác định rằng tập con TSF được chỉ định có cấu trúc rõ ràng.

Nếu ADV_IMP không phải là một phần của việc bảo đảm yêu cầu thì đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

Người đánh giá thẩm tra mẫu của tập con TSF để thẩm tra tính chính xác của mô tả các tính chất. Ví dụ, mẫu của các phần của phần mềm thủ tục của tập con TSF được phân tích để xác định sự gắn kết và ghép nối của nó, nó gắn kết với các tiêu chuẩn mã hóa, v.v... Như với tất cả các lĩnh vực nơi người đánh giá thực hiện các hoạt động trên một tập con, người đánh giá cung cấp một sự biện minh của kích thước và phạm vi áp dụng mẫu.

10.6.2 Đánh giá hoạt động con (ADV_INT.2)

10.6.2.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu định nghĩa TSF được thiết kế và cấu trúc như vậy thì khả năng xảy ra lỗ hỗng có giảm và bảo trì có thể được thực hiện dễ dàng hơn mà không cần tạo ra các lỗ hổng.

10.6.2.2 Đầu vào

...

a) mô tả thiết kế TOE;

b) biểu diễn triển khai (nếu ADV_IMP là một phần của yêu cầu bảo đảm);

c) mô tả kiến trúc;

d) tài liệu hướng dẫn các tiêu chuẩn mã hóa, là kết quả của ALC_TAT.

10.6.2.3 Lưu ý áp dụng

Vai trò của mô tả nội bộ là cung cấp bằng chứng về cấu trúc của thiết kế và triển khai của TSF.

Trong trường hợp khi TSF được triển khai bằng cách sử dụng phần mềm thủ tục cơ sở, cấu trúc này được đánh giá trên cơ sở hệ mô đun của nó; các mô đun được xác định trong mô tả nội bộ cũng giống như các mô đun được xác định trong thiết kế TOE (thiết kế TOE (ADV_TDS)). Một mô đun bao gồm một hoặc nhiều tập tin mã nguồn mà không thể được phân chia thành các đơn vị biên dịch nhỏ hơn. Mục tiêu chính của phần này là đảm bảo biểu diễn triển khai các tập con của TSF là dễ hiểu để tạo điều kiện bảo trì và phân tích (của cả nhà phát triển và người đánh giá).

10.6.2.4 Hành động ADV_INT.2.1E

...

10.6.2.4.1 Đơn vị công việc ADV_INT.2-1

Người đánh giá cần thẩm tra sự biện minh để xác định rằng nó nhận dạng chuẩn để xác định liệu TSF có cấu trúc rõ ràng không.

Người đánh giá thẩm tra các tiêu chí để xác định bản chất của cấu trúc đầy đủ được định nghĩa rõ ràng trong sự biện minh. Tiêu chí có thể chấp thuận thường bắt nguồn từ tiêu chuẩn công nghiệp đối với quy tắc công nghệ. Ví dụ, phần mềm thủ tục thực thi tuyến tính truyền thống được xem là có cấu trúc rõ ràng nếu nó tuân thủ các thực hành lập trình công nghệ phần mềm, chẳng hạn như những quy định trong tiêu chuẩn IEEE (IEEE Std 610.12-1990). Ví dụ, nó sẽ nhận dạng tiêu chí cho các phần của phần mềm thủ tục của các tập con TSF:

a) quá trình được sử dụng để phân tách mô đun,

b) tiêu chuẩn mã hóa được sử dụng trong phát triển triển khai,

c) mô tả về mức độ tối đa có thể chấp nhận ghép nối liên mô đun tạo ra bởi các tập con TSF và

d) mô tả về mức độ tối thiểu có thể chấp nhận sự gắn kết tạo ra các mô đun của tập con TSF.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_INT.2.2C: Mô tả tính chất TSF cần chứng minh rằng toàn bộ TSF có cấu trúc rõ ràng.

...

Người đánh giá cần thẩm tra mô tả tính chất của TSF để xác định rằng nó chứng minh tập con TSF được chỉ định có cấu trúc rõ ràng.

Người đánh giá thẩm tra các mô tả tính chất để đảm bảo rằng nó cung cấp lời giải thích hợp lý như thế nào để tập con TSF đáp ứng các tiêu chí từ ADV_INT.1-1.

Ví dụ, nó sẽ giải thích cách thức các phần của phần mềm thủ tục của các tập con TSF đáp ứng những điều kiện sau đây:

a) rằng có một sự tương ứng một-một giữa các mô đun được xác định trong tập con TSF và các mô đun được mô tả trong thiết kế TOE (ADV_TDS),

b) cách thiết kế TSF là một sự phản ánh của quá trình phân tách mô đun,

c) sự biện minh đối với tất cả các trường hợp khi các tiêu chuẩn mã hóa không được sử dụng hoặc đáp ứng và

d) sự biện minh đối với bất kỳ ghép nối hoặc sự gắn kết bên ngoài phạm vi có thể chấp nhận được.

10.6.2.5 Hành động ADV_INT.2.2E

10.6.2.5.1 Đơn vị công việc ADV_INT.2-3

...

Người đánh giá thẩm tra mẫu thiết kế TOE của TSF để thẩm tra tính chính xác của sự biện minh. Ví dụ, một mẫu thiết kế TOE được phân tích để xác định sự tuân thủ của nó với các tiêu chuẩn thiết kế, v.v... Như với tất cả các lĩnh vực nơi người đánh giá thực hiện các hoạt động trên một tập con, người đánh giá cung cấp một sự biện minh của kích thước và phạm vi áp dụng mẫu.

10.6.2.5.2 Đơn vị công việc ADV_INT.2-4

Người đánh giá cần xác định rằng tập con TSF được chỉ định có cấu trúc rõ ràng.

Nếu ADV_IMP không phải là một phần của việc bảo đảm yêu cầu, thì đơn vị công việc này không áp dụng và do đó được coi là thỏa mãn.

10.6.3 Đánh giá hoạt động con (ADV_INT.3)

Không có hướng dẫn chung; Nên tư vấn lược đồ để hướng dẫn hoạt động con này.

10.7 Mô hình hóa chính sách an toàn (ADV_SPM)

...

Không có hướng dẫn chung; Nên tư vấn lược đồ để hướng dẫn hoạt động con này.

10.8 Thiết kế TOE (ADV_TDS)

10.8.1 Đánh giá hoạt động con (ADV_TDS.1)

10.8.1.1 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) đặc tính chức năng;

c) đặc tả kiến trúc an toàn;

d) thiết kế TOE.

...

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.1.1C: Bản thiết kế cần mô tả cấu trúc TOE với các hệ thống con.

10.8.1.2.1 Đơn vị công việc ADV.TDS.1-1

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng cấu trúc của toàn bộ TOE được mô tả trong thuật ngữ các hệ thống con.

Người đánh giá đảm bảo rằng tất cả các hệ thống con của TOE được xác định. Đặc tả này của TOE sẽ được sử dụng như đầu vào cho đơn vị công việc ADV_TDS.1-2, nơi các thành phần của TOE tạo nên TSF được xác định. Do đó, yêu cầu này là trên toàn bộ TOE chứ không phải chỉ cho TSF.

TOE (và TSF) có thể được mô tả trong nhiều lớp trừu tượng (ví dụ: các hệ thống con và các mô đun). Tùy thuộc vào sự phức tạp của TOE, thiết kế của nó có thể được mô tả trong các thuật ngữ của các hệ thống con và mô đun, như đã mô tả trong TCVN 8709-3 (ISO/IEC 15408-3) Phụ lục A.4, ADV_TDS: Các hệ thống con và các mô đun. Ở cấp độ đảm bảo này, sự chia tách chỉ cần ở mức "hệ thống con".

Khi thực hiện hoạt động này, người đánh giá thẩm tra bằng chứng khác đối với TOE (ví dụ: ST, hướng dẫn người sử dụng của nhà khai thác) để xác định rằng mô tả TOE trong bằng chứng như vậy là nhất quán với mô tả có trong thiết kế TOE.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.1.2C: Bản thiết kế cần chỉ ra tất cả các hệ thống con của TSF.

10.8.1.2.2 Đơn vị công việc ADV_TDS.1-2

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng tất cả các hệ thống con của TSF được xác định.

...

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.1.3C: Bản thiết kế cần mô tả hoạt động của mỗi hệ thống con TSF kiểu hỗ trợ SFR hoặc không can thiệp SFR ở mức độ chi tiết đủ để khẳng định nó không phải là kiểu thực thi SFR.

10.8.1.2.3 Đơn vị công việc ADV_TDS.1-3

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mỗi hệ thống con hỗ trợ SFR hoặc không can thiệp SFR của TSF được mô tả sao cho người đánh giá có thể xác định rằng hệ thống con là hỗ trợ SFR hoặc không can thiệp SFR.

Các hệ thống con hỗ trợ SFR và không can thiệp SFR không cần được mô tả chi tiết chức năng của chúng trong hệ thống như thế nào. Tuy nhiên, người đánh giá tạo ra quyết định dựa trên các bằng chứng được cung cấp bởi nhà phát triển, rằng các hệ thống con không mô tả cấp cao là hỗ trợ SFR hoặc không can thiệp SFR. Lưu ý rằng nếu nhà phát triển cung cấp một mức thống nhất tài liệu chi tiết thì đơn vị công việc này sẽ là thỏa mãn đầy đủ, kể từ thời điểm phân loại các hệ thống con cho phép nhà phát triển cung cấp ít thông tin hơn cho các hệ thống con hỗ trợ SFR và không can thiệp SFR so với các hệ thống con thực thi SFR.

Một hệ thống con hỗ trợ SFR là một hệ thống con phụ thuộc vào một hệ thống con thực thi SFR để thực hiện một SFR, nhưng không đóng vai trò trực tiếp như là một hệ thống con thực thi SFR. Một hệ thống con không can thiệp SFR là một hệ thống con không phụ thuộc, trong vai trò hoặc hỗ trợ hoặc thực thi, khi thực hiện một SFR.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.1.4C: Bản thiết kế cần tóm lược hoạt động thực thi SFR cho các hệ thống con kiểu thực thi SFR.

10.8.1.2.4 Đơn vị công việc ADV_TDS.1-4

Người đánh giá cần thẩm tra việc thiết kế TOE để xác định rằng nó cung cấp một sự đặc tả cách đầy đủ, chính xác và ở mức cao của hoạt động thực thi SFR cho các hệ thống con kiểu thực thi SFR.

Nhà phát triển có thể chỉ định các hệ thống con như là thực thi SFR, hỗ trợ SFR và không can thiệp SFR, nhưng các "thẻ" này chỉ được sử dụng để mô tả số lượng và loại thông tin mà nhà phát triển phải cung cấp và có thể được sử dụng để hạn chế số lượng thông tin nhà phát triển phải phát triển nếu quy trình kỹ thuật của họ không tạo ra các tài liệu được yêu cầu. Liệu các hệ thống con có được phân loại bởi nhà phát triển hay không, người đánh giá có trách nhiệm xác định các hệ thống con có các thông tin thích hợp cho vai trò của chúng (thực thi SFR, v.v...) trong TOE và để có được những thông tin thích hợp từ nhà phát triển nên lỗi của nhà phát triển cung cấp là thông tin được yêu cầu cho một hệ thống con cụ thể.

...

Để xác định tính hoàn thiện và chính xác, người đánh giá thẩm tra các thông tin có sẵn khác (ví dụ, đặc tính kỹ thuật, mô tả kiến trúc an toàn, biểu diễn triển khai). Mô tả các chức năng trong các tài liệu này nên nhất quán với những gì đã cung cấp cho bằng chứng đối với đơn vị công việc này.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.1.5C: Bản thiết kế cần tạo ra mô tả về tương tác của các hệ thống con kiểu thực thi SFR của TSF và giữa các hệ thống con đó với các hệ thống con của TSF khác.

10.8.1.2.5 Đơn vị công việc ADV_TDS.1-5

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng sự tương tác giữa các hệ thống con của TSF đã được mô tả.

Mục tiêu của mô tả sự tương tác giữa các hệ thống con thực thi SFR và các hệ thống con khác là giúp cung cấp cho người đọc hiểu biết rõ hơn về cách TSF thực hiện các chức năng của nó. Những tương tác này không cần phải được mô tả ở mức triển khai (ví dụ, thông số được truyền từ một đoạn chương trình trong một hệ thống con đến một đoạn chương trình trong một hệ thống con khác, biến số toàn cục, tín hiệu phần cứng (ví dụ, ngắt) từ một hệ thống con phần cứng tới một hệ thống con điều khiển ngắt), nhưng các yếu tố dữ liệu xác định cho một hệ thống con đặc biệt được sử dụng bởi một hệ thống con khác cần được đề cập trong thảo luận này. Bất kỳ mối quan hệ điều khiển nào giữa hệ thống con (ví dụ, một hệ thống con chịu trách nhiệm cấu hình một nguyên tắc cơ bản cho một hệ thống tường lửa và một hệ thống con thực sự thực hiện các quy tắc này) cũng nên được mô tả.

Người đánh giá cần phải sử dụng nhận định của riêng họ trong việc đánh giá tính trọn vẹn của sự mô tả. Nếu lý do cho một tương tác là không rõ ràng hoặc nếu có những tương tác liên quan SFR (ví dụ: phát hiện trong kiểm tra các mô tả đáp ứng của hệ thống con) không được mô tả, người đánh giá đảm bảo rằng thông tin này được cung cấp bởi nhà phát triển. Tuy nhiên, nếu người đánh giá có thể xác định rằng sự tương tác trong một tập hợp riêng của các hệ thống con, trong khi nhà phát triển mô tả không đầy đủ, sẽ không hỗ trợ tìm hiểu về chức năng tổng thể cũng như chức năng an toàn được cung cấp bởi TSF, khi đó người đánh giá có thể chọn coi như mô tả đầy đủ và không theo đuổi tính trọn vẹn vì mục đích riêng của mình.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.1.6C: Bản thiết kế cần biểu thị rằng mọi hoạt động mô tả trong thiết kế TOE được ánh xạ vào trong các TSFI thực thi chúng.

10.8.1.2.6 Đơn vị công việc ADV_TDS.1-6

Người đánh giá cần thẩm tra việc thiết kế TOE để xác định rằng nó chứa ánh xạ đầy đủ và chính xác từ TSFI đã mô tả trong đặc tả chức năng đến các hệ thống con của TSF được mô tả trong thiết kế TOE.

...

Người đánh giá đánh giá tính trọn vẹn của các ánh xạ bằng cách đảm bảo rằng tất cả TSFl ánh xạ đến ít nhất một hệ thống con. Việc xác minh độ chính xác thì phức tạp hơn.

Khía cạnh đầu tiên của độ chính xác là mỗi TSFI được ánh xạ tới một hệ thống con tại ranh giới TSF. Xác định này có thể được thực hiện bằng cách thẩm tra lại các mô tả và tương tác hệ thống con và từ các thông tin này xác định vị trí của nó trong kiến trúc. Khía cạnh tiếp theo của độ chính xác là ý nghĩa của ánh xạ. Ví dụ, ánh xạ một TSFI đối phó với kiểm soát quyền truy nhập vào một hệ thống con để kiểm tra mật khẩu không chính xác. Người đánh giá nên một lần nữa sử dụng nhận định trong việc tạo ra quyết định này. Mục tiêu là thông tin này là hỗ trợ người đánh giá hiểu biết về hệ thống và triển khai các SFR và cách thức mà các tổ chức tại ranh giới TSF có thể tương tác với các TSF. Phần lớn đánh giá liệu các SFR có được mô tả chính xác bởi các hệ thống con được thực hiện trong các đơn vị công việc khác không.

10.8.1.3 Hành động ADV_TDS.1.2E

10.8.1.3.1 Đơn vị công việc ADV_TDS.1-7

Người đánh giá cần thẩm tra các yêu cầu chức năng an toàn TOE và thiết kế TOE, để xác định rằng tất cả các yêu cầu chức năng an toàn của ST được bao phủ bởi thiết kế TOE.

Người đánh giá có thể xây dựng một ánh xạ giữa các yêu cầu chức năng an toàn của TOE và thiết kế TOE. Ánh xạ này có thể từ một yêu cầu chức năng đến một tập hợp các hệ thống con. Lưu ý rằng ánh xạ này có thể có được ở một mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, bởi vì các hoạt động (chỉ định, bổ sung chi tiết, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.

Ví dụ, thành phần kiểm soát truy nhập tập con FDP_ACC.1 chứa một phần tử với các chỉ định. Ví dụ, nếu ST chứa mười quy tắc trong chỉ định kiểm soát truy nhập tập hợp con FDP_ACC.1 và mười quy tắc này được triển khai ở những vị trí xác định trong mười lăm mô đun, nó sẽ không thích hợp cho người đánh giá ánh xạ điều khiển truy nhập tập con FDP_ACC.1 tới một hệ thống con và yêu cầu các đơn vị công việc được hoàn thành. Thay vào đó, người đánh giá sẽ ánh xạ điều khiển truy nhập tập con FDP_ACC.1 (quy tắc 1) đến hệ thống con A, đáp ứng x, y và z; điều khiển truy nhập tập con FDP_ACC.1 (quy tắc 2) đến hệ thống con A, đáp ứng x, p và q; v.v...

10.8.1.3.2 Đơn vị công việc ADV_TDS.1-8

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng nó là một cài đặt chính xác của tất cả các yêu cầu chức năng an toàn.

...

Ví dụ, nếu các yêu cầu ST quy định một cơ chế kiểm soát truy nhập dựa trên vai trò, người đánh giá cần đầu tiên xác định rằng các hệ thống con đó góp phần triển khai cơ chế này. Điều này có thể được thực hiện nhờ kiến thức và sự hiểu biết chuyên sâu về thiết kế TOE hoặc bằng việc thực hiện trong đơn vị công việc trước đó. Lưu ý rằng theo dấu này chỉ để xác định các hệ thống con và không phải là phân tích đầy đủ.

Bước tiếp theo là tìm hiểu cơ chế thực hiện các hệ thống con. Ví dụ, nếu thiết kế mô tả một việc triển khai kiểm soát truy nhập dựa trên các bit bảo vệ kiểu-UNIX, thiết kế sẽ không phải là một cài đặt chính xác các yêu cầu kiểm soát truy nhập này tạo ra trong ví dụ ST sử dụng ở trên. Nếu người đánh giá không thể xác định các cơ chế đã được thực hiện chính xác vì thiếu chi tiết, người đánh giá cần phải đánh giá xem liệu tất cả các hệ thống con thực thi SFR có được xác định hoặc nếu chi tiết đầy đủ có được cung cấp cho các hệ thống con này không.

10.8.2 Đánh giá hoạt động con (ADV_TDS.2)

10.8.2.1 Đầu vào

Các bằng chứng đánh giá cho này hoạt động con là:

a) ST;

b) đặc tính chức năng;

c) đặc tả kiến trúc an toàn;

d) thiết kế TOE.

...

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.2.1C: Bản thiết kế cần mô tả cấu trúc TOE với các hệ thống con.

10.8.2.2.1 Đơn vị công việc ADV_TDS.2-1

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng cấu trúc của toàn bộ TOE được mô tả trong thuật ngữ các hệ thống con.

Người đánh giá đảm bảo rằng tất cả các hệ thống con của TOE được xác định. Đặc tả này của TOE sẽ được sử dụng như đầu vào cho đơn vị công việc ADV_TDS.2-2, nơi các thành phần của TOE tạo nên TSF được xác định. Do đó, yêu cầu này là trên toàn bộ TOE chứ không phải chỉ cho TSF.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.2.2C: Bản thiết kế cần chỉ ra tất cả các hệ thống con của TSF.

10.8.2.2.2 Đơn vị công việc ADV_TDS.2-2

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng tất cả các hệ thống con của TSF được xác định.

...

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.2.3C: Bản thiết kế cần mô tả hoạt động của mỗi hệ thống con TSF kiểu không can thiệp SFR ở mức độ chi tiết đủ để khẳng định nó là không can thiệp SFR.

10.8.2.2.3 Đơn vị công việc ADV_TDS.2-3

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mỗi hệ thống con không can thiệp SFR của TSF được mô tả theo cách mà người đánh giá có thể xác định rằng hệ thống con là không can thiệp SFR.

Các hệ thống con không can thiệp SFR không cần được mô tả chi tiết chức năng của chúng trong hệ thống như thế nào. Tuy nhiên, người đánh giá tạo ra quyết định dựa trên các bằng chứng được cung cấp bởi nhà phát triển, rằng các hệ thống con không được mô tả chi tiết là không can thiệp SFR. Lưu ý rằng nếu nhà phát triển cung cấp một mức thống nhất tài liệu chi tiết thì đơn vị công việc này sẽ là thỏa mãn đầy đủ, kể từ thời điểm phân loại các hệ thống con cho phép nhà phát triển cung cấp ít thông tin hơn cho các hệ thống con không can thiệp SFR so với các hệ thống con thực thi SFR và hỗ trợ SFR.

Một hệ thống con không can thiệp SFR là một trong những hệ thống con thực thi SFR và hỗ trợ SFR không phụ thuộc, đó là, chúng không đóng vai trò trong việc thực hiện chức năng SFR.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.2.4C: Bản thiết kế cần tóm lược hoạt động thực thi SFR cho các hệ thống con kiểu thực thi SFR.

10.8.2.2.4 Đơn vị công việc ADV_TDS.2-4

Người đánh giá cần thẩm tra việc thiết kế TOE để xác định rằng nó cung cấp một sự đặc tả đầy đủ, chính xác và chi tiết hoạt động thực thi SFR cho các hệ thống con kiểu thực thi SFR.

...

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.2.5C; Bản thiết kế cần tóm tắt hoạt động hỗ trợ SFR và không can thiệp SFR của các hệ thống con kiểu thực thi SFR.

10.8.2.2.5 Đơn vị công việc ADV_TDS.2-5

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng nó cung cấp mô tả đầy đủ và cấp chính xác mức độ cao của hoạt động hỗ trợ SFR và không can thiệp SFR của các hệ thống con kiểu thực thi SFR.

Nhà phát triển có thể chỉ định các hệ thống con như là thực thi SFR, hỗ trợ SFR và không can thiệp SFR, nhưng các "thẻ" này chỉ được sử dụng để mô tả số lượng và loại thông tin mà nhà phát triển phải cung cấp và có thể được sử dụng để hạn chế số lượng thông tin nhà phát triển phải phát triển nếu quy trình kỹ thuật của họ không tạo ra các tài liệu được yêu cầu. Liệu các hệ thống con có được phân loại bởi nhà phát triển hay không, người đánh giá có trách nhiệm xác định rằng các hệ thống con có các thông tin thích hợp cho vai trò của chúng (thực thi SFR, v.v..) trong TOE và để có được những thông tin thích hợp từ nhà phát triển nên lỗi của nhà phát triển cung cấp các thông tin được yêu cầu cho một hệ thống con cụ thể.

Ngược lại với các đơn vị công việc trước đó, đơn vị công việc này yêu cầu người đánh giá đánh giá các thông tin cung cấp cho hệ thống con thực thi SFR đó là hỗ trợ SFR hoặc không can thiệp SFR. Mục tiêu của đánh giá này là thực hiện hai việc. Đầu tiên, nó sẽ cung cấp những hiểu biết sâu hơn cho người đánh giá về cách mỗi hệ thống hoạt động. Thứ hai, người đánh giá xác định rằng tất cả các hoạt động thực thi SFR trình bày bởi một hệ thống con đã được mô tả. Không giống như các đơn vị công việc trước đó, thông tin được cung cấp cho các hoạt động hỗ trợ SFR hoặc không can thiệp SFR không cần phải chi tiết như đã cung cấp bởi hoạt động thực thi SFR. Ví dụ, cấu trúc dữ liệu hoặc khoản mục dữ liệu không liên quan đến chức năng thực thi SFR có thể không cần phải mô tả chi tiết. Quyết định tùy thuộc vào người đánh giá, tuy nhiên, đối với những gì ở "mức cao" cho một TOE cụ thể và người đánh giá có được đầy đủ thông tin từ nhà phát triển (thậm chí nếu nó là tương đương với thông tin cung cấp cho các bộ phận của hệ thống con là thực thi SFR) để thực hiện một nhận định hợp lý cho đơn vị công việc này.

Người đánh giá được cảnh báo, tuy nhiên, mức độ đảm bảo "hoàn hảo" không phải là mục tiêu không yêu cầu của đơn vị công việc này, do đó nhận định sẽ được thực hiện bằng xác định các số lượng và thành phần của các bằng chứng được yêu cầu để tạo ra một nhận định về đơn vị công việc này.

Để xác định tính hoàn thiện và chính xác, người đánh giá thẩm tra các thông tin có sẵn khác (ví dụ, đặc điểm chức năng, mô tả kiến trúc an toàn, biểu diễn triển khai). Mô tả các chức năng trong các tài liệu cần phù hợp với những bằng chứng cho đơn vị công việc này. Đặc biệt, các đặc điểm chức năng nên được sử dụng để xác định rằng hoạt động được yêu cầu để thực hiện các giao diện TSF đã mô tả bởi các đặc tả chức năng là được mô tả đầy đủ bởi các hệ thống con khi mà hoạt động hoặc sẽ là thực thi SFR, hỗ trợ SFR hoặc là không can thiệp SFR.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.2.6C: Bản thiết kế cần tóm tắt hoạt động của các hệ thống con kiểu hỗ trợ SFR.

...

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng nó cung cấp mô tả mức độ cao đầy đủ và chính xác cho hoạt động của các hệ thống con hỗ trợ SFR.

Nhà phát triển có thể chỉ định các hệ thống con như là thực thi SFR, hỗ trợ SFR và không can thiệp SFR, nhưng các "thẻ" này chỉ được sử dụng để mô tả số lượng và loại thông tin mà nhà phát triển phải cung cấp và có thể được sử dụng để hạn chế số lượng thông tin nhà phát triển phải phát triển nếu quy trình kỹ thuật của họ không tạo ra các tài liệu được yêu cầu. Liệu các hệ thống con có được phân loại bởi nhà phát triển hay không, người đánh giá có trách nhiệm xác định rằng các hệ thống con có các thông tin thích hợp cho vai trò của chúng (thực thi SFR, v.v..) trong TOE và để có được những thông tin thích hợp từ nhà phát triển nên lỗi của nhà phát triển cung cấp các thông tin được yêu cầu cho một hệ thống con cụ thể.

Ngược với hai đơn vị công việc trước, đơn vị công việc này yêu cầu nhà phát triển cung cấp (và người đánh giá đánh giá) thông tin về các hệ thống con hỗ trợ SFR Cũng như các hệ thống con cần được tham chiếu bởi các mô tả của các hệ thống con thực thi SFR, cũng như các mô tả tương tác trong đơn vị công việc ADV_TDS.2-7. Mục tiêu đánh giá của người đánh giá, giống như cho các đơn vị công việc trước đó, là thực hiện hai việc. Đầu tiên, nó sẽ cung cấp những hiểu biết sâu hơn cho người đánh giá về cách mỗi hệ thống hoạt động. Thứ hai, người đánh giá xác định rằng tất cả các hoạt động thực thi SFR trình bày bởi một hệ thống con đã được mô tả. Không giống như các đơn vị công việc trước đó, thông tin được cung cấp cho các hoạt động hỗ trợ SFR hoặc không can thiệp SFR không cần phải chi tiết như đã cung cấp bởi hoạt động thực thi SFR. Ví dụ, cấu trúc dữ liệu hoặc khoản mục dữ liệu không liên quan đến chức năng thực thi SFR có thể không cần phải mô tả chi tiết. Quyết định tùy thuộc vào người đánh giá, tuy nhiên, đối với những gì ở "mức cao" cho một TOE cụ thể và người đánh giá có được đầy đủ thông tin từ nhà phát triển (thậm chí nếu nó là tương đương với thông tin cung cấp cho các bộ phận của hệ thống con là thực thi SFR) để thực hiện một nhận định hợp lý cho đơn vị công việc này.

Để xác định tính hoàn thiện và chính xác, người đánh giá thẩm tra các thông tin có sẵn khác (ví dụ, đặc điểm chức năng, mô tả kiến trúc an toàn, biểu diễn triển khai). Mô tả các chức năng trong các tài liệu cần nhất quán với những gì được cung cấp cho bằng chứng cho đơn vị công việc này. Đặc biệt, các đặc điểm chức năng nên được sử dụng để xác định rằng hoạt động được yêu cầu để thực hiện các giao diện TSF đã mô tả bởi các đặc tả chức năng là được mô tả đầy đủ bởi các hệ thống con khi mà hoạt động hoặc sẽ là thực thi SFR, hỗ trợ SFR hoặc là không can thiệp SFR.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.2.7C: Bản thiết kế cần tạo ra mô tả về tương tác của tất cả các hệ thống con của TSF.

10.8.2.2.7 Đơn vị công việc ADV_TDS.2-7

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng sự tương tác giữa các hệ thống con của TSF được mô tả.

Mục tiêu của mô tả tương tác giữa các hệ thống con là giúp cho người đọc hiểu biết hơn cách thức TSF thực hiện chức năng của nó. Những tương tác này không cần được mô tả ở mức triển khai (ví dụ, thông số được truyền từ một đoạn chương trình trong một hệ thống con đến một đoạn chương trình trong một hệ thống con khác, biến số toàn cục, tín hiệu phần cứng (ví dụ, ngắt) từ một hệ thống con phần cứng tới một hệ thống con điều khiển ngắt), nhưng các yếu tố dữ liệu xác định cho một hệ thống con đặc biệt được sử dụng bởi một hệ thống con khác cần được đề cập trong thảo luận này. Bất kỳ mối quan hệ điều khiển nào giữa hệ thống con (ví dụ, một hệ thống con chịu trách nhiệm cấu hình một nguyên tắc cơ bản cho một hệ thống tường lửa và một hệ thống con thực sự thực hiện các quy tắc này) cũng nên được mô tả.

...

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.2.8C: Bản thiết kế cần biểu thị rằng mọi hoạt động mô tả trong thiết kế TOE được ánh xạ vào trong các TSFI thực thi chúng.

10.8.2.2.8 Đơn vị công việc ADV_TDS.2-8

Các hệ thống con được mô tả trong thiết kế TOE cung cấp mô tả về cách mà TSF làm việc ở mức độ chi tiết cho các phần thực thi SFR của TSF và ở một mức độ cao hơn cho các phần khác của TSF. TSFI cung cấp một mô tả về cách triển khai được tiến hành. Các bằng chứng từ nhà phát triển xác định hệ thống con phức tạp ban đầu khi một hoạt động được yêu cầu tại TSFl và xác định các hệ thống con khác nhau chịu trách nhiệm chính cho việc triển khai các chức năng. Lưu ý rằng một "cây truy xuất" hoàn thiện đối với mỗi TSFI là không được yêu cầu cho đơn vị công việc này.

Người đánh giá đánh giá tính trọn vẹn của các ánh xạ bằng cách đảm bảo rằng tất cả TSFI ánh xạ đến ít nhất một hệ thống con. Việc xác minh độ chính xác thì phức tạp hơn.

Khía cạnh đầu tiên của độ chính xác là mỗi TSFI được ánh xạ tới một hệ thống con tại ranh giới TSF. Xác định này có thể được thực hiện bằng cách thẩm tra lại các mô tả và tương tác hệ thống con và từ các thông tin này xác định vị trí của nó trong kiến trúc. Khía cạnh tiếp theo của độ chính xác là ý nghĩa của cách thức ánh xạ. Ví dụ, ánh xạ một TSFI đối phó với kiểm soát quyền truy nhập vào một hệ thống con để kiểm tra mật khẩu không chính xác. Người đánh giá nên lại sử dụng nhận định trong việc tạo ra quyết định này. Mục tiêu là thông tin này là hỗ trợ người đánh giá hiểu biết về hệ thống và triển khai các SFR và cách thức mà các tổ chức tại ranh giới TSF có thể tương tác với các TSF. Phần lớn đánh giá liệu các SFR có được mô tả chính xác bởi các hệ thống con được thực hiện trong các đơn vị công việc khác không.

10.8.2.3 Hành động ADV_TDS.2.2E

10.8.2.3.1 Đơn vị công việc ADV_TDS.2-9

...

10.8.2.3.2 Đơn vị công việc ADV_TDS.2-10

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng nó là một cài đặt chính xác của tất cả các yêu cầu chức năng an toàn.

Người đánh giá đảm bảo rằng mỗi yêu cầu an toàn được liệt kê trong Điều các yêu cầu chức năng an toàn TOE của ST có một mô tả thiết kế tương ứng trong thiết kế TOE mà các chi tiết chính xác như thế nào để TSF đáp ứng yêu cầu đó. Điều này đòi hỏi người đánh giá xác định rằng một tập hợp các hệ thống con chịu trách nhiệm triển khai thực hiện yêu cầu chức năng nhất định và sau đó thẩm tra các hệ thống con này để hiểu làm thế nào các yêu cầu được thực hiện. Cuối cùng, người đánh giá cần đánh giá liệu yêu cầu có được thực hiện một cách chính xác không.

Bước tiếp theo là hiểu xem cơ chế nào thực hiện các hệ thống con. Ví dụ, nếu thiết kế mô tả một việc triển khai kiểm soát truy nhập dựa trên các bit bảo vệ kiểu-UNIX, thiết kế sẽ không phải là một cài đặt chính xác các yêu cầu kiểm soát truy nhập này tạo ra trong ví dụ ST sử dụng ở trên. Nếu người đánh giá không thể xác định các cơ chế đã được thực hiện chính xác vì thiếu chi tiết, người đánh giá cần phải đánh giá xem liệu tất cả các hệ thống con thực thi SFR có được xác định hoặc nếu đủ chi tiết có được cung cấp cho các hệ thống con này không.

10.8.3 Đánh giá hoạt động con (ADV_TDS.3)

10.8.3.1 Mục tiêu

Mục tiêu của hoạt động con này là xác định liệu thiết kế TOE có cung cấp một mô tả của TOE trong thuật ngữ của hệ thống con đủ để xác định ranh giới TSF và cung cấp một mô tả nội bộ TSF trong thuật ngữ của mô đun không (và tùy chọn sự trừu tượng mức cao hơn). Nó cung cấp một mô tả chi tiết các mô đun thực thi SFR và đầy đủ thông tin về các mô đun hỗ trợ SFR và không can thiệp SFR cho người đánh giá để xác định rằng các SFR được triển khai đầy đủ và chính xác, như vậy, thiết kế TOE cung cấp giải thích của biểu diễn triển khai.

...

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) đặc điểm kỹ thuật chức năng;

c) mô tả kiến trúc an toàn;

d) thiết kế TOE.

10.8.3.3 Lưu ý áp dụng

Có ba loại hoạt động mà người đánh giá cần thực hiện đối với thiết kế TOE. Đầu tiên, người đánh giá xác định rằng ranh giới TSF đã được mô tả đầy đủ. Thứ hai, người đánh giá xác định rằng nhà phát triển đã cung cấp tài liệu phù hợp với các yêu cầu nội dung và trình bày đối với các hệ thống con này và nó nhất quán với các tài liệu khác được cung cấp cho TOE. Cuối cùng, người đánh giá phải phân tích thông tin thiết kế đã cung cấp cho các mô đun thực thi SFR (ở mức chi tiết) và các mô đun hỗ trợ SFR và không can thiệp SFR (ở một mức độ ít chi tiết) để hiểu cách thức hệ thống được triển khai và với kiến thức đảm bảo rằng các TSFI trong đặc tả chức năng được mô tả đầy đủ và các thông tin kiểm thử đầy đủ các kiểm thử TSF (thực hiện trong Lớp ATE: Các đơn vị công việc kiểm thử).

Điều quan trọng cần lưu ý rằng trong khi nhà phát triển có nghĩa vụ phải cung cấp một mô tả đầy đủ của TSF (mặc dù các mô đun thực thi SFR sẽ có nhiều chi tiết hơn so với mô đun hỗ trợ SFR hoặc không can thiệp SFR), người đánh giá dự kiến sẽ sử dụng nhận định trong việc thực hiện phân tích của họ. Trong khi người đánh giá dự kiến sẽ thẩm tra tất cả các mô đun, các chi tiết mà họ thẩm tra từng mô đun có thể thay đổi. Người đánh giá phân tích từng mô đun để đạt tới sự hiểu biết đầy đủ để xác định các tác động của các chức năng của mô đun dựa trên sự an toàn của hệ thống và các độ sâu mà họ cần phải phân tích các mô đun có thể thay đổi tùy thuộc vào vai trò của mô đun trong hệ thống. Một khía cạnh quan trọng của phân tích này là người đánh giá nên sử dụng các tài liệu được cung cấp khác (TSS, đặc tả chức năng, mô tả kiến trúc an toàn và tài liệu nội bộ TSF) để xác định rằng chức năng được mô tả là chính xác và rằng các quy định tiềm ẩn của các mô đun hỗ trợ SFR hoặc không can thiệp SFR (xem bên dưới) được hỗ trợ bởi vai trò của chúng trong kiến trúc hệ thống.

Nhà phát triển có thể chỉ định các mô đun là thực thi SFR, hỗ trợ SFR và không can thiệp SFR, nhưng các "thẻ" này chỉ được sử dụng để mô tả số lượng và loại thông tin mà nhà phát triển phải cung cấp và có thể được sử dụng để hạn chế số lượng thông tin nhà phát triển phải phát triển nếu quy trình kỹ thuật của họ không tạo ra các tài liệu được yêu cầu. Cho dù các mô đun có được phân loại bởi nhà phát triển hay không, người đánh giá có trách nhiệm xác định các mô đun có các thông tin thích hợp cho vai trò của chúng (thực thi SFR, v.v...) trong TOE và để có được những thông tin thích hợp từ nhà phát triển nên lỗi của nhà phát triển cung cấp các thông tin được yêu cầu cho một mô đun cụ thể.

...

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.3.1C: Bản thiết kế cần mô tả cấu trúc của TOE với các hệ thống con.

10.8.3.4.1 Đơn vị công việc ADV_TDS.3-1

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng cấu trúc của toàn bộ TOE được mô tả trong thuật ngữ các hệ thống con.

Người đánh giá đảm bảo rằng tất cả các hệ thống con của TOE được xác định. Đặc tả này của TOE sẽ được sử dụng như đầu vào cho đơn vị công việc ADV_TDS.3-2, nơi các thành phần của TOE tạo nên TSF được xác định. Do đó, yêu cầu này là trên toàn bộ TOE chứ không phải chỉ cho TSF.

TOE (và TSF) có thể được mô tả trong nhiều lớp trừu tượng (ví dụ: các hệ thống con và các mô đun). Tùy thuộc vào sự phức tạp của TOE, thiết kế của nó có thể được mô tả trong các thuật ngữ của các hệ thống con và mô đun, như đã mô tả trong Phụ lục A.4 TCVN 8709-3 (ISO/IEC 15408-3), ADV_TDS: Các hệ thống con và các mô đun. Đối với một TOE đơn giản có thể được mô tả chỉ tại cấp độ "mô đun" (xem ADV_TDS.3-2), đơn vị công việc này không phải áp dụng và do đó được xem là thỏa mãn.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.3.2C: Bản thiết kế cần mô tả TSF trong thuật ngữ của các mô đun.

10.8.3.4.2 Đơn vị công việc ADV_TDS.3-2

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng toàn bộ TSF được mô tả trong thuật ngữ các mô đun.

...

Không giống như các hệ thống con, các mô đun mô tả việc triển khai ở một mức độ chi tiết như một hướng dẫn để xem xét các biểu diễn triển khai. Một mô tả của một mô đun nên theo cách sao cho nó có thể triển khai mô đun từ mô tả đó và kết quả việc triển khai sẽ là 1) giống như việc triển khai TSF thực tế theo các giao diện được trình bày và sử dụng bởi các mô đun và 2) thuật toán giống với mô đun TSF. Ví dụ, RFC 793 cung cấp một mô tả cấp độ cao các giao thức TCP. Điều đó nhất thiết phải triển khai độc lập. Trong khi nó cung cấp các chi tiết đầy đủ, nó không phải là một mô tả thiết kế phù hợp bởi vì nó không cụ thể trong việc triển khai. Một triển khai thực tế có thể thêm giao thức quy định trong các RFC và sự lựa chọn triển khai (ví dụ, các sử dụng các dữ liệu toàn cục, so với dữ liệu cục bộ trong các phần khác nhau của việc triển khai) có thể có một tác động vào việc phân tích được thực hiện. Mô tả thiết kế của mô đun TCP sẽ liệt kê các giao diện được trình bày bởi việc triển khai (thay vì chỉ những định nghĩa trong RFC 793), cũng như một mô tả thuật toán của việc xử lý kết hợp với các mô đun triển khai TCP (giả sử nó là một phần của TSF).

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.3.3C: Bản thiết kế cần chỉ ra tất cả các hệ thống con của TSF.

10.8.3.4.3 Đơn vị công việc ADV_TDS.3-3

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng tất cả các hệ thống con của TSF được xác định.

Nếu thiết kế được trình bày chỉ trong các thuật ngữ của các mô đun, khi đó các hệ thống con trong những yêu cầu này là tương đương với các mô đun và hoạt động nên được thực hiện ở cấp mô đun. Trong đơn vị công việc ADV_TDS.3-1, tất cả các hệ thống con của TOE đã được xác định và quyết định chỉ ra rằng các hệ thống con không TSF được đặc tả một cách chính xác. Dựa trên công việc đó, các hệ thống con không được đặc tả như là hệ thống con không TSF nên xác định một cách chính xác. Người đánh giá xác định rằng, trong những phần cứng và phần mềm được cài đặt và cấu hình theo hướng dẫn cho các thủ tục chuẩn bị (AGD_PRE), mỗi hệ thống con đã được xác định như là hoặc một phần của TSF hoặc không.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.3.4C: Bản thiết kế cần tạo ra mô tả cho mỗi hệ thống con của TSF.

10.8.3.4.4 Đơn vị công việc ADV_TDS.3-4

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mỗi hệ thống con của TSF mô tả vai trò của nó trong việc thực thi các SFR đã mô tả trong ST.

Nếu thiết kế được trình bày chỉ trong các thuật ngữ của các mô đun, khi đó đơn vị công việc này sẽ được xem là thỏa mãn việc đánh giá thực hiện trong đơn vị công việc tiếp theo; trong trường hợp này không có hành động của người đánh giá.

...

Người đánh giá đảm bảo rằng tất cả các hệ thống con của TSF có một mô tả. Trong khi mô tả nên tập trung về vai trò mà hệ thống con trong thi hành hoặc hỗ trợ triển khai các SFR, đầy đủ thông tin phải hiện thị sao cho một bối cảnh cho sự hiểu biết các chức năng liên quan SFR được tạo ra.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.3.5C: Bản thiết kế cần tạo ra mô tả cho các tương tác của mọi hệ thống con của TSF.

10.8.3.4.5 Đơn vị công việc ADV_TDS.3-5

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng sự tương tác giữa các hệ thống con của TSF được mô tả.

Trên các hệ thống đủ phức tạp để đảm bảo một mô tả cấp hệ thống con của TSF ngoài mô tả mô đun, mục tiêu của mô tả sự tương tác giữa các hệ thống con thực thi SFR và các hệ thống con khác là giúp cung cấp cho người đọc hiểu biết hơn về cách TSF thực hiện các chức năng của nó. Những tương tác này không cần phải được mô tả ở mức triển khai (ví dụ, thông số được truyền từ một đoạn chương trình trong một hệ thống con đến một đoạn chương trình trong một hệ thống con khác, biến số toàn cục, tín hiệu phần cứng (ví dụ, ngắt) từ một hệ thống con phần cứng tới một hệ thống con điều khiển ngắt), nhưng các yếu tố dữ liệu xác định cho một hệ thống con đặc biệt được sử dụng bởi một hệ thống con khác cần được đề cập trong thảo luận này. Bất kỳ mối quan hệ điều khiển nào giữa hệ thống con (ví dụ, một hệ thống con chịu trách nhiệm cấu hình một nguyên tắc cơ bản cho một hệ thống tường lửa và một hệ thống con thực sự thực hiện các quy tắc này) cũng nên được mô tả.

Cần phải lưu ý trong khi nhà phát triển mô tả tất cả tương tác giữa các hệ thống con, người đánh giá cần phải sử dụng nhận định của riêng họ trong việc đánh giá tính trọn vẹn của sự mô tả. Nếu lý do cho một tương tác là không rõ ràng hoặc nếu có những tương tác liên quan SFR (ví dụ: phát hiện trong kiểm tra các mô tả đáp ứng của hệ thống con) không được mô tả, người đánh giá đảm bảo rằng thông tin này được cung cấp bởi nhà phát triển. Tuy nhiên, nếu người đánh giá có thể xác định rằng sự tương tác trong một tập hợp riêng của các hệ thống con, trong khi nhà phát triển mô tả không đầy đủ, sẽ không hỗ trợ tìm hiểu về chức năng tổng thể cũng như chức năng an toàn được cung cấp bởi TSF, khi đó người đánh giá có thể chọn coi như mô tả đầy đủ và không theo đuổi tính trọn vẹn vì mục đích riêng của mình.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.3.6C: Bản thiết kế cần tạo ra ánh xạ từ các hệ thống con của TSF đến các mô đun của TSF.

10.8.3.4.6 Đơn vị công việc ADV_TDS.3-6

...

Nếu thiết kế được trình bày chỉ trong các thuật ngữ của các mô đun, khi đó đơn vị công việc này sẽ được xem là thỏa mãn.

10.8.3.4.7 Đơn vị công việc ADV_TDS.3-7

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng ánh xạ giữa các hệ thống con của TSF và các mô đun của TSF là chính xác.

Nếu thiết kế được trình bày chỉ trong các thuật ngữ của các mô đun, khi đó đơn vị công việc này sẽ được xem là thỏa mãn.

Đối với TOE đủ phức tạp để đảm bảo một mô tả cấp hệ thống con của TSF ngoài mô tả mô đun, nhà phát triển cung cấp một ánh xạ đơn cho thấy làm cách nào các mô đun của TSF phân bổ cho các hệ thống con. Điều này sẽ cung cấp cho người đánh giá một hướng dẫn trong việc thực hiện đánh giá cấp mô đun của nó. Người đánh giá có thể lựa chọn để kiểm tra tính chính xác của các ánh xạ kết hợp với thực hiện các đơn vị công việc khác. Một ánh xạ "không chính xác" là ánh xạ mà các mô đun liên quan chỉ định nhầm đến một hệ thống con nơi mà chức năng của nó không được sử dụng trong hệ thống con. Bởi vì ánh xạ được thiết kế để trở thành một hướng dẫn hỗ trợ các phân tích chi tiết hơn, người đánh giá được cảnh báo để cố gắng áp dụng phù hợp với đơn vị công việc này. Mở rộng nguồn tài nguyên sâu rộng của người đánh giá để xác minh tính chính xác của ánh xạ là không được yêu cầu. Tính không chính xác dẫn đến sự hiểu sai liên quan đến việc thiết kế không được đề cập ở đây hay ở các đơn vị công việc khác nên gắn với đơn vị công việc này và được sửa lại cho chính xác.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.3.7C: Bản thiết kế sẽ mô tả các mô đun thực thi SFR theo mục đích và tương tác của chúng với các mô đun khác.

10.8.3.4.8 Đơn vị công việc ADV_TDS.3-8

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng các mô tả theo mục đích của mỗi mô đun thực thi SFR là đầy đủ và chính xác.

...

Mục đích của mô đun là cung cấp một mô tả cho thấy chức năng gì mô đun thỏa mãn. Người đánh giá cần chú ý tới các thứ tự. Trọng tâm của đơn vị công việc này nên cung cấp cho người đánh giá các hiểu biết về cách mà các mô đun hoạt động để có thể quyết định về tính đúng đắn của việc triển khai các SFR, cũng như để hỗ trợ phân tích kiến trúc thực hiện cho thành phần ADV_ARC. Miễn là người đánh giá hiểu biết về hoạt động của mô đun và mối quan hệ của nó với các mô đun khác và TOE như một tổng thể, người đánh giá nên xem xét mục tiêu của công việc đạt được và không tham gia vào một tài liệu hướng dẫn thực hiện của nhà phát triển (bằng cách yêu cầu, ví dụ, một thuật toán hoàn chỉnh mô tả cho một biểu diễn triển khai là hiển nhiên).

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.3.8C: Bản thiết kế cần mô tả mỗi mô đun thực thi SFR với các giao diện liên quan SFR của chúng, cho lại các giá trị từ các giao diện này, tương tác với và gọi các giao diện tới các mô đun khác.

10.8.3.4.9 Đơn vị công việc ADV_TDS.3-9

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng các mô tả về giao diện được trình bày bởi mỗi mô đun thực thi SFR chứa mô tả chính xác và đầy đủ các thông số liên quan SFR, các quy ước gọi đến đối với mỗi giao diện và bất kỳ giá trị nào trả về trực tiếp từ các giao diện.

Các giao diện liên quan SFR của một mô đun là những giao diện được sử dụng bởi các mô đun khác như một phương tiện để gọi đến các hoạt động liên quan SFR đã cung cấp và để cung cấp đầu vào hoặc nhận kết quả đầu ra từ các mô đun. Mục đích của các đặc tả của các giao diện này là cho phép việc thực hiện chúng trong quá trình kiểm thử. Các giao diện liên mô đun mà không liên quan SFR không cần được quy định hoặc được mô tả, do chúng không phải là một yếu tố trong kiểm thử. Tương tự như vậy, các giao diện nội bộ khác mà không phải là một yếu tố trong liên quan SFR đến cách thức thực hiện (chẳng hạn như những đường cố định bên trong) không cần phải được quy định hoặc được mô tả, do chúng không phải là một yếu tố trong kiểm thử.

Các giao diện liên quan SFR được mô tả trong thuật ngữ theo cách chúng được gọi đến và bất kỳ các giá trị được trả về. Mô tả này sẽ bao gồm một danh sách các thông số liên quan SFR và các mô tả của các tham số này. Lưu ý rằng dữ liệu toàn cục cũng sẽ được xem là các thông số nếu được sử dụng bởi mô đun (hoặc là các đầu vào hoặc là các đầu ra) khi được gọi đến. Nếu một tham số được dự kiến sẽ đưa vào một tập các giá trị (ví dụ, một tham số "cờ"), thiết lập đầy đủ của giá trị các tham số có thể đưa vào đó sẽ có một tác động vào việc xử lý mô đun sẽ được xác định. Tương tự như vậy, các thông số đại diện cho cấu trúc dữ liệu được mô tả như các trường của cấu trúc dữ liệu được xác định và mô tả. Lưu ý rằng các ngôn ngữ lập trình khác nhau có thể có thêm "các giao diện'' không rõ ràng, ví dụ như nhà điều hành/chức năng quá tải trong C++. "Giao diện không rõ ràng" này trong các lớp mô tả cũng có thể được mô tả như là một phần của thiết kế TOE ở mức độ thấp. Lưu ý rằng mặc dù một mô đun chỉ có thể trình bày một giao diện, thông thường thì một mô đun trình bày một tập con các giao diện liên quan.

Trong thuật ngữ vầ đánh giá các thông số (các đầu vào và các đầu ra) của một mô đun, sử dụng bất kỳ dữ liệu toàn cục nào cũng phải được cân nhắc. Một mô đun "sử dụng" dữ liệu toàn cục nếu nó hoặc là đọc hoặc là ghi dữ liệu. Để đảm bảo sự mô tả các thông số như vậy (nếu sử dụng) là đầy đủ, người đánh giá sử dụng các thông tin khác được cung cấp về mô đun trong thiết kế TOE (các giao diện, thuật toán mô tả, v.v...), cũng như mô tả về tập hợp đặc biệt của dữ liệu toàn cục đã đánh giá trong đơn vị công việc ADV_TDS.3-9. Ví dụ, người đánh giá có thể đầu tiên xác định việc xử lý các mô đun thực hiện bằng cách kiểm tra chức năng và giao diện sẵn có (đặc biệt là các thông số của các giao diện). Sau đó họ có thể kiểm tra để xem xét nếu các quá trình xử lý "chạm" đến bất kỳ khu vực dữ liệu toàn cục được xác định trong thiết kế TOE. Người đánh giá sau đó xác định rằng, đối với mỗi khu vực dữ liệu toàn cục bị "chạm", khu vực dữ liệu toàn cục đó được liệt kê như là đầu vào hay đầu ra của mô đun mà người đánh giá thẩm tra.

Quy ước gọi đến là một đặc tả kiểu tham chiếu lập trình có thể sử dụng để gọi đến chính xác một giao diện của một mô đun nếu một người đang viết một chương trình để sử dụng các chức năng của mô đun thông qua giao diện đó. Điều này bao gồm các đầu vào và các đầu ra được yêu cầu, bao gồm cả các thiết lập mà có thể cần được thực hiện đối với các biến số toàn cục.

Giá trị trả về thông qua giao diện là các giá trị mà hoặc là thông qua các thông số hoặc là các thông báo; giá trị mà các chức năng truy xuất tự nó trả về trong kiểu của một truy xuất chức năng lập trình "C" hoặc giá trị được truyền thông qua phương thức toàn cục (chẳng hạn như các tuyến lỗi cụ thể trong các hệ điều hành kiểu *ix).

...

Vì các mô đun ở mức độ thấp như vậy, rất khó có thể xác định tính hoàn thiệt và chính xác tác động từ tài liệu khác, chẳng hạn như hướng dẫn người sử dụng vận hành, đặc tả chức năng, các tính chất TSF hoặc mô tả kiến trúc an toàn. Tuy nhiên, người đánh giá sử dụng các thông tin sẵn có trong các tài liệu này thuộc phạm vi có thể giúp để đảm bảo rằng mục đích được mô tả đầy đủ và chính xác. Các phân tích này có thể được hỗ trợ bởi các phân tích đã thực hiện cho các đơn vị công việc đối với phần tử ADV_TDS.3.10C, mà các ánh xạ TSFI trong đặc tả chức năng đến các mô đun của TSF.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.3.9C: Bản thiết kế cần mô tả mỗi mô đun hỗ trợ SFR hoặc không can thiệp SFR với mục đích và tương tác của chúng với các mô đun khác.

10.8.3.4.10 Đơn vị công việc ADV_TDS.3-10

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mô đun hỗ trợ SFR và không can thiệp SFR được phân loại chính xác.

Trong trường hợp khi nhà phát triển đã cung cấp một lượng thông tin khác nhau cho các mô đun khác nhau, sự phân loại ngầm định đã được thực hiện. Đó là, các mô đun (ví dụ) với các chi tiết sẵn có trên các giao diện liên quan SFR (xem ADV_TDS.3.10C) là các mô đun thực thi SFR ứng cử, mặc dù việc thẩm tra bởi người đánh giá có thể dẫn đến việc quyết định rằng một số thiết lập của chúng là hỗ trợ SFR hoặc không can thiệp SFR. Phần này chỉ mô tả về mục đích của chúng và tương tác với các mô đun khác (ví dụ) là "phân loại không ngầm định" như hỗ trợ SFR hoặc không can thiệp SFR.

Trong những trường hợp này, trọng tâm của người đánh giá cho đơn vị công việc này là cố gắng xác định từ những bằng chứng đã cung cấp cho mỗi mô đun phân loại không ngầm định như là hỗ trợ SFR hoặc không can thiệp SFR và thông tin đánh giá về các mô đun khác (trong thiết kế TOE, các đặc tả chức năng, mô tả kiến trúc an toàn và hướng dẫn người sử dụng vận hành), liệu các mô đun có thực sự hỗ trợ SFR hoặc không can thiệp SFR không. Ở cấp độ này một số lỗi đảm bảo có thể được bỏ qua; người đánh giá không hoàn toàn chắc chắn rằng một mô đun là hỗ trợ SFR hoặc không can thiệp SFR, mặc dù nó được dán nhãn như vậy. Tuy nhiên, nếu các bằng chứng được cung cấp chỉ ra rằng một mô đun hỗ trợ SFR hoặc không can thiệp SFR là thực thi SFR, người đánh giá yêu cầu thêm thông tin từ nhà phát triển để giải quyết sự không nhất quán rõ ràng. Ví dụ, giả sử các tài liệu hướng dẫn cho Mô đun A (một mô đun thực thi SFR) chỉ ra rằng nó truy xuất Mô đun B để thực hiện kiểm tra truy nhập trên một loại kết cấu nhất định. Khi người đánh giá thẩm tra các thông tin liên quan đến Mô đun B, họ thấy rằng tất cả nhà phát triển đã cung cấp một mục đích và một tập hợp các tương tác (như vậy, Mô đun B phân loại không ngầm định như là hỗ trợ SFR hoặc không can thiệp SFR). Khi kiểm tra mục đích và tương tác của Mô đun A, người đánh giá thấy không đề cập đến Mô đun B thực hiện bất kỳ kiểm tra truy nhập nào và Mô đun A không được liệt kê như là một mô đun mà Mô đun B tương tác. Tại thời điểm này, người đánh giá nên tiếp cận nhà phát triển để giải quyết các khác biệt giữa thông tin đã cung cấp trong Mô đun A và trong Mô đun B.

Một ví dụ khác là nơi mà người đánh giá kiểm tra các ánh xạ của các TSFI đến các mô đun như cung cấp bởi ADV_TDS.3.2D. Việc thẩm tra này cho thấy, Mô đun C được kết hợp với một SFR yêu cầu xác định của người sử dụng. Một lần nữa, khi người đánh giá thẩm tra thông tin liên quan đến Mô đun C, người đánh giá thấy rằng tất cả nhà phát triển đã cung cấp một mục đích và một tập hợp các tương tác (như vậy, Mô đun C phân loại không ngầm định như là hỗ trợ SFR hoặc không can thiệp FSR). Kiểm tra mục đích và tương tác được trình bày cho Mô đun C, người đánh giá không thể xác định lý do tại sao Mô đun C, được liệt kê như ánh xạ từ TSFI liên quan đến người sử dụng xác định, sẽ không được phân loại là thực thi SFR. Một lần nữa, người đánh giá cần tiếp cận nhà phát triển để giải quyết sự khác biệt này.

Một ví dụ cuối cùng đi từ quan điểm ngược lại. Như trước đây, nhà phát triển đã cung cấp thông tin kết hợp với Mô đun D bao gồm một mục đích và một tập hợp các tương tác (như vậy, mặc nhiên phân loại Mô đun D phân loại không ngầm định như là hỗ trợ SFR hoặc không can thiệp FSR). Người đánh giá thẩm tra tất cả các bằng chứng đã cung cấp, bao gồm cả mục đích và tương tác với mô đun D. Các mục đích xuất hiện để cung cấp một mô tả ý nghĩa của chức năng Mô đun D trong TOE, sự tương tác nhất quán với mô tả đó và không có gì chỉ ra rằng Mô đun D là thực thi SFR. Trong trường hợp này, người đánh giá không nên đòi hỏi nhiều thông tin về Mô đun D "chỉ là để đảm bảo" nó được phân loại một cách chính xác. Nhà phát triển đã thỏa mãn các nghĩa vụ của họ và người đánh giá đảm bảo kết quả có trong phân loại tiềm ẩn của Mô đun D là (theo định nghĩa) thích hợp cho mức độ đảm bảo này.

10.8.3.4.11 Đơn vị công việc ADV_TDS.3-11

...

Các mô tả về mục đích của một mô đun chỉ ra những mô đun chức năng nào là thỏa mãn. Từ sự mô tả, người đánh giá có thể nên có được một ý tưởng chung về vai trò của mô đun. Để đảm bảo sự mô tả là đầy đủ, người đánh giá sử dụng các thông tin đã cung cấp về các tương tác của mô đun với các mô đun khác để đánh giá liệu những lý do các mô đun được truy xuất có nhất quán với các mục đích của mô đun không. Nếu mô tả tương tác có chức năng không rõ ràng hoặc mâu thuẫn với, các mục đích của mô đun, người đánh giá cần xác định liệu vấn đề có ở tính chính xác hoặc tính toàn diện không. Người đánh giá nên chú ý với các mục đích quá ngắn, do không thể phân tích ý nghĩa dựa trên mục đích chỉ có một câu.

10.8.3.4.12 Đơn vị công việc ADV_TDS.3-12

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mô tả tương tác của mô đun hỗ trợ SFR hoặc không can thiệp SFR với các mô đun khác là đầy đủ và chính xác.

Điều quan trọng cần lưu ý là, trong các thuật ngữ của yêu cầu ở Phần 3 và đơn vị công việc này, thuật ngữ tương tác có mục đích truyền đạt ít nghiêm ngặt hơn so với thuật ngữ giao diện. Một tương tác không cần phải đặc tả ở cấp triển khai (ví dụ, thông số thông qua từ một tuyến trong một mô đun này tới một tuyến trong một mô đun khác; biến số toàn cục; các tín hiệu phần cứng (ví dụ, các ngắt) từ một phần cứng của hệ thống con tới một hệ thống con xử lý ngắt), nhưng các phần tử dữ liệu xác định cho một mô đun được sử dụng bởi một mô đun đặc biệt nên được đề cập trong thảo luận này. Bất kỳ mối quan hệ kiểm soát giữa các mô đun (ví dụ, một mô đun chịu trách nhiệm cho việc cấu hình một nguyên tắc cơ bản cho một hệ thống tường lửa và các mô đun thực sự thực hiện các quy tắc) cũng nên được mô tả.

Vì các mô đun ở mức độ thấp như vậy, rất khó có thể xác định tính hoàn thiệt và chính xác tác động từ tài liệu khác, chẳng hạn như tài liệu hướng dẫn người sử dụng vận hành, đặc tả chức năng, mô tả kiến trúc an toàn hoặc tài liệu về tính chất TSF. Tuy nhiên, người đánh giá sử dụng các thông tin sẵn có trong các tài liệu này thuộc phạm vi có thể giúp để đảm bảo rằng chức năng được mô tả đầy đủ và chính xác. Các phân tích này có thể được hỗ trợ bởi các phân tích đã thực hiện cho các đơn vị công việc đối với phần tử ADV_TDS.3.10C, mà các ánh xạ TSFI trong đặc tả chức năng đến các mô đun của TSF.

Tương tác của một mô đun với các mô đun khác vượt ra ngoài tài liệu kiểu cây truy xuất. Sự tương tác được mô tả từ góc độ chức năng lý do tại sao một mô đun tương tác với các mô đun khác. Các mục đích của mô đun mô tả những chức năng gì của mô đun cung cấp cho các mô đun khác, sự tương tác nên mô tả những gì các mô đun phụ thuộc vào các mô đun khác để thực hiện chức năng này.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.3.10C: Bản thiết kế cần biểu thị rằng mọi hoạt động mô tả trong thiết kế TOE được ánh xạ vào trong các TSFI thực thi chúng.

...

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng nó có chứa đầy đủ và chính xác ánh xạ từ TSFI được mô tả trong các đặc tả chức năng đến các mô đun của TSF đã mô tả trong thiết kế TOE.

Các mô đun được mô tả trong thiết kế TOE cung cấp mô tả về triển khai TSF. Các TSFI cung cấp một mô tả làm cách nào triển khai được thực hiện. Các bằng chứng từ nhà phát triển xác định mô đun ban đầu được gọi đến khi một hoạt động được yêu cầu tại các TSFI và xác định chuỗi các mô đun gọi đến các mô đun đó chủ yếu chịu trách nhiệm cho việc thực hiện các chức năng. Tuy nhiên, một cây truy xuất đầy đủ cho mỗi TSFI là không được yêu cầu cho đơn vị công việc này. Các trường hợp trong đó nhiều hơn một mô đun sẽ được xác định là nơi có mô đun "điểm khởi đầu" hoặc các mô đun trình bao bọc mà không có chức năng khác ngoài điều kiện đầu vào hoặc giải ghép kênh đầu vào. Ánh xạ đến một trong các mô đun không cung cấp bất kỳ thông tin hữu ích nào cho người đánh giá.

Người đánh giá đánh giá tính hoàn thiện của ánh xạ bằng cách đảm bảo rằng tất cả các TSFI ánh xạ đến ít nhất một mô đun. Các xác minh độ chính xác có nhiều phức tạp.

10.8.3.5 Hành động ADV_TDS.3.2E

10.8.3.5.1 Đơn vị công việc ADV_TDS.3-14

Người đánh giá có thể xây dựng một ánh xạ giữa các yêu cầu chức năng an toàn TOE và thiết kế TOE. Ánh xạ này có thể từ một yêu cầu chức năng đến một tập hợp các hệ thống con và sau đó đến các mô đun. Lưu ý rằng ánh xạ này có thể có được ở một mức độ chi tiết dưới mức thành phần hoặc thậm chí mức phần tử của các yêu cầu, bởi vì các hoạt động (chỉ định, bổ sung chi tiết, lựa chọn) thực hiện trên các yêu cầu chức năng của tác giả ST.

Ví dụ, thành phần kiểm soát truy nhập tập con FDP_ACC.1 chứa một phần tử với các chỉ định. Ví dụ, nếu ST chứa mười quy tắc trong chỉ định kiểm soát truy nhập tập hợp con FDP_ACC.1 và mười quy tắc này được triển khai ở những vị trí xác định trong mười lăm mô đun, nó sẽ không thích hợp cho người đánh giá ánh xạ điều khiển truy nhập tập con FDP_ACC.1 tới một hệ thống con và yêu cầu các đơn vị công việc được hoàn thành. Thay vào đó, người đánh giá sẽ ánh xạ điều khiển truy nhập tập con FDP_ACC.1 (quy tắc 1) đến các mô đun x, y và z của hệ thống con A; điều khiển truy nhập tập con FDP_ACC.1 (quy tắc 2) đến các mô đun x, p và q của hệ thống con A.v.v...

...

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng nó là một cài đặt chính xác của tất cả các yêu cầu chức năng an toàn.

Ví dụ, nếu các yêu cầu ST quy định một cơ chế kiểm soát truy nhập dựa trên vai trò, người đánh giá cần đầu tiên xác định rằng các hệ thống con và các mô đun đó góp phần triển khai cơ chế này. Điều này có thể được thực hiện nhờ kiến thức và sự hiểu biết chuyên sâu về thiết kế TOE hoặc bằng việc thực hiện trong đơn vị công việc trước đó. Lưu ý rằng theo dấu này chỉ để xác định các hệ thống con và không phải là phân tích đầy đủ.

Bước tiếp theo là hiểu biết cơ chế nào thực hiện các hệ thống con và các mô đun. Ví dụ, nếu thiết kế mô tả một việc triển khai kiểm soát truy nhập dựa trên các bit bảo vệ kiểu-UNIX, thiết kế sẽ không phải là một cài đặt chính xác các yêu cầu kiểm soát truy nhập này tạo ra trong ví dụ ST sử dụng ở trên. Nếu người đánh giá không thể xác định các cơ chế đã được thực hiện chính xác vì thiếu chi tiết, người đánh giá cần phải đánh giá xem liệu tất cả các hệ thống con và các mô đun thực thi SFR có được xác định hoặc nếu đủ chi tiết có được cung cấp cho các hệ thống con này không.

10.8.4 Đánh giá hoạt động con (ADV_TDS.4)

10.8.4.1 Mục tiêu

10.8.4.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

...

b) đặc tả chức năng;

c) mô tả kiến trúc an toàn;

d) thiết kế TOE.

10.8.4.3 Lưu ý áp dụng

Có ba loại hoạt động mà người đánh giá cần thực hiện đối với thiết kế TOE. Đầu tiên, người đánh giá xác định rằng ranh giới TSF đi được mô tả đầy đủ. Thứ hai, người đánh giá xác định rằng nhà phát triển đã cung cấp tài liệu phù hợp với các yêu cầu nội dung và trình bày đối với các hệ thống con này và nó là nhất quán với các tài liệu khác được cung cấp cho TOE. Cuối cùng, người đánh giá phải phân tích thông tin thiết kế đã cung cấp cho các mô đun thực thi SFR (ở mức chi tiết) và các mô đun hỗ trợ SFR và không can thiệp SFR (ở một mức độ ít chi tiết) để hiểu làm thế nào hệ thống được triển khai và với kiến thức đảm bảo rằng các TSFI trong đặc tả chức năng được mô tả đầy đủ và các thông tin kiểm thử đầy đủ các kiểm thử TSF (thực hiện trong Lớp ATE: Các đơn vị công việc kiểm thử).

10.8.4.4 Hành động ADV_TDS.4.1E

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.4.1C: Bản thiết kế cần mô tả cấu trúc TOE với các hệ thống con.

10.8.4.4.1 Đơn vị công việc ADV_TDS.4-1

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng cấu trúc của toàn bộ TOE được mô tả trong thuật ngữ các hệ thống con.

...

TOE (và TSF) có thể được mô tả trong nhiều lớp trừu tượng (ví dụ: các hệ thống con và các mô đun). Tùy thuộc vào sự phức tạp của TOE, thiết kế của nó có thể được mô tả trong các thuật ngữ của các hệ thống con và mô đun, như đã mô tả trong TCVN 8709-3 (ISO/IEC 15408-3) Phụ lục A.4, ADV_TDS: Các hệ thống con và các mô đun. Đối với một TOE đơn giản có thể được mô tả chỉ tại cấp độ "mô đun" (xem ADV_TDS.4-3), đơn vị công việc này không phải áp dụng và do đó được xem là thỏa mãn.

10.8.4.4.2 Đơn vị công việc ADV_TDS.4-2

Người đánh giá cần kiểm tra các tài liệu TDS để xác định rằng ghi chú không chính thức được sử dụng cho mô tả các hệ thống con, mô đun và giao diện của chúng được xác định hoặc tham chiếu.

Một ghi chú không chính thức có thể được hoặc xác định bởi các nhà bảo trợ hoặc tương ứng với tiêu chuẩn được tham chiếu. Người đánh giá nên cung cấp một ánh xạ của các chức năng an toàn và các giao diện phác thảo của chúng trong phần tài liệu chức năng hoặc giao diện được mô tả bán chính thức và những gì ký hiệu được sử dụng. Người đánh giá thẩm tra tất cả ghi chú không chính thức được sử dụng để chắc chắn rằng chúng đang theo một kiểu bán chính thức và để biện minh cho sự phù hợp về cách thức làm thế nào các ghi chú không chính thức được sử dụng cho các TOE.

Người đánh giá được nhắc nhở rằng một bài thuyết trình bản chính thức được đặc trưng bởi một định dạng tiêu chuẩn với một cú pháp rõ ràng làm giảm sự không rõ ràng có thể xảy ra trong các bài thuyết trình chính thức. Cú pháp của tất cả các ghi chú không chính thức được sử dụng trong đặc tả chức năng cần được xác định hoặc tương đương với một tiêu chuẩn được tham chiếu. Người đánh giá xác minh rằng các ghi chú không chính thức được sử dụng để thể hiện các đặc tả chức năng có khả năng thể hiện các tính năng liên quan đến an toàn. Để xác định điều này, người đánh giá có thể tham khảo đến SFR và so sánh các tính năng an toàn của TSF đã nêu trong ST và mô tả ấy trong FSP bằng cách sử dụng các ghi chú không chính thức.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.4.2C: Bản thiết kế cần mô tả TSF với các mô đun, thiết kế mỗi mô đun theo thực thi SFR, hỗ trợ SFR hoặc không can thiệp SFR.

10.8.4.4.3 Đơn vị công việc ADV_TDS.4-3

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng toàn bộ TSF được mô tả trong thuật ngữ các mô đun.

...

Không giống như các hệ thống con, các mô đun mô tả việc triển khai ở một mức độ chi tiết có thể phục vụ như một hướng dẫn để xem xét các biểu diễn triển khai. Một mô tả của một mô đun nên theo cách sao cho nó có thể triển khai mô đun từ mô tả đó và kết quả việc triển khai sẽ là 1) giống như việc triển khai TSF thực tế theo các giao diện được trình bày và sử dụng bởi các mô đun là 2) thuật toán giống với mô đun TSF. Ví dụ, RFC 793 cung cấp một mô tả cấp độ cao các giao thức TCP. Điều đó nhất thiết phải triển khai độc lập. Trong khi nó cung cấp các chi tiết đầy đủ, nó không phải là một mô tả thiết kế phù hợp bởi vì nó không cụ thể trong việc triển khai. Một triển khai thực tế có thể thêm giao thức quy định trong các RFC và sự lựa chọn triển khai (ví dụ, các sử dụng các dữ liệu toàn cục, so với dữ liệu cục bộ trong các phần khác nhau của việc triển khai) có thể có một tác động vào việc phân tích được thực hiện. Mô tả thiết kế của mô đun TCP sẽ liệt kê các giao diện được trình bày bởi việc triển khai (thay vì chỉ những định nghĩa trong RFC 793), cũng như một mô tả thuật toán của việc xử lý kết hợp với các mô đun triển khai TCP (giả sử nó là một phần của TSF).

10.8.4.4.4 Đơn vị công việc ADV_TDS.4-4

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng các mô đun TSF được xác định hoặc thực thi SFR hoặc hỗ trợ SFR hoặc không can thiệp SFR.

Mục đích của việc chỉ định mỗi mô đun (theo vai trò cụ thể của mô đun trong việc thực thi các SFR) là cho phép các nhà phát triển cung cấp ít thông tin về các phần của TSF có vai trò thấp trong an toàn. Nó luôn luôn cho phép nhà phát triển cung cấp nhiều thông tin hay chi tiết hơn so với các yêu cầu, như có thể xảy ra khi các thông tin đã được tập hợp bên ngoài bối cảnh đánh giá. Trong trường hợp này nhà phát triển vẫn phải chỉ định các mô đun hoặc thực thi SFR hoặc hỗ trợ SFR hoặc không can thiệp SFR.

Độ chính xác của những chỉ định này được tiếp tục xem xét như việc tiến hành đánh giá. Mối quan tâm có chỉ định sai các mô đun là ít quan trọng (và do đó, có ít thông tin) hơn là trường hợp thực tế. Trong khi chỉ định sai rõ ràng có thể là ngay lập tức (ví dụ, chỉ định một mô đun xác thực là gì đó khác thực thi SFR nếu định danh người dùng (FIA_UID) là một trong những SFR đang được yêu cầu), chỉ định sai khác có thể không được phát hiện cho đến khi TSF được tìm hiểu kỹ hơn. Do đó, người đánh giá cần phải ghi nhớ rằng những chỉ định này là những nỗ lực ban đầu tốt nhất của nhà phát triển, nhưng là chủ đề để có thể thay đổi. Hướng dẫn chi tiết được cung cấp trong đơn vị công việc ADV_TDS.4-16, thẩm tra về độ chính xác của các chỉ định này.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.4.3C: Bản thiết kế cần chỉ ra tất cả các hệ thống con của TSF.

10.8.4.4.5 Đơn vị công việc ADV_TDS.4-5

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng tất cả các hệ thống con của TSF được xác định.

Nếu thiết kế được trình bày chỉ trong các thuật ngữ của các mô đun, khi đó các hệ thống con trong những yêu cầu này là tương đương với các mô đun và hoạt động nên được thực hiện ở cấp mô đun.

...

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.4.4C: Bản thiết kế cần tạo ra mô tả bán chính thức cho mỗi hệ thống con của TSF, với văn bản giải thích không chính thức phù hợp.

10.8.4.4.6 Đơn vị công việc ADV_TDS.4-6

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mỗi hệ thống con của TSF mô tả vai trò của nó trong việc thực thi các SFR đã mô tả trong ST.

Trên các hệ thống đủ phức tạp để đảm bảo một mô tả cấp hệ thống con của TSF ngoài việc mô tả mô đun, mục tiêu của mô tả cấp hệ thống con là để cung cấp cho người đánh giá ngữ cảnh của việc mô tả mô đun tiếp theo. Do đó, người đánh giá đảm bảo rằng mô tả cấp hệ thống con chứa một mô tả cách mà các yêu cầu chức an toàn đạt được trong thiết kế, nhưng ở một mức độ trừu tượng ở trên mô tả mô đun. Mô tả này nên thảo luận các cơ chế sử dụng ở một mức độ được liên kết với mô tả mô đun; điều này sẽ cung cấp cho người đánh giá lộ trình ánh xạ được yêu cầu để đánh giá một cách thông minh các thông tin chứa trong mô tả mô đun. Một tập các mô tả hệ thống con bằng văn bản một cách đầy đủ sẽ giúp hướng dẫn người đánh giá trong việc xác định các mô đun quan trọng nhất để thẩm tra, do đó tập trung vào đánh giá hoạt động trên các phần của TSF mà phù hợp nhất với việc thực thi của các SFR.

Người đánh giá đảm bảo rằng tất cả các hệ thống con của TSF có một mô tả. Trong khi mô tả nên tập trung về vai trò mà hệ thống con trong thực thi hoặc hỗ trợ triển khai các SFR, đầy đủ thông tin phải hiện thị sao cho một bối cảnh cho sự hiểu biết các chức năng liên quan SFR được tạo ra.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.4.5C: Bản thiết kế cần tạo ra mô tả cho các tương tác của mọi hệ thống con của TSF.

10.8.4.4.7 Đơn vị công việc ADV_TDS.4-7

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng sự tương tác giữa các hệ thống con của TSF được mô tả.

...

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.4.6C: Bản thiết kế cần tạo ra ánh xạ từ các hệ thống con của TSF đến các mô đun của TSF.

10.8.4.4.8 Đơn vị công việc ADV_TDS.4-8

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng ánh xạ giữa các hệ thống con của TSF và các mô đun của TSF là đầy đủ.

Nếu thiết kế được trình bày chỉ trong các thuật ngữ của các mô đun, khi đó đơn vị công việc này sẽ được xem là thỏa mãn.

10.8.4.4.9 Đơn vị công việc ADV_TDS.4-9

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng ánh xạ giữa các hệ thống con của TSF và các mô đun của TSF là chính xác.

...

TCVN 8709-3 (ISO/IEC 15408-3) ADV.TDS.4.7C: Bản thiết kế cần mô tả mỗi mô đun thực thi SFR và hỗ trợ SFR với mục đích và tương tác của chúng với các mô đun khác.

10.8.4.4.10 Đơn vị công việc ADV_TDS.4-10

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng các mô tả về mục đích của mỗi mô đun thực thi SFR và hỗ trợ SFR là đầy đủ và chính xác.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.4.8C: Bản thiết kế cần mô tả mỗi mô đun thực thi SFR với các giao diện liên quan SFR của chúng, cho lại các giá trị từ các giao diện này, tương tác với và gọi các giao diện tới các mô đun khác.

10.8.4.4.11 Đơn vị công việc ADV_TDS.4-11

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng các mô tả về giao diện được trình bày bởi mỗi mô đun thực thi SFR và hỗ trợ SFR chứa mô tả chính xác và đầy đủ các thông số liên quan SFR, các quy ước gọi đến đối với mỗi giao diện và bất kỳ giá trị nào trả lại trực tiếp từ các giao diện.

...

Các giao diện liên quan SFR được mô tả trong thuật ngữ theo cách chúng được gọi đến và bất kỳ các giá trị được trả về. Mô tả này sẽ bao gồm một danh sách các thông số và các mô tả của các tham số này. Lưu ý rằng dữ liệu toàn cục cũng sẽ được xem là các thông số nếu được sử dụng bởi mô đun (hoặc là các đầu vào hoặc là các đầu ra) khi được gọi đến. Nếu một tham số được dự kiến sẽ đưa vào một tập các giá trị (ví dụ, một tham số "cờ"), thiết lập đầy đủ của giá trị các tham số có thể đưa vào đó sẽ có một tác động vào việc xử lý mô đun sẽ được xác định. Tương tự như vậy, các thông số đại diện cho cấu trúc dữ liệu được mô tả như các trường của cấu trúc dữ liệu được xác định và mô tả. Lưu ý rằng các ngôn ngữ lập trình khác nhau có thể có thêm "các giao diện" không rõ ràng, ví dụ như nhà điều hành/chức năng quá tải trong C++. "Giao diện không rõ ràng" này trong các lớp mô tả cũng có thể được mô tả như là một phần của thiết kế TOE ở mức độ thấp. Lưu ý rằng mặc dù một mô đun chỉ có thể trình bày một giao diện, thông thường thì một mô đun trình bày một tập con các giao diện liên quan.

Trong thuật ngữ vầ đánh giá các thông số (các đầu vào và các đầu ra) của một mô đun, sử dụng bất kỳ dữ liệu toàn cục nào cũng phải được cân nhắc. Một mô đun "sử dụng" dữ liệu toàn cục nếu nó hoặc là đọc hoặc là ghi dữ liệu. Để đảm bảo sự mô tả các thông số như vậy (nếu sử dụng) là đầy đủ, người đánh giá sử dụng các thông tin khác được cung cấp về mô đun trong thiết kế TOE (các giao diện, thuật toán mô tả, v.v...), cũng như mô tả về tập hợp đặc biệt của dữ liệu toàn cục đã đánh giá trong đơn vị công việc ADV_TDS.4-10. Ví dụ, người đánh giá có thể đầu tiên xác định việc xử lý các mô đun thực hiện bằng cách kiểm tra chức năng và giao diện sẵn có (đặc biệt là các thông số của các giao diện). Sau đó họ có thể kiểm tra để xem xét nếu các quá trình xử lý "chạm" đến bất kỳ khu vực dữ liệu toàn cục được xác định trong thiết kế TOE. Người đánh giá sau đó xác định rằng, đối với mỗi khu vực dữ liệu toàn cục bị "chạm", khu vực dữ liệu toàn cục đó được liệt kê như là đầu vào hay đầu ra của mô đun mà người đánh giá thẩm tra.

Giá trị trả về thông qua giao diện liên quan đến các giá trị mà hoặc là thông qua các thông số hoặc là các thông báo; giá trị mà các chức năng truy xuất tự nó trả về trong kiểu của một truy xuất chức năng lập trình "C" hoặc giá trị được truyền thông qua phương thức toàn cục (chẳng hạn như các tuyến lỗi cụ thể trong các hệ điều hành kiểu *ix).

Để đảm bảo các mô tả là đầy đủ, người đánh giá sử dụng thông tin khác được cung cấp bởi mô đun trong thiết kế TOE (ví dụ, thuật toán mô tả, dữ liệu toàn cục được sử dụng) để đảm bảo rằng tất cả dữ liệu được yêu cầu để thực hiện các chức năng của mô đun đã sẵn có cho các mô đun và rằng bất kỳ giá trị mà các mô đun khác kỳ vọng việc thẩm tra mô đun để cung cấp được xác định như được phản hồi bởi các mô đun. Người đánh giá xác định độ chính xác để đảm bảo rằng mô tả của các xử lý phù hợp với thông tin được liệt kê như được truyền đến hoặc đi từ một giao diện.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.4.9C: Bản thiết kế cần mô tả mỗi mô đun không can thiệp SFR với mục đích và tương tác của chúng với các mô đun khác.

10.8.4.4.12 Đơn vị công việc ADV_TDS.4-12

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mô đun không can thiệp SFR được phân loại chính xác.

...

Một ví dụ khác là nơi mà người đánh giá kiểm tra các ánh xạ của các TSFI đến các mô đun như cung cấp bởi ADV_TDS.4.2D. Việc thẩm tra này cho thấy, Mô đun C được kết hợp với một SFR yêu cầu xác định của người sử dụng. Một lần nữa, khi người đánh giá thẩm tra thông tin liên quan đến Mô đun C, người đánh giá thấy rằng tất cả nhà phát triển đã cung cấp một mục đích và một tập hợp các tương tác (như vậy, Mô đun C phân loại không ngầm định như là không can thiệp FSR). Kiểm tra mục đích và tương tác được trình bày cho Mô đun C, người đánh giá không thể xác định lý do tại sao Mô đun C, được liệt kê như ánh xạ từ TSFI liên quan đến người sử dụng xác định, sẽ không được phân loại là thực thi SFR hoặc hỗ trợ SFR. Một lần nữa, người đánh giá cần tiếp cận nhà phát triển để giải quyết sự khác biệt này.

10.8.4.4.13 Đơn vị công việc ADV_TDS.4-13

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mô tả về mục đích của mỗi mô đun không can thiệp SFR là đầy đủ và chính xác.

Vì các mô đun ở mức độ thấp như vậy, rất khó có thể xác định tính hoàn thiệt và chính xác tác động từ tài liệu khác, chẳng hạn như tài liệu hướng dẫn người sử dụng vận hành, đặc tả chức năng, mô tả kiến trúc an toàn, các tính chất TSF. Tuy nhiên, người đánh giá sử dụng các thông tin tạo ra trong các tài liệu thuộc phạm vi có thể giúp để đảm bảo rằng chức năng được mô tả đầy đủ và chính xác. Phân tích này có thể được hỗ trợ bởi các phân tích đã thực hiện cho các đơn vị công việc đối với phần tử ADV_TDS.4.10C, mà các ánh xạ TSFI trong đặc tả chức năng đến các mô đun của TSF.

10.8.4.4.14 Đơn vị công việc ADV_TDS.4-14

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng mô tả tương tác của mô đun không can thiệp SFR với các mô đun khác là đầy đủ và chính xác.

...

Tương tác của một mô đun với các mô đun khác vượt ra ngoài tài liệu kiểu cây truy xuất. Sự tương tác được mô tả từ góc độ chức năng lý do tại sao một mô đun tương tác với các mô đun khác. Các mục đích của mô đun mô tả những chức năng của mô đun cung cấp cho các mô đun, sự tương tác nên mô tả những gì các mô đun phụ thuộc vào các mô đun trong để thực hiện chức năng này.

TCVN 8709-3 (ISO/IEC 15408-3) ADV_TDS.4.10C: Bản thiết kế cần biểu thị rằng mọi hoạt động mô tả trong thiết kế TOE được ánh xạ vào trong các TSFI thực thi chúng.

10.8.4.4.15 Đơn vị công việc ADV_TDS.4-15

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng nó có chứa đầy đủ và chính xác ánh xạ từ TSFI được mô tả trong các đặc tả chức năng cho các mô đun của TSF đã mô tả trong thiết kế TOE.

Các mô đun được mô tả trong thiết kế TOE cung cấp mô tả về triển khai TSF. Các TSFI cung cấp một mô tả làm thế nào các thực hiện được thực hiện. Các bằng chứng từ nhà phát triển xác định các mô đun ban đầu được gọi khi một hoạt động được yêu cầu tại các TSFI và xác định các chuỗi các mô đun gọi lên đến các mô đun đó chủ yếu chịu trách nhiệm cho việc thực hiện các chức năng. Tuy nhiên, một cây truy xuất đầy đủ cho mỗi TSFI là không được yêu cầu cho đơn vị công việc này. Các trường hợp trong đó nhiều hơn một mô đun sẽ được xác định là nơi có mô đun "điểm đưa vào" hoặc các mô đun trình bao bọc mà không có chức năng khác ngoài điều kiện đầu vào hoặc giải ghép kênh đầu vào. Ánh xạ là một trong các mô đun cung cấp bất kỳ thông tin hữu ích cho người đánh giá.

Người đánh giá đánh giá tính hoàn thiện của ánh xạ bằng cách đảm bảo rằng tất cả các ánh xạ TSFI ít nhất một mô đun. Các xác minh độ chính xác có nhiều phức tạp.

Khía cạnh đầu tiên của độ chính xác là mỗi TSFI được ánh xạ tới một mô đun ở ranh giới TSF. Quyết định này có thể được thực hiện bằng cách xem xét việc mô tả mô đun và các giao diện/tương tác của nó. Các khía cạnh tiếp theo của độ chính xác là mỗi TSFI xác định một chuỗi các mô đun giữa mô đun ban đầu được xác định và một mô đun chịu trách nhiệm chính cho việc thực hiện chức năng sẵn có tại TSF. Lưu ý rằng đây có thể là mô đun ban đầu hoặc có thể là một số mô đun, tùy thuộc vào số lượng điều kiện đầu của đầu vào được thực hiện. Cần lưu ý rằng một trong những chỉ thị mô đun điều kiện đầu viện dẫn tới một số lượng lớn TSFI, nơi TSFI là cùng loại (ví dụ, truy xuất hệ thống). Khía cạnh cuối cùng của độ chính xác là ánh xạ có nghĩa. Ví dụ, ánh xạ việc xử lý TSFI với kiểm soát truy nhập tới một mô đun để kiểm tra mật khẩu là không chính xác. Người đánh giá nên một lần nữa sử dụng sự phán xét trong việc tạo ra quyết định này. Mục tiêu của thông tin này là hỗ trợ người đánh giá hiểu biết về hệ thống và triển khai các SFR và cách thức mà các thực thể tại ranh giới TSF có thể tương tác với các TSF. Phần lớn đánh giá liệu các SFR có được mô tả chính xác bởi các mô đun được thực hiện trong đơn vị công việc khác không.

10.8.4.5 Hành động ADV_TDS.4.2E

...

Ví dụ, thành phần kiểm soát truy nhập tập con FDP_ACC.1 chứa một phần tử với các chỉ định. Ví dụ, nếu ST chứa mười quy tắc trong chỉ định kiểm soát truy nhập tập hợp con FDP_ACC.1 và mười quy tắc này được triển khai ở những vị trí xác định trong mười lăm mô đun, nó sẽ không thích hợp cho người đánh giá ánh xạ điều khiển truy nhập tập con FDP_ACC.1 tới một hệ thống con và yêu cầu các đơn vị công việc được hoàn thành. Thay vào đó, người đánh giá sẽ ánh xạ điều khiển truy nhập tập con FDP_ACC.1 (quy tắc 1) đến các mô đun x, y và z của hệ thống con A; điều khiển truy nhập tập con FDP_ACC.1 (quy tắc 2) đến các mô đun x, p và q của hệ thống con A.v.v...

10.8.4.5.2 Đơn vị công việc ADV_TDS.4-17

Người đánh giá cần thẩm tra thiết kế TOE để xác định rằng nó là một cài đặt chính xác của tất cả các yêu cầu chức năng an toàn.

10.8.5 Đánh giá hoạt động con (ADV_TDS.5)

...

10.8.6 Đánh giá hoạt động con (ADV_TDS.6)

Không có hướng dẫn chung; Nên tư vấn lược đồ để hướng dẫn hoạt động con này.

11 Lớp AGD: Tài liệu hướng dẫn

11.1 Giới thiệu

Mục đích của hoạt động tài liệu hướng dẫn là để đánh giá tính đầy đủ của các tài liệu mô tả cách người sử dụng có thể xử lý các TOE một cách an toàn. Tài liệu hướng dẫn cần phân loại tài khoản theo các kiểu người sử dụng khác nhau (ví dụ như những người chấp nhận, cài đặt, quản trị hoặc vận hành TOE) mà các hành động không chính xác có thể ảnh hưởng xấu đến an toàn của TOE hoặc dữ liệu của nó.

Lớp tài liệu hướng dẫn được chia thành hai họ, họ thứ nhất đề cập tới hướng dẫn người dùng chuẩn bị (tất cả các công việc đã được thực hiện để chuyển đổi TOE được giao vào cấu hình đánh giá trong môi trường như được mô tả trong ST, nghĩa là là chấp nhận và cài đặt TOE) và họ thứ hai đề cập tới hướng dẫn người sử dụng vận hành (tất cả các công việc đã được thực hiện trong quá trình vận hành TOE trong cấu hình đánh giá của nó, nghĩa là vận hành và quản trị).

11.2 Lưu ý áp dụng

Hoạt động tài liệu hướng dẫn áp dụng cho các chức năng và giao diện có liên quan đến sự an toàn của TOE. Cấu hình an toàn của TOE được mô tả trong ST.

11.3 Hướng dẫn sử dụng vận hành (AGD_OPE)

...

11.3.1.1 Mục tiêu

Mục tiêu của hoạt động con này là để xác định xem liệu hướng dẫn sử dụng có mô tả với từng vai trò người dùng các chức năng an toàn và giao diện được cung cấp bởi TSF, cung cấp chỉ dẫn và hướng dẫn sử dụng an toàn TOE, giải quyết các thủ tục an toàn cho tất cả các chế độ hoạt động, tạo điều kiện cho việc phòng chống và phát hiện các trạng thái không an toàn của TOE hoặc hướng dẫn sử dụng này có chỉ lỗi sai hoặc không hợp lý không.

11.3.1.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) đặc tả chức năng;

c) thiết kế TOE, nếu áp dụng;

d) hướng dẫn người sử dụng.

11.3.1.3 Hành động AGD_OPE.1.1E

...

11.3.1.3.1 Đơn vị công việc AGD_OPE.1-1

Người đánh giá cần xem xét các hướng dẫn người dùng vận hành để xác định rằng nó mô tả với từng vai trò người dùng, các chức năng có thể truy nhập người dùng và các đặc quyền đó phải được kiểm soát trong một môi trường xử lý an toàn, bao gồm cả cảnh báo thích hợp.

Cấu hình của TOE có thể cho phép các vai trò người dùng khác nhau có các đặc quyền khác nhau trong việc sử dụng các chức năng khác nhau của TOE. Điều này có nghĩa rằng một số người dùng được cấp quyền thực hiện các chức năng nhất định, trong khi những người dùng khác không được cấp quyền thì không thực hiện được. Các chức năng và đặc quyền này nên được mô tả với từng vai trò người dùng bởi tài liệu hướng dẫn người dùng.

Tài liệu hướng dẫn người dùng xác định với từng vai trò người dùng, các chức năng và đặc quyền phải được kiểm soát, các loại lệnh cần thiết và các lý do của các lệnh đó. Tài liệu hướng dẫn người dùng nên có cảnh báo về việc sử dụng các chức năng và đặc quyền này. Các cảnh báo cần đưa ra các ảnh hưởng dự kiến, tác động phụ có thể có và các tương tác có thể với các chức năng và đặc quyền khác.

TCVN 8709-3 (ISO/IEC 15408-3) AGD_OPE.1.2C: Tài liệu hướng dẫn người dùng vận hành cần mô tả với từng vai trò người dùng, cách thức sử dụng các giao diện có sẵn được cung cấp bởi TOE một cách an toàn.

11.3.1.3.2 Đơn vị công việc AGD_OPE.1-2

Người đánh giá cần kiểm tra hướng dẫn người dùng vận hành để xác định rằng nó mô tả với từng vai trò người dùng, việc sử dụng an toàn giao diện có sẵn được cung cấp bởi TOE.

Tài liệu hướng dẫn người dùng nên cung cấp lời khuyên về sử dụng hiệu quả TSF (ví dụ như xem xét lại thực hành tạo mật khẩu, tần suất người dùng sao lưu tập tin, thảo luận về các tác động của việc thay đổi đặc quyền truy nhập người dùng).

TCVN 8709-3 (ISO/IEC 15408-3) AGD_OPE.1.3C: Tài liệu hướng dẫn người dùng vận hành cần mô tả với từng vai trò người dùng, các chức năng có sẵn và các giao diện, đặc biệt là tất cả các tham số an toàn dưới sự kiểm soát của người dùng, chỉ ra các giá trị an toàn thích hợp.

...

Người đánh giá cần kiểm tra tài liệu hướng dẫn người dùng vận hành để xác định rằng nó mô tả với từng vai trò người dùng, chức năng an toàn có sẵn và giao diện, đặc biệt là tất cả thông số an toàn dưới quyền kiểm soát của người dùng, chỉ ra các giá trị an toàn thích hợp.

Tài liệu hướng dẫn người dùng nên có một cái nhìn tổng quan về chức năng an toàn có thể nhìn thấy được ở giao diện người dùng.

Tài liệu hướng dẫn người dùng nên xác định và mô tả mục đích, cơ chế và mối quan hệ của các giao diện và chức năng an toàn.

Với mỗi giao diện người dùng có thể truy nhập, tài liệu hướng dẫn người dùng cần:

a) mô tả các phương pháp bằng cách đó các giao diện được gọi (ví dụ như dòng lệnh, truy xuất hệ thống ngôn ngữ lập trình, lựa chọn menu, nút lệnh);

b) mô tả các thông số được thiết lập bởi người dùng, mục đích cụ thể của chúng, các giá trị hợp lệ và mặc định và các thiết lập sử dụng an toàn và không an toàn của các thông số đó, cả riêng rẽ hoặc kết hợp;

c) mô tả các đáp ứng TSF tức thì, bản tin hoặc mã được trả về.

Người đánh giá cần xem xét đặc tả chức năng và ST để xác định rằng các TSF được mô tả trong các tài liệu này nhất quán với hướng dẫn người dùng vận hành. Người đánh giá phải đảm bảo rằng các hướng dẫn người dùng vận hành là đầy đủ để cho phép sử dụng an toàn thông qua TSFI có sẵn cho tất cả các loại người dùng. Người đánh giá có thể, như một hỗ trợ, chuẩn bị một ánh xạ không chính thức giữa các hướng dẫn và các tài liệu này. Bất kỳ thiếu sót nào trong việc ánh xạ này có thể chỉ ra sự thiếu hoàn chỉnh.

TCVN 8709-3 (ISO/IEC 15408-3) AGD_OPE.1.4C: Tài liệu hướng dẫn người dùng vận hành với từng vai trò người dùng, cần trình bày rõ ràng từng loại sự kiện an toàn thích hợp liên quan với các chức năng người dùng có thể truy nhập cần được thực hiện, bao gồm cả việc thay đổi các đặc tính an toàn của các thực thể chịu sự kiểm soát của TSF.

...

Người đánh giá cần kiểm tra hướng dẫn người dùng vận hành để xác định rằng nó mô tả, với từng vai trò người dùng, từng loại sự kiện an toàn thích hợp liên quan đến các chức năng người dùng cần phải được thực hiện, bao gồm cả việc thay đổi các tính chất an toàn của các thực thể chịu sự kiểm soát của TSF và vận hành thất bại hoặc lỗi vận hành.

Tất cả các loại sự kiện an toàn có liên quan được trình bày chi tiết với từng vai trò người dùng, chẳng hạn mỗi người dùng biết những sự kiện gì có thể xảy ra và những hành động (nếu có), có thể duy trì sự an toàn. Các sự kiện an toàn có liên quan có thể xảy ra trong quá trình vận hành của TOE (ví dụ như tràn kiểm tra, sập hệ thống, cập nhật hồ sơ cho người sử dụng, chẳng hạn như hủy một tài khoản người dùng khi người dùng rời khỏi tổ chức) được định nghĩa đầy đủ để cho phép người dùng can thiệp để duy trì hoạt động an toàn.

TCVN 8709-3 (ISO/IEC 15408-3) AGD_OPE.1.5C: Tài liệu hướng dẫn người dùng vận hành cần xác định tất cả các chế độ hoạt động có thể của TOE (bao gồm hoạt động sau lỗi và lỗi vận hành), hậu quả và tác động của của chúng đối với việc duy trì vận hành an toàn.

11.3.1.3.5 Đơn vị công việc AGD_OPE.1-5

Người đánh giá cần kiểm tra hướng dẫn người dùng vận hành và các bằng chứng đánh giá khác để xác định rằng hướng dẫn xác định tất cả các chế độ hoạt động có thể của TOE (bao gồm nếu áp dụng, hoạt động sau khi thất bại hoặc lỗi hoạt động), hậu quả và những tác động của chúng đối với việc duy trì hoạt động an toàn.

Bằng chứng đánh giá khác, đặc biệt là các đặc tả chức năng, cung cấp một nguồn thông tin mà người đánh giá cần sử dụng để xác định các hướng dẫn có chứa thông tin hướng dẫn đầy đủ.

Nếu tài liệu kiểm thử bao gồm trong các gói bảo đảm, thì thông tin được cung cấp trong bằng chứng này cũng có thể được sử dụng để xác định rằng các hướng dẫn có chứa tài liệu hướng dẫn đầy đủ. Thông tin chi tiết được cung cấp trong các bước kiểm tra có thể được sử dụng để xác nhận rằng các hướng dẫn được cung cấp là đủ cho việc sử dụng và quản trị TOE.

Người đánh giá cần tập trung vào một TSFI có thể nhìn thấy duy nhất tại một thời điểm, so sánh các hướng dẫn an toàn sử dụng TSFI với bằng chứng đánh giá khác để xác định rằng hướng dẫn liên quan đến TSFI là đủ cho việc sử dụng an toàn (tức là nhất quán với các SFR) của TSFI đó. Người đánh giá cũng nên xem xét các mối quan hệ giữa các giao diện, tìm kiếm xung đột tiềm ẩn.

TCVN 8709-3 (ISO/IEC 15408-3) AGD_OPE.1.6C: Tài liệu hướng dẫn người dùng vận hành với từng vai trò người dùng, cần mô tả các biện pháp an toàn kèm theo để thực hiện các mục tiêu an toàn đối với môi trường vận hành như đã mô tả trong ST.

...

Người đánh giá cần kiểm tra hướng dẫn người dùng vận hành để xác định rằng nó mô tả, với từng vai trò người dùng, các biện pháp an toàn kèm theo để thực hiện các mục tiêu an toàn cho môi trường vận hành như được mô tả trong ST.

Người đánh giá phân tích các mục tiêu an toàn cho các môi trường vận hành trong ST và xác định rằng với từng vai trò người dùng, các biện pháp an toàn liên quan được mô tả một cách thích hợp trong hướng dẫn người dùng.

Các biện pháp an toàn được mô tả trong hướng dẫn người dùng cần bao gồm tất cả các biện pháp về thủ tục, vật lý, nhân sự và kết nối bên ngoài có liên quan.

Lưu ý rằng các biện pháp liên quan để cài đặt an toàn của TOE được kiểm tra trong các thủ tục chuẩn bị (AGD_PRE).

TCVN 8709-3 (ISO/IEC 15408-3) AGD_OPE.1.7C: Tài liệu hướng dẫn người dùng vận hành phải rõ ràng và hợp lý.

11.3.1.3.7 Đơn vị công việc AGD_OPE.1-7

Người đánh giá cần kiểm tra hướng dẫn người dùng vận hành để xác định rằng nó là rõ ràng.

Tài liệu hướng dẫn không rõ ràng nếu nó có thể tạo ra sự hiểu nhầm cho người quản trị hoặc người dùng và được sử dụng một cách bất lợi cho TOE hoặc đến an toàn cung cấp bởi TOE.

11.3.1.3.8 Đơn vị công việc AGD_OPE.1-8

...

Tài liệu hướng dẫn là không hợp lý nếu nó tạo ra nhu cầu sử dụng TOE hoặc môi trường vận hành không nhất quán với ST hoặc vượt quá mức lựa chọn hợp lý để duy trì an toàn.

11.4 Các thủ tục chuẩn bị (AGD_PRE)

11.4.1 Đánh giá hoạt động con (AGD_PRE.1)

11.4.1.1 Mục tiêu

Mục tiêu của hoạt động con này là để xác định xem liệu các thủ tục và các bước chuẩn bị an toàn của TOE đã được tài liệu hóa và kết quả trong một cấu hình an toàn.

11.4.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) TOE bao gồm cả các thủ tục chuẩn bị của nó;

...

11.4.1.3 Lưu ý áp dụng

Các thủ tục chuẩn bị đề cập đến tất cả các thủ tục chấp thuận và cài đặt cần thiết cho việc cải tiến TOE theo cấu hình an toàn được mô tả trong ST.

11.4.1.4 Hành động AGD_PRE.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) AGD_PRE.1.1C: Các thủ tục chuẩn bị cần mô tả tất cả các bước cần thiết để chấp thuận an toàn của TOE đã chuyển giao phù hợp với các thủ tục chuyển giao của nhà phát triển.

11.4.1.4.1 Đơn vị công việc AGD_PRE.1-1

Người đánh giá cần kiểm tra các thủ tục chấp thuận được cung cấp để xác định rằng chúng mô tả các bước cần thiết về chấp thuận an toàn của TOE phù hợp với các thủ tục chuyển giao của nhà phát triển. Nếu không được dự đoán các thủ tục chuyển giao bởi nhà phát triển rằng các thủ tục chấp thuận sẽ hoặc có thể được áp dụng thì đơn vị công việc này là không áp dụng và do đó được xem là thỏa mãn. Các thủ tục chấp thuận nên bao gồm tối thiểu các công việc mà người dùng phải kiểm tra xem tất cả các phần của TOE được chỉ ra trong ST đã được chuyển giao đúng phiên bản.

Các thủ tục chấp thuận cần phản ánh các bước mà người dùng phải thực hiện để chấp nhận TOE được giao bao hàm bởi các thủ tục chuyển giao của nhà phát triển.

Các thủ tục chấp thuận cần cung cấp thông tin chi tiết về những điều sau, nếu được áp dụng:

a) đảm bảo rằng TOE được giao là một đánh giá đầy đủ;

...

TCVN 8709-3 (ISO/IEC 15408-3) AGD_PRE.1.2C: Các thủ tục chuẩn bị cần mô tả mọi bước cần thiết cho cài đặt an toàn TOE và chuẩn bị an toàn môi trường vận hành phù hợp với các mục tiêu an toàn cho môi trường vận hành đã mô tả trong ST.

11.4.1.4.2 Đơn vị công việc AGD_PRE.1-2

Người đánh giá cần kiểm tra các các thủ tục cài đặt được cung cấp để xác định rằng chúng mô tả các bước cần thiết để cài đặt an toàn của TOE và việc chuẩn bị an toàn của môi trường vận hành phù hợp với các mục tiêu an toàn trong ST.

Nếu không dự đoán được các thủ tục cài đặt sẽ hoặc có thể được áp dụng cho TOE và môi trường vận hành (ví dụ: Do TOE có thể đã được chuyển giao trong một trạng thái vận hành và không có các yêu cầu về môi trường) đơn vị công việc này không được áp dụng và do đó được xem là thỏa mãn.

Nếu không dự đoán được các thủ tục cài đặt sẽ hoặc có thể được áp dụng (ví dụ: Do TOE có thể đã được chuyển giao ở trạng thái vận hành), đơn vị công việc này không được áp dụng và do đó được xem là thỏa mãn.

Các thủ tục cài đặt nên cung cấp thông tin chi tiết về những điều sau, nếu được áp dụng:

a) các yêu cầu hệ thống tối thiểu để cài đặt an toàn;

b) các yêu cầu về môi trường vận hành phù hợp với các mục tiêu an toàn được cung cấp bởi ST;

c) các bước người dùng phải thực hiện để có được một TOE vận hành phù hợp với cấu hình đánh giá của nó. Một mô tả như vậy phải bao gồm - cho mỗi bước - một lược đồ rõ ràng cho các quyết định về các bước tiếp theo phụ thuộc vào sự thành công, thất bại hoặc các vấn đề ở bước hiện tại;

...

e) xử lý các ngoại lệ và vấn đề.

11.4.1.5 Hành động AGD_PRE.1.2E

11.4.1.5.1 Đơn vị công việc AGD_PRE.1-3

Người đánh giá cần thực hiện tất cả các thủ tục người dùng cần thiết để chuẩn bị cho TOE nhằm xác định rằng TOE và môi trường vận hành của nó có thể được chuẩn bị một cách an toàn chỉ bằng cách sử dụng hướng dẫn người dùng chuẩn bị đã được cung cấp.

Việc chuẩn bị đòi hỏi người đánh giá cải tiến TOE từ trạng thái có thể chuyển giao sang trạng thái vận hành, bao gồm cả sự chấp nhận và cài đặt TOE, và thực thi các SFR nhất quán với các mục tiêu an toàn cho TOE được quy định tại ST.

Người đánh giá chỉ nên làm theo các thủ tục của nhà phát triển và có thể thực hiện các hành động mà các khách hàng thường phải thực hiện để chấp nhận và cài đặt TOE, chỉ sử dụng tài liệu hướng dẫn chuẩn bị được cung cấp. Bất kỳ khó khăn gặp phải trong quá trình thực hiện có thể chỉ ra hướng dẫn sử dụng không đầy đủ, không rõ ràng hoặc không hợp lý.

Đơn vị làm việc này có thể được thực hiện kết hợp với các hoạt động đánh giá theo thử nghiệm độc lập (ATE_IND).

Nếu biết rằng TOE sẽ được sử dụng như một thành phần phụ thuộc cho một đánh giá TOE đề xuất thì người đánh giá cần đảm bảo rằng môi trường vận hành được thỏa mãn bởi các thành phần cơ sở được sử dụng trong TOE đề xuất.

12 Lớp ALC: Hỗ trợ vòng đời

...

Mục đích của hoạt động hỗ trợ vòng đời là để xác định sự phù hợp của các thủ tục an toàn mà nhà phát triển sử dụng trong quá trình phát triển và bảo trì của TOE. Các thủ tục này bao gồm các mô hình vòng đời được sử dụng bởi nhà phát triển, quản lý cấu hình, các biện pháp an toàn được sử dụng trong suốt quá trình phát triển TOE, các công cụ được sử dụng bởi nhà phát triển trong suốt vòng đời của TOE, các xử lý lỗ hổng an toàn và hoạt động chuyển giao.

Kiểm soát kém việc phát triển và bảo trì của TOE có thể dẫn đến các điểm yếu trong triển khai thực hiện. Sự phù hợp với một mô hình vòng đời được xác định có thể giúp để cải thiện kiểm soát trong lĩnh vực này. Một mô hình vòng đời có khả năng thành công được sử dụng cho TOE có thể mang đến sự tường minh trong việc đánh giá tiến độ phát triển của TOE.

Mục đích của hoạt động quản lý cấu hình là để hỗ trợ khách hàng trong việc xác định TOE được đánh giá, để đảm bảo rằng khoản mục cấu hình được xác định duy nhất và đầy đủ các thủ tục được sử dụng bởi nhà phát triển để kiểm soát và theo dõi các thay đổi được thực hiện cho TOE. Điều này bao gồm chi tiết về những thay đổi được theo dõi, cách thức các thay đổi tiềm năng được áp dụng và mức độ tự động hóa được sử dụng để giảm phạm vi lỗi.

Các thủ tục an toàn phát triển dự định để bảo vệ TOE và các thông tin thiết kế liên quan của nó khỏi sự can thiệp hoặc tiết lộ. Can thiệp vào quá trình phát triển có thể cho phép tạo ra các điểm yếu có chủ định. Tiết lộ thông tin thiết kế có thể cho phép khai thác các điểm yếu dễ dàng hơn. Tính đầy đủ của các thủ tục sẽ phụ thuộc vào bản chất của TOE và sự phát triển quá trình.

Việc sử dụng các công cụ phát triển được xác định và áp dụng các tiêu chuẩn thực hiện bởi nhà phát triển và bởi các bên thứ ba tham gia vào quá trình phát triển giúp đảm bảo rằng các điểm yếu không phát sinh trong quá trình bổ sung chi tiết.

Hoạt động khắc phục thiếu sót được dự kiến để theo dõi các thiếu sót an toàn, để xác định các hành động khắc phục và phân phối các thông tin hành động khắc phục đến người dùng TOE.

Mục đích của hoạt động chuyển giao là để đánh giá mức độ đầy đủ về tài liệu của các thủ tục được sử dụng để đảm bảo rằng TOE được chuyển giao cho khách hàng mà không sửa đổi.

12.2 Năng lực CM (ALC_CMC)

12.2.1 Đánh giá hoạt động con (ALC_CMC.1)

...

Mục tiêu của hoạt động con này là để xác định xem liệu nhà phát triển đã định nghĩa rõ ràng TOE hay không.

12.2.1.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) TOE thích hợp để thử nghiệm.

12.2.1.3 Hành động ALC_CMC.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.1.1C: TOE cần được gán nhãn với tham chiếu duy nhất của nó.

12.2.1.3.1 Đơn vị công việc ALC_CMC.1-1

Người đánh giá cần kiểm tra TOE được cung cấp để đánh giá phải được dán nhãn tham chiếu của nó.

...

Ngoài ra, các tham chiếu duy nhất được cung cấp cho TOE có thể là sự kết hợp của các tham chiếu duy nhất của mỗi thành phần mà từ đó TOE được tạo nên (ví dụ như trong trường hợp của một TOE tổng hợp).

12.2.1.3.2 Đơn vị công việc ALC_CMC.1-2

Người đánh giá cần kiểm tra xem tài liệu tham chiếu TOE được sử dụng là nhất quán.

Nếu TOE được dán nhiều hơn một nhãn thì các nhãn này phải là nhất quán. Ví dụ, chúng ta có thể dán nhãn tài liệu hướng dẫn được cung cấp như là một phần của TOE đã được đánh giá. Điều này đảm bảo người tiêu dùng có thể tự tin rằng họ đã mua phiên bản TOE đã được đánh giá và đã cài đặt phiên bản này và có phiên bản hướng dẫn chính xác để vận hành TOE phù hợp với ST.

Người đánh giá cũng xác nhận rằng tài liệu tham chiếu TOE nhất quán với ST.

Nếu đơn vị công việc này được áp dụng cho một TOE tổng hợp, các điều sau đây sẽ được áp dụng. Các TOE công nghệ thông tin kết hợp sẽ không được dán nhãn với tham chiếu duy nhất, mà chỉ các thành phần riêng sẽ được dán nhãn với tham chiếu TOE thích hợp. Cần có các phát triển tiếp theo cho TOE công nghệ thông tin được dán nhãn, ví dụ quá trình khởi động và/hoặc vận hành, với tham chiếu tổng hợp. Nếu TOE tổng hợp được chuyển giao như các TOE thành phần cấu thành, thì các khoản mục TOE chuyển giao sẽ không chứa các tham chiếu tổng hợp. Tuy nhiên, TOE ST kết hợp sẽ bao gồm các tham chiếu duy nhất cho TOE tổng hợp và sẽ nhận dạng các thành phần bao gồm của TOE tổng hợp mà qua đó khách hàng sẽ có thể xác định xem chúng có các khoản mục phù hợp.

12.2.2 Đánh giá hoạt động con (ALC_CMC.2)

12.2.2.1 Mục tiêu

...

12.2.2.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) TOE phù hợp để thử nghiệm;

c) tài liệu quản lý cấu hình.

12.2.2.3 Lưu ý áp dụng

Thành phần này chứa một hành động đánh giá tiềm ẩn để xác định rằng hệ thống CM đang được sử dụng. Khi các yêu cầu ở đây được giới hạn để nhận dạng TOE và cung cấp một danh sách cấu hình, thì hành động này đã bao gồm bởi bởi giới hạn và đơn vị công việc hiện tại. Ở đánh giá hoạt động con (ALC_CMC.3) các yêu cầu được mở rộng vượt ra ngoài hai khoản mục này và các bằng chứng rõ ràng hơn về hoạt động được yêu cầu.

12.2.2.4 Hành động ALC_CMC.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.2.1C: TOE cần được dán nhãn với tham chiếu duy nhất của nó.

...

Người đánh giá cần kiểm tra rằng TOE được cung cấp để đánh giá được dán nhãn với tham chiếu của nó.

Người đánh giá cần đảm bảo rằng TOE chứa các tham chiếu duy nhất được ghi trong ST. Điều này có thể đạt được thông qua dán nhãn bao bì hoặc phương tiện truyền thông hoặc bởi một nhãn hiển thị bởi TOE hoạt động. Điều này là để đảm bảo rằng nó có thể giúp cho khách hàng nhận dạng TOE (ví dụ tại điểm mua hàng hoặc sử dụng).

12.2.2.4.2 Đơn vị công việc ALC_CMC.2-2

Người đánh giá cần kiểm tra rằng tham chiếu TOE được sử dụng là nhất quán.

Người đánh giá cũng xác nhận rằng tham chiếu TOE nhất quán với ST.

...

12.2.2.4.3 Đơn vị công việc ALC_CMC.2-3

Người đánh giá cần xem xét các phương pháp nhận dạng các khoản mục cấu hình để xác định rằng nó mô tả cách các khoản mục cấu hình là nhận dạng duy nhất.

Các thủ tục cần mô tả cách thức có thể theo dõi được tình trạng của từng khoản mục cấu hình trong suốt vòng đời của TOE. Các thủ tục có thể được trình bày chi tiết trong kế hoạch CM hoặc trong các tài liệu CM. Các thông tin cần mô tả bao gồm:

a) phương pháp để từng khoản mục cấu hình được nhận dạng duy nhất, để có thể theo dõi các phiên bản của cùng một khoản mục cấu hình;

b) phương pháp để từng khoản mục cấu hình được gán nhận dạng duy nhất và cách thức cập nhập chúng vào hệ thống CM;

c) phương pháp được sử dụng để nhận dạng phiên bản thay thế của một khoản mục cấu hình.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.2.3C: Hệ thống CM cần nhận dạng một cách duy nhất tất cả các khoản mục cấu hình.

12.2.2.4.4 Đơn vị công việc ALC_CMC.2-4

Người đánh giá cần kiểm tra các khoản mục cấu hình để xác định rằng chúng được nhận dạng theo cách nhất quán với tài liệu CM.

...

12.2.3 Đánh giá hoạt động con (ALC_CMC.3)

12.2.3.1 Mục tiêu

Mục tiêu của hoạt động con này là để xác định xem liệu nhà phát triển sử dụng một hệ thống CM để nhận dạng duy nhất tất cả các khoản mục cấu hình và có khả năng để sửa đổi các khoản mục này được kiểm soát hợp lý hay không.

12.2.3.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) TOE phù hợp để thử nghiệm;

c) tài liệu quản lý cấu hình.

12.2.3.3 Hành động ALC_CMC.3.1E

...

12.2.3.3.1 Đơn vị công việc ALC_CMC.3-1

Người đánh giá cần kiểm tra rằng TOE được cung cấp để đánh giá được dán nhãn với tham chiếu của nó.

12.2.3.3.2 Đơn vị công việc ALC_CMC.3-2

Người đánh giá cần kiểm tra rằng tham chiếu TOE được sử dụng là nhất quán.

Người đánh giá cũng xác nhận rằng tham chiếu TOE nhất quán với ST.

...

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.2.2C: Tài liệu CM cần mô tả phương pháp được sử dụng để nhận dạng các khoản mục cấu hình một cách duy nhất.

12.2.3.3.3 Đơn vị công việc ALC_CMC.3-3

a) phương pháp để từng khoản mục cấu hình được nhận dạng duy nhất, để có thể theo dõi các phiên bản của cùng một khoản mục cấu hình;

b) phương pháp để từng khoản mục cấu hình được gán nhận bộ dạng duy nhất và cách thức cập nhập chúng vào hệ thống CM;

c) phương pháp được sử dụng để nhận dạng phiên bản thay thế của một khoản mục cấu hình.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.3.3C: Hệ thống CM cần nhận dạng tất cả các khoản mục cấu hình một cách duy nhất.

12.2.3.3.4 Đơn vị công việc ALC_CMC.3-4

...

Đảm bảo rằng hệ thống CM nhận dạng một cách duy nhất tất cả các khoản mục cấu hình đã đạt được bằng cách kiểm tra bộ nhận dạng cho các khoản mục cấu hình. Đối với cả hai khoản mục cấu hình bao gồm TOE và dự kiến các khoản mục cấu hình được đề xuất bởi nhà phát triển là bằng chứng đánh giá, Người đánh giá xác nhận rằng mỗi khoản mục cấu hình có một số hiệu nhận dạng duy nhất theo cách nhất quán với phương pháp nhận dạng duy nhất được mô tả trong tài liệu CM.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.3.4C: Hệ thống CM cần cung cấp các biện pháp như các thay đổi được cấp quyền được thực thi cho các khoản mục cấu hình.

12.2.3.3.5 Đơn vị công việc ALC_CMC.3-5

Người đánh giá cần kiểm tra các biện pháp kiểm soát truy nhập CM được mô tả trong các kế hoạch CM để xác định đúng là có hiệu quả trong việc ngăn ngừa truy nhập trái phép vào các khoản mục cấu hình.

Người đánh giá có thể sử dụng một số phương pháp để xác định rằng các biện pháp kiểm soát truy nhập CM là có hiệu quả. Ví dụ, người đánh giá có thể thực hiện các biện pháp kiểm soát truy nhập để đảm bảo rằng các thủ tục không thể được bỏ qua. Người đánh giá có thể sử dụng các kết quả đầu ra được tạo ra bởi các thủ tục hệ thống CM được yêu cầu bởi ALC_CMC.3.8C. Người đánh giá cũng có thể chứng kiến thực thi mô phỏng của hệ thống CM để đảm bảo rằng các biện pháp kiểm soát truy nhập được sử dụng đang hoạt động có hiệu quả.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.3.5C: Tài liệu CM cần bao gồm một kế hoạch CM.

12.2.3.3.6 Đơn vị công việc ALC_CMC.3-6

Người đánh giá cần kiểm tra rằng tài liệu CM được cung cấp bao gồm một kế hoạch CM.

Kế hoạch CM không phải là một tài liệu kết nối, nhưng nó được khuyến cáo là một tài liệu duy nhất mô tả nơi mà các phần khác nhau của kế hoạch CM có thể được tìm thấy. Nếu kế hoạch CM không phải tài liệu duy nhất, danh sách các đơn vị công việc sau đây đưa ra gợi ý về bối cảnh dự kiến.

...

12.2.3.3.7 Đơn vị công việc ALC_CMC.3-7

Người đánh giá cần xem xét kế hoạch CM để xác định rằng nó mô tả cách thức hệ thống CM được sử dụng để phát triển TOE.

Các mô tả có trong một kế hoạch CM bao gồm, nếu áp dụng:

a) tất cả các hoạt động thực hiện trong sự phát triển TOE là đối tượng của các thủ tục quản lý cấu hình (Ví dụ: tạo, chỉnh sửa hoặc xóa một khoản mục cấu hình, dữ liệu sao lưu, lưu trữ);

b) các phương tiện (ví dụ: công cụ CM, mẫu) có sẵn;

c) cách sử dụng các công cụ CM: các chi tiết cần thiết cho một người sử dụng hệ thống CM để có vận hành các công cụ CM một cách chính xác nhằm duy trì tính toàn vẹn của TOE;

d) các đối tượng khác (các thành phần phát triển, các công cụ, môi trường đánh giá, vv) được thực hiện dưới kiểm soát CM;

e) các vai trò và trách nhiệm của các cá nhân cần thiết để thực hiện vận hành các hạng mục cấu hình riêng (các vai trò khác nhau có thể được nhận dạng cho các loại khoản mục cấu hình khác nhau (ví dụ như thiết kế tài liệu hoặc mã nguồn));

f) các trường hợp CM (ví dụ như bảng kiểm soát thay đổi, giao diện kiểm soát làm việc nhóm) được cung cấp và nhân viên thực hiện;

...

h) các thủ tục được sử dụng để đảm bảo rằng chỉ có những người được cấp quyền có thể thực hiện thay đổi các khoản mục cấu hình;

i) các thủ tục được sử dụng để đảm bảo rằng các vấn đề không xảy ra đồng thời như là kết quả của việc thay đổi đồng thời các khoản mục cấu hình;

j) bằng chứng được tạo ra như là kết quả của việc áp dụng các thủ tục. Ví dụ, đối với một sự thay đổi một khoản mục cấu hình, hệ thống CM phải ghi lại mô tả về các thay đổi, giải trình về các thay đổi, nhận dạng tất cả các khoản mục cấu hình bị ảnh hưởng và trạng thái của nó (ví dụ như treo hoặc hoàn thành) và ngày giờ của sự thay đổi. Điều này có thể được ghi lại trong tệp tin log (log file) của những thay đổi được thực hiện hoặc hồ sơ kiểm soát thay đổi;

k) phương pháp để kiểm soát phiên bản và tham chiếu duy nhất của phiên bản TOE (ví dụ bao gồm việc phát hành bản vá lỗi trong hệ điều hành và phát hiện tiếp theo của ứng dụng của họ).

Các phương pháp tiếp cận để kiểm soát phiên bản và tham khảo duy nhất của phiên bản TOE (ví dụ bao gồm việc phát hành các bản vá lỗi trong hệ điều hành và tiếp tục theo dõi, phát hiện lỗi của ứng dụng).

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.3.7C: Bằng chứng cần chứng minh rằng tất cả các khoản mục cấu hình đang được duy trì bởi hệ thống CM.

12.2.3.3.8 Đơn vị công việc ALC_CMC.3-8

Người đánh giá cần kiểm tra các khoản mục cấu hình được nhận dạng trong danh sách cấu hình đang được duy trì bởi hệ thống CM.

Hệ thống CM được dùng bởi nhà phát triển cần phải duy trì tính toàn vẹn của TOE. Người đánh giá cần kiểm tra cho mỗi loại khoản mục cấu hình (ví dụ như tài liệu thiết kế hoặc các mô đun mã nguồn) có trong danh sách cấu hình có những ví dụ về các bằng chứng được tạo ra bởi các thủ tục được mô tả trong kế hoạch CM. Trong trường hợp này, phương pháp lấy mẫu sẽ phụ thuộc vào mức độ chi tiết được sử dụng trong các hệ thống CM để kiểm soát các khoản mục CM. Trong trường hợp, ví dụ, mô đun mã nguồn 10.000 được nhận dạng trong danh sách cấu hình, phương pháp lấy mẫu khác nhau cần phải được áp dụng so với các trường hợp mà trong đó chỉ có 5 hoặc thậm chí là 1. Tầm quan trọng của hoạt động này cần đảm bảo rằng hệ thống CM đang được vận hành một cách chính xác, chứ không phải để phát hiện bất kỳ lỗi nào.

...

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.3.8C: Bằng chứng phải chứng minh rằng hệ thống CM đang vận hành phù hợp với kế hoạch CM.

12.2.3.3.9 Đơn vị công việc ALC_CMC.3-9

Người đánh giá cần kiểm tra tài liệu CM để chắc chắn rằng nó bao gồm các hồ sơ hệ thống CM được nhận dạng bởi kế hoạch CM.

Đầu ra của hệ thống CM cần cung cấp bằng chứng giúp người đánh giá chắc chắn rằng kế hoạch CM đang được áp dụng và tất cả các khoản mục cấu hình cũng đang được duy trì bởi hệ thống CM theo yêu cầu của ALC_CMC.3.7C. Ví dụ kết quả đầu ra có thể bao gồm các hình thức kiểm soát thay đổi hoặc các hình thức chấp thuận truy nhập khoản mục cấu hình.

12.2.3.3.10 Đơn vị công việc ALC_CMC.3-10

Người đánh giá cần kiểm tra các bằng chứng để xác định rằng hệ thống CM đang được vận hành phù hợp với kế hoạch CM.

Người đánh giá cần lựa chọn và kiểm tra một mẫu bằng chứng bao gồm từng loại các hoạt động CM-có liên quan đã được thực hiện trên một khoản mục cấu hình (ví dụ như tạo, chỉnh sửa, xóa, chuyển về phiên bản trước) để xác nhận rằng tất cả các hoạt động của hệ thống CM đã được thực hiện phù hợp với thủ tục đã được chứng minh. Người đánh giá xác nhận rằng các bằng chứng bao gồm tất cả các thông tin được nhận dạng là hoạt động trong kế hoạch CM. Kiểm tra các bằng chứng có thể yêu cầu truy nhập đến một công cụ CM được sử dụng. Người đánh giá có thể chọn để lấy mẫu bằng chứng. Xem hướng dẫn về lấy mẫu tại A.2, Lấy mẫu.

Để tăng sự tin cậy trong hoạt động chính xác hơn của hệ thống CM và bảo trì có hiệu quả các hạng mục cấu hình có thể được thiết lập bằng cách phỏng vấn với các nhân viên phát triển được lựa chọn. Khi tiến hành phỏng vấn, người đánh giá với mục đích đạt được sự hiểu biết sâu sắc hơn về cách các hệ thống CM được sử dụng trong thực tế cũng như để xác nhận rằng các thủ tục CM đang được áp dụng như mô tả trong tài liệu CM. Lưu ý rằng phỏng vấn như vậy chỉ là bổ sung chứ không thay thế việc kiểm tra các bằng chứng tài liệu và có thể là không cần thiết nếu các bằng chứng tài liệu đáp ứng các yêu cầu. Tuy nhiên, với phạm vi rộng của kế hoạch CM nó có thể có một số khía cạnh (ví dụ như các vai trò và trách nhiệm) có thể không rõ ràng từ kế hoạch CM và hồ sơ. Đây là một trong những trường hợp cần làm rõ có thể cần thiết thông qua các cuộc phỏng vấn.

Người đánh giá cần tham khảo các trang web phát triển để hỗ trợ các hoạt động này.

...

12.2.4 Đánh giá hoạt động con (ALC_CMC.4)

12.2.4.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định xem liệu nhà phát triển đã nhận dạng rõ ràng TOE và các khoản mục cấu hình liên quan và có khả năng để sửa đổi các hạng mục này được kiểm soát hợp lý bởi các công cụ tự động hay không, để cho hệ thống CM ít phụ thuộc hơn vào lỗi chủ quan của con người.

12.2.4.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) TOE phù hợp để thử nghiệm;

c) tài liệu quản lý cấu hình.

12.2.4.3 Hành động ALC_CMC.4.1E

...

12.2.4.3.1 Đơn vị công việc ALC_CMC.4-1

Người đánh giá cần kiểm tra rằng TOE được cung cấp để đánh giá đã được dán nhãn với tham chiếu của nó.

TOE có thể cung cấp một phương pháp mà theo đó nó có thể được nhận dạng dễ dàng. Ví dụ, một phần mềm có thể hiển thị tên và số phiên bản của TOE trong quá trình khởi động hoặc để đáp ứng với một dòng lệnh. Phần cứng và phần sụn TOE có thể được nhận dạng bởi một số hiệu vật lý trên TOE. Ngoài ra, các tham chiếu duy nhất được cung cấp cho TOE có thể là sự kết hợp của các tham chiếu duy nhất của mỗi thành phần mà từ tạo ra một TOE tổng hợp (ví dụ như trong trường hợp của một TOE tổng hợp).

12.2.4.3.2 Đơn vị công việc ALC_CMC.4-2

Người đánh giá cần kiểm tra rằng tham chiếu TOE được sử dụng là nhất quán.

Người đánh giá cũng xác nhận rằng tham chiếu TOE nhất quán với ST.

Nếu đơn vị công việc này được áp dụng cho một TOE tổng hợp, các điều sau đây sẽ được áp dụng. Các TOE công nghệ thông tin kết hợp sẽ không được dán nhãn với tham chiếu duy nhất (kết hợp), mà chỉ các thành phần riêng sẽ được dán nhãn với tham chiếu TOE thích hợp của chúng, cần có các phát triển tiếp theo cho TOE công nghệ thông tin được dán nhãn, ví dụ quá trình khởi động và/hoặc vận hành với tham chiếu kết hợp. Nếu TOE tổng hợp được chuyển giao như các TOE thành phần cấu thành, thì các khoản mục TOE được chuyển giao sẽ không chứa các tham chiếu kết hợp. Tuy nhiên, TOE ST kết hợp sẽ bao gồm tham chiếu duy nhất cho TOE tổng hợp và sẽ nhận dạng các thành phần cấu thành TOE tổng hợp mà qua đó khách hàng sẽ có thể xác định xem chúng có các khoản mục phù hợp.

...

12.2.4.3.3 Đơn vị công việc ALC_CMC.4-3

Các thủ tục cần mô tả cách thức có thể theo dõi được các trạng thái của từng khoản mục cấu hình trong suốt vòng đời của TOE. Các thủ tục có thể được trình bày chi tiết trong kế hoạch CM hoặc trong các tài liệu CM. Các thông tin cần mô tả bao gồm:

a) phương pháp để từng khoản mục cấu hình được nhận dạng duy nhất, để có thể theo dõi các phiên bản của cùng một khoản mục cấu hình;

b) phương pháp để các khoản mục cấu hình được gán cho các bộ nhận dạng duy nhất và cách thức cập nhập chúng vào hệ thống CM;

c) phương pháp được sử dụng để nhận dạng phiên bản thay thế của một khoản mục cấu hình.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.4.3C: Hệ thống CM cần nhận dạng tất cả các khoản mục cấu hình một cách duy nhất.

12.2.4.3.4 Đơn vị công việc ALC_CMC.4-4

Người đánh giá cần kiểm tra các khoản mục cấu hình để xác định rằng chúng được nhận dạng theo cách nhất quán với tài liệu CM.

...

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.4.4C: Hệ thống CM cần cung cấp các biện pháp tự động như các thay đổi được cấp quyền được thực thi cho các khoản mục cấu hình.

12.2.4.3.5 Đơn vị công việc ALC_CMC.4-5

Người đánh giá cần kiểm tra các biện pháp kiểm soát truy nhập CM được mô tả trong các kế hoạch CM (cf. ALC_CMC.4.6C) để xác định rằng chúng là tự động và có hiệu quả trong việc ngăn ngừa truy nhập trái phép vào các khoản mục cấu hình.

Người đánh giá có thể sử dụng một số phương pháp để xác định rằng các biện pháp kiểm soát truy nhập CM là có hiệu quả. Ví dụ, người đánh giá có thể thực hiện các biện pháp kiểm soát truy nhập để đảm bảo rằng các thủ tục không thể được bỏ qua. Người đánh giá có thể sử dụng các kết quả đầu ra được tạo ra bởi các thủ tục hệ thống CM được yêu cầu bởi ALC_CMC.4.10C. Người đánh giá cũng có thể chứng kiến thực thi mô phỏng của hệ thống CM để đảm bảo rằng các biện pháp kiểm soát truy nhập được sử dụng đang hoạt động có hiệu quả.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.4.5C: Hệ thống CM cần hỗ trợ việc sản xuất của TOE bằng các phương tiện tự động.

12.2.4.3.6 Đơn vị công việc ALC_CMC.4-6

Người đánh giá cần kiểm tra các kế hoạch CM (cf. ALC_CMC.4.6C) cho các thủ tục tự động để hỗ trợ việc sản xuất của TOE.

Thuật ngữ "sản xuất" được áp dụng cho các quá trình được thông qua bởi nhà phát triển để cải tiến TOE từ triển khai thực hiện tới một trạng thái có thể chấp nhận để chuyển giao cho khách hàng. Người đánh giá xác minh sự tồn tại của thủ tục hỗ trợ sản xuất tự động hóa trong kế hoạch CM.

Sau đây là những ví dụ về các phương tiện tự động hỗ trợ sản xuất của TOE:

...

- công cụ đảm bảo tự động (ví dụ là các phương tiện mã vạch) mà chỉ có các bộ phận được kết hợp với nhau trong trường hợp là một TOE phần cứng.

12.2.4.3.7 Đơn vị công việc ALC_CMC.4-7

Người đánh giá cần kiểm tra các thủ tục hỗ trợ sản xuất TOE để xác định rằng chúng là có hiệu quả trong đảm bảo rằng một TOE được tạo ra phản ánh việc triển khai thực hiện nó.

Các thủ tục hỗ trợ sản xuất cần mô tả các công cụ đã được sử dụng để sản xuất TOE hoàn chỉnh từ việc triển khai thực hiện một cách rõ ràng. Các quy ước, chỉ thị hoặc cấu trúc cần thiết khác được mô tả trong ALC_TAT.

Người đánh giá xác định rằng bằng cách làm theo các thủ tục hỗ trợ sản xuất các khoản mục cấu hình chính xác sẽ được sử dụng để tạo ra TOE. Ví dụ, trong một TOE phần mềm này có thể bao gồm việc kiểm tra các thủ tục sản xuất tự động đảm bảo rằng tất cả các tập tin nguồn và các thư viện liên quan đã có trong mã đối tượng biên dịch. Hơn nữa, các thủ tục cần đảm bảo rằng tùy chọn biên dịch và so sánh các lựa chọn khác được xác định duy nhất. Đối với một TOE phần cứng, đơn vị công việc này có thể bao gồm việc kiểm tra các thủ tục sản xuất tự động đảm bảo rằng các bộ phận được ghép lại với nhau và không có bộ phận bị thiếu.

Khi đó khách hàng có thể chắc chắn rằng các phiên bản của TOE được chuyển giao để cài đặt có nguồn gốc từ quá trình triển khai thực hiện một cách tường minh và thực hiện các SFR như được mô tả trong ST.

Người đánh giá cần lưu ý rằng hệ thống CM không nhất thiết phải có khả năng sản xuất TOE, nhưng nên cung cấp hỗ trợ cho quá trình đó sẽ giúp làm giảm xác suất xảy ra lỗi của con người.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.4.6C: Tài liệu CM cần bao gồm một kế hoạch CM.

12.2.4.3.8 Đơn vị công việc ALC_CMC.4-8

...

Kế hoạch CM không cần chứa trong một tài liệu duy nhất, nhưng nó được khuyến cáo rằng cần có một hồ sơ riêng biệt mô tả nơi mà các phần khác nhau của kế hoạch CM có thể được tìm thấy. Nếu kế hoạch CM được cung cấp bởi một tập các tài liệu, danh sách trong đơn vị công việc sau đây cung cấp hướng dẫn về nội dung yêu cầu.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.4.7C: Kế hoạch CM cần mô tả cách thức hệ thống CM được sử dụng để phát triển TOE.

12.2.4.3.9 Đơn vị công việc ALC_CMC.4-9

Người đánh giá cần kiểm tra kế hoạch CM để xác định rằng nó mô tả cách thức hệ thống CM được sử dụng để phát triển TOE.

Các mô tả có trong một kế hoạch CM bao gồm, nếu áp dụng:

a) tất cả các hoạt động thực hiện trong việc phát triển TOE là đối tượng của các thủ tục quản lý cấu hình (ví dụ: tạo, chỉnh sửa hoặc xóa một khoản mục cấu hình, dữ liệu sao lưu, lưu trữ);

b) các phương tiện (ví dụ: công cụ CM, mẫu) có sẵn;

d) các thủ tục hỗ trợ sản xuất;

...

f) các vai trò và trách nhiệm của các cá nhân cần thiết để thực hiện vận hành các hạng mục cấu hình riêng (Các vai trò khác nhau có thể được nhận dạng cho các loại khoản mục cấu hình khác nhau (ví dụ như thiết kế tài liệu hoặc mã nguồn));

g) các trường hợp CM (ví dụ như bảng kiểm soát thay đổi, giao diện kiểm soát làm việc nhóm) được cung cấp và nhân viên thực hiện;

h) mô tả về quản lý thay đổi;

i) các thủ tục được sử dụng để đảm bảo rằng chỉ có những người được cấp quyền có thể thực hiện thay đổi các khoản mục cấu hình;

j) các thủ tục được sử dụng để đảm bảo rằng các vấn đề không xảy ra đồng thời như là kết quả của việc thay đổi đồng thời các khoản mục cấu hình;

k) bằng chứng được tạo ra như là kết quả của việc áp dụng các thủ tục. Ví dụ, đối với một sự thay đổi một khoản mục cấu hình, hệ thống CM phải ghi lại mô tả về các thay đổi, giải trình về các thay đổi, nhận dạng tất cả các khoản mục cấu hình bị ảnh hưởng và trạng thái của nó (ví dụ như treo hoặc hoàn thành) và ngày giờ của sự thay đổi. Điều này có thể được ghi lại trong tệp tin log (log file) của những thay đổi được thực hiện hoặc hồ sơ kiểm soát thay đổi;

l) phương pháp để kiểm soát phiên bản và tham chiếu duy nhất của các phiên bản TOE (ví dụ bao gồm việc phát hành bản vá lỗi trong hệ điều hành và phát hiện tiếp theo của ứng dụng).

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.4.8C: Kế hoạch CM cần mô tả các thủ tục sử dụng để chấp nhận sửa đổi hoặc tạo ra một khoản mục cấu hình mới như một phần của TOE.

12.2.4.3.10 Đơn vị công việc ALC_CMC.4-10

...

Việc mô tả của các thủ tục chấp thuận trong kế hoạch CM nên bao gồm các vai trò nhà phát triển hoặc cá nhân chịu trách nhiệm cho việc chấp nhận và các tiêu chí để được sử dụng chấp nhận. Nên đưa vào tài khoản tất cả tình huống chấp nhận có thể xảy ra, cụ thể:

a) chấp nhận một khoản mục vào hệ thống CM cho lần đầu tiên, đặc biệt là các thành phần phần mềm, phần sụn và phần cứng từ các nhà sản xuất khác vào TOE ("Tích hợp");

b) chuyển các khoản mục cấu hình vào giai đoạn vòng đời tiếp theo tại từng giai đoạn của việc xây dựng TOE (ví dụ như mô đun, phân hệ, hệ thống);

c) tiếp theo để vận chuyển giữa các điểm phát triển khác nhau.

Nếu đơn vị làm việc này được áp dụng cho một thành phần phụ thuộc có nghĩa là sẽ được tích hợp trong một TOE tổng hợp, kế hoạch CM nên xem xét việc kiểm soát các thành phần cơ sở thu được bởi nhà phát triển TOE phụ thuộc.

Khi có được các thành phần, người đánh giá sẽ xác minh những điều sau:

a) chuyển từng thành phần cơ sở từ nhà phát triển thành phần cơ sở tới nhà tích hợp (nhà phát triển TOE phụ thuộc) được thực hiện phù hợp với các thủ tục chuyển giao an toàn của TOE thành phần cơ sở, như được thông báo trong báo cáo xác nhận thành phần cơ sở của TOE.

b) các thành phần nhận được có cùng số hiệu nhận dạng như đã nêu trong ST và báo cáo chứng nhận cho các thành phần TOE.

c) tất cả các vật liệu bổ sung theo yêu cầu của nhà phát triển để tích hợp được cung cấp. Điều này bao gồm các chiết xuất cần thiết của đặc tả chức năng các thành phần của TOE.

...

12.2.4.3.11 Đơn vị công việc ALC_CMC.4-11

Người đánh giá cần kiểm tra các khoản mục cấu hình được nhận dạng trong danh sách cấu hình đang được duy trì bởi hệ thống CM.

Xem hướng dẫn về lấy mẫu tại A.2, Lấy mẫu.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.4.10C: Bằng chứng phải chứng minh rằng hệ thống CM đang vận hành phù hợp với kế hoạch CM.

12.2.4.3.12 Đơn vị công việc ALC_CMC.4-12

Người đánh giá cần kiểm tra tài liệu CM để chắc chắn rằng nó bao gồm các hồ sơ hệ thống CM được nhận dạng bởi kế hoạch CM.

Đầu ra của hệ thống CM cần cung cấp bằng chứng giúp người đánh giá chắc chắn rằng kế hoạch CM đang được áp dụng và tất cả các khoản mục cấu hình cũng đang được duy trì bởi hệ thống CM theo yêu cầu của ALC_CMC.4.9C. Ví dụ kết quả đầu ra có thể bao gồm các hình thức kiểm soát thay đổi hoặc các hình thức chấp thuận truy nhập khoản mục cấu hình.

12.2.4.3.13 Đơn vị công việc ALC_CMC.4-13

...

Người đánh giá cần lựa chọn và kiểm tra một mẫu bằng chứng bao gồm từng loại hoạt động CM có liên quan đã được thực hiện trên một khoản mục cấu hình (ví dụ như tạo, chỉnh sửa, xóa, chuyển về phiên bản trước) để xác nhận rằng tất cả các hoạt động của hệ thống CM đã được thực hiện phù hợp với thủ tục đã được chứng minh. Người đánh giá xác nhận rằng các bằng chứng bao gồm tất cả các thông tin được nhận dạng là hoạt động trong kế hoạch CM. Kiểm tra các bằng chứng có thể yêu cầu truy nhập đến một công cụ CM được sử dụng. Người đánh giá có thể chọn để lấy mẫu bằng chứng. Xem hướng dẫn về lấy mẫu tại A.2, Lấy mẫu.

Người đánh giá cần tham khảo các trang web phát triển để hỗ trợ các hoạt động này.

Để biết thông tin về các trang web tham khảo xem A.4, Các trang web tham khảo.

12.2.5 Đánh giá hoạt động con (ALC_CMC.5)

12.2.5.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định xem liệu nhà phát triển đã nhận dạng rõ ràng TOE và các khoản mục cấu hình liên quan và khả năng sửa đổi các hạng mục này có được kiểm soát hợp lý bởi các công cụ tự động hay không, để cho hệ thống CM ít phụ thuộc hơn vào lỗi chủ quan của con người.

12.2.5.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

...

b) TOE phù hợp để thử nghiệm;

c) tài liệu quản lý cấu hình.

12.2.5.3 Hành động ALC_CMC.5.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.1C: TOE cần được dán nhãn với tham chiếu duy nhất của nó.

12.2.5.3.1 Đơn vị công việc ALC_CMC.5-1

Người đánh giá cần kiểm tra rằng TOE được cung cấp để đánh giá đã được dán nhãn với tham chiếu của nó.

TOE có thể cung cấp một phương pháp mà theo đó nó có thể được nhận dạng dễ dàng. Ví dụ, một phần mềm có thể hiển thị tên và số phiên bản của TOE trong quá trình khởi động hoặc để đáp ứng với một dòng lệnh. Phần cứng và phần sụn TOE có thể được nhận dạng bởi một số hiệu vật lý trên TOE. Ngoài ra, các tham chiếu duy nhất được cung cấp cho TOE có thể là sự kết hợp của các tham chiếu duy nhất của mỗi thành phần mà từ đó TOE được tổng hợp (ví dụ như trong trường hợp của một TOE tổng hợp).

12.2.5.3.2 Đơn vị công việc ALC_CMC.5-2

...

Người đánh giá cũng xác nhận rằng tham chiếu TOE nhất quán với ST.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.2C: Tài liệu CM cần mô tả phương pháp được sử dụng để nhận dạng các khoản mục cấu hình một cách duy nhất.

12.2.5.3.3 Đơn vị công việc ALC_CMC.5-3

Các thủ tục cần mô tả cách thức có thể theo dõi được trạng thái của từng khoản mục cấu hình trong suốt vòng đời của TOE. Các thủ tục có thể được trình bày chi tiết trong kế hoạch CM hoặc trong các tài liệu CM. Các thông tin cần mô tả bao gồm:

a) phương pháp để từng khoản mục cấu hình được nhận dạng duy nhất, để có thể theo dõi các phiên bản của cùng một khoản mục cấu hình;

b) phương pháp để từng khoản mục cấu hình được gán bộ nhận dạng duy nhất và cách thức cập nhập chúng vào hệ thống CM;

...

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.3C: Tài liệu CM cần xác minh rằng các thủ tục chấp thuận cung cấp một soát xét đầy đủ và thích hợp các thay đổi đối với tất cả các khoản mục cấu hình.

12.2.5.3.4 Đơn vị công việc ALC_CMC.5-4

Người đánh giá cần kiểm tra tài liệu CM để xác định rằng nó xác minh các thủ tục chấp thuận cung cấp một soát xét đầy đủ và thích hợp các thay đổi cho tất cả các khoản mục cấu hình.

Tài liệu CM nên làm đầy đủ rõ ràng bằng cách tuân theo các thủ tục chấp thuận rằng chỉ các bộ phận đảm bảo chất lượng được đưa vào TOE.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.4C: Hệ thống CM cần nhận dạng tất cả các khoản mục cấu hình một cách duy nhất.

12.2.5.3.5 Đơn vị công việc ALC_CMC.5-5

Người đánh giá cần kiểm tra các khoản mục cấu hình để xác định rằng chúng được nhận dạng theo cách nhất quán với tài liệu CM.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.5C: Hệ thống CM cần cung cấp các biện pháp tự động mà chỉ các thay đổi được cấp quyền được thực thi đối với các khoản mục cấu hình.

...

Người đánh giá cần kiểm tra các biện pháp kiểm soát truy nhập CM được mô tả trong các kế hoạch CM (cf. ALC_CMC.5.12C) để xác định rằng chúng là tự động và có hiệu quả trong việc ngăn ngừa truy nhập trái phép vào các khoản mục cấu hình.

Người đánh giá có thể sử dụng một số phương pháp để xác định rằng các biện pháp kiểm soát truy nhập CM là có hiệu quả. Ví dụ, Người đánh giá có thể thực hiện các biện pháp kiểm soát truy nhập để đảm bảo rằng các thủ tục không thể được bỏ qua. Người đánh giá có thể sử dụng các kết quả đầu ra được tạo ra bởi các thủ tục hệ thống CM được yêu cầu bởi ALC_CMC.5.16C. Người đánh giá cũng có thể chứng kiến quá trình chứng minh của hệ thống CM để đảm bảo rằng các biện pháp kiểm soát truy nhập được sử dụng đang hoạt động có hiệu quả.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.6C: Hệ thống CM cần hỗ trợ việc sản xuất của TOE bằng các phương tiện tự động.

12.2.5.3.7 Đơn vị công việc ALC_CMC.5-7

Người đánh giá cần kiểm tra các kế hoạch CM (cf. ALC_CMC.5.12C) cho các thủ tục tự động để hỗ trợ việc sản xuất của TOE.

Sau đây là những ví dụ về các phương tiện tự động hỗ trợ sản xuất của TOE:

- công cụ "tạo" (cung cấp với nhiều công cụ phát triển phần mềm) trong trường hợp của một TOE phần mềm;

- công cụ đảm bảo tự động (ví dụ là các phương tiện mã vạch) mà chỉ có các bộ phận được kết hợp với nhau trong trường hợp là một TOE phần cứng.

...

Người đánh giá cần kiểm tra các thủ tục hỗ trợ sản xuất TOE để xác định rằng chúng là có hiệu quả trong việc đảm bảo rằng một TOE được tạo ra phản ánh việc triển khai thực hiện nó.

Người đánh giá cần lưu ý rằng hệ thống CM không nhất thiết phải có khả năng sản xuất TOE, nhưng nên cung cấp hỗ trợ cho quá trình đó sẽ giúp làm giảm xác suất lỗi của con người.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.7C: Hệ thống CM cần bảo đảm rằng người chịu trách nhiệm chấp nhận một khoản mục cấu hình vào CM không phải là người phát triển nó.

12.2.5.3.9 Đơn vị công việc ALC_CMC.5-9

Người đánh giá cần kiểm tra hệ thống CM để xác định rằng nó đảm bảo rằng những người chịu trách nhiệm chấp nhận một khoản mục cấu hình không phải là người phát triển nó.

Các thủ tục chấp thuận mô tả những người chịu trách nhiệm cho việc chấp nhận một khoản mục cấu hình. Từ những mô tả đó, người đánh giá có thể xác định rằng những người đã phát triển một khoản mục cấu hình trong mọi trường hợp không chịu trách nhiệm về việc chấp nhận của nó.

...

12.2.5.3.10 Đơn vị công việc ALC_CMC.5-10

Người đánh giá cần kiểm tra hệ thống CM để xác định rằng nó nhận dạng các khoản mục cấu hình có trong TSF.

Tài liệu CM cần mô tả cách thức hệ thống CM nhận dạng các khoản mục cấu hình có trong TSF. Người đánh giá nên chọn một mẫu của các khoản mục cấu hình bao gồm từng loại khoản mục, đặc biệt chứa trong các khoản mục TSF và Non-TSF và kiểm tra xem chúng được phân loại chính xác bởi hệ thống CM hay không.

Xem hướng dẫn về lấy mẫu tại A.2, Lấy mẫu.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.9C: Hệ thống CM cần hỗ trợ kiểm soát tất cả các thay đổi của TOE bằng các phương tiện tự động, bao gồm người khởi tạo, ngày giờ trong tệp tin kiểm soát.

12.2.5.3.11 Đơn vị công việc ALC_CMC.5-11

Người đánh giá cần kiểm tra hệ thống CM để xác định rằng nó hỗ trợ việc kiểm soát tất cả các thay đổi của TOE bằng các phương tiện tự động, bao gồm người khởi tạo, ngày giờ trong tệp tin kiểm soát. Người đánh giá cần kiểm tra và xem xét kỹ một mẫu của tệp tin kiểm soát, nếu chúng chứa các thông tin tối thiểu.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.10C: Hệ thống CM cần cung cấp các phương tiện tự động để nhận dạng tất cả các khoản mục cấu hình khác bị ảnh hưởng bởi sự thay đổi của một khoản mục cấu hình.

12.2.5.3.12 Đơn vị công việc ALC_CMC.5-12

...

Tài liệu CM cần mô tả cách thức hệ thống CM nhận dạng tất cả các khoản mục cấu hình khác bị ảnh hưởng bởi việc thay đổi một khoản mục cấu hình. Người đánh giá nên chọn một mẫu khoản mục cấu hình, bao gồm tất cả các loại khoản mục và sử dụng các phương tiện tự động để xác định rằng nó nhận dạng tất cả các khoản mục đang bị ảnh hưởng bởi sự thay đổi của khoản mục được chọn.

Xem hướng dẫn về lấy mẫu tại A.2, Lấy mẫu.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.11C: Hệ thống CM cần có khả năng nhận dạng phiên bản triển khai thực hiện mà từ đó tạo ra TOE.

12.2.5.3.13 Đơn vị công việc ALC_CMC.5-13

Người đánh giá cần kiểm tra hệ thống CM để xác định rằng nó có khả năng nhận dạng phiên bản triển khai thực hiện từ đó tạo ra TOE.

Tài liệu CM cần mô tả cách thức hệ thống CM nhận dạng phiên bản triển khai thực hiện từ đó tạo ra TOE. Người đánh giá cần chọn một mẫu của các bộ phận được sử dụng để sản xuất TOE và nên áp dụng hệ thống CM để xác minh rằng nó nhận dạng việc triển khai thực hiện tương ứng trong phiên bản chính xác.

Xem hướng dẫn về lấy mẫu tại A.2, Lấy mẫu.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.12C: Tài liệu CM cần bao gồm một kế hoạch CM.

12.2.5.3.14 Đơn vị công việc ALC_CMC.5-14

...

Kế hoạch CM không nhất thiết phải là một tài liệu kết nối, nhưng nó được khuyến cáo rằng cần có một tài liệu riêng mô tả nơi mà các bộ phận khác nhau của kế hoạch CM có thể được tìm thấy. Nếu kế hoạch CM không phải là tài liệu riêng, danh sách đơn vị công việc sau đây đưa ra gợi ý về bối cảnh dự kiến.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.13C: Kế hoạch CM cần mô tả cách thức hệ thống CM được sử dụng để phát triển TOE.

12.2.5.3.15 Đơn vị công việc ALC_CMC.5-15

Người đánh giá cần kiểm tra kế hoạch CM để xác định rằng nó mô tả cách thức hệ thống CM được sử dụng để phát triển TOE.

Các mô tả có trong một kế hoạch CM bao gồm, nếu áp dụng:

a) tất cả các hoạt động thực hiện trong việc phát triển TOE là đối tượng của các thủ tục quản lý cấu hình (Ví dụ: tạo, chỉnh sửa hoặc xóa một khoản mục cấu hình, dữ liệu sao lưu, lưu trữ);

b) các phương tiện (ví dụ: công cụ CM, mẫu) có sẵn;

c) cách sử dụng các công cụ CM: các chi tiết cần thiết cho một người sử dụng hệ thống CM để có khả năng vận hành các công cụ CM một cách chính xác nhằm duy trì tính toàn vẹn của TOE;

d) các thủ tục hỗ trợ sản xuất;

...

g) các trường hợp CM (ví dụ như bảng kiểm soát thay đổi, giao diện kiểm soát làm việc nhóm) được cung cấp và nhân viên thực hiện;

h) mô tả về quản lý thay đổi;

i) các thủ tục được sử dụng để đảm bảo rằng chỉ có những người được cấp quyền có thể thực hiện thay đổi các khoản mục cấu hình;

I) phương pháp để kiểm soát phiên bản và tham chiếu duy nhất của các phiên bản TOE (ví dụ bao gồm việc phát hành bản vá lỗi trong hệ điều hành và phát hiện tiếp theo của ứng dụng).

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.14C: Kế hoạch CM cần mô tả các thủ tục được sử dụng để chấp nhận sửa đổi hoặc tạo ra một khoản mục cấu hình mới như một phần của TOE.

12.2.5.3.16 Đơn vị công việc ALC_CMC.5-16

...

b) chuyển các khoản mục cấu hình vào giai đoạn vòng đời tiếp theo tại từng giai đoạn của việc xây dựng TOE (ví dụ như mô đun, phân hệ, hệ thống);

c) tiếp theo là vận chuyển giữa các điểm phát triển khác nhau.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMC.5.15C: Bằng chứng cần chứng minh rằng tất cả các khoản mục cấu hình đang được duy trì bởi hệ thống CM.

12.2.5.3.17 Đơn vị công việc ALC_CMC.5-17

Người đánh giá cần kiểm tra các khoản mục cấu hình được nhận dạng trong danh sách cấu hình đang được duy trì bởi hệ thống CM.

Xem hướng dẫn về lấy mẫu tại A.2, lấy mẫu.

...

12.2.5.3.18 Đơn vị công việc ALC_CMC.5-18

Người đánh giá cần kiểm tra tài liệu CM để chắc chắn rằng nó bao gồm các hồ sơ hệ thống CM được nhận dạng bởi kế hoạch CM.

Đầu ra của hệ thống CM cần cung cấp bằng chứng giúp người đánh giá chắc chắn rằng kế hoạch CM đang được áp dụng và tất cả các khoản mục cấu hình cũng đang được duy trì bởi hệ thống CM theo yêu cầu của ALC_CMC.5.15C. Ví dụ kết quả đầu ra có thể bao gồm các hình thức kiểm soát thay đổi hoặc các hình thức chấp thuận truy nhập khoản mục cấu hình.

12.2.5.3.19 Đơn vị công việc ALC_CMC.5-19

Người đánh giá cần kiểm tra các bằng chứng để xác định rằng hệ thống CM đang được vận hành phù hợp với kế hoạch CM.

Người đánh giá cần lựa chọn và kiểm tra một mẫu bằng chứng bao gồm từng loại các hoạt động CM-có liên quan đã được thực hiện trên một khoản mục cấu hình (ví dụ như tạo, chỉnh sửa, xóa, chuyển về phiên bản trước) để xác nhận rằng tất cả các hoạt động của hệ thống CM đã được thực hiện phù hợp với các thủ tục đã được chứng minh. Người đánh giá xác nhận rằng các bằng chứng bao gồm tất cả các thông tin được nhận dạng là hoạt động trong kế hoạch CM. Kiểm tra các bằng chứng có thể yêu cầu truy nhập đến một công cụ CM được sử dụng. Người đánh giá có thể chọn để lấy mẫu bằng chứng.

Xem hướng dẫn về lấy mẫu tại A.2, Lấy mẫu.

Người đánh giá cần tham khảo các trang web phát triển để hỗ trợ các hoạt động này.

...

12.2.5.4 Hành động ALC_CMC.5.2E

12.2.5.4.1 Đơn vị công việc ALC_CMC.5-20

Người đánh giá cần kiểm tra các thủ tục hỗ trợ sản xuất để xác định rằng bằng cách làm theo các thủ tục đó một TOE sẽ được sản xuất như một sản phẩm được cung cấp bởi nhà phát triển cho hoạt động kiểm thử.

Nếu TOE là một TOE phần mềm nhỏ và việc sản xuất bao gồm các biên dịch và liên kết, người đánh giá có thể xác nhận sự phù hợp của các thủ tục hỗ trợ sản xuất bằng cách tự áp dụng lại nó.

Nếu quá trình sản xuất của TOE phức tạp hơn (ví dụ như trong trường hợp của một thẻ thông minh), ngay khi bắt đầu, người đánh giá cần xem xét kỹ việc áp dụng các thủ tục hỗ trợ sản xuất trong quá trình tham khảo các trang web phát triển. Có thể so sánh bản sao của một TOE được sản xuất tại chỗ với các mẫu được sử dụng cho các hoạt động kiểm thử của mình.

Để biết thông tin về các trang web tham khảo xem A.4, Các trang web tham khảo.

Nếu không, quyết định của người đánh giá nên dựa trên các bằng chứng tài liệu được cung cấp bởi nhà phát triển.

Đơn vị công việc này có thể được thực hiện kết hợp với các hoạt động đánh giá theo quá trình triển khai thực hiện (ADV_IMP).

12.3 Phạm vi CM (ALC_CMS)

...

12.3.1.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định xem liệu nhà phát triển có thực hiện quản lý cấu hình trên TOE và các bằng chứng đánh giá. Những khoản mục cấu hình này được kiểm soát phù hợp với khả năng của CM (ALC_CMC) hay không.

12.3.1.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) danh sách cấu hình.

12.3.1.3 Hành động ALC_CMS.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMS.1.1C: Danh sách cấu hình cần chứa thông tin sau: TOE và các bằng chứng đánh giá được yêu cầu bởi các SAR.

12.3.1.3.1 Đơn vị công việc ALC_CMS.1-1

...

a) TOE;

b) bằng chứng đánh giá được yêu cầu bởi các SAR trong ST.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMS.1.2C: Danh sách cấu hình cần xác định duy nhất các khoản mục cấu hình.

12.3.1.3.2 Đơn vị công việc ALC_CMS.1-2

Người đánh giá cần kiểm tra danh sách cấu hình để xác định rằng nó nhận dạng duy nhất từng khoản mục cấu hình.

Danh sách cấu hình chứa đầy đủ thông tin để nhận dạng duy nhất phiên bản của từng khoản mục đã được sử dụng (thường là số phiên bản). Sử dụng danh sách này sẽ cho phép người đánh giá kiểm tra chính xác các khoản mục cấu hình và phiên bản chính xác của từng khoản mục đã được sử dụng trong quá trình đánh giá.

12.3.2 Đánh giá hoạt động con (ALC_CMS.2)

12.3.2.1 Mục tiêu

Mục tiêu hoạt động con này là xác định xem liệu danh sách cấu hình có bao gồm TOE, các bộ phận của TOE và các bằng chứng đánh giá. Những khoản mục cấu hình này được kiểm soát phù hợp với khả năng CM (ALC_CMC) hay không.

...

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) danh sách cấu hình.

12.3.2.3 Hành động ALC_CMS.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMS.2.1C: Danh sách cấu hình cần bao gồm: TOE; các bằng chứng đánh giá được yêu cầu bởi các SAR và các bộ phận cấu thành TOE.

12.3.2.3.1 Đơn vị công việc ALC_CMS.2-1

Người đánh giá cần kiểm tra rằng danh sách cấu hình bao gồm tập hợp các khoản mục sau đây:

a) TOE;

b) các bộ phận cấu thành TOE;

...

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMS.2.2C: Danh sách cấu hình cần nhận dạng duy nhất các khoản mục cấu hình.

12.3.2.3.2 Đơn vị công việc ALC_CMS.2-2

Người đánh giá cần kiểm tra danh sách cấu hình để xác định rằng nó nhận dạng duy nhất từng khoản mục cấu hình.

Danh sách cấu hình chứa đầy đủ thông tin để nhận dạng duy nhất phiên bản của từng khoản mục đã được sử dụng (thường là số phiên bản). Sử dụng danh sách này sẽ cho phép người đánh giá kiểm tra các khoản mục cấu hình chính xác và phiên bản chính xác của từng khoản mục đã được sử dụng trong quá trình đánh giá.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMS.2.3C: Đối với từng khoản mục cấu hình liên quan TSF, danh sách cấu hình cần chỉ ra nhà phát triển của khoản mục đó.

12.3.2.3.3 Đơn vị công việc ALC_CMS.2-3

Người đánh giá cần kiểm tra rằng danh sách cấu hình chỉ ra nhà phát triển của từng khoản mục cấu hình liên quan của TSF.

Nếu chỉ có một nhà phát triển có liên quan đến sự phát triển của TOE, đơn vị công việc này không được áp dụng và do đó được xem là thỏa mãn.

12.3.3 Đánh giá hoạt động con (ALC_CMS.3)

...

Mục tiêu hoạt động con này là để xác định xem liệu danh sách cấu hình có bao gồm TOE, các bộ phận cấu thành TOE, quá trình triển khai thực hiện TOE và các bằng chứng đánh giá. Các khoản mục cấu hình này được kiểm soát phù hợp với khả năng CM (ALC_CMC) hay không.

12.3.3.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) danh sách cấu hình.

12.3.3.3 Hành động ALC_CMS.3.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMS.3.1C: Danh sách cấu hình cần chứa thông tin sau: TOE; các bằng chứng đánh giá được yêu cầu bởi các SAR, các bộ phận cấu thành TOE; quá trình triển khai thực hiện.

12.3.3.3.1 Đơn vị công việc ALC_CMS.3-1

Người đánh giá cần kiểm tra rằng danh sách cấu hình bao gồm tập hợp các khoản mục sau đây:

...

b) các bộ phận cấu thành TOE;

c) quá trình triển khai thực hiện TOE;

d) bằng chứng đánh giá được yêu cầu bởi các SAR trong ST.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMS.3.2C: Danh sách cấu hình cần nhận dạng duy nhất các khoản mục cấu hình.

12.3.3.3.2 Đơn vị công việc ALC_CMS.3-2

Người đánh giá cần kiểm tra danh sách cấu hình để xác định rằng nó nhận dạng duy nhất từng khoản mục cấu hình.

Danh sách cấu hình chứa đầy đủ thông tin để nhận dạng duy nhất phiên bản của từng khoản mục đã được sử dụng (thường là số phiên bản). Sử dụng danh sách này sẽ cho phép người đánh giá kiểm tra chính xác các hạng mục cấu hình và phiên bản chính xác của từng khoản mục đã được sử dụng trong quá trình đánh giá.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMS.3.3C: Đối với từng khoản mục cấu hình liên quan của TSF, danh sách cấu hình cần chỉ ra nhà phát triển của khoản mục đó.

12.3.3.3.3 Đơn vị công việc ALC_CMS.3-3

...

Nếu chỉ có một nhà phát triển có liên quan đến sự phát triển của một TOE, đơn vị công việc này không được áp dụng và do đó được xem là thỏa mãn.

12.3.4 Đánh giá hoạt động con (ALC_CMS.4)

12.3.4.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định xem liệu danh sách cấu hình có bao gồm TOE, các bộ phận cấu thành TOE, quá trình triển khai thực hiện TOE, các sai sót an toàn và các bằng chứng đánh giá. Những khoản mục cấu hình này có được kiểm soát trong phù hợp với khả năng CM (ALC_CMC) hay không.

12.3.4.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) danh sách cấu hình.

12.3.4.3 hành động ALC_CMS.4.1E

...

12.3.4.3.1 Đơn vị công việc ALC_CMS.4-1

Người đánh giá cần kiểm tra rằng danh sách cấu hình bao gồm tập hợp các khoản mục sau đây:

a) TOE;

b) các bộ phận cấu thành TOE;

c) quá trình triển khai thực hiện TOE;

d) bằng chứng đánh giá được yêu cầu bởi các SAR trong ST;

e) tài liệu được sử dụng để ghi lại báo cáo chi tiết các sai sót an toàn liên quan đến việc thực hiện (ví dụ, báo cáo tình trạng vấn đề bắt nguồn từ cơ sở dữ liệu vấn đề của nhà phát triển).

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMS.4.2C: Danh sách cấu hình cần nhận dạng duy nhất các khoản mục cấu hình.

12.3.4.3.2 Đơn vị công việc ALC_CMS.4-2

...

Danh sách cấu hình chứa đầy đủ thông tin để nhận dạng duy nhất phiên bản của từng khoản mục đã được sử dụng (thường là số phiên bản). Sử dụng danh sách này cho phép người đánh giá kiểm tra chính xác các khoản mục cấu hình và phiên bản chính xác của từng khoản mục đã được sử dụng trong quá trình đánh giá.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMS.4.3C: Đối với mỗi khoản mục cấu hình liên quan của TSF, danh sách cấu hình cần chỉ ra nhà phát triển của khoản mục đó.

12.3.4.3.3 Đơn vị công việc ALC_CMS.4-3

Người đánh giá cần kiểm tra rằng danh sách cấu hình chỉ ra nhà phát triển của từng khoản mục cấu hình liên quan của TSF.

Nếu chỉ có một nhà phát triển có liên quan đến sự phát triển của TOE, đơn vị công việc này không được áp dụng và do đó được xem là thỏa mãn.

12.3.5 Đánh giá hoạt động con (ALC_CMS.5)

12.3.5.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định xem liệu danh sách cấu hình có bao gồm TOE, các bộ phận cấu thành TOE, quá trình triển khai thực hiện TOE, các sai sót an toàn, các công cụ phát triển, các thông tin liên quan và các bằng chứng đánh giá. Các khoản mục cấu hình này có được kiểm soát phù hợp với khả năng CM (ALC_CMC) hay không.

12.3.5.2 đầu vào

...

a) ST;

b) danh sách cấu hình.

12.3.5.3 Hành động ALC_CMS.5.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMS.5.1C: Danh sách cấu hình cần bao gồm các thông tin sau: TOE; các bằng chứng đánh giá được yêu cầu bởi các SAR, các bộ phận cấu thành TOE, quá trình triển khai thực hiện; báo cáo sai sót an toàn và các tình huống giải quyết; các công cụ phát triển và thông tin liên quan.

12.3.5.3.1 Đơn vị công việc ALC_CMS.5-1

Người đánh giá cần kiểm tra rằng danh sách cấu hình bao gồm tập hợp các khoản mục sau đây:

a) TOE;

b) các bộ phận cấu thành TOE;

c) quá trình triển khai thực hiện TOE;

...

e) tài liệu được sử dụng để ghi lại báo cáo chi tiết các sai sót an toàn liên quan đến việc thực hiện (Ví dụ, báo cáo các tình trạng vấn đề thu được từ cơ sở dữ liệu vấn đề của nhà phát triển);

f) tất cả các công cụ (bao gồm phần mềm kiểm thử, nếu áp dụng) tham gia vào việc phát triển và sản xuất TOE bao gồm tên, phiên bản, cấu hình, các vai trò của từng công cụ phát triển và các tài liệu liên quan.

Đối với một TOE phần mềm, "công cụ phát triển" thường là lập trình ngôn ngữ, trình biên dịch và "tài liệu liên quan" bao gồm trình biên dịch và mối liên kết tùy chọn. Đối với một TOE phần cứng, "công cụ phát triển" có thể là ngôn ngữ thiết kế phần cứng, các công cụ mô phỏng và tổng hợp, trình biên dịch và "tài liệu liên quan" có thể bao gồm cả các tùy chọn trình biên dịch.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMS.5.2C: Danh sách cấu hình cần nhận dạng duy nhất các hạng mục cấu hình.

12.3.5.3.2 Đơn vị công việc ALC_CMS.5-2

Người đánh giá cần kiểm tra danh sách cấu hình để xác định rằng nó nhận dạng duy nhất từng khoản mục cấu hình.

Danh sách cấu hình chứa đầy đủ thông tin để nhận dạng duy nhất phiên bản của từng khoản mục đang được sử dụng (thường là số phiên bản). Sử dụng danh sách này cho phép người đánh giá kiểm tra chính xác các khoản mục cấu hình và phiên bản chính xác của từng khoản mục đã được sử dụng trong quá trình đánh giá.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_CMS.5.3C: Đối với từng khoản mục cấu hình liên quan của TSF, danh sách cấu hình cần chỉ ra nhà phát triển của khoản mục đó.

12.3.5.3.3 Đơn vị công việc ALC_CMS.5-3

...

Nếu chỉ có một nhà phát triển tham gia vào việc phát triển TOE, đơn vị công việc này không được áp dụng và do đó được xem là thỏa mãn.

12.4 Chuyển giao (ALC_DEL)

12.4.1 Đánh giá hoạt động con (ALC_DEL.1)

12.4.1.1 Mục tiêu

Mục tiêu của hoạt động con này là để xác định xem liệu tài liệu chuyển giao có mô tả tất cả các thủ tục được sử dụng để duy trì an toàn của TOE khi phân phối TOE đến người sử dụng hay chưa.

12.4.1.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) tài liệu chuyển giao.

...

TCVN 8709-3 (ISO/IEC 15408-3) ALC_DEL.1.1C: Tài liệu chuyển giao cần mô tả tất cả các thủ tục cần thiết để duy trì an toàn khi phân phối các phiên bản TOE tới người tiêu dùng.

12.4.1.3.1 Đơn vị công việc ALC_DEL.1-1

Người đánh giá cần kiểm tra các tài liệu chuyển giao để xác định rằng nó mô tả tất cả các thủ tục đó cần thiết để duy trì an toàn khi phân phối các phiên bản của TOE hoặc các bộ phận của nó đến người tiêu dùng.

Các tài liệu chuyển giao mô tả các thủ tục thích hợp để duy trì an toàn của TOE trong quá trình chuyển giao TOE hoặc các bộ phận thành phần của nó và để xác định việc nhận dạng của TOE.

Các tài liệu chuyển giao nên bao gồm toàn bộ TOE, nhưng có thể chứa các thủ tục khác nhau cho các bộ phận khác nhau của TOE. Người đánh giá cần xem xét tổng thể các thủ tục.

Các thủ tục chuyển giao nên được áp dụng trên tất cả các giai đoạn của việc chuyển giao từ môi trường sản xuất đến môi trường cài đặt (ví dụ như đóng gói, lưu trữ và phân phối). Tiêu chuẩn thương mại thực hành cho việc đóng gói và chuyển giao có thể được chấp nhận. Điều này bao gồm việc đóng gói bao bì an toàn hoặc niêm phong. Đối với việc phân phối, các thủ tục vật lý (ví dụ như gửi qua đường thư hoặc một dịch vụ phân phối tư nhân) hoặc điện tử (ví dụ như thư điện tử hoặc tải từ Internet) có thể được sử dụng.

Mật mã kiểm tra hoặc chữ ký phần mềm có thể được sử dụng bởi nhà phát triển để đảm bảo rằng việc tráo đổi hoặc làm giả có thể được phát hiện. Bằng chứng tráo đổi niêm phong sẽ chỉ ra nếu tính bảo mật đã bị phá vỡ. Đối với các TOE phần mềm, bảo mật có thể được đảm bảo bằng cách sử dụng mã hóa. Việc vận chuyển an toàn được yêu cầu nếu cần thiết.

Giải thích thuật ngữ "cần thiết duy trì an toàn" cần xem xét các khía cạnh sau:

• Tính chất của TOE (ví dụ: là phần mềm hoặc phần cứng).

...

• Các mục tiêu an toàn cung cấp bởi ST. Tầm quan trọng của tài liệu chuyển giao có thể là các biện pháp liên quan đến tính toàn vẹn, như tính toàn vẹn của TOE luôn luôn là quan trọng. Tuy nhiên, bảo mật và khả năng sẵn sàng của việc chuyển giao sẽ được quan tâm trong trong việc chuyển giao một số TOE; Các thủ tục liên quan đến các các khía cạnh của việc chuyển giao an toàn cũng cần được đề cập trong các thủ tục.

12.4.1.4 Hành động đánh giá có chủ ý

TCVN 8709-3 (ISO/IEC 15408-3) ALC_DEL.1.2D: Nhà phát triển cần sử dụng các thủ tục chuyển giao.

12.4.1.4.1 Đơn vị công việc ALC_DEL.1-2

Người đánh giá cần xem xét các khía cạnh của quá trình chuyển giao để xác định các thủ tục chuyển giao sử dụng.

Các phương pháp của người đánh giá để kiểm tra việc áp dụng các thủ tục chuyển giao sẽ phụ thuộc vào bản chất của TOE và quá trình chuyển giao nó. Ngoài việc kiểm tra chính các thủ tục, người đánh giá tìm kiếm sự đảm bảo rằng chúng được áp dụng trong thực tế. Một số phương pháp có thể là:

a) đi thực tế (các) địa điểm phân phối mà ở đó ứng dụng thực tế của các thủ tục có thể được quan sát;

b) kiểm tra TOE ở một số giai đoạn trong quá trình chuyển giao hoặc sau khi người dùng đã nhận được nó (ví dụ như kiểm tra các bằng chứng giả mạo con dấu);

c) quan sát quá trình được áp dụng trong thực tế khi người đánh giá có được TOE thông qua kênh hợp lệ;

...

Để biết thông tin về việc đi thực tế các địa điểm, xem A.4, Thực tế các địa điểm.

Có thể xảy ra trường hợp một TOE phát triển mới nhưng các thủ tục chuyển giao vẫn chưa được thực hiện. Trong trường hợp này, người đánh giá phải hài lòng rằng các thủ tục và phương tiện thích hợp đã được cung cấp cho việc chuyển giao sau này và rằng tất cả các nhân viên tham gia đều nhận thức trách nhiệm của mình. Người đánh giá có thể yêu cầu một bước "chạy thô" đối với giao phẩm nếu điều này là phù hợp. Nếu nhà phát triển đã sản xuất sản phẩm tương tự khác, thì việc kiểm tra các thủ tục trong khi sử dụng chúng có thể là hữu ích trong việc cung cấp sự đảm bảo.

12.5 An toàn phát triển (ALC_DVS)

12.5.1 Đánh giá hoạt động con (ALC_DVS.1)

12.5.1.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định xem liệu kiểm soát an toàn của nhà phát triển về môi trường phát triển đủ để cung cấp tính bảo mật và toàn vẹn của thiết kế TOE và thực hiện đó là cần thiết để đảm bảo rằng hoạt động an toàn của TOE không bị ảnh hưởng hay không.

12.5.1.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

...

Ngoài ra, người đánh giá có thể cần phải kiểm tra khả năng chuyên giao khác để xác định rằng các kiểm soát an toàn được xác định rõ và tuân thủ. Cụ thể, người đánh giá có thể cần phải kiểm tra tài liệu quản lý cấu hình của nhà phát triển (đầu vào cho các đánh giá của hoạt động con (ALC_CMC.4) "hỗ trợ sản xuất và các thủ tục chấp thuận" và đánh giá các hoạt động con (ALC_CMS.4) "Vấn đề theo dõi bảo hiểm CM "). Bằng chứng cho thấy các thủ tục đang được áp dụng cũng được yêu cầu.

12.5.1.3 Hành động ALC_DVS.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_DVS.1.1C: Tài liệu an toàn phát triển cần mô tả tất cả các biện pháp vật lý, thủ tục, nhân sự và các biện pháp an toàn khác cần thiết để bảo vệ tính bảo mật và toàn vẹn của thiết kế và thực thi TOE trong môi trường phát triển của nó.

12.5.1.3.1 Đơn vị công việc ALC_DVS.1-1

Người đánh giá cần kiểm tra tài liệu an toàn phát triển để xác định rằng nó chi tiết tất cả các biện pháp an toàn được sử dụng trong các môi trường phát triển là cần thiết để bảo vệ tính bảo mật và toàn vẹn của thiết kế và thực thi TOE.

Người đánh giá sẽ xác định những gì là cần thiết bởi lần đầu đề cập đến ST cho bất kỳ thông tin nào có thể hỗ trợ trong việc việc xác định bảo vệ cần thiết.

Nếu không có thông tin rõ ràng có sẵn từ ST, người đánh giá cần phải xác định các biện pháp cần thiết. Trong trường hợp các biện pháp của nhà phát triển được xem là ít hơn so với những gì là cần thiết, việc biện minh rõ ràng cần được cung cấp cho việc đánh giá dựa vào các điểm yếu tiềm ẩn có thể khai thác.

Các loại các biện pháp an toàn sau đây được xem xét bởi người đánh giá khi xem xét các tài liệu:

a) biện pháp vật lý, ví dụ như kiểm soát truy nhập vật lý được sử dụng để ngăn chặn truy nhập trái phép môi trường phát triển TOE (trong làm việc bình thường và thời gian khác);

...

• cấp quyền truy nhập môi trường phát triển hoặc các bộ phận cụ thể của môi trường như thiết bị phát triển

• thu hồi quyền truy nhập khi một người rời khỏi đội phát triển

• chuyển giao các tài liệu được bảo vệ vào và ra khỏi môi trường phát triển và giữa các địa điểm phát triển khác nhau phù hợp với các thủ tục chấp thuận xác định

• cho vào và đưa khách hàng tới môi trường phát triển

• vai trò và trách nhiệm trong việc đảm bảo tiếp tục áp dụng các biện pháp an toàn và phát hiện các vi phạm an toàn;

c) nhân sự, ví dụ như bất kỳ kiểm soát hoặc kiểm tra được thực hiện để thiết lập sự tin cậy của nhân viên phát triển mới;

d) các biện pháp an toàn khác, ví dụ như bảo vệ hợp lý các phương tiện phát triển.

Tài liệu an toàn phát triển cần xác định các địa điểm mà tại đó phát triển xảy ra và mô tả các khía cạnh của sự phát triển thực hiện, cùng với các biện pháp an toàn được áp dụng tại mỗi địa điểm và vận chuyển giữa các địa điểm khác nhau. Ví dụ, phát triển có thể xảy ra ở nhiều cơ sở trong một tòa nhà duy nhất, nhiều tòa nhà tại cùng một địa điểm hoặc nhiều địa điểm. Việc vận chuyển các bộ phận của TOE hoặc TOE chưa hoàn chỉnh giữa các địa điểm phát triển khác nhau phải được bảo đảm bởi an toàn phát triển (ALC_DVS), trong khi đó việc vận chuyển TOE hoàn thành tới cho người tiêu dùng được giải quyết trong chuyển giao (ALC_DEL).

Phát triển bao gồm việc sản xuất TOE.

...

Người đánh giá cần kiểm tra các chính sách tích hợp và bảo mật phát triển để xác định sự đầy đủ của các biện pháp an toàn được sử dụng.

Người đánh giá cần xem xét liệu các điều sau đây có bao gồm trong các chính sách:

a) các thông tin liên quan đến phát triển TOE cần được giữ bí mật và chỉ các nhân viên đội phát triển được phép truy nhập thông tin đó;

b) tài liệu phải được bảo vệ tránh việc sửa đổi trái phép để bảo vệ sự toàn vẹn của TOE và chỉ các nhân viên đội phát triển được phép chỉnh sửa các tài liệu này.

Người đánh giá cần xác định rằng các chính sách này đã được mô tả trong tài liệu an toàn phát triển, rằng các biện pháp an toàn được sử dụng nhất quán với các chính sách và rằng chúng là đầy đủ.

Cần lưu ý rằng các thủ tục quản lý cấu hình sẽ giúp bảo vệ sự toàn vẹn của TOE và đánh giá nên tránh chồng chéo với các đơn vị công việc áp dụng cho khả năng CM (ALC_CMC). Ví dụ, tài liệu CM có thể mô tả các thủ tục an toàn cần thiết cho việc kiểm soát các vai trò hoặc cá nhân có quyền truy nhập môi trường phát triển và những người có thể thay đổi TOE.

Trong khi đó, khả năng CM (ALC_CMC) được yêu cầu cố định, thì đối với an toàn phát triển (ALC_DVS), chỉ yêu cầu có biện pháp cần thiết, phụ thuộc vào bản chất của TOE và thông tin đó có thể được cung cấp trong ST. Ví dụ, ST có thể nhận dạng một mục tiêu an toàn cho môi trường phát triển đòi hỏi TOE được phát triển bởi các nhân viên có kiến thức về an toàn. Người đánh giá sau đó sẽ xác định rằng một chính sách như vậy đã được áp dụng theo hoạt động con này.

12.5.1.4 Hành động ALC_DVS.1.2E

12.5.1.4.1 Đơn vị công việc ALC_DVS.1-3

...

Đơn vị công việc này đòi hỏi người đánh giá xác định rằng các biện pháp an toàn được mô tả trong tài liệu phát triển an toàn đang được tuân thủ, chẳng hạn như tính toàn vẹn của TOE và tính bảo mật của các tài liệu liên quan đang được bảo vệ đầy đủ. Ví dụ, điều này có thể được xác định bằng kiểm tra các bằng chứng tài liệu được cung cấp. Bằng chứng tài liệu cần được bổ sung bằng cách đi thực tế môi trường phát triển. Thực tế môi trường phát triển sẽ cho phép người đánh giá:

a) quan sát việc áp dụng các biện pháp an toàn (ví dụ như các biện pháp vật lý);

b) kiểm tra bằng chứng tài liệu về áp dụng thủ tục;

c) phỏng vấn nhân viên phát triển để kiểm tra kiến thức về các chính sách và thủ tục an toàn phát triển và trách nhiệm của họ.

Thực tế địa điểm phát triển là một phương tiện hữu ích đạt được sự tin cậy trong các biện pháp đang được sử dụng. Bất kỳ quyết định nào dẫn đến việc không thực hiện đi thực tế địa điểm phát triển như vậy cần được xác định trong thảo luận với tổ chức đánh giá.

Để biết thông tin về các địa điểm phát triển, xem A.4: thực tế các địa điểm.

12.5.2 Đánh giá hoạt động con (ALC_DVS.2)

12.5.2.1 Mục tiêu

Mục tiêu của hoạt động con này là để xác định xem liệu kiểm soát an toàn của nhà phát triển về môi trường phát triển là đầy đủ để cung cấp sự bảo mật và tính toàn vẹn của thiết kế TOE và thực hiện điều đó là cần thiết để đảm bảo rằng hoạt động an toàn của TOE không bị tổn thương. Ngoài ra, tính đầy đủ của các biện pháp dự kiến được áp dụng cần được xác minh.

...

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) tài liệu an toàn phát triển.

Ngoài ra, người đánh giá có thể cần phải kiểm tra các khả năng chuyển giao khác để xác định rằng kiểm soát an toàn được xác định rõ và tuân thủ. Cụ thể, người đánh giá có thể cần phải kiểm tra tài liệu quản lý cấu hình của nhà phát triển (đầu vào cho đánh giá của hoạt động con (ALC_CMC.4) "hỗ trợ sản xuất và thủ tục chấp thuận" và đánh giá của hoạt động con (ALC_CMS.4) "Vấn đề theo dõi CM bảo hiểm"). Bằng chứng cho thấy các thủ tục đang được áp dụng cũng được yêu cầu.

12.5.2.3 Hành động ALC_DVS.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_DVS.2.1C: Tài liệu an toàn phát triển cần mô tả tất cả các biện pháp vật lý, thủ tục, nhân sự và các biện pháp an toàn khác mà cần thiết để đảm bảo tính bảo mật và toàn vẹn của thiết kế và thực thi TOE trong môi trường phát triển của nó.

12.5.2.3.1 Đơn vị công việc ALC_DVS.2-1

Người đánh giá cần xem xét các tài liệu an toàn phát triển để xác định rằng nó mô tả chi tiết tất cả các biện pháp an toàn được sử dụng trong môi trường phát triển là cần thiết để đảm bảo tính bảo mật và toàn vẹn của việc thiết kế và thực hiện TOE.

Người đánh giá xác định những gì là cần thiết cho lần đầu đề cập đến các ST cho bất kỳ thông tin nào có thể tham gia vào việc xác định bảo vệ cần thiết.

...

Các loại các biện pháp an toàn sau được xem xét bởi người đánh giá khi kiểm tra các tài liệu:

a) vật lý, ví dụ như kiểm soát truy nhập vật lý được sử dụng để ngăn chặn truy nhập trái phép môi trường phát triển TOE (trong thời gian làm việc bình thường và thời gian khác);

b) thủ tục, ví dụ bao gồm:

• cấp quyền truy nhập môi trường phát triển hoặc các bộ phận cụ thể của môi trường như thiết bị phát triển

• thu hồi quyền truy nhập khi một người rời khỏi đội phát triển

• chuyển giao các tài liệu được bảo vệ ra khỏi môi trường phát triển và giữa các địa điểm phát triển khác nhau phù hợp với các thủ tục chấp thuận xác định

• thừa nhận và đưa khách hàng tới môi trường phát triển

• vai trò và trách nhiệm trong việc đảm bảo tiếp tục áp dụng các biện pháp an toàn và phát hiện các vi phạm an toàn;

c) nhân sự, ví dụ như bất kỳ kiểm soát hoặc kiểm tra được thực hiện để thiết lập sự tin cậy của nhân viên phát triển mới;

...

Tài liệu an toàn phát triển cần xác định các địa điểm mà tại đó phát triển xảy ra và mô tả các khía cạnh của sự phát triển được thực hiện, cùng với các biện pháp an toàn được áp dụng tại mỗi địa điểm và vận chuyển giữa các địa điểm khác nhau. Ví dụ, phát triển có thể xảy ra ở nhiều cơ sở trong một tòa nhà duy nhất, nhiều tòa nhà tại cùng một địa điểm hoặc nhiều địa điểm. Việc vận chuyển các bộ phận của TOE hoặc TOE chưa hoàn chỉnh giữa các địa điểm phát triển khác nhau phải được bảo đảm bởi an toàn phát triển (ALC_DVS), trong khi đó việc vận chuyển TOE hoàn thành tới cho người tiêu dùng được giải quyết trong chuyển giao (ALC_DEL).

Phát triển bao gồm việc sản xuất TOE.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_DVS.2.2C: Tài liệu an toàn phát triển cần xác minh rằng các biện pháp an toàn cung cấp mức bảo vệ cần thiết nhằm duy trì tính bảo mật và toàn vẹn cho TOE.

12.5.2.3.2 Đơn vị công việc ALC_DVS.2-2

Người đánh giá cần kiểm tra các tài liệu an toàn phát triển để xác định rằng có một biện minh phù hợp được đưa tại sao các biện pháp an toàn cung cấp mức độ bảo vệ cần thiết để duy trì tính bảo mật và toàn vẹn của TOE.

Kể từ khi các cuộc tấn công vào TOE hoặc các thông tin liên quan của nó được giả định trong các giai đoạn thiết kế và sản xuất khác nhau, các biện pháp và thủ tục cần phải có một mức độ phù hợp cần thiết để ngăn chặn các cuộc tấn công hoặc tạo ra nhiều khó khăn hơn.

Mức này phụ thuộc vào khả năng tấn công tổng thể cho TOE (cf. thành phần phân tích điểm yếu (AVA_VAN) được chọn), các tài liệu an toàn phát triển phải xác minh mức độ bảo vệ cần thiết để duy trì tính bảo mật và toàn vẹn của TOE. Mức độ này có đạt được bởi các các biện pháp an toàn được áp dụng.

Khái niệm về các biện pháp bảo vệ cần phải nhất quán và việc biện minh nên bao gồm một phân tích về cách thức các biện pháp hỗ trợ lẫn nhau. Tất cả các khía cạnh của sự phát triển và sản xuất tại tất cả các địa điểm khác nhau với tất cả các vai trò có liên quan đến việc chuyển giao của TOE cần được phân tích.

Biện minh có thể bao gồm một phân tích về các điểm yếu tiềm ẩn áp dụng các biện pháp an toàn.

...

• Các biện pháp kỹ thuật và cơ chế về cơ sở hạ tầng của nhà phát triển đủ để duy trì mức độ an toàn phù hợp (ví dụ như cơ chế mã hóa cũng như các cơ chế bảo vệ vật lý, tính chất của hệ thống CM (cf. ALC_CMC.4-5));

• Các hệ thống có chứa quá trình triển khai thực hiện TOE (kể cả các tài liệu hướng liên quan) cung cấp bảo vệ có hiệu quả chống lại các cuộc tấn công hợp lý, ví dụ như bởi mã "Trojan" hoặc virus. Sẽ là đầy đủ, nếu mô tả thực hiện được giữ trên một hệ thống được cô lập nơi mà chỉ có các phần mềm cần thiết để bảo quản nó được cài đặt và không cài đặt phần mềm khác sau đó.

• Dữ liệu được đưa vào hệ thống này cần phải được xem xét cẩn thận để ngăn chặn việc cài đặt các chức năng ẩn vào hệ thống. Hiệu quả của biện pháp này cần phải được kiểm tra, ví dụ bằng cách kiên trì thực hiện độc lập để có được quyền truy nhập vào máy tính, cài đặt một số phần mềm bổ sung (chương trình, macro v.v.) hoặc lấy một số thông tin trên máy tính sử dụng cho các cuộc tấn công hợp lý.

• Các biện pháp tổ chức phù hợp (thủ tục và nhân sự) được thực thi vô điều kiện.

12.5.2.3.3 Đơn vị công việc ALC_DVS.2-3

Người đánh giá cần kiểm tra các chính sách tích hợp và bảo mật phát triển để xác định tính đầy đủ của các biện pháp an toàn được sử dụng.

Người đánh giá cần xem xét liệu các điều sau đây có bao gồm trong các chính sách:

a) các thông tin nào liên quan đến việc phát triển TOE cần được giữ bí mật và các nhân viên đội phát triển được phép truy nhập các nguyên vật liệu đó;

b) các tài liệu nào phải được bảo vệ tránh sự sửa đổi trái phép để đảm bảo sự toàn vẹn của TOE và các nhân viên đội phát triển được phép được phép sửa đổi các tài liệu này.

...

Trong khi đó, khả năng CM (ALC_CMC) được yêu cầu cố định, thì đối với an toàn phát triển (ALC_DVS), chỉ yêu cầu có biện pháp cần thiết, phụ thuộc vào bản chất của TOE và thông tin đó có thể được cung cấp trong ST. Ví dụ, ST có thể nhận dạng một mục tiêu an toàn cho môi trường phát triển đòi hỏi TOE được phát triển bởi các nhân viên có kiến thức rõ ràng về an toàn. Người đánh giá sau đó sẽ xác định rằng một chính sách như vậy đã được áp dụng theo hoạt động con này.

12.5.2.4 Hành động ALC_DVS.2.2E

12.5.2.4.1 Đơn vị công việc ALC_DVS.2-4

Người đánh giá cần kiểm tra tài liệu an toàn phát triển và bằng chứng liên quan đến xác định rằng các biện pháp an toàn đang được áp dụng.

a) quan sát việc áp dụng các biện pháp an toàn (ví dụ như các biện pháp vật lý);

b) kiểm tra bằng chứng tài liệu về việc áp dụng thủ tục;

c) phỏng vấn nhân viên phát triển để kiểm tra kiến thức về các chính sách và thủ tục an toàn phát triển và trách nhiệm của họ.

...

Để biết thông tin về các địa điểm phát triển, xem A.4: các địa điểm thực thế.

12.6 Khắc phục sai sót (ALC_FLR)

12.6.1 Đánh giá hoạt động con (ALC_FLR.1)

12.6.1.1 Mục tiêu

Mục tiêu của hoạt động con này là để xác định xem liệu nhà phát triển đã thiết lập các thủ tục khắc phục sai sót để mô tả việc theo dõi các sai sót an toàn, chỉ ra các hành động khắc phục chính xác và các phân phối thông tin các hành động khắc phục chính xác đến người sử dụng TOE.

12.6.1.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) tài liệu hướng dẫn thủ tục khắc phục sai sót.

12.6.1.3 Hành động ALC_FLR.1.1E

...

12.6.1.3.1 Đơn vị công việc ALC_FLR.1-1

Người đánh giá cần kiểm tra tài liệu hướng các thủ tục khắc phục sai sót để xác định rằng nó mô tả các thủ tục được sử dụng để theo dõi tất cả các sai sót an toàn được báo cáo trong từng phiên bản phát hành của TOE.

Các thủ tục mô tả các hành động được thực hiện bởi nhà phát triển từ thời gian từng sai sót an toàn khả nghi được báo cáo đến thời gian nó được giải quyết. Điều này bao gồm toàn bộ khung thời gian của sai sót từ phát hiện ban đầu thông qua việc xác định chắc chắn rằng sai sót này là một sai sót an toàn đến lúc giải quyết các sai sót an toàn.

Nếu một sai sót được phát hiện không phải là sai sót an toàn có liên quan, thì không cần thiết (cho mục đích của các yêu cầu khắc phục sai sót (ALC_FLR)) phải tiếp tục theo dõi bởi các thủ tục khắc phục sai sót, mà chỉ cần giải thích lý do tại sao các sai sót không phải là sai sót an toàn có liên quan.

Khi các yêu cầu này là không bắt buộc mà có thể là một phương tiện chung để người dùng TOE báo cáo các sai sót an toàn, họ không bắt buộc rằng tất cả các sai sót an toàn báo cáo cần được theo dõi. Nghĩa là, sai sót an toàn được thông báo không thể bỏ qua một cách đơn giản chỉ vì nó xuất phát từ bên ngoài tổ chức của nhà phát triển.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.1.2C: Các thủ tục khắc phục sai sót cần yêu cầu rằng việc mô tả bản chất và ảnh hưởng của từng sai sót an toàn được cung cấp, cũng như các trạng thái tìm kiếm việc hiệu chỉnh sai sót đó.

12.6.1.3.2 Đơn vị công việc ALC_FLR.1-2

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ tạo ra một mô tả của từng sai sót an toàn trong các giới hạn về bản chất và ảnh hưởng của nó.

Các thủ tục chỉ ra các hành động được thực hiện bởi nhà phát triển để mô tả bản chất và ảnh hưởng của từng sai sót an toàn đầy đủ chi tiết để có thể tái tạo nó. Các mô tả về bản chất của một sai sót an toàn để xem nó là lỗi trong tài liệu hướng dẫn, sai sót trong thiết kế của TSF hay là sai sót trong việc thực hiện TSF, v.v. Các mô tả về ảnh hưởng của sai sót an toàn chỉ ra các phần của TSF bị ảnh hưởng và mức độ các phần bị ảnh hưởng. Ví dụ, một sai sót an toàn trong việc thực hiện có thể được tìm thấy có ảnh hưởng đến việc nhận dạng và xác thực bởi các TSF bằng cách cho phép xác thực với mật khẩu "QUY VỀ".

...

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ chỉ ra các trạng thái của việc tìm kiếm sự điều chỉnh cho từng sai sót an toàn.

Thủ tục khắc phục sai sót chỉ ra các giai đoạn khác nhau của các sai sót an toàn. Sự khác biệt này bao gồm ít nhất: sai sót an toàn khả nghi đã được báo cáo, sai sót an toàn khả nghi đã được xác nhận là một sai sót an toàn và sai sót an toàn mà các giải pháp đã được thực hiện. Được phép thêm các giai đoạn (ví dụ như sai sót đó đã được báo cáo nhưng chưa được điều tra, sai sót đang được điều tra, các sai sót an toàn mà một giải pháp đã được tìm thấy nhưng chưa thực hiện).

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.1.3C: Các thủ tục khắc phục sai sót yêu cầu rằng các hành động khắc phục được xác định cho từng sai sót an toàn.

12.6.1.3.4 Đơn vị công việc ALC_FLR.1-4

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ chỉ ra các hành động khắc phục cho từng sai sót an toàn.

Hành động khắc phục có thể bao gồm việc sửa chữa các bộ phận phần cứng, phần sụn hoặc phần mềm của TOE và Hướng dẫn sửa đổi TOE hoặc cả hai. Hành động khắc phục đó cấu thành các sửa đổi hướng dẫn TOE (ví dụ: chi tiết về các biện pháp theo thủ tục được thực hiện để phòng ngừa các sai sót an toàn) bao gồm cả những biện pháp được dùng chỉ là một giải pháp tạm thời (cho đến khi sửa chữa được thực hiện) cũng như các biện pháp được dùng là một giải pháp lâu dài (nơi nó mà được xác định là biện pháp theo thủ tục là giải pháp tốt nhất).

Nếu nguồn gốc của sai sót an toàn là lỗi tài liệu hướng dẫn, hành động khắc phục bao gồm cập nhật hướng dẫn TOE bị ảnh hưởng. Nếu hành động khắc phục là một biện pháp thủ tục, biện pháp này sẽ bao gồm cập nhật hướng dẫn TOE bị ảnh hưởng để phản ánh các thủ tục hiệu chỉnh đó.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.1.4C: Tài liệu các thủ tục khắc phục sai sót cần mô tả các phương pháp sử dụng để cung cấp thông tin sai sót, các hiệu chỉnh và hướng dẫn về các hành động khắc phục cho người sử dụng TOE.

12.6.1.3.5 Đơn vị công việc ALC_FLR.1-5

...

Các số liệu chỉ để đánh giá sự phù hợp của phương pháp được sử dụng để cung cấp các thông tin, hiệu chỉnh và hướng dẫn có thể là một kỳ vọng hợp lý mà người dùng TOE có thể có được hoặc nhận được nó. Ví dụ, xem xét các phương pháp phổ biến mà các dữ liệu cần thiết được trang tải lên một trang web trong một tháng và người sử dụng TOE biết rằng điều này sẽ xảy ra và khi điều này sẽ xảy ra. Điều này có thể là không đặc biệt hoặc hiệu quả (khi nói rằng nó đăng tải lâu dài trên trang web), nhưng nó khả thi để người sử dụng TOE có thể có được các thông tin cần thiết. Mặt khác, nếu các thông tin được đăng tải trên trang web chỉ trong một giờ, nhưng người dùng TOE không có cách nào biết được điều này hoặc khi nào nó sẽ được đăng, nó là không khả thi để chúng ta có được những thông tin cần thiết.

12.6.2 Đánh giá hoạt động con (ALC_FLR.2)

12.6.2.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định xem liệu nhà phát triển đã thiết lập các thủ tục khắc phục sai sót để mô tả việc theo dõi các sai sót an toàn, chỉ ra các hành động khắc phục và phân phối thông tin các hành động khắc phục đến người sử dụng TOE hay không. Ngoài ra, hoạt động con này xác định xem liệu các thủ tục của nhà phát triển cung cấp cho sự hiệu chỉnh các sai sót an toàn, nhận các báo cáo sai sót từ người sử dụng TOE và đảm bảo rằng sự điều chỉnh này không tạo ra các sai sót an toàn mới hay không.

Để nhà phát triển có khả năng thực hiện các hành động một cách thích hợp khi nhận được báo cáo sai sót an toàn từ người dùng TOE, người dùng TOE cần phải biết được cách thức để gửi báo cáo sai sót an toàn đến nhà phát triển và nhà phát triển cần biết làm thế nào để nhận được các báo cáo đó. Hướng dẫn khắc phục sai sót gửi tới người sử dụng TOE đảm bảo rằng người dùng TOE biết cách để liên lạc với nhà phát triển; Các thủ tục khắc phục sai sót cần mô tả vai trò của nhà phát triển về liên lạc đó.

12.6.2.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) tài liệu hướng dẫn các thủ tục khắc phục sai sót;

...

12.6.2.3 Hành động ALC_FLR.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.2.1C: Tài liệu các thủ tục khắc phục sai sót cần mô tả các thủ tục được sử dụng để theo dõi tất cả các sai sót an toàn đã báo cáo trong từng phiên bản phát hành của TOE.

12.6.2.3.1 Đơn vị công việc ALC_FLR.2-1

Người đánh giá cần kiểm tra tài liệu hướng dẫn các thủ tục khắc phục sai sót để xác định rằng nó mô tả các thủ tục được sử dụng để theo dõi tất cả các sai sót an toàn đã báo cáo trong từng phiên bản phát hành của TOE.

Các thủ tục mô tả các hành động được thực hiện bởi nhà phát triển từ lúc từng sai sót an toàn được báo cáo đến thời điểm mà nó được giải quyết. Điều này bao gồm toàn bộ khung thời gian sai của sai sót, từ lúc phát hiện ban đầu thông qua việc xác định sai sót là một sai sót an toàn đến lúc giải quyết sai sót an toàn.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.2.2C: Các thủ tục khắc phục sai sót cần yêu cầu việc mô tả bản chất và ảnh hưởng của từng sai sót an toàn được cung cấp, cũng như các trạng thái tìm kiếm hiệu chỉnh sai sót đó.

12.6.2.3.2 Đơn vị công việc ALC_FLR.2-2

...

12.6.2.3.3 Đơn vị công việc ALC_FLR.2-3

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng của các thủ tục sẽ chỉ ra các trạng thái tìm kiếm một sự hiệu chỉnh cho từng sai sót an toàn.

Các thủ tục khắc phục sai sót chỉ ra các giai đoạn khác nhau của sai sót an toàn. Sự khác biệt nay bao gồm ít nhất: Các sai sót an toàn khả nghi đã được báo cáo, Các sai sót an toàn khả nghi đã được xác định là sai sót an toàn và các sai sót an toàn mà các giải pháp đã được thực hiện. Được phép thêm các giai đoạn bao gồm (ví dụ như sai sót đó đã được báo cáo nhưng chưa được điều tra, sai sót đang được điều tra, các sai sót an toàn mà một giải pháp đã được tìm thấy nhưng chưa thực hiện).

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.2.3C: Các thủ tục khắc phục sai sót yêu cầu rằng các hành động khắc phục được xác định cho từng sai sót an toàn.

12.6.2.3.4 Đơn vị công việc ALC_FLR.2-4

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.2.4C: Tài liệu các thủ tục khắc phục sai sót cần mô tả các phương pháp sử dụng để cung cấp thông tin sai sót, các hiệu chỉnh và hướng dẫn về các hành động khắc phục cho người sử dụng TOE

...

Người đánh giá cần kiểm tra tài liệu hướng dẫn thủ tục khắc phục sai sót để xác định rằng nó mô tả phương tiện cung cấp cho người sử dụng TOE với các thông tin cần thiết về từng sai sót an toàn.

Các thông tin cần thiết về từng sai sót an toàn bao gồm mô tả của nó (không nhất thiết phải ở cùng một mức độ chi tiết như được cung cấp ở phần đơn vị công việc ALC_FLR.2-2), các hành động khắc phục theo quy định và bất kỳ hướng dẫn có liên quan về việc thực hiện các hiệu chỉnh.

Người sử dụng TOE có thể được cung cấp những thông tin như vậy, hiệu chỉnh và cập nhật tài liệu theo nhiều cách, chẳng hạn như đăng tải lên một trang web, gửi tới người dùng TOE hoặc các thỏa thuận được thực hiện với nhà phát triển để cài đặt hiệu chỉnh. Trong trường hợp nơi mà các phương tiện cung cấp thông tin này đòi hỏi phải có hành động được khởi tạo bởi người sử dụng TOE, người đánh giá kiểm tra bất kỳ hướng dẫn TOE để đảm bảo rằng nó chứa các hướng dẫn để lấy thông tin. Các số liệu chỉ để đánh giá sự phù hợp của một phương pháp được sử dụng để cung cấp các thông tin, hiệu chỉnh và hướng dẫn có thể là một kỳ vọng hợp lý mà người dùng TOE có thể có được hoặc nhận được nó. Ví dụ, xem xét một phương pháp phổ biến mà các dữ liệu cần thiết được trang tải lên một trang web trong một tháng và người sử dụng TOE biết rằng điều này sẽ xảy ra và khi nào điều này sẽ xảy ra. Điều này có thể là không đặc biệt hoặc hiệu quả (khi nói rằng nó đăng tải lâu dài trên trang web), nhưng nó khả thi để người sử dụng TOE có thể có được các thông tin cần thiết. Mặt khác, nếu các thông tin được đăng tải trên trang web chỉ trong một giờ, nhưng người dùng TOE không có cách nào biết được điều này hoặc khi nào nó sẽ được đăng, nó là không khả thi để chúng ta có được những thông tin cần thiết.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.2.5C: Các thủ tục khắc phục sai sót cần mô tả các phương tiện mà nhà phát triển tiếp nhận các báo cáo từ người sử dụng TOE và các câu hỏi về các sai sót an toàn khả nghi trong TOE.

12.6.2.3.6 Đơn vị công việc ALC_FLR.2-6

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng chúng mô tả các thủ tục cho các nhà phát triển để chấp nhận báo cáo về các sai sót an toàn hoặc yêu cầu hiệu chỉnh các sai sót đó.

Các thủ tục đảm bảo rằng người sử dụng TOE có một phương tiện mà họ có thể giao tiếp với nhà phát triển TOE. Bởi có một phương tiện liên lạc với nhà phát triển, người sử dụng có thể báo cáo các sai sót an toàn, tìm hiểu về các trạng thái của các sai sót an toàn hoặc yêu cầu hiệu chỉnh các sai sót. Các phương tiên liên lạc này có thể là một phần của hệ thống phương tiện liên lạc để báo cáo các vấn đề liên quan đến không an toàn.

Việc sử dụng các thủ tục này không hạn chế với người dùng TOE; Tuy nhiên, chỉ có những người sử dụng TOE được cung cấp có hiệu lực chi tiết của các thủ tục này. Những người khác có thể truy nhập hoặc người am hiểu về TOE có thể sử dụng các thủ tục tương tự để gửi báo cáo cho nhà phát triển, những người sau đó được dự kiến để xử lý chúng. Bất kỳ phương tiện gửi báo cáo nào tới nhà phát triển khác với các phương tiện được xác định bởi nhà phát triển là nằm ngoài phạm vi của đơn vị công việc này; các báo cáo được gửi đến bởi các phương tiện khác không cần thiết phải giải quyết.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.2.6C: Các thủ tục để xử lý sai sót an toàn đã báo cáo cần đảm bảo rằng bất kỳ sai sót đã báo cáo nào đều phải được khắc phục và các thủ tục khắc phục được cấp cho người dùng TOE.

...

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ giúp đảm bảo tất cả các sai sót báo cáo được hiệu chỉnh.

Thủ tục khắc phục sai sót không chỉ bao gồm các sai sót an toàn được phát hiện và báo cáo của nhân viên phát triển mà còn có cả các báo cáo của người dùng TOE. Các thủ tục được mô tả theo cách đầy đủ chi tiết để đảm bảo rằng từng sai sót an toàn báo cáo được hiệu chỉnh các thủ tục bao gồm các bước hợp lý cho thấy sự tiến bộ quan trọng mang lại một giải pháp chắc chắn.

Các thủ tục mô tả quá trình được thực hiện từ thời điểm mà sai sót an toàn khả nghi được xác định là một sai sót an toàn đến thời điểm nó được giải quyết.

12.6.2.3.8 Đơn vị công việc ALC_FLR.2-8

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ giúp đảm bảo rằng những người sử dụng TOE được cấp thủ tục khắc phục sai sót cho từng sai sót an toàn.

Các thủ tục mô tả quá trình được thực hiện từ thời điểm mà tại đó một sai sót an toàn đã được giải quyết đến thời điểm mà các thủ tục khắc phục được cung cấp. Các thủ tục để chuyển giao các hành động khắc phục cần nhất quán với các mục tiêu an toàn và không cần thiết phải đúng như các thủ tục được sử dụng cho việc chuyển giao TOE theo tài liệu để đáp ứng ALC_DEL, nếu bao gồm các yêu cầu bảo đảm. Ví dụ, nếu bộ phận phần cứng của một TOE được chuyển giao lúc đầu bằng chuyển phát nhanh, việc cập nhật phần cứng để khắc phục sai sót tương tự như vậy dự kiến cũng được phân phối bởi chuyển phát nhanh. Các cập nhật không liên quan đến khắc phục sai sót sẽ thực hiện theo các thủ tục được quy định trong tài liệu các yêu cầu chuyển giao (ALC_DEL).

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.2.7C: Các thủ tục để xử lý sai sót an toàn đã báo cáo cần cung cấp sự bảo vệ cho bất kỳ hiệu chỉnh nào đối với sai sót an toàn này không làm phát sinh các sai sót mới.

12.6.2.3.9 Đơn vị công việc ALC_FLR.2-9

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ dẫn đến biện pháp bảo vệ sự hiệu chỉnh tiềm năng không có các tác dụng phụ.

...

Người đánh giá cũng xác định rằng, đối với những trường hợp mà nguồn gốc của các sai sót an toàn là vấn đề về tài liệu hướng dẫn thì thủ tục bao gồm các phương tiện bảo vệ chống lại việc phát sinh của các mâu thuẫn với các tài liệu khác.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.2.8C: Hướng dẫn khắc phục sai sót cần mô tả các phương tiện mà người sử dụng TOE báo cáo cho nhà phát triển về bất cứ sai sót an toàn khả nghi nào trong TOE.

12.6.2.3.10 Đơn vị công việc ALC_FLR.2-10

Người đánh giá cần kiểm tra các hướng dẫn khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ dẫn đến một phương tiện cho người sử dụng TOE để cung cấp các báo cáo về các sai sót an toàn khả nghi hoặc yêu cầu để hiệu chỉnh sai sót đó.

Các hướng dẫn đảm bảo rằng người sử dụng TOE có một phương tiện mà họ có thể liên lạc với nhà phát triển TOE. Bởi có phương tiện liên lạc với nhà phát triển, người sử dụng có thể báo cáo sai sót an toàn, tìm hiểu về các trạng thái của sai sót an toàn hoặc yêu cầu hiệu chỉnh các sai sót.

12.6.3 Đánh giá hoạt động con (ALC_FLR.3)

12.6.3.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định xem liệu nhà phát triển đã thiết lập được thủ tục khắc phục sai sót để mô tả việc theo dõi các sai sót an toàn, chỉ ra các hành động khắc phục và phân phối các thông tin hành động khắc phục đến người sử dụng TOE hay không. Ngoài ra, hoạt động con này xác định xem liệu các thủ tục của nhà phát triển cung cấp cho việc hiệu chỉnh các sai sót an toàn, cho việc tiếp nhận báo cáo sai sót từ người sử dụng TOE, để đảm bảo rằng việc hiệu chỉnh không làm phát sinh các sai sót an toàn mới, cho việc thiết lập một điểm liên hệ cho từng người dùng TOE và cho các vấn đề cấp bách của các hành động khắc phục tới người sử dụng TOE.

Để nhà phát triển có thể có hành động một cách thích hợp khi tiếp nhận các báo cáo sai sót an toàn từ người dùng TOE. Người dùng TOE cần phải hiểu làm thế nào để nộp báo cáo sai sót an toàn cho nhà phát triển và nhà phát triển cần biết cách để tiếp nhận các báo cáo đó. Hướng dẫn khắc phục sai sót gửi cho người sử dụng TOE đảm bảo rằng người sử dụng TOE hiểu được cách thức liên lạc với nhà phát triển cũng như mô tả các vai trò của nhà phát triển về liên lạc đó.

...

Các bằng chứng đánh giá cho hoạt động con này là:

a) tài liệu thủ tục khắc phục sai sót;

b) tài liệu hướng dẫn khắc phục sai sót.

12.6.3.3 Hành động ALC_FLR.3.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.3.1C: Tài liệu thủ tục khắc phục sai sót cần mô tả các thủ tục được sử dụng để theo dõi tất cả các sai sót an toàn đã báo cáo trong từng phiên bản phát hành của TOE.

12.6.3.3.1 Đơn vị công việc ALC_FLR.3-1

Người đánh giá cần kiểm tra tài liệu hướng dẫn thủ tục khắc phục sai sót để xác định rằng nó mô tả các thủ tục được sử dụng để theo dõi tất cả các sai sót an toàn được báo cáo trong từng phiên bản phát hành của TOE.

Các thủ tục mô tả các hành động được thực hiện bởi nhà phát triển từ thời điểm từng sai sót an toàn khả nghi được báo cáo đến thời điểm nó được giải quyết. Điều này bao gồm toàn bộ khung thời gian của sai sót, từ lúc phát hiện ban đầu thông qua việc xác rằng sai sót này là một sai sót an toàn đến lúc giải quyết sai sót an toàn.

...

12.6.3.3.2 Đơn vị công việc ALC_FLR.3-2

Các thủ tục chỉ ra các hành động được thực hiện bởi nhà phát triển để mô tả bản chất và ảnh hưởng của từng sai sót an toàn đầy đủ chi tiết để có thể tái tạo nó. Các mô tả về bản chất của một sai sót an toàn để xem nó là lỗi trong tài liệu hướng dẫn, sai sót trong thiết kế của TSF hay là sai sót trong việc thực hiện TSF, vv. Các mô tả về ảnh hưởng của sai sót an toàn chỉ ra các phần của TSF bị ảnh hưởng và mức độ các phần bị ảnh hưởng. Ví dụ, một sai sót an toàn trong việc thực hiện có thể được tìm thấy có ảnh hưởng đến việc nhận dạng và xác thực bởi các TSF bằng cách cho phép xác thực với mật khẩu "QUY VỀ".

12.6.3.3.3 Đơn vị công việc ALC_FLR.3-3

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục sẽ chỉ ra các trạng thái tìm kiếm một sự hiệu chỉnh cho từng sai sót an toàn.

Các thủ tục khắc phục sai sót chỉ ra các giai đoạn khác nhau của sai sót an toàn. Sự khác biệt này bao gồm ít nhất: Các sai sót an toàn khả nghi đã được báo cáo, Các sai sót an toàn khả nghi đã được xác định là sai sót an toàn và các sai sót an toàn mà các giải pháp đã được thực hiện. Được phép thêm các giai đoạn bao gồm (ví dụ như sai sót đó đã được báo cáo nhưng chưa được điều tra, sai sót đang được điều tra, các sai sót an toàn mà một giải pháp đã được tìm thấy nhưng chưa thực hiện).

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.3.3C: Các thủ tục khắc phục sai sót yêu cầu rằng các hành động khắc phục được xác định cho từng sai sót an toàn.

12.6.3.3.4 Đơn vị công việc ALC_FLR.3-4

...

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.3.4C: Tài liệu các thủ tục khắc phục sai sót cần mô tả các phương pháp sử dụng để cung cấp thông tin sai sót, các hiệu chỉnh và hướng dẫn về các hành động khắc phục cho người sử dụng TOE

12.6.3.3.5 Đơn vị công việc ALC_FLR.3-5

Các thông tin cần thiết về từng sai sót an toàn bao gồm mô tả của nó (không nhất thiết phải ở cùng một mức độ chi tiết như được cung cấp ở phần đơn vị công việc ALC_FLR.3-2), các hành động khắc phục theo quy định và bất kỳ hướng dẫn có liên quan về việc thực hiện các hiệu chỉnh.

Người sử dụng TOE có thể được cung cấp những thông tin như vậy, hiệu chỉnh và cập nhật tài liệu theo nhiều cách, chẳng hạn như đăng tải lên một trang web, gửi tới các người dùng TOE hoặc các thỏa thuận được thực hiện với nhà phát triển để cài đặt hiệu chỉnh. Trong trường hợp nơi mà các phương tiện cung cấp thông tin này đòi hỏi phải có hành động được khởi tạo bởi người sử dụng TOE, người đánh giá kiểm tra bất kỳ hướng dẫn TOE để đảm bảo rằng nó chứa các hướng dẫn để lấy thông tin.

Các số liệu chỉ để đánh giá sự phù hợp của một phương pháp được sử dụng để cung cấp các thông tin, hiệu chỉnh và hướng dẫn có thể là một kỳ vọng hợp lý mà người dùng TOE có thể có được hoặc nhận được nó. Ví dụ, xem xét một phương pháp phổ biến mà các dữ liệu cần thiết được trang tải lên một trang web trong một tháng và người sử dụng TOE biết rằng điều này sẽ xảy ra và khi nào điều này sẽ xảy ra. Điều này có thể là không đặc biệt hoặc hiệu quả (khi nói rằng nó đăng tải lâu dài trên trang web), nhưng nó khả thi để người sử dụng TOE có thể có được các thông tin cần thiết. Mặt khác, nếu các thông tin được đăng tải trên trang web chỉ trong một giờ, nhưng người dùng TOE không có cách nào biết được điều này hoặc khi nào nó sẽ được đăng, nó là không khả thi để chúng ta có được những thông tin cần thiết.

Đối với người dùng TOE người đăng ký với các nhà phát triển (xem đơn vị công tác ALC_FLR.3-12), sự sẵn có thụ động của thông tin này là không đủ. Nhà phát triển phải chủ động gửi thông tin (hoặc một thông báo sẵn có) tới người sử dụng TOE đã đăng ký.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.3.5C: Các thủ tục khắc phục sai sót cần mô tả các phương tiện mà nhà phát triển nhận báo cáo từ người sử dụng TOE và các câu hỏi về các sai sót an toàn khả nghi trong TOE.

...

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ đem lại một phương tiện để nhà phát triển tiếp nhận các báo cáo về sai sót an toàn khả nghi hoặc các yêu cầu để hiệu chỉnh các sai sót đó từ người sử dụng TOE.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.3.6C: Các thủ tục khắc phục sai sót nên bao gồm một thủ tục yêu cầu đáp ứng kịp thời và phân phối tự động các báo cáo sai sót an toàn và các hiệu chỉnh liên quan tới người dùng đã đăng ký có thể bị ảnh hưởng bởi sai sót an toàn.

12.6.3.3.7 Đơn vị công việc ALC_FLR.3-7

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ dẫn đến một phương tiện kịp thời cung cấp người dùng TOE đã đăng ký có thể bị ảnh hưởng với báo cáo và các hiệu chỉnh có liên quan đến từng sai sót an toàn.

Việc phát hành kịp thời áp dụng để phát hành của cả các báo cáo sai sót an toàn và các hiệu chỉnh có liên quan. Tuy nhiên, chúng không nhất thiết phải được phát hành cùng một lúc. Phải thừa nhận rằng báo cáo sai sót cần được tạo ra và ban hành ngay sau khi một giải pháp tạm thời được tìm thấy, ngay cả khi đó là giải pháp quyết liệt như khi tắt TOE. Tương tự như vậy, khi một giải pháp lâu dài hơn (và ít quyết liệt) được tìm thấy, nó cần được ban hành không chậm trễ.

Không cần thiết phải hạn chế những người nhận các báo cáo và hiệu chỉnh có liên quan chỉ là những người sử dụng TOE có thể bị ảnh hưởng bởi sai sót an toàn; nó cho phép tất cả người dùng TOE được cung cấp báo cáo và hiệu chỉnh cho tất cả các sai sót an toàn, cung cấp như vậy được thực hiện một cách kịp thời.

12.6.3.3.8 Đơn vị công việc ALC_FLR.3-8

...

Tự động phân phối không có nghĩa là con người tương tác với các phương pháp phân phối không được phép. Trong thực tế, phương pháp phân phối có thể bao gồm toàn bộ các thủ tục nhân công, có thể thông qua một thủ tục được giám sát chặt chẽ với mức độ tăng dần được quy định theo sự thiếu vấn đề của báo cáo hoặc hiệu chỉnh.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.3.7C: Các thủ tục để xử lý các sai sót an toàn đã báo cáo cần đảm bảo rằng bất kỳ sai sót đã báo cáo nào đều phải được khắc phục và các thủ tục khắc phục phải được cung cấp cho người dùng TOE.

12.6.3.3.9 Đơn vị công việc ALC_FLR.3-9

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục sẽ giúp để đảm bảo rằng tất cả các sai sót được báo cáo đều được hiệu chỉnh.

Thủ tục khắc phục sai sót không chỉ bao gồm các sai sót an toàn được phát hiện và được báo cáo bởi nhân viên phát triển mà còn có cả các báo cáo của người dùng TOE. Các thủ tục được mô tả theo cách đầy đủ chi tiết để đảm bảo rằng từng sai sót an toàn báo cáo được khắc phục. Các thủ tục bao gồm các bước hợp lý cho thấy sự tiến bộ quan trọng mang lại một giải pháp chắc chắn.

Các thủ tục mô tả các quá trình được thực hiện từ thời điểm mà tại đó các sai sót an toàn khả nghi được xác định là một sai sót an toàn đến thời điểm nó được giải quyết.

12.6.3.3.10 Đơn vị công việc ALC_FLR.3-10

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ giúp đảm bảo rằng người sử dụng TOE được ban hành các thủ tục khắc phục cho từng sai sót an toàn.

...

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.3.8C: Các thủ tục để xử lý các sai sót an toàn đã báo cáo cần cung cấp sự bảo vệ an toàn sao cho bất kỳ hiệu chỉnh nào đối với các sai sót an toàn đó mà không làm phát sinh bất kỳ sai sót mới.

12.6.3.3.11 Đơn vị công việc ALC_FLR.3-11

Người đánh giá cần kiểm tra các thủ tục khắc phục sai sót để xác định rằng việc áp dụng các thủ tục này sẽ dẫn đến biện pháp bảo vệ sự hiệu chỉnh tiềm ẩn không chứa các tác dụng phụ.

Thông qua phân tích, kiểm thử hoặc kết hợp cả hai, nhà phát triển có thể làm giảm khả năng phát sinh các tác dụng phụ khi một sai sót an toàn được hiệu chỉnh. Người đánh giá sẽ đánh giá liệu các thủ tục cung cấp chi tiết trong cách kết hợp cần thiết của các hành động phân tích và kiểm thử được xác định cho một hiệu chỉnh nhất định.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.3.9C: Hướng dẫn khắc phục sai sót cần mô tả các phương tiện mà người sử dụng TOE báo cáo cho nhà phát triển về bất kỳ sai sót an toàn khả nghi nào trong TOE.

12.6.3.3.12 Đơn vị công việc ALC_FLR.3-12

Các hướng dẫn đảm bảo rằng người sử dụng TOE có một phương tiện mà họ có thể liên lạc với nhà phát triển TOE. Bởi có phương tiện liên lạc với nhà phát triển, người sử dụng có thể báo cáo các sai sót an toàn, tìm hiểu về các trạng thái của sai sót an toàn hoặc yêu cầu hiệu chỉnh các sai sót.

...

12.6.3.3.13 Đơn vị công việc ALC_FLR.3-13

Người đánh giá cần kiểm tra các hướng dẫn khắc phục sai sót để xác định rằng nó mô tả một phương tiện cho phép người sử dụng TOE để đăng ký với nhà phát triển.

Phương tiện cho phép người sử dụng TOE để đăng ký với nhà phát triển đơn giản có nghĩa là có một cách để mỗi người sử dụng TOE cung cấp cho nhà phát triển với một điểm giao dịch; điểm giao dịch này sẽ được sử dụng để cung cấp cho người sử dụng TOE các thông tin liên quan đến sai sót an toàn có thể ảnh hưởng đến người dùng TOE, với bất kỳ hiệu chỉnh nào về sai sót an toàn. Đăng ký người sử dụng TOE có thể được thực hiện như một phần của quy trình tiêu chuẩn mà người dùng TOE trải qua để xác nhận người sử dụng TOE với nhà phát triển, cho các mục đích đăng ký bản quyền phần mềm hoặc để nhận được bản cập nhật và thông tin hữu ích khác.

Không nhất thiết phải là một người sử dụng TOE đăng ký cho một cài đặt của TOE; nó sẽ là đủ nếu có một người sử dụng TOE được đăng ký cho một tổ chức. Ví dụ, một người sử dụng TOE của công ty có thể có một văn phòng mua lại tập trung cho tất cả các trang web của mình. Trong trường hợp này, các văn phòng mua lại sẽ là một điểm liên lạc đủ cho tất cả các trang web mà người dùng TOE, để tất cả các sự cài đặt của người sử dụng TOE TOE có một điểm liên lạc đăng ký.

Mỗi một người dùng TOE không nhất thiết phải đăng ký cho một bản cài đặt TOE, mà sẽ là đủ nếu một người sử dụng TOE đăng ký đại diện cho một tổ chức. Ví dụ, Người sử dụng TOE là một công ty có thể có một trụ sở tập trung cho tất cả các địa điểm của mình. Trong trường hợp này, trụ sở tập trung sẽ là một điểm liên lạc hiệu quả cho tất cả các địa điểm người dùng TOE, do đó cài đặt cho tất cả các người dùng TOE có cùng một điểm liên lạc đăng ký.

Trong cả hai trường hợp, có thể liên kết mỗi TOE được chuyển giao với tổ chức nhằm đảm bảo rằng có một đăng ký sử dụng cho mỗi TOE. Đối với các tổ chức có nhiều địa chỉ khác nhau, điều này đảm bảo rằng sẽ có không có người sử dụng bao gồm bởi một TOE đã đăng ký sử dụng.

Cần lưu ý rằng người dùng TOE không cần phải đăng ký; họ chỉ được cung cấp với một phương tiện để làm như vậy. Tuy nhiên, người sử dụng lựa chọn đăng ký phải gửi thông tin trực tiếp (hoặc thông báo sẵn có của nó).

TCVN 8709-3 (ISO/IEC 15408-3) ALC_FLR.3.11C: Hướng dẫn khắc phục sai sót cần xác nhận các điểm liên lạc cụ thể cho tất cả các báo cáo và yêu cầu về các vấn đề an toàn liên quan đến TOE.

12.6.3.3.14 Đơn vị công việc ALC_FLR.3-14

...

12.7 Định nghĩa vòng đời (ALC_LCD)

12.7.1 Đánh giá hoạt động con (ALC_LCD.1)

12.7.1.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định xem liệu nhà phát triển đã sử dụng một mô hình tài liệu của vòng đời TOE hay không.

12.7.1.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) tài liệu định nghĩa vòng đời.

12.7.1.3 Hành động ALC_LCD.1.1E

...

12.7.1.3.1 Đơn vị công việc ALC_LCD.1-1

Người đánh giá cần kiểm tra các tài liệu mô tả của mô hình vòng đời sử dụng để xác định rằng nó bao gồm các quá trình phát triển và bảo trì.

Các mô tả của mô hình vòng đời nên bao gồm:

a) thông tin về các giai đoạn vòng đời của TOE và ranh giới giữa các giai đoạn tiếp theo;

b) thông tin về các thủ tục, các công cụ và kỹ thuật được sử dụng bởi nhà phát triển (ví dụ như thiết kế, lập trình, kiểm thử, phát hiện - sửa lỗi);

c) cấu trúc quản lý tổng thể quản lý việc áp dụng các thủ tục (ví dụ như xác định và mô tả về trách nhiệm cá nhân đối với từng thủ tục theo yêu cầu của quá trình phát triển và bảo trì bao gồm bởi mô hình vòng đời);

d) thông tin về các phần của TOE được cung cấp bởi các nhà thầu phụ, nếu nhà thầu phụ tham gia.

Đánh giá về hoạt động con (ALC_LCD.1) không đòi hỏi mô hình sử dụng để phù hợp với bất kỳ mô hình vòng đời tiêu chuẩn.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_LCD.1.2C: Mô hình vòng đời cần cung cấp kiểm soát cần thiết cho việc phát triển và bảo trì TOE.

...

Người đánh giá cần kiểm tra các mô hình vòng đời để xác định rằng việc sử dụng các thủ tục, các công cụ và kỹ thuật được mô tả bởi các mô hình vòng đời sẽ đóng góp tích cực cần thiết cho sự phát triển và bảo trì của TOE.

Các thông tin được cung cấp trong các mô hình vòng đời cho phép người đánh giá đảm bảo rằng các thủ tục phát triển và bảo trì áp dụng sẽ hạn chế tối đa khả năng xảy ra các sai sót an toàn. Ví dụ, nếu các mô hình vòng đời mô tả quá trình xem xét, nhưng không có sự chuẩn bị đầy đủ để ghi lại những thay đổi thành phần, sau đó người đánh giá có thể không chắc chắn rằng các lỗi sẽ không phát sinh trong TOE. Người đánh giá có thể đạt được đảm bảo hơn nữa bằng cách so sánh các mô tả của mô hình đối với sự hiểu biết về quá trình phát triển thu được từ việc thực hiện hành động đánh giá khác liên quan đến sự phát triển TOE (ví dụ như được đề cập trong khả năng CM (ALC_CMC)). Khiếm khuyết được xác định trong mô hình vòng đời sẽ được quan tâm nếu chúng có thể là lý do được dự kiến sẽ làm tăng sự phát sinh của các sai sót vào TOE hoặc là vô tình hay cố ý.

TCVN 8709 (ISO/IEC 15408) không ủy quyền bất kỳ phương pháp tiếp cận phát triển đặc biệt nào và nên được đánh giá dựa trên năng lực. Ví dụ, các tiếp cận hình xoắn ốc, nhanh chóng, tạo mẫu và phương pháp tiếp cận thác nước để thiết kế tất cả có thể được sử dụng để sản xuất một TOE chất lượng nếu được áp dụng trong một môi trường có kiểm soát.

12.7.2 Đánh giá hoạt động con (ALC_LCD.2)

12.7.2.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định nhà phát triển đã sử dụng một mô hình tài liệu và đo lường của vòng đời TOE.

12.7.2.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

...

c) thông tin về các tiêu chuẩn được sử dụng;

d) tài liệu đầu ra vòng đời.

12.7.2.3 Hành động ALC_LCD.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_LCD.2.1C: Tài liệu định nghĩa vòng đời cần mô tả mô hình được sử dụng để phát triển và bảo trì TOE, bao gồm các chi tiết về tham số số học của nó và/hoặc các số đo dùng để đo lường chất lượng TOE và/hoặc việc phát triển nó.

12.7.2.3.1 Đơn vị công việc ALC_LCD.2-1

Người đánh giá cần kiểm tra các tài liệu mô tả mô hình vòng đời sử dụng để xác định rằng nó bao gồm quá trình phát triển và bảo trì, bao gồm các chi tiết về thông số số học và/hoặc các số đo được sử dụng để đánh giá sự phát triển TOE.

Các mô tả của mô hình vòng đời bao gồm:

a) thông tin về các giai đoạn vòng đời của TOE và ranh giới giữa các giai đoạn tiếp theo;

b) thông tin về các thủ tục, các công cụ và kỹ thuật được sử dụng bởi nhà phát triển (ví dụ như thiết kế, lập trình, kiểm thử, phát hiện-sửa lỗi);

...

d) thông tin về các phần của TOE được cung cấp bởi các nhà thầu phụ, nếu nhà thầu phụ tham gia;

e) thông tin về các thông số/số đo được sử dụng để đánh giá sự phát triển TOE. Tiêu chuẩn số đo thường bao gồm các hướng dẫn để đánh giá và sản xuất sản phẩm đáng tin cậy và bao gồm các khía cạnh độ tin cậy, chất lượng, hiệu suất, độ phức tạp và chi phí. Để đánh giá tất cả các số đo liên quan mà nó được sử dụng để nâng cao chất lượng bằng cách giảm xác suất lỗi và do đó tăng đảm bảo an toàn của TOE.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_LCD.2.2C: Mô hình vòng đời cần cung cấp kiểm soát cần thiết cho việc phát triển và bảo trì TOE.

12.7.2.3.2 Đơn vị công việc ALC_LCD.2-2

Người đánh giá trách nhiệm kiểm tra các mô hình vòng đời để xác định rằng việc sử dụng các thủ tục, các công cụ và kỹ thuật được mô tả bởi các mô hình vòng đời sẽ làm cho sự đóng góp tích cực cần thiết cho sự phát triển và duy trì của TOE.

Các thông tin được cung cấp trong các mô hình vòng đời cho phép người đánh giá đảm bảo rằng các thủ tục phát triển và bảo trì áp dụng sẽ hạn chế tối đa khả năng xảy ra các sai sót an toàn. Ví dụ, nếu các mô hình vòng đời mô tả quá trình xem xét, nhưng không có sự chuẩn bị đầy đủ để ghi lại những thay đổi thành phần, sau đó người đánh giá có thể không chắc chắn rằng các lỗi sẽ không phát sinh trong TOE. Người đánh giá có thể đạt được đảm bảo hơn nữa bằng cách so sánh các mô tả của mô hình đối với sự hiểu biết về quá trình phát triển thu được từ việc thực hiện hành động đánh giá khác liên quan đến sự phát triển TOE (ví dụ như được đề cấp trong khả năng CM (ALC_CMC)). Khiếm khuyết được xác định trong mô hình vòng đời sẽ được quan tâm nếu chúng có thể là lý do được dự kiến sẽ làm tăng sự phát sinh của các sai sót vào TOE hoặc là vô tình hay cố ý.

ISO/IEC 15408 không ủy quyền bất kỳ phương pháp tiếp cận phát triển đặc biệt nào và nên được đánh giá dựa trên năng lực. Ví dụ, các tiếp cận hình xoắn ốc, nhanh chóng, tạo mẫu và phương pháp tiếp cận thác nước để thiết kế tất cả có thể được sử dụng để sản xuất một TOE chất lượng nếu được áp dụng trong một môi trường có kiểm soát.

Đối với các số đo/phép đo được sử dụng trong các mô hình vòng đời, bằng chứng có để được cung cấp đó cho thấy cách những số đo/phép đo hữu ích góp phần vào sự giảm thiểu khả năng xảy ra sai sót. Điều này có thể xem như là các mục tiêu tổng thể để đo lường trong bối cảnh ALC. Kết quả là các số đo/phép đo đã được lựa chọn dựa trên năng lực của mình để đạt được mục tiêu tổng thể hoặc đóng góp vào đó. Trong lần đầu tiên thực hiện một biện pháp phù hợp đối với ALC nếu mối tương quan giữa các số liệu/biện pháp và các số sai sót có thể được ghi với một số mức độ tin cậy. Nhưng cũng có số đo/đo lường hữu ích cho mục đích quản lý là để lập kế hoạch và giám sát sự phát triển TOE hữu ích kể từ khi bị quản lý dự án nguy cơ để khởi tạo dẫn đến chất lượng kém và sai sót.

Có thể sử dụng số liệu cho cải tiến chất lượng, do đó sử dụng này là không rõ ràng. Ví dụ số liệu để ước tính dự kiến chi phí của phát triển sản phẩm có thể giúp chất lượng, nếu nhà phát triển có thể chỉ ra rằng điều này được sử dụng để cung cấp một ngân sách đầy đủ cho dự án phát triển và điều này giúp tránh các vấn đề phát chất lượng sinh từ tình trạng thiếu nguồn lực.

...

TCVN 8709-3 (ISO/IEC 15408-3) ALC_LCD.2.3C: Tài liệu đầu ra của vòng đời cần đưa ra kết quả về các phép đo sự phát triển TOE với mô hình vòng đời định lượng.

12.7.2.3.3 Đơn vị công việc ALC_LCD.2-3

Người đánh giá cần kiểm tra tài liệu đầu ra vòng đời để xác định nó cung cấp các kết quả của các phép đo phát triển của TOE bằng cách sử dụng mô hình vòng đời đo lường được.

Các kết quả đo và tiến triển vòng đời TOE nên phù hợp với mô hình vòng đời.

Các tài liệu đầu ra không chỉ bao gồm các số giá trị của các số liệu mà còn văn bản hành động thực hiện là kết quả của các phép đo theo các mô hình. Ví dụ có thể là yêu cầu rằng một giai đoạn thiết kế nhất định cần phải được lặp đi lặp lại, nếu một số tỷ lệ lỗi đo trong quá trình kiểm tra là bên ngoài một ngưỡng quy định. Trong trường hợp này các tài liệu hướng dẫn nên xem hành động đã được thực hiện, nếu thực sự các ngưỡng không được đáp ứng.

Nếu việc đánh giá được tiến hành song song với sự phát triển của TOE nó có thể chất lượng đo lường đã không được sử dụng trong quá khứ. Trong trường hợp này, người đánh giá nên sử dụng tài liệu của các thủ tục lên kế hoạch để có được sự tự tin tưởng rằng hành động khắc phục được xác định nếu kết quả của chất lượng đo đi chệch khỏi một số ngưỡng quy định.

12.8 Công cụ và kỹ thuật (ALC_TAT)

12.8.1 Đánh giá hoạt động con (ALC_TAT.1)

12.8.1.1 Mục tiêu

...

12.8.1.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) tài liệu công cụ phát triển;

b) tập hợp con của đại diện thực hiện.

12.8.1.3 Lưu ý áp dụng

Công việc này có thể được thực hiện song song với các hoạt động đánh giá theo đại diện thực hiện (ADV_IMP), đặc biệt liên quan đến việc xác định sử dụng các tính năng trong các công cụ đó sẽ ảnh hưởng đến các mã đối tượng (ví dụ như các tùy chọn biên dịch).

12.8.1.4 Hành động ALC_TAT.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_TAT.1.1C: Mọi công cụ phát triển sử dụng cho triển khai cần xác định rõ ràng.

12.8.1.4.1 Đơn vị công việc ALC_TAT.1-1

...

Ví dụ, một ngôn ngữ xác định, trình biên dịch hoặc hệ thống CAD có thể được xem là một trong những phù hợp với một tiêu chuẩn được công nhận, chẳng hạn như các tiêu chuẩn ISO. Một ngôn ngữ cũng được xác định rõ ràng và mô tả đầy đủ cú pháp của nó và mô tả chi tiết về các ngữ nghĩa của từng thành phần.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_TAT.1.2C: Tài liệu cho mỗi công cụ phát triển cần định nghĩa rõ ràng ý nghĩa của tất cả các tuyên bố cũng như các quy ước và các chỉ dẫn sử dụng trong triển khai.

12.8.1.4.2 Đơn vị công việc ALC_TAT.1-2

Người đánh giá cần kiểm tra các tài liệu của mỗi công cụ phát triển để xác định rõ ràng ý nghĩa của tất cả các báo cáo cũng như tất cả các công ước và quy ước sử dụng trong việc thực hiện.

Các tài liệu công cụ phát triển (ví dụ như đặc tả ngôn ngữ lập trình và hướng dẫn sử dụng) nên bao gồm tất cả các báo cáo được sử dụng trong các đại diện thực hiện TOE và cho từng tuyên bố nên cung cấp một định nghĩa rõ ràng về mục đích và hiệu quả của tuyên bố đó, công việc này có thể được thực hiện song song với việc kiểm tra của người đánh giá của các đại diện thực được hiện thực hiện trong các hoạt động con ADV_IMP. Kiểm thử then chốt mà người đánh giá nên áp dụng là có hoặc không có tài liệu hướng dẫn đầy đủ rõ ràng để người đánh giá có khả năng hiểu được các đại diện thực hiện. Tài liệu hướng dẫn không nên giả định (ví dụ) rằng người đọc là một chuyên gia trong các ngôn ngữ lập trình được sử dụng.

Tài liệu tham khảo cho các tài liệu tiêu chuẩn sử dụng là một cách tiếp cận có thể chấp nhận để đáp ứng yêu cầu này, các ý kiến cung cấp có sẵn cho người đánh giá. Bất kỳ sự khác biệt so với tiêu chuẩn cần được ghi nhận.

Các kiểm thử quan trọng là liệu người đánh giá có thể hiểu được TOE nguồn khi thực hiện các nguồn đang phân tích bao gồm trong hoạt động con ADV_IMP. Tuy nhiên, danh sách kiểm tra sau đây có thể bổ sung được sử dụng trong tìm kiếm cho khu vực có vấn đề:

a) Trong các định nghĩa ngôn ngữ, cụm từ như "hiệu quả của cấu trúc này là không xác định" và các thuật ngữ như "Thực hiện phụ thuộc" hay "sai lầm" có thể chỉ ra khu vực xác định sai.

b) Ánh xạ (cho phép cùng một phần của bộ nhớ được tham chiếu trong khác nhau cách) là một nguồn thông thường các vấn đề không rõ ràng.

...

Hầu hết các ngôn ngữ sử dụng phổ biến, tuy nhiên được thiết kế tốt, sẽ có một số cấu trúc có vấn đề. Nếu ngôn ngữ thực hiện chủ yếu được xác định rõ, nhưng một số cấu trúc có vấn đề tồn tại, thì một kết luận phải được phân bổ, cấp phát kiểm tra các mã nguồn.

Người đánh giá cần xác minh, trong các kiểm thử mã nguồn, bất kỳ các cấu trúc sử dụng có vấn đề không gây ra các điểm yếu. Người đánh giá cũng nên đảm bảo rằng thành phần không nằm trong tài liệu tiêu chuẩn không được sử dụng.

Các tài liệu hướng dẫn công cụ phát triển nên xác định tất cả các công ước và quy ước sử dụng trong việc thực hiện.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_TAT.1.3C: Tài liệu cho mỗi công cụ phát triển cần định nghĩa rõ ràng ý nghĩa của tất cả các tùy chọn phụ thuộc triển khai.

12.8.1.4.3 Đơn vị công việc ALC_TAT.1-3

Người đánh giá cần kiểm tra các tài liệu hướng dẫn phát triển công cụ để xác định rằng rõ ràng định nghĩa các ý nghĩa của tất cả các tùy chọn thực hiện phụ thuộc.

Các tài liệu của công cụ phát triển phần mềm cần bao gồm định nghĩa của việc thực hiện phụ thuộc vào tùy chọn mà có thể ảnh hưởng đến ý nghĩa của thực thi mã và những điều khác với tiêu chuẩn ngôn ngữ như tài liệu. Trường hợp mã nguồn được cung cấp để người đánh giá, thông tin cũng cần được cung cấp thiết lập và tùy chọn kết nối được sử dụng.

Các tài liệu cho thiết kế phần cứng và phát triển các công cụ cần mô tả việc sử dụng tất cả các tùy chọn ảnh hưởng đến đầu ra từ các công cụ (ví dụ như chi tiết thông số kỹ thuật phần cứng hoặc phần cứng thực tế).

12.8.2 Đánh giá hoạt động con (ALC_TAT.2)

...

Các mục tiêu hoạt động con này là để xác định liệu nhà phát triển đã sử dụng công cụ phát triển được xác định rõ (ví dụ như lập trình ngôn ngữ hoặc máy tính hỗ trợ thiết kế (CAD) hệ thống) có kết quả nhất quán và dự đoán được và các tiêu chuẩn thực hiện đã được áp dụng.

12.8.2.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) tài liệu công cụ phát triển;

b) đặc tả tiêu chuẩn thực hiện;

c) đại diện thực hiện cung cấp của TSF.

12.8.2.3 Lưu ý áp dụng

Công việc này có thể được thực hiện song song với việc đánh giá các hoạt động theo ADV_IMP, đặc biệt để xác định các tính năng sử dụng trong các công cụ đó sẽ ảnh hưởng đến mã đối tượng (ví dụ như tùy chọn biên dịch).

12.8.2.4 Hành động ALC_TAT.2.1E

...

12.8.2.4.1 Đơn vị công việc ALC_TAT.2-1

Người đánh giá cần kiểm tra các tài liệu hướng dẫn công cụ phát triển được cung cấp để xác định rằng mỗi công cụ phát triển là rõ ràng.

Ví dụ, một ngôn ngữ, biên dịch hoặc hệ thống CAD cũng được xác định có thể được xem là một trong những phù hợp với một tiêu chuẩn được công nhận, chẳng hạn như các tiêu chuẩn ISO. Một ngôn ngữ cũng được xác định rõ ràng và mô tả đầy đủ cú pháp của nó và mô tả chi tiết về các ngữ nghĩa của từng thành phần.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_TAT.2.2C: Tài liệu cho mỗi công cụ phát triển cần định nghĩa rõ ràng ý nghĩa của tất cả các tuyên bố cũng như các quy ước và các chỉ dẫn sử dụng trong triển khai.

12.8.2.4.2 Đơn vị công việc ALC_TAT.2-2

Các tài liệu công cụ phát triển (ví dụ như lập trình ngôn ngữ và thông số kỹ thuật hướng dẫn sử dụng) nên bao gồm tất cả các báo cáo được sử dụng trong các đại diện thực hiện TOE và cho từng như công bố nên cung cấp một định nghĩa rõ ràng về mục đích và hiệu quả của tuyên bố đó, công việc này có thể được thực hiện song song với việc kiểm tra của đánh giá của các đại diện thực hiện thực hiện trong các hoạt động con ADV_IMP. Kiểm tra then chốt mà người đánh giá nên áp dụng là có hoặc không có tài liệu hướng dẫn đủ rõ ràng để đánh giá và có khả năng để hiểu được các đại diện thực hiện. Các tài liệu hướng dẫn không nên giả định (ví dụ) rằng người đọc là một chuyên gia về các chương trình ngôn ngữ sử dụng.

...

b) Ánh xạ (cho phép cùng một phần của bộ nhớ được tham chiếu theo nhiều cách khác nhau) là một nguồn thông thường các vấn đề không rõ ràng.

c) Xử lý ngoại lệ (ví dụ như những gì xảy ra sau khi bộ nhớ cạn kiệt, tràn bộ nhớ) thường xác định không rõ ràng.

Hầu hết các ngôn ngữ sử dụng phổ biến, tuy nhiên được thiết kế tốt, sẽ có một số cấu trúc có vấn đề. Nếu ngôn ngữ thực hiện chủ yếu được xác định rõ, nhưng một số cấu trúc có vấn đề tồn tại, sau đó một kết luận phải được phân bổ, cấp phát kiểm tra các mã nguồn.

Các tài liệu hướng dẫn công cụ phát triển nên xác định tất cả các công ước và quy ước sử dụng trong việc thực hiện.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_TAT.2.3C: Tài liệu cho mỗi công cụ phát triển cần định nghĩa rõ ràng ý nghĩa của tất cả các tùy chọn phụ thuộc triển khai.

12.8.2.4.3 Đơn vị công việc ALC_TAT.2-3

Người đánh giá cần kiểm tra các phát triển tài liệu hướng dẫn công cụ để xác định rằng nó rõ ràng định nghĩa các ý nghĩa của tất cả các tùy chọn thực hiện phụ thuộc.

Các tài liệu về phát triển phần mềm công cụ cần bao gồm định nghĩa của việc thực hiện phụ thuộc vào tùy chọn mà có thể ảnh hưởng đến ý nghĩa của thực thi mã và những điều với tiêu chuẩn ngôn ngữ như tài liệu. Trường hợp mã nguồn được cung cấp để người đánh giá, thông tin cũng cần được cung cấp dựa trên tùy chọn kết nối được sử dụng.

...

12.8.2.5 Hành động ALC_TAT.2.2E

12.8.2.5.1 Đơn vị công việc ALC_TAT.2-4

Người đánh giá cần xem xét các khía cạnh của quá trình thực hiện để xác định rằng tài liệu tiêu chuẩn thực hiện đã được áp dụng.

Điều này đòi hỏi các đơn vị công việc phân tích đánh giá việc thực hiện cung cấp đại diện của TOE để xác định xem tài liệu thực hiện các tiêu chuẩn đã được áp dụng.

Người đánh giá cần xác minh rằng cấu trúc loại trừ các tài liệu tiêu chuẩn không được sử dụng.

Ngoài ra, người đánh giá cần xác minh nhà phát triển các thủ tục để đảm bảo việc áp dụng các tiêu chuẩn quy định trong thiết kế và quá trình thực hiện TOE. Do đó, bằng chứng trong tài liệu nên được bổ sung về việc đi thực tế môi trường phát triển. Một chuyến viếng thăm các môi trường phát triển sẽ cho phép người đánh giá:

a) quan sát việc áp dụng các quy định tiêu chuẩn;

b) kiểm tra bằng chứng trong tài liệu về việc áp dụng các thủ tục mô tả việc sử dụng các tiêu chuẩn quy định;

c) phỏng vấn nhân viên phát triển để kiểm tra nhận thức về việc áp dụng các quy định tiêu chuẩn, thủ tục.

...

Người đánh giá so sánh cung cấp đại diện thực hiện với các mô tả về các ứng dụng thực hiện các tiêu chuẩn và xác minh việc sử dụng chúng.

Tại mức độ này, không yêu cầu cung cấp đầy đủ đại diện thực hiện các TSF dựa trên tiêu chuẩn thực hiện, nhưng chỉ những phần đó được phát triển bởi TOE phát triển. Người đánh giá có thể tham khảo danh sách cấu hình yêu cầu của các phạm vi CM (ALC_CMS) để có được các thông tin trong đó các bộ phận được phát triển bởi TOE phát triển và đó bởi nhà phát triển bên thứ ba.

Nếu các tiêu chuẩn thực hiện tham chiếu không được áp dụng cho ít nhất là các bộ phận của cung cấp đại diện thực hiện, người đánh giá hành động liên quan này đơn vị công việc được chỉ định một phán quyết thất bại.

Lưu ý rằng các phần của TOE mà không phải TSF liên quan không cần phải được kiểm tra. Đơn vị công việc này có thể được thực hiện kết hợp với các hoạt động đánh giá dưới ADV_IMP.

12.8.3 Đánh giá hoạt động con (ALC_TAT.3)

12.8.3.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định liệu nhà phát triển và các nhà thầu phụ đã sử dụng công cụ phát triển xác định rõ ràng (ví dụ như lập trình ngôn ngữ hoặc thiết kế máy tính hỗ trợ (CAD) hệ thống) mà kết quả nhất quán và có thể dự đoán và các tiêu chuẩn thực hiện đã được áp dụng.

12.8.3.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

...

b) đặc tả tiêu chuẩn thực hiện;

c) đại diện thực hiện cung cấp của TSF.

12.8.3.3 Lưu ý áp dụng

Công việc này có thể được thực hiện song song với việc đánh giá các hoạt động theo ADV_IMP, đặc biệt đối với xác định các tính năng sử dụng trong các công cụ đó sẽ ảnh hưởng đến mã đối tượng (ví dụ như lập các tùy chọn).

12.8.3.4 Hành động ALC_TAT.3.1E

TCVN 8709-3 (ISO/IEC 15408-3) ALC_TAT.3.1C: Mọi công cụ phát triển sử dụng cho triển khai cần xác định rõ ràng.

12.8.3.4.1 Đơn vị công việc ALC_TAT.3-1

Người đánh giá cần kiểm tra các tài liệu hướng dẫn công cụ phát triển được cung cấp để xác định rằng mỗi công cụ phát triển được xác định rõ ràng.

...

TCVN 8709-3 (ISO/IEC 15408-3) ALC_TAT.3.2C: Tài liệu cho mỗi công cụ phát triển cần định nghĩa rõ ràng ý nghĩa của tất cả các tuyên bố cũng như các quy ước và các chỉ dẫn sử dụng trong triển khai.

12.8.3.4.2 Đơn vị công việc ALC_TAT.3-2

Các kiểm thử quan trọng là liệu người đánh giá có thể hiểu được TOE nguồn khi thực hiện các nguồn đang phân tích bao gồm trong hoạt động con ADV IMP. Tuy nhiên, danh sách kiểm tra sau đây có thể bổ sung được sử dụng trong tìm kiếm cho khu vực có vấn đề:

b) Ánh xạ (cho phép cùng một phần của bộ nhớ được tham chiếu theo nhiều cách khác nhau) là một nguồn thông thường các vấn đề không rõ ràng.

c) Xử lý ngoại lệ (ví dụ như những gì xảy ra sau khi bộ nhớ cạn kiệt, tràn bộ nhớ) thường xác định không rõ ràng.

...

Các tài liệu hướng dẫn công cụ phát triển nên xác định tất cả các công ước và quy ước sử dụng trong việc thực hiện.

Ở cấp độ này, các tài liệu của các công cụ phát triển được sử dụng bởi bên thứ ba đóng góp cho TOE có được trong kiểm tra của đánh giá.

TCVN 8709-3 (ISO/IEC 15408-3) ALC_TAT.3.3C: Tài liệu cho mỗi công cụ phát triển cần định nghĩa rõ ràng ý nghĩa của tất cả các tùy chọn phụ thuộc triển khai.

12.8.3.4.3 Đơn vị công việc ALC_TAT.3-3

Người đánh giá cần kiểm tra các tài liệu hướng dẫn công cụ phát triển để xác định rõ ràng ý nghĩa của tất cả các tùy chọn thực hiện phụ thuộc.

Các tài liệu của các công cụ phát triển phần mềm bao gồm định nghĩa về thực hiện phụ thuộc tùy chọn mà có thể ảnh hưởng đến ý nghĩa của các mã thực thi và những thành phần khác với tiêu chuẩn ngôn ngữ như tài liệu. Trường hợp mã nguồn được cung cấp cho người đánh giá, thông tin cũng nên được cung cấp tổng hợp và các tùy chọn kết nối được sử dụng.

Các tài liệu cho thiết kế và phát triển các công cụ phần cứng nên mô tả việc sử dụng của tất cả các tùy chọn ảnh hưởng đến đầu ra từ các công cụ (ví dụ như chi tiết kỹ thuật phần cứng hoặc phần cứng thực tế).

Ở cấp độ này, các tài liệu hướng dẫn sử dụng công cụ phát triển đáp ứng của bên thứ ba để TOE có được trong kiểm tra đánh giá.

...

12.8.3.5.1 Đơn vị công việc ALC_TAT.3-4

Người đánh giá cần xem xét các khía cạnh của quá trình thực hiện để xác định rằng tài liệu tiêu chuẩn thực hiện đã được áp dụng.

Đơn vị công việc này đòi hỏi phải đánh giá để phân tích các đại diện thực hiện cung cấp của TOE để xác định các tài liệu tiêu chuẩn thực hiện đã được áp dụng.

Người đánh giá cần xác minh cấu trúc loại trừ bởi các tài liệu tiêu chuẩn không được sử dụng.

Ngoài ra, người đánh giá cần xác minh nhà phát triển các thủ tục để đảm bảo việc áp dụng các tiêu chuẩn quy định trong thiết kế và thực hiện quá trình TOE. Do đó, tài liệu bằng chứng nên được bổ sung sự phát triển môi trường. Một chuyến viếng thăm các môi trường phát triển sẽ cho phép người đánh giá:

a) quan sát việc áp dụng các tiêu chuẩn quy định;

b) kiểm tra bằng chứng trong tài liệu về việc áp dụng thủ tục mô tả việc sử dụng các tiêu chuẩn quy định;

c) phỏng vấn nhân viên phát triển để kiểm tra nhận thức về việc áp dụng các quy định tiêu chuẩn, thủ tục.

Một cuộc viếng thăm địa điểm phát triển là một phương tiện hữu ích tăng niềm tin vào các thủ tục được sử dụng. Bất kỳ quyết định không thực hiện như vậy nên được xác định với sự tham vấn các tổ chức đánh giá.

...

Tại mức độ này, yêu cầu đại diện thực hiện đầy đủ của TSF phải dựa trên các tiêu chuẩn thực hiện, bao gồm cả các đóng góp của bên thứ ba. Người đánh giá có thể được yêu cầu đi thực tế các địa điểm của các bên đóng góp. Người đánh giá có thể tra cứu về danh sách cấu hình yêu cầu bởi phạm vi CM (ALC_CMS) để biết người đã phát triển từng phần của TOE.

Lưu ý rằng các phần của TOE mà không phải liên quan đến TSF thì không cần phải được kiểm tra.

Đơn vị công việc này có thể được thực hiện kết hợp với các hoạt động đánh giá theo ADV_IMP.

13 Lớp ATE: Kiểm thử

13.1 Giới thiệu

Mục đích của hoạt động này là để xác định xem các đáp ứng của TOE như mô tả trong ST và theo quy định tại các bằng chứng đánh giá (được mô tả trong lớp ADV). Xác định này được thực hiện thông qua một số sự kết hợp của nhà phát triển về kiểm thử chức năng của TSF (kiểm thử chức năng (ATE_FUN)) và kiểm thử độc lập TSF bởi người đánh giá (kiểm thử độc lập (ATE_IND)). Ở mức thấp nhất đảm bảo, không có yêu cầu cho sự tham của nhà phát triển, vì vậy việc kiểm thử chỉ được tiến hành bởi những người đánh giá, sử dụng các thông tin sẵn có hạn chế về TOE. Đảm bảo bổ sung được tăng thêm khi nhà phát triển tham gia cả trong kiểm thử và cung cấp thêm thông tin về các TOE và là người đánh giá gia tăng các hoạt động kiểm thử độc lập.

13.2 Lưu ý áp dụng

Kiểm thử của TSF được thực hiện bởi người đánh giá và trong hầu hết các trường hợp là bởi nhà phát triển. Nỗ lực kiểm thử của người đánh giá bao gồm không chỉ tạo ra và thực hiện kiểm thử ban đầu, mà cũng đánh giá sự phù hợp của kiểm thử của nhà phát triển và thực hiện lại một tập hợp con của chúng.

Người đánh giá phân tích kiểm tra của nhà phát triển để xác định phạm vi mà chúng đủ để chứng minh rằng TSFI (xem đặc tả chức năng (ADV_FSP)) thực hiện theo quy định và để hiểu phương pháp kiểm thử của nhà phát triển. Tương tự như vậy, người đánh giá phân tích kiểm thử của nhà phát triển để xác định phạm vi mà chúng đủ để chứng minh các đáp ứng và thuộc tính nội tại của TSF.

...

Để xác định sự phù hợp của tài liệu hướng dẫn kiểm thử của nhà phát triển hoặc để tạo ra các kiểm thử mới, người đánh giá cần hiểu được các đáp ứng dự kiến mong muốn của TSF, cả về nội tại và như đã thấy TSFI, trong phạm vi của SFR để đáp ứng. Người đánh giá có thể chọn để chia TSF và TSFI thành các tập con theo các vùng chức năng của ST (phân hệ kiểm tra, TSF liên quan đến kiểm tra I, mô đun xác thực, TSFI liên quan đến xác thực, vv) nếu chúng không được phân chia trong ST và tập trung vào một tập con của TSF và TSFI tại một thời điểm, kiểm tra các yêu cầu ngắn và các bộ phận liên quan của các tài liệu phát triển và hướng dẫn để có được hiểu biết về các đáp ứng dự kiến của TOE. Sự tin tưởng vào tài liệu phát triển nhấn mạnh sự cần thiết phải phụ thuộc vào ADV bởi độ bao phủ (ATE_COV) và năng lực (ATE_DPT).

TCVN 8709 (ISO/IEC 15408) đã tách vùng phủ và năng lực từ kiểm thử chức năng để tăng tính mềm dẻo khi áp dụng các thành phần của các họ. Tuy nhiên, các yêu cầu của các họ đang dự định sẽ được áp dụng với nhau để xác nhận rằng TSF hoạt động theo đặc tả của nó. Kết hợp chặt chẽ này của các họ đã dẫn một số trùng lặp của các đơn vị công việc đánh giá qua các hoạt động con. Lưu ý áp dụng này được sử dụng để giảm thiểu sự trùng lặp của văn bản giữa các hoạt động con.

13.2.1 Tìm hiểu đáp ứng dự kiến TOE

Trước khi tính đầy đủ của tài liệu kiểm thử có thể được đánh giá một cách chính xác hoặc trước khi kiểm thử mới có thể được tạo ra, người đánh giá có hiểu các đáp ứng dự kiến mong muốn của một chức năng an toàn trong phạm vi của yêu cầu được đáp ứng.

Như đã đề cập trước đó, người đánh giá có thể lựa chọn tập con các kiểm thử TSF và TSFI tuân theo SFR (kiểm tra, xác thực, vv) trong ST và tập trung vào một tạp con tại một thời điểm. Người đánh giá kiểm tra từng yêu cầu ST, các bộ phận đặc tả chức năng có liên quan và tài liệu hướng dẫn để đạt được một sự hiểu biết về các đáp ứng dự kiến của TSFI liên quan. Tương tự như vậy, người đánh giá kiểm tra các bộ phận liên quan của thiết kế TOE và tài liệu kiến trúc an toàn để có được một hiểu biết về các đáp ứng dự kiến của các mô đun hoặc các phân hệ có liên quan của TSF.

Với hiểu biết về các đáp ứng dự kiến, người đánh giá kiểm tra các kế hoạch kiểm thử để đạt được một hiểu biết về các phương pháp kiểm thử. Trong hầu hết các trường hợp, phương pháp kiểm thử sẽ kéo theo một TSFI bị kích thích và quan sát đáp ứng của nó. Chức năng bên ngoài có thể nhìn thấy có thể được kiểm tra trực tiếp; Tuy nhiên, trong trường hợp chức năng là không nhìn thấy được bên ngoài TOE (ví dụ, kiểm thử các chức năng bảo vệ thông tin còn lại), các phương tiện khác sẽ cần phải được sử dụng.

13.2.2 Kiểm thử so với các phương pháp thay thế để xác minh đáp ứng dự kiến của các chức năng

Trong trường hợp là không thực tế hoặc không đầy đủ để kiểm thử chức năng cụ thể (nơi mà không cung cấp khả năng có thể nhìn thấy từ bên ngoài TSFI), kế hoạch kiểm thử cần xác định phương pháp thay thế để xác minh các đáp ứng dự kiến. Đây là trách nhiệm của người đánh giá để xác định sự phù hợp của phương pháp thay thế. Tuy nhiên, các điều sau đây nên được xem xét khi đánh giá sự phù hợp của các phương pháp thay thế:

a) phân tích các mô tả thực hiện để xác định rằng các đáp ứng cần thiết phải đưa ra bởi TOE là một phương pháp thay thế chấp nhận được. Điều này có thể có nghĩa là một mã kiểm tra cho một TOE phần mềm hoặc có thể kiểm tra mặt nạ chip cho một TOE phần cứng.

...

Cần nhấn mạnh rằng, bổ sung các nỗ lực kiểm thử với các phương pháp thay thế chỉ nên được thực hiện khi cả nhà phát triển và người đánh giá xác định rằng không có cách thức thực tế nào khác để kiểm thử các đáp ứng dự kiến.

13.2.3 Xác minh tính đầy đủ của các kiểm thử

Kiểm tra điều kiện ban đầu là cần thiết để thiết lập các điều kiện ban đầu cần thiết cho việc kiểm thử. Chúng có thể được thể hiện bằng các thông số cần phải được thiết lập hoặc trong điều kiện kiểm tra đặt trước khi hoàn thành của một kiểm thử thiết lập các điều kiện tiên quyết cần thiết cho kiểm tra khác. Người đánh giá cần xác định rằng điều kiện tiên quyết là đầy đủ và phù hợp trong đó họ sẽ không thiên vị các kết quả kiểm thử quan sát về phía kết quả kiểm thử dự kiến.

Các bước kiểm tra và kết quả dự kiến sẽ quy định các hành động và các thông số được áp dụng cho các TSFI cũng như làm thế nào các kết quả dự kiến cần được xác minh và những gì họ đang có. Người đánh giá cần xác định rằng các bước kiểm tra và kết quả dự kiến nhất quán với mô tả của các TSFI trong đặc tả chức năng. Điều này có nghĩa là mỗi đặc điểm của đáp ứng TSFI được mô tả một cách rõ ràng trong đặc tả chức năng nên có kiểm tra và kết quả dự kiến để xác minh các đáp ứng đó.

Mục đích chung của hoạt động kiểm thử này là để xác định rằng từng phân hệ, mô đun và TSFI đã được kiểm tra đầy đủ chống lại những tuyên bố đáp ứng trong đặc tả chức năng, thiết kế TOE và mô tả kiến trúc. Ở mức đảm bảo cao hơn, kiểm thử cũng bao gồm các giới hạn kiểm tra và kiểm tra phủ nhận. Thủ tục kiểm tra sẽ cung cấp cái nhìn sâu sắc về các TSFI, các mô đun và các phân hệ đã được thực hiện như thế nào bởi nhà phát triển trong quá trình kiểm thử. Người đánh giá sử dụng thông tin này khi phát triển các kiểm thử bổ sung để kiểm thử độc lập TSF.

13.3 Phạm vi (ATE_COV)

13.3.1 Đánh giá hoạt động con (ATE_COV.1)

13.3.1.1 Mục tiêu

Mục tiêu của hoạt động con này là để xác định xem nhà phát triển đã kiểm thử các TSFI và rằng bằng chứng phạm vi kiểm thử của nhà phát triển cho thấy sự tương ứng giữa các kiểm thử được xác định trong các tài liệu kiểm thử và các mô tả các TSFI trong đặc tả chức năng.

...

Bằng chứng đánh giá cho các hoạt động con này là:

a) ST;

b) đặc tả chức năng;

c) tài liệu kiểm thử;

d) bằng chứng phạm vi kiểm thử.

13.3.1.3 Lưu ý áp dụng

Các phân tích phạm vi được cung cấp bởi nhà phát triển là cần thiết để cho thấy sự tương ứng giữa các kiểm thử cung cấp như bằng chứng đánh giá và đặc tả chức năng. Tuy nhiên, các phân tích phạm vi không cần chứng minh rằng tất cả các TSFI đã được kiểm tra hoặc là tất cả các giao diện bên ngoài có thể nhìn thấy của TOE đã kiểm tra. Thiếu sót như vậy được xem xét bởi người đánh giá trong quá trình kiểm thử độc lập hoạt động con (đánh giá của hoạt động con (ATE_IND.2)).

13.3.1.4 Hành động ATE_COV.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ATE_COV.1.1C: Bằng chứng của phạm vi kiểm thử cần chỉ ra sự tương ứng giữa các kiểm thử trong tài liệu kiểm thử và các TSFI trong đặc tả chức năng.

...

Người đánh giá cần xem xét các bằng chứng phạm vi kiểm thử để xác định sự tương ứng giữa các kiểm thử xác định trong tài liệu hướng dẫn kiểm tra và các TSFI được mô tả trong đặc tả chức năng là chính xác.

Sự tương ứng có thể dưới dạng bảng hoặc ma trận. Bằng chứng phạm vi cần thiết cho thành phần này sẽ tiết lộ mức độ bao gồm, chứ không phải là để cho thấy phạm vi đầy đủ. Trong trường hợp phạm vi được hiển thị là kém, người đánh giá nên tăng mức độ kiểm tra độc lập để bù đắp.

13.3.2 Đánh giá hoạt động con (ATE_COV.2)

13.3.2.1 Mục tiêu

Mục tiêu của hoạt động con này là để xác định xem nhà phát triển đã kiểm tra tất cả các các TSFI và bằng chứng phạm vi kiểm thử của nhà phát triển cho thấy sự tương ứng giữa các kiểm thử được xác định trong các tài liệu kiểm thử và các các TSFI được mô tả trong đặc tả chức năng.

13.3.2.2 Đầu vào

a) ST;

b) đặc tả chức năng;

c) tài liệu kiểm thử;

...

13.3.2.3 Hành động ATE_COV.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) ATE_COV.2.1C: Phân tích phạm vi kiểm thử cần chứng minh sự tương ứng giữa các kiểm thử trong tài liệu kiểm thử và các TSFI trong đặc tả chức năng.

13.3.2.3.1 Đơn vị công việc ATE_COV.2-1

Người đánh giá cần kiểm tra phân tích phạm vi kiểm thử để xác định sự tương ứng giữa các kiểm thử trong tài liệu kiểm thử và các giao diện trong đặc tả chức năng là chính xác.

Một bảng tra chéo đơn giản có thể là đủ để chỉ ra sự tương ứng kiểm thử. Việc xác định các kiểm thử và giao diện được trình bày trong phân tích phạm vi kiểm thử cần phải tường minh.

Người đánh giá chú ý rằng điều này không có nghĩa là tất cả các kiểm thử trong tài liệu hướng dẫn kiểm tra phải ánh xạ đến giao diện trong đặc tả chức năng.

13.3.2.3.2 Đơn vị công việc ATE_COV.2-2

Người đánh giá cần kiểm tra kế hoạch kiểm thử để xác định rằng phương pháp kiểm thử cho mỗi giao diện chứng minh các đáp ứng dự kiến của giao diện đó.

Hướng dẫn đơn vị công việc này có thể được tìm thấy trong:

...

b) 13.2.2, Kiểm tra so với các phương pháp thay thế để xác minh đáp ứng dự kiến của các chức năng

13.3.2.3.3 Đơn vị công việc ATE_COV.2-3

Người đánh giá cần kiểm tra các thủ tục kiểm thử để xác định rằng điều kiện tiên quyết kiểm thử, các bước kiểm thử và các kết quả dự kiến là đầy đủ để kiểm thử từng giao diện.

Hướng dẫn các đơn vị làm việc này, vì nó gắn liền với các đặc tả chức năng, có thể được tìm thấy trong:

a) 13.2.3, Kiểm tra tính đầy đủ của các kiểm thử

TCVN 8709-3 (ISO/IEC 15408-3) ATE_COV.2.2C: Phân tích phạm vi kiểm thử cần minh chứng rằng tất cả các TSFI trong đặc tả chức năng đã được kiểm thử.

13.3.2.3.4 Đơn vị công việc ATE_COV.2-4

Người đánh giá cần kiểm tra phân tích phạm vi kiểm thử để xác định sự tương ứng giữa các giao diện trong đặc tả chức năng và các kiểm thử trong tài liệu kiểm thử hoàn thành.

Tất cả các TSFI được mô tả trong các đặc tả chức năng phải được trình bày trong phân tích phạm vi kiểm thử và được ánh xạ tới kiểm thử đầy đủ được tuyên bố, mặc dù kiểm thử toàn diện đặc tả của giao diện là không cần thiết. Phạm vi không đầy đủ sẽ rõ ràng nếu một giao diện đã được xác định trong đặc tả chức năng và không có kiểm thử được ánh xạ tới nó.

...

13.3.3 Đánh giá hoạt động con (ATE_COV.3)

Không có hướng dẫn chung; Nên tư vấn lược đồ để hướng dẫn hoạt động con này.

13.4 Năng lực /Độ sâu (ATE_DPT)

13.4.1 Đánh giá hoạt động con (ATE_DPT.1)

13.4.1.1 Mục tiêu

Mục tiêu của hoạt động con này là để xác định xem nhà phát triển đã kiểm tra các phân hệ TSF so với thiết kế TOE và mô tả kiến trúc an toàn.

13.4.1.2 Đầu vào

a) ST;

b) đặc tả chức năng;

...

d) mô tả kiến trúc an toàn;

e) tài liệu kiểm thử;

f) năng lực của phân tích kiểm thử.

13.4.1.3 Hành động ATE_DPT.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ATE_DPT.1.1C: Phân tích năng lực của kiểm thử cần xác định rằng việc mô tả các đáp ứng của các phân hệ TSF và các tương tác của chúng bao gồm trong tài liệu kiểm thử.

13.4.1.3.1 Đơn vị công việc ATE_DPT.1-1

Người đánh giá cần kiểm tra năng lực của phân tích kiểm thử để xác định rằng các mô tả về đáp ứng TSF của hệ thống con và các tương tác của chúng được bao gồm trong các tài liệu kiểm thử.

Đơn vị công việc này xác minh nội dung tương ứng giữa các kiểm thử và các mô tả trong thiết kế TOE. Trong trường hợp các mô tả về tính hợp lý về kiến trúc của TSF (trong kiến trúc an toàn (ADV_ARC)) trích dẫn các đáp ứng cụ thể, đơn vị công việc này cũng xác minh sự tương ứng giữa các kiểm thử và mô tả về đáp ứng của đáp ứng đó.

Một bảng tham chiếu chéo đơn giản có thể là đủ để mô tả kiểm tra tương ứng. Việc xác định các kiểm thử và đáp ứng/tương tác thể hiện trong năng lực phân tích phạm vi phải tường minh.

...

13.4.1.3.2 Đơn vị công việc ATE_DPT.1-2

Người đánh giá cần kiểm tra kế hoạch kiểm thử, điều kiện tiên quyết kiểm thử, các bước kiểm tra và các kết quả dự kiến để xác định rằng phương pháp kiểm thử cho mô tả đáp ứng chứng minh đáp ứng của các phân hệ đó như được mô tả trong thiết kế TOE.

Hướng dẫn đơn vị công việc này có thể được tìm thấy trong:

a) 13.2.1, Hiểu biết về các đáp ứng dự kiến của TOE

b) 13.2.2, Kiểm tra so với các phương pháp thay thế để xác minh đáp ứng dự kiến của các chức năng

Nếu giao diện phân hệ TSF được mô tả, đáp ứng của các phân hệ có thể kiểm thử trực tiếp từ các giao diện đó. Nếu không, đáp ứng của các phân hệ được kiểm thử từ các giao diện TSFI. Hoặc sự kết hợp của cả hai có thể được sử dụng. Với chiến lược được sử dụng, người đánh giá cần xem xét nó phù hợp để kiểm thử đầy đủ các đáp ứng được mô tả trong thiết kế TOE.

13.4.1.3.3 Đơn vị công việc ATE_DPT.1-3

Người đánh giá cần xem xét kế hoạch kiểm thử, điều kiện tiên quyết kiểm tra, bước kiểm tra và kết quả dự kiến để xác định rằng phương pháp kiểm thử cho mô tả đáp ứng chứng minh sự tương tác giữa các phân hệ như được mô tả trong thiết kế TOE.

Trong khi các đơn vị công việc trước đó đề cập đến đáp ứng của các phân hệ, đơn vị công việc này đề cập đến sự tương tác giữa các phân hệ.

...

a) 13.2.1, Hiểu biết về các đáp ứng dự kiến của TOE

b) 13.2.2, Kiểm tra so với các phương pháp thay thế để xác minh đáp ứng dự kiến của các chức năng

Nếu giao diện phân hệ TSF được mô tả, sự tương tác với hệ thống con khác có thể kiểm thử trực tiếp từ các giao diện đó. Nếu không, sự tương tác giữa các phân hệ phải được suy luận từ các giao diện TSFI. Với chiến lược được sử dụng, người đánh giá cần xem xét sự phù hợp của nó để kiểm thử đầy đủ các tương tác giữa các phân hệ được mô tả trong thiết kế TOE.

TCVN 8709-3 (ISO/IEC 15408-3) ATE_DPT.1.2C: Phân tích năng lực của kiểm thử phải chứng minh rằng tất cả các phân hệ trong thiết kế TOE đã được kiểm thử.

13.4.1.3.4 Đơn vị công việc ATE_DPT.1-4

Người đánh giá cần kiểm tra các thủ tục kiểm tra để xác định rằng tất cả các mô tả đáp ứng của phân hệ TSF và tương tác được kiểm tra.

Đơn vị công việc này đã xác minh tính đầy đủ của đơn vị công việc ATE_DPT.1-1. Mọi sự mô tả đáp ứng của phân hệ TSF và tương tác giữa các phân hệ TSF được cung cấp trong thiết kế TOE phải được kiểm thử.

Năng lực kiểm thử chưa đầy đủ sẽ thấy rõ ràng nếu một mô tả về đáp ứng phân hệ TSF hoặc tương tác giữa các phân hệ TSF đã được xác định trong thiết kế TOE và không có kiểm tra có thể thực hiện.

Người đánh giá chú ý rằng điều này không có nghĩa là tất cả các kiểm thử trong tài liệu hướng dẫn kiểm tra phải ánh xạ đến giao diện phân hệ trong thiết kế TOE.

...

13.4.2.1 Mục tiêu

Mục tiêu của hoạt động con này là để xác định xem nhà phát triển đã kiểm tra tất cả các phân hệ TSF và các mô đun Thực thi SFR với thiết kế TOE và mô tả kiến trúc an toàn hay không.

13.4.2.2 Đầu vào

a) ST;

b) đặc tả chức năng;

c) thiết kế TOE;

d) mô tả kiến trúc an toàn;

e) tài liệu kiểm thử;

f) năng lực của phân tích kiểm thử.

...

TCVN 8709-3 (ISO/IEC 15408-3) ATE_DPT.2.1C: Phân tích năng lực kiểm thử cần chứng minh sự tương ứng giữa các kiểm thử trong tài liệu kiểm thử và các phân hệ TSF và các mô đun thực thi SFR trong thiết kế TOE.

13.4.2.3.1 Đơn vị công việc ATE_DPT.2-1

Người đánh giá cần kiểm tra năng lực của phân tích kiểm thử để xác định mô tả đáp ứng của phân hệ TSF và các tương tác của chúng được bao gồm trong tài liệu hướng dẫn kiểm thử.

Đơn vị công việc này xác minh nội dung của sự tương ứng giữa kiểm thử và các mô tả trong thiết kế TOE. Trong trường hợp các mô tả về tính hợp lý kiến trúc của TSF (trong kiến trúc an toàn (ADV_ARC)) trích dẫn các đáp ứng cụ thể, đơn vị công việc này cũng xác minh sự tương ứng giữa các kiểm thử và các mô tả về đáp ứng của đáp ứng đó.

Một bảng tham chiếu chéo đơn giản có thể là đủ để hiển thị kiểm tra tương ứng. Việc xác định các kiểm thử và đáp ứng/tương tác thể hiện trong năng lực của phân tích phạm vi phải là tường minh.

Người đánh giá chú ý rằng không phải tất cả các kiểm thử trong tài liệu hướng dẫn kiểm tra phải ánh xạ cho một đáp ứng phân hệ hoặc mô tả tương tác.

13.4.2.3.2 Đơn vị công việc ATE_DPT.2-2

Người đánh giá cần kiểm tra kế hoạch kiểm thử, điều kiện tiên quyết kiểm thử, các bước kiểm thử và các kết quả dự kiến để xác định rằng phương pháp kiểm thử cho mô tả hành vi chứng minh các đáp ứng của phân hệ đó được mô tả trong thiết kế TOE.

Hướng dẫn đơn vị công việc này có thể được tìm thấy trong:

...

b) 13.2.2, Kiểm tra so với các phương pháp thay thế để xác minh đáp ứng dự kiến của các chức năng

Nếu giao diện hệ thống con TSF được mô tả, đáp ứng của các hệ thống con có thể kiểm tra trực tiếp từ các giao diện đó. Nếu không, đáp ứng của các hệ thống con được kiểm tra từ các giao diện TSFI. Hoặc sự kết hợp của cả hai có thể được sử dụng. Dù cách thức nào được sử dụng, người đánh giá cần xem xét nó phù hợp để kiểm tra đầy đủ các đáp ứng được mô tả trong thiết kế TOE.

13.4.2.3.3 Đơn vị công việc ATE_DPT.2-3

Người đánh giá cần kiểm tra kế hoạch kiểm thử, điều kiện tiên quyết kiểm tra, các bước kiểm thử và các kết quả dự kiến để xác định rằng phương pháp kiểm thử cho mô tả đáp ứng chứng minh sự tương tác giữa các phân hệ như được mô tả trong thiết kế TOE.

Trong khi các đơn vị công việc trước đó đề cập đến đáp ứng của các phân hệ, đơn vị công việc này đề cập đến sự tương tác giữa các phân hệ.

Hướng dẫn đơn vị công việc này có thể được tìm thấy trong:

a) 13.2.1, Hiểu biết về các đáp ứng dự kiến của TOE

b) 13.2.2, Kiểm tra so với các phương pháp thay thế để xác minh đáp ứng dự kiến của các chức năng

Nếu giao diện phân hệ TSF được mô tả, sự tương tác với phân hệ khác có thể kiểm thử trực tiếp từ các giao diện đó. Nếu không, sự tương tác giữa các phân hệ phải được suy ra từ các giao diện TSFI. Dù phương thức nào được sử dụng, người đánh giá cần xem xét sự phù hợp của nó để kiểm thử đầy đủ các tương tác giữa các phân hệ được mô tả trong thiết kế TOE.

...

Người đánh giá cần kiểm tra năng lực của phân tích kiểm thử để xác định rằng giao diện của SFR thực thi mô đun được bao gồm trong tài liệu kiểm thử.

Đơn vị công việc này xác minh nội dung tương ứng giữa các kiểm thử và các mô tả trong thiết kế TOE. Trong trường hợp các mô tả về tính hợp lý kiến trúc của TSF (trong kiến trúc an toàn (ADV_ARC)) trích dẫn các cơ chế cụ thể ở mức phổ biến, đơn vị công việc này cũng xác minh sự tương ứng giữa kiểm thử và các mô tả về đáp ứng của các cơ chế này.

Một bảng tham chiếu chéo đơn giản có thể đủ để hiển thị kiểm tra tương ứng. Việc xác định các kiểm thử và đáp ứng/tương tác thể hiện trong năng lực của phân tích phạm vi phải là tường minh.

Người đánh giá chú ý rằng không phải tất cả các kiểm thử trong tài liệu hướng dẫn kiểm thử phải ánh xạ cho một đáp ứng phân hệ hoặc mô tả tương tác.

13.4.2.3.5 Đơn vị công việc ATE_DPT.2-5

Người đánh giá cần kiểm kế hoạch kiểm thử, điều kiện tiên quyết kiểm thử, các bước kiểm thử và các kết quả dự kiến để xác định rằng phương pháp kiểm thử cho mỗi giao diện mô đun Thực thi SFR chứng minh đáp ứng dự kiến của giao diện đó.

Trong khi địa chỉ đơn vị công việc ATE_DPT.2-1 giải quyết đáp ứng dự kiến của các phân hệ, đơn vị công việc này giải quyết đáp ứng dự kiến của các giao diện mô đun Thực thi SFR được bao gồm bởi ATE_DPT.2-4.

Hướng dẫn đơn vị công việc này có thể được tìm thấy trong:

a) 13.2.1, Hiểu biết về các đáp ứng dự kiến của TOE

...

Kiểm thử một giao diện có thể được thực hiện trực tiếp tại giao diện đó hoặc tại các giao diện bên ngoài hoặc kết hợp của cả hai. Dù cách thức nào được sử dụng, người đánh giá cần xem xét sự phù hợp của nó cho đầy đủ kiểm thử các giao diện. Cụ thể, người đánh giá xác định liệu kiểm thử tại các giao diện nội bộ cần thiết hay các giao diện nội bộ có thể được kiểm thử đầy đủ (mặc dù ngầm) bằng cách thực hiện các giao diện bên ngoài. Việc xác định này là trái với các người đánh giá, như là biện minh của nó.

TCVN 8709-3 (ISO/IEC 15408-3) ATE_DPT.2.2C: Phân tích năng lực của kiểm thử đã tiến hành cần chứng minh rằng tất các các phân hệ TSF trong thiết kế TOE đã được kiểm thử.

13.4.2.3.6 Đơn vị công việc ATE_DPT.2-6

Người đánh giá cần kiểm tra các thủ tục kiểm thử để xác định rằng tất cả các mô tả đáp ứng của phân hệ TSF và tương tác được kiểm tra.

Đơn vị công việc này xác minh tính đầy đủ của đơn vị công việc ATE_DPT.2-1. Mọi sự mô tả đáp ứng của phân hệ TSF và tương tác giữa các phân hệ TSF được cung cấp trong thiết kế TOE phải được kiểm tra.

Năng lực chưa đầy đủ của kiểm thử sẽ là rõ ràng nếu một mô tả về đáp ứng phân hệ TSF hoặc tương tác giữa các phân hệ TSF đã được xác định trong thiết kế TOE và không có kiểm tra có thể được áp dụng cho nó.

TCVN 8709-3 (ISO/IEC 15408-3) ATE_DPT.2.3C: Phân tích năng lực của kiểm thử cần cần chứng minh rằng các mô đun thực thi SFR trong thiết kế TOE đã được kiểm thử.

13.4.2.3.7 Đơn vị công việc ATE_DPT.2-7

...

Đơn vị công việc này xác minh tính đầy đủ của đơn vị công việc ATE_DPT.2-4. Tất cả giao diện của mô đun thực thi SFR được cung cấp trong thiết kế TOE phải được kiểm tra năng lực chưa đầy đủ của kiểm thử sẽ là rõ ràng nếu có giao diện của bất kỳ mô đun thực thi SFR đã được xác định trong thiết kế TOE và không có kiểm thử có thể được áp dụng cho nó.

Người đánh giá chú ý rằng điều này không có nghĩa là tất cả các kiểm thử trong tài liệu hướng dẫn kiểm thử phải ánh xạ tới một giao diện của một mô đun thực thi SFR trong thiết kế TOE.

13.4.3 Đánh giá hoạt động con (ATE_DPT.3)

13.4.3.1 Mục tiêu

Mục tiêu của hoạt động con này là để xác định xem nhà phát triển đã kiểm thử tất cả các phân hệ TSF và các mô đun với thiết kế TOE và mô tả kiến trúc an toàn hay không.

13.4.3.2 Đầu vào

a) ST;

b) đặc tả chức năng;

c) thiết kế TOE;

...

e) tài liệu kiểm thử;

f) năng lực của phân tích kiểm thử.

13.4.3.3 Hành động ATE_DPT.3.1E

TCVN 8709-3 (ISO/IEC 15409-3) ATE_DPT.3.1C: Phân tích năng lực kiểm thử cần chứng minh sự tương ứng giữa các kiểm thử trong tài liệu kiểm thử và các phân hệ TSF và các mô đun trong thiết kế TOE.

13.4.3.3.1 Đơn vị công việc ATE_DPT.3-1

Người đánh giá cần kiểm tra năng lực của phân tích kiểm thử để xác định rằng mô tả các đáp ứng của phân hệ TSF và các tương tác của chúng được bao gồm trong các tài liệu kiểm thử.

Đơn vị công việc này xác minh các nội dung tương ứng giữa các kiểm thử và các mô tả trong thiết kế TOE. Một bảng tham chiếu chéo đơn giản đủ để chỉ ra kiểm tra tương ứng. Các xác định các kiểm thử và đáp ứng/tương tác được trình bày trong năng lực phân tích phạm vi phải tường minh.

Người đánh giá chú ý rằng không phải tất cả các kiểm thử trong tài liệu hướng dẫn kiểm tra phải ánh xạ tới một đáp ứng phân hệ hoặc mô tả tương tác.

13.4.3.3.2 Đơn vị công việc ATE_DPT.3-2

...

Hướng dẫn về đơn vị công việc này có thể được tìm thấy trong:

a) 13.2.1, Hiểu biết về các đáp ứng dự kiến của TOE

b) 13.2.2, Kiểm tra so với thay thế các phương pháp để xác minh đáp ứng dự kiến của các chức năng

Nếu giao diện phân hệ TSF được cung cấp, các đáp ứng của các phân hệ có thể được thực hiện trực tiếp từ những giao diện đó. Nếu không, đáp ứng của các phân hệ được kiểm thử từ các giao diện TSFI. Hoặc kết hợp của cả hai có thể được sử dụng. Cho dù sử dụng chiến lược nào, người đánh giá cần xem xét sự thích hợp của các đáp ứng kiểm thử đầy đủ như mô tả trong thiết kế TOE.

13.4.3.3.3 Đơn vị công việc ATE_DPT.3-3

Người đánh giá cần kiểm tra kế hoạch kiểm thử, điều kiện tiên quyết kiểm thử, các bước kiểm thử và các kết quả dự kiến để xác định rằng các cách tiếp cận kiểm thử cho các mô tả đáp ứng chứng minh sự tương tác giữa các phân hệ như được mô tả trong thiết kế TOE.

Hướng dẫn về đơn vị công việc này có thể được tìm thấy trong:

a) 13.2.1, Hiểu biết về các đáp ứng dự kiến của TOE

b) 13.2.2, Kiểm tra so với thay thế các phương pháp để xác minh đáp ứng dự kiến của các chức năng

...

Nếu giao diện phân hệ TSF được cung cấp, sự tương tác với các phân hệ có thể được thực hiện trực tiếp từ những giao diện đó. Nếu không, các tương tác giữa các phân hệ phải được suy ra từ các giao diện TSFI. Cho dù sử dụng chiến lược nào, người đánh giá cần xem xét sự thích hợp của các đáp ứng kiểm thử đầy đủ như mô tả trong thiết kế TOE.

13.4.3.3.4 Đơn vị công việc ATE_DPT.3-4

Người đánh giá cần kiểm tra năng lực của phân tích kiểm thử để xác định rằng các giao diện của mô đun TSF bao gồm trong trong tài liệu kiểm thử.

Đơn vị công việc này xác minh các nội dung tương ứng giữa kiểm thử và các mô tả trong thiết kế TOE. Một bảng tham chiếu chéo đơn giản đủ để chỉ ra kiểm tra tương ứng. Việc xác định các kiểm thử và đáp ứng/tương tác trình bày trong năng lực phân tích phạm vi phải là tường minh.

13.4.3.3.5 Đơn vị công việc ATE_DPT.3-5

Người đánh giá cần kiểm tra kế hoạch kiểm thử, điều kiện tiên quyết kiểm thử, các bước kiểm thử và các kết quả dự kiến để xác định rằng các phương pháp kiểm thử cho mỗi giao diện mô đun TSF chứng minh các đáp ứng dự kiến của giao diện đó.

Hướng dẫn về đơn vị công việc này có thể được tìm thấy trong:

a) 13.2.1, Hiểu biết về các đáp ứng dự kiến của TOE

...

Kiểm thử một giao diện có thể được thực hiện trực tiếp tại giao diện hoặc tại các giao diện bên ngoài hoặc kết hợp của cả hai. Dù chiến lược được sử dụng, người đánh giá cần xem xét nó phù hợp đầy đủ cho kiểm thử các giao diện. Cụ thể, người đánh giá xác định liệu kiểm thử tại giao diện nội bộ là cần thiết hay các giao diện nội bộ có thể được kiểm tra đầy đủ (mặc dù ngầm) bởi việc thực hiện tại giao diện bên ngoài. Việc xác định này là trái với các người đánh giá như là biện minh của nó.

TCVN 8709-3 (ISO/IEC 15408-3) ATE_DPT.3.2C: Phân tích năng lực của kiểm thử cần chứng minh rằng rằng tất cả tất cả các phân hệ TSF trong thiết kế TOE đã được kiểm thử.

13.4.3.3.6 Đơn vị công việc ATE_DPT.3-6

Người đánh giá cần kiểm tra các thủ tục kiểm thử để xác định rằng tất cả các mô tả đáp ứng của phân hệ TSF và tương tác đã được kiểm thử.

Đơn vị công việc này xác minh tính đầy đủ của đơn vị công việc ATE_DPT.3-1. Mọi sự mô tả đáp ứng của phân hệ TSF và các tương tác giữa các phân hệ TSF được cung cấp trong thiết kế TOE phải được kiểm tra. Năng lực kiểm thử không đầy đủ sẽ thấy rõ ràng nếu một mô tả đáp ứng của các phân hệ TSF hoặc tương tác giữa các phân hệ TSF được xác định trong thiết kế TOE và không có các kiểm thử có thể được áp dụng cho nó.

Người đánh giá chú ý rằng điều này không có nghĩa rằng tất cả các kiểm thử trong các tài liệu hướng dẫn kiểm tra phải ánh xạ đến giao diện phân hệ trong thiết kế TOE.

TCVN 8709-3 (ISO/IEC 15408-3) ATE_DPT.3.3C: Phân tích năng lực của kiểm thử cần chứng minh rằng tất cả các mô đun TSF trong thiết kế TOE đã được kiểm thử.

13.4.3.3.7 Đơn vị công việc ATE_DPT.3-7

Người đánh giá cần kiểm tra các thủ tục kiểm thử để xác định rằng tất cả các giao diện của tất cả các mô đun TSF được kiểm tra.

...

Người đánh giá chú ý rằng điều này không có nghĩa rằng tất cả các kiểm thử trong các bài tài liệu kiểm thử phải ánh xạ tới một giao diện của một mô đun TSF trong thiết kế TOE.

13.4.4 Đánh giá hoạt động con (ATE_DPT.4)

Không có hướng dẫn chung; lược đồ nên được tư vấn để hướng dẫn trên hoạt động con này.

13.5 Chức năng kiểm thử (ATE_FUN)

13.5.1 Đánh giá hoạt động con (ATE_FUN.1)

13.5.1.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định liệu nhà phát triển thực hiện và tài liệu hóa kiểm thử tài một cách chính xác trong tài liệu kiểm thử.

13.5.1.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

...

b) đặc tả chức năng;

c) tài liệu kiểm thử.

13.5.1.3 Lưu ý áp dụng

Mức độ mà các tài liệu kiểm thử là cần thiết để đề cập các TSF là phụ thuộc vào phạm vi thành phần đảm bảo.

Đối với các kiểm thử nhà phát triển cung cấp, người đánh giá xác định xem các kiểm thử có khả năng lặp lại và mức độ mà các kiểm thử của nhà phát triển có thể được sử dụng cho nỗ lực kiểm thử độc lập của người đánh giá. Bất kỳ TSFI mà các kết quả kiểm thử của nhà phát triển cho rằng nó có thể không thực hiện theo quy định phải được kiểm thử một cách độc lập bởi người đánh giá để xác định có hay không.

13.5.1.4 Hành động ATE_FUN.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ATE_FUN.1.1C: Các tài liệu kiểm thử sẽ bao gồm các kế hoạch kiểm thử, các kết quả kiểm thử dự kiến và các kết quả kiểm thử thực tế.

13.5.1.4.1 Đơn vị công việc ATE_FUN.1-1

Người đánh giá cần kiểm tra các tài liệu hướng dẫn kiểm thử bao gồm kế hoạch kiểm thử, các kiểm thử kết quả dự kiến và các kết quả kiểm thử thực tế.

...

TCVN 8709-3 (ISO/IEC 15408-3) ATE_FUN.1.2C: Các kế hoạch kiểm thử cần xác nhận các kiểm thử được thực hiện và mô tả các kịch bản cho việc thực hiện từng kiểm thử. Các kịch bản này bao gồm bất kỳ sự phụ thuộc nào vào thứ tự các các kết quả các kiểm thử khác.

13.5.1.4.2 Đơn vị công việc ATE_FUN.1-2

Người đánh giá cần kiểm tra các kế hoạch kiểm thử để xác định rằng nó mô tả các kịch bản để thực hiện từng kiểm thử.

Người đánh giá xác định rằng kế hoạch kiểm thử cung cấp thông tin về cấu hình kiểm thử được sử dụng: cả về cấu hình của TOE và thiết bị kiểm thử bất kỳ nào được sử dụng. Thông tin này cần được mô tả chi tiết đủ để đảm bảo rằng các cấu hình kiểm thử có khả năng tái sản xuất.

Người đánh giá cũng xác định rằng kế hoạch kiểm thử cung cấp các thông tin về cách thức để thực hiện các kiểm thử: các thủ tục thiết lập tự động cần thiết bất kỳ nào (và cho dù chúng yêu cầu đặc quyền để thực hiện), các đầu vào được áp dụng, cách thức đầu vào được áp dụng, cách thức để thu được kết quả đầu ra, các thủ tục tự động xóa bất kỳ (và cho dù chúng đòi hỏi đặc quyền để thực hiện), vv. Các thông tin này nên được mô tả chi tiết đủ để đảm bảo rằng các kiểm thử có khả năng tái tạo.

Người đánh giá có thể mong muốn sử dụng một chiến lược lấy mẫu khi thực hiện các đơn vị công việc này.

13.5.1.4.3 Đơn vị công việc ATE_FUN.1-3

Người đánh giá cần kiểm tra kế hoạch kiểm thử để xác định rằng cấu hình kiểm thử TOE nhất quán với ST.

TOE được đề cập trong kế hoạch kiểm thử của nhà phát triển nên có cùng tham chiếu duy nhất như được thiết lập bởi hoạt động con khả năng CM (ALC_CMC) và được xác định trong giới thiệu ST.

...

Người đánh giá cần xem xét mục tiêu an toàn đối với môi trường vận hành được mô tả trong ST có thể áp dụng cho môi trường kiểm thử. Có thể có một số mục tiêu cho môi trường vận hành mà không áp dụng cho các môi trường kiểm thử. Ví dụ, một mục tiêu về xóa người sử dụng có thể không áp dụng; Tuy nhiên, mục tiêu về một điểm kết nối riêng với một mạng sẽ được áp dụng.

Người đánh giá có thể muốn sử dụng một chiến lược lấy mẫu khi thực hiện đơn vị công việc này.

Nếu đơn vị công việc này được áp dụng cho một TOE thành phần có thể được sử dụng/tích hợp trong một TOE tổng hợp (xem lớp ACO: Thành phần), các điều sau sẽ được áp dụng. Trong các trường hợp mà TOE thành phần dưới đánh giá phụ thuộc vào các thành phần khác trong môi trường vận hành để hỗ trợ hoạt động của mình, nhà phát triển có thể muốn xem xét sử dụng các thành phần khác sẽ được sử dụng trong TOE tổng hợp để thực hiện đầy đủ các yêu cầu của môi trường vận hành là một trong những cấu hình kiểm thử. Điều này sẽ làm giảm số lượng kiểm thử bổ sung sẽ được yêu cầu cho cho việc đánh giá một TOE tổng hợp.

13.5.1.4.4 Đơn vị công việc ATE_FUN.1-4

Người đánh giá cần kiểm tra các kế hoạch kiểm thử để xác định rằng có hướng dẫn đầy đủ được cung cấp cho bất kỳ thứ tự phụ thuộc nào.

Một số bước có thể để được thực hiện để thiết lập ban điều kiện ban đầu. Ví dụ, tài khoản người dùng cần phải được thêm vào trước khi họ có thể bị xóa. Một ví dụ về thứ tự phụ thuộc vào kết quả của các kiểm thử khác là cần để thực hiện các hành động trong một kiểm thử đó sẽ dẫn đến việc tạo ra các hồ sơ kiểm soát, trước khi thực hiện một kiểm thử để xem xét việc tìm kiếm và phân loại các hồ sơ kiểm soát. Một ví dụ thứ tự phụ thuộc khác sẽ là nơi mà một trường hợp kiểm thử tạo ra một tập tin dữ liệu được sử dụng như là đầu vào cho một trường hợp kiểm thử khác.

Người đánh giá có thể mong muốn sử dụng một chiến lược lấy mẫu khi thực hiện đơn vị công việc này.

TCVN 8709-3 (ISO/IEC 15408-3) ATE_FUN.1.3C: Các kết quả kiểm thử dự kiến cần chỉ ra các kết quả đầu ra mong đợi từ việc thực hiện thành công của các kiểm thử.

13.5.1.4.5 Đơn vị công việc ATE_FUN.1-5

...

Các kết quả kiểm thử dự kiến sẽ là cần thiết để xác định có hay không một kiểm thử đã được thực hiện thành công. Kết quả kiểm thử dự kiến là đầy đủ nếu chúng tường minh và nhất quán với đáp ứng dự kiến cho các phương pháp kiểm thử.

Người đánh giá có thể mong muốn sử dụng một chiến lược lấy mẫu khi thực hiện đơn vị công việc này.

TCVN 8709-3 (ISO/IEC 15408-3) ATE_FUN.1.4C: Các kết quả kiểm thử thực tế cần phải phù hợp với các kết quả kiểm thử dự kiến.

13.5.1.4.6 Đơn vị công việc ATE_FUN.1-6

Người đánh giá cần kiểm tra rằng các kết quả kiểm thử thực tế trong tài liệu kiểm thử nhất quán với các kết quả kiểm thử dự kiến trong tài liệu kiểm thử.

Một so sánh các kết quả kiểm thử thực tế và dự kiến được cung cấp bởi nhà phát triển sẽ đưa ra sự không nhất quán bất kỳ giữa các kết quả. Có thể việc so sánh trực tiếp các kết quả thực tế có thể không được thực hiện cho đến khi một số dữ liệu giảm hoặc việc tổng hợp đã được thực hiện trước. Trong trường hợp này, tài liệu kiểm thử của nhà phát triển nên mô tả các quá trình để giảm hoặc tổng hợp các dữ liệu thực tế.

Ví dụ, nhà phát triển có thể cần phải kiểm tra các nội dung của bộ đệm bản tin sau khi kết nối mạng xảy ra để xác định các nội dung của bộ đệm. Các bộ đệm bản tin sẽ chứa một số nhị phân, số nhị phân này sẽ được chuyển đổi sang một kiểu dữ liệu trình bày khác để việc thực hiện các kiểm tra thuận lợi hơn. Việc chuyển đổi trình bày nhị phân sang kiểu trình bày mức cao hơn của dữ liệu phải được mô tả bởi nhà phát triển một cách chi tiết đầy đủ để cho phép người đánh giá thực hiện quá trình chuyển đổi (tức là đồng bộ hoặc không đồng bộ truyền, số bit dừng, tính chẵn lẻ, vv).

Cần lưu ý rằng các mô tả về quá trình sử dụng để giảm hoặc tổng hợp các dữ liệu thực tế được sử dụng bởi người đánh giá không phải để thực hiện các thay đổi cần thiết nhưng để đánh giá xem quá trình này là chính xác hay không. Nhà phát triển thực hiện chuyển đổi kiểm tra kết quả dự kiến vào một định dạng cho phép so sánh dễ dàng với các kết quả kiểm thử thực tế.

Người đánh giá có thể mong muốn sử dụng một chiến lược lấy mẫu khi thực hiện đơn vị công việc này.

...

Người đánh giá phải báo cáo các nỗ lực thử nghiệm với nhà phát triển, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và kết quả.

Các thông tin kiểm thử của nhà phát triển được ghi trong ETR cho phép người đánh giá chuyển tải phương pháp kiểm thử tổng thể và nỗ lực vào việc kiểm thử của TOE của nhà phát triển. Mục đích của việc cung cấp thông tin này là để cung cấp cho một cái nhìn tổng quan có ý nghĩa của các nỗ lực kiểm thử của nhà phát triển. Điều này không có nghĩa rằng các thông tin liên quan đến kiểm thử của nhà phát triển trong ETR là một tái tạo chính xác các bước kiểm tra cụ thể hoặc kết quả kiểm thử cá nhân. Mục đích là để cung cấp đủ chi tiết để cho phép người đánh giá và các tổ chức đánh giá khác để có được cái nhìn toàn diện về các phương pháp kiểm thử của nhà phát triển, số lượng các kiểm thử thực hiện, cấu hình kiểm thử TOE và kết quả tổng thể của việc kiểm thử của nhà phát triển.

Thông tin sẽ thường được tìm thấy trong phân lớp ETR liên quan đến nỗ lực kiểm thử của nhà phát triển là:

a) các cấu hình kiểm thử TOE. Các cấu hình cụ thể của TOE đã được kiểm thử, bao gồm cả việc bất kỳ đặc quyền đang được yêu cầu để thiết lập các kiểm thử hoặc làm sạch sau đó;

b) phương pháp kiểm thử. Một tài khoản của chiến lược kiểm thử nhà phát triển tổng thể sử dụng;

c) kết quả kiểm thử. Mô tả các kết quả kiểm thử nhà phát triển tổng thể.

Danh sách không có nghĩa là đầy đủ và chỉ nhằm mục đích để cung cấp một số bối cảnh như các loại thông tin cần được trình bày trong ETR liên quan đến các nỗ lực kiểm thử của nhà phát triển.

13.5.2 Đánh giá hoạt động con (ATE_FUN.2)

Không có hướng dẫn chung; lược đồ nên được tư vấn cho hướng dẫn về hoạt động con này.

...

13.6.1 Đánh giá hoạt động con (ATE_IND.1)

13.6.1.1 Mục tiêu

Mục tiêu của hoạt động này là để xác định bằng kiểm thử độc lập một tập con của TSFI, liệu TOE đáp ứng như quy định trong đặc tả chức năng và tài liệu hướng dẫn hay không.

13.6.1.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) đặc tả chức năng;

c) hướng dẫn người sử dụng vận hành;

d) hướng dẫn người sử dụng chuẩn bị;

...

13.6.1.3 Hành động ATE_IND.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ATE_IND.1.1C: TOE phải phù hợp để kiểm thử.

13.6.1.3.1 Đơn vị công việc ATE_IND.1-1

Người đánh giá cần kiểm tra TOE để xác định rằng cấu hình kiểm thử là nhất quán với cấu hình để đánh giá theo quy định trong ST.

TOE được cung cấp bởi nhà phát triển cần có cùng tham chiếu duy nhất như được thiết lập hành động con Khả năng CM (ALC_CMC) và được xác định trong giới thiệu ST.

ST có thể có chỉ định nhiều hơn một cấu hình cho đánh giá. TOE có thể bao gồm một số đơn vị phần cứng và phần mềm riêng biệt cần phải được kiểm thử phù hợp với ST. Người đánh giá xác minh tất cả cấu hình kiểm thử là nhất quán với ST.

Người đánh giá nên xem xét mục tiêu an toàn đối với môi trường vận hành được mô tả trong các ST có thể áp dụng cho các môi trường kiểm thử và đảm bảo chúng đáp ứng trong môi trường kiểm thử. Có thể có một số mục tiêu đối với môi trường vận hành mà không áp dụng với môi trường kiểm thử. Ví dụ, một mục tiêu về xóa người dùng có thể không áp dụng; Tuy nhiên, một mục tiêu về một điểm kết nối mạng riêng sẽ được áp dụng.

Nếu bất kỳ tài nguyên kiểm thử nào được sử dụng (ví dụ: thiết bị đo mét, thiết bị phân tích), người đánh giá có trách nhiệm đảm bảo rằng các tài nguyên này được hiệu chỉnh một cách chính xác.

13.6.1.3.2 Đơn vị công việc ATE_IND.1-2

...

Người đánh giá có thể xác định trạng thái của TOE theo các cách khác nhau. Ví dụ, kết thúc thành công trước đó của đánh giá hoạt động con (AGD_PRE.1), hoạt động con sẽ đáp ứng đơn vị công việc này nếu người đánh giá tin tưởng rằng TOE được sử dụng để kiểm tra đã được cài đặt đúng cách và trong trạng thái đã biết. Nếu không phải là trường hợp này thì người đánh giá cần thực hiện theo các thủ tục của nhà phát triển để cài đặt và khởi động TOE, chỉ sử dụng hướng dẫn được cung cấp. Nếu người đánh giá phải thực hiện các thủ tục cài đặt vì trạng thái của TOE không xác định, đơn vị công việc này khi hoàn thành có thể đáp ứng đơn vị công việc AGD_PRE.1-3.

13.6.1.4 Hành động ATE_IND.1.2E

13.6.1.4.1 Đơn vị công việc ATE_IND.1-3

Người đánh giá cần đưa ra một tập con kiểm thử.

Thông thường các phương pháp kiểm thử thực hiện bởi người đánh giá sẽ rơi vào giữa hai thái cực. Người đánh giá nên thực hiện ít nhất một kiểm thử trên hầu hết các giao diện, nhưng kiểm thử không cần chứng minh đầy đủ đặc điểm kỹ thuật kiểm tra.

Người đánh giá, khi lựa chọn tập con của giao diện để kiểm thử, cần xem xét các các yếu tố sau:

a) Số lượng giao diện để từ đó lựa chọn đưa vào tập con kiểm thử. Trường hợp TSF chỉ bao gồm một số lượng nhỏ giao diện tương đối đơn giản, nó có thể được kiểm thử chặt chẽ tất cả các giao diện. Trong các trường hợp khác, điều này là không hiệu quả và lấy mẫu được yêu cầu.

b) Duy trì sự cân bằng trong các hoạt động đánh giá. Nỗ lực của người đánh giá vào các hoạt động kiểm thử phải phù hợp với các hoạt động kiểm thử khác.

...

a) Tầm quan trọng của giao diện. Những giao diện quan trọng đáng kể hơn so với những giao diện khác khác nên được đưa vào tập con kiểm thử. Một yếu tố quan trọng của "sự quan trọng" là an toàn-có liên quan (Các giao diện thực thi SFR sẽ quan trọng hơn so với các giao diện hỗ trợ - SFR và hơn nhiều so với giao diện không can thiệp SFR; xem TCVN 8709-3 (ISO/IEC 15408-3): Mục đặc tả chức năng (ADV_FSP)). Các yếu tố quan trọng khác của "sự quan trọng" là số SFR ánh xạ đến giao diện này (được quyết định khi xác định sự tương ứng giữa mức trừu tượng trong ADV).

b) Tính phức tạp của giao diện. Các giao diện phức tạp có thể đòi hỏi kiểm thử phức tạp mà áp đặt các yêu cầu lựa chọn hợp lý lên nhà phát triển hoặc người đánh giá, trong đó có thể không có lợi cho việc đánh giá hiệu quả - chi phí. Ngược lại, chúng là một khu vực có khả năng để tìm lỗi và là các ứng cử viên rất tốt cho tập con. Người đánh giá cần cần phải sự cân bằng giữa các xem xét này.

c) Kiểm thử tiềm ẩn. Kiểm thử một số giao diện có thể thường kiểm thử tiềm ẩn các giao diện khác và đưa chúng vào tập con có thể tối đa hóa số lượng các giao diện kiểm thử (mặc dù ngầm). Một số giao diện sẽ thường được được sử dụng để cung cấp một loạt các chức năng an toàn và sẽ có xu hướng là mục tiêu của một phương pháp kiểm thử hiệu quả.

d) Các loại giao diện (ví dụ như chương trình, dòng lệnh, giao thức). Người đánh giá nên xem xét kiểm thử bao gồm cho tất cả các loại giao diện khác nhau mà TOE hỗ trợ.

e) Giao diện làm phát sinh các tính năng sáng tạo hay bất thường. Trường hợp TOE có các tính năng sáng tạo hay bất thường, trong đó có thể tính năng mạnh mẽ trong tài liệu tiếp thị và tài liệu hướng dẫn, các giao diện tương ứng là ứng viên chính để kiểm thử.

Hướng dẫn này chỉ rõ các yếu tố cần xem xét trong quá trình lựa chọn một tập con kiểm thử thích hợp, nhưng không phải là đầy đủ.

13.6.1.4.2 Đơn vị công việc ATE_IND.1-4

Người đánh giá cần cung cấp tài liệu kiểm thử cho việc kiểm thử các tập con đầy đủ chi tiết để cho phép các kiểm thử có thể lặp lại.

Với hiểu biết về các đáp ứng dự kiến của TSF, từ ST và các đặc tả chức năng, người đánh giá phải xác định các cách khả thi để kiểm thử giao diện. Cụ thể người đánh giá xem xét:

...

b) (các) giao diện sẽ được sử dụng để kiểm thử và quan sát các đáp ứng;

c) các điều kiện ban đầu cần có cho các kiểm thử (tức là bất kỳ đối tượng cụ thể hoặc đối tượng cần có và các thuộc tính an toàn của chúng cần có);

d) thiết bị kiểm thử đặc biệt sẽ được yêu cầu để kích thích một giao diện (ví dụ như thiết bị phát gói) hoặc quan sát một giao diện (ví dụ như thiết bị phân tích mạng).

Người đánh giá có thể tìm thấy nó thực tế để kiểm thử từng giao diện sử dụng một loạt các trường hợp thử nghiệm, trong đó mỗi trường hợp kiểm thử sẽ kiểm tra một khía cạnh rất cụ thể về đáp ứng dự kiến.

13.6.1.4.3 Đơn vị công việc ATE_IND.1-5

Người đánh giá cần tiến hành kiểm thử.

Người đánh giá sử dụng các tài liệu hướng dẫn kiểm thử được phát triển như là cơ sở để thực hiện các kiểm thử trên TOE. Các tài liệu kiểm thử được sử dụng như một cơ sở để kiểm thử nhưng điều này không ngăn cản người đánh giá thực hiện kiểm thử bổ sung đặc biệt khác. Người đánh giá có thể đưa ra những kiểm thử mới dựa trên đáp ứng của TOE phát hiện trong quá trình kiểm thử. Những kiểm thử mới này được ghi lại trong tài liệu kiểm thử.

13.6.1.4.4 Đơn vị công việc ATE_IND.1-6

Người đánh giá cần ghi lại các thông tin sau về các kiểm thử tạo nên tập con kiểm thử:

...

b) hướng dẫn để kết nối và thiết lập tất cả các thiết bị kiểm thử được yêu cầu theo yêu cầu để thực hiện kiểm thử;

c) hướng dẫn để thiết lập tất cả điều kiện kiểm thử tiên quyết;

d) hướng dẫn để kích thích giao diện;

e) hướng dẫn để quan sát các đáp ứng của các giao diện;

f) m tả tất cả các kết quả dự kiến và các phân tích cần thiết được thực hiện trên đáp ứng quan sát được để so sánh với các kết quả dự kiến;

g) hướng dẫn để kết thúc kiểm thử và thiết lập trạng thái sau khi kiểm thử cần thiết cho TOE;

h) các kết quả kiểm thử thực tế.

Mức độ chi tiết nên sao cho người đánh giá khác có thể lặp lại các kiểm thử và có được một kết quả tương đương. Trong khi một số chi tiết cụ thể của kết quả kiểm thử có thể khác nhau (ví dụ như các trường thời gian, ngày tháng trong hồ sơ kiểm soát) các kết quả tổng thể nên giống nhau.

Trường hợp cần thiết có thể cung cấp tất cả các thông tin được trình bày trong đơn vị công việc này (ví dụ: các kết quả kiểm thử thực tế của một kiểm thử có thể không yêu cầu bất kỳ phân tích trước khi so sánh giữa các kết quả dự kiến có thể được thực hiện). Điều này tùy thuộc vào quyết định của người đánh giá biện minh.

...

Người đánh giá cần kiểm tra tất cả các kết quả kiểm thử thực tế nhất quán với các kết quả kiểm thử dự kiến

Bất kỳ sự khác biệt nào trong kết quả kiểm thử thực tế và dự kiến có thể chỉ ra rằng TOE không thực hiện như quy định hoặc tài liệu hướng dẫn kiểm thử của người đánh giá có thể không chính xác. Các kết quả thực tế không đúng dự kiến có thể cần bảo trì hiệu chỉnh cho TOE hoặc tài liệu kiểm thử và có thể yêu cầu tái thực hiện kiểm thử và thay đổi kích thước mẫu kiểm thử và thành phần. Điều này tùy thuộc vào quyết định của người đánh giá biện minh.

13.6.1.4.6 Đơn vị công việc ATE_IND.1-8

Người đánh giá phải báo cáo trong ETR các nỗ lực kiểm thử của người đánh giá, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và các kết quả.

Người đánh giá kiểm tra thông tin báo cáo trong các ETR cho phép người đánh giá truyền đạt phương pháp kiểm thử tổng thể và nỗ lực thực hiện các hoạt động kiểm thử trong quá trình đánh giá. Mục đích của việc cung cấp thông tin này để cung cấp một cái nhìn tổng quan đầy ý nghĩa của các nỗ lực kiểm thử. Điều đó không có nghĩa rằng các thông tin liên quan đến kiểm thử tại các ETR là chính xác, tái tạo các hướng dẫn cụ thể hoặc kết quả của kiểm thử riêng. Mục đích là để cung cấp đầy đủ chi tiết cho phép người đánh giá khác và các tổ chức đánh giá đạt được một cái nhìn toàn diện về các phương pháp kiểm thử được lựa chọn, số lượng kiểm thử thực hiện, cấu hình kiểm thử TOE và kết quả tổng thể của các hoạt động kiểm thử.

Thông tin thường được tìm thấy trong phân lớp ETR liên quan đến nỗ lực kiểm thử của người đánh giá là:

a) các cấu hình kiểm thử TOE. Cấu hình cụ thể của TOE được kiểm thử;

b) kích thước tập con lựa chọn. Số lượng các giao diện kiểm thử trong quá trình đánh giá và biện minh về kích thước;

c) tiêu chí lựa chọn các giao diện cấu thành tập con. Báo cáo tóm tắt về các yếu tố xem xét khi lựa chọn giao diện để đưa vào các tập con;

...

e) phán quyết cho hoạt động này. Phán quyết tổng thể về kết quả kiểm thử trong quá trình đánh giá. Danh sách này không có nghĩa là đầy đủ và chỉ nhằm mục đích cung cấp một số bối cảnh như các loại thông tin phải có trong các ETR liên quan đến việc kiểm thử đánh giá được thực hiện trong quá trình đánh giá.

13.6.2 Đánh giá hoạt động con (ATE_IND.2)

13.6.2.1 Mục tiêu

Mục tiêu của hoạt động này là để xác định bằng cách kiểm tra độc lập một tập con của TSF, cho dù TOE đáp ứng như quy định trong tài liệu hướng dẫn thiết kế và để đạt được tin tưởng trong các kết quả kiểm thử của nhà phát triển bằng cách thực hiện một mẫu kiểm thử của nhà phát triển.

13.6.2.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) đặc tả chức năng;

c) mô tả thiết kế TOE;

...

e) hướng dẫn người sử dụng chuẩn bị;

f) tài liệu quản lý cấu hình;

g) tài liệu kiểm thử;

h) TOE phù hợp để kiểm thử.

13.6.2.3 Hành động ATE_IND.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) ATE_IND.2.1C: TOE phải phù hợp để kiểm thử.

13.6.2.3.1 Đơn vị công việc ATE_IND.2-1

Người đánh giá cần kiểm tra TOE để xác định các cấu hình kiểm thử nhất quán với cấu hình đánh giá theo quy định trong ST.

TOE được cung cấp bởi nhà phát triển và xác định trong kế hoạch kiểm thử phải có cùng một tham chiếu duy nhất như được thiết lập bởi hoạt động con Khả năng CM (ALC_CMC) và được xác định trong giới thiệu ST.

...

Người đánh giá cần xem xét mục tiêu an toàn đối với môi trường vận hành được mô tả trong các ST có thể áp dụng cho các môi trường kiểm thử và đảm bảo chúng đáp ứng trong các môi trường kiểm thử. Có thể có một số mục tiêu đối với môi trường vận hành mà không áp dụng cho môi trường kiểm thử. Ví dụ, một mục tiêu về xóa người dùng có thể không áp dụng; Tuy nhiên, một mục tiêu về một điểm kết nối mạng duy nhất sẽ được áp dụng.

Nếu bất kỳ tài nguyên kiểm thử nào được sử dụng (ví dụ: thiết bị đo mét, thiết bị phân tích), người đánh giá có trách nhiệm đảm bảo rằng các nguồn này được hiệu chuẩn chính xác.

13.6.2.3.2 Đơn vị công việc ATE_IND.2-2

Người đánh giá cần kiểm tra TOE để xác định rằng nó đã được cài đặt đúng và trong một trạng thái xác định.

Nếu người đánh giá cần thực hiện cài đặt các thủ tục vì các trạng thái TOE không rõ ràng, đơn vị công việc này khi hoàn thành có thể đáp ứng đơn vị công việc AGD_PRE.1-3.

TCVN 8709-3 (ISO/IEC 15408-3) ATE_IND.2.2C: Nhà phát triển phải cung cấp tài nguyên tương đương được sử dụng trong các kiểm thử chức năng của nhà phát triển của TSF.

13.6.2.3.3 Đơn vị công việc ATE_IND.2-3

Người đánh giá cần kiểm tra các tài nguyên được cung cấp bởi nhà phát triển để xác định rằng chúng tương đương với các tài nguyên được sử dụng bởi nhà phát triển để kiểm tra chức năng của TSF.

...

13.6.2.4 Hành động ATE_IND.2.2E

13.6.2.4.1 Đơn vị công việc ATE_IND.2-4

Người đánh giá cần tiến hành kiểm thử bằng cách sử dụng một mẫu kiểm thử tìm thấy trong các kế hoạch kiểm thử của nhà phát triển và các thủ tục.

Mục tiêu tổng thể của đơn vị công việc này là để thực hiện một số lượng đầy đủ các kiểm thử nhà phát triển để xác nhận tính hợp lệ kết quả kiểm thử của nhà phát triển. Người đánh giá quyết định kích thước của mẫu và các kiểm thử nhà phát triển sẽ cấu thành mẫu (xem A.2).

Tất cả kiểm thử nhà phát triển có thể được theo dõi trở lại đến các giao diện cụ thể. Vì vậy, các yếu tố cần xem xét trong các lựa chọn các kiểm thử để soạn mẫu là tương tự cho những người gì liệt kê để tập hợp lựa chọn trong đơn vị công việc ATE_IND.2-6. Ngoài ra, người đánh giá có thể muốn sử dụng phương pháp lấy mẫu ngẫu nhiên để chọn kiểm thử nhà phát triển bao gồm trong mẫu.

13.6.2.4.2 Đơn vị công việc ATE_IND.2-5

Người đánh giá cần kiểm tra rằng tất cả các kết quả kiểm thử thực tế nhất quán với các kết quả kiểm thử dự kiến.

Sự không nhất quán giữa các kết quả kiểm thử dự kiến của nhà phát triển và kết quả kiểm thử thực tế sẽ buộc người đánh giá cần giải quyết sự khác biệt. Sự không nhất quán gặp phải bởi người đánh giá có thể được giải quyết bởi một giải thích hợp lý và giải trình về sự không nhất quán bởi nhà phát triển.

Nếu một lời giải thích thỏa đáng hoặc giải trình không thể đạt được, niềm tin của người đánh giá về các kết quả kiểm thử của nhà phát triển có thể bị giảm bớt và người đánh giá có thể cần tăng kích thước mẫu trong phạm vi mà các tập con được xác định trong đơn vị công việc ATE_IND.2-4 được kiểm thử đầy đủ: Thiếu sót trong các kiểm thử của nhà phát triển sẽ dẫn dẫn hoặc là hành động khắc phục các kiểm thử của nhà phát triển hoặc thực hiện các kiểm thử mới bởi người đánh giá.

...

13.6.2.5 Hành động ATE_IND.2.3E

13.6.2.5.1 Đơn vị công việc ATE_IND.2-6

Người đánh giá cần đưa ra một tập con kiểm thử.

Người đánh giá lựa chọn một tập con kiểm thử và chiến lược kiểm thử đó là phù hợp với TOE. Một chiến lược kiểm thử đặc biệt sẽ bao gồm tập con kiểm thử chứa nhiều giao diện có thể được kiểm thử với tính chặt chẽ không cao. Một chiến lược thử nghiệm sẽ có các tập hợp con thử nghiệm có chứa một vài giao diện dựa trên sự liên quan nhận thức của họ một cách nghiêm túc kiểm thử các giao diện này. Thông thường các phương pháp kiểm thử thực hiện bởi người đánh giá sẽ rơi vào giữa hai thái cực. Người đánh giá nên thực hiện ít nhất một kiểm thử trên hầu hết các giao diện, nhưng kiểm thử không cần chứng minh đầy đủ đặc điểm kỹ thuật kiểm tra.

Người đánh giá, khi lựa chọn tập con của giao diện để kiểm thử, cần xem xét các các yếu tố sau:

a) bằng chứng kiểm thử nhà phát triển. Bằng chứng kiểm thử nhà phát triển bao gồm: tài liệu kiểm thử, phân tích phạm vi kiểm thử có sẵn và năng lực sẵn có của phân tích kiểm thử. Bằng chứng kiểm thử nhà phát triển sẽ cung cấp cái nhìn sâu sắc về cách TSF đã được thực hiện bởi nhà phát triển trong quá trình kiểm thử. Người đánh giá áp dụng các thông tin này khi phát triển kiểm thử mới để kiểm thử độc lập TOE. Cụ thể người đánh giá cần xem xét:

1) tăng thêm kiểm thử của nhà phát triển cho các giao diện. Người đánh giá có thể muốn thực hiện nhiều hơn cùng một loại kiểm thử bằng các thông số khác nhau để nhiều kiểm tra chặt chẽ hơn các giao diện.

2) bổ sung chiến lược kiểm thử của nhà phát triển cho giao diện. Người đánh giá có thể thay đổi phương pháp kiểm thử một giao diện cụ thể bằng cách kiểm thử nó sử dụng một chiến lược kiểm thử khác.

b) số giao diện để từ đó rút ra cho tập con kiểm thử. Trường hợp các TSF bao gồm chỉ một số lượng nhỏ giao diện tương đối đơn giản, nó có thể được thực hiện để kiểm tra chặt chẽ tất cả chúng. Trong trường hợp khác, điều này có thể là không có hiệu quả và lấy mẫu được yêu cầu.

...

Người đánh giá lựa chọn các giao diện để tạo nên tập con. Lựa chọn này sẽ phụ thuộc vào một số yếu tố và xem xét các yếu tố này cũng có thể ảnh hưởng đến sự lựa chọn kích thước tập con kiểm thử:

a) kiểm thử của nhà phát triển các giao diện. Những giao diện mà người đánh giá xác định yêu cầu kiểm thử thêm nên được bao gồm trong tập con kiểm thử.

b) kết quả kiểm thử của nhà phát triển. Nếu các kết quả của kiểm thử của nhà phát triển mang lại cho người đánh giá nghi ngờ rằng giao diện không được thực hiện hợp lý thì người đánh giá nên đưa các giao diện đó vào tập con kiểm thử.

c) tầm quan trọng của giao diện. Những giao diện quan trọng đáng kể hơn so với những giao diện khác khác nên được dựa vào tập con kiểm thử. Một yếu tố quan trọng của "sự quan trọng" là an toàn-có liên quan (Các giao diện thực thi SFR sẽ quan trọng hơn so với các giao diện hỗ trợ SFR và hơn nhiều so với giao diện không can thiệp SFR; xem TCVN 8709-3 (ISO/IEC 15408-3): Mục đặc tả chức năng (ADV_FSP)). Các yếu tố quan trọng khác của "sự quan trọng" là số SFR ánh xạ đến giao diện này (được quyết định khi xác định sự tương ứng giữa mức trừu tượng trong ADV).

d) tính phức tạp của giao diện. Các giao diện phức tạp có thể đòi hỏi kiểm thử phức tạp mà áp đặt các yêu cầu lựa chọn hợp lý lên nhà phát triển hoặc người đánh giá, trong đó có thể không có lợi cho việc đánh giá hiệu quả - chi phí. Ngược lại, chúng là một khu vực có khả năng để tìm lỗi và là các ứng cử viên rất tốt cho tập con. Người đánh giá cần cần phải sự cân bằng giữa các xem xét này.

e) kiểm thử tiềm ẩn. Kiểm thử một số giao diện có thể thường kiểm thử tiềm ẩn các giao diện khác và đưa chúng vào tập con có thể tối đa hóa số lượng các giao diện kiểm thử (mặc dù ngầm). Một số giao diện sẽ thường được được sử dụng để cung cấp một loạt các chức năng an toàn và sẽ có xu hướng là mục tiêu của một phương pháp kiểm thử hiệu quả.

f) các loại giao diện (ví dụ như chương trình, dòng lệnh, giao thức). Người đánh giá nên xem xét kiểm thử bao gồm cho tất cả các loại giao diện khác nhau mà TOE hỗ trợ.

g) Giao diện phát sinh các tính năng sáng tạo hay bất thường. Trường hợp TOE có các tính năng sáng tạo hay bất thường, trong đó có thể tính năng mạnh mẽ trong tài liệu tiếp thị và tài liệu hướng dẫn, các giao diện tương ứng là ứng viên chính để kiểm thử.

Hướng dẫn này nói rõ các yếu tố cần xem xét trong quá trình lựa chọn một tập con kiểm thử phù hợp, nhưng không phải là đầy đủ.

...

Người đánh giá cần cung cấp tài liệu kiểm thử cho việc kiểm thử các tập con đầy đủ chi tiết để cho phép các kiểm thử có thể lặp lại.

Với hiểu biết về các đáp ứng dự kiến của TSF, từ ST và các đặc tả chức năng, người đánh giá phải xác định các cách khả thi để kiểm thử giao diện. Cụ thể, người đánh giá xem xét:

a) các phương pháp sẽ được sử dụng, ví dụ, liệu một giao diện bên ngoài sẽ được kiểm thử hoặc một giao diện bên trong sử dụng một dụng cụ kiểm thử hoặc một phương pháp kiểm thử thay thế sẽ được sử dụng (ví dụ như trong trường hợp đặc biệt, một kiểm thử mã);

b) các giao diện sẽ được sử dụng để kiểm thử và quan sát các đáp ứng;

Các tài liệu kiểm thử của người đánh giá cần xác định nguồn gốc của mỗi kiểm thử, theo dõi trở lại các giao diện có liên quan.

13.6.2.5.3 Đơn vị công việc ATE_IND.2-8

...

13.6.2.5.4 Đơn vị công việc ATE_IND.2-9

Người đánh giá cần ghi lại các thông tin sau về các kiểm thử tạo nên tập con kiểm thử:

a) xác định các đáp ứng giao diện được kiểm thử;

b) Hướng dẫn để kết nối và thiết lập tất cả các thiết bị kiểm thử được yêu cầu theo yêu cầu để thực hiện kiểm thử;

c) hướng dẫn để thiết lập tất cả điều kiện kiểm thử tiên quyết;

d) hướng dẫn để kích thích giao diện;

e) hướng dẫn để quan sát giao diện;

f) mô tả tất cả các kết quả dự kiến và các phân tích cần thiết được thực hiện trên đáp ứng quan sát được để so sánh với các kết quả dự kiến;

...

h) các kết quả kiểm thử thực tế.

Mức độ chi tiết nên được như trên để người đánh giá khác có thể lặp lại các kiểm thử và có được một kết quả tương đương. Trong khi một số chi tiết cụ thể của kết quả kiểm thử có thể khác nhau (ví dụ như các trường thời gian, ngày tháng trong hồ sơ kiểm soát) các kết quả tổng thể nên giống nhau. Trường hợp cần thiết có thể cung cấp tất cả các thông tin được trình bày trong đơn vị công việc này (ví dụ: các kết quả kiểm thử thực tế của một kiểm thử có thể không yêu cầu bất kỳ phân tích trước khi so sánh giữa các kết quả dự kiến có thể được thực hiện). Điều này tùy thuộc vào quyết định của người đánh giá biện minh.

13.6.2.5.5 Đơn vị công việc ATE_IND.2-10

Người đánh giá cần kiểm tra rằng các kết quả kiểm thử thực tế nhất quán với các kết quả kiểm thử dự kiến.

Bất kỳ sự khác biệt trong thực tế và kết quả kiểm thử dự kiến sẽ chỉ ra rằng TOE không thực hiện như quy định hoặc người đánh giá kiểm tra các tài liệu có thể không chính xác, kết quả thực tế có thể yêu cầu sửa chữa bảo trì cho TOE hoặc tài liệu kiểm thử và có thể yêu cầu tái hoạt động của kiểm tra ảnh hưởng và sửa đổi các kích thước và thành phần mẫu kiểm thử. Điều này tùy thuộc vào phán quyết của người đánh giá.

Người đánh giá cần kiểm tra tất cả các kết quả kiểm thử thực tế phù hợp với các kết quả kiểm thử dự kiến

Bất kỳ sự khác biệt nào trong kết quả kiểm thử thực tế và dự kiến có thể chỉ ra rằng TOE không thực hiện như quy định hoặc tài liệu hướng dẫn kiểm thử của người đánh giá có thể không chính xác. Các kết quả thực tế không đúng dự kiến có thể yêu cầu bảo trì hiệu chỉnh cho TOE hoặc tài liệu kiểm thử và có thể yêu cầu tái thực hiện kiểm thử và thay đổi kích thước mẫu kiểm thử và thành phần. Điều này tùy thuộc vào quyết định của người đánh giá biện minh.

13.6.2.5.6 Đơn vị công việc ATE_IND.2-11

Người đánh phải báo cáo trong ETR các nỗ lực kiểm thử của người đánh giá, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và các kết quả.

...

Thông tin thường được tìm thấy trong phân lớp ETR liên quan đến nỗ lực kiểm thử của người đánh giá là:

a) các cấu hình kiểm thử TOE. Cấu hình cụ thể của TOE được kiểm thử;

b) kích thước tập con lựa chọn, số lượng các giao diện kiểm thử trong quá trình đánh giá và biện minh minh về kích thước;

c) tiêu chí lựa chọn các giao diện cấu thành tập con. Báo cáo tóm tắt về các yếu tố xem xét khi lựa chọn giao diện để đưa vào các tập con;

d) giao diện kiểm thử. Danh sách ngắn các giao diện thỏa mãn đưa vào tập con;

e) kiểm thử nhà phát triển thực hiện. Các số lượng kiểm thử nhà phát triển đã thực hiện và mô tả ngắn gọn về các tiêu chí được sử dụng để chọn các kiểm thử.

f) phán quyết cho hoạt động này. Phán quyết tổng thể về kết quả kiểm thử trong quá trình đánh giá.

Danh sách này không có nghĩa là đầy đủ và chỉ nhằm mục đích cung cấp một số bối cảnh như các loại thông tin phải có trong các ETR liên quan đến việc kiểm thử đánh giá được thực hiện trong quá trình đánh giá.

13.6.3 Đánh giá hoạt động con (ATE_IND.3)

...

14 Lớp AVA: Đánh giá điểm yếu

14.1 Giới thiệu

Mục đích của các hoạt động đánh giá điểm yếu là để xác định khả năng khai thác các sai sót hoặc điểm yếu của TOE trong môi trường vận hành. Việc xác định này dựa trên phân tích các bằng chứng đánh giá và tìm kiếm các tài liệu công bố bởi người đánh giá và được hỗ trợ bằng cách kiểm thử thâm nhập của người đánh giá.

14.2 Phân tích điểm yếu (AVA_VAN)

14.2.1 Đánh giá hoạt động con (AVA_VAN.1)

14.2.1.1 Mục tiêu

Mục tiêu của hoạt động con này là để xác định liệu TOE, trong môi trường vận hành, có các điểm yếu khai thác dễ nhận biết không.

14.2.1.2 Đầu vào

Bằng chứng đánh giá cho hoạt động con này là:

...

b) tài liệu hướng dẫn;

c) TOE phù hợp để kiểm thử;

d) thông tin công bố công khai để hỗ trợ việc xác định các điểm yếu tiềm ẩn.

Các đầu vào khác cho hoạt động con này là:

a) thông tin hiện tại về các điểm yếu tiềm ẩn (ví dụ như từ một tổ chức đánh giá).

14.2.1.3 Lưu ý áp dụng

Người đánh giá cần xem xét thực hiện các kiểm thử bổ sung như là một kết quả của điểm yếu tiềm ẩn phải đối mặt trong quá trình thực hiện các bộ phận khác của việc đánh giá.

Sử dụng các thuật ngữ hướng dẫn trong hoạt động con liên quan đến các hướng dẫn vận hành và các hướng dẫn dự bị.

Các điểm yếu tiềm ẩn có thể có trong thông tin công khai hoặc không và có thể yêu cầu kỹ năng để khai thác hoặc không. Hai khía cạnh có liên quan, nhưng là khác biệt. Không nên giả định rằng chỉ đơn giản vì một điểm yếu tiềm ẩn có thể nhận dạng từ các thông tin đó là công bố công khai và có thể bị khai thác dễ dàng.

...

TCVN 8709-3 (ISO/IEC 15408-3) AVA_VAN.1.1C: TOE phải phù hợp cho kiểm thử.

14.2.1.4.1 Đơn vị công việc AVA_VAN.1-1

Người đánh giá cần kiểm tra TOE để xác định các cấu hình kiểm thử nhất quán với cấu hình để đánh giá theo quy định trong ST.

TOE được cung cấp bởi nhà phát triển và được xác nhận trong kế hoạch kiểm thử phải có cùng một tham chiếu duy nhất như được thiết lập bởi hoạt động con Khả năng CM (ALC_CMC) và được xác nhận trong giới thiệu ST.

ST có thể có chỉ định nhiều hơn một cấu hình để đánh giá. TOE có thể cấu thành từ một thực thể phần cứng và phần mềm riêng biệt cần phải được kiểm thử nhất quán với ST. Người đánh giá xác minh rằng tất cả các cấu hình kiểm thử là phù hợp với ST.

Người đánh giá cần xem xét mục tiêu an toàn đối với môi trường vận hành được mô tả trong các ST có thể áp dụng cho môi trường kiểm thử và đảm bảo chúng đáp ứng trong môi trường kiểm thử. Có thể có một số mục tiêu đối với môi trường vận hành mà không áp dụng với môi trường kiểm thử. Ví dụ, mục tiêu về xóa người dùng có thể không áp dụng; Tuy nhiên, một mục tiêu về một điểm kết nối mạng duy nhất sẽ được áp dụng.

Nếu bất kỳ tài nguyên kiểm thử nào được sử dụng (ví dụ: thiết bị đo mét, thiết bị phân tích), người đánh giá có trách nhiệm đảm bảo rằng các tài nguyên này được hiệu chuẩn chính xác.

14.2.1.4.2 Đơn vị công việc AVA_VAN.1-2

Người đánh giá cần kiểm tra TOE để xác định rằng nó đã được cài đặt đúng cách và ở trong một trạng thái xác định.

...

Nếu người đánh giá cần thực hiện các thủ tục cài đặt vì không biết trước trạng thái của TOE, đơn vị công việc này khi kết thúc thành công có thể đáp ứng đơn vị công việc AGD_PRE.1-3.

14.2.1.5 Hành động AVA_VAN.1.2E

14.2.1.5.1 Đơn vị công việc AVA_VAN.1-3

Người đánh giá cần kiểm tra các nguồn thông tin công bố công khai để xác định các điểm yếu tiềm ẩn trong TOE.

Người đánh giá kiểm tra các nguồn thông tin công bố công khai để hỗ trợ việc xác định điểm yếu tiềm ẩn có thể có trong TOE. Có rất nhiều nguồn thông tin công bố công khai cần được xem xét, ví dụ như danh sách thư và các diễn đàn an toàn trên các trang web rằng các báo cáo điểm yếu đã biết trong công nghệ quy định.

Người đánh giá không nên hạn chế xem xét thông tin công bố công khai như trên, nhưng nên xem xét bất kỳ thông tin liên quan khác.

Trong khi kiểm tra các bằng chứng được cung cấp người đánh giá sẽ sử dụng thông tin để tiếp tục tìm kiếm các điểm yếu tiềm ẩn trong miền chung. Trường hợp người đánh giá đã xác định được các khu vực quan tâm, Người đánh giá cần xem xét thông tin công bố công khai có liên quan đến những khu vực quan tâm đó.

Tính sẵn có của thông tin có thể có sẵn cho kẻ tấn công giúp xác định và tạo điều kiện cho các cuộc tấn công có hiệu quả hoạt động để tăng cường đáng kể khả năng tấn công của một cho kẻ tấn công nhất định. Khả năng tiếp cận các thông tin điểm yếu và các công cụ tấn công tinh vi trên mạng Internet làm tăng khả năng rằng thông tin này sẽ được sử dụng trong nỗ lực để xác định các điểm yếu tiềm ẩn trong TOE và khai thác chúng. Công cụ tìm kiếm hiện đại làm cho thông tin như vậy dễ dàng có sẵn cho người đánh giá và việc xác định khả năng chống công bố điểm yếu tiềm ẩn và các tấn công thông thường đã biết có thể đạt được một cách hiệu quả.

Việc tìm kiếm các thông tin công bố công khai nên tập trung vào những nguồn liên quan cụ thể tới các sản phẩm mà từ đó TOE được cấu thành. Mở rộng việc tìm kiếm này nên xem xét yếu tố sau: loại TOE, kinh nghiệm trong việc đánh giá loại TOE này, khả năng tấn công dự kiến và mức độ bằng chứng sẵn có ADV.

...

Người đánh giá cần báo cáo những hành động được thực hiện để xác định các điểm yếu tiềm ẩn trong các thông tin công bố công khai. Tuy nhiên, trong cách tìm kiếm này, người đánh giá có thể không có khả năng mô tả các bước trong việc xác định điểm yếu tiềm ẩn trước khi bắt đầu kiểm thử, theo phương pháp này có thể phát triển như là kết quả của phát hiện trong quá trình tìm kiếm.

Người đánh giá sẽ báo cáo các bằng chứng kiểm tra hoàn thành việc tìm kiếm các điểm yếu tiềm ẩn.

14.2.1.5.2 Đơn vị công việc AVA_VAN.1-4

Người đánh giá sẽ ghi lại trong ETR các điểm yếu tiềm ẩn được xác định là ứng cử viên cho kiểm thử và có thể áp dụng đối với TOE trong môi trường vận hành của nó.

Có thể xác định không tiếp tục xem xét các điểm yếu tiềm ẩn cần thiết nếu, ví dụ người đánh giá xác định rằng các biện pháp trong các môi trường vận hành hoặc IT hay phi IT, ngăn chặn khai thác các điểm yếu tiềm ẩn trong môi trường vận hành đó. Ví dụ, hạn chế truy nhập vật lý vào TOE để người dùng được ủy quyền chỉ có hiệu quả làm cho một điểm yếu tiềm ẩn để giả mạo có thể không khai thác được.

Người đánh giá ghi lại bất kỳ lý do để loại trừ các điểm yếu tiềm ẩn từ xem xét thêm nếu người đánh giá xác định rằng điểm yếu tiềm ẩn không áp dụng trong các môi trường vận hành. Nếu không thì người đánh giá ghi lại điểm yếu tiềm ẩn để xem xét thêm.

Một danh sách các điểm yếu tiềm ẩn áp dụng đối với TOE trong môi trường vận hành của nó, có thể được sử dụng như là một đầu vào hoạt động kiểm thử thâm nhập, được báo cáo trong ETR bởi người đánh giá.

14.2.1.6 Hành động AVA_VAN.1.3E

14.2.1.6.1 Đơn vị công việc AVA_VAN.1-5

...

Người đánh giá có thể thấy có thể thực hiện các kiểm thử xâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, trong đó mỗi trường hợp kiểm thử sẽ kiểm tra cho một điểm yếu tiềm ẩn cụ thể.

Người đánh giá không dự kiến kiểm thử các điểm yếu tiềm ẩn (bao gồm cả những người trong miền chung) ngoài những yêu cầu một khả năng tấn công cơ bản. Tuy nhiên trong một số trường hợp, nó sẽ là cần thiết để thực hiện một kiểm thử trước khi khả năng khai thác có thể được xác định. Ở đây, như một kết quả của các chuyên gia đánh giá, người đánh giá phát hiện ra một điểm yếu tiềm ẩn vượt ra ngoài khả năng tấn công cơ bản, điều này được báo cáo trong ETR như một điểm yếu còn tồn tại.

14.2.1.6.2 Đơn vị công việc AVA_VAN.1-6

Người đánh giá cần cung cấp tài liệu kiểm thử thâm nhập cho các kiểm thử dựa trên danh sách điểm yếu tiềm ẩn đầy đủ chi tiết để cho phép các kiểm thử có khả năng lặp lại, tài liệu kiểm thử sẽ bao gồm:

a) định danh các điểm yếu tiềm ẩn của TOE đang được kiểm thử;

b) hướng dẫn để kết nối và thiết lập tất cả các thiết bị kiểm thử được yêu cầu theo yêu cầu để thực hiện kiểm thử thâm nhập;

c) hướng dẫn để thiết lập tất cả các điều kiện tiên quyết ban đầu của kiểm thử thâm nhập;

d) hướng dẫn để kích thích TSF;

e) hướng dẫn cho quan sát các đáp ứng của TSF;

...

g) hướng dẫn để kết thúc kiểm thử và thiết lập trạng thái sau kiểm thử cần thiết cho TOE.

Người đánh giá chuẩn bị cho kiểm thử thâm nhập dựa trên danh sách các điểm yếu tiềm ẩn được xác định trong quá trình tìm kiếm miền chung.

Người đánh giá không dự kiến xác định khả năng khai thác các điểm yếu tiềm ẩn vượt ra ngoài một khả năng tấn công cơ bản là cần thiết để thực một cuộc tấn công. Tuy nhiên, như kết quả của các chuyên gia đánh giá, người đánh giá có thể phát hiện một điểm yếu tiềm ẩn có thể khai thác được chỉ bởi một kẻ tấn công có khả năng tấn công cao hơn khả năng tấn công cơ bản. Điểm yếu đó được báo cáo trong ETR như là điểm yếu còn tồn tại.

Với sự hiểu biết về các điểm yếu tiềm ẩn, người đánh giá xác định cách khả thi nhất để kiểm tra tính nhạy cảm của TOE. Cụ thể người đánh giá cần xem xét:

a) TSFI hoặc các giao diện TOE sẽ được sử dụng để kích thích TSF và quan sát đáp ứng;

b) điều kiện ban đầu cần có cho các kiểm thử (tức là bất kỳ đối tượng cụ thể hoặc đối tượng mà sẽ cần phải tồn tại và các thuộc tính an toàn của chúng cần phải có);

c) thiết bị kiểm thử đặc biệt sẽ được yêu cầu để kích thích TSFI hoặc thực hiện các quan sát TSFI (Mặc dù không chắc rằng thiết bị chuyên dụng sẽ được yêu cầu để khai thác điểm yếu tiềm ẩn giả định một cuộc tấn công có tiềm năng cơ bản);

d) liệu phân tích lý thuyết nên thay thế kiểm thử vật lý, đặc biệt phù hợp khi các kết quả của một kiểm thử ban đầu có thể được ngoại suy để chứng minh rằng những nỗ lực lặp đi lặp lại của một cuộc tấn công là có khả năng thành công sau khi nỗ lực thực hiện một số lượng nhất định.

Người đánh giá có thể tìm thấy nó thực tế để thực hiện các kiểm thử xâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, trong đó mỗi trường hợp kiểm thử sẽ kiểm tra cho một điểm yếu tiềm ẩn cụ thể.

...

14.2.1.6.3 Đơn vị công việc AVA_VAN.1-7

Người đánh giá cần tiến hành kiểm thử thâm nhập.

Người đánh giá sử dụng các tài liệu kiểm thử thâm nhập từ đơn vị công việc AVA_VAN.1-5 làm cơ sở cho việc thực hiện kiểm thử thâm nhập TOE, điều này không ngăn cản người đánh giá thực hiện thêm các kiểm thử thâm nhập đặc biệt. Nếu cần thiết, người đánh giá có thể đưa ra các kiểm thử đặc biệt như là một kết quả của thông tin có được trong quá trình kiểm thử thâm nhập đó, nếu thực hiện bởi người đánh giá sẽ được ghi lại trong các tài liệu kiểm thử xâm nhập. Kiểm thử như vậy có thể được yêu cầu để theo dõi các kết quả ngoài dự kiến hoặc quan sát hoặc để điều tra điểm yếu tiềm ẩn gợi ý cho người đánh giá trong quá trình lập kế hoạch kiểm thử.

Người đánh giá không dự kiến sẽ kiểm thử các điểm yếu tiềm ẩn (bao gồm cả những người trong miền chung) ngoài những yêu cầu một khả năng tấn công cơ bản. Tuy nhiên trong một số trường hợp, nó sẽ là cần thiết để thực hiện một kiểm thử trước khi khả năng khai thác có thể được xác định. Ở đây, như một kết quả của các chuyên gia đánh giá, người đánh giá phát hiện ra một điểm yếu tiềm ẩn vượt ra ngoài khả năng tấn công cơ bản, điều này được báo cáo trong ETR như một điểm yếu còn tồn tại.

14.2.1.6.4 Đơn vị công việc AVA_VAN.1-8

Người đánh giá cần ghi lại các kết quả thực tế của các kiểm thử thâm nhập.

Trong khi một số chi tiết cụ thể của các kết quả kiểm thử thực tế có thể khác nhau so với dự kiến (ví dụ như các trường thời gian, ngày tháng trong hồ sơ kiểm soát) nhưng kết quả tổng thể nên giống nhau. Các kết quả kiểm thử ngoài dự kiến bất kỳ sẽ được điều tra. Tác động đối với việc đánh giá cần phải được công bố và được xác minh.

14.2.1.6.5 Đơn vị công việc AVA_VAN.1-9

Người đánh giá báo cáo trong ETR nỗ lực kiểm thử thâm nhập, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và các kết quả.

...

Thông tin đó sẽ thường được tìm thấy trong mục ETR liên quan đến nỗ lực kiểm thử thâm nhập của đánh giá là:

a) các cấu hình kiểm thử TOE. Các cấu hình cụ thể của TOE đã được kiểm thử thâm nhập;

b) TSFI kiểm thử thâm nhập. Một danh sách ngắn của TSFI và các giao diện TOE là trọng tâm của kiểm thử thâm nhập;

c) phán quyết cho hoạt động con. Phán quyết tổng thể về các kết quả của kiểm thử thâm nhập.

Danh sách này không có nghĩa là đầy đủ và chỉ nhằm mục đích để cung cấp một số bối cảnh như các loại thông tin nên trình bày trong ETR liên quan đến các kiểm thử thâm nhập người đánh giá thực hiện thực hiện trong quá trình đánh giá.

14.2.1.6.6 Đơn vị công việc AVA_VAN.1-10

Người đánh giá cần kiểm tra các kết quả của tất cả các kiểm thử thâm nhập để xác định rằng TOE trong môi trường vận hành của nó có khả năng chống một kẻ tấn công sở hữu một khả năng tấn công cơ bản.

Nếu kết quả cho thấy rằng TOE trong môi trường vận hành của nó, có điểm yếu có thể khai thác bởi một kẻ tấn công có khả năng tấn công thấp hơn khả năng tấn công cơ bản tăng cường thì hành động của người đánh giá này là không thành công.

Các hướng dẫn trong B.4 nên được sử dụng để xác định khả năng tấn công cần thiết để khai thác một điểm yếu cụ thể và liệu nó có thể được khai thác trong môi trường dự định. Nó có thể không cần thiết cho khả năng tấn công được tính toán trong mọi trường hợp, chỉ khi có một số nghi ngờ là có hay không những điểm yếu có thể bị khai thác bởi một kẻ tấn công sở hữu một khả năng tấn công thấp hơn khả năng cơ bản tăng cường.

...

Người đánh giá cần báo cáo trong ETR tất cả các điểm yếu có thể khai thác và điểm yếu còn tồn tại, chi tiết cho từng:

a) nguồn (ví dụ như hoạt động của phương pháp đánh giá được thực hiện khi nó được hình thành, được biết với người đánh giá, đọc ấn phẩm);

b) SFR không đáp ứng;

c) mô tả;

d) liệu có thể khai thác môi trường vận hành của nó hay không (tức là có thể khai thác hoặc còn tồn tại);

e) số lượng thời gian, mức độ chuyên môn, trình độ hiểu biết của TOE, mức độ cơ hội và các thiết bị cần thiết để thực hiện các điểm yếu được xác định và các giá trị tương ứng sử dụng các bảng B.2 và B.3 của Phụ lục B.4.

14.2.2 Đánh giá hoạt động con (AVA_VAN.2)

14.2.2.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định liệu TOE trong môi trường vận hành của nó có các điểm yếu có thể khai thác bởi những kẻ tấn công sở hữu khả năng tấn công cơ bản.

...

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) đặc tả chức năng;

c) thiết kế TOE;

d) mô tả kiến trúc an toàn;

e) tài liệu hướng dẫn;

f) TOE phù hợp để kiểm thử;

g) thông tin công bố công khai để hỗ trợ việc xác định điểm yếu tiềm ẩn có thể có.

Các bằng chứng đánh giá tiềm ẩn còn tồn tại cho hoạt động con này phụ thuộc vào các thành phần bao gồm trong gói bảo đảm. Các bằng chứng được cung cấp cho mỗi thành phần được sử dụng như là đầu vào trong hoạt động con này.

...

a) thông tin hiện tại về điểm yếu tiềm ẩn miền chung và các cuộc tấn công (ví dụ như từ một tổ chức đánh giá).

14.2.2.3 Lưu ý áp dụng

Người đánh giá cần xem xét thực hiện các kiểm thử bổ sung như là một kết quả của điểm yếu tiềm ẩn phải đối mặt trong các phần khác của việc đánh giá.

14.2.2.4 Hành động AVA_VAN.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) AVA_VAN.2.1C: TOE phải phù hợp cho kiểm thử.

14.2.2.4.1 Đơn vị công việc AVA_VAN.2-1

Người đánh giá cần kiểm tra TOE để xác định cấu hình kiểm thử nhất quán với cấu hình để đánh giá theo quy định trong ST.

ST có thể có chỉ định nhiều hơn một cấu hình cho đánh giá. TOE có thể cấu thành từ một số thực thể phần cứng và phần mềm riêng biệt cần phải nhất quán phù hợp với ST.

...

Nếu có bất kỳ tài nguyên kiểm thử nào được sử dụng (ví dụ: thiết bị đo mét, thiết bị phân tích), người đánh giá có trách nhiệm đảm bảo rằng các tài nguyên này được hiệu chuẩn chính xác.

14.2.2.4.2 Đơn vị công việc AVA_VAN.2-2

Người đánh giá cần kiểm tra TOE để xác định rằng nó đã được cài đặt đúng cách và trong một trạng thái xác định.

Người đánh giá có thể xác định trạng thái của TOE bằng một số cách khác nhau. Ví dụ, kết thúc thành công trước đó của việc đánh giá hoạt động con (AGD_PRE.1), hoạt động con sẽ đáp ứng đơn vị công việc này nếu người đánh giá tin rằng TOE được sử dụng để kiểm thử đã được cài đặt đúng cách và ở trạng thái đã biết. Nếu không phải là trường hợp này thì người đánh giá cần thực hiện theo các thủ tục của nhà phát triển để cài đặt và khởi động TOE, chỉ sử dụng hướng dẫn được cung cấp.

Người đánh giá cần thực hiện các thủ tục cài đặt vì không biết trước trạng thái TOE, đơn vị công việc này khi kết thúc thành công có thể đáp ứng đơn vị công việc AGD_PRE.1-3.

14.2.2.5 Hành động AVA_VAN.2.2E

14.2.2.5.1 Đơn vị công việc AVA_VAN.2-3

Người đánh giá cần kiểm tra các nguồn thông tin công bố công khai để xác định các điểm yếu tiềm ẩn trong TOE.

Người đánh giá xem xét các nguồn thông tin công bố công khai để hỗ trợ việc xác định điểm yếu tiềm ẩn có thể có trong TOE. Có rất nhiều nguồn thông tin công bố công khai mà người đánh giá cần xem xét sử dụng trên các trang web, bao gồm:

...

b) tài liệu nghiên cứu.

Người đánh giá không nên hạn chế xem xét thông tin công bố công khai như trên, nhưng nên xem xét bất kỳ thông tin liên quan khác.

Trong khi kiểm tra các bằng chứng được cung cấp, người đánh giá cần sử dụng thông tin trong miền chung để tiếp tục tìm kiếm các điểm yếu tiềm ẩn. Trường hợp người đánh giá đã xác định được khu vực quan tâm, người đánh giá nên xem xét thông tin công bố công khai liên quan đến những lĩnh vực quan tâm đó.

Tính sẵn có của thông tin có thể có sẵn cho kẻ tấn công giúp xác định và tạo điều kiện cho các cuộc tấn công có hiệu quả hoạt động để tăng cường đáng kể khả năng tấn công của một cho kẻ tấn công nhất định. Khả năng tiếp cận các thông tin điểm yếu và các công cụ tấn công tinh vi trên mạng Internet làm tăng khả năng rằng thông tin này sẽ được sử dụng trong nỗ lực để xác định các điểm yếu tiềm ẩn trong TOE và khai thác chúng. Công cụ tìm kiếm hiện đại làm cho thông tin như vậy dễ dàng khả dụng cho người đánh giá và việc xác định khả năng chống công bố điểm yếu tiềm ẩn và các tấn công thông thường đã biết có thể đạt được một cách hiệu quả.

Quá trình nhận dạng là lặp đi lặp lại, nơi mà việc xác định một điểm yếu tiềm ẩn có thể dẫn đến việc xác định một khu vực quan tâm mà yêu cầu phải tiếp tục điều tra.

Người đánh giá cần báo cáo những hành động được thực hiện để xác định các điểm yếu tiềm ẩn trong các bằng chứng. Tuy nhiên, trong cách tìm kiếm này, người đánh giá có thể không có khả năng mô tả các bước trong việc xác định điểm yếu tiềm ẩn trước khi bắt đầu kiểm thử, theo phương pháp này có thể phát triển như là kết quả của phát hiện trong quá trình tìm kiếm.

Người đánh giá sẽ báo cáo các bằng chứng kiểm tra hoàn thành việc tìm kiếm các điểm yếu tiềm ẩn. Lựa chọn bằng chứng này có thể được bắt nguồn từ những khu vực quan tâm được xác định bởi người đánh giá, liên kết với các bằng chứng của kẻ tấn công được cho là có khả năng có được hoặc theo một lý do được cung cấp bởi người đánh giá.

14.2.2.6 Hành động AVA_VAN.2.3E

...

Người đánh giá cần tiến hành tìm kiếm ST, tài liệu hướng dẫn, đặc tả chức năng, thiết kế TOE và mô tả kiến trúc an toàn làm bằng chứng để xác định điểm yếu tiềm ẩn có thể có trong TOE.

Một tìm kiếm các bằng chứng phải được hoàn thành trong đó thông số kỹ thuật và tài liệu hướng dẫn cho TOE được phân tích và sau đó điểm yếu tiềm ẩn trong TOE được giả thuyết hoặc suy đoán. Danh sách điểm yếu tiềm ẩn giả thiết sau đó được ưu tiên trên cơ sở xác suất ước tính rằng một điểm yếu tiềm ẩn tồn tại và giả sử một điểm yếu có thể khai thác tồn tại khả năng tấn công cần thiết để khai thác nó và trên mức độ kiểm soát hoặc thỏa hiệp sẽ cung cấp. Danh sách ưu tiên về điểm yếu tiềm ẩn được sử dụng để kiểm thử thâm nhập trực tiếp đối với TOE.

Mô tả kiến trúc an toàn cung cấp phân tích điểm yếu nhà phát triển, bằng cách chỉ ra rằng các TSF bảo vệ khỏi sự can thiệp của các đối tượng không đáng tin cậy như thế nào và ngăn ngừa sự bỏ qua việc thực thi chức năng an toàn. Do đó, người đánh giá nên sử dụng mô tả của các bảo vệ TSF làm cơ sở để tìm kiếm cách thức có thể làm suy yếu các TSF.

Liên quan đến các SFR, TOE đáp ứng trong môi trường vận hành, các phân tích điểm yếu độc lập của người đánh giá cần xem xét các điểm yếu tiềm ẩn chung theo các nhóm sau đây:

a) điểm yếu tiềm ẩn chung có liên quan cho các loại TOE được đánh giá, có thể được cung cấp bởi tổ chức đánh giá;

b) bỏ qua;

c) giả mạo;

d) các cuộc tấn công trực tiếp;

e) giám sát;

...

Mục b) - f) được giải thích chi tiết hơn trong Phụ lục B.

Mô tả kiến trúc an toàn nên được xem xét mỗi trong phương diện từng điểm yếu tiềm ẩn chung ở trên. Mỗi điểm yếu tiềm ẩn nên được xem xét để tìm cách có thể, trong đó loại bỏ các bảo vệ TSF và làm suy yếu các TSF.

14.2.2.6.2 Đơn vị công việc AVA_VAN.2-5

Người đánh giá cần ghi lại trong ETR các điểm yếu tiềm ẩn xác định được dự kiến kiểm thử và có thể áp dụng đối với TOE trong môi trường vận hành.

Người đánh giá ghi lại mọi lý do để loại trừ các điểm yếu tiềm ẩn không cần xem xét thêm nếu người đánh giá xác định rằng điểm yếu tiềm ẩn không áp dụng trong các môi trường vận hành. Nếu không thì người đánh giá ghi lại điểm yếu tiềm ẩn để xem xét thêm.

Một danh sách các điểm yếu tiềm ẩn có thể áp dụng đối với TOE trong môi trường vận hành của nó, có thể được sử dụng như là một đầu vào hoạt động kiểm thử thâm nhập, được báo cáo trong ETR bởi người đánh giá.

14.2.2.7 Hành động AVA_VAN.2.4E

14.2.2.7.1 Đơn vị công việc AVA_VAN.2-6

...

Người đánh giá cần lưu ý rằng, khi xem xét mô tả kiến trúc an toàn trong việc tìm kiếm các điểm yếu (như chi tiết trong AVA_VAN.2-4), kiểm thử nên được thực hiện để xác nhận các đặc tính kiến trúc. Điều này có thể yêu cầu kiểm tra phủ định nhằm cố gắng bác bỏ các thuộc tính của kiến trúc an toàn. Trong việc phát triển các chiến lược để kiểm thử thâm nhập, người đánh giá cần đảm bảo rằng mỗi đặc điểm chính của mô tả kiến trúc an toàn được kiểm tra trong kiểm tra chức năng (như xem xét trong 13) hoặc kiểm thử thâm nhập của người đánh giá.

Người đánh giá có thể thấy rất thực tế nếu thực hiện các kiểm thử xâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, ở đó mỗi trường hợp kiểm thử sẽ kiểm tra một điểm yếu tiềm ẩn cụ thể.

Người đánh giá không dự kiến kiểm tra các điểm yếu tiềm ẩn (bao gồm cả những điểm yếu trong miền chung) ngoài những điểm yếu được yêu cầu bởi một khả năng tấn công cơ bản. Tuy nhiên trong một số trường hợp, sẽ cần thiết phải thực hiện một kiểm thử trước khi khả năng có thể khai thác được xác định. Theo kết quả của các chuyên gia đánh giá, nếu người đánh giá phát hiện ra một điểm yếu có thể khai thác ngoài khả năng tấn công cơ bản, điều này được báo cáo trong ETR như một điểm yếu còn tồn tại.

Hướng dẫn xác định tiềm năng tấn công cần thiết khai thác một điểm yếu tiềm ẩn có thể được tìm thấy trong Phụ lục B.4.

Điểm yếu tiềm ẩn đưa ra giả thuyết là có thể khai thác chỉ bởi những kẻ tấn công có tiềm năng tấn công cơ bản nâng cao, trung bình hoặc tiềm năng tấn công cao cũng không dẫn đến thất bại của hoạt động đánh giá này. Các phân tích hỗ trợ giả thuyết, không cần phải được xem xét tiếp như một đầu vào để kiểm thử thâm nhập. Tuy nhiên, các điểm yếu như vậy được báo cáo trong ETR là điểm yếu còn tồn tại.

Điểm yếu tiềm ẩn đưa ra giả thuyết là có thể khai thác bởi một kẻ tấn công sở hữu một khả năng tấn công cơ bản và kết quả là vi phạm các mục tiêu an toàn, nên các điểm yếu tiềm ẩn ưu tiên cao nhất bao gồm một danh sách được sử dụng để kiểm thử thâm nhập trực tiếp chống lại TOE.

14.2.2.7.2 Đơn vị công việc AVA_VAN.2-7

Người đánh giá cần cung cấp tài liệu kiểm thử xâm nhập cho các kiểm thử dựa trên danh sách các điểm yếu tiềm ẩn một cách đầy đủ chi tiết để cho phép các kiểm thử có thể lặp lại. Tài liệu kiểm thử sẽ bao gồm:

a) xác định các điểm yếu tiềm ẩn TOE đang được kiểm thử;

...

c) hướng dẫn để thiết lập tất cả điều kiện tiên quyết ban đầu của kiểm thử thâm nhập;

d) hướng dẫn để kích thích TSF;

e) hướng dẫn để quan sát các đáp ứng của TSF;

f) mô tả tất cả các kết quả dự kiến và các phân tích cần thiết được thực hiện về đáp ứng quan sát được để so sánh với các kết quả dự kiến;

g) hướng dẫn kết thúc kiểm thử và thiết lập trạng thái sau kiểm thử cần thiết cho TOE.

Người đánh giá chuẩn bị cho kiểm thử thâm nhập dựa trên danh sách các điểm yếu tiềm ẩn được xác định trong quá trình tìm kiếm của miền chung và phân tích các bằng chứng đánh giá.

Người đánh giá không dự kiến xác định các khả năng khai thác điểm yếu tiềm ẩn vượt ra ngoài một khả năng tấn công cơ bản là cần thiết để thực hiện một cuộc tấn công. Tuy nhiên, theo kết quả của các chuyên gia đánh giá, người đánh giá có thể phát hiện một điểm yếu tiềm ẩn có thể khai thác được chỉ bởi một kẻ tấn công có khả năng cao hơn khả năng tấn công cơ bản. Điểm yếu được báo cáo trong các ETR là điểm yếu còn tồn tại.

Với sự hiểu biết về các điểm yếu tiềm ẩn, người đánh giá xác định cách khả thi nhất để kiểm thử tính nhạy cảm của TOE. Cụ thể người đánh giá xem xét:

a) TSFI hoặc các giao diện TOE sẽ được sử dụng để kích thích TSF và quan sát đáp ứng (Có thể là người đánh giá cần phải sử dụng một giao diện cho TOE khác hơn với TSFI để chứng minh thuộc tính của TSF như được mô tả trong mô tả kiến trúc an toàn (theo yêu cầu bởi ADV_ARC). Cần ghi nhận rằng, mặc dù các giao diện TOE cung cấp một phương tiện để kiểm thử các tính chất của TSF, chúng không phải là các đối tượng kiểm thử).

...

c) thiết bị kiểm thử đặc biệt sẽ được yêu cầu để có thể kích thích TSFI hoặc thực hiện quan sát TSFI (mặc dù không chắc rằng thiết bị chuyên dụng sẽ được yêu cầu để khai thác điểm yếu tiềm ẩn giả định một cuộc tấn công tiềm năng cơ bản);

d) liệu phân tích lý thuyết nên thay thế kiểm thử vật lý, đặc biệt phù hợp khi các kết quả của một kiểm thử ban đầu có thể được ngoại suy để chứng minh rằng những nỗ lực lặp đi lặp lại của một cuộc tấn công có khả năng thành công sau khi nỗ lực thực hiện một số lượng nhất định.

Người đánh giá cần có thể thấy rất thực tế nếu thực hiện kiểm thử thâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, trong đó, mỗi trường hợp kiểm thử sẽ kiểm tra một điểm yếu tiềm ẩn yếu cụ thể.

Mục đích của việc xác định mức độ chi tiết trong tài liệu kiểm thử là cho phép người đánh giá khác lặp lại các kiểm thử và có được một kết quả tương đương.

14.2.2.7.3 Đơn vị công việc AVA_VAN.2-8

Người đánh giá cần tiến hành kiểm thử thâm nhập.

Người đánh giá sử dụng các tài liệu kiểm thử xâm nhập từ đơn vị công việc AVA_VAN.2-6 làm cơ sở cho thực hiện kiểm thử thâm nhập vào TOE, nhưng điều này không ngăn cản việc người đánh giá thực hiện các kiểm thử thâm nhập đặc biệt bổ sung. Nếu cần thiết, người đánh giá có thể đưa ra các kiểm thử đặc biệt như là một kết quả của thông tin thu được trong quá trình kiểm thử thâm nhập đó. Nếu thực hiện bởi người đánh giá sẽ được ghi nhận trong các tài liệu kiểm thử xâm nhập. Kiểm thử như vậy có thể được yêu cầu để theo dõi các kết quả ngoài dự kiến hoặc quan sát hoặc để điều tra điểm yếu tiềm ẩn gợi ý cho người đánh giá trong quá trình lên kế hoạch kiểm thử.

Kiểm thử thâm nhập cho thấy rằng một điểm yếu tiềm ẩn giả thuyết không tồn tại, sau đó người đánh giá cần xác định có hay không phân tích riêng của người đánh giá là không chính xác hoặc nếu sản phẩm đánh giá là không chính xác hoặc không đầy đủ.

Người đánh giá không được dự kiến để kiểm thử các điểm yếu tiềm ẩn (bao gồm cả những điểm yếu trong miền chung) ngoài những điểm được yêu cầu cho một khả năng tấn công cơ bản. Tuy nhiên trong một số trường hợp, sẽ cần thiết phải thực hiện một kiểm thử trước khi khả năng khai thác có thể được xác định. Theo kết quả của các chuyên gia đánh giá, nếu người đánh giá phát hiện ra một điểm yếu có thể khai thác ngoài khả năng tấn công cơ bản, điều này được báo cáo trong ETR như một một điểm yếu còn tồn tại.

...

Người đánh giá cần ghi lại các kết quả thực tế của các xâm nhập kiểm tra.

Trong khi một số chi tiết cụ thể của các kết quả kiểm thử thực tế có thể là khác nhau so với dự kiến (ví dụ như các trường thời gian và ngày tháng trong một hồ sơ kiểm soát), kết quả tổng thể nên giống nhau. Bất kỳ kết quả các kiểm thử ngoài dự kiến sẽ được điều tra. Tác động đến việc đánh giá cần phải được công bố và giải thích.

14.2.2.7.5 Đơn vị công việc AVA_VAN.2-10

Người đánh giá cần báo cáo trong ETR nỗ lực kiểm thử thâm nhập, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và kết quả.

Các thông tin kiểm thử thâm nhập được báo cáo trong ETR cho người phép đánh giá truyền đạt phương pháp kiểm thử thâm nhập tổng thể và nỗ lực mở rộng hoạt động con này. Mục đích cung cấp thông tin này là để cung cấp một cái nhìn tổng quan có ý nghĩa về nỗ lực kiểm thử thâm nhập của người đánh giá. Người ta không mong muốn các thông tin liên quan đến kiểm thử thâm nhập trong ETR phải sao chép chính xác các bước kiểm tra cụ thể hoặc kết quả kiểm thử thâm nhập cá nhân. Mục đích là để cung cấp đầy đủ chi tiết để cho phép người đánh giá khác và các tổ chức đánh giá để đạt được một số hiểu biết về phương pháp kiểm thử thâm nhập được lựa chọn, số lượng kiểm thử thâm nhập được thực hiện, các cấu hình kiểm thử TOE và kết quả tổng thể của hoạt động kiểm thử thâm nhập.

Thông tin thường được tìm thấy trong mục ETR liên quan đến nỗ lực kiểm thử thâm nhập của người đánh giá là:

a) cấu hình kiểm thử TOE. Các cấu hình cụ thể của TOE đã được kiểm thử thâm nhập;

b) TSFI kiểm thử thâm nhập. Một danh sách ngắn của TSFI và các giao diện TOE là trọng tâm của kiểm thử thâm nhập;

c) phán quyết cho hoạt động con. Phán quyết tổng thể về các kết quả của kiểm thử thâm nhập.

...

14.2.2.7.6 Đơn vị công việc AVA_VAN.2-11

Người đánh giá cần kiểm tra các kết quả của tất cả các kiểm thử thâm nhập để xác định rằng TOE, trong môi trường vận hành của nó có khả năng chống lại những kẻ tấn công sở hữu một khả năng tấn công cơ bản.

Nếu kết quả cho thấy rằng TOE, trong môi trường vận hành của nó, có điểm yếu thể khai thác bởi một kẻ tấn công sở hữu khả năng tấn công thấp hơn khả năng tấn công cơ bản tăng cường thì hoạt động của người đánh giá này là thất bại.

Các hướng dẫn trong B.4 nên được sử dụng để xác định khả năng tấn công tiềm ẩn để khai thác một điểm yếu cụ thể và liệu nó có thể được khai thác trong môi trường dự kiến. Có thể không cần phải tính toán khả năng tấn công trong mọi trường hợp, chỉ khi có một số nghi ngờ là có hay không điểm yếu có thể bị khai thác bởi những kẻ tấn công sở hữu một khả năng tấn công thấp hơn khả năng cơ bản tăng cường.

14.2.2.7.7 Đơn vị công việc AVA_VAN.2-12

Người đánh giá cần báo cáo trong ETR tất cả các điểm yếu có thể khai thác và điểm yếu còn tồn lại, chi tiết cho từng:

a) nguồn (ví dụ như hoạt động của phương pháp đánh giá được thực hiện khi nó được hình thành, đã biết với người đánh giá, đọc ấn phẩm);

b) SFR không đáp ứng;

c) mô tả;

...

14.2.3 Đánh giá hoạt động con (AVA_VAN.3)

14.2.3.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định liệu TOE, trong môi trường vận hành của nó, có điểm yếu có thể khai thác bởi những kẻ tấn công sở khả năng tấn công cơ bản tăng cường.

14.2.3.2 Đầu vào

Các tiềm ẩn còn lại đánh giá bằng chứng cho hoạt động con này phụ thuộc vào các thành phần đã được bao gồm trong gói đảm bảo.

Các bằng chứng được cung cấp cho mỗi thành phần được sử dụng như là đầu vào trong hoạt động con này.

Đầu vào khác cho hoạt động con này là:

a) thông tin hiện hành liên quan đến lĩnh vực điểm yếu tiềm ẩn chung và các cuộc tấn công (ví dụ như từ một tổ chức đánh giá).

...

a) ST;

b) đặc tả chức năng;

c) thiết kế TOE;

d) mô tả kiến trúc an toàn;

e) tập con thực hiện được lựa chọn;

f) tài liệu hướng dẫn;

g) TOE phù hợp để kiểm thử;

h) thông tin công bố công khai để hỗ trợ việc xác định điểm yếu tiềm ẩn có thể có.

...

a) thông tin hiện tại về điểm yếu tiềm ẩn miền chung và các cuộc tấn công (ví dụ như từ một tổ chức đánh giá).

14.2.3.3 Lưu ý áp dụng

Trong quá trình tiến hành các hoạt động đánh giá người đánh giá cũng có thể xác định các khu vực quan tâm. Đây là những phần cụ thể của bằng chứng TOE rằng người đánh giá có một số điều kiện hạn chế, mặc dù các bằng chứng đáp ứng các yêu cầu đối với các hoạt động mà các bằng chứng có liên quan. Ví dụ, một đặc tả giao diện cụ thể có vẻ đặc biệt phức tạp và do đó có thể bị lỗi hoặc trong sự phát triển của TOE hoặc trong các hoạt động của TOE. Nếu không có điểm yếu tiềm ẩn rõ ràng ở giai đoạn này thì tiếp tục điều tra là điều cần làm. Nếu điều này nằm ngoài các giới hạn gặp phải thì tiếp tục điều tra là điều cần làm.

Phương pháp trọng tâm để xác định các điểm yếu tiềm ẩn là phân tích về các bằng chứng nhằm xác định bất kỳ điểm yếu tiềm ẩn rõ ràng thông qua các thông tin. Đây là một phân tích phi cấu trúc, vì phương pháp này không được xác định trước. Hướng dẫn thêm về phân tích điểm yếu trọng tâm có thể tìm thấy trong Phụ lục B.2.2.2.2.

14.2.3.4 Hành động AVA_VAN.3.1E

TCVN 8709-3 (ISO/IEC 15408-3) AVA_VAN.3.1C: TOE cần phù hợp để kiểm thử.

14.2.3.4.1 Đơn vị công việc AVA_VAN.3-1

Người đánh giá cần kiểm tra TOE để xác định các cấu hình kiểm thử nhất quán với cấu hình để đánh giá theo quy định trong ST.

TOE được cung cấp bởi nhà phát triển và được xác định trong kế hoạch kiểm thử phải có cùng một tham chiếu duy nhất như được thiết lập bởi hoạt động con khả năng CM (ALC_CMC) và xác định trong giới thiệu ST.

...

Người đánh giá cần xem xét mục tiêu an toàn đối với môi trường vận hành được mô tả trong ST có thể áp dụng cho môi trường kiểm thử và đảm bảo chúng đáp ứng trong môi trường kiểm thử. Có thể có một số mục tiêu đối với môi trường vận hành không áp dụng cho môi trường kiểm thử. Ví dụ, một mục tiêu về xóa người dùng có thể không áp dụng; Tuy nhiên, một mục tiêu về một điểm kết nối mạng duy nhất sẽ được áp dụng.

Nếu có bất kỳ tài nguyên kiểm thử nào được sử dụng (ví dụ: thiết bị đo mét, thiết bị phân tích), Người đánh giá có trách nhiệm đảm bảo rằng các nguồn này được hiệu chuẩn chính xác.

14.2.3.4.2 Đơn vị công việc AVA_VAN.3-2

Người đánh giá cần kiểm tra TOE để xác định rằng nó đã được cài đặt đúng cách và trong một trạng thái xác định.

Người đánh giá có thể xác định trạng thái của TOE theo một số cách khác nhau. Ví dụ, kết thúc đánh giá thành công trước đó của hoạt động con (AGD_PRE.1), hoạt động con sẽ đáp ứng đơn vị công việc này nếu người đánh giá vẫn tin rằng TOE được sử dụng để kiểm thử đã được cài đặt đúng cách và ở trạng thái xác định. Nếu không phải là trường hợp này thì người đánh giá cần thực hiện theo các thủ tục của nhà phát triển để cài đặt và khởi động TOE, chỉ sử dụng hướng dẫn được cung cấp.

Nếu người đánh giá thực hiện các thủ tục cài đặt vì trạng thái của TOE không xác định, công việc này đơn vị khi hoàn thành có thể đáp ứng đơn vị công việc AGD_PRE.1-3.

14.2.3.5 Hành động AVA_VAN.3.2E

14.2.3.5.1 Đơn vị công việc AVA_VAN.3-3

Người đánh giá cần kiểm tra các nguồn thông tin công bố công khai để xác định các điểm yếu tiềm ẩn trong TOE.

...

a) ấn phẩm chuyên gia (tạp chí, sách);

b) tài liệu nghiên cứu;

c) biên bản hội nghị.

Người đánh giá không hạn chế xem xét thông tin công bố công khai như trên, nhưng nên xem mọi thông tin có liên quan khác.

Trong khi kiểm tra các bằng chứng được cung cấp người đánh giá cần sử dụng thông tin trong miền chung để tiếp tục tìm kiếm cho các điểm yếu tiềm ẩn. Trường hợp người đánh giá đã xác định được khu vực quan tâm, người đánh giá nên xem xét thông tin công bố công khai có liên quan đến những lĩnh vực quan tâm.

...

14.2.3.6 Hành động AVA_VAN.3.3E

14.2.3.6.1 Đơn vị công việc AVA_VAN.3-4

Người đánh giá cần tiến hành tìm kiếm trọng tâm ST, tài liệu hướng dẫn, đặc tả chức năng, thiết kế TOE, mô tả kiến trúc an toàn và mô tả thực hiện để xác định điểm yếu tiềm ẩn có thể có trong TOE.

Một phương pháp luận giả thuyết điểm yếu cần được sử dụng theo đó thông số kỹ thuật và phát triển và bằng chứng hướng dẫn được phân tích mà sau đó các điểm yếu tiềm ẩn trong TOE được giả thuyết hoặc suy đoán.

Người đánh giá sử dụng các kiến thức về thiết kế TOE và hoạt động thu được từ TOE sẵn sàng chuyển giao để tiến hành một giả thuyết sai sót để xác định các sai sót tiềm ẩn trong việc phát triển TOE và các lỗi tiềm ẩn trong các phương thức hoạt động cụ thể của TOE.

Mô tả kiến trúc an toàn cung cấp các phân tích điểm yếu nhà phát triển, khi nó cung cấp cách thức TSF tự bảo vệ khỏi can thiệp của các đối tượng không đáng tin cậy và ngăn ngừa sự bỏ qua của chức năng thực thi an toàn. Do đó, người đánh giá nên xây dựng dựa trên hiểu biết về bảo vệ TSF thu được từ việc phân tích bằng chứng này và sau đó phát triển trong kiến thức thu được từ bằng chứng phát triển ADV khác.

Phương pháp tiếp cận được chì dẫn bởi các lĩnh vực quan tâm được xác định trong quá trình kiểm tra các bằng chứng trong quá trình tiến hành các hoạt động đánh giá và đảm bảo một mẫu đại diện của sự phát triển và bằng chứng hướng dẫn được cung cấp cho việc đánh giá được tìm kiếm.

Để có hướng dẫn về việc lấy mẫu xem Phụ lục A.2. Hướng dẫn này nên được xem xét khi lựa chọn các tập con, đưa ra lý do cho:

a) phương pháp được sử dụng trong lựa chọn;

...

Các khu vực quan tâm có thể liên quan đến sự đầy đủ các tính năng bảo vệ cụ thể chi tiết trong mô tả kiến trúc an toàn.

Các bằng chứng được xem xét trong quá trình phân tích điểm yếu có thể liên quan đến các bằng chứng mà kẻ tấn công được giả định là có thể có được. Ví dụ, nhà phát triển có thể bảo vệ thiết kế TOE và trình bày thực hiện, vì vậy các thông tin giả định là có sẵn cho một kẻ tấn công là đặc tả chức năng và hướng dẫn (công bố công khai). Vì vậy, mặc dù các mục tiêu để đảm bảo trong TOE đảm bảo các yêu cầu về thiết kế TOE và trình bày thực hiện được đáp ứng, các tổ chức đại diện thiết kế chỉ có thể được tìm kiếm để tiếp tục điều tra các khu vực quan tâm.

Mặt khác, nếu tài nguyên là công bố công khai sẽ là hợp lý khi giả định rằng kẻ tấn công truy nhập vào các tài nguyên và có thể sử dụng chúng trong nỗ lực để tấn công TOE. Do đó, tài nguyên nên được xem xét trong các phương pháp kiểm tra trọng tâm.

Phần sau đây chỉ ra ví dụ cho việc lựa chọn các tập con của bằng chứng được xem xét:

a) Đối với một đánh giá mà tất cả các mức của thiết kế trừu tượng từ đặc tả chức năng đến trình bày thực hiện được cung cấp, kiểm tra các thông tin trong các đặc tả chức năng và trình bày thực hiện có thể được lựa chọn, như các đặc tả chức năng cung cấp các chi tiết của giao diện có sẵn cho kẻ tấn công và trình bày thực hiện kết hợp các quyết định thiết kế được thực hiện ở tất cả các khái niệm thiết kế trừu tượng khác. Do đó, các thông tin thiết kế TOE sẽ được coi như là một phần của trình bày thực hiện.

b) kiểm tra một tập con cụ thể các thông tin trong từng trình bày thiết kế được cung cấp cho việc đánh giá.

c) phạm vi của các SFR cụ thể qua từng giải trình thiết kế được cung cấp cho việc đánh giá.

d) kiểm tra từng giải trình thiết kế được cung cấp cho việc đánh giá, xem xét các SFR khác nhau trong từng giải trình thiết kế.

e) xem xét các khía cạnh của các bằng chứng được cung cấp cho người đánh giá liên quan tới thông tin điểm yếu tiềm ẩn hiện tại người đánh giá đã nhận được (ví dụ từ một lược đồ).

...

Phần sau đây cung cấp một số ví dụ mà một giả thuyết có thể thực hiện:

a) xem xét đầu vào bị thay đổi đối với các giao diện có sẵn cho một kẻ tấn công tại các giao diện bên ngoài;

b) kiểm tra cơ chế an toàn chính được tích dẫn trong mô tả kiến trúc an toàn, chẳng hạn như quá trình phân tách, giả thuyết tràn bộ đệm bên trong có thể dẫn đến sự suy giảm của việc phân tách;

c) tìm kiếm để xác định bất kỳ đối tượng được tạo ra trong trình bày thực hiện TOE mà sau đó không được kiểm soát đầy đủ bởi TSF và có thể được sử dụng bởi một kẻ tấn công để phá hoại các SFR.

Ví dụ, người đánh giá có thể xác định rằng giao diện là một khu vực tiềm ẩn của điểm yếu trong TOE và xác định một phương pháp để tìm kiếm "tất cả các đặc tả giao diện được cung cấp trong đặc tả chức năng và thiết kế TOE sẽ được tìm kiếm để đưa ra giả thuyết điểm yếu tiềm ẩn" và giải thích các phương pháp được sử dụng trong các giả thuyết.

Các quá trình xác định là lặp đi lặp lại, mà việc xác định một điểm yếu tiềm ẩn có thể dẫn đến việc xác định một khu vực quan tâm đòi hỏi phải tiếp tục điều tra.

Người đánh giá sẽ báo cáo những hành động nào được thực hiện để xác định các điểm yếu tiềm ẩn trong các bằng chứng. Tuy nhiên, trong cách tìm kiếm này, người đánh giá có thể không có khả năng để mô tả các bước trong việc xác định các điểm yếu tiềm ẩn trước khi bắt đầu của việc kiểm tra, theo phương pháp này có thể phát triển như là kết quả của những phát hiện trong quá trình tìm kiếm.

Người đánh giá sẽ báo cáo các bằng chứng kiểm tra khi kết thúc việc tìm kiếm các điểm yếu tiềm ẩn. Lựa chọn này của bằng chứng có thể được bắt nguồn từ những khu vực quan tâm được xác định bởi người đánh giá, liên kết với các bằng chứng mà kẻ tấn công được giả định là có thể có được hoặc theo một lý do được cung cấp bởi người đánh giá.

Theo các SFR, TOE đáp ứng trong môi trường vận hành, các phân tích điểm yếu độc lập của người đánh giá cần xem xét các điểm yếu tiềm ẩn tổng thể theo từng tiêu đề sau đây:

...

b) bỏ qua;

c) giả mạo;

d) các cuộc tấn công trực tiếp;

e) giám sát;

f) sử dụng sai.

Mục b) - f) được giải thích chi tiết hơn trong Phụ lục B.

Mô tả kiến trúc an toàn nên được xem xét trong phương diện của từng điểm yếu tiềm ẩn tổng thể ở trên. Mỗi điểm yếu tiềm ẩn nên được xem xét để tìm kiếm cách thức có thể có để đánh bại các TSF bảo vệ và làm suy yếu các TSF.

Các mô tả kiến trúc an ninh nên được xem xét trong trường hợp của mỗi lỗ hổng tiềm năng chung ở trên. Mỗi lỗ hổng tiềm năng cần được xem xét để tìm kiếm những cách có thể, trong đó để đánh bại các TSF bảo vệ và làm suy yếu TSF.

14.2.3.6.2 Đơn vị công việc AVA_VAN.3-5

...

Có thể xác định không cần tiếp tục xem xét các điểm yếu tiềm ẩn, nếu ví dụ người đánh giá xác định rằng các biện pháp trong môi trường vận hành hoặc IT hay phi IT, ngăn chặn việc khai thác các điểm yếu tiềm ẩn trong môi trường vận hành đó. Ví dụ, hạn chế truy nhập vật lý vào TOE để người sử dụng được ủy quyền chỉ có thể làm cho một điểm yếu tiềm ẩn giả mạo không thể khai thác được một cách hiệu quả.

Người đánh giá ghi lại bất kỳ lý do để loại trừ các điểm yếu tiềm ẩn từ xem xét thêm nếu đánh giá xác định rằng điểm yếu tiềm ẩn là không áp dụng trong môi trường vận hành. Nếu không, người đánh giá ghi lại điểm yếu tiềm ẩn để xem xét thêm.

Một danh sách các điểm yếu tiềm ẩn có khả năng áp dụng đối với TOE trong môi trường vận hành của nó, có thể được sử dụng là đầu vào cho các hoạt động kiểm thử thâm nhập và phải được báo cáo trong ETR bởi người đánh giá.

14.2.3.7 Hành động AVA_VAN.3.4E

14.2.3.7.1 Đơn vị công việc AVA_VAN.3-6

Người đánh giá đưa ra kiểm thử thâm nhập, trên cơ sở tìm kiếm độc lập các điểm yếu tiềm ẩn.

Người đánh giá chuẩn bị kiểm thử thâm nhập là cần thiết để xác định tính nhạy cảm của TOE trong môi trường vận hành của nó, với các điểm yếu tiềm ẩn được xác định trong quá trình tìm kiếm các nguồn thông tin công bố công khai. Bất kỳ thông tin hiện tại cung cấp cho người đánh giá bởi một bên thứ ba (ví dụ: tổ chức đánh giá) liên quan đến các điểm yếu tiềm ẩn đã biết sẽ được xem xét bởi người đánh giá, cùng với bất kỳ điểm yếu tiềm ẩn phải đối mặt do việc thực hiện các hoạt động đánh giá khác.

Người đánh giá lưu ý rằng, khi xem xét mô tả kiến trúc an toàn trong việc tìm kiếm các điểm yếu (như chi tiết trong AVA_VAN.3-4), việc kiểm thử nên được thực hiện để xác nhận các thuộc tính kiến trúc. Nếu các yêu cầu từ ATE_DPT có trong các SAR, các bằng chứng kiểm thử nhà phát triển sẽ bao gồm thử nghiệm được thực hiện để xác nhận việc thực hiện chính xác các cơ chế cụ thể bất kỳ chi tiết trong mô tả kiến trúc an toàn. Tuy nhiên, các kiểm thử nhà phát triển sẽ không nhất thiết phải bao gồm các kiểm thử của tất cả các khía cạnh của thuộc tính kiến trúc bảo vệ TSF, càng nhiều các thử nghiệm này sẽ được kiểm thử phủ định về bản chất để cố gắng bác bỏ các thuộc tính. Trong việc phát triển các chiến lược để kiểm thử thâm nhập, người đánh giá sẽ đảm bảo rằng tất cả các khía cạnh của mô tả kiến trúc an toàn đang được thử nghiệm hoặc trong kiểm thử chức năng (như xem xét trong 13) hoặc kiểm thử thâm nhập của người đánh giá.

Có thể thực hiện kiểm thử thâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, trong đó mỗi trường hợp kiểm thử sẽ kiểm tra cho một điểm yếu tiềm ẩn cụ thể.

...

Hướng dẫn xác định khả năng tấn công cần thiết để khai thác một điểm yếu tiềm ẩn có thể được tìm thấy trong Phụ lục B.4.

Điểm yếu tiềm ẩn đưa ra giả thuyết là chỉ có thể khai thác chỉ bởi những kẻ tấn công sở hữu khả năng tấn công trung bình hoặc cao không dẫn đến thất bại của hoạt động đánh giá này. Trường hợp phân tích hỗ trợ giả thuyết, không cần phải được xem xét tiếp như một đầu vào để kiểm thử thâm nhập. Tuy nhiên, điểm yếu này được báo cáo trong ETR là điểm yếu còn tồn tại.

Điểm yếu tiềm ẩn đưa ra giả thuyết là có thể khai thác bởi một kẻ tấn công sở hữu khả năng tấn công cơ bản hoặc cơ bản tăng cường và kết quả là một sự vi phạm mục tiêu an toàn nên các điểm yếu tiềm ẩn ưu tiên cao nhất bao gồm một danh sách được sử dụng để kiểm thử thâm nhập trực tiếp chống lại TOE.

14.2.3.7.2 Đơn vị công việc AVA_VAN.3-7

a) xác định các điểm yếu tiềm ẩn TOE đang được kiểm thử;

b) hướng dẫn để kết nối và thiết lập tất các các thiết bị kiểm thử được yêu cầu theo yêu cầu để thực hiện sự kiểm thử thâm nhập;

c) hướng dẫn thiết lập tất cả các điều kiện tiên quyết ban đầu cho kiểm thử thâm nhập;

d) hướng dẫn kích thích TSF;

...

f) mô tả tất cả các kết quả dự kiến và các phân tích cần thiết được thực hiện về đáp ứng quan sát được để so sánh với các kết quả dự kiến;

g) hướng dẫn kết thúc kiểm thử và thiết lập trạng thái sau kiểm thử cần thiết cho TOE.

Người đánh giá chuẩn bị cho kiểm thử thâm nhập dựa trên danh sách các điểm yếu tiềm ẩn được xác định trong quá trình tìm kiếm của miền chung và việc phân tích các bằng chứng đánh giá.

Người đánh giá không dự kiến xác định khả năng khai thác đối với các điểm yếu tiềm ẩn vượt ra ngoài một cuộc tấn công tiềm năng cơ bản tăng cường là cần thiết để thực hiện một cuộc tấn công. Tuy nhiên, theo kết quả của các chuyên gia đánh giá, người đánh giá có thể phát hiện ra một một điểm yếu tiềm ẩn có thể khai thác chỉ bởi một kẻ tấn công có khả năng tấn công cao hơn khả năng tấn công cơ bản tăng cường. Điểm yếu đó được báo cáo trong ETR như lỗ hổng còn tồn tại.

Với sự hiểu biết về các điểm yếu tiềm ẩn, người đánh giá xác định cách khả thi nhất để kiểm tra tính nhạy cảm của TOE. Cụ thể người đánh giá xem xét:

b) điều kiện ban đầu cần có cho các kiểm thử (tức là bất kỳ đối tượng cụ thể hoặc đối tượng mà sẽ cần phải có và thuộc tính an toàn chúng phải có);

d) liệu phân tích lý thuyết nên thay thế kiểm thử vật lý, đặc biệt phù hợp khi các kết quả của một kiểm thử ban đầu có thể được ngoại suy để chứng minh rằng những nỗ lực lặp đi lặp lại của một cuộc tấn công có khả năng thành công sau khi nỗ lực thực hiện một số lượng nhất định.

...

Mục đích của việc xác định mức độ chi tiết trong tài liệu kiểm thử là để cho phép người đánh giá khác lặp lại các kiểm thử và có được một kết quả tương đương.

14.2.3.7.3 Đơn vị công việc AVA_VAN.3-8

Người đánh giá cần tiến hành kiểm thử thâm nhập.

Người đánh giá sử dụng các tài liệu kiểm thử xâm nhập từ đơn vị công việc AVA_VAN.3-6 làm cơ sở cho thực hiện kiểm thử thâm nhập vào TOE, nhưng điều này không ngăn cản việc người đánh giá thực hiện các kiểm thử thâm nhập đặc biệt bổ sung. Nếu cần thiết, người đánh giá có thể đưa ra các kiểm thử đặc biệt như là một kết quả của thông tin thu được trong quá trình kiểm thử thâm nhập đó. Nếu được thực hiện bởi người đánh giá sẽ được ghi nhận trong các tài liệu kiểm thử xâm nhập. Kiểm thử như vậy có thể được yêu cầu để theo dõi các kết quả ngoài dự kiến hoặc quan sát hoặc để điều tra điểm yếu tiềm ẩn gợi ý cho người đánh giá trong quá trình lên kế hoạch kiểm thử.

Kiểm thử thâm nhập cho thấy rằng một điểm yếu tiềm ẩn theo giả thuyết không tồn tại, sau đó người đánh giá cần xác định có hay không phân tích riêng của người đánh giá là không chính xác hoặc nếu sản phẩm đánh giá là không chính xác hoặc không đầy đủ.

Người đánh giá không được dự kiến để kiểm thử các điểm yếu tiềm ẩn (bao gồm cả những điểm yếu trong miền chung) ngoài những điểm được yêu cầu cho một khả năng tấn công cơ bản tăng cường. Tuy nhiên trong một số trường hợp, nó sẽ cần thiết để thực hiện một kiểm thử trước khi khả năng khai thác có thể được xác định. Trường hợp như là kết quả của các chuyên gia đánh giá, người đánh giá phát hiện ra một điểm yếu có thể khai thác vượt quá khả năng tấn công cơ bản tăng cường, điều này được báo cáo trong ETR như một một điểm yếu còn tồn tại.

14.2.3.7.4 Đơn vị công việc AVA_VAN.3-9

Người đánh giá cần ghi lại các kết quả thực tế của các kiểm thử thâm nhập.

Trong khi một số chi tiết cụ thể của các kết quả kiểm thử thực tế có thể khác so với các kết quả dự kiến (ví dụ như trường thời gian và ngày trong một bản nghi kiểm soát), kết quả tổng thể nên giống như nhau. Bất kỳ kết quả kiểm thử ngoài dự kiến sẽ được điều tra, tác động về việc đánh giá cần phải được công bố và giải thích.

...

Người đánh giá cần báo cáo trong ETR nỗ lực kiểm thử thâm nhập, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và các kết quả.

Thông tin kiểm thử thâm nhập được báo cáo trong ETR cho người phép đánh giá truyền đạt phương pháp kiểm thử thâm nhập tổng thể và nỗ lực mở rộng hoạt động con này. Mục đích cung cấp thông tin này là để cung cấp một cái nhìn tổng quan đầy ý nghĩa về nỗ lực kiểm thử thâm nhập của người đánh giá. Người ta không mong muốn các thông tin liên quan đến kiểm thử thâm nhập trong ETR sao chép chính xác các bước kiểm tra cụ thể hoặc kết quả kiểm thử thâm nhập cá nhân. Mục đích là để cung cấp đầy đủ chi tiết để cho phép người đánh giá khác và các tổ chức đánh giá để đạt được một số hiểu biết về phương pháp kiểm thử thâm nhập được lựa chọn, số lượng kiểm thử thâm nhập được thực hiện, các cấu hình kiểm thử TOE và kết quả tổng thể của hoạt động kiểm thử thâm nhập.

Thông tin đó thường được tìm thấy trong mục ETR liên quan đến nỗ lực kiểm thử thâm nhập của người đánh giá là:

a) cấu hình kiểm thử TOE. Các cấu hình cụ thể của TOE đã được kiểm thử thâm nhập;

b) TSFI kiểm thử thâm nhập. Một danh sách ngắn của TSFI và các giao diện TOE là trọng tâm của kiểm thử thâm nhập;

c) phán quyết cho hoạt động con. Phán quyết tổng thể về các kết quả của kiểm thử thâm nhập.

14.2.3.7.6 Đơn vị công việc AVA_VAN.3-11

Người đánh giá cần xem xét các kết quả của tất cả các kiểm thử thâm nhập để xác định rằng TOE trong môi trường vận hành của nó có khả năng chống một kẻ tấn công sở hữu một khả năng tấn công cơ bản tăng cường.

...

Các hướng dẫn trong B.4 nên được sử dụng để xác định khả năng tấn công cần thiết để khai thác một điểm yếu đặc biệt và do đó liệu nó có thể được khai thác trong môi trường dự định. Có thể không cần phải tính toán khả năng tấn công trong mọi trường hợp, khi chỉ có một số nghi ngờ là có hay không những điểm yếu có thể bị khai thác bởi những kẻ tấn công sở hữu khả năng tấn công ít hơn khả năng tấn công trung bình.

14.2.3.7.7 Đơn vị công việc AVA_VAN.3-12

Người đánh giá cần báo cáo trong ETR tất cả các điểm yếu có thể khai thác và điểm yếu còn tồn tại, chi tiết cho từng:

a) nguồn (ví dụ như hoạt động của phương pháp đánh giá được thực hiện khi nó được hình thành, đã biết với người đánh giá, đọc ấn phẩm);

b) SFR không đáp ứng;

c) mô tả;

d) liệu có thể khai thác môi trường vận hành của nó hay không (tức là có thể khai thác hoặc còn tồn tại);

14.2.4 Đánh giá hoạt động con (AVA_VAN.4)

...

Mục tiêu hoạt động con này là để xác định liệu TOE trong môi trường vận hành của nó, có các điểm yếu có thể khai thác bởi những kẻ tấn công sở hữu khả năng tấn công trung bình.

14.2.4.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST;

b) đặc tả chức năng;

c) thiết kế TOE;

d) mô tả kiến trúc an toàn;

e) trình bày thực hiện;

f) tài liệu hướng dẫn;

...

h) thông tin công bố công khai để hỗ trợ việc xác định điểm yếu tiềm ẩn có thể có.

Các bằng chứng đánh giá tiềm ẩn còn tồn tại cho hoạt động con này phụ thuộc vào các thành phần đã được bao gồm trong gói bảo đảm. Các bằng chứng được cung cấp cho mỗi thành phần được sử dụng như là đầu vào trong các hoạt động con này.

Đầu vào khác cho hoạt động con này là:

a) thông tin hiện hành liên quan đến các điểm yếu tiềm ẩn miền chung và các cuộc tấn công (ví dụ như từ một tổ chức đánh giá).

14.2.4.3 Lưu ý áp dụng

Phương pháp phân tích có hệ thống có hình thức như một kiểm tra cấu trúc của các bằng chứng. Phương pháp này đòi hỏi người đánh giá xác định cấu trúc và hình thành các phân tích sẽ thực hiện (tức là cách thức mà các phân tích được thực là xác định trước, không giống như các phân tích trọng tâm). Phương pháp này được quy định trong điều khoản của thông tin đó sẽ được xem xét và làm thế nào/tại sao nó sẽ được xem xét. Hướng dẫn về phân tích điểm yếu có hệ thống có thể được tìm thấy trong Phụ lục B.2.2.2.3.

14.2.4.4 Hành động AVA_VAN.4.1E

TCVN 8709-3 (ISO/IEC 15408-3) AVA_VAN.4.1C: TOE cần phù hợp để kiểm thử.

14.2.4.4.1 Đơn vị công việc AVA_VAN.4-1

...

TOE được cung cấp bởi nhà phát triển và được xác định trong kế hoạch kiểm thử phải có cùng một tham chiếu duy nhất như được thiết lập bởi hoạt động con Khả năng CM (ALC_CMC) và xác định trong giới thiệu ST.

ST có thể có chỉ định nhiều hơn một cấu hình để đánh giá. TOE có thể cấu thành từ một số thực thể phần cứng và phần mềm riêng biệt cần phải được kiểm tra phù hợp với ST. Người đánh giá xác nhận rằng tất cả các cấu hình kiểm thử nhất quán với ST.

Người đánh giá cần xem xét mục tiêu an toàn đối với môi trường vận hành được mô tả trong ST có thể áp dụng cho môi trường kiểm thử và đảm bảo chúng đáp ứng trong môi trường kiểm thử. Có thể có một số mục tiêu đối với môi trường vận hành mà không phải để áp dụng cho môi trường kiểm thử. Ví dụ, một mục tiêu về xóa người dùng có thể không áp dụng; Tuy nhiên, một mục tiêu về một điểm kết nối mạng duy nhất sẽ được áp dụng.

Nếu có bất kỳ tài nguyên kiểm thử nào được sử dụng (ví dụ: thiết bị đo mét, thiết bị phân tích), người đánh giá có trách nhiệm đảm bảo rằng các nguồn này được hiệu chuẩn chính xác.

14.2.4.4.2 Đơn vị công việc AVA_VAN.4-2

Người đánh giá cần kiểm tra TOE để xác định rằng nó đã được cài đặt đúng cách và trong một trạng thái xác định.

Người đánh giá có thể xác định trạng thái của TOE trong một số cách khác nhau. Ví dụ, kết thúc đánh giá thành công trước đó của hoạt động con (AGD_PRE.1), hoạt động con sẽ đáp ứng đơn vị công việc này nếu người đánh giá vẫn tin rằng TOE được sử dụng để kiểm thử đã được cài đặt đúng cách và ở trạng thái xác định. Nếu không phải là trường hợp này thì người đánh giá cần thực hiện theo các thủ tục của nhà phát triển để cài đặt và khởi động TOE, chỉ sử dụng hướng dẫn được cung cấp.

14.2.4.5 Hành động AVA_VAN.4.2E

...

Người đánh giá cần kiểm tra các nguồn thông tin công bố công khai để xác định các điểm yếu tiềm ẩn trong TOE.

a) ấn phẩm chuyên gia (tạp chí, sách);

b) tài liệu nghiên cứu;

c) biên bản hội nghị.

Người đánh giá không hạn chế xem xét thông tin công bố công khai như trên, nhưng nên xem xét bất kỳ thông tin có liên quan khác.

Các thông tin có thể dễ dàng có sẵn cho một kẻ tấn công giúp để xác định và tạo điều kiện các cuộc tấn công có thể tăng cường đáng kể các cuộc tấn công tiềm năng của một cho kẻ tấn công. Khả năng tiếp cận của lỗ hổng thông tin và phức tạp các công cụ tấn công vào các Internet làm cho nó nhiều khả năng rằng thông tin này sẽ được sử dụng trong nỗ lực để xác định các điểm yếu tiềm ẩn trong TOE và khai thác chúng. Công cụ tìm kiếm hiện đại giúp cho thông tin như vậy dễ dàng có sẵn cho đánh giá viên và xác định tiềm năng công bố điểm yếu và tấn công đã biết có thể đạt được một cách hiệu quả.

...

Người đánh giá cần mô tả phương pháp được thực hiện để xác định các điểm yếu tiềm ẩn trong các tài nguyên công bố công khai, chi tiết việc tìm kiếm được thực hiện. Điều này có thể được điều khiển bởi các yếu tố như khu vực quan tâm xác định bởi người đánh giá, liên kết với các bằng chứng của kẻ tấn công được giả định là có thể có được. Tuy nhiên, thừa nhận rằng kiểu tìm kiếm này có thể tiếp tục phát triển như là kết quả của những phát hiện trong quá trình tìm kiếm. Vì vậy, người đánh giá cũng sẽ báo cáo bất kỳ hành động thực hiện ngoài những mô tả trong phương pháp để tiếp tục điều tra các vấn đề dẫn đến điểm yếu tiềm ẩn và sẽ báo cáo những bằng chứng được kiểm tra khi hoàn thành việc tìm kiếm các điểm yếu tiềm ẩn.

14.2.4.6 Hành động AVA_VAN.4.3E

14.2.4.6.1 Đơn vị công việc AVA_VAN.4-4

Người đánh giá cần tiến hành phân tích có hệ thống ST, tài liệu hướng dẫn, đặc tả chức năng, thiết kế TOE, mô tả kiến trúc an toàn và trình bày thực hiện để xác định các điểm yếu tiềm ẩn có thể có trong TOE.

Hướng dẫn về phân tích điểm yếu có hệ thống được cung cấp trong Phụ lục B.2.2.2.3.

Phương pháp này để xác định các điểm yếu tiềm ẩn là để có một cách tiếp cận có trật tự và kế hoạch; áp dụng một hệ thống để kiểm tra. Người đánh giá mô tả phương pháp được sử dụng trong các điều khoản mà thông tin này sẽ được xem xét và giả thuyết đó được tạo ra.

Một phương pháp giả thuyết sai sót cần được sử dụng theo đó ST được phát triển (đặc tả chức năng, thiết kế TOE và trình bày thực hiện) và bằng chứng hướng dẫn được phân tích và sau đó các điểm yếu trong TOE được giả thiết hoặc suy đoán.

Người đánh giá sử dụng các kiến thức về thiết kế TOE và hoạt động đã đạt được từ chuyển giao TOE để tiến hành một giả thuyết sai sót để xác định các sai sót tiềm ẩn trong việc phát triển TOE và lỗi tiềm ẩn trong các phương thức hoạt động cụ thể của TOE.

...

Các phương pháp thực hiện việc tìm kiếm có hệ thống các điểm yếu là để xem xét bất kỳ khu vực quan tâm được xác định trong Kết quả đánh giá của người đánh giá về sự phát triển và bằng chứng hướng dẫn. Tuy nhiên, người đánh giá cũng nên xem xét từng khía cạnh của phân tích kiến trúc an toàn để tìm kiếm bất kỳ cách thức mà bảo vệ của TSF có thể bị suy yếu, nó có thể hữu ích để các cấu trúc việc phân tích có hệ thống trên cơ sở tài liệu trình bày trong mô tả kiến trúc an toàn, giới thiệu mối quan tâm từ bằng chứng ADV khác thích hợp. Các phân tích sau đó có thể được phát triển hơn nữa để đảm bảo tất cả các tài nguyên khác từ bằng chứng ADV được xem xét.

Dưới đây cung cấp một số ví dụ về các giả thuyết có thể được tạo ra khi kiểm tra bằng chứng:

a) xem xét đầu vào bị thay đổi đối với các giao diện có sẵn cho một kẻ tấn công tại các giao diện bên ngoài;

c) tìm kiếm để xác định bất kỳ đối tượng được tạo ra trong trình bày thực hiện TOE mà sau đó không được kiểm soát đầy đủ bởi TSF và có thể được sử dụng bởi một kẻ tấn công để phá hoại Các SFR.

Ví dụ, người đánh giá có thể xác định rằng giao diện là một khu vực tiềm ẩn của điểm yếu trong TOE và xác định một cách tiếp cận để tìm kiếm là tất cả đặc tả giao diện trong bằng chứng được cung cấp sẽ được tìm kiếm để đưa ra giả thuyết điểm yếu tiềm ẩn và đi vào giải thích các phương pháp được sử dụng trong các giả thuyết.

Ngoài ra, các khu vực quan tâm mà người đánh giá đã xác định trong quá trình kiểm tra các bằng chứng khi tiến hành các hoạt động đánh giá. Các khu vực quan tâm có thể cũng được xác định trong quá trình thực hiện các đơn vị công việc khác liên quan đến thành phần này, đặc biệt là AVA_VAN.4-7, AVA_VAN.4-5 và AVA_VAN.4-6 nơi sự phát triển và tiến hành kiểm thử thâm nhập có thể xác định các khu vực có mối quan tâm cho việc điều tra hoặc điểm yếu tiềm ẩn.

Tuy nhiên, kiểm tra chỉ là một tập con của sự phát triển và bằng chứng hướng dẫn hoặc các nội dung của chúng không phải là cho phép trong mức độ chặt chẽ. Mô tả phương pháp nên cung cấp một minh chứng rằng phương pháp có hệ thống được sử dụng là hoàn chỉnh, cung cấp sự tin tưởng rằng phương pháp được sử dụng để tìm kiếm các sản phẩm đã xem xét tất cả các thông tin được cung cấp trong các sản phẩm đó.

Phương pháp này để xác định các điểm yếu tiềm ẩn là để có một cách tiếp cận có trật tự và kế hoạch, áp dụng một hệ thống để kiểm tra. Người đánh giá mô tả phương pháp được sử dụng trong điều kiện như thế nào bằng chứng sẽ được xem xét, các cách thức mà thông tin này phải được xem xét và giả thuyết đó được tạo ra. Phương pháp này nên được thống nhất với các tổ chức đánh giá và tổ chức đánh giá có thể cung cấp chi tiết bổ sung bất kỳ về phương pháp, người đánh giá thực hiện phân tích điểm yếu và xác định bất kỳ thông tin bổ sung nên được xem xét bởi người đánh giá.

...

Theo các SFR, TOE đáp ứng trong môi trường vận hành, các phân tích độc lập của người đánh giá cần xem xét các điểm yếu tiềm ẩn tổng thể theo từng tiêu đề sau:

a) điểm yếu tiềm ẩn tổng thể có liên quan cho các loại TOE được đánh giá, có thể được cung cấp bởi tổ chức đánh giá;

b) bỏ qua;

c) giả mạo;

d) các cuộc tấn công trực tiếp;

e) giám sát;

f) sử dụng sai.

Mục b) - f) được giải thích chi tiết hơn trong Phụ lục B.

Mô tả kiến trúc an toàn nên được xem xét trong phương diện của từng điểm yếu tiềm tổng thể ở trên. Mỗi điểm yếu tiềm ẩn nên được xem xét để tìm kiếm cách có thể, để đánh bại các bảo vệ TSF và làm suy yếu TSF.

...

Người đánh giá cần ghi lại trong ETR các điểm yếu tiềm ẩn được xác định là ứng cử viên cho kiểm thử và có khả năng áp dụng đối với TOE trong môi trường vận hành của nó.

Người đánh giá ghi lại bất kỳ lý do để loại trừ các điểm yếu tiềm ẩn từ xem xét thêm nếu người đánh giá xác định rằng điểm yếu tiềm ẩn là không áp dụng trong môi trường vận hành. Nếu không, người đánh giá ghi lại điểm yếu tiềm ẩn để xem xét thêm.

14.2.4.7 Hành động AVA_VAN.4.4E

14.2.4.7.1 Đơn vị công việc AVA_VAN.4-6

Người đánh giá đưa ra kiểm thử thâm nhập, trên cơ sở tìm kiếm độc lập các điểm yếu tiềm ẩn.

Người đánh giá lưu ý rằng, khi xem xét mô tả kiến trúc an toàn trong việc tìm kiếm các điểm yếu (như chi tiết trong AVA_VAN.4-3), việc kiểm thử nên được thực hiện để xác nhận các thuộc tính kiến trúc. Nếu các yêu cầu từ ATE_DPT có trong các SAR, các bằng chứng kiểm thử nhà phát triển sẽ bao gồm thử nghiệm được thực hiện để xác nhận việc thực hiện chính xác các cơ chế cụ thể bất kỳ chi tiết trong mô tả kiến trúc an toàn. Tuy nhiên, các kiểm thử nhà phát triển sẽ không nhất thiết phải bao gồm các kiểm thử của tất cả các khía cạnh của thuộc tính kiến trúc bảo vệ TSF, càng nhiều các thử nghiệm này sẽ được kiểm thử phủ định về bản chất để cố gắng bác bỏ các thuộc tính. Trong việc phát triển các chiến lược để kiểm thử thâm nhập, người đánh giá sẽ đảm bảo rằng tất cả các khía cạnh của mô tả kiến trúc an toàn đang được thử nghiệm hoặc trong kiểm thử chức năng (như xem xét trong 13) hoặc kiểm thử thâm nhập của người đánh giá.

...

Người đánh giá không được dự kiến để kiểm thử các điểm yếu tiềm ẩn (bao gồm cả những điểm yếu trong miền chung) ngoài những điểm yếu yêu cầu bởi một khả năng tấn công trung bình. Tuy nhiên, trong một số trường hợp, sẽ là cần thiết để thực hiện một kiểm thử trước khi các khả năng khai thác có thể được xác định. Ở đây, như là kết quả đánh giá của các chuyên gia đánh giá, người đánh giá phát hiện ra một điểm yếu có thể khai thác là ngoài khả năng tấn công trung bình, điều này được báo cáo trong ETR như một điểm yếu còn tồn tại.

Hướng dẫn xác định khả năng tấn công cần thiết để khai thác một điểm yếu tiềm ẩn có thể được tìm thấy trong Phụ lục B.4.

Điểm yếu tiềm ẩn đưa ra giả thuyết là có thể khai thác bởi một kẻ tấn công sở hữu khả năng tấn công trung bình (hoặc thấp hơn) và kết quả là sự vi phạm mục tiêu an toàn là những điểm yếu tiềm ẩn ưu tiên cao nhất bao gồm một danh sách được sử dụng để kiểm thử thâm nhập trực tiếp chống lại TOE.

14.2.4.7.2 Đơn vị công việc AVA_VAN.4-7

a) xác định các điểm yếu tiềm ẩn TOE đang được kiểm thử;

b) hướng dẫn kết nối và thiết lập tất các các thiết bị kiểm thử được yêu cầu theo yêu cầu để thực hiện sự kiểm thử thâm nhập;

c) hướng dẫn thiết lập tất cả các điều kiện tiên quyết ban đầu cho kiểm thử thâm nhập;

d) hướng dẫn kích thích TSF;

...

f) mô tả tất cả các kết quả dự kiến và các phân tích cần thiết được thực hiện về đáp ứng quan sát được để so sánh với các kết quả dự kiến;

g) hướng dẫn kết thúc kiểm thử và thiết lập trạng thái sau kiểm thử cần thiết cho TOE.

Người đánh giá không được dự kiến để xác định khả năng khai thác đối với các điểm yếu tiềm ẩn vượt ra ngoài một cuộc tấn công tiềm năng trung bình là cần thiết để thực hiện một cuộc tấn công. Tuy nhiên, như một kết quả của các chuyên gia đánh giá, người đánh giá có thể phát hiện ra một một điểm yếu tiềm ẩn có thể khai thác chỉ bởi một kẻ tấn công có khả năng tấn công cao hơn khả năng tấn công trung bình. Điểm yếu đó được báo cáo trong ETR như lỗ hổng còn tồn tại.

a) TSFI hoặc các giao diện TOE sẽ được sử dụng để kích thích TSF và quan sát đáp ứng (Có thể là người đánh giá cần cần phải sử dụng một giao diện cho TOE khác hơn với TSFl để chứng minh thuộc tính của TSF như được mô tả trong mô tả kiến trúc an toàn (theo yêu cầu bởi ADV_ARC). Cần ghi nhận rằng, mặc dù các giao diện TOE cung cấp một phương tiện để kiểm thử các tính chất của TSF, chúng không phải là các đối tượng kiểm thử).

c) thiết bị kiểm thử đặc biệt sẽ được yêu cầu để có thể kích thích TSFI hoặc thực hiện quan sát TSFI;

...

Người đánh giá có thể tìm thấy nó thực tế để thực hiện kiểm thử thâm nhập bằng cách sử dụng một loạt các trường hợp kiểm thử, trong đó, mỗi trường hợp kiểm thử sẽ kiểm tra một điểm yếu tiềm ẩn yếu cụ thể.

14.2.4.7.3 Đơn vị công việc AVA_VAN.4-8

Người đánh giá cần tiến hành kiểm thử thâm nhập.

Người đánh giá sử dụng các tài liệu kiểm thử xâm nhập từ đơn vị công việc AVA_VAN.4-6 làm cơ sở cho thực hiện kiểm thử thâm nhập vào TOE, nhưng điều này không ngăn cản việc người đánh giá thực hiện các kiểm thử thâm nhập đặc biệt bổ sung. Nếu cần thiết, người đánh giá có thể đưa ra các kiểm thử đặc biệt như là một kết quả của thông tin thu được trong quá trình kiểm thử thâm nhập đó. Nếu được thực hiện bởi người đánh giá sẽ được ghi nhận trong các tài liệu kiểm thử xâm nhập. Kiểm thử như vậy có thể được yêu cầu để theo dõi các kết quả ngoài dự kiến hoặc quan sát hoặc để điều tra điểm yếu tiềm ẩn gợi ý cho người đánh giá trong quá trình lên kế hoạch kiểm thử.

Người đánh giá không được dự kiến để kiểm thử các điểm yếu tiềm ẩn (bao gồm cả những điểm yếu trong miền chung) ngoài những điểm được yêu cầu cho một khả năng tấn công trung bình. Tuy nhiên trong một số trường hợp, sẽ cần phải thực hiện một kiểm thử trước khi khả năng khai thác có thể được xác định. Theo kết quả của các chuyên gia đánh giá, người đánh giá phát hiện ra một điểm yếu có thể khai thác vượt quá khả năng tấn công trung bình, điều này được báo cáo trong ETR như một một điểm yếu còn tồn tại.

14.2.4.7.4 Đơn vị công việc AVA_VAN.4-9

Người đánh giá cần ghi lại các kết quả thực tế của các kiểm thử thâm nhập.

...

14.2.4.7.5 Đơn vị công việc AVA_VAN.4-10

Người đánh giá cần báo cáo trong ETR nỗ lực kiểm thử thâm nhập, phác thảo các phương pháp kiểm thử, cấu hình, năng lực và các kết quả.

Thông tin kiểm thử thâm nhập được báo cáo trong ETR cho người phép đánh giá truyền đạt phương pháp kiểm thử thâm nhập tổng thể và nỗ lực mở rộng hoạt động con này. Mục đích cung cấp thông tin này là để cung cấp một cái nhìn tổng quan đầy ý nghĩa về nỗ lực kiểm thử thâm nhập của người đánh giá. Người ta không mong muốn các thông tin liên quan đến kiểm thử thâm nhập trong ETR phải sao chép chính xác các bước kiểm tra cụ thể hoặc kết quả kiểm thử thâm nhập cá nhân. Mục đích là để cung cấp đầy đủ chi tiết để cho phép người đánh giá khác và các tổ chức đánh giá để đạt được một số hiểu biết về phương pháp kiểm thử thâm nhập được lựa chọn, số lượng kiểm thử thâm nhập được thực hiện, các cấu hình kiểm thử TOE và kết quả tổng thể của hoạt động kiểm thử thâm nhập.

Thông tin đó thường được tìm thấy trong mục ETR liên quan đến nỗ lực kiểm thử thâm nhập của người đánh giá là:

a) cấu hình kiểm thử TOE. Các cấu hình cụ thể của TOE đã được kiểm thử thâm nhập;

b) TSFI kiểm thử thâm nhập. Một danh sách ngắn của TSFI và các giao diện TOE là trọng tâm của kiểm thử thâm nhập;

c) phán quyết cho hoạt động con. Phán quyết tổng thể về các kết quả của kiểm thử thâm nhập.

14.2.4.7.6 Đơn vị công việc AVA_VAN.4-11

...

Nếu kết quả cho thấy rằng TOE trong môi trường vận hành của nó, có điểm yếu có thể khai thác bởi một kẻ tấn công sở hữu khả năng tấn công ít hơn khả năng tấn công cao thì hành động của người đánh giá này là thất bại.

Các hướng dẫn trong B.4 nên được sử dụng để xác định khả năng tấn công cần thiết để khai thác một điểm yếu đặc biệt và do đó liệu nó có thể được khai thác trong môi trường dự định. Không cần phải tính toán khả năng tấn công trong mọi trường hợp, khi chỉ có một số nghi ngờ là có hay không những điểm yếu có thể bị khai thác bởi những kẻ tấn công sở hữu khả năng tấn công thấp hơn khả năng tấn công cao.

14.2.4.7.7 Đơn vị công việc AVA_VAN.4-12

Người đánh giá cần báo cáo trong ETR tất cả các điểm yếu có thể khai thác và điểm yếu còn tồn tại, chi tiết cho từng:

a) nguồn (ví dụ như hoạt động của phương pháp đánh giá được thực hiện khi nó được hình thành, đã biết với người đánh giá, đọc ấn phẩm);

b) SFR không đáp ứng;

c) mô tả;

d) liệu có thể khai thác môi trường vận hành của nó hay không (tức là có thể khai thác hoặc còn tồn tại);

...

Không có hướng dẫn chung; lược đồ nên được tư vấn để hướng dẫn trên hoạt động con này.

15 Lớp ACO: Thành phần

15.1 Giới thiệu

Mục tiêu hoạt động này là để xác định xem các thành phần có thể được tích hợp một cách an toàn theo quy định trong ST cho TOE tổng hợp. Điều này đạt được thông qua kiểm tra kiểm thử của các giao diện giữa các thành phần, được hỗ trợ bằng cách kiểm tra việc thiết kế của các thành phần và tiến hành phân tích điểm yếu.

15.2 Lưu ý áp dụng

Sự tin cậy của họ thành phần phụ thuộc (ACO_REL) xác định nơi mà các thành phần phụ thuộc là dựa trên công nghệ thông tin trong môi trường hoạt động của nó (được đáp ứng bởi một thành phần cơ sở trong việc đánh giá TOE tổng hợp) để cung cấp các dịch vụ an toàn của nó. Sự tin cậy này được xác định trong điều khoản của giao diện dự kiến bởi các thành phần phụ thuộc được cung cấp bởi các thành phần cơ sở. Bằng chứng phát triển (ACO_DEV) sau đó xác định các giao diện của các thành phần cơ sở được xem xét (như TSFI) trong quá trình đánh giá thành phần của các thành phần cơ sở.

Cần lưu ý rằng sự độ tin cậy của thành phần phụ thuộc (ACO_REL) không bao gồm các bằng chứng khác có thể cần thiết để giải quyết các vấn đề tích hợp kỹ thuật của các thành phần sáng tạo (ví dụ như mô tả của giao diện phi TSF của hệ điều hành, các nguyên tắc tích hợp, vv). Điều này là ngoài việc đánh giá an toàn của các thành phần và là một vấn đề thành phần chức năng.

Là một phần của kiểm thử TOE tổng hợp (ACO_CTT), người đánh giá sẽ thực hiện kiểm thử các SFR của TOE tổng hợp tại các giao diện TOE tổng hợp và các giao diện của các thành phần cơ sở tin cậy bởi các thành phần phụ thuộc để xác nhận chúng hoạt động theo quy định. Các tập con được lựa chọn sẽ xem xét các tác động có thể có của những thay đổi về cấu hình/sử dụng của các thành phần cơ sở được sử dụng trong các TOE tổng hợp. Những thay đổi này được xác định từ cấu hình của các thành phần cơ sở được xác định trong quá trình đánh giá thành phần cơ sở. Nhà phát triển sẽ cung cấp bằng chứng kiểm thử cho từng giao diện thành phần cơ sở (các yêu cầu về phạm vi là nhất quán với những áp dụng cho việc đánh giá của các thành phần cơ sở).

Sở cứ cấu thành (ACO_COR) yêu cầu người đánh giá xác định liệu các biện pháp phù hợp đã được áp dụng cho thành phần thành phần cơ sở và liệu thành phần cơ sở có được sử dụng trong cấu hình đánh giá không. Điều này bao gồm việc xác định liệu tất cả các chức năng an toàn cần thiết của thành phần phụ thuộc là có trong TSF của thành phần cơ sở. Yêu cầu về sở cứ cấu thành (ACO_COR) có thể được đáp ứng thông qua việc sản xuất các bằng chứng cho thấy chúng đều được chứng minh là được tôn trọng. Bằng chứng này có thể dưới hình thức đích an toàn và một báo cáo công khai của việc đánh giá thành phần (ví dụ như báo cáo chứng nhận).

...

Ví dụ, đó có thể là trường hợp như được mô tả trong các tương tác giữa các thực thể (xem phụ lục B.3, Tương tác giữa các thực thể công nghệ thông tin kết hợp trong TCVN 8709-3 (ISO/IEC 15408-3)) rằng các thành phần phụ thuộc đòi hỏi thành phần cơ sở cơ sở đó cung cấp chức năng an toàn hơn trong TOE tổng hợp hơn là trong việc đánh giá thành phần cơ sở. Điều này sẽ được xác định trong quá trình ứng dụng độ tin cậy của thành phần phụ thuộc (ACO_REL) và họ các bằng chứng phát triển (ACO_DEV). Trong trường hợp này các bằng chứng sở cứ cấu thành được cung cấp cho sở cứ cấu thành (ACO_COR) sẽ chứng minh rằng việc đảm bảo thu được từ việc đánh giá thành phần cơ sở là không bị ảnh hưởng. Điều này có thể được đạt được bằng phương tiện bao gồm:

a) thực hiện đánh giá lại của các thành phần cơ sở tập trung vào các bằng chứng liên quan đến các phần mở rộng của TSF;

b) chứng minh rằng các phần mở rộng của TSF không thể ảnh hưởng đến các phần của TSF và cung cấp bằng chứng cho thấy các phần mở rộng của TSF cung cấp chức năng an toàn cần thiết.

15.3 Sở cứ cấu thành (ACO_COR)

15.3.1 Đánh giá hoạt động con (ACO_COR.1)

15.3.1.1 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST kết hợp;

b) sở cứ cấu thành;

...

d) thông tin phát triển;

e) định danh duy nhất.

15.3.1.2 Hành động ACO_COR.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ACO_COR.1.1C: Sở cứ cấu thành cần chứng minh rằng ở mức bảo đảm ít nhất cũng như mức của các thành phần phụ thuộc đã thu được nhằm hỗ trợ chức năng của thành phần cơ sở, khi thành phần cơ sở được cấu hình theo yêu cầu để hỗ trợ thành phần phụ thuộc của TSF.

15.3.1.2.1 Đơn vị công việc ACO_COR.1-1

Người đánh giá cần kiểm tra các phân tích tương ứng với các thông tin phát triển và thông tin tin cậy để xác định các giao diện dựa vào thành phần phụ thuộc mà không được mô tả chi tiết trong thông tin phát triển.

Mục tiêu của người đánh giá trong đơn vị công việc này là:

a) để xác định các giao diện dựa vào các thành phần phụ thuộc đã có các biện pháp đảm bảo phù hợp được áp dụng;

b) để xác định rằng các gói đảm bảo áp dụng cho các thành phần cơ sở trong việc đánh giá các thành phần cơ sở chứa một trong hai yêu cầu đảm bảo tương tự như các gói áp dụng cho các thành phần phụ thuộc trong quá trình đánh giá của nó hoặc các yêu cầu đảm bảo phân cấp cao hơn.

...

Người đánh giá cần ghi lại các giao diện Thực thi SFR được mô tả trong thông tin tin cậy đó mà không có trong các thông tin phát triển. Điều này sẽ cung cấp đầu vào cho đơn vị công việc ACO_COR.1-3, giúp đỡ để xác định các phần của thành phần cơ sở, trong đó đảm bảo hơn nữa là cần thiết.

Nếu cả hai thành phần cơ sở và phụ thuộc được đánh giá theo cùng một gói đảm bảo, sau đó xác định xem liệu mức độ đảm bảo trong các phần trong việc đánh giá thành phần cơ sở là ít nhất cũng như của các thành phần phụ thuộc là bình thường. Tuy nhiên, nếu các gói đảm bảo áp dụng cho các các thành phần trong đánh giá thành phần khác nhau, người đánh giá cần xác định rằng các yêu cầu bảo đảm áp dụng cho thành phần cơ sở là tất cả các phân cấp cao hơn để đảm bảo các yêu cầu áp dụng cho các thành phần phụ thuộc.

15.3.1.2.2 Đơn vị công việc ACO_COR.1-2

Người đánh giá cần kiểm tra sở cứ cấu thành để xác định, đối với những giao diện thành phần cơ sở mà TSF phụ thuộc vào, cho dù các giao diện đã được xem xét trong việc đánh giá của các thành phần cơ sở.

ST, báo cáo đánh giá công khai thành phần (ví dụ như báo cáo chứng nhận) và các văn bản hướng dẫn cho các thành phần cơ sở cung cấp thông tin tất cả về phạm vi và ranh giới của thành phần cơ sở. ST cung cấp chi tiết về phạm vi hợp lý và ranh giới của các TOE tổng hợp, cho phép người đánh giá để xác định liệu một giao diện liên quan đến một phần của sản phẩm đó là trong phạm vi của việc đánh giá. Các tài liệu hướng dẫn cung cấp thông tin chi tiết việc sử dụng của tất cả các giao diện cho TOE tổng hợp. Mặc dù các tài liệu hướng dẫn có thể bao gồm thông tin chi tiết của giao diện trong sản phẩm đó không nằm trong phạm vi việc đánh giá, bất kỳ giao diện như vậy nên được nhận biết hoặc từ thông tin xác định phạm vi trong ST hoặc thông qua một phần của hướng dẫn đó với cấu hình đánh giá. Báo cáo đánh giá công khai có thể cung cấp bất kỳ ràng buộc bổ sung về việc sử dụng các TOE tổng hợp đó là cần thiết.

Do đó, sự kết hợp của các yếu tố đầu vào cho phép người đánh giá để xác định liệu một giao diện được mô tả trong sở cứ cấu thành có sự đảm bảo cần thiết liên kết với nó, hay bảo đảm thêm là cần thiết. Người đánh giá sẽ ghi lại các giao diện của các thành phần cơ sở mà đảm bảo bổ sung là cần thiết để xem xét trong ACO_COR.1-3.

15.3.1.2.3 Đơn vị công việc ACO_COR.1-3

Người đánh giá cần kiểm tra sở cứ cấu thành để xác định rằng các biện pháp đảm bảo cần thiết đã được áp dụng cho các thành phần cơ sở.

Các phán quyết đánh giá và đảm bảo kết quả, cho các thành phần cơ sở có thể được tái sử dụng cung cấp các phần tương tự của các thành phần cơ sở được sử dụng trong TOE tổng hợp và chúng được sử dụng một cách nhất quán.

...

Để xác định liệu các biện pháp bảo đảm cần thiết đã được áp dụng cho các thành phần và các phần của thành phần mà các biện pháp đảm bảo vẫn cần phải được áp dụng, người đánh giá cần phải sử dụng đầu ra của hành động ACO_DEV. *. 2E và các đơn vị công việc ACO_COR.1-1 và ACO_COR.1-2:

a) đối với những giao diện được xác định trong các thông tin tin cậy (sự tin cậy của thành phần phụ thuộc (ACO_REL)), nhưng không được thảo luận trong các thông tin phát triển (bằng chứng phát triển (ACO_DEV)), thông tin bổ sung là cần thiết, (được xác định trong ACO_COR.1-1.)

b) đối với những giao diện sử dụng không nhất quán trong TOE tổng hợp từ các thành phần cơ sở (sự khác biệt giữa các thông tin cung cấp trong bằng chứng phát triển (ACO_DEV) và sự tin cậy của thành phần phụ thuộc (ACO_REL) tác động của sự khác biệt trong sử dụng cần được xem xét. (Xác định trong ACO_DEV. *. 2E.)

c) đối với những giao diện được xác định trong sở cứ cấu thành mà không có bảo đảm đạt được trước đó, thông tin bổ sung là cần thiết. (Xác định trong ACO_COR.1-2.)

d) đối với những giao diện được mô tả một cách nhất quán trong thông tin tin cậy, sở cứ cấu thành và thông tin phát triển, không cần thiết phải có thêm hành động và các kết quả từ việc đánh giá thành phần cơ sở có thể được tái sử dụng.

Các giao diện của thành phần cơ sở được báo cáo là được yêu cầu bởi các thông tin tin cậy nhưng không có trong các thông tin phát triển chỉ ra các phần của thành phần cơ sở mà sự đảm bảo hơn nữa là cần thiết. Các giao diện xác định các điểm nhập vào các thành phần cơ sở.

Đối với những giao diện bao gồm cả các thông tin phát triển và sự phụ thuộc thông tin, người đánh giá xác định các giao diện được sử dụng trong TOE tổng hợp theo một cách nhất quán với đánh giá thành phần cơ sở. Phương pháp sử dụng của giao diện sẽ được xem xét trong quá trình phát triển hoạt động bằng chứng (ACO_DEV) để xác định rằng việc sử dụng giao diện là nhất quán ở cả thành phần cơ sở và TOE tổng hợp. Các xem xét còn lại là xác định liệu các cấu hình của thành phần thành phần cơ sở và TOE tổng hợp có nhất quán không. Để xác định điều này, người đánh giá cần xem xét các tài liệu hướng dẫn để đảm bảo chúng nhất quán (xem thêm hướng dẫn dưới đây liên quan đến tài liệu hướng dẫn nhất quán). Bất kỳ sai lệch trong các tài liệu sẽ được tiếp tục phân tích việc đánh giá để xác định các khả năng ảnh hưởng.

Đối với những giao diện được mô tả nhất quán trong thông tin tin cậy và thông tin phát triển và đối với các giao diện mà hướng dẫn là nhất quán cho thành phần cơ sở và TOE tổng hợp, mức độ đảm bảo yêu cầu đã được cung cấp.

Các phần phụ sau đây cung cấp hướng dẫn về cách xác định sự nhất quán giữa đảm bảo tăng trong thành phần cơ sở, các bằng chứng cung cấp cho TOE tổng hợp và các phân tích được thực hiện bởi đánh giá trong các trường hợp sự không nhất quán được xác định.

...

Thông tin phụ thuộc xác định các giao diện trong thành phần phụ thuộc được kết hợp bởi thành phần cơ sở. Nếu một giao diện được xác định trong các thông tin tin cậy là không xác định trong thông tin phát triển, sau đó các sở cứ tổng hợp để cung cấp một biện minh thành phần cơ sở cung cấp các giao diện yêu cầu như thế nào.

Nếu một giao diện được xác định trong thông tin phụ thuộc được xác định trong các thông tin phát triển, nhưng có sự không nhất quán giữa các giới thiệu, phân tích sâu hơn là cần thiết. Người đánh giá xác định sự khác biệt trong việc sử dụng thành phần thành phần cơ sở như xem xét trong đánh giá thành phần cơ sở và đánh giá TOE tổng hợp. Người đánh giá cần đưa ra kiểm tra để được thực hiện (trong các đáp ứng của TOE kiểm tra (ACO_CTT)) để kiểm tra các giao diện.

Các bản vá của tình trạng các thành phần cơ sở và phụ thuộc được sử dụng trong TOE nên được so sánh để tình trạng vá của các thành phần trong Người đánh giá thành phần. Nếu bất kỳ bản vá lỗi đã được áp dụng đến các thành phần, các sở cứ tổng hợp bao gồm chi tiết về các bản vá lỗi, trong đó có bất kỳ tác động tiềm năng đến các SFR của đánh giá thành phần. Người đánh giá cần xem xét các chi tiết của những thay đổi cung cấp và xác minh sự chính xác về tiềm năng tác động của sự thay đổi về thành phần SFR. Người đánh giá nên sau đó xem xét liệu các thay đổi được thực hiện bởi các bản vá cần được xác nhận thông qua kiểm tra và sẽ xác định cần cách tiếp cận kiểm tra. Các kiểm thử có thể mang hình thức lặp đi lặp lại các áp dụng đánh giá /phát triển kiểm tra thực hiện cho các thành phần đánh giá của các thành phần hoặc nó có thể cần thiết cho Người đánh giá để đưa ra những kiểm tra mới để xác nhận thay đổi thành phần.

Nếu bất kỳ của các thành phần riêng lẻ đã được các đối tượng của hoạt động đảm bảo tính liên tục kể từ khi hoàn thành phần đánh giá, Người đánh giá cần xem xét những thay đổi được đánh giá trong việc bảo đảm tính liên tục hoạt động trong thời gian độc lập phân tích hoạt động điểm yếu cho TOE tổng hợp (trong Phân tích thành phần điểm yếu (ACO_VUL)).

15.3.1.2.3.2 Hướng dẫn

Các hướng dẫn cho TOE tổng hợp là có khả năng làm tài liệu tham khảo đến các hướng dẫn cho các thành phần riêng lẻ. Các dự kiến tối thiểu sẽ hướng dẫn để cần thiết là sự xác định bất kỳ đặt hàng phụ thuộc vào các ứng dụng hướng dẫn cho các thành phần phụ thuộc và cơ sở, đặc biệt là trong chuẩn bị (cài đặt) TOE tổng hợp.

Ngoài việc áp dụng các thủ tục chuẩn bị (AGD_PRE) và hướng dẫn người dùng hoạt động (AGD_OPE) để các hướng dẫn cho TOE tổng hợp, cần thiết phân tích sự nhất quán giữa các hướng dẫn cho các thành phần và TOE tổng hợp, để xác định bất kỳ sai lệch.

Nếu hướng dẫn TOE tổng hợp tham chiếu đến hướng dẫn thành phần cơ sở và thành phần phụ thuộc, thì việc xem xét sự nhất quán được giới hạn ở tính nhất quán giữa các tài liệu hướng dẫn được cung cấp cho mỗi thành phần (tức là nhất quán giữa hướng dẫn thành phần cơ sở và hướng dẫn thành phần phụ thuộc). Tuy nhiên, nếu hướng dẫn bổ sung được cung cấp cho TOE tổng hợp, để cung cấp cho các thành phần, phân tích sâu hơn là cần thiết, thì sự nhất quán được cũng yêu cầu giữa các tài liệu hướng dẫn hướng dẫn cho các thành phần và tài liệu hướng dẫn cho TOE tổng hợp.

Nhất quán trong trường hợp này được hiểu là hướng dẫn là giống nhau hoặc có thêm hạn chế về hoạt động của các thành phần cá nhân khi kết hợp, theo cách tương tự như bổ sung chi tiết các các thành phần chức năng/đảm bảo.

...

Những rủi ro còn tồn tại sẽ bao gồm trong bất kỳ công đánh giá báo cáo cho TOE tổng hợp.

Người đánh giá cần lưu ý những chênh lệch trong hướng dẫn cho đầu vào đánh giá hoạt động kiểm tra độc lập kết hợp kiểm tra (ACO_CTT)).

Các hướng dẫn cho TOE tổng hợp có thể thêm vào các hướng dẫn cho các thành phần, đặc biệt là trong điều kiện của cài đặt và thứ tự các bước cài đặt cho thành phần cơ sở liên quan đến các bước cài đặt của thành phần phụ thuộc. Các thứ tự của các bước cho việc cài đặt của cá nhân các thành phần không thay đổi, tuy nhiên chúng có thể cần xen kẽ. Người đánh giá cần hướng dẫn kiểm tra này để đảm bảo rằng nó vẫn đáp ứng được các yêu cầu của AGD_PRE hoạt động thực hiện trong quá trình đánh giá của các thành phần.

Đó có thể là trường hợp các thông tin tin cậy xác định rằng giao diện của các thành phần cơ sở, trong ngoài được xác định là các TSFI của các thành phần cơ sở, dựa vào các thành phần phụ thuộc được xác định trong các thông tin tin cậy. Có thể cần phải cung cấp hướng dẫn về việc sử dụng mọi giao diện bổ sung như vậy trong thành phần thành phần cơ sở. Giả sử người tiêu dùng của TOE tổng hợp sẽ nhận được tài liệu hướng dẫn về thành phần thành phần cơ sở, thì các kết quả của AGD_PRE và phán quyết AGD_OPE cho các thành phần cơ sở có thể được tái sử dụng cho những giao diện xem xét trong các đánh giá thành phần cơ sở. Tuy nhiên, đối với các giao diện bổ sung bởi thành phần phụ thuộc, người đánh giá cần cần phải xác định rằng các tài liệu hướng dẫn cho các thành phần cơ sở đáp ứng các yêu cầu của AGD_PRE và AGD_OPE, được áp dụng trong đánh giá thành phần cơ sở.

Đối với những giao diện được xem xét trong khi đánh giá thành phần thành phần cơ sở và do đó, đối với những giao diện đã có được sự đảm bảo, người đánh giá cần đảm bảo rằng hướng dẫn sử dụng của mỗi giao diện đối với TOE tổng hợp là nhất quán với hướng dẫn đối với thành phần cơ sở. Để xác định hướng dẫn cho TOE tổng hợp là nhất quán với điều đó cho thành phần thành phần cơ sở, người đánh giá cần thực hiện một ánh xạ cho mỗi giao diện theo hướng dẫn được cung cấp cho cả TOE tổng hợp và thành phần thành phần cơ sở. Người đánh giá sau đó so sánh các hướng dẫn để xác định tính nhất quán.

Ví dụ về các hạn chế khác được cung cấp trong Hướng dẫn TOE tổng hợp đó sẽ được xem là nhất quán với hướng dẫn thành phần (hướng dẫn cho một thành phần được đưa ra sau đó là một ví dụ hướng dẫn cho một TOE tổng hợp mà có thể được xem là để cung cấp thêm hạn chế):

• Thành phần: Các chiều dài mật khẩu phải được thiết lập để một tối thiểu 8 ký tự dài, bao gồm cả chữ cái và số ký tự.

• TOE tổng hợp: Các chiều dài mật khẩu phải được thiết lập ở mức tối thiểu là 10 ký tự, bao gồm cả chữ cái và số ký tự và ở ít nhất một trong những ký tự đặc biệt sau: () {} ^ <> - _

• Chú ý: Chỉ có thể chấp nhận được nếu tăng chiều dài mật khẩu đối với các ký tự [ nguyên > 8 ] trong khi loại bỏ nhiệm vụ để bao gồm cả chữ cái và chữ số cho TOE tổng hợp, nếu cùng một hoặc nhiều hơn số liệu đã đạt được cho đánh giá điểm mạnh (có tính đến các khả năng của mật khẩu được đoán).

...

• TOE tổng hợp: Các dịch vụ sau sẽ bị vô hiệu hóa trong các thiết lập registry: Dịch vụ xuất bản, ICDBReporter dịch vụ, thủ tục từ xa Gọi (RPC) Locator và thủ tục gọi (RPC) Dịch vụ.

• Thành phần: Chọn các thuộc tính sau đây để được bao gồm trong các hồ sơ tính toán các tập tin: ngày tháng, thời gian, loại sự kiện, danh tính đối tượng và thành công / thất bại.

• TOE tổng hợp: Chọn các thuộc tính sau đây để được bao gồm trong kế toán các file hồ sơ: ngày tháng, thời gian, loại của sự kiện, nhận dạng đối tượng, thành công / thất bại, sự kiện thông báo và quá trình.

Nếu hướng dẫn cho TOE tổng hợp (là không phải là một bổ sung chi tiết) từ đó cung cấp cho thành phần thành phần cơ sở, người đánh giá cần đánh giá tiềm năng rủi ro của việc sửa đổi các hướng dẫn. Người đánh giá cần sử dụng thông tin có sẵn (bao gồm cả cung cấp trong phạm vi chung, các kiến trúc mô tả thành phần cơ sở trong các báo cáo đánh giá chung (ví dụ như xác nhận báo cáo), bối cảnh của sự hướng dẫn của còn lại của tài liệu hướng dẫn) để xác định tác động có thể của sửa đổi đến các hướng dẫn về các SFR của TOE tổng hợp.

Nếu trong quá trình đánh giá các thành phần phụ thuộc kiểm tra cài đặt sử dụng thành phần thành phần cơ sở để đáp ứng các yêu cầu về môi trường của thành phần phụ thuộc đơn vị công việc này cho TOE tổng hợp được xem là thỏa mãn. Nếu thành phần cơ sở đã không được sử dụng trong sự thỏa mãn của các đơn vị công việc AGD_PRE.1-3 đánh giá thành phần phụ thuộc, người đánh giá sẽ áp dụng các thủ tục người dùng được cung cấp cho TOE tổng hợp để chuẩn bị TOE tổng hợp, phù hợp với các hướng dẫn quy định trong AGD_PRE.1-3. Điều này sẽ cho phép người đánh giá để xác định rằng các hướng dẫn dự bị cung cấp cho TOE tổng hợp là đủ để chuẩn bị TOE tổng hợp và môi trường vận hành an toàn.

15.3.1.2.3.3 Vòng đời

Chuyển giao

Nếu có một cơ chế chuyển giao khác nhau được sử dụng cho các chuyển giao TOE tổng hợp (tức là các thành phần không cung cấp cho người tiêu dùng phù hợp với các thủ tục chuyển giao an toàn xác định và đánh giá trong khi đánh giá các thành phần), các thủ tục chuyển giao đối với TOE tổng hợp sẽ yêu cầu đánh giá các yêu cầu Chuyển giao (ALC_DEL) áp dụng trong đánh giá thành phần.

TOE tổng hợp có thể được cung cấp như là một sản phẩm tích hợp hoặc có thể yêu cầu các thành phần để được cung cấp một cách riêng biệt.

...

Nếu TOE tổng hợp được phân phối như một thực thể mới, thì phương pháp chuyển giao của tổ chức đó phải được xem xét trong các hoạt động đánh giá TOE tổng hợp.

Đánh giá các thủ tục chuyển giao đối với các khoản mục TOE tổng hợp sẽ được thực hiện phù hợp với các phương pháp Chuyển giao (ALC_DEL) như đối với bất kỳ TOE [thành phần] khác, đảm bảo bất kỳ khoản mục thêm vào (ví dụ các tài liệu hướng dẫn bổ sung cho TOE tổng hợp) được xem xét trong các thủ tục chuyển giao.

Năng lực CM

Các xác định riêng biệt của TOE tổng hợp được xem xét trong việc áp dụng Đánh giá hoạt động con (ALC_CMC.1) và các đơn vị từ đó mà TOE tổng hợp bao gồm được xem xét trong áp dụng Đánh giá hoạt động con (ALC_CMS.2).

Mặc dù hướng dẫn bổ sung có thể được khởi tạo cho TOE tổng hợp, việc xác định riêng biệt này hướng dẫn (được xem như là một phần của việc xác định duy nhất của TOE tổng hợp trong quá trình đánh giá của hoạt động con (ALC_CMC.1)) được xem là đủ kiểm soát hướng dẫn.

Các phán quyết còn lại (không xem ở trên) Lớp ALC: hoạt động hỗ trợ vòng đời có thể được tái sử dụng từ việc đánh giá thành phần cơ sở, như là không có phát triển được thực hiện trong quá trình hội nhập của TOE tổng hợp.

Không có thêm cân nhắc về an toàn phát triển như sự tích hợp được giả định để có ở chỗ hoặc là của người tiêu dùng tại chỗ hoặc trong các trường hợp mà sự kết hợp TOE được phân phối như là một tích hợp sản phẩm, tại các địa điểm của các thành phần phụ thuộc phát triển. Kiểm soát tại của người tiêu dùng là điểm bên ngoài việc xem xét ISO/IEC 15408. Không có yêu cầu bổ sung hoặc hướng dẫn cần thiết nếu hội nhập giống như địa điểm đó cho các thành phần phụ thuộc, như tất cả các thành phần được xem là đơn vị cấu hình cho TOE tổng hợp và do đó cần được xem xét dưới các thủ tục an toàn của nhà phát triển thành phần phụ thuộc.

Các công cụ và kỹ thuật được chấp nhận trong quá trình tích hợp sẽ được xem xét trong các bằng chứng được cung cấp bởi người phát triển thành phần phụ thuộc. Bất kỳ công cụ/kỹ thuật có liên quan đến các thành phần cơ sở sẽ được xem xét trong quá trình đánh giá thành phần thành phần cơ sở. Ví dụ, nếu thành phần thành phần cơ sở được phân phối như mã nguồn và yêu cầu biên soạn bởi người tiêu dùng (ví dụ người phát triển thành phần phụ thuộc đang thực hiện tích hợp) thì trình biên dịch sẽ được xác định và đánh giá, cùng với các lập luận phù hợp, trong quá trình đánh giá thành phần cơ sở.

Không có định nghĩa vòng đời áp dụng đối với TOE tổng hợp, do hiện không có phát triển thêm nào đối với các đơn vị được thực hiện.

...

15.3.1.2.3.4 Kiểm tra

TOE tổng hợp sẽ được kiểm tra trong các đáp ứng của Lớp ATE: hoạt động kiểm tra để đánh giá các thành phần phụ thuộc, như các cấu hình sử dụng cho kiểm tra các thành phần phụ thuộc nên bao gồm các thành phần cơ sở để đáp ứng các yêu cầu cho công nghệ thông tin trong môi trường vận hành. Nếu thành phần cơ sở không được sử dụng trong việc kiểm tra các thành phần phụ thuộc cho việc đánh giá thành phần phụ thuộc hoặc cấu hình của một trong hai thành phần khác nhau từ cấu hình đánh giá của chúng, sau đó kiểm thử nhà phát triển thực hiện cho đánh giá của các thành phần phụ thuộc để đáp ứng các lớp ATE: Các kiểm thử yêu cầu được lặp đi lặp lại trên TOE tổng hợp.

15.4 Bằng chứng phát triển (ACO_DEV)

15.4.1 Đánh giá hoạt động con (ACO_DEV.1)

15.4.1.1 Mục tiêu

Các mục tiêu hoạt động con này là để xác định rằng chức năng an toàn thích hợp được cung cấp bởi thành phần cơ sở để hỗ trợ các thành phần phụ thuộc. Điều này đạt được thông qua kiểm tra các giao diện của thành phần thành phần cơ sở để xác định rằng nó nhất quán với các giao diện được chỉ định trong sự phụ thuộc thông tin; những yêu cầu bởi thành phần phụ thuộc.

Các mô tả về giao diện vào các thành phần cơ sở được cung cấp ở mức độ chi tiết nhất quán với Đánh giá về hoạt động con (ADV_FSP.2) mặc dù không phải tất cả các khía cạnh cần thiết để đánh giá sự thỏa mãn của hoạt động con (ADV_FSP.2) được yêu cầu cho đánh giá của hoạt động này (ACO_DEV.1), như khi giao diện đã được xác định và mục đích mô tả chi tiết còn lại của giao diện đặc điểm kỹ thuật có thể tái sử dụng từ đánh giá của các thành phần thành phần cơ sở.

15.4.1.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

...

b) thông tin phát triển;

c) thông tin tin cậy.

15.4.1.3 Hành động ACO_DEV.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ACO_DEV.1.1C: Thông tin phát triển cần mô tả mục đích mỗi giao diện thành phần cơ sở sử dụng trong TOE tổng hợp.

15.4.1.3.1 Đơn vị công việc ACO_DEV.1-1

Người đánh giá cần kiểm tra thông tin phát triển để xác định rằng nó mô tả mục đích của mỗi giao diện.

Thành phần cơ sở cung cấp các giao diện để hỗ trợ tương tác với thành phần phụ thuộc trong việc cung cấp phụ thuộc của TSF. Các mục đích của mỗi giao diện là để được mô tả ở cùng một mức độ như mô tả của các giao diện cho các thành phần TSF phụ thuộc chức năng, như sẽ được cung cấp giữa các hệ thống con trong thiết kế TOE (đánh giá của hoạt động con (ADV_TDS.1)). Điều này mô tả cung cấp cho các độc giả hiểu biết về cách thành phần thành phần cơ sở cung cấp các dịch vụ theo yêu cầu của các thành phần phụ thuộc TSF.

Đơn vị công việc này có thể được thỏa mãn bằng việc cung cấp các đặc điểm kỹ thuật chức năng cho thành phần thành phần cơ sở cho những giao diện mà là các TSFI của thành phần cơ sở.

TCVN 8709-3 (ISO/IEC 15408-3) ACO_DEV.1.2C: Thông tin phát triển cần chỉ ra sự phù hợp giữa các giao diện, sử dụng trong TOE tổng hợp, của thành phần cơ sở và thành phần phụ thuộc nhằm hỗ trợ TSF của thành phần phụ thuộc.

...

Người đánh giá cần kiểm tra các thông tin phát triển để xác định tương ứng, giữa các giao diện của các thành phần cơ sở và các giao diện mà trên đó có các thành phần phụ thuộc, là chính xác.

Sự tương ứng giữa các giao diện của thành phần cơ sở và các giao diện có thành phần phụ thuộc có thể mang hình thức của một ma trận hay bảng. Các giao diện được dựa trên thành phần phụ thuộc được xác định trong các thông tin tin cậy (như kiểm tra trong của thành phần phụ thuộc (ACO_REL) hoạt động).

Có nghĩa là, trong quá trình hoạt động này, không có yêu cầu để xác định đầy đủ các phạm vi của giao diện đó là dựa vào bởi các thành phần phụ thuộc, chỉ có sự tương ứng là đúng và đảm bảo rằng giao diện của các thành phần cơ sở được ánh xạ tới các giao diện yêu cầu của thành phần phụ thuộc bất cứ nơi nào có thể.

Các phạm vi đầy đủ được xem xét trong phần lý do hoạt động (ACO_COR).

15.4.1.4 Hành động ACO_DEV.1.2E

15.4.1.4.1 Đơn vị công việc ACO_DEV.1-3

Người đánh giá cần kiểm tra các thông tin phát triển và sự tin cậy thông tin để xác định rằng giao diện được mô tả một cách nhất quán.

Các mục tiêu của đánh giá trong đơn vị công việc này là để xác định các giao diện được mô tả trong phát triển thông tin cho các thành phần cơ sở và phụ thuộc thông tin cho các thành phần phụ thuộc là đại diện một cách nhất quán.

15.4.2 Đánh giá hoạt động con (ACO_DEV.2)

...

Các mục tiêu hoạt động con này là để xác định rằng chức năng an toàn phù hợp được cung cấp bởi thành phần cơ sở để hỗ trợ các thành phần phụ thuộc. Điều này đạt được thông qua kiểm tra các giao diện và liên quan đến đáp ứng an toàn của các thành phần cơ sở để xác định rằng chúng nhất quán với các giao diện quy định tại các thông tin tin cậy, những yêu cầu của thành phần phụ thuộc.

15.4.2.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST kết hợp;

b) thông tin phát triển;

c) thông tin tin cậy.

15.4.2.3 Hành động ACO_DEV.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) ACO_DEV.2.1C: Các thông tin phát triển sẽ mô tả các mục đích và phương pháp sử dụng của từng giao diện thành phần cơ sở được sử dụng trong TOE tổng hợp.

15.4.2.3.1 Đơn vị công việc ACO_DEV.2-1

...

Đơn vị công việc có thể được thỏa mãn bằng việc cung cấp các đặc điểm kỹ thuật chức năng cho các thành phần cơ sở cho những giao diện mà là các TSFI của thành phần cơ sở.

15.4.2.3.2 Đơn vị công việc ACO_DEV.2-2

Người đánh giá cần kiểm tra các thông tin phát triển để xác định rằng nó mô tả các phương pháp sử dụng cho mỗi giao diện.

Phương pháp sử dụng cho một giao diện tóm tắt giao diện được chế tác như thế nào để gọi các hoạt động và đạt được kết quả liên quan đến giao diện. Người đánh giá nên có thể để xác định từ thông tin phát triển như thế nào để sử dụng mỗi giao diện. Điều này không phải không nhất thiết có nghĩa rằng cần có một phương pháp riêng biệt sử dụng cho mỗi giao diện, vì nó có thể mô tả trong API nói chung như thế nào được gọi, ví dụ và sau đó xác định mỗi giao diện sử dụng.

Đơn vị công việc này có thể được thỏa mãn bằng việc cung cấp của các đặc điểm kỹ thuật chức năng cho các thành phần cơ sở cho những giao diện mà là các TSFI của thành phần cơ sở.

TCVN 8709-3 (ISO/IEC 15408-3) ACO_DEV.2.2C: Thông tin phát triển cần đưa ra mô tả mức cao về hoạt động của thành phần cơ sở hỗ trợ việc thực thi các Các SFR của thành phần phụ thuộc.

15.4.2.3.3 Đơn vị công việc ACO_DEV.2-3

Người đánh giá cần kiểm tra thông tin phát triển để xác định rằng nó mô tả đáp ứng của các thành phần cơ sở có hỗ trợ thực thi của các thành phần phụ thuộc SFR.

Các thành phần phụ thuộc gọi giao diện của các thành phần cơ sở cho việc cung cấp các dịch vụ của thành phần cơ sở. Đối với các giao diện của các thành phần cơ sở mà được gọi, các phát triển thông tin có trách nhiệm cung cấp một mô tả cấp cao về các liên kết đáp ứng an toàn của các thành phần cơ sở. Các mô tả của các thành phần cơ sở đáp ứng an toàn sẽ phác thảo như thế nào các thành phần cơ sở cung cấp cần thiết dịch vụ khi các cuộc gọi đến giao diện được thực hiện. Điều này mô tả là một mức độ tương tự như là cung cấp cho ADV_TDS.1.4C. Do đó, việc cung cấp các bằng chứng thiết kết TOE từ các thành phần cơ sở đánh giá sẽ đáp ứng đơn vị công việc này, nơi mà các giao diện được viện dẫn bởi những thành phần phụ thuộc là TSFI của thành phần cơ sở. Nếu giao diện gọi bởi các thành phần phụ thuộc không phải là các TSFI của các thành phần cơ sở các liên kết đáp ứng an toàn sẽ không nhất thiết phải được mô tả trong các thành phần cơ sở bằng chứng thiết kết TOE.

...

15.4.2.3.4 Đơn vị công việc ACO_DEV.2-4

Người đánh giá cần kiểm tra các thông tin phát triển để xác định tương ứng, giữa các giao diện của các thành phần cơ sở và các giao diện mà trên đó các thành phần phụ thuộc, là chính xác.

Sự tương ứng giữa các giao diện của các thành phần cơ sở và các giao diện mà các thành phần phụ thuộc có thể có dạng ma trận hay bảng. Các giao diện được dựa trên các thành phần phụ thuộc được xác định trong các thông tin tin cậy (như kiểm tra trong các thành phần phụ thuộc (ACO_REL) hoạt động).

Các phạm vi đầy đủ được xem xét trong phần lý do hoạt động (ACO_COR).

15.4.2.4 Hành động ACO_DEV.2.2E

15.4.2.4.1 Đơn vị công việc ACO_DEV.2-5

Người đánh giá cần kiểm tra các thông tin phát triển và sự tin cậy thông tin để xác định rằng giao diện được mô tả một cách nhất quán.

Các mục tiêu của đánh giá trong đơn vị công việc này là để xác định các giao diện được mô tả trong phát triển thông tin cho các thành phần cơ sở và các thông tin tin cậy cho các thành phần phụ thuộc là đại diện một cách nhất quán.

...

15.4.3.1 Mục tiêu

Các mục tiêu hoạt động con này là để xác định chức năng an toàn phù hợp được cung cấp bởi thành phần cơ sở để hỗ trợ các thành phần phụ thuộc. Điều này đạt được thông qua kiểm tra của các giao diện và liên quan đến đáp ứng an toàn của các thành phần cơ sở để xác định rằng chúng nhất quán với các giao diện quy định tại các thông tin tin cậy, những yêu cầu của thành phần phụ thuộc.

Ngoài các giao diện mô tả, các hệ thống con của thành phần cơ sở cung cấp chức năng an toàn theo yêu cầu của thành phần phụ thuộc sẽ được mô tả để cho phép Người đánh giá xác định không phải là giao diện được hình thành một phần của TSF của các thành phần cơ sở thành phần cơ sở.

15.4.3.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST kết hợp;

b) thông tin phát triển;

c) thông tin tin cậy.

15.4.3.3 Hành động ACO_DEV.3.1E

...

15.4.3.3.1 Đơn vị công việc ACO_DEV.3-1

Người đánh giá cần kiểm tra thông tin phát triển để xác định rằng nó mô tả các mục đích của mỗi giao diện.

Các thành phần cơ sở cung cấp giao diện để hỗ trợ tương tác với người thành phần phụ thuộc trong việc cung cấp phụ thuộc của TSF. Các mục đích của mỗi giao diện là mô tả ở cùng một mức độ như mô tả của các giao diện cho các thành phần TSF phụ thuộc chức năng, như sẽ được cung cấp giữa các hệ thống con trong thiết kế TOE (đánh giá của hoạt động con (ADV_TDS.1)) này mô tả là để cung cấp cho các độc giả với một hiểu biết về cách các thành phần cơ sở cung cấp các dịch vụ theo yêu cầu của các thành phần phụ thuộc TSF.

Đơn vị công việc này có thể được thỏa mãn bằng việc cung cấp của các đặc điểm kỹ thuật chức năng cho các thành phần cơ sở cho những giao diện mà là của thành phần cơ sở các TSFI.

15.4.3.3.2 Đơn vị công việc ACO_DEV.3-2

Người đánh giá cần kiểm tra các phát triển thông tin để xác định rằng nó mô tả các phương pháp sử dụng cho mỗi giao diện.

Phương pháp sử dụng cho một giao diện tóm tắt cách thức giao diện được thao tác để gọi hoạt động và đạt được kết quả liên quan đến giao diện. Người đánh giá nên có thể để xác định từ thông tin phát triển như thế nào để sử dụng mỗi giao diện. Điều này không phải không nhất thiết có nghĩa cần có một phương pháp riêng biệt sử dụng cho mỗi giao diện, vì nó có thể có thể mô tả trong API nói chung được gọi như thế nào, ví dụ và sau đó xác định mỗi giao diện sử dụng phong cách chung.

Đơn vị công việc có thể được thỏa mãn bằng việc cung cấp các đặc điểm kỹ thuật chức năng cho các thành phần cơ sở cho những giao diện mà là các TSFl của thành phần cơ sở.

TCVN 8709-3 (ISO/IEC 15408-3) ACO_DEV.3.2C: Thông tin phát triển cần xác định các hệ thống con của thành phần cơ sở, cung cấp các giao diện của thành phần cơ sở dùng trong TOE tổng hợp.

...

Người đánh giá cần kiểm tra thông tin phát triển để xác định rằng tất cả các hệ thống con của các thành phần cơ sở cung cấp giao diện cho thành phần phụ thuộc được xác định.

Đối với những giao diện được xem là một phần của TSFI của các thành phần cơ sở, các hệ thống con kết hợp với giao diện sẽ là hệ thống con trong thiết kế TOE (ADV_TDS) hoạt động trong các thành phần cơ sở đánh giá. Các giao diện mà các thành phần phụ thuộc đó đã không tạo thành một phần của các TSFI của các thành phần cơ sở sẽ ghép đến hệ thống con bên ngoài của thành phần cơ sở TSF.

TCVN 8709-3 (ISO/IEC 15408-3) ACO_DEV.3.3C: Thông tin phát triển cần đưa ra mô tả mức cao về hoạt động của thành phần cơ sở hỗ trợ việc thực thi các Các SFR của thành phần phụ thuộc.

15.4.3.3.4 Đơn vị công việc ACO_DEV.3-4

Người đánh giá cần kiểm tra thông tin phát triển để xác định rằng nó mô tả đáp ứng của các thành phần cơ sở hệ thống con hỗ trợ việc thực thi của các thành phần phụ thuộc SFR.

Các thành phần phụ thuộc gọi giao diện của các thành phần cơ sở cho việc cung cấp các dịch vụ của thành phần cơ sở. Đối với các giao diện của các thành phần cơ sở mà được gọi, các thông tin phát triển có trách nhiệm cung cấp một mô tả cấp cao về các liên kết đáp ứng an toàn của các thành phần cơ sở. Các mô tả của các thành phần cơ sở đáp ứng an toàn sẽ phác thảo các thành phần cơ sở cung cấp cần thiết dịch vụ như thế nào khi các cuộc gọi đến giao diện được thực hiện. Điều này mô tả ở một mức độ tương tự như là cung cấp cho ADV_TDS.1.4C. Do đó, việc cung cấp các bằng chứng thiết kết TOE từ các thành phần cơ sở đánh giá sẽ đáp ứng đơn vị công việc này, nơi mà các giao diện gọi bởi các thành phần phụ thuộc là TSFI của thành phần cơ sở. Nếu giao diện gọi bởi các thành phần phụ thuộc không phải là các TSFI của các thành phần cơ sở, các liên kết đáp ứng an toàn sẽ không nhất thiết phải được mô tả trong các thành phần cơ sở bằng chứng thiết kết TOE.

TCVN 8709-3 (ISO/IEC 15408-3) ACO_DEV.3.4C: Thông tin phát triển cần cung cấp một ánh xạ từ các giao diện tới các hệ thống con của thành phần cơ sở.

15.4.3.3.5 Đơn vị công việc ACO_DEV.3-5

Người đánh giá cần kiểm tra các thông tin phát triển để xác định rằng sự tương ứng giữa các giao diện và hệ thống con của các thành phần cơ sở là chính xác.

...

Tuy nhiên nếu giao diện thành phần cơ sở không là một phần của TSFI của các thành phần cơ sở, mô tả về đáp ứng cung cấp hệ thống con trong các thông tin phát triển sẽ được sử dụng để xác minh độ chính xác tương ứng.

TCVN 8709-3 (ISO/IEC 15408-3) ACO_DEV.3.5C: Thông tin phát triển cần chỉ ra sự phù hợp giữa các giao diện, sử dụng trong TOE tổng hợp, của thành phần cơ sở và thành phần phụ thuộc nhằm hỗ trợ TSF của thành phần phụ thuộc.

15.4.3.3.6 Đơn vị công việc ACO_DEV.3-6

Các tương ứng giữa các giao diện của các thành phần cơ sở và các giao diện mà các thành phần phụ thuộc có thể mang hình thức của một ma trận hay bảng. Các giao diện được dựa trên các thành phần phụ thuộc được xác định trong các thông tin tin cậy (như kiểm tra trong của thành phần phụ thuộc (ACO_REL) hoạt động).

Có nghĩa là, trong hoạt động này, không cần thiết xác định đầy đủ các phạm vi của giao diện đó là dựa vào bởi các thành phần phụ thuộc, chỉ có sự tương ứng là đúng và đảm bảo rằng giao diện của các thành phần cơ sở được ánh xạ tới các giao diện yêu cầu của thành phần phụ thuộc bất cứ nơi nào có thể.

Các phạm vi đầy đủ được xem xét trong phần lý do hoạt động (ACO_COR).

15.4.3.4 hành động ACO_DEV.3.2E

15.4.3.4.1 Đơn vị công việc ACO_DEV.3-7

...

Các mục tiêu của đánh giá trong đơn vị công việc này là để xác định các giao diện được mô tả trong thông tin phát triển cho các thành phần cơ sở và các thông tin tin cậy cho các thành phần phụ thuộc là đại diện một cách nhất quán.

15.5 Tính phục thuộc của các thành phần (ACO_REL)

15.5.1 Đánh giá hoạt động con (ACO_REL.1)

15.5.1.1 Mục tiêu

Mục tiêu hoạt động con này là để xác định xem sự phụ thuộc bằng chứng của nhà phát triển cung cấp đầy đủ thông tin để xác định các chức năng cần thiết có sẵn trong các thành phần cơ sở và các ý nghĩa chức năng được gọi. Đây là những quy định trong các điều khoản của một mô tả cấp cao.

15.5.1.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST kết hợp;

b) các thành phần phụ thuộc đặc tả chức năng;

...

d) các thiết kế kiến trúc thành phần phụ thuộc;

e) các thông tin tin cậy.

15.5.1.3 Lưu ý áp dụng

Một thành phần phụ thuộc có TSF tương tác với các thành phần cơ sở yêu cầu chức năng được cung cấp bởi thành phần cơ sở đó (ví dụ, xác thực từ xa, kiểm tra từ xa lưu trữ dữ liệu). Trong những trường hợp này, những dịch vụ cần phải được mô tả với với cấu hình TOE tổng hợp cho người sử dụng. Các lý do cho yêu cầu tài liệu này là để hỗ trợ tích hợp TOE tổng hợp để xác định những gì dịch vụ trong các thành phần cơ sở có thể có ảnh hưởng xấu đến thành phần phụ thuộc và để cung cấp thông tin dựa vào đó xác định khả năng tương thích của các thành phần khi áp dụng phát triển bằng chứng (ACO_DEV).

15.5.1.4 Hành động ACO_REL.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ACO_REL.1.1C: Thông tin tin cậy cần mô tả chức năng của thành phần cơ sở như phần cứng, phần sụn và/hoặc phần mềm làm nền tảng cho TSF của thành phần phụ thuộc.

15.5.1.4.1 Đơn vị công việc ACO_REL.1-1

Người đánh giá cần kiểm tra các thông tin tin cậy để xác định rằng nó mô tả các chức năng của phần cứng, phần sụn và/hoặc phần mềm phụ thuộc cơ sở được dựa vào các thành phần phụ thuộc TSF. Người đánh giá đánh giá các mô tả về chức năng an toàn mà TSF thành phần phụ thuộc đòi hỏi phải được cung cấp bởi các phần cứng, phần sụn và phần mềm của thành phần cơ sở. Nhấn mạnh của thành phần đơn vị này là trên các mức độ chi tiết của mô tả này, chứ không phải trên một đánh giá chính xác của thông tin.

(Người đánh giá về độ chính xác của thông tin là trọng tâm của đơn vị công việc tiếp theo).

...

15.5.1.4.2 Đơn vị công việc ACO_REL.1-2

Người đánh giá cần kiểm tra các thông tin tin cậy để xác định rằng nó phản ánh chính xác các mục tiêu quy định cho các môi trường vận hành của thành phần phụ thuộc.

Thông tin phụ thuộc bao gồm các mô tả về thành phần cơ sở của chức năng an toàn dựa trên thành phần phụ thuộc. Để đảm bảo rằng sự phụ thuộc thông tin nhất quán với sự mong đợi của các môi trường vận hành của các thành phần phụ thuộc, người đánh giá so sánh các thông tin tin cậy với các tuyên bố các mục tiêu cho các môi trường trong các ST cho người thành phần phụ thuộc.

Ví dụ, nếu phụ thuộc thông tin tuyên bố phụ thuộc vào TSF thành phần dựa vào các thành phần cơ sở để lưu trữ và bảo vệ dữ liệu kiểm tra, nhưng khác bằng chứng đánh giá (ví dụ như các thành phần phụ thuộc thiết kế) làm cho rõ các thành phần phụ thuộc TSF chính nó được lưu trữ và bảo vệ kiểm tra dữ liệu, này sẽ cho thấy một sự thiếu chính xác.

Cần lưu ý rằng các mục tiêu cho các môi trường vận hành có thể bao gồm các mục tiêu có thể được đáp ứng bằng các biện pháp phi công nghệ thông tin. Trong khi các dịch vụ mà thành phần cơ sở môi trường dự kiến sẽ cung cấp có thể được mô tả trong các mục tiêu công nghệ thông tin cho các môi trường vận hành trong các thành phần phụ thuộc ST, nó không phải là cần thiết trên môi trường được mô tả trong thông tin tin cậy.

TCVN 8709-3 (ISO/IEC 15408-3) ACO_REL.1.2C: Thông tin tin cậy cần mô tả tất cả các tương tác thông qua đó TSF của thành phần phụ thuộc yêu cầu dịch vụ từ thành phần cơ sở.

15.5.1.4.3 Đơn vị công việc ACO_REL.1-3

Người đánh giá cần kiểm tra các thông tin tin cậy để xác định rằng nó mô tả tất cả các tương tác giữa các thành phần phụ thuộc và các thành phần cơ sở, thông qua đó TSF thành phần phụ thuộc yêu cầu dịch vụ từ các thành phần cơ sở.

Các thành phần phụ thuộc TSF có thể yêu cầu dịch vụ của các thành phần cơ sở mà không phải là trong TSF của các thành phần cơ sở (xem B.3, tương tác giữa bao gồm các đơn vị công nghệ thông tin trong TCVN 8709-3 (ISO/IEC 15408-3)).

...

Các mục đích mô tả sự tương tác giữa các thành phần phụ thuộc và các thành phần cơ sở là cung cấp một sự hiểu biết về cách các phụ thuộc vào TSF thành phần dựa trên thành phần cơ sở cho cung cấp dịch vụ để hỗ trợ các hoạt động của các chức năng an toàn của thành phần phụ thuộc. Những tương tác không cần phải được đặc trưng tại các mức độ triển khai thực hiện (ví dụ như thông số thông qua từ một tuyến trong một thành phần để một tuyến trong thành phần khác), nhưng các phần tử dữ liệu xác định cho một thành phần cụ thể sẽ được sử dụng bởi một thành phần khác nên được bao gồm trong mô tả này. Các tuyên bố sẽ giúp người đọc hiểu chung lý do tại sao sự tương tác là cần thiết.

Độ chính xác và đầy đủ của các giao diện dựa trên chức năng an toàn mà các TSF yêu cầu để được được cung cấp bởi các thành phần cơ sở, như đánh giá trong đơn vị công việc ACO_REL.1-1 và ACO_REL.1-2. Nó nên được có thể ghép tất cả các chức năng được mô tả trong các đơn vị công việc trước đó với các giao diện được xác định trong công việc đơn vị này và ngược lại. Một giao diện không phù hợp để mô tả chức năng sẽ chỉ ra một bất cập.

TCVN 8709-3 (ISO/IEC 15408-3) ACO_REL.1.3C: Thông tin tin cậy cần mô tả cách thức TSF phụ thuộc tự bảo vệ trước sự can thiệp và giả mạo của thành phần cơ sở.

15.5.1.4.4 Đơn vị công việc ACO_REL.1-4

Người đánh giá cần kiểm tra sự phụ thuộc thông tin để xác định rằng nó mô tả cách những phụ thuộc vào TSF bảo vệ chính nó khỏi sự can thiệp và can thiệp bởi các thành phần cơ sở.

Các mô tả về cách các thành phần phụ thuộc bảo vệ khỏi sự can thiệp và can thiệp bởi các thành phần cơ sở được cung cấp tại cùng một mức độ chi tiết là cần thiết cho ADV_ARC.1-4.

15.5.2 Đánh giá hoạt động con (ACO_REL.2)

15.5.2.1 Mục tiêu

Các mục tiêu hoạt động con này là để xác định xem sự phụ thuộc bằng chứng của nhà phát triển cung cấp đủ thông tin để xác định rằng các chức năng cần thiết có sẵn trong các thành phần cơ sở và các ý nghĩa chức năng được gọi này được cung cấp trong các điều khoản của giao diện giữa các thành phần phụ thuộc và cơ sở và trở lại giá trị từ những giao diện được gọi là bởi sự thành phần phụ thuộc.

...

Các bằng chứng đánh giá cho hoạt động con này là:

a) ST kết hợp;

b) đặc điểm kỹ thuật chức năng thành phần phụ thuộc;

c) thiết kế thành phần phụ thuộc;

d) đại diện thực hiện thành phần phụ thuộc;

e) thiết kế kiến trúc thành phần phụ thuộc;

f) thông tin tin cậy.

15.5.2.3 Lưu ý áp dụng

...

TCVN 8709-3 (ISO/IEC 15408-3) ACO_REL.2.1C: Thông tin tin cậy cần mô tả chức năng của thành phần cơ sở như phần cứng, phần sụn và/hoặc phần mềm làm nền tảng cho TSF của thành phần phụ thuộc.

15.5.2.4.1 Đơn vị công việc ACO_REL.2-1

Người đánh giá thực hiện kiểm tra các thông tin tin cậy để xác định rằng nó mô tả các chức năng của cơ sở phụ thuộc vào phần cứng, phần sụn và/hoặc phần mềm được dựa vào các thành phần phụ thuộc TSF.

Người đánh giá đánh giá các mô tả về chức năng an toàn mà TSF thành phần phụ thuộc đòi hỏi phải được cung cấp bởi phần cứng, phần sụn và phần mềm của thành phần cơ sở. Các trọng tâm của đơn vị thành phần này là trên các mức độ chi tiết của mô tả này, chứ không phải trên một đánh giá chính xác của thông tin (Đánh giá về độ chính xác của thông tin là trọng tâm của đơn vị công việc tiếp theo.)

Việc mô tả chức năng của thành phần cơ sở không cần phải chi tiết hơn mức độ các mô tả một thành phần của TSF, như sẽ được cung cấp trong thiết kế TOE (thiết kế TOE (ADV_TDS)).

15.5.2.4.2 Đơn vị công việc ACO_REL.2-2

Thông tin phụ thuộc bao gồm các mô tả về thành phần cơ sở của chức năng an toàn dựa trên thành phần phụ thuộc. Để đảm bảo rằng sự phụ thuộc thông tin phù hợp với sự mong đợi của các môi trường vận hành của các thành phần phụ thuộc, người đánh giá so sánh các thông tin tin cậy với các tuyên bố các mục tiêu cho các môi trường trong các ST cho người thành phần phụ thuộc.

...

TCVN 8709-3 (ISO/IEC 15408-3) ACO_REL.1.2C: Thông tin phụ thuộc cần mô tả tất cả các tương tác thông qua đó các TSF thành phần phụ thuộc yêu cầu dịch vụ từ thành phần cơ sở.

15.5.2.4.3 Đơn vị công việc ACO_REL.2-3

Người đánh giá cần kiểm tra các thông tin tin cậy để xác định rằng nó mô tả tất cả các tương tác giữa các thành phần phụ thuộc và các thành phần cơ sở, thông qua đó người thành phần phụ thuộc TSF yêu cầu dịch vụ từ thành phần cơ sở.

Các thành phần phụ thuộc TSF có thể yêu cầu dịch vụ của các thành phần cơ sở mà không phải là trong TSF của các thành phần cơ sở (xem Phụ lục B.3, tương tác giữa bao gồm các đơn vị công nghệ thông tin trong TCVN 8709-3 (ISO/IEC 15408-3)).

Các giao diện cho các thành phần cơ sở của các chức năng được mô tả ở cùng mức độ như các mô tả về các giao diện cho người thành phần phụ thuộc TSF chức năng, như sẽ được cung cấp giữa các hệ thống con trong thiết kế TOE (đánh giá của hoạt động con (ADV_TDS.1)).

Các mục đích mô tả sự tương tác giữa các thành phần phụ thuộc và các thành phần cơ sở là cung cấp một hiểu biết về cách các phụ thuộc vào TSF thành phần dựa trên thành phần cơ sở cho cung cấp dịch vụ để hỗ trợ các hoạt động của các chức năng an toàn của thành phần phụ thuộc. Những tương tác này không cần phải được đặc trưng tại các mức độ triển khai thực hiện (ví dụ như thông số thông qua từ một tuyến trong một thành phần đến một tuyến trong thành phần khác), nhưng các phần tử dữ liệu xác định cho một thành phần cụ thể sẽ được sử dụng bởi một thành phần nên được bao gồm trong mô tả này. Các tuyên bố sẽ giúp người đọc hiểu trong chung lý do tại sao sự tương tác là cần thiết.

Độ chính xác và đầy đủ của các giao diện dựa trên chức năng an toàn mà các TSF yêu cầu để được được cung cấp bởi các thành phần cơ sở, như đánh giá trong đơn vị công việc ACO_REL.2-1 và ACO_REL.2-2. Nên ghép tất cả các chức năng được mô tả trong các đơn vị công việc trước đó với các giao diện được xác định trong đơn vị công việc này và ngược lại. Một giao diện không phù hợp để mô tả chức năng sẽ cũng chỉ ra một bất cập.

TCVN 8709-3 (ISO/IEC 15408-3) ACO_REL.2.3C: Thông tin tin cậy cần mô tả từng tương tác về giao diện sử dụng và trả lại giá trị từ những giao diện đó.

15.5.2.4.4 Đơn vị công việc ACO_REL.2-4

...

Cách xác định các giao diện được sử dụng bởi các thành phần phụ thuộc TSF khi thực hiện các yêu cầu dịch vụ thành phần cơ sở cho phép một tích hợp để xác định xem liệu các thành phần cơ sở cung cấp tất cả các cần thiết tương ứng với giao diện. Đây là sự hiểu biết đã đạt được hơn nữa thông qua các đặc điểm kỹ thuật của giá trị trả lại dự kiến của các thành phần phụ thuộc. Người đánh giá đảm bảo rằng giao diện được mô tả cho mỗi tương tác được chỉ định (như đã phân tích ở ACO_REL.2-3).

TCVN 8709-3 (ISO/IEC 15408-3) ACO_REL.2.4C: Thông tin phụ thuộc phải mô tả phụ thuộc vào TSF bảo vệ khỏi sự can thiệp của các thành phần cơ sở.

15.5.2.4.5 Đơn vị công việc ACO_REL.2-5

Người đánh giá cần kiểm tra các thông tin tin cậy để xác định rằng nó mô tả cách những phụ thuộc vào TSF bảo vệ khỏi sự can thiệp bởi các thành phần cơ sở.

Các mô tả về cách các thành phần phụ thuộc bảo vệ khỏi sự can thiệp bởi các thành phần cơ sở được cung cấp tại cùng một mức độ chi tiết là cần thiết cho ADV_ARC.1-4.

15.6 Kiểm tra TOE tích hợp (ACO_CTT)

15.6.1 Đánh giá hoạt động con (ACO_CTT.1)

15.6.1.1 Mục tiêu

Các mục tiêu hoạt động con này là để xác định liệu nhà phát triển thực hiện một cách chính xác và ghi chép kiểm thử đối với từng thành phần cơ sở giao diện mà các thành phần phụ thuộc. Là một phần của quyết định này, người đánh giá lặp đi lặp lại một mẫu của các kiểm thử được thực hiện bởi nhà phát triển và thực hiện bất kỳ kiểm tra bổ sung cần thiết để đảm bảo các đáp ứng mong đợi của tất cả TOE tổng hợp SFR và giao diện của thành phần cơ sở dựa trên các thành phần phụ thuộc được thể hiện.

...

Các bằng chứng đánh giá cho hoạt động con này là:

a) TOE tổng hợp phù hợp cho kiểm tra;

b) TOE tổng hợp bằng chứng kiểm tra;

c) thông tin tin cậy;

d) thông tin phát triển.

15.6.1.3 Hành động ACO_CTT.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ACO_CTT.1.1C: Tài liệu kiểm thử cho TOE tổng hợp và giao diện thành phần cơ sở cần bao gồm kế hoạch kiểm thử, kết quả kiểm thử dự kiến kết quả kiểm thử thực tế.

15.6.1.3.1 Đơn vị công việc ACO_CTT.1-1

Người đánh giá cần kiểm tra tài liệu kiểm thử TOE tổng hợp để xác định rằng nó bao gồm các kế hoạch kiểm thử, kết quả kiểm thử dự kiến và thực tế kết quả kiểm thử.

...

Tất cả các công việc cần thiết cho sự thỏa mãn của ATE_FUN.1.1E sẽ được áp dụng để xác định:

a) các tài liệu kiểm thử bao gồm các kế hoạch kiểm thử, kết quả kiểm thử và thực tế kết quả kiểm thử;

b) các tài liệu kiểm thử chứa các thông tin cần thiết để đảm bảo các kiểm thử được lặp lại;

c) mức độ phát triển đó đã được áp dụng để kiểm tra các thành phần cơ sở.

15.6.1.3.2 Đơn vị công việc ACO_CTT.1-2

Người đánh giá cần kiểm tra các thành phần cơ sở giao diện tài liệu hướng dẫn kiểm tra để xác định rằng nó bao gồm kế hoạch kiểm thử, kết quả kiểm thử dự kiến và thực tế kết quả kiểm thử.

Đơn vị công việc có thể được thỏa mãn bằng việc cung cấp các bằng chứng kiểm tra từ việc đánh giá của các thành phần cơ sở cho những giao diện dựa vào trong TOE tổng hợp của thành phần phụ thuộc là các TSFI của đánh giá thành công thành phần cơ sở. Việc xác định liệu các giao diện của thành phần cơ sở dựa vào các thành phần phụ thuộc là trong thực tế các TSFI của đánh giá thành phần cơ sở được thực hiện trong quá trình hoạt động ACO_COR.

Tất cả các công việc cần thiết cho sự thỏa mãn của ATE_FUN.1.1E sẽ được áp dụng để xác định:

a) các tài liệu kiểm thử bao gồm các kế hoạch kiểm thử, kết quả kiểm thử và thực tế kết quả kiểm thử;

...

c) mức độ phát triển đó đã được áp dụng để kiểm tra các thành phần cơ sở.

TCVN 8709-3 (ISO/IEC 15408-3) ACO_CTT.1.2C: Tài liệu kiểm thử có được từ việc nhà phát triển thực hiện kiểm thử TOE tổng hợp cần chứng tỏ rằng TSF tuân thủ theo quy định.

15.6.1.3.3 Đơn vị công việc ACO_CTT.1-3

Người đánh giá cần xem xét tài liệu kiểm thử để xác định rằng việc thực hiện phát triển của TOE tổng hợp kiểm tra phải chứng minh rằng TSF hoạt động như quy định.

Người đánh giá nên xây dựng một ánh xạ giữa các kiểm thử được mô tả trong kế hoạch kiểm thử và SFR quy định cho TOE tổng hợp để xác định SFR đó đã được kiểm tra bởi nhà phát triển.

Hướng dẫn về đơn vị công việc này có thể được tìm thấy trong:

a) khoản 13.2.1,

b) khoản 13.2.2.

Các kết quả từ việc thực hiện thành công các kiểm thử là đánh giá cho ATE_FUN.1.3C có thể được so sánh với với ánh xạ để xác định rằng các SFR của TOE tổng hợp, như kiểm tra bởi nhà phát triển, hoạt động như mong đợi.

...

15.6.1.3.4 Đơn vị công việc ACO_CTT.1-4

Người đánh giá cần xem xét tài liệu kiểm thử để xác định rằng nhà phát triển thực hiện của thành phần cơ sở giao diện kiểm tra sẽ chứng minh rằng cơ sở giao diện thành phần dựa vào các thành phần phụ thuộc đáp ứng như quy định.

Người đánh giá nên xây dựng một ánh xạ giữa các kiểm thử được mô tả trong các kiểm thử kế hoạch và các giao diện của các thành phần cơ sở dựa trên các thành phần phụ thuộc (như quy định tại các sự phụ thuộc thông tin, kiểm tra dưới ACO_REL) để xác định mà thành phần cơ sở giao diện đã được kiểm tra bởi nhà phát triển.

Hướng dẫn về đơn vị công việc này có thể được tìm thấy trong:

a) khoản 13.2.1,

b) khoản 13.2.2.

Các kết quả từ việc thực hiện thành công các kiểm thử là đánh giá cho ATE_FUN.1.3C có thể được so sánh với với các ánh xạ để xác định các giao diện của các thành phần cơ sở, như kiểm tra bởi nhà phát triển, ứng xử như mong muốn.

TCVN 8709-3 (ISO/IEC 15408-3) ACO_CTT.1.4C: Thành phần cơ sở cần thích hợp cho kiểm thử.

15.6.1.3.5 Đơn vị công việc ACO_CTT.1-5

...

Để xác định rằng sự TOE tổng hợp đã được cài đặt đúng cách và đang trong trạng thái đã biết các ATE_IND.2-1 và đơn vị công việc ATE_IND.2-2 sẽ được áp dụng cho TOE được cung cấp bởi nhà phát triển để kiểm tra.

15.6.1.3.6 Đơn vị công việc ACO_CTT.1-6

Người đánh giá cần kiểm tra các thiết lập của các nguồn tài nguyên được cung cấp bởi nhà phát triển để xác định rằng chúng tương đương với tập hợp các nguồn lực được sử dụng bởi các cơ sở phát triển thành phần chức năng để kiểm tra các thành phần cơ sở.

Để xác định rằng tập hợp các nguồn cung cấp tương đương với những người sử dụng với chức năng kiểm tra các thành phần cơ sở được sử dụng trong TOE tổng hợp, đơn vị công việc ATE_IND.2-3 sẽ được áp dụng.

15.6.1.4 Hành động ACO_CTT.1.2E

15.6.1.4.1 Đơn vị công việc ACO_CTT.1-7

Người đánh giá thực hiện kiểm tra theo ATE_IND.2.2E, cho một tập hợp con của các SFR quy định trong đích an toàn kết hợp, để xác minh nhà phát triển kết quả kiểm thử.

Người đánh giá cần áp dụng tất cả các đơn vị công việc cần thiết cho sự thỏa mãn của ATE_IND.2.2E, báo cáo trong các ETR cho TOE tổng hợp tất cả phân tích, kết quả và phán quyết sau khi ra trường của các đơn vị liên quan làm việc.

15.6.1.5 Hành động ACO_CTT.1.3E

...

Người đánh giá thực hiện kiểm tra theo ATE_IND.2.3E, cho một tập hợp con của các SFR quy định trong đích an toàn kết hợp, để xác nhận rằng TSF hoạt động theo quy định.

Người đánh giá cần áp dụng tất cả các đơn vị công việc cần thiết cho sự thỏa mãn của ATE_IND.2.3E, báo cáo trong các ETR cho TOE tổng hợp tất cả phân tích, kết quả và phán quyết của các đơn vị công việc.

Khi lựa chọn giao diện TSF của TOE tổng hợp để kiểm tra, người đánh giá nên đưa vào tài khoản bất kỳ sửa đổi các thành phần từ phiên bản hoặc cấu hình đánh giá. Sửa đổi các thành phần từ đó đánh giá có thể bao gồm các bản vá lỗi được giới thiệu, một cấu hình khác nhau là kết quả của hướng dẫn sửa đổi tài liệu hướng dẫn, phụ thuộc một phần bổ sung của các thành phần không phải là trong TSF thành phần.

Những sửa đổi sẽ được xác định trong phần lý do (ACO_COR) hoạt động.

15.6.2 Đánh giá hoạt động con (ACO_CTT.2)

15.6.2.1 Mục tiêu

Các mục tiêu hoạt động con này là để xác định liệu nhà phát triển thực hiện một cách chính xác tài liệu kiểm thử đối với từng thành phần cơ sở giao diện mà các thành phần phụ thuộc phụ thuộc. Một phần của việc này quyết tâm đánh giá lặp đi lặp lại một mẫu của các kiểm thử được thực hiện bởi nhà phát triển và thực hiện bất kỳ thêm các kiểm thử cần thiết để hoàn toàn chứng minh các đáp ứng mong đợi của TOE tổng hợp và các giao diện của các thành phần cơ sở dựa trên bằng các thành phần phụ thuộc.

15.6.2.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

...

b) TOE tổng hợp bằng chứng kiểm tra;

c) thông tin tin cậy;

d) thông tin phát triển.

15.6.2.3 Hành động ACO_CTT.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) ACO_CTT.2.1C: Tài liệu kiểm thử cho TOE tổng hợp và giao diện thành phần cơ sở cần bao gồm kế hoạch kiểm thử, kết quả kiểm thử dự kiến kết quả kiểm thử thực tế.

15.6.2.3.1 Đơn vị công việc ACO_CTT.2-1

Người đánh giá cần kiểm tra tài liệu kiểm thử cho TOE tổng hợp để xác định rằng nó bao gồm các kế hoạch kiểm thử, kết quả kiểm thử dự kiến và thực tế kết quả kiểm thử.

Đơn vị công việc này có thể được thỏa mãn bằng việc cung cấp các bằng chứng kiểm tra từ việc đánh giá thành phần phụ thuộc nếu các thành phần cơ sở được sử dụng để đáp ứng các yêu cầu cho công nghệ thông tin trong môi trường vận hành của thành phần phụ thuộc.

Tất cả các công việc cần thiết cho sự thỏa mãn của ATE_FUN.1.1E sẽ được áp dụng để xác định:

...

b) các tài liệu kiểm thử chứa các thông tin cần thiết để đảm bảo các kiểm thử được lặp lại;

c) mức độ phát triển đó đã được áp dụng để kiểm tra các thành phần cơ sở.

15.6.2.3.2 Đơn vị công việc ACO_CTT.2-2

Người đánh giá cần kiểm tra tài liệu kiểm thử cho giao diện thành phần cơ sở để xác định rằng nó bao gồm kế hoạch kiểm thử, kết quả kiểm thử dự kiến và thực tế kết quả kiểm thử.

Đơn vị công việc này có thể được thỏa mãn bằng việc cung cấp các bằng chứng kiểm tra từ việc đánh giá của các thành phần cơ sở cho những giao diện dựa vào TOE tổng hợp của thành phần phụ thuộc là các TSFI của đánh giá thành công thành phần cơ sở. Việc xác định liệu các giao diện của thành phần cơ sở dựa vào các thành phần phụ thuộc là các TSFI của đánh giá thành phần cơ sở được thực hiện trong quá trình hoạt động ACO_COR.

Tất cả các công việc cần thiết cho sự thỏa mãn của ATE_FUN.1.1E sẽ được áp dụng để xác định:

a) các tài liệu kiểm thử bao gồm các kế hoạch kiểm thử, kết quả kiểm thử và thực tế kết quả kiểm thử;

b) các tài liệu kiểm thử chứa các thông tin cần thiết để đảm bảo các kiểm thử được lặp lại;

c) mức độ phát triển đó đã được áp dụng để kiểm tra các thành phần cơ sở.

...

15.6.2.3.3 Đơn vị công việc ACO_CTT.2-3

Người đánh giá cần kiểm tra tài liệu kiểm thử để xác định chính xác mà nó cung cấp tương ứng giữa các kiểm thử trong bài tài liệu kiểm thử liên quan đến các kiểm thử của TOE tổng hợp và TOE tổng hợp SFR trong đích an toàn TOE tổng hợp.

Một bảng tham chiếu chéo đơn giản có thể đủ để hiển thị kiểm tra tương ứng. Việc xác định các kiểm thử và đáp ứng / tương tác thể hiện trong chiều sâu của phân tích phạm vi phải được rõ ràng.

15.6.2.3.4 Đơn vị công việc ACO_CTT.2-4

Người đánh giá cần xem xét tài liệu kiểm thử để xác định rằng nhà phát triển thực hiện của TOE tổng hợp kiểm tra phải chứng minh rằng TSF hoạt động như quy định.

Hướng dẫn về đơn vị công việc này có thể được tìm thấy trong:

a) khoản 13.2.1,

b) khoản 13.2.2.

...

15.6.2.3.5 Đơn vị công việc ACO_CTT.2-5

Người đánh giá cần kiểm tra tài liệu kiểm thử để xác định rằng nó cung cấp sự tương ứng chính xác giữa các kiểm thử trong bài tài liệu kiểm thử liên quan đến các kiểm thử của TOE tổng hợp và TOE tổng hợp SFR trong các mục tiêu an toàn TOE tổng hợp.

15.6.2.3.6 Đơn vị công việc ACO_CTT.2-6

Người đánh giá cần xem xét tài liệu kiểm thử để xác định rằng sự thực hiện của nhà phát triển đối với các kiểm thử TOE tổng hợp phải chứng minh rằng các giao diện của thành phần cơ sở dựa trên thành phần phụ thuộc hoạt động như quy định.

Hướng dẫn về đơn vị công việc này có thể được tìm thấy trong:

a) khoản 13.2.1,

b) khoản 13.2.2.

...

15.6.2.3.7 Đơn vị công việc ACO_CTT.2-7

Người đánh giá cần kiểm tra TOE tổng hợp để xác định rằng nó đã được cài đặt đúng cách và ở trong trạng thái xác định.

Để xác định rằng sự kết hợp TOE đã được cài đặt đúng cách và đang trong trạng thái đã biết các ATE_IND.2-1 và đơn vị công việc ATE_IND.2-2 sẽ được áp dụng cho TOE được cung cấp bởi nhà phát triển để kiểm tra.

15.6.2.3.8 Đơn vị công việc ACO_CTT.2-8

Người đánh giá cần kiểm tra tập nguồn tài nguyên được cung cấp bởi nhà phát triển để xác định rằng chúng tương đương với tập hợp các nguồn lực được sử dụng bởi các cơ sở phát triển thành phần chức năng để kiểm tra các thành phần cơ sở.

15.6.2.4 Hành động ACO_CTT.2.2E

15.6.2.4.1 Đơn vị công việc ACO_CTT.2-9

Các kiểm thử này để được lựa chọn và thực hiện theo ATE_IND.2.2E, để chứng minh chính xác đáp ứng của các SFR quy định tại đích an toàn TOE tổng hợp.

...

15.6.2.5 Hành động ACO_CTT.2.3E

15.6.2.5.1 Đơn vị công việc ACO_CTT.2-10

Người đánh giá cần áp dụng tất cả các đơn vị công việc cần thiết để thỏa mãn ATE_IND.2.3E, báo cáo trong ETR cho TOE tổng hợp tất cả phân tích, kết quả và phán quyết của các đơn vị công việc.

Khi lựa chọn giao diện TSF của TOE tổng hợp để kiểm tra, thẩm định nên đưa vào tài khoản bất kỳ sửa đổi các thành phần từ phiên bản hoặc cấu hình đánh giá. Sửa đổi các thành phần từ đó đánh giá có thể bao gồm các bản vá lỗi được giới thiệu, một cấu hình khác nhau là kết quả của hướng dẫn sửa đổi tài liệu hướng dẫn, phụ thuộc một phần bổ sung của các thành phần không phải là trong TSF thành phần.

Những sửa đổi sẽ được xác định trong phần lý do (ACO_COR) hoạt động.

15.6.2.5.2 Đơn vị công việc ACO_CTT.2-11

Người đánh giá thực hiện kiểm tra, theo như đánh giá của hoạt động con (ATE_IND.2), cho một tập hợp con của các giao diện cho các thành phần cơ sở để khẳng định họ hoạt động như quy định.

...

15.7 Phân tích thành phần điểm yếu (ACO_VUL)

15.7.1 Đánh giá hoạt động con (ACO_VUL.1)

15.7.1.1 Mục tiêu

Các mục tiêu hoạt động con này là để xác định xem TOE tổng hợp, trong môi trường vận hành của nó, có các điểm yếu dễ dàng khai thác không.

Nhà phát triển cung cấp các chi tiết của bất kỳ điểm yếu còn tồn tại được báo cáo từ đánh giá của các thành phần. Người đánh giá thực hiện một phân tích về bố trí, các điểm yếu còn tồn tại được báo cáo và cũng thực hiện một tìm kiếm các lĩnh vực chung, để xác định bất kỳ mới điểm yếu tiềm ẩn trong các thành phần (tức là những vấn đề đã được báo cáo trong miền chung từ đánh giá của các thành phần cơ sở). Người đánh giá sau đó thực hiện kiểm thử thâm nhập để chứng minh rằng các Điểm yếu tiềm ẩn không thể được khai thác trong TOE, trong môi trường vận hành của nó, bởi một kẻ tấn công với khả năng tấn công cơ bản.

15.7.1.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) TOE tổng hợp phù hợp cho kiểm tra;

b) ST kết hợp;

...

d) tài liệu hướng dẫn;

e) thông tin công khai sẵn sàng hỗ trợ việc xác định các điểm yếu bảo mật có thể;

f) các điểm yếu còn tồn tại báo cáo trong quá trình đánh giá của từng thành phần.

15.7.1.3 Lưu ý áp dụng

Xem lưu ý áp dụng cho đánh giá của hoạt động con (AVA_VAN.1).

15.7.1.4 Hành động ACO_VUL.1.1E

TCVN 8709-3 (ISO/IEC 15408-3) ACO_VUL.1.1C: TOE tổng hợp cần thích hợp cho kiểm thử.

15.7.1.4.1 Đơn vị công việc ACO_VUL.1-1

Người đánh giá cần kiểm tra TOE tổng hợp để xác định rằng nó đã được cài đặt đúng cách và ở trong trạng thái xác định.

...

Nếu gói bảo đảm bao gồm một thành phần của họ ACO_CTT, thì người đánh giá có thể tham khảo để kết quả của các đơn vị công việc ACO_CTT * -1 để chứng minh điều này đã được thỏa mãn.

15.7.1.4.2 Đơn vị công việc ACO_VUL.1-2

Người đánh giá cần kiểm tra TOE tổng hợp cấu hình để xác định rằng bất kỳ giả định và mục tiêu trong các ST các thành phần liên quan đến công nghệ thông tin cho các đơn vị được thực hiện bởi các thành phần khác.

Các ST cho các thành phần có thể bao gồm các giả định về các thành phần khác có thể sử dụng các thành phần ST liên quan, ví dụ như ST cho một hệ điều hành được sử dụng như một thành phần cơ sở có thể bao gồm giả định rằng bất kỳ ứng dụng được tải về các hệ điều hành không chạy trong đặc quyền chế độ. Những giả định và mục tiêu là để được thực hiện bởi các thành phần khác trong TOE tổng hợp.

15.7.1.5 Hành động ACO_VUL.1.2E

15.7.1.5.1 Đơn vị công việc ACO_VUL.1-3

Người đánh giá cần kiểm tra các điểm yếu còn tồn tại từ việc đánh giá thành phần cơ sở để xác định rằng chúng không thể được khai thác trong TOE tổng hợp trong môi trường vận hành của nó.

Các danh sách các điểm yếu được xác định trong sản phẩm trong quá trình đánh giá của các thành phần cơ sở, đó là chứng minh là không thể khai thác được trong thành phần cơ sở, là để được sử dụng như một đầu vào cho hoạt động này. Người đánh giá cần xác định rằng các tiền đề trên đó một lỗ hổng đã được xem là không thể khai thác được duy trì trong TOE tổng hợp hoặc cho dù đã kết hợp lại giới thiệu điểm yếu tiềm ẩn. Ví dụ, nếu trong quá trình đánh giá của các thành phần cơ sở nó được giả định rằng một điều hành hệ đặc biệt dịch vụ đã được vô hiệu hóa, mà được cho phép trong TOE tổng hợp đánh giá, bất kỳ điểm yếu tiềm ẩn liên quan cho dịch vụ mà trước đây bây giờ sẽ được xem xét.

Ngoài ra, danh sách các điểm yếu không thể khai thác, đã biết này có được từ đánh giá thành phần cơ sở cũng cần được xem xét khi quyết định mọi điểm yếu không thể khai thác, đã biết các cho các thành phần khác (ví dụ: thành phần phụ thuộc) trong TOE tổng hợp. Điều này là để xem xét trường hợp một điểm yếu tiềm ẩn nào đó là không thể khai thác được khi bị cô lập nhưng lại có thể khai thác khi tích hợp với một IT thực thể có chứa một điểm yếu tiềm ẩn.

...

Người đánh giá cần kiểm tra các điểm yếu còn tồn tại các thành phần phụ thuộc vào đánh giá xác định rằng họ không thể khai thác trong TOE tổng hợp trong môi trường vận hành của nó.

Các danh sách các điểm yếu được xác định trong sản phẩm trong quá trình đánh giá của các thành phần phụ thuộc, mà đã được chứng minh là không thể được khai thác trong thành phần phụ thuộc, sẽ được sử dụng như một đầu vào hoạt động này. Người đánh giá cần xác định rằng các tiền đề mà trên đó một lỗ hỗng đã được xem là không khai thác được duy trì trong TOE tổng hợp, hay sự kết hợp đã tái giới thiệu điểm yếu tiềm ẩn. Ví dụ, nếu trong quá trình đánh giá thành phần phụ thuộc có giả định rằng sản phẩm công nghệ thông tin đáp ứng các yêu cầu về môi trường vận hành sẽ không trả về một giá trị nhất định khi đáp ứng một yêu cầu dịch vụ, được đưa ra bởi thành phần cơ sở trong đánh giá TOE tổng hợp, bất kỳ điểm yếu tiềm ẩn liên quan đến giá trị trả về đó trong phạm vi trước đó nay phải được xem xét.

Ngoài ra, danh sách các điểm yếu có thể khai thác, đã biết này có được từ việc đánh giá thành phần cơ sở cũng cần được xem xét khi quyết định mọi điểm yếu không thể khai thác, đã biết cho các thành phần khác (ví dụ: thành phần phụ thuộc) trong TOE tổng hợp. Điều này là để xem xét trường hợp một điểm yếu tiềm ẩn nào đó là không thể khai thác được khi bị cô lập nhưng lại có thể khai thác khi tích hợp với một IT thực thể có chứa một điểm yếu tiềm ẩn.

15.7.1.6 Hành động ACO_VUL.1.3E

15.7.1.6.1 Đơn vị công việc ACO_VUL.1-5

Người đánh giá cần kiểm tra các nguồn thông tin công khai sẵn sàng hỗ trợ việc xác định các điểm yếu bảo mật có thể trong thành phần cơ sở đã trở nên rõ ràng kể từ khi hoàn thành đánh giá của các thành phần cơ sở.

Người đánh giá cần sử dụng thông tin trong lĩnh vực chung như mô tả trong AVA_VAN.1-2 để tìm kiếm các điểm yếu trong thành phần cơ sở.

Những điểm yếu tiềm ẩn đó là công khai có sẵn trước khi người đánh giá các thành phần cơ sở không phải để được điều tra thêm trừ khi nó là rõ ràng cho người đánh giá rằng khả năng tấn công theo yêu cầu của một kẻ tấn công khai thác điểm yếu tiềm ẩn đã được giảm đáng kể. Điều này có thể được thông qua giới thiệu một số công nghệ mới từ các thành phần cơ sở đánh giá đó có nghĩa là việc khai thác điểm yếu tiềm ẩn đã được đơn giản hóa.

15.7.1.6.2 Đơn vị công việc ACO_VUL.1-6

...

Người đánh giá cần sử dụng thông tin trong lĩnh vực chung như mô tả trong AVA_VAN.1-2 để tìm kiếm các điểm yếu trong thành phần phụ thuộc.

Những điểm yếu tiềm ẩn đã được công khai trước đánh giá các thành phần phụ thuộc thì không phải được tiếp tục điều tra, trừ khi người đánh giá thấy rõ rằng khả năng tấn công theo yêu cầu của một kẻ tấn công để khai thác các điểm yếu tiềm ẩn đã được giảm đáng kể. Điều này có thể được thông qua các giới thiệu một số công nghệ mới kể từ khi đánh giá các thành phần phụ thuộc mà có nghĩa là việc khai thác các điểm yếu tiềm ẩn đã được đơn giản hóa.

15.7.1.6.3 Đơn vị công việc ACO_VUL.1-7

Người đánh giá cần ghi nhận vào ETR các điểm yếu bảo mật tiềm ẩn đã được xác định mà ứng viên cho kiểm tra và áp dụng cho TOE tổng hợp trong môi trường vận hành của nó.

ST, tài liệu hướng dẫn và đặc điểm kỹ thuật chức năng được sử dụng để xác định liệu các điểm yếu là có liên quan đến TOE tổng hợp trong môi trường vận hành của nó.

Người đánh giá ghi lại lý do bất kỳ để loại trừ các lỗ hổng không cần xem xét thêm nếu đánh giá xác định rằng lỗ hổng không áp dụng trong các môi trường vận hành. Ngược lại thì người đánh giá ghi lại điểm yếu tiềm ẩn để xem xét thêm.

Một danh sách các điểm yếu tiềm ẩn áp dụng cho TOE tổng hợp trong môi trường vận hành, trong đó có thể sử dụng như một đầu vào vào các hoạt động kiểm thử thâm nhập (tức là ACO_VUL.1.4E), được báo cáo trong các ETR đánh giá.

15.7.1.7 Hành động ACO_VUL.1.4E

15.7.1.7.1 Đơn vị công việc ACO_VUL.1-8

...

Người đánh giá cần áp dụng tất cả các đơn vị công việc cần thiết cho sự thỏa mãn của hành động của người đánh giá AVA_VAN.1.3E, báo cáo trong các ETR cho TOE tổng hợp tất cả phân tích và phán quyết của các đơn vị công việc.

Người đánh giá cũng sẽ áp dụng các đơn vị công việc cho hành động đánh giá AVA_VAN.1.1E để xác định rằng TOE bao gồm được cung cấp bởi nhà phát triển phù hợp cho kiểm tra.

15.7.2 Đánh giá hoạt động con (ACO_VUL.2)

15.7.2.1 Mục tiêu

Các mục tiêu hoạt động con này là để xác định xem TOE tổng hợp, trong môi trường vận hành của nó, có các điểm yếu có thể bị khai thác bởi những kẻ tấn công sở hữu khả năng tấn công cơ bản không.

Nhà phát triển cung cấp một phân tích về bố trí của mọi điểm yếu còn tồn tại đã được báo cáo đối với các thành phần và của mọi điểm yếu đã được bộc lộ thông qua sự kết hợp của các thành phần cơ sở phụ thuộc. Người đánh giá thực hiện một tìm kiếm của lĩnh vực chung để xác định mọi điểm yếu tiềm ẩn mới trong các thành phần (tức là những vấn đề đã được báo cáo trong các lĩnh vực chung kể từ khi hoàn thành của đánh giá của các thành phần). Người đánh giá còn cần thực hiện một phân tích điểm yếu độc lập cho TOE tổng hợp và kiểm thử thâm nhập.

15.7.2.2 Đầu vào

Các bằng chứng đánh giá cho hoạt động con này là:

a) TOE tổng hợp phù hợp cho kiểm tra;

...

c) sở cứ tổng hợp;

d) thông tin tin cậy;

e) tài liệu hướng dẫn;

f) thông tin công khai sẵn sàng hỗ trợ các xác định các điểm yếu bảo mật có thể;

g) các điểm yếu còn tồn tại đã được báo cáo trong quá trình đánh giá của từng thành phần.

15.7.2.3 Lưu ý áp dụng

Xem lưu ý áp dụng cho đánh giá của hoạt động con (AVA_VAN.2).

15.7.2.4 Hành động ACO_VUL.2.1E

TCVN 8709-3 (ISO/IEC 15408-3) ACO_VUL.2.1C: TOE tổng hợp cần thích hợp cho kiểm thử.

...

Người đánh giá cần kiểm tra TOE tổng hợp để xác định rằng nó đã được cài đặt đúng cách và ở trong trạng thái xác định.

Để xác định rằng sự kết hợp TOE đã được cài đặt đúng cách và đang trong trạng thái đã biết các ATE_IND.2-1 và đơn vị công việc ATE_IND.2-2 sẽ được áp dụng cho TOE tổng hợp.

Nếu bảo đảm bao gồm ACO_CTT, sau đó là đánh giá có thể tham khảo các kết quả của các đơn vị công việc TOE tổng hợp kiểm tra (ACO_CTT) * - 1 để chứng minh điều này đã được thỏa mãn.

15.7.2.4.2 Đơn vị công việc ACO_VUL.2-2

Người đánh giá cần kiểm tra TOE tổng hợp cấu hình để xác định rằng bất kỳ giả định và mục tiêu trong các ST các thành phần liên quan đến các tổ chức công nghệ thông tin để được đáp ứng bởi các thành phần khác.

Các ST cho các thành phần có thể bao gồm các giả định về các thành phần khác có thể sử dụng các thành phần để đó là ST liên quan, ví dụ như ST cho một hệ điều hành được sử dụng như một thành phần cơ sở có thể bao gồm giả định rằng bất kỳ ứng dụng được tải về các hệ điều hành không chạy trong chế độ đặc quyền. Những giả định và mục tiêu là để được thực hiện bởi các thành phần trong TOE tổng hợp.

15.7.2.5 Hành động ACO_VUL.2.2E

15.7.2.5.1 Đơn vị công việc ACO_VUL.2-3

Người đánh giá cần kiểm tra các điểm yếu còn tồn tại từ việc đánh giá các thành phần cơ sở để xác định rằng chúng không thể khai thác trong TOE tổng hợp trong môi trường vận hành của nó.

...

Ngoài ra, danh sách các khai thác điểm yếu không thể khai thác, đã biết có được từ việc đánh giá các thành phần cơ sở cần được xem xét để quyết định các điểm yếu không thể khai thác, đã biết cho thành phần khác (ví dụ: thành phần phụ thuộc) trong TOE tổng hợp. Điều này là để xem xét trường hợp một điểm yếu tiềm ẩn nào đó là không thể khai thác khi bị cô lập nhưng lại có thể khai thác khi tích hợp với một IT thực thể có chứa một điểm yếu tiềm ẩn.

15.7.2.5.2 Đơn vị công việc ACO_VUL.2-4

Người đánh giá cần kiểm tra các điểm yếu còn tồn tại từ việc đánh giá các thành phần phụ thuộc để xác định rằng chúng không thể khai thác trong TOE tổng hợp trong môi trường vận hành của nó.

Các danh sách các điểm yếu được xác định trong sản phẩm trong quá trình đánh giá của các thành phần phụ thuộc, đã được chứng minh là không thể khai thác được trong thành phần phụ thuộc, là để được sử dụng như một đầu vào này hoạt động. Người đánh giá cần xác định rằng các tiền đề mà trên đó một điểm yếu đã được xem là không khai thác được duy trì trong TOE tổng hợp, hay các kết hợp đã tái giới thiệu điểm yếu tiềm ẩn. Ví dụ, nếu trong quá trình đánh giá của thành phần phụ thuộc nó được giả định rằng công nghệ thông tin đáp các môi trường vận hành yêu cầu sẽ không trả về một giá trị nhất định trong phản ứng với một yêu cầu dịch vụ, được cung cấp bởi các thành phần cơ sở trong TOE tổng hợp đánh giá, bất kỳ điểm yếu tiềm ẩn liên quan đến mà trở lại giá trị trước đó bây giờ sẽ được xem xét.

15.7.2.6 Hành động ACO_VUL.2.3E

15.7.2.6.1 Đơn vị công việc ACO_VUL.2-5

Người đánh giá cần sử dụng thông tin trong lĩnh vực chung như mô tả trong AVA_VAN.2-2 để tìm kiếm các điểm yếu trong thành phần cơ sở.

...

15.7.2.6.2 Đơn vị công việc ACO_VUL.2-6

Người đánh giá cần kiểm tra các nguồn thông tin công khai sẵn sàng hỗ trợ việc xác định các điểm yếu bảo mật có thể trong thành phần phụ thuộc đã trở nên rõ ràng kể từ khi hoàn thành đánh giá của các thành phần cơ sở.

Người đánh giá cần sử dụng thông tin trong lĩnh vực chung như mô tả trong AVA_VAN.2-2 để tìm kiếm các điểm yếu trong thành phần phụ thuộc.

kiếm các điểm yếu trong thành phần cơ sở.

Những điểm yếu tiềm ẩn đã được công khai trước khi thực hiện đánh giá thành phần cơ sở thì không cần được điều tra thêm trừ khi người đánh giá thấy rõ rằng khả năng tấn công theo yêu cầu của một kẻ tấn công khai thác điểm yếu tiềm ẩn đã được giảm đáng kể. Điều này có thể được thông qua giới thiệu một số mới công nghệ từ các thành phần cơ sở đánh giá đó có nghĩa là việc khai thác điểm yếu tiềm ẩn đã được đơn giản hóa.

15.7.2.6.3 Đơn vị công việc ACO_VUL.2-7

Người đánh giá cần ghi nhận vào ETR các điểm yếu bảo mật tiềm ẩn đã được xác định mà là ứng viên cho kiểm tra và áp dụng cho TOE tổng hợp trong môi trường vận hành của nó.

ST, tài liệu hướng dẫn và đặc điểm kỹ thuật chức năng được sử dụng để xác định liệu các điểm yếu là có liên quan đến TOE tổng hợp trong hoạt động của nó môi trường.

Người đánh giá ghi lại lý do bất kỳ để loại trừ các điểm yếu không cần xem xét thêm nếu đánh giá xác định rằng điểm yếu không phải là áp dụng trong môi trường vận hành. Nếu người đánh giá ghi lại các điểm yếu tiềm ẩn để biết thêm xem xét.

...

15.7.2.7 Hành động ACO_VUL.2.4E

15.7.2.7.1 Đơn vị công việc ACO_VUL.2-8

Người đánh giá cần tiến hành tìm kiếm của TOE tổng hợp ST, tài liệu hướng dẫn, thông tin phụ thuộc và phần lý do để xác định các điểm yếu bảo mật có thể trong TOE tổng hợp.

Việc xem xét các thành phần của TOE tổng hợp trong phân tích điểm yếu của người đánh giá độc lập sẽ có một chút hình thức khác nhau với tài liệu trong AVA_VAN.2.3E cho một thành phần đánh giá, vì nó sẽ không nhất thiết phải xem xét tất cả các lớp của thiết kế trừu tượng có liên quan đến các gói đảm bảo. Những sẽ đã được xem xét trong đánh giá của các thành phần, nhưng các bằng chứng có thể không được có sẵn cho TOE tổng hợp đánh giá. Tuy nhiên, cách tiếp cận chung được mô tả trong các đơn vị công việc kết hợp với AVA_VAN.2.3E có thể áp dụng và cần hình thành cơ sở tìm kiếm của Người đánh giá về điểm yếu tiềm ẩn trong TOE tổng hợp.

Phân tích điểm yếu của các thành phần riêng biệt được sử dụng trong TOE tổng hợp sẽ đã được thực hiện trong quá trình đánh giá của các thành phần cá nhân. Trọng tâm của phân tích điểm yếu trong bao gồm TOE đánh giá là để xác định bất kỳ điểm yếu được giới thiệu như là một kết quả của sự hội nhập của thành phần hoặc do để bất kỳ thay đổi trong các sử dụng của các thành phần giữa Người đánh giá thành phần cấu hình để TOE tổng hợp cấu hình.

Người đánh giá cần sử dụng những hiểu biết về xây dựng các thành phần như chi tiết trong các sự phụ thuộc thông tin cho các thành phần phụ thuộc và thông tin phát triển và sở cứ tổng hợp cho sự thành phần cơ sở, cùng với các thông tin thiết kế thành phần phụ thuộc. Thông tin này sẽ cho phép Người đánh giá để đạt được một sự hiểu biết về cách thức các thành phần cơ sở và các thành phần phụ thuộc tương tác và xác định các điểm yếu tiềm ẩn có thể được giới thiệu như là một kết quả của sự tương tác này.

Người đánh giá cần xem xét bất kỳ hướng dẫn mới được cung cấp cho quá trình cài đặt, khởi động và hoạt động của các bao gồm TOE để xác định các điểm yếu tiềm ẩn được bộc lộ thông qua hướng dẫn sửa đổi này.

Nếu bất kỳ của các thành phần riêng lẻ đã được thông qua đảm bảo tính liên tục hoạt động kể từ khi hoàn thành đánh giá thành phần, người đánh giá cần xem xét các bản vá trong các phân tích lỗ hổng độc lập.

Thông tin liên quan đến các thay đổi được cung cấp trong một báo cáo chung về bảo đảm tính liên tục hoạt động (ví dụ: Báo cáo bảo trì) sẽ là nguồn đầu vào của sự thay đổi. Điều này sẽ được bổ sung bởi bất kỳ bản cập nhật để tài liệu hướng dẫn kết quả từ sự thay đổi và bất kỳ thông tin liên quan đến các thay đổi có sẵn trong miền chung, ví dụ như địa điểm của nhà cung cấp.

...

15.7.2.8 Hành động ACO_VUL.2.5E

15.7.2.8.1 Đơn vị công việc ACO_VUL.2-9

Người đánh giá cần tiến hành kiểm thử thâm nhập như chi tiết cho AVA_VAN.2.4E.

Người đánh giá cần áp dụng tất cả các đơn vị công việc cần thiết để thỏa mãn hành động của người đánh giá AVA_VAN.2.4E, báo cáo trong các ETR cho TOE tổng hợp tất cả phân tích và phán quyết của các đơn vị công việc.

Người đánh giá cần còn áp dụng các đơn vị công việc cho các hành động đánh giá AVA_VAN.2.1E để xác định rằng các bao gồm TOE được cung cấp bởi nhà phát triển phù hợp cho kiểm tra.

15.7.3 Đánh giá hoạt động con (ACO_VUL.3)

15.7.3.1 Mục tiêu

Các mục tiêu hoạt động con này là để xác định xem TOE tổng hợp, trong môi trường vận hành của nó, có các điểm yếu có thể khai thác bởi những kẻ tấn công sở hữu tăng cường, cơ bản khả năng tấn công.

Nhà phát triển cung cấp một phân tích về bố trí của mọi điểm yếu còn tồn tại đã được báo cáo cho các thành phần và của mọi điểm yếu được bộc lộ thông qua sự kết hợp của các cơ sở và thành phần phụ thuộc. Người đánh giá thực hiện tìm kiếm lĩnh vực chung để xác định bất kỳ mới điểm yếu tiềm ẩn trong các thành phần (tức là những vấn đề đã được báo cáo trong các lĩnh vực chung kể từ khi hoàn thành của đánh giá thành phần). Người đánh giá cần thực hiện phân tích điểm yếu độc lập cho TOE tổng hợp và kiểm thử thâm nhập.

...

Các bằng chứng đánh giá cho hoạt động con này là:

a) TOE tổng hợp phù hợp cho kiểm tra;

b) ST kết hợp;

c) sở cứ tổng hợp;

d) thông tin tin cậy;

e) tài liệu hướng dẫn;

f) thông tin công khai sẵn sàng hỗ trợ việc xác định các điểm yếu bảo mật khả năng;

g) các điểm yếu còn tồn tại báo cáo trong quá trình đánh giá của từng thành phần.

15.7.3.3 Lưu ý áp dụng

...

15.7.3.4 Hành động ACO_VUL.3.1E

TCVN 8709-3 (ISO/IEC 15408-3) ACO_VUL.3.1C: TOE tổng hợp cần thích hợp cho kiểm thử.

15.7.3.4.1 Đơn vị công việc ACO_VUL.3-1

Người đánh giá cần kiểm tra TOE tổng hợp để xác định rằng nó đã được cài đặt đúng cách và ở trong trạng thái xác định.

Để xác định rằng sự TOE tổng hợp đã được cài đặt đúng cách và đang trong trạng thái đã biết các ATE_IND.2-1 và đơn vị công việc ATE_IND.2-2 sẽ được áp dụng để TOE tổng hợp.

Nếu gói bảo đảm bao gồm ACO_CTT, sau đó là đánh giá có thể tham khảo các kết quả của các đơn vị công việc TOE tổng hợp kiểm tra (ACO_CTT) * -1 để chứng minh điều này đã được thỏa mãn.

15.7.3.4.2 Đơn vị công việc ACO_VUL.3-2

...

15.7.3.5.1 Đơn vị công việc ACO_VUL.3-3

Người đánh giá cần kiểm tra các điểm yếu còn tồn tại từ việc đánh giá thành phần cơ sở để xác định rằng chúng không thể khai thác trong TOE tổng hợp trong môi trường vận hành của nó.

Các danh sách các điểm yếu được xác định trong sản phẩm trong quá trình đánh giá của các thành phần cơ sở, đã được chứng minh là không thể khai thác được trong thành phần cơ sở, sẽ được sử dụng như một đầu vào cho hoạt động này. Người đánh giá cần xác định rằng các tiền đề trên đó một điểm yếu đã được xem là không thể khai thác được duy trì trong TOE tổng hợp hoặc cho dù đã kết hợp lại giới thiệu điểm yếu tiềm ẩn. Ví dụ, nếu trong quá trình đánh giá của các thành phần cơ sở nó được giả định rằng một hệ điều hành cụ thể dịch vụ đã được vô hiệu hóa, mà được cho phép trong TOE tổng hợp đánh giá, bất kỳ điểm yếu tiềm ẩn liên quan cho dịch vụ trước đây bây giờ sẽ được xem xét.

Ngoài ra, danh sách các điểm yếu không thể khai thác, đã biết này có được từ việc đánh giá các thành phần cơ sở cần được xem xét khi quyết định các điểm yếu không thể khai thác, đã biết cho các thành phần khác (ví dụ: thành phần phụ thuộc) trong TOE tổng hợp. Điều này là để xem xét trường hợp một điểm yếu tiềm ẩn nào đó là không thể khai thác khi bị cô lập nhưng lại có thể khai thác khi tích hợp với một IT thực thể có chứa một điểm yếu tiềm ẩn.

15.7.3.5.2 Đơn vị công việc ACO_VUL.3-4

15.7.3.6 Hành động ACO_VUL.3.3E

...

Người đánh giá cần sử dụng thông tin trong lĩnh vực chung như mô tả trong AVA_VAN.3-2 để tìm kiếm các điểm yếu trong thành phần cơ sở.

Những điểm yếu tiềm ẩn đã được công khai trước khi đánh giá thành phần cơ sở sẽ không cần được điều tra thêm trừ khi người đánh giá thấy rõ rằng khả năng tấn công theo yêu cầu của một kẻ tấn công khai thác điểm yếu tiềm ẩn đã được giảm đáng kể. Điều này có thể được thông qua giới thiệu một số công nghệ mới từ các thành phần cơ sở đánh giá đó có nghĩa là việc khai thác điểm yếu tiềm ẩn đã được đơn giản hóa.

15.7.3.6.2 Đơn vị công việc ACO_VUL.3-6

Người đánh giá cần sử dụng thông tin trong lĩnh vực chung như mô tả trong AVA_VAN.3-2 để tìm kiếm điểm yếu trong các thành phần phụ thuộc.

15.7.3.6.3 Đơn vị công việc ACO_VUL.3-7

Người đánh giá cần ghi nhận vào ETR các điểm yếu bảo mật tiềm ẩn được xác định mà là ứng viên cho kiểm tra và áp dụng cho TOE tổng hợp trong môi trường vận hành của nó.

...

Người đánh giá ghi lại lý do bất kỳ để loại trừ các điểm yếu không cần xem xét thêm nếu đánh giá xác định rằng điểm yếu không áp dụng trong các môi trường vận hành. Ngược lại, người đánh giá ghi lại các điểm yếu tiềm ẩn để biết thêm xem xét.

Một danh sách các điểm yếu tiềm ẩn áp dụng cho TOE tổng hợp của mình trong môi trường vận hành, trong đó có thể sử dụng như một đầu vào vào các hoạt động kiểm thử thâm nhập (ACO_VUL.3.5E), được báo cáo trong các ETR đánh giá.

15.7.3.7 Hành động ACO_VUL.3.4E

15.7.3.7.1 Đơn vị công việc ACO_VUL.3-8

Các xem xét các thành phần trong phân tích điểm yếu của người đánh giá độc lập sẽ có một chút hình thức khác nhau với tài liệu trong AVA_VAN.3.3E cho một đánh giá thành phần, như nó sẽ không nhất thiết phải xem xét tất cả các lớp thiết kế trừu tượng có liên quan đến các gói đảm bảo. Đây sẽ đã được xem xét trong đánh giá của thành phần cơ sở, nhưng các bằng chứng có thể không có sẵn cho TOE tổng hợp đánh giá. Tuy nhiên, cách tiếp cận chung được mô tả trong các đơn vị công việc liên quan AVA_VAN.3.3E có thể áp dụng và cần hình thành tìm kiếm của Người đánh giá cho các điểm yếu tiềm ẩn trong TOE tổng hợp.

Một phân tích điểm yếu của các thành phần riêng biệt được sử dụng trong TOE tổng hợp sẽ đã được thực hiện trong quá trình đánh giá của các thành phần. Các trọng tâm của phân tích điểm yếu trong TOE tổng hợp đánh giá là để xác định những điểm yếu được giới thiệu tương tự là một kết quả của sự tích hợp của các thành phần hoặc do cho bất kỳ sự thay đổi trong các sử dụng của các thành phần giữa các cấu hình của các thành phần xác định trong việc đánh giá thành phần và TOE tổng hợp cấu hình.

Người đánh giá cần sử dụng những hiểu biết về xây dựng các thành phần như chi tiết trong sự phụ thuộc thông tin cho các thành phần phụ thuộc và sở cứ tổng hợp và thông tin phát triển cho các thành phần cơ sở, cùng với các thông tin thiết kế thành phần phụ thuộc. Thông tin này sẽ cho phép người đánh giá đạt được một sự hiểu biết về cách các thành phần cơ sở và thành phần phụ thuộc tương tác với nhau.

Người đánh giá cần xem xét bất kỳ hướng dẫn mới được cung cấp cho quá trình cài đặt, khởi động và hoạt động của các bao gồm TOE để xác định những điểm yếu tiềm ẩn giới thiệu thông qua sửa đổi hướng dẫn này.

...

Thông tin liên quan đến các thay đổi được cung cấp trong một báo cáo của chung về bảo đảm tính liên tục hoạt động (ví dụ: Báo cáo bảo trì). Điều này sẽ được bổ sung bởi bất kỳ bản cập nhật các tài liệu hướng dẫn do sự thay đổi và bất kỳ thông tin liên quan đến sự thay đổi có sẵn trong các lĩnh vực chung, ví dụ như địa điểm của nhà cung cấp.

Bất kỳ rủi ro được xác định do thiếu bằng chứng để thiết lập các tác động đầy đủ của bất kỳ bản vá lỗi hoặc sai lệch trong các cấu hình của một thành phần tử cấu hình được đánh giá là để được ghi lại trong phân tích điểm yếu của người đánh giá.

15.7.3.8 Hành động ACO_VUL.3.5E

15.7.3.8.1 Đơn vị công việc ACO_VUL.3-9

Người đánh giá cần tiến hành kiểm thử thâm nhập như chi tiết cho AVA_VAN.3.4E.

Người đánh giá cần áp dụng tất cả các đơn vị công việc cần thiết để thỏa mãn hành động đánh giá AVA_VAN.3.4E, báo cáo trong các ETR cho TOE tổng hợp tất cả phân tích và phán quyết sau các đơn vị công việc.

Người đánh giá cũng sẽ áp dụng các đơn vị công việc cho hành động đánh giá AVA_VAN.3.1E để xác định rằng các bao gồm TOE được cung cấp bởi nhà phát triển phù hợp cho kiểm tra.

Phụ lục A

...

Hướng dẫn đánh giá chung

A.1 Mục đích

Mục đích của phần này là đưa ra hướng dẫn chung về cung cấp chứng cớ kỹ thuật về Kết quả đánh giá. Việc sử dụng hướng dẫn chung này giúp người đánh giá đạt được tính khách quan, lặp lại của công việc.

A.2 Lấy mẫu

Phần này cung cấp hướng dẫn chung về lấy mẫu. Thông tin cụ thể và chi tiết được đưa ra trong những đơn vị công việc theo các phần tử hành động đánh giá cụ thể mà lấy mẫu phải được thực hiện.

Lấy mẫu là một thủ tục được định nghĩa của người đánh mà nhờ đó một số tập con của một tập chứng cớ đánh giá được kiểm tra và được giả định là đại diện cho toàn bộ tập chứng cớ đánh giá. Nó cho phép người đánh giá có đủ tin cậy vào tính chính xác của chứng cớ đánh giá mà không cần phân tích toàn bộ bằng chứng.

Lý do để lấy mẫu là để bảo tồn các nguồn tài nguyên khi duy trì một mức đảm bảo phù hợp. Việc lấy mẫu chứng cớ có thể xảy ra hai kết quả:

a) Các tập con không bị lỗi, cho phép người đánh giá tin rằng toàn bộ tập chứng cớ là chính xác.

b) Các tập con bị lỗi và do đó cần phải kiểm tra giá trị của toàn bộ tập chứng cớ. Thậm chí cả việc giải quyết tất cả các lỗi mà đã được tìm thấy có thể không đủ mang lại sự tin cậy cần thiết cho người đánh giá và kết quả là người đánh giá phải tăng kích thước của các tập con hoặc ngừng sử dụng việc lấy mẫu đối với chứng cớ cụ thể này.

...

Lấy mẫu trong các trường hợp được xác định trong tiêu chuẩn TCVN 8709 (ISO/IEC 15408) và trong những trường hợp cụ thể được đề cập trong những khoản mục công việc đánh giá phương pháp được coi là một phương pháp tiếp cận hiệu quả cao để thực hiện các hoạt động đánh giá. Lấy mẫu ở các khu vực khác chỉ được phép trong các trường hợp đặc biệt, nơi việc thực thi một hoạt động cụ thể trong toàn bộ các hoạt động của nó sẽ đòi hỏi nỗ lực không cân xứng với các hoạt động đánh giá khác và nơi này sẽ không tương ứng để đảm bảo. Trong những trường hợp này cần phải đưa ra lý do căn bản về tính hữu ích của việc lấy mẫu trong khu vực đó. Không phải TOE lớn và phức tạp, cũng không phải có nhiều yêu cầu chức năng an toàn là đủ để biện minh, vì những đánh giá về các TOE lớn và phức tạp có thể sẽ đòi hỏi nhiều nỗ lực hơn. Người ta dự định rằng điều ngoại lệ này được giới hạn đối với những trường hợp mà phương pháp phát triển TOE mang lại một lượng lớn nguyên liệu cho một yêu cầu đặc biệt của tiêu chuẩn TCVN 8709 (ISO/IEC 15408) cần để được kiểm tra khảo sát và nơi thực hiện hành động như vậy sẽ được dự kiến là không tăng mức bảo đảm tương ứng.

Việc lấy mẫu cần phải chứng minh được là có tính đến tác động có thể đối với các mục tiêu an toàn và các mối đe dọa của TOE. Các tác động này phụ thuộc vào những gì có thể được bỏ qua như là một kết quả của việc lấy mẫu. Cũng cần xem xét bản chất của các chứng cớ được lấy mẫu và yêu cầu không giảm hoặc bỏ qua bất kỳ chức năng an toàn nào.

Phải thừa nhận rằng việc lấy mẫu các chứng cớ có liên quan trực tiếp đến việc thực thi TOE (ví dụ: các kết quả kiểm thử của người phát triển) đòi hỏi một phương pháp tiếp cận khác để lấy mẫu, việc lấy mẫu liên quan đến việc quyết định xem liệu rằng một qui trình có đang được tuân theo không. Trong nhiều trường hợp người đánh giá cần phải xác định rằng một qui trình được tuân thủ và lược đồ lấy mẫu được khuyến nghị. Phương pháp lấy mẫu kết quả kiểm thử của người phát triển sẽ khác nhau. Điều này là bởi vì trường hợp đầu có liên quan đến việc đảm bảo qui trình phải thích hợp và trường hợp sau xác định việc thực thi chính xác TOE. Thông thường, các mẫu có kích thước lớn hơn sẽ được phân tích trong những trường hợp liên quan đến việc thực thi chính xác TOE hơn là cần thiết phải đảm bảo rằng một qui trình là thích hợp.

Trong một số trường hợp, có thể thích hợp đối với người đánh giá nếu nhấn mạnh nhiều hơn đến sự lặp lại kiểm thử của người phát triển. Ví dụ, nếu các kiểm thử độc lập lại của người đánh giá thực hiện sẽ khác so với những kiểm thử trong một tập hợp kiểm thử của người phát triển (có thể do người phát triển đã thực hiện thử nghiệm nhiều hơn mức cần thiết để thỏa mãn tiêu chí Tổng quát (ATE_COV) và Chuyên sâu (ATE_DPT)) thì sẽ thích hợp cho người đánh giá nếu đưa ra nhiều điểm trọng tâm hơn về sự lặp lại của các thử nghiệm của người phát triển. Lưu ý rằng điều này không hàm ý rằng cần phải có một mẫu có tỷ lệ phần trăm cao về lặp lại những kiểm thử của người phát triển; thực ra, để đưa ra một tập hợp kiểm thử của người phát triển, người đánh giá có thể biện minh cho một mẫu tỷ lệ phần trăm thấp.

Nếu nhà phát triển đã dùng một loạt những kiểm thử tự động để thực hiện chức năng kiểm tra, thì nó sẽ dễ hơn cho người đánh giá thực hiện lại những kiểm thử hơn là chỉ lặp lại một mẫu kiểm thử của người phát triển. Tuy nhiên người đánh giá có nghĩa vụ phải kiểm tra việc kiểm thử tự động không đem đến những kết quả đặc trưng sai. Tức là, việc kiểm tra này phải được thực hiện cho một mẫu những kiểm thử tự động, với nguyên tắc lựa chọn một số kiểm thử hơn những kiểm thử khác và đảm bảo rằng có đủ kích mẫu thước áp dụng trong trường hợp này.

Các nguyên tắc sau đây phải được tuân thủ bất cứ khi nào thực hiện lấy mẫu:

a) Việc lấy mẫu không được ngẫu nhiên, nó phải được lựa chọn sao cho nó đại diện cho tất cả các chứng cớ. Kích thước và bố cục mẫu phải hợp lý.

b) Khi lấy mẫu có liên quan đến việc thực thi chính xác của TOE, thì các mẫu phải đại diện được cho tất cả các khía cạnh liên quan đến các vùng mà được lấy mẫu. Cụ thể, việc lựa chọn phải bao gồm đủ loại các thành phần, các giao diện, người phát triển và các vị trí vận hành (nếu nhiều hơn một vị trí vận hành có liên quan) và các kiểu nền phần cứng (nếu nhiều hơn một nền phần cứng có liên quan). Kích thước mẫu cần xứng với hiệu quả chi phí đánh giá và sẽ phụ thuộc vào một số yếu tố phụ thuộc TOE (ví dụ như kích thước và độ phức tạp của TOE, số lượng tài liệu hướng dẫn).

c) Ngoài ra, khi lấy mẫu liên quan một cách đặc biệt đến chứng cớ thu được cho thấy kiểm thử người phát triển có thể lặp lại và có thể tái tạo thì các mẫu được sử dụng phải đủ để đại diện cho tất cả khía cạnh khác biệt của kiểm thử người phát triển, chẳng hạn như các cách thử kiểm thử khác nhau. Các mẫu được sử dụng phải có khả năng phát hiện mọi vấn đề mang tính hệ thống trong quá trình kiểm thử chức năng của người phát triển. Sự đóng góp của người đánh giá do sự kết hợp của việc lặp lại những kiểm thử người phát triển và việc thực hiện các kiểm thử độc lập phải có đủ khả năng để giải quyết mối quan tâm đối với TOE.

...

e) Người bảo đảm và người phát triển không được thông báo trước về thành phần chính xác của các mẫu, đối tượng đảm bảo sự chuyển giao kịp thời của mẫu và sản phẩm hỗ trợ, ví dụ như thiết bị và dụng cụ kiểm thử cho người đánh giá phải phù hợp với lược đồ đánh giá.

f) Việc lựa chọn mẫu không cần phải theo thứ bậc (không nên luôn luôn chọn các mục đầu tiên hoặc mục cuối cùng). Lý tưởng nhất là một người khác chứ không phải người đánh giá lựa chọn mẫu.

Lỗi được tìm thấy trong mẫu có thể được phân loại thành có hệ thống hoặc không thường xuyên. Nếu là lỗi có hệ thống, thì phải điều chỉnh và thực hiện lấy mẫu mới hoàn toàn. Nếu giải thích một cách đúng đắn thì các lỗi không thường xuyên có thể được giải quyết mà không cần thiết thay thế một mẫu mới, mặc dù việc giải thích đã được xác nhận. Người đánh giá phải đưa ra phán quyết để xác định xem liệu rằng có tăng kích thước mẫu hoặc sử dụng một mẫu khác hay không.

A.3 Những phụ thuộc

Nhìn chung có thể thực hiện các hoạt động đánh giá, các hoạt động phụ và các hành động đánh giá theo thứ tự hoặc song song. Tuy nhiên, có các loại phụ thuộc khác nhau mà người đánh giá phải xem xét. Phần này đưa ra hướng dẫn chung về những phụ thuộc giữa các hoạt động khác nhau, các hoạt động phụ và các hành động.

A.3.1 Những phụ thuộc giữa các hoạt động

Đối với một số trường hợp, các lớp đảm bảo khác nhau có thể được đề xuất hoặc thậm chí yêu cầu phải có một trình tự về các hoạt động liên quan. Một ví dụ cụ thể là hoạt động đánh giá ST. Hoạt động đánh giá ST được bắt đầu trước bất kỳ hoạt động đánh giá TOE nào kể từ khi ST cung cấp cơ sở và bối cảnh để thực hiện chúng. Tuy nhiên, phán quyết cuối cùng về việc đánh giá có thể không hợp lý cho đến khi việc đánh giá TOE hoàn tất, do đó có những thay đổi đối với ST có thể do những phát hiện về hoạt động trong khi đánh giá TOE.

A.3.2 Những phụ thuộc giữa các hoạt động phụ

Người đánh giá phải xem xét những phụ thuộc giữa các thành phần trong TCVN 8709-3 (ISO/IEC 15408-3). Hầu hết những phụ thuộc là những phụ thuộc một chiều, ví dụ như đánh giá các hoạt động con (AVA_VAN.1) cho thấy rằng có phụ thuộc vào đánh giá hoạt động con (ADV_FSP.1) và đánh giá hoạt động con (AGD_OPE.1). Cũng có những trường hợp phụ thuộc lẫn nhau nếu cả hai thành phần phụ thuộc vào nhau. Một ví dụ về phụ thuộc này là đánh giá hoạt động con (ATE_FUN.1) và đánh giá hoạt động con (ATE_COV.1).

...

Vì vậy, khi xác định xem liệu một hoạt động con có ảnh hưởng đến một hoạt động con khác hay không thì người đánh giá cần xem xét liệu rằng hoạt động này có phụ thuộc vào Kết quả đánh giá từ bất kỳ các hoạt động con phụ thuộc nào không. Thật vậy, có thể có trường hợp mà một hoạt động con phụ thuộc sẽ ảnh hưởng đến hoạt động con này, đòi hỏi các hành động đánh giá đã thực hiện trước đây phải được thực hiện lại.

Có một tác động quan trọng về sự phụ thuộc trong trường hợp người đánh giá phát hiện ra những lỗi nhỏ. Nếu một lỗi nhỏ được xác định là kết quả của việc thực hiện một hoạt động con, thì có thể không thể đưa ra chỉ định... đối với một hoạt động con độc lập cho đến khi tất cả các lỗi liên quan đến hoạt động con mà nó phụ thuộc được giải quyết.

A.3.3 Những phụ thuộc giữa các hành động

Có thể có trường hợp các kết quả được tạo ra bởi người đánh giá trong khi một hành động được sử dụng để thực hiện một hành động khác. Ví dụ, các hành động về tính chất đầy đủ và nhất quán không thể được hoàn thành cho đến khi hoàn thành những kiểm tra về nội dung và trình bày. Điều này có nghĩa rằng người đánh giá được đề nghị đánh giá cách phân tích PP/ST sau khi đánh giá các thành phần cấu tạo của PP/ST.

A.4 Truy nhập website

A.4.1 Giới thiệu

Lớp đảm bảo ALC bao gồm các yêu cầu về

a) áp dụng cấu hình quản lý, đảm bảo rằng tính toàn vẹn của TOE được bảo đảm;

b) các biện pháp, thủ tục và các tiêu chuẩn liên quan đến chuyển giao đảm bảo TOE, đảm bảo rằng việc bảo vệ an toàn được đưa ra bởi TOE là không bị thỏa hiệp trong khi chuyển cho người dùng.

...

Một lượt truy nhập website thành công là một phương thức hữu ích mà nhờ đó người đánh giá xác định xem liệu rằng các thủ tục có được thực hiện theo một cách nhất quán với mô tả trong tài liệu hay không.

Lý do để truy nhập website là:

a) để xem xét việc sử dụng hệ thống CM đã được mô tả trong các kế hoạch CM;

b) để xem xét các ứng dụng thực tế của các thủ tục chuyển giao đã mô tả trong tài liệu chuyển giao;

c) để thực hiện các ứng dụng của các biện pháp an toàn trong quá trình phát triển và duy trì TOE đã được mô tả trong tài liệu các biện pháp an toàn trong quá trình phát triển.

Thông tin chi tiết và cụ thể được trình bày trong các đơn vị công việc cho những người hoạt động thực hiện các lượt truy nhập website:

a) những khả năng CM (ALC_CMC).n với n ≥ 3 (đặc biệt là đơn vị công việc ALC_CMC.3-10 = ALC_CMC.4-13 = ALC_CMC.5-19);

b) chuyển giao (ALC_DEL) (đặc biệt là đơn vị công việc ALC_DEL.1-2);

c) các biện pháp an toàn trong quá trình phát triển (ALC_DVS) (đặc biệt là đơn vị công việc ALC_DVS.1-3 = ALC_DVS.2-4).

...

Trong khi đánh giá, người đánh giá bắt buộc phải gặp người phát triển nhiều hơn một lần và nó là điều bàn đến khi lập kế hoạch kết hợp truy nhập website với các cuộc gặp khác để giảm chi phí. Ví dụ người ta có thể kết hợp truy nhập website cho quản lý cấu hình, cho an toàn của người phát triển và chuyển giao. Cần thiết phải thực hiện nhiều hơn một lượt truy nhập vào cùng một website để kiểm tra tất cả các giai đoạn phát triển. Phải lưu ý rằng giai đoạn phát triển có thể xảy ra tại nhiều thiết bị trong một tòa nhà, nhiều tòa nhà tại cùng một địa điểm hoặc tại nhiều địa điểm.

Trước tiên phải lập kế hoạch truy nhập website trước khi đánh giá. Trong trường hợp việc đánh giá được bắt đầu trong giai đoạn phát triển TOE, thì việc này sẽ cho phép thực hiện các hành động khắc phục nếu cần thiết. Trong trường hợp việc đánh giá được bắt đầu sau giai đoạn phát triển TOE, lượt truy nhập website đầu tiên có thể cho phép các biện pháp khắc phục được thực hiện nếu có những thiếu sót nghiêm trọng trong việc áp dụng các thủ tục. Điều này tránh được những nỗ lực đánh giá không cần thiết.

Phỏng vấn cũng là một cách thức hữu hiệu trong việc xác định xem liệu các thủ tục được tạo ra có phản ánh những gì đã làm hay không. Khi thực hiện các cuộc phỏng vấn này, người đánh giá mong muốn có được một sự hiểu biết sâu sắc hơn về các thủ tục đã phân tích tại các website phát triển, làm thế nào chúng được sử dụng trong thực tế và liệu rằng chúng có đang được áp dụng như mô tả trong các chứng cớ đánh giá đã được cung cấp. Các cuộc phỏng vấn này bổ sung nhưng không thay thế việc kiểm tra chứng cớ đánh giá.

Vì bước đầu tiên là chuẩn bị truy nhập website nên người đánh giá cần thực hiện các đơn vị công việc đánh giá liên quan đến lớp đảm bảo ALC ngoại trừ các khía cạnh mô tả các kết quả truy nhập website. Dựa trên các thông tin được cung cấp bởi người phát triển tài liệu có liên quan và các câu hỏi còn để ngỏ còn lại mà không có được câu trả lời trong các tài liệu, người đánh giá phải biên soạn một danh sách kiểm tra các câu hỏi mà sẽ được giải quyết bởi các số lượt truy nhập website.

Bản đầu tiên của báo cáo đánh giá liên quan đến lớp ALC và danh sách kiểm tra dùng như đầu vào để hỏi ý kiến tổ chức đánh giá liên quan đến số lượt truy nhập website.

Các danh sách kiểm tra dùng như một phương pháp hướng dẫn cho các truy nhập website, những câu hỏi mà được trả lời bằng cách kiểm tra các biện pháp liên quan, kết quả và ứng dụng của chúng và bằng các cuộc phỏng vấn. Nếu thích hợp, lấy mẫu được sử dụng để có được mức độ tin cậy cần thiết (xem mục con A.2).

Các kết quả về số lượt truy nhập website được ghi lại và dùng như đầu vào cho bản cuối cùng của báo cáo đánh giá liên quan đến lớp đảm bảo ALC.

Các phương pháp tiếp cận khác để đạt được sự tin cậy cần được xem xét cung cấp mức bảo đảm tương đương (ví dụ để phân tích chứng cớ đánh giá). Bất kỳ quyết định không thực hiện truy nhập phải được xác định với sự tham vấn của các tổ chức đánh giá. Tiêu chí an toàn thích hợp và một phương pháp sẽ được dựa trên các tiêu chuẩn về các hệ thống quản lý an toàn công nghệ thông tin.

A.4.3 Hướng dẫn định hướng về chuẩn bị danh sách kiểm tra

...

A.4.3.1 Các khía cạnh về quản lý cấu hình

Bước cơ bản

- Các khoản mục của danh sách cấu hình, bao gồm TOE, mã nguồn, thư viện thời gian thực hiện, tài liệu thiết kế, công cụ phát triển (ALC_CMC.3-8).

- Kiểm tra các tài liệu thiết kế, mã nguồn, hướng dẫn người dùng sử dụng các phiên bản khác nhau của TOE.

- Tích hợp hệ thống cấu hình trong quá trình thiết kế và phát triển, tập kế hoạch kiểm thử, phân tích kiểm thử và các thủ tục quản lý chất lượng.

Phân tích kiểm thử

- Kiểm tra các kế hoạch kiểm thử và kết quả liên quan đến các cấu hình và các phiên bản cụ thể của TOE.

Kiểm soát truy nhập đối với các hệ thống phát triển

- Các chính sách về kiểm soát truy nhập và logging.

...

Làm sạch

- Chính sách về làm sạch TOE và hướng dẫn khách hàng sử dụng.

- Chính sách về kiểm thử và phê duyệt các thành phần và TOE trước khi phát triển.

A.4.3.2 Các khía cạnh các biện pháp an toàn trong quá trình phát triển

Cơ sở hạ tầng

- Các biện pháp an toàn đối với kiểm soát truy nhập vật lý đối với trang web phát triển và phân tích hiệu quả các biện pháp này.

Các biện pháp của tổ chức

- Cơ cấu tổ chức của công ty về sự an toàn của các môi trường phát triển.

- Phân tách tình trạng phát triển, sản xuất, kiểm thử và đảm bảo chất lượng của tổ chức.

...

- Các biện pháp giáo dục về các biện pháp an toàn trong quá trình phát triển cho nhân viên.

- Các biện pháp và thỏa thuận pháp lý về việc không tiết lộ thông tin nội bộ.

Kiểm soát truy cập

- Chỉ định các đối tượng được bảo đảm (ví dụ TOE, mã nguồn, thư viện thời gian thực hiện, tài liệu thiết kế, công cụ phát triển, tài liệu hướng dẫn sử dụng) và các chính sách an toàn.

- Chính sách và trách nhiệm liên quan đến việc kiểm soát truy nhập và xử lý các thông tin xác thực.

- Chính sách về logging các kiểu truy nhập vào trang web phát triển và bảo vệ các dữ liệu logging.

Đầu vào, xử lý và đầu ra dữ liệu

- Các biện pháp an toàn bảo vệ đầu ra và các thiết bị đầu ra (máy in, máy vẽ và màn hình).

- Bảo đảm các mạng cục bộ và kết nối truyền thông.

...

- Chính sách về xử lý tài liệu dữ liệu và phương tiện truyền thông dữ liệu.

- Chính sách và trách nhiệm tiêu hủy các tài liệu đã được phân loại, logging những sự kiện này.

Bảo vệ dữ liệu

- Chính sách và trách nhiệm bảo vệ thông tin và dữ liệu (ví dụ thực hiện sao lưu).

Kế hoạch bất ngờ

- Thực hành trong trường hợp khẩn cấp để nâng cao trách nhiệm.

- Ghi lại các biện pháp dự phòng liên quan đến kiểm soát truy cập.

- Thông tin về các nhân viên áp dụng thực hành trong các trường hợp cực đoan.

A.4.4 Ví dụ về danh sách kiểm tra

...

Cấu trúc danh mục kiểm tra được trình bày dưới đây là sơ bộ. Tùy thuộc vào các nội dung cụ thể của hướng dẫn mới, có thể cần thiết phải có những thay đổi.

Danh sách kiểm tra được chia thành ba mục sau theo đối tượng được chỉ định trong mục giới thiệu (mục A.4.1):

a) Hệ thống quản lý cấu hình.

b) Các thủ tục chuyển giao.

c) Các biện pháp an toàn trong quá trình phát triển.

Những mục này tương ứng với lớp ALC của tiêu chuẩn TCVN 8709 (ISO/IEC 15408), đặc biệt là các họ khả năng CM (ALC_CMC).n với n ≥ 3, Chuyển giao (ALC_DEL) và An toàn phát triển (ALC_DVS).

Các mục này được chia nhỏ hơn nửa thành các hàng tương ứng với các đơn vị công việc liên quan của tiêu chuẩn này.

Các cột của danh sách kiểm tra lần lượt bao gồm:

- số thứ tự A, B, C liên tiếp

...

- các tài liệu tham chiếu tài liệu người phát triển tương ứng,

- sự tái sản xuất rõ ràng các biện pháp người phát triển,

- những câu hỏi và nhận xét đặc biệt phải được làm rõ về truy nhập (ngoại trừ nhiệm vụ của người đánh giá tiêu chuẩn để thẩm tra việc áp dụng các biện pháp đã đề cập),

- kết quả kiểm tra trong khi truy cập.

Nếu đã quyết định phải có các danh sách kiểm tra riêng để chuẩn bị và báo cáo kiểm tra, thì cột kết quả được bỏ qua trong danh sách chuẩn bị và cột những câu hỏi và nhận xét được bỏ qua trong danh sách báo cáo. Các cột còn lại phải giống như nhau trong cả hai danh sách.

Bảng A.1 - Ví dụ danh sách kiểm tra tại EAL4 (trích xuất)

A. Kiểm tra hệ thống CM (ALC_CMC.4 và ALC_CMS.4)

STT

Đơn vị công việc

...

Các biện pháp

Những câu hỏi và nhận xét

Kết quả

A.1

ALC_CMC.4-11,

ALC_CMC.4-12

"Hệ thống quản lý cấu hình", ch. ...

Hệ thống tự động quản lý các tệp tin mã nguồn có khả năng quản lý hồ sơ người dùng và quyền truy cập và kiểm tra định danh và xác thực người dùng.

Đọc hoặc cập nhật một tệp tin mã nguồn yêu cầu xác thực người dùng?

...

…

...

…

...

B. Kiểm tra các thủ tục chuyển giao (ALC_DEL.1)

STT

Đơn vị công việc

...

Các biện pháp

Những câu hỏi và nhận xét

Kết quả

B.1

ALC_DEL.1-1,

ALC_DEL.1-2

"Chuyển giao TOE ", ch. ...

Các phần mềm được truyền PGP đã ký và mã hóa đến các khách hàng.

---

...

…

C. Kiểm tra an toàn người phát triển cơ sở hạ tầng và tổ chức

(ALC_DVS.1, ALC_LCD.1, ALC_TAT.1)

STT

...

Tài liệu người phát triển

Các biện pháp

Những câu hỏi và nhận xét

Kết quả

C.1

ALC_DVS.1-1,

ALC_DVS.1-2

"An toàn của môi trường phát triển", ch. ... (dinh cơ)

Các dinh cơ được bảo vệ bằng hàng rào an toàn.

...

Người đánh giá đã kiểm tra hàng rào đủ chắc chắn và cao.

C.2

ALC_DVS.1-1,

ALC_DVS.1-2

"An toàn của môi trường phát triển", ch. ... (Tòa nhà)

Các tòa nhà có khả năng đi vào theo: Lối vào chính được giám sát bằng việc tiếp đón và được đóng lại khi không có người tiếp đón. Và lối vào để tiếp nhận hàng hóa được bảo đảm bởi 2 cửa chớp có trục lăn

Có danh sách đầy đủ về các khả năng đi vào tòa nhà không?

Ngoài các khả năng có thể đi vào tòa nhà đã được chỉ ra, còn có một lối ra khẩn cấp mà không thể mở được từ bên ngoài. Các cửa chớp có trục lăn chỉ có thể được vận hành từ bên trong.

...

…

A.5 Trách nhiệm lược đồ

Tiêu chuẩn này mô tả các công việc kỹ thuật tối thiểu mà những hoạt động đánh giá được thực hiện dưới sự giám sát của tổ chức đánh giá. Tuy nhiên, phải thừa nhận rằng có các hoạt động hoặc các phương pháp mà do đó việc công nhận kết quả đánh giá của nhau không đáng tin cậy. Các Lược đồ có thể bao gồm những vấn đề sau đây, có thể loại bỏ một số vấn đề không cụ thể. (Tất cả mọi nỗ lực được thực hiện để đảm bảo danh sách này là đầy đủ; người đánh giá phải đối mặt với một vấn đề không được liệt kê ở đây cũng không được giải quyết trong tiêu chuẩn này cần tham khảo lược đồ đánh giá của họ để xác định dưới sự bảo trợ của ai thì vấn đề sẽ được giải quyết.)

Những vấn đề mà bao gồm trong lược đồ:

a) những gì được quy định để đảm bảo rằng việc đánh giá đã được thực hiện đầy đủ - mỗi lược đồ có một cách thức thẩm định năng lực kỹ thuật, sự hiểu biết về công việc và công việc của người đánh giá, cho dù bằng cách yêu cầu người đánh giá trình bày những phát hiện của mình đối với người giám sát, bằng cách yêu cầu người giám sát làm lại công việc của người đánh giá hoặc bằng một số cách thức để đảm bảo lược đồ mà tất cả các tổ chức đánh giá là thích hợp và có thể so sánh được;

b) quá trình sắp xếp các chứng cớ đánh giá sau khi hoàn thành đánh giá;

...

d) phải thực hiện hành động nếu trong khi đánh giá gặp phải một vấn đề phải đối mặt (cho dù việc đánh giá vẫn tiếp tục khi vấn đề đã được khắc phục hoặc việc đánh giá kết thúc ngay lập tức và các sản phẩm đã được khắc phục phải bị đánh giá lại);

e) mọi ngôn ngữ cụ thể (tự nhiên) trong đó tài liệu phải được cung cấp;

f) mọi chứng cớ đã được ghi lại phải được đưa ra trong ETR - tiêu chuẩn quốc tế này quy định tối thiểu chứng cớ phải được báo cáo trong ETR; Tuy nhiên, các lược đồ riêng có thể yêu cầu thêm thông tin;

g) mọi báo cáo bổ sung (khác so với ETR) được lấy từ người đánh giá, ví dụ như các báo cáo kiểm thử;

h) mọi OR cụ thể mà có thể được yêu cầu bởi lược đồ, bao gồm cả cấu trúc, người nhận, vv của bất kỳ OR nào;

i) mọi cấu trúc nội dung cụ thể của bất kỳ báo cáo nào là kết quả của đánh giá ST - một lược đồ có thể có bao gồm tất cả các báo cáo chi tiết kết về quả quả đánh giá, có thể là đánh giá TOE hoặc ST;

j) mọi thông tin định dạng PP/ ST bổ sung được cần đến;

k) mọi hoạt động xác định sự phù hợp của các yêu cầu đã được công bố rõ trong ST;

l) mọi yêu cầu cung cấp chứng cớ cho người đánh giá để hỗ trợ đánh giá lại và tái sử dụng chứng cớ.

...

n) bất kỳ hướng dẫn cụ thể nào đề cập đến mật mã;

o) thực hiện và áp dụng kế hoạch, những diễn giải quốc gia và quốc tế;

p) danh sách hoặc đặc trưng tiêu biểu của phương pháp tiếp cận thay thế phù hợp để kiểm thử nếu việc kiểm thử không thể thực hiện được;

q) cơ chế mà nhờ đó tổ chức đánh giá có thể xác định những bước nào đánh giá thực hiện khi kiểm tra;

r) phương pháp kiểm thử thích hợp (nếu có): tại giao diện bên trong hay giao diện bên ngoài;

s) danh sách hoặc đặc trưng tiêu biểu của các biện pháp thực hiện phân tích điểm yếu của người đánh giá có thể chấp nhận được (ví dụ: phương pháp giả thuyết lỗ hổng);

t) thông tin liên quan đến mọi lỗ hổng và điểm yếu cần được xem xét.

Phụ lục B

...

Đánh giá điểm yếu (AVA)

Phụ lục này giải thích về tiêu chí AVA_VAN và các ví dụ về ứng dụng của chúng. Phụ lục này không định nghĩa tiêu chí AVA; định nghĩa này có thể được tìm thấy trong TCVN 8709-3 (ISO/IEC 15408-3) lớp AVA: Đánh giá điểm yếu.

Phụ lục này gồm 2 phần chính:

a) Hướng dẫn để hoàn thành phân tích điểm yếu độc lập. Phần này được tóm tắt trong mục B.1 và được mô tả chi tiết hơn trong mục B.2. Các mục này mô tả cách một người đánh giá sẽ tiếp cận việc phân tích điểm yếu độc lập.

b) Cách mô tả và sử dụng khả năng tấn công giả định của kẻ tấn công. Phần này được mô tả trong các mục từ B.3 đến B.5. Những mục này đưa ra một ví dụ mô tả được mô tả và được sử dụng như thế nào và một số ví dụ về chúng.

B.1 Phân tích điểm yếu là gì?

Mục đích của hoạt động đánh giá điểm yếu là xác định sự tồn tại và khả năng khai thác những thiếu sót hoặc điểm yếu của TOE trong môi trường vận hành. Việc xác định này dựa trên phân tích của người đánh giá và được hỗ trợ bởi hoạt động kiểm thử của người đánh giá.

Ở các mức thấp nhất của Phân tích điểm yếu (AVA_VAN), người đánh giá chỉ đơn thuần phải thực hiện việc tìm kiếm thông tin có sẵn để xác định những điểm yếu đã biết trong TOE, trong khi ở các mức cao hơn người đánh giá phải tiến hành phân tích cấu trúc của chứng cớ đánh giá TOE.

Có ba yếu tố chính khi thực hiện phân tích điểm yếu, đó là:

...

b) đánh giá các điểm yếu tiềm ẩn để xác định xem liệu rằng các điểm yếu tiềm ẩn đã được định danh có thể cho phép kẻ tấn công có khả năng tấn công các SFR hay không;

c) kiểm thử xâm nhập để xác định xem liệu rằng các điểm yếu tiềm ẩn đã được định danh có thể khai thác trong môi trường vận hành của TOE hay không.

Việc định danh các điểm yếu có thể tiếp tục được phân chia thành các chứng cớ đã được tìm kiếm và cách để tìm kiếm chứng cớ để định các điểm yếu tiềm ẩn. Tương tự như vậy, việc kiểm thử xâm nhập có thể tiếp tục được chia thành phân tích điểm yếu tiềm ẩn để xác định các phương pháp tấn công và trình bày các phương pháp tấn công.

Những yếu tố chính này có tính lặp, tức là kiểm thử xâm nhập các điểm yếu tiềm ẩn có thể dẫn đến việc xác định thêm các điểm yếu tiềm ẩn. Do đó, chúng được thực hiện như một hoạt động phân tích điểm yếu đơn lẻ.

B.2 Thực hiện phân tích điểm yếu

Người đánh giá phân tích điểm yếu để xác định xem liệu rằng TOE có khả năng chống lại các cuộc tấn công xâm nhập do kẻ tấn công thực hiện với khả năng tấn công ở mức cơ bản (AVA_VAN.1 và AVA_VAN.2), ở mức nâng cao-cơ bản (AVA_VAN.3), ở mức vừa phải (cho AVA_VAN.4) hoặc ở mức cao (AVA_VAN.5). Người đánh giá trước tiên phải đánh giá khả năng khai thác tất cả các điểm yếu tiềm ẩn đã định danh. Việc này được thực hiện bằng cách tiến hành kiểm thử xâm nhập. Người đánh giá sẽ đóng vai trò một kẻ tấn công có khả năng tấn công ở mức cơ bản (AVA_VAN.1 và AVA_VAN.2), ở mức cơ bản nâng cao (AVA_VAN.3), ở mức vừa phải (cho AVA_VAN.4) hoặc ở mức cao (AVA_VAN.5) khi cố gắng xâm nhập vào TOE.

Người đánh giá xem xét các điểm yếu tiềm ẩn phải đối mặt khi thực hiện các hoạt động đánh giá khác. Người đánh giá thực hiện việc kiểm thử xâm nhập để xác định sự chống lại của TOE đối với những điểm yếu tiềm ẩn khi đóng vai trò một kẻ tấn công có khả năng tấn công ở mức cơ bản (AVA_VAN.1 và AVA_VAN.2), cơ bản nâng cao (AVA_VAN.3), ở mức vừa phải (cho AVA_VAN.4) hoặc ở mức cao (AVA_VAN.5).

Tuy nhiên, việc phân tích điểm yếu không nên thực hiện độc lập, cần phải liên kết chặt chẽ với lớp ADV và AGD. Người đánh giá thực hiện các hoạt động đánh giá khác tập trung vào việc định danh điểm yếu tiềm ẩn hoặc "các lĩnh vực liên quan". Do đó, người đánh giá cần phải nắm rõ các hướng dẫn chung về điểm yếu (được trình bày trong mục B.2.1)

B.2.1 Hướng dẫn chung về điểm yếu

...

B.2.1.1 Đi đường vòng

Đi đường vòng là cách thức mà kẻ tấn công có thể thực hiện để tránh được việc thực thi an toàn, bằng cách:

a) khai thác khả năng của giao diện đối với TOE hoặc các tiện ích mà có thể tương tác với TOE;

b) kế thừa những đặc quyền hoặc khả năng khác nếu không sẽ bị từ chối;

c) (khi mà tính mật cần phải quan tâm) đọc dữ liệu nhạy cảm được lưu trữ hoặc sao chép đến các vùng bảo vệ không thích hợp.

Cần phải xem xét từng khoản mục dưới đây (nếu liên quan) trong phân tích điểm yếu độc lập của người đánh giá.

a) Các cuộc tấn công dựa trên việc khai thác khả năng của giao diện hay các tiện ích thường tận dụng lợi thế không phải thực thi an toàn cần thiết trên các giao diện này. Ví dụ, chiếm quyền truy nhập vào chức năng mà được thực thi ở mức thấp hơn mức kiểm soát truy nhập được thi hành. Các mục liên quan bao gồm:

1) thay đổi trình tự gọi TSFI;

2) gọi một TSFI bổ sung;

...

4) Sử dụng chi tiết triển khai được đưa vào trong các mô tả kém trừu tượng;

5) lợi dụng độ trễ giữa thời điểm kiểm tra truy nhập và thời điểm sử dụng.

b) Việc thay đổi trình tự gọi các thành phần cần được xem xét khi có một thứ tự dự kiến trong đó các giao diện với TOE (ví dụ như các lệnh của người dùng) được gọi ra để gọi TSFI (ví dụ: mở một tệp tin để truy nhập và sau đó đọc dữ liệu của tệp tin đó). Nếu một TSFI được gọi thông qua một trong những giao diện TOE (ví dụ như kiểm tra kiểm soát truy cập), người đánh giá cần xem xét xem liệu nó có thể bỏ qua kiểm soát bằng cách thực hiện gọi tại một điểm sau theo trình tự hoặc bỏ lỡ nó hoàn toàn

c) Thực hiện một thành phần bổ sung (theo trình tự được xác định trước) là một hình thức tấn công tương tự với hình thức tấn công đã mô tả ở trên, nhưng liên quan đến việc gọi một số giao diện khác của TOE tại một số điểm trong theo trình tự. Nó cũng có gọi các cuộc tấn công dựa trên việc chặn dữ liệu nhạy cảm thông truyền qua mạng bằng cách sử dụng bộ phân tích lưu lượng mạng (các thành phần bổ sung ở đây là bộ phân tích lưu lượng mạng).

d) Sử dụng một thành phần trong một bối cảnh bất ngờ hoặc cho một mục đích không mong muốn bao gồm sử dụng giao diện TOE không liên quan để đi vòng TSF bằng cách sử dụng nó để đạt được một mục đích mà nó không được thiết kế hoặc dự định đạt được. Các kênh bất hợp pháp là một ví dụ của kiểu tấn công này (xem B.2.1.4 để thảo luận thêm về các kênh bất hợp pháp). Việc sử dụng các giao diện không có cơ sở mà không an toàn, cũng thuộc dạng tấn công này. Các giao diện này có thể bao gồm các giúp đỡ có cơ sở và không có cơ sở.

e) Sử dụng chi tiết triển khai được đưa ra trong những mô tả kém trừu tượng có thể cho phép kẻ tấn công tận dụng lợi thế các chức năng bổ sung, nguồn lực hay các thuộc tính được đưa vào TOE như một hệ quả của quá trình bổ sung chi tiết. Chức năng bổ sung có thể bao gồm kiểm tra mã khai thác có trong các mô đun phần mềm và các back-doors được đưa vào trong quá trình triển khai.

f) Lợi dụng độ trễ giữa thời điểm kiểm tra và thời điểm sử dụng bao gồm các kịch bản mà việc kiểm tra kiểm soát truy nhập được thực hiện và cấp quyền truy cập và sau đó kẻ tấn công có thể tạo ra các các tình huống mà trong đó kẻ tấn công có áp dụng tại thời điểm thực hiện kiểm tra truy cập, sẽ làm cho việc kiểm tra bị thất bại. Một ví dụ là một người sử dụng tạo ra một tiến trình nền (background process) để đọc và gửi dữ liệu rất nhạy cảm đến thiết bị đầu cuối của người sử dụng và sau đó đăng xuất và đăng nhập lại ở mức độ nhạy cảm thấp hơn. Nếu quy trình nền không kết thúc khi người dùng đăng xuất, những kiểm tra MAC sẽ được bỏ qua thực sự.

g) Các cuộc tấn công dựa trên kế thừa đặc quyền thường được dựa trên việc có được bất hợp pháp những đặc quyền hoặc khả năng của một số thành phần có đặc quyền, thường là thoát khỏi nó một cách không kiểm soát hoặc bất ngờ. Các khoản mục có liên quan bao gồm:

1) thực hiện dữ liệu không nhằm mục đích thực hiện hoặc làm cho nó hiện;

...

3) làm mất hiệu lực những đặc tính và những giả định trong đó các thành phần mức thấp dựa vào.

h) Thực hiện dữ liệu không dự định được thực thi hoặc làm cho nó thực thi bao gồm các cuộc tấn công liên quan đến virus (Ví dụ như đặt mã có thể chạy được hay các lệnh trong một tệp tin mà sẽ được tự động thực hiện khi các tệp tin được hiệu chỉnh hoặc được truy cập, do đó kẻ tấn công kế thừa các đặc quyền chủ sở hữu của các tệp tin có).

i) Tạo đầu vào không mong muốn cho một thành phần có thể có những tác động không mong muốn mà một kẻ tấn công có thể lợi dụng. Ví dụ, nếu TSF có thể được bỏ qua nếu người dùng truy nhập vào hệ điều hành cơ sở, nó có thể là có thể có được quyền truy nhập này sau trình tự đăng nhập bằng cách khám phá hiệu quả thực hiện kiểm soát khác nhau hoặc thoát khỏi trình tự trong khi mật khẩu đang được xác thực.

j) Làm mất hiệu lực những đặc tính và những giả định trong đó các thành phần mức thấp dựa vào bao gồm các cuộc tấn công dựa trên việc phá bỏ những ràng buộc của một ứng dụng để truy nhập vào hệ điều hành cơ sở để bỏ qua các TSF của một ứng dụng. Trong trường hợp này giả định được coi là mất hiệu lực và người dùng ứng dụng này không thể truy nhập được. Một cuộc tấn công tương tự có thể được dự tính dựa trên ứng dụng trên một hệ thống quản lý cơ sở dữ liệu cơ bản: một lần nữa TSF có thể được bỏ qua nếu một kẻ tấn công có thể phá bỏ những ràng buộc của ứng dụng.

k) Tấn công dựa trên việc đọc dữ liệu nhạy cảm được lưu trữ trong các khu vực được bảo vệ không hợp lý (áp dụng những nơi mà tính mật được quan tâm) bao gồm các vấn đề sau đây cần được xem xét khi muốn có quyền truy nhập vào dữ liệu nhạy cảm:

1) quét đĩa;

2) truy nhập vào bộ nhớ không được bảo vệ;

3) khai thác quyền truy nhập vào các tệp tin được chia sẻ mà có thể ghi lại được hoặc các tài nguyên được chia sẻ khác (ví dụ như các tệp tin trung gian);

4) kích hoạt khắc phục lỗi để xác định những gì người dùng cập có thể có được. Ví dụ, sau một sự cố, hệ thống khôi phục lại tệp tin tự động có thể sử dụng một thư mục bị mất và được tìm thấy thay thế cho các tệp tin không có tiêu đề, mà trên đĩa không có nhãn. Nếu TOE thực thi những kiểm soát truy nhập bắt buộc, thì điều quan trọng là phải kiểm tra tại mức bảo mật mà thư mục này có được (ví dụ như tại hệ thống) và những người có quyền truy nhập vào thư mục này.

...

Đối với TOE phần mềm mà việc đánh giá các hoạt động con (ADV_IMP.2) và ALC_TAT.2 hoặc các thành phần cao hơn bao gồm trong gói đảm bảo, người đánh giá có thể xem xét trong quá trình phân tích dụng cụ của chúng mà các thư viện và các gói được liên kết bởi trình biên dịch trong giai đoạn soạn thảo để xác định các back-door không được đưa vào giai đoạn này.

B.2.1.2 Can thiệp

Tấn công can thiệp là tấn công trên đó kẻ tấn công cố tìm cách làm ảnh hưởng đến hành xử của TSF (tức là sửa đổi hoặc làm mất khả năng kích hoạt), ví dụ:

a) truy nhập dữ liệu có tính mật hoặc tính toàn vẹn mà TSF dựa vào;

b) bắt buộc TOE phải đối phó với tình huống bất thường hoặc không mong đợi;

c) vô hiệu hóa hoặc trì hoãn thực thi an toàn;

d) thay đổi vật lý TOE.

Cần phải xem xét từng khoản mục dưới đây (nếu liên quan) trong phân tích điểm yếu độc lập của người đánh giá.

a) Các cuộc tấn công dựa trên truy nhập dữ liệu có tính mật hoặc tính toàn vẹn được bảo vệ, bao gồm:

...

2) sử dụng một thành phần trong một tình huống không mong đợi hoặc với mục đích không mong muốn;

3) sử dụng giao diện giữa các thành phần không thể thấy được với mức độ trừu tượng cao hơn.

b) Đọc, ghi hoặc sửa đổi dữ liệu nội bộ trực tiếp hoặc gián tiếp bao gồm các kiểu tấn công cần sau đây cần được xem xét:

1) đọc "những bí mật" được lưu trữ nội bộ, chẳng hạn như mật khẩu người dùng;

2) giả mạo dữ liệu nội bộ mà cơ chế thực thi an toàn dựa vào;

3) sửa đổi các biến môi trường (ví dụ: tên logic) hoặc dữ liệu trong các file cấu hình hoặc file tạm thời.

c) Có thể đánh lừa một quá trình tin cậy để sửa đổi một file được bảo vệ mà bình thường nó không truy cập.

d) Người đánh giá cũng nên xem xét "các tính năng nguy hiểm" sau đây:

1) mã nguồn của TOE với chương trình biên dịch (chẳng hạn như có thể có thể sửa đổi mã nguồn đăng nhập);

...

3) khả năng thay đổi mức điều khiển thiết bị, nơi không có bảo vệ tệp tin;

4) mã chẩn đoán trong mã nguồn;

5) công cụ của người phát triển còn lại trong TOE.

đ) Sử dụng một thành phần trong một tình huống không mong đợi hoặc với một mục đích không mong muốn, nếu TOE là một ứng dụng được xây dựng trên một hệ điều hành, bao gồm (ví dụ) người sử dụng khai thác kiến thức của một gói xử lý văn bản hoặc trình soạn thảo khác để sửa đổi tập lệnh riêng của họ (ví dụ như để có được đặc quyền cao hơn).

f) Sử dụng giao diện giữa các thành phần không thể thấy được với mức độ trừu tượng cao hơn bao gồm các cuộc tấn công khai thác truy nhập các nguồn tài nguyên được chia sẻ, trong đó việc sửa đổi nguồn tài nguyên của một thành phần có thể ảnh hưởng đến hành xử của thành phần (đáng tin cậy) khác, ví dụ như ở mức mã nguồn, thông qua việc sử dụng các dữ liệu chung hoặc các cơ chế gián tiếp như bộ nhớ được chia sẻ hoặc các semaphores.

g) Phải lưu ý thường xuyên đến các cuộc tấn công dựa trên việc bắt buộc TOE đối phó với tình huống bất thường hoặc không mong đợi. Các mục liên quan bao gồm:

1) tạo đầu vào không mong muốn cho một thành phần;

2) làm mất hiệu lực những giả định và các thuộc tính mà các thành phần mức thấp hơn dựa vào.

h) Tạo đầu vào không mong muốn cho một thành phần bao gồm việc kiểm tra hành xử của TOE khi:

...

2) các lệnh hoặc các thông số không hợp lệ được nhập vào (kể cả việc cung cấp một tham số chỉ đọc cho một giao diện mà mong muốn sẽ gửi lại dữ liệu thông qua tham số đó và cung cấp dữ liệu đầu vào không đúng định dạng mà sẽ thất bại trong việc phân tách như chèn lệnh SQL, chuỗi định dạng);

3) đánh dấu kết thúc file (ví dụ như dùng tổ hợp phím Ctrl-Z hoặc Ctrl-D) hoặc chèn ký tự null vào tính năng kiểm tra dấu vết.

i) Làm mất hiệu lực những giả định và các thuộc tính mà các thành phần mức thấp hơn dựa vào bao gồm các cuộc tấn công lợi dụng các lỗi trong mã nguồn nếu mã nguồn giả định rằng dữ liệu bảo mật có liên quan có định dạng cụ thể hoặc có một loạt các giá trị cụ thể. Trong những trường hợp này người đánh giá nên xác định xem liệu họ có thể làm mất hiệu lực những giả định như vậy bằng cách tạo ra các dữ liệu có định dạng khác hoặc có các giá trị khác nhau hay không và nếu như vậy liệu có thể tạo lợi thế cho kẻ tấn công hay không.

j) Hành xử chính xác của TSF có thể phụ thuộc vào các giả định mà bị mất hiệu lực trong các trường hợp mà đạt được những giới hạn tài nguyên hoặc tham số đạt giá trị lớn nhất. Người đánh giá cần lưu ý đến hành xử của TOE khi đã đạt được những giới hạn này, ví dụ:

1) thay đổi ngày (ví dụ như kiểm tra cách TOE hành xử khi vượt qua ngưỡng ngày tới hạn);

2) làm đầy các ổ đĩa;

3) vượt quá số người dùng tối đa;

4) điền vào log kiểm tra;

5) bão hòa hàng đợi cảnh báo an toàn tại giao diện hàng đợi;

...

7) làm tràn ngập mạng hoặc các host riêng biệt bởi lưu lượng;

8) làm đầy các bộ nhớ đệm hoặc các trường dữ liệu.

k) Các cuộc tấn công dựa trên vô hiệu hóa hoặc trì hoãn thực thi an toàn bao gồm các mục sau đây:

1) ngắt hoặc sử dụng các chức năng lập lịch làm gián đoạn việc sắp xếp chuỗi;

2) làm gián đoạn sự trùng lập về thời gian;

3) sử dụng các giao diện giữa các thành phần mà không thấy được ở mức độ trừu tượng cao hơn.

l) Sử dụng các ngắt hoặc các chức năng lập lịch để làm gián đoạn việc sắp xếp chuỗi bao gồm việc kiểm tra hành xử của TOE khi:

1) một lệnh bị ngắt (với Ctrl-C, Ctrt-Y, vv);

2) một ngắt thứ hai được hình thành trước khi ngắt thứ nhất được công nhận.

...

n) Làm gián đoạn sự trùng lập về thời gian bao gồm việc kiểm tra hành xử của TOE khi hai hoặc nhiều đối tượng cố gắng truy nhập đồng thời. TOE có thể đối phó với interlocking khi hai đối tượng cố gắng truy nhập đồng thời, nhưng hành xử đó trở nên kém xác định khi có sự hiện diện của nhiều đối tượng hơn nữa. Ví dụ, một quy trình an toàn có thể được đặt trong trạng thái chờ-tài nguyên nếu hai quá trình khác đang truy nhập vào một tài nguyên mà nó cần.

o) Sử dụng các giao diện giữa các thành phần mà không thấy được ở một mức độ trừu tượng cao hơn có thể làm trì hoãn một khoảng thời gian tới hạn đáng tin cậy.

p) Tấn công quyền truy nhập vật lý có thể được phân loại thành thăm dò vật lý, thao tác vật lý vật lý, thay đổi quyền truy nhập vật lý và thay thế quyền truy nhập vật lý.

1) Thăm dò vật lý bằng cách xâm nhập vào TOE để nhằm vào các mục tiêu bên trong của TOE, ví dụ như đọc các giao diện truyền thông nội bộ, các dòng hay các bộ nhớ.

2) Thao tác vật lý có thể cùng với các phần bên trong TOE nhằm thay đổi nội bộ của TOE (ví dụ: bằng cách sử dụng cảm ứng lỗi quang học như là quá trình tương tác), tại giao diện bên ngoài của TOE (ví dụ: do nguồn điện hoặc đồng hồ chạy không ổn định) và môi trường TOE (ví dụ như điều chỉnh nhiệt độ).

3) Việc thay đổi quyền truy nhập vật lý về sự an toàn nội bộ của TOE buộc các thuộc tính kế thừa đặc quyền hoặc các khả năng khác mà bị từ chối trong quá hoạt động bình thường. Việc thay đổi này có thể gây ra bởi lỗi cảm ứng lỗi quang học. Các cuộc tấn công dựa trên việc thay đổi quyền truy nhập vật lý cũng có làm thay đổi chính bản thân TSF, ví dụ bằng cách gây ra lỗi tại dữ liệu chương trình nội bộ TOE truyền đi trước khi thực hiện. Lưu ý rằng kiểu tấn công đường vòng bằng cách thay đổi chính TSF có thể hủy hoại mọi TSF mỗi TSF trừ khi có các biện pháp khác (có thể là biện pháp môi trường) ngăn cản kẻ tấn công có được quyền truy nhập vật lý đến TOE.

4) Thay thế quyền truy nhập vật lý để thay thế TOE bằng một thực thể công nghệ thông tin khác trong khi chuyển giao hoặc hoạt động TOE. Việc thay thế trong khi chuyển giao TOE từ môi trường phát triển đến người dùng sẽ được ngăn ngừa thông qua việc áp dụng các thủ tục chuyển giao an toàn (chẳng hạn như xem xét các thủ tục đó dưới thành phần an toàn phát triển (ALC_DVS)). Việc thay thế trong khi hoạt động TOE có thể được xem xét thông qua việc kết hợp hướng dẫn người dùng và môi trường vận hành, như thế người dùng có thể tin tưởng rằng họ đang tương tác với TOE.

B.2.1.3 Tấn công trực tiếp

Tấn công trực tiếp bao gồm việc định danh các kiểm thử xâm nhập để kiểm thử độ mạnh của cơ chế hoán vị hoặc cơ chế tính xác suất và các cơ chế khác để đảm bảo chúng chịu được cuộc tấn công trực tiếp.

...

Nếu cơ chế hoán vị hoặc cơ chế tính xác suất dựa vào việc lựa chọn giá trị thuộc tính an toàn (ví dụ như chọn độ dài của mật khẩu) hoặc nhập dữ liệu (ví dụ như chọn mật khẩu) thì các giả định cần phản ánh được trường hợp xấu nhất.

Cơ chế hoán vị hoặc cơ chế tính xác suất cần được xác định trong quá trình kiểm tra bằng chứng yêu cầu như là đầu vào đối với hoạt động phụ này (đích an toàn, đặc tả chức năng, thiết kế TOE) và tài liệu TOE khác (ví dụ như hướng dẫn) có thể xác định thêm cơ chế hoán vị hoặc cơ chế tính xác suất.

Nếu chứng cớ hoặc hướng dẫn thiết kế bao gồm những xác nhận hoặc giả định (ví dụ như có thể có khoảng bao nhiêu nỗ lực xác thực trong một phút), người đánh giá cần độc lập xác nhận rằng những xác nhận hoặc những giả định này có chính xác hay không. Việc này có thể đạt được thông qua việc kiểm thử hoặc thông qua phân tích độc lập.

Các cuộc tấn công trực tiếp dựa vào điểm yếu trong một thuật toán mật mã không được xem xét khi phân tích điểm yếu (AVA_VAN), vì điều này nằm ngoài phạm vi của tiêu chuẩn TCVN 8709 (ISO/IEC 15408). Sự chính xác của việc thực thi các thuật toán mật mã hóa được xem xét trong các hoạt động của lớp ADV và ATE.

B.2.1.4 Giám sát

Thông tin là một cái nhìn trừu tượng về mối quan hệ giữa các thuộc tính của các thực thể, có nghĩa là một tín hiệu có thể chứa thông tin của một hệ thống nếu một TOE có sự tương ứng với tín hiệu này. Các nguồn tài nguyên của TOE xử lý và lưu trữ thông tin thu thập được từ dữ liệu người dùng, do đó:

a) thông tin dữ liệu người dùng có thể được truyền giữa các đối tượng bởi vận chuyển nội bộ TOE hoặc xuất từ TOE;

b) thông tin có thể được tạo ra và truyền đến dữ liệu người dùng khác;

c) thông tin có thể được thu thập thông qua việc giám sát các hoạt động trên dữ liệu đặc trưng cho các thông tin.

...

Một khía cạnh khác là phân tích luồng thông tin không hợp pháp. Khía cạnh phân tích này phổ biến hơn truy nhập trực tiếp đến các đối tượng chứa dữ liệu người dùng được đưa ra bởi họ FDP_ACC. Kênh thông tin chứa các thông không chính thống truyền thông tin dưới kiểm soát của chính sách kiểm soát luồng thông tin có thể được tạo ra qua việc theo dõi tiến trình của bất kỳ đối tượng nào chứa hoặc có liên quan đến thông tin này (ví dụ như bằng cách sử dụng phương thức tấn công thông qua các kênh phụ). Các kênh thông tin chính thống có thể được xác định thông qua các đối tượng thao tác các nguồn tài nguyên và đối tượng hoặc người dùng mà giám sát việc thao tác này. Các kênh bất hợp pháp (covert channels - là các kênh liên lạc không mong muốn, truyền tải dữ liệu theo một cách thức làm vi phạm đến chính sách an toàn) được phân thành các kênh định thời hoặc các kênh lưu trữ, các kênh này sử dụng khả năng điều chế hoặc thay đổi những nguồn tài nguyên hệ thống mà nó sử dụng. Còn đối với các cuộc tấn công giám sát, sử dụng TOE phù hợp với các SFR.

Kênh bất hợp pháp có thể áp dụng trong trường hợp TOE có các yêu cầu về chính sách an toàn công nghệ thông tin phân chia nhiều mức và không có khả năng giám sát. Các kênh bất hợp pháp có thể thường xuyên bị phát hiện trong khi phân tích điểm yếu và trong các hoạt động thiết kế và do đó nó phải được kiểm thử. Tuy nhiên, các cuộc tấn công giám sát chỉ được xác định thông qua các kỹ thuật phân tích chuyên dụng thường được gọi là "phân tích kênh bất hợp pháp". Các kỹ thuật này đã là chủ đề của nhiều nghiên cứu và đã có nhiều bài báo xuất bản nói về chủ đề này. Việc hướng dẫn thực hiện phân tích kênh bất hợp pháp sẽ được cung cấp từ các tổ chức đánh giá.

Các cuộc tấn công giám sát luồng tin không chính thống bao gồm các kỹ thuật phân tích thụ động nhằm tiết lộ dữ liệu nội bộ nhạy cảm của TOE bằng cách vận hành TOE theo cách tương ứng với các tài liệu hướng dẫn.

Việc phân tích kênh phụ bao gồm các kỹ thuật phân tích mà dựa trên rò rỉ vật lý của TOE. Rò rỉ vật lý có thể xảy ra bởi kênh thông tin định thời, tiêu thụ nguồn và phát nguồn trong khi tính toán TSF. Thông tin định thời cũng có thể được sưu tập bởi kẻ tấn công từ xa (có mạng truy nhập vào TOE), nguồn dựa trên các kênh thông tin yêu cầu các kẻ tấn công đó ở ngay cạnh môi trường của TOE.

Các kỹ thuật nghe lén bao gồm việc chặn tất cả các dạng năng lượng, ví dụ điện từ hoặc phát quang học của màn hình máy tính, không nhất thiết ở trong trường gần của TOE.

Giám sát cũng bao gồm việc khai thác các lỗ hổng giao thức, ví dụ tấn công vào SSL

B.2.1.5 Sử dụng sai đặc quyền

Việc sử dụng sai đặc quyền thể do:

a) tài liệu hướng dẫn không đầy đủ;

...

c) lỗi cấu hình không mong muốn của TOE;

d) hành xử ngoại lệ của TOE.

Nếu các tài liệu hướng dẫn không đầy đủ thì người sử dụng không thể biết cách để vận hành TOE phù hợp với các SFR. Người đánh giá khi áp dụng phải hiểu rõ về TOE có được từ việc thực hiện các hoạt động đánh giá khác để xác định rằng hướng dẫn là đầy đủ. Đặc biệt, người đánh giá cần xem xét các đặc tả chức năng. TSF được mô tả trong tiêu chuẩn này phải được mô tả trong hướng dẫn để cho phép quản trị và sử dụng an toàn thông qua các TSF có sẵn cho người sử dụng. Ngoài ra, nhau cũng cần phải xem xét các chế độ hoạt động khác để đảm bảo rằng hướng dẫn được áp dụng cho tất cả các chế độ hoạt động.

Người đánh giá có thể ánh xạ không chính thức giữa hướng dẫn và các tài liệu này. Bất kỳ sự thiếu sót nào trong khi ánh xạ có thể chỉ ra sự không hợp lý.

Hướng dẫn được xem là không hợp lý nếu nó đòi hỏi sử dụng TOE và môi trường vận hành mà không nhất quán với ST hoặc không đủ để duy trì an toàn.

Một TOE có thể sử dụng nhiều cách khác nhau để hỗ trợ người tiêu dùng sử dụng một cách hiệu quả TOE đó phù hợp với các SFR và ngăn ngừa cấu hình lỗi không chủ ý. Một TOE có thể sử dụng chức năng (tính năng) để cảnh báo người tiêu dùng khi TOE ở trong trạng thái không nhất quán với các SFR, trong khi TOE khác có thể được chuyển giao có hướng dẫn nâng cao chứa những đề nghị, gợi ý, thủ tục, v.v...khi sử dụng tính năng an toàn hiện có một cách hiệu quả nhất, ví dụ, hướng dẫn việc sử dụng tính năng kiểm tra để phát hiện khi nào các SFR là bị tổn hại; cụ thể là không an toàn.

Người đánh giá xem xét chức năng, mục đích và mục tiêu an toàn của TOE đối với môi trường vận hành để đi đến một kết luận dù có hay không mong muốn sử dụng hướng dẫn sẽ cho phép chuyển sang trạng thái không an toàn được phát hiện bằng cách xử lý kịp thời.

Khả năng TOE rơi vào trạng thái không an toàn có thể được xác định bằng cách sử dụng các dụng cụ đánh giá, chẳng hạn như ST, các đặc tả chức năng và những người đại diện thiết kế khác cung cấp chứng cớ cho các thành phần kể cả gói đảm bảo cho TOE (ví dụ đặc tả thiết kế TOE /TSF nếu bao gồm một thành phần thiết kế cơ bản TOE (ADV_TDS)).

Các trường hợp hành xử ngoại lệ của TSF bao gồm dưới đây, các trường hợp này không giới hạn đối với:

...

b) hành xử của TOE trong những trường hợp cực đoan (đôi khi được gọi là hành xử quá tải hoặc tiệm cận), đặc biệt là khi việc này có thể dẫn đến việc ngừng hoạt động hoặc vô hiệu hóa các phần của TSF;

c) mọi khả năng cấu hình sai không có chủ ý hoặc sử dụng không an toàn xuất hiện từ các cuộc tấn công đã trình bày trong mục B.2.1.2 ở trên.

B.2.2 Định danh các điểm yếu tiềm ẩn

Điểm yếu tiềm ẩn có thể được người đánh giá xác định trong khi thực hiện các hoạt động khác nhau. Chúng có thể trở thành hiển nhiên trong khi đánh giá hoặc có thể được định danh như một kết quả phân tích chứng cớ để tìm kiếm các điểm yếu.

B.2.2.1 Các điểm yếu tiềm ẩn phải đối mặt

Định danh các điểm yếu tiềm ẩn phải đối mặt là nơi mà các điểm yếu tiềm ẩn được người đánh giá xác định trong quá trình tiến hành các hoạt động đánh giá, tức là chứng cớ không được phân tích với mục đích xác định rõ ràng các điểm yếu tiềm ẩn.

Phương pháp định danh các điểm yếu tiềm ẩn phải đối mặt phụ thuộc vào kinh nghiệm và kiến thức của người đánh giá; phương pháp mà được theo dõi và kiểm soát bởi tổ chức đánh giá. Nó không thể tiếp cận được, nhưng sẽ được ghi lại để đảm bảo dùng lại các kết luận về các điểm yếu tiềm ẩn được báo cáo.

Không có tiêu chí phân tích chính thức cần thiết cho phương pháp này. Các điểm yếu tiềm ẩn được xác định từ chứng cớ được cung cấp là thành quả của việc hiểu biết và kinh nghiệm. Tuy nhiên, phương pháp định danh này không hạn chế đối với mọi tập hợp nhỏ các bằng chứng.

Người đánh giá được giả định là có kiến thức về công nghệ kiểu-TOE và các lỗ hổng bảo mật đã biết được ghi lại trong các miền công cộng. Mức độ hiểu biết được giả định là có được từ một danh sách các e-mail an toàn có liên quan đến kiểu TOE, các bản tin thường xuyên (các lỗi, điểm yếu và danh sách các lỗ hổng bảo mật) được công bố bởi các tổ chức nghiên cứu các vấn đề an toàn trong các sản phẩm và công nghệ đang được sử dụng rộng rãi. Kiến thức này không mở rộng đối với các biên bản hội nghị cụ thể hoặc hoặc luận văn chi tiết của trường đại học nghiên cứu về AVA_VAN.1 hoặc AVA_VAN.2. Tuy nhiên, để đảm bảo những kiến thức được áp dụng sẽ được cập nhật thường xuyên thì người đánh giá cần phải tìm kiếm tài liệu về miền an toàn công khai.

...

Ví dụ việc này có thể xảy ra (cách người đánh giá có thể phải đối mặt với các điểm yếu tiềm ẩn):

a) trong khi người đánh giá kiểm tra một vài chứng cớ, nó khuấy động bộ nhớ của một điểm yếu tiềm ẩn được xác định trong một loại sản phẩm tương tự, mà người đánh giá tin là cũng có trong TOE đang được đánh giá;

b) trong khi kiểm tra một số bằng chứng, người đánh giá phát hiện ra một lỗ hổng trong đặc tả của một giao diện, đó tương ứng với một điểm yếu tiềm ẩn.

Việc này có thể gồm nhận thức thích hợp về một điểm yếu tiềm ẩn trong một TOE thông qua việc đọc ra các điểm yếu chung trong một loại sản phẩm cụ thể trong một ấn phẩm về an toàn công nghệ thông tin hoặc trong một danh sách các e-mail an toàn mà người đánh giá đã đặt mua.

Các phương pháp tấn công có thể được phát triển trực tiếp từ các điểm yếu tiềm ẩn. Do đó, các điểm yếu tiềm ẩn phải đối mặt được tổng hợp tại thời điểm khởi tạo kiểm thử xâm nhập dựa trên phân tích điểm yếu của người đánh giá. Không có hành động rõ ràng cho người đánh giá khi đối mặt với các điểm yếu tiềm ẩn.

Do đó, người đánh giá được hướng dẫn thông qua một hành động ngầm được quy định trong AVA_VAN.1.2E và AVA_VAN .*. 4E.

Thông tin hiện thời liên quan đến điểm yếu của miền và các cuộc tấn công có thể được một tổ chức đánh giá cung cấp cho người đánh giá. Thông tin này được người đánh giá tính đến khi kiểm tra và so sánh các điểm yếu phải đối mặt với các phương pháp tấn công khi triển khai kiểm thử xâm nhập.

B.2.2.2 Phân tích

Các loại phân tích sau đây được thể hiện theo những hành động của người đánh giá.

...

Phân tích phi cấu trúc được thực hiện bởi người đánh giá (đánh giá các hoạt động con (AVA_VAN.2)) cho phép người đánh giá xem xét các điểm yếu chung (như đã thảo luận trong B.2.1). Người đánh giá cũng sẽ dùng kinh nghiệm và kiến thức về các lỗ hổng bảo mật của họ trong các loại công nghệ tương tự.

B.2.2.2.2 Phân tích trọng tâm

Trong khi thực hiện các hoạt động đánh giá, người đánh giá cũng có thể xác định được các vùng liên quan. Đó là những phần chứng cớ TOE mà người đánh giá có một chút e dè, mặc dù các chứng cớ đáp ứng được các yêu cầu về các hoạt động mà các chứng cớ có liên quan. Ví dụ, một đặc tả giao diện cụ thể có vẻ phức tạp và do đó có thể dễ xảy ra lỗi hoặc trong giai đoạn phát triển TOE hoặc trong giai đoạn hoạt động của TOE. Không có điểm yếu tiềm ẩn rõ ràng ở giai đoạn này và cần phải nghiên cứu thêm. Điều này nằm ngoài phạm vi giới hạn của các điểm yếu tiềm ẩn phải đối mặt, do đó cần nghiên cứu thêm.

Sự khác biệt giữa điểm yếu tiềm ẩn và vùng liên quan:

a) Điểm yếu tiềm ẩn - Người đánh giá biết được phương pháp tấn công có thể được sử dụng để khai thác các điểm yếu hoặc người đánh giá biết được thông tin về các điểm yếu có liên quan đến TOE.

b) Vùng liên quan - Người đánh giá có thể có thể không quan tâm như đối với điểm yếu tiềm ẩn dựa trên thông tin cung cấp ở nơi khác. Trong khi đọc ra đặc tả giao diện, người đánh giá xác định rằng do sự phức tạp quá mức (không cần thiết) của một giao diện mà điểm yếu tiềm ẩn có thể nằm trong vùng đó, mặc dù nó là không rõ ràng thông qua kiểm tra ban đầu này.

Phương pháp định danh trọng tâm các điểm yếu là phân tích các chứng cớ với mục tiêu xác định mọi điểm yếu tiềm ẩn rõ ràng qua thông tin chứa đựng nó. Nó được gọi là phân tích không có cấu trúc, như một phương pháp không được xác định trước. Phương pháp định danh các điểm yếu tiềm ẩn có thể được sử dụng trong khi phân tích điểm yếu độc lập được yêu cầu bởi đánh giá hoạt động con (AVA_VAN.3).

Phân tích này có thể có được thông qua các phương pháp khác nhau, sẽ dẫn đến mức độ tin cậy tương xứng. Không một phương pháp nào có một định dạng cứng nhắc cho việc kiểm tra các chứng cớ.

Các phương pháp thực hiện được định hướng theo Kết quả đánh giá đánh giá các chứng cứ của người đánh giá để xác định nó đáp ứng được các yêu cầu của các hoạt động phụ của lớp AVA/AGD. Do đó, việc điều tra các chứng cớ về sự tồn tại của các điểm yếu tiềm ẩn có thể được hướng dẫn theo bất kỳ mục nào sau đây:

...

b) nhờ vào chức năng đặc biệt để phân tách, xác định khi phân tích thiết kế kiến trúc (như trong đánh giá hoạt động con (ADV_ARC.1)), đòi hỏi phải phân tích thêm để xác định nó không thể bị bỏ qua;

c) kiểm tra các bằng chứng tiêu biểu để giả thuyết có các điểm yếu tiềm ẩn trong TOE.

Người đánh sẽ báo cáo những hành động nào được thực hiện để xác định các điểm yếu tiềm ẩn trong các chứng cớ. Tuy nhiên người đánh giá không thể mô tả các bước khi xác định các điểm yếu tiềm ẩn trước khi bắt đầu kiểm tra. Phương pháp này sẽ đưa ra một kết quả về các tác động của các hoạt động đánh giá.

Vùng liên quan có thể xuất hiện từ việc kiểm tra các chứng cớ được cung cấp để thỏa mãn các SAR quy định cho đánh giá TOE. Các thông tin công khai có thể truy nhập cũng cần phải xem xét.

Các hoạt động được thực hiện bởi người đánh giá có thể được lặp đi lặp lại và đưa ra những kết luận như nhau, về mức độ đảm bảo trong TOE, có thể đạt được mặc dù các bước thực hiện để đạt được những kết luận có thể khác nhau. Mặc dù người đánh giá ghi lại dạng phân tích đã thực hiện thì các bước thực tế được thực hiện để có được những kết luận đó.

B.2.2.2.3 Phân tích có hệ thống

Phân tích có hệ thống đưa ra một dạng kiểm tra có cấu trúc các chứng cớ. Phương pháp này đòi hỏi người đánh giá phải xác định cấu trúc và dạng phân tích sẽ thực hiện (tức là cách thức mà các phân tích được thực hiện được xác định trước, không giống như phương pháp định danh tập trung). Phương pháp này được quy định theo thông tin mà sẽ được xem xét và làm thế nào/ tại sao nó được xem xét. Phương pháp định danh các điểm yếu tiềm ẩn có thể được sử dụng trong khi phân tích điểm yếu độc lập được yêu cầu bởi đánh giá hoạt động con (AVA_VAN.4) và đánh giá hoạt động con (AVA_VAN.5).

Phân tích các chứng cớ này là có chủ ý và có chuẩn bị trước, xem xét tất cả các chứng cớ xác định như một đầu vào trong các phân tích.

Tất cả chứng cớ được cung cấp thỏa mãn yêu cầu lớp đảm bảo (ADV) quy định trong các gói đảm bảo được sử dụng như là đầu vào cho hoạt động định danh điểm yếu tiềm ẩn.

...

Dưới đây trình bày một số ví dụ mà một giả thuyết có thể đưa ra:

a) xem xét đầu vào đối với các giao diện có sẵn cho một kẻ tấn công tại các giao diện ngoài;

b) kiểm tra cơ chế an toàn, chẳng hạn như phân cách miền, giả thiết rằng bộ đệm tràn dẫn đến sự suy giảm việc phân cách miền;

c) phân tích để xác định những đối tượng được tạo ra trong TOE đại diện thực hiện mà sau đó không hoàn toàn kiểm soát bởi TSF và có thể được sử dụng bởi một kẻ tấn công để phá hoại các SFR.

Ví dụ, đánh giá có thể xác định rằng giao diện là một tiềm năng diện tích yếu kém trong TOE và xác định một cách tiếp cận để phân tích rằng "tất cả các giao diện thông số kỹ thuật được cung cấp trong các đặc tả chức năng và thiết kế TOE sẽ được phân tích để đưa ra giả thuyết điểm yếu tiềm ẩn" và tiếp tục giải thích các phương pháp đã được sử dụng trong các giả thuyết.

Điều này xác định phương pháp sẽ cung cấp một kế hoạch tấn công của TOE, mà có thể được thực hiện bởi một người đánh giá hoàn thành kiểm thử xâm nhập của các Điểm yếu tiềm ẩn trong TOE. Các lý do cho các phương pháp của xác định sẽ cung cấp chứng cớ cho độ bao gồm và độ sâu khai thác xác định rằng sẽ được thực hiện trên TOE.

B.3 Khi nào khả năng tấn công được sử dụng

B.3.1 Người phát triển

Khả năng tấn công được sử dụng bởi tác giả PP/ST trong khi phát triển PP/ST, khi xem xét các mối đe dọa môi trường và lựa chọn các thành phần đảm bảo. Việc này có thể chỉ đơn giản là xác định xem khả năng tấn công của những kẻ tấn công giả định TOE được mô tả tổng quát là khả năng tấn công mức cơ bản, khả năng tấn công mức nâng cao-cơ bản, khả năng tấn công mức vừa phải hoặc cao. Ngoài ra, PP/ST có thể xác định mức độ cụ thể của các nhân tố được giả định là thuộc quyền sở hữu của những kẻ tấn công, (ví dụ những kẻ tấn công được giả định là chuyên gia công nghệ TOE, truy nhập được vào thiết bị của chuyên gia.)

...

B.3.2 Người đánh giá

Khả năng tấn công được xem xét đặc biệt bởi người đánh giá theo hai cách khác nhau trong khi thực hiện các hoạt động đánh giá ST và đánh giá điểm yếu.

Khả năng tấn công được người đánh giá sử dụng trong quá trình thực hiện hoạt động phụ phân tích điểm yếu để xác định xem liệu rằng TOE có hay không có khả năng chống lại các cuộc tấn công được giả định khả năng tấn công cụ thể của kẻ tấn công. Nếu người đánh giá xác định rằng một điểm yếu tiềm ẩn là có thể khai thác trong TOE, họ phải xác nhận rằng nó có thể khai thác khi xem xét tất cả các khía cạnh của môi trường dự định, kể cả khả năng tấn giả định của một kẻ tấn công.

Do đó, việc sử dụng thông tin được cung cấp trong tuyên bố mối đe dọa của Đích an toàn, người đánh giá xác định được khả năng tấn công tối thiểu theo yêu cầu của một kẻ tấn công để thực hiện một cuộc tấn công và đi đến một số kết luận về khả năng chống lại các cuộc tấn công của TOE. Bảng B.1 minh họa mối quan hệ giữa sự phân tích và khả năng tấn công này.

Bảng B.1 - Kiểm thử điểm yếu và khả năng tấn công

Thành phần điểm yếu

TOE chống lại kẻ tấn công với khả năng tấn công:

Điểm yếu còn tồn tại chỉ có thể khai thác bởi kẻ tấn công với khả năng tấn công:

VAN.5

...

Trên mức cao

VAN.4

Mức vừa phải

Mức cao

VAN.3

Mức nâng cao-cơ bản

Mức vừa phải

VAN.2

Mức cơ bản

...

VAN.1

Mức cơ bản

Mức nâng cao-cơ bản

Cụm từ "trên mức cao" trong cột điểm yếu còn tồn tại của bảng trên đặc trưng cho những điểm yếu tiềm ẩn mà đòi hỏi kẻ tấn công phải có khả năng tấn công lớn hơn "mức cao" để khai thác các điểm yếu tiềm ẩn. Một điểm yếu được phân loại là điểm yếu còn tồn tại trong trường hợp này phản ánh thực tế là một điểm yếu đã biết tồn tại trong TOE, nhưng trong môi trường vận hành hiện tại, với khả năng tấn công giả định, thì điểm yếu không thể khai thác được.

Ở bất kỳ khả năng tấn công mức nào, một điểm yếu tiềm ẩn có thể được cho rằng "không thể khắc phục được" nhờ biện pháp đối phó trong môi trường vận hành đã ngăn ngừa điểm yếu khỏi bị khai thác.

Phân tích điểm yếu áp dụng cho tất cả TSFI, bao gồm cả những người đó truy nhập xác suất hoặc cơ chế hoán vị. Không có giả định nào đưa ra liên quan đến tính chính xác của thiết kế và việc thực hiện các TSFl, cũng không có ràng buộc về phương pháp tấn công hoặc sự ảnh hưởng của kẻ tấn công với TOE - nếu có thể có một cuộc tấn công, sau đó nó được xem xét trong khi phân tích điểm yếu. Như trình bày trong Bảng B.1, việc đánh giá thành công đối với một thành phần bảo đảm điểm yếu cho thấy TSF được thiết kế và thực hiện để chống lại mức đe dọa cần thiết.

Người đánh giá không cần thiết phải thực hiện tính toán khả năng tấn công cho từng điểm yếu tiềm ẩn. Trong một số trường hợp, điều hiển nhiên khi phát triển phương pháp tấn công liệu rằng có hay không khả năng tấn công cần thiết để phát triển và thực hiện các phương pháp tấn công là tương xứng với giả định của kẻ tấn công trong môi trường vận hành. Đối với bất kỳ điểm yếu nào mà được xác định có khai thác được, người đánh giá phải thực hiện tính toán khả năng tấn công để xác định rằng việc khai thác là phù hợp với mức khả năng tấn công được giả định áp dụng cho kẻ tấn công.

Các phương pháp mô tả dưới đây được áp dụng bất cứ khi nào nó cần tính toán khả năng tấn công, trừ khi tổ chức đánh giá đưa ra hướng dẫn bắt buộc rằng phải áp dụng một phương pháp thay thế. Các giá trị cho trong bảng B.2 và B.3 dưới đây chưa được chứng minh bằng toán học. Do đó, các giá trị cho trong các bảng này cần phải điều chỉnh theo loại công nghệ và môi trường cụ thể. Người đánh giá nên xin tài liệu hướng dẫn từ các tổ chức đánh giá.

B.4 Tính toán khả năng tấn công

...

Khả năng tấn công bao gồm các yếu tố về chuyên gia, nguồn tài nguyên và động cơ. Có nhiều phương pháp đại diện và định lượng các yếu tố này. Ngoài ra, có thể có các yếu tố khác được áp dụng cho các kiểu TOE đặc biệt.

B.4.1.1 Nghiên cứu động cơ tấn công

Động cơ là một yếu tố khả năng tấn công mà có thể được sử dụng để mô tả một vài khía cạnh liên quan đến kẻ tấn công và các tài sản mà kẻ tấn công mong muốn. Thứ nhất, động cơ có thể ngụ ý rằng có khả năng xảy ra một cuộc tấn công - có thể suy ra từ một mối đe dọa được mô tả là có động cơ cao rằng một cuộc tấn công sắp xảy ra hoặc không có cuộc tấn công được dự đoán từ một mối đe dọa có động cơ. Tuy nhiên, ngoại trừ hai mức động cơ, rất khó biết được khả năng xảy ra một cuộc tấn công xuất hiện từ động cơ.

Thứ hai, động cơ có thể ngụ ý rằng giá trị tài sản, tiền bạc hoặc cái gì khác, cho kẻ tấn công hoặc người giữ tài sản. Tài sản có giá trị cao có nhiều khả năng để thúc đẩy một cuộc tấn công hơn so với tài sản ít giá trị. Tuy nhiên, nói một cách rất chung, khó có thể liên hệ giá trị tài sản với động cơ tấn công vì giá trị tài sản dựa trên quan điểm cá nhân - nó phụ thuộc phần lớn vào giá trị mà người giữ tài sản đặt vào nó.

Thứ ba, động cơ có thể bao hàm kiến thức chuyên môn và nguồn tài nguyên mà một kẻ tấn công sẵn sàng thực một cuộc tấn công.

Người ta có thể suy ra rằng kẻ tấn công có động cơ cao có khả năng có được đầy đủ kiến thức chuyên môn và nguồn tài nguyên để đánh bại các biện pháp bảo vệ tài sản. Ngược lại, có thể suy ra rằng một kẻ tấn công có kiến thức chuyên môn và nguồn tài nguyên đáng kể không sẵn sàng thực hiện một cuộc tấn công bằng cách sử dụng chúng nếu động cơ của kẻ tấn công là thấp.

Trong quá trình chuẩn bị và thực hiện đánh giá, cả ba khía cạnh - động cơ có một vài điểm cần xem xét. Khía cạnh thứ nhất, có khả năng xảy ra một cuộc tấn công, là những gì có thể thôi thúc người phát triển tiếp tục đánh giá. Nếu người phát triển tin rằng những kẻ tấn công có đủ động cơ để thực hiện một cuộc tấn công, thì việc đánh giá có thể đem đến sự đảm bảo về các khả năng của TOE để cản trở nỗ lực của kẻ tấn công. Nếu môi trường vận hành được xác định rõ ràng, ví dụ như khi đánh giá hệ thống, mức động cơ tấn công có thể đã biết và sẽ ảnh hưởng đến việc lựa chọn biện pháp đối phó.

Xem xét khía cạnh thứ hai, người giữ tài sản có thể tin rằng các giá trị tài sản (tuy nhiên đo được) đủ để tạo động cơ tấn công. Một khi việc đánh giá được xem là cần thiết thì động cơ của những kẻ tấn công cần được cân nhắc kỹ khi xác định các phương pháp tấn công, cũng như sử dụng kiến thức chuyên môn và các nguồn tài nguyên trong các cuộc tấn công này. Một khi đã kiểm tra, người phát triển có thể chọn mức đảm bảo phù hợp, đặc biệt là các thành phần yêu cầu AVA, phù hợp với các khả năng tấn công các mối đe dọa. Trong quá trình đánh giá và cụ thể là kết quả hoàn thành hoạt động đánh giá điểm yếu, người đánh giá xác định xem liệu rằng TOE có hay không hoạt động trong môi trường vận hành của nó là đủ để ngăn chặn những kẻ tấn công có kiến thức chuyên môn và tài nguyên xác định.

Tác giả PP có thể xác định được động cơ của một kẻ tấn công, vì tác giả PP có nhiều kiến thức hơn về môi trường vận hành mà trong đó TOE (phù hợp với các yêu cầu của PP) hoạt động trong đó. Do đó, động cơ có thể là một phần diễn tả không rõ ràng khả năng tấn công trong PP, cùng với các phương pháp và biện pháp cần thiết để xác định động cơ.

...

Phần này kiểm tra các yếu tố để xác định khả năng tấn công và cung cấp một số hướng dẫn để giúp loại bỏ một số các chủ thể từ khía cạnh này của quá trình đánh giá.

B.4.2.1 Xác định khả năng tấn công

Việc xác định khả năng tấn công cho một cuộc tấn công tương tự việc xác định nỗ lực cần thiết để tạo ra cuộc tấn công và để chứng minh rằng nó có thể được áp dụng thành công đối với TOE (bao gồm thiết lập lên hoặc xây dựng bất kỳ thiết bị kiểm thử cần thiết nào), từ đó khai thác các điểm yếu trong TOE. Việc chứng minh rằng các cuộc tấn công có thể được áp dụng thành công thì cần phải xem xét mọi khó khăn trong việc mở rộng kết quả được trình bày trong các phòng thí nghiệm để tạo ra một cuộc tấn công hữu ích. Ví dụ, nếu một thí nghiệm cho thấy một số bit hoặc byte của khoản mục dữ liệu mật (chẳng hạn như khóa) thì cần thiết phải xem xét làm thế nào để có được các phần còn lại của khoản mục dữ liệu (ở ví dụ này một số bit có thể đo được trực tiếp bằng cách thực hiện thêm các thí nghiệm, trong khi một số bit khác có thể được tìm thấy bằng kỹ thuật khác như tìm kiếm). Không cần thiết phải hiện tất cả các thí nghiệm để xác định đầy đủ các cuộc tấn công, miễn là phải đảm bảo rằng cuộc tấn công thực sự chứng minh được rằng việc truy nhập đến tài sản TOE đã thực hiện được và chứng minh được rằng cuộc tấn công hoàn thành có thể được thực hiện trong khi khai thác theo thành phần AVA_VAN. Trong một số trường hợp, cách duy nhất để chứng minh rằng một cuộc tấn công có thể được thực hiện khi khai thác theo thành phần AVA_VAN là để thực hiện hoàn toàn các cuộc tấn công và sau đó đánh giá nó dựa trên các nguồn tài nguyên thực sự cần thiết. Một trong những kết quả đầu ra của định danh điểm yếu tiềm ẩn được giả định là một kịch bản mà đưa ra mô tả từng bước về cách thực hiện tấn công có thể được sử dụng trong khi khai thác các điểm yếu trên một ví dụ khác của TOE.

Trong nhiều trường hợp, tốt hơn là người đánh giá nên đánh giá các tham số khai thác hơn là thực hiện khai thác đầy đủ. Những đánh giá và cách phân tích của họ sẽ được ghi lại trong ETR.

B.4.2.2 Các yếu tố cần được xem xét khi phân tích khả năng tấn công

Các yếu tố sau đây cần được xem xét khi phân tích khả năng tấn công khai thác điểm yếu:

a) Thời gian xác định và khai thác (Thời gian trôi qua);

b) Chuyên gia chuyên môn kỹ thuật cần thiết (Chuyên gia kỹ thuật);

c) Kiến thức về thiết kế và hoạt động TOE (Kiến thức về TOE);

...

e) Phần cứng/phần mềm công nghệ thông tin hoặc các thiết bị khác cần thiết để khai thác.

Trong nhiều trường hợp, những yếu tố không phụ thuộc lẫn nhau nhưng có thể thay thế cho nhau ở các mức độ khác nhau. Ví dụ, chuyên môn hoặc phần cứng/phần mềm có thể thay thế cho thời gian. Dưới đây sẽ thảo luận về các yếu tố này. Khi đó trường hợp, việc kết hợp ít "tốn kém" được xem xét trong giai đoạn khai thác.

Thời gian trôi qua là tổng số thời gian một kẻ tấn công thực hiện để xác định một điểm yếu tiềm ẩn có thể tồn tại trong TOE, để triển khai một phương pháp tấn công nhằm duy trì nỗ lực cần thiết để bố trí tấn công chống lại TOE. Khi xem xét yếu tố này, phải sử dụng kịch bản đối với trường hợp tồi tệ nhất để ước lượng khoản thời gian cần thiết. Khoảng thời gian được xác định như sau:

a) ít hơn một ngày;

b) khoảng từ một ngày đến một tuần;

c) khoảng từ một tuần đến hai tuần;

d) khoảng từ hai tuần đến một tháng;

e) một tháng đến 6 tháng;

f) trên 6 tháng.

...

a) Người không có chuyên môn không am hiểu bằng các chuyên gia hoặc những người thành thạo, không có chuyên môn đặc biệt.

b) Người thành thạo có am hiểu bởi vì họ đã quen thuộc với hành xử an toàn của các sản phẩm hoặc hệ thống.

c) Các chuyên gia quen với các thuật toán cơ bản, các giao thức, phần cứng, các cấu trúc, hành xử an toàn, các nguyên tắc và các khái niệm về an toàn khi làm việc, các kỹ thuật và các công cụ để xác định các cuộc tấn công mới, mật mã, các cuộc tấn công cổ điển với từng kiểu sản phẩm, các phương pháp tấn công, v.v... được thực hiện trong các sản phẩm hoặc kiểu hệ thống.

d) Mức "chuyên gia có nhiều am hiểu" được đưa ra đối với tình huống khi mà các lĩnh vực chuyên môn khác nhau được yêu cầu mức độ thành thạo đối với các bước riêng biệt của một cuộc tấn công.

Có thể xuất hiện một vài kiểu chuyên môn được yêu cầu. Theo mặc định, mức cao hơn của các ý kiến chuyên gia khác nhau sẽ được chọn. Trong các trường hợp cụ thể, cấp độ "chuyên gia có nhiều am hiểu" có thể được sử dụng nhưng phải lưu ý rằng ý kiến chuyên môn phải liên quan đến các lĩnh vực mà khác nhau ví dụ thao tác HW và mật mã.

Kiến thức về TOE đề cập đến ý kiến chuyên môn cụ thể liên quan đến TOE. Điều này khác với ý kiến chuyên môn chung, nhưng không phải không có liên quan đến nó. Các mức thông tin về TOE xác định như sau:

a) thông tin công khai liên quan đến TOE (ví dụ như lấy từ Internet);

b) thông tin hạn chế liên quan đến TOE (ví dụ như kiến thức được kiểm soát trong tổ chức của người phát triển và chỉ được chia sẻ với các tổ chức khác theo một thỏa thuận bí mật);

c) thông tin nhạy cảm về TOE (ví dụ như kiến thức được chia sẻ giữa các nhóm bí mật trong tổ chức của người phát triển, chỉ những thành viên của các nhóm được chỉ định mới có thể được phép truy nhập vào);

...

Các kiến thức về TOE có thể phân chia theo mức độ trừu tượng thiết kế, mặc dù điều này có thể chỉ được thực hiện trên một TOE cơ sở. Một số thiết kế TOE có thể là nguồn chung (hoặc chủ yếu dựa vào nguồn tài nguyên chung) và do đó, thậm chí các đại diện thiết kế sẽ được phân loại là chung hay bị hạn chế, trong khi đại diện thực thi cho TOE được kiểm soát rất chặt chẽ vì nó sẽ cung cấp thông tin cho kẻ tấn công và do đó được xem là nhạy cảm hoặc thậm chí quan trọng.

Có xuất hiện một số loại kiến thức được yêu cầu. Trong trường hợp này, mức cao hơn của các yếu tố kiến thức khác nhau sẽ được chọn.

Cửa sổ cơ hội (Cơ hội) cũng là một yếu tố quan trọng và quan hệ với yếu tố Thời gian trôi qua. Việc định danh hoặc khai thác điểm yếu có thể yêu cầu một số lượng đáng kể các truy nhập vào TOE mà có thể làm tăng khả năng phát hiện. Một số phương pháp tấn công có thể yêu cầu đáng kể nỗ lực hoạt động ngoại tuyến và chỉ được truy nhập ngắn gọn vào TOE để khai thác. Việc truy nhập cũng cần phải liên tục hoặc trong một số phiên.

Đối với một số TOE, cửa sổ của cơ hội có tương đương với số mẫu của TOE mà kẻ tấn công có thể có được. Điều này liên quan đặc biệt khi cố gắng xâm nhập vào TOE và làm suy yếu SFR có thể dẫn đến sự phá hủy TOE ngăn chặn việc sử dụng mẫu TOE đó kiểm thử thêm nữa, ví dụ: các thiết bị phần cứng. Thông thường những trường hợp này việc phân phối TOE được kiểm soát và như vậy kẻ tấn công phải nỗ lực để có được mẫu tiếp theo của TOE.

Đối với mục đích của thảo luận này:

a) truy nhập quá mức/ không giới hạn có nghĩa rằng các cuộc tấn công không cần bất kỳ cơ hội nào để được thực hiện vì ở không có nguy cơ bị phát hiện trong khi truy nhập vào TOE và không khó khăn để truy nhập vào số các mẫu TOE để thực hiện các cuộc tấn công;

b) truy nhập dễ dàng có nghĩa là truy nhập được quy định ít hơn một ngày và số các mẫu TOE quy định để thực hiện các cuộc tấn công nhỏ hơn mười.

c) truy nhập vừa phải có nghĩa là truy nhập được quy định ít hơn một tháng và số các mẫu TOE quy định để thực hiện các cuộc tấn công nhỏ hơn một trăm;

d) truy nhập khó khăn có nghĩa là truy nhập được quy định ít nhất là một tháng hoặc số các mẫu TOE quy định để thực hiện các cuộc tấn công ít nhất là một trăm;

...

Việc xem xét này yếu tố có thể xác định rằng không thể hoàn thành việc khai thác, do yêu cầu về thời gian sẵn có hiệu lực lớn hơn thời gian thích hợp để khai thác.

Phần cứng/phần mềm công nghệ thông tin hoặc các thiết bị khác liên quan đến các thiết bị được quy định để xác định hoặc khai thác một điểm yếu.

a) Thiết bị chuẩn có thể dùng cho kẻ tấn công hoặc cho việc định danh một điểm yếu hoặc cho một cuộc tấn công. Thiết bị này có thể là một phần của chính TOE (ví dụ như chương trình gỡ rối trong hệ điều hành) hoặc có thể dễ dàng có được (ví dụ như tải từ Internet, bộ phân tích giao thức hoặc các tập lệnh tấn công đơn giản).

b) Thiết bị chuyên dụng không dễ dàng dùng cho kẻ tấn công, nhưng có thể có được mà không cần nỗ lực quá mức. Tức là có thể mua một lượng vừa phải các thiết bị (ví dụ như dụng cụ phân tích nguồn, sử dụng hàng trăm máy tính kết nối Internet sẽ thuộc loại này) hoặc phát triển nhiều chương trình hoặc các tập lệnh tấn công hơn. Nếu các kiểm thử khác nhau rõ ràng, thì các thiết bị chuyên dụng được quy định dùng cho các bước tấn công phân biệt sẽ được coi như là thiết bị bespoke.

c) Thiết bị bespoke không dùng cho các nơi công cộng vì nó có thể cần phải được chế tạo một cách đặc biệt (ví dụ: phần mềm rất phức tạp) hoặc do các thiết bị quá chuyên dụng mà việc phân phối nó phải được kiểm soát, thậm chí còn bị hạn chế. Hơn nữa, các thiết bị này rất đắt.

d) Mức "nhiều thiết bị Bespoke" được đưa ra đối với tình huống mà các loại thiết bị bespoke khác nhau được quy định cho các bước tấn công riêng biệt.

Trình độ chuyên môn của chuyên gia và kiến thức về TOE có liên quan với các thông tin cần thiết cho những người có thể tấn công TOE. Có một mối quan hệ ngầm giữa trình độ chuyên môn của một kẻ tấn công (trong đó kẻ tấn công có thể có một hoặc nhiều người có nhiều phạm vi hiểu biết bổ sung cho nhau) và khả năng sử dụng hiệu quả thiết bị trong một cuộc tấn công. Trình độ chuyên môn của kẻ tấn công càng yếu, khả năng sử dụng thiết bị càng thấp (phần cứng/ phần mềm công nghệ thông tin hay thiết bị khác). Tương tự như vậy, trình độ chuyên môn càng cao, khả năng sử dụng thiết bị trong tấn công càng cao. Mặc dù là quan hệ ngầm nhưng mối quan hệ giữa trình độ chuyên môn và việc sử dụng của thiết bị thường không được để ý, ví dụ, khi các biện pháp môi trường ngăn cản việc sử dụng thiết bị của kẻ tấn công thành thạo hoặc khi nhờ những nỗ lực của người khác, dụng cụ tấn công đòi hỏi phải có ít chuyên môn để sử dụng có hiệu quả và được cung cấp miễn phí (ví dụ như thông qua Internet).

B.4.2.3 Tính toán khả năng tấn công

Bảng B.2 xác định các yếu tố được thảo luận trong các phần trước và liên kết giá trị số với giá trị tổng của từng yếu tố.

...

Ký hiệu "**" trong bảng này cho rằng cửa sổ của cơ hội không được coi là một sự phát triển tự nhiên dựa theo khung thời gian quy định trong các giới hạn cho trước được kết với yếu tố này. Ký hiệu này xác định rằng với một lý do cụ thể thì điểm yếu tiềm ẩn không thể được khai thác trong TOE trong môi trường vận hành dự kiến của nó. Ví dụ, việc truy nhập vào TOE có thể được phát hiện sau khi một khoảng thời gian cụ thể trong TOE với môi trường đã biết (tức là trong trường hợp của một hệ thống) nếu các hành động kiểm tra thường xuyên đã hoàn tất và kẻ tấn công không thể truy nhập vào TOE trong vòng hai tuần quy định không bị phát hiện. Tuy nhiên, điều này không thể áp dụng đối với TOE mà kết nối mạng nếu có thể truy nhập từ xa hoặc trong trường hợp môi trường vật lý của TOE chưa được biết.

Bảng B.2 - Tính toán khả năng tấn công

Yếu tố

Giá trị

Thời gian trôi qua

≤ một ngày

≤ một tuần

...

≤ hai tuần

≤ một tháng

≤ hai tháng

≤ ba tháng

≤ bốn tháng

...

≤ năm tháng

≤ sáu tháng

> sáu tháng

Trình độ chuyên môn

Người không có chuyên môn

...

Người thành thạo

3 *⁽¹⁾

Chuyên gia

Nhiều chuyên gia

Kiến thức về TOE

Thông tin công khai liên quan đến TOE

...

Thông tin hạn chế liên quan đến TOE

Thông tin nhạy cảm về TOE

Thông tin quan trọng về TOE

Cửa sổ cơ hội

Truy nhập quá mức/ không giới hạn

...

Truy nhập dễ dàng

Truy nhập vừa phải

Truy nhập khó khăn

Không có truy cập

**⁽²⁾

Thiết bị

...

Thiết bị chuẩn

Thiết bị chuyên dụng

4⁽³⁾

Thiết bị bespoke

Nhiều bespoke

⁽¹⁾ Khi một vài người thành thạo được yêu cầu để hoàn thành hướng tấn công, mức độ chuyên môn yêu cầu phải là Thành thạo" (tức là mức độ 3).

...

⁽³⁾ Nếu các kiểm thử khác nhau rõ ràng có bao gồm các thiết bị chuyên dụng được yêu cầu cho các bước tấn công riêng biệt, thiết bị này được coi là thiết bị bespoke.

Để xác định khả năng chống lại của TOE đối với các điểm yếu tiềm ẩn xác định, thực hiện các bước sau:

a) Vạch rõ các kịch bản tấn công {AS1, AS2, …, ASN} cho TOE trong môi trường vận hành.

b) Đối với từng kịch bản tấn công, thực hiện phân tích lý thuyết và tính toán khả năng tấn công liên quan sử dụng Bảng B.2.

c) Đối với từng kịch bản tấn công, nếu cần thiết, thực hiện kiểm thử xâm nhập để xác nhận hoặc bác bỏ những phân tích lý thuyết.

d) Chia các kịch bản tấn công {AS1, AS2,.... ASN} thành hai nhóm:

1) Các kịch bản tấn công đã thành công (tức là những kịch bản đã được sử dụng để làm suy yếu các SFR) và

2) Các kịch bản tấn công được chứng minh là không thành công.

e) Đối với mỗi kịch bản tấn công thành công, áp dụng Bảng B.3 và xác định xem liệu có một sự mâu thuẫn giữa sự chống lại của TOE và các thành phần đảm bảo AVA_VAN đã chọn hay không, xem cột cuối cùng của Bảng B.3.

...

Cột "giá trị" của Bảng B.3 chỉ ra một loạt các giá trị về khả năng tấn công (tính theo Bảng B.2) của một kịch bản tấn công mà dẫn đến các SFR bị suy yếu dần.

Bảng B.3 - Phân loại điểm yếu và khả năng chống lại của TOE

Giá trị

Khả năng tấn công được quy định để khai thác kịch bản tấn công:

Khả năng TOE chống lại kẻ tấn công với khả năng tấn công:

Thỏa mãn các thành phần đảm bảo:

Sự thiếu khả năng của các thành phần:

0-9

Mức cơ bản

...

AVA_VAN.1,

AVA_VAN.2,

AVA_VAN.3,

AVA_VAN.4,

AVA_VAN.5

10-13

Mức nâng cao-cơ bản

Mức cơ bản

...

AVA_VAN.2

AVA_VAN.3,

AVA_VAN.4,

AVA_VAN.5

14-19

Mức vừa phải

Mức nâng cao-cơ bản

AVA_VAN.1,

AVA_VAN.2,

...

AVA_VAN.4,

AVA_VAN.5

20-24

Mức cao

Mức vừa phải

AVA_VAN.1,

AVA_VAN.2,

AVA_VAN.3,

AVA_VAN.4

...

≥ 25

Trên mức cao

Mức cao

AVA_VAN. 1,

AVA_VAN.2,

AVA_VAN.3,

AVA_VAN.4,

AVA_VAN.5

...

Cần chú ý rằng trong khi một số các điểm yếu đánh giá riêng biệt có thể cho thấy khả năng tấn công cao, việc kết hợp của các điểm yếu có thể cho thấy có thể áp rating thấp hơn. Sự xuất hiện của một điểm yếu có thể làm điểm yếu khác dễ dàng khai thác hơn.

Nếu tác giả PP/ ST muốn sử dụng bảng khả năng tấn công để xác định mức độ tấn công mà TOE sẽ chống lại (lựa chọn thành phần (AVA_VAN) phân tích điểm yếu), họ sẽ tiến hành như sau:

Đối với tất cả các kịch bản tấn công khác nhau (tức là dùng cho tất cả các loại kẻ tấn công khác nhau và/hoặc các loại tấn công khác nhau mà tác giả PP/ ST phải biết) mà phải không vi phạm các SFR, một số yếu tố trong bảng B.2 phải được thực hiện để xác định các giá trị khác nhau về khả năng tấn công được giả định cho từng kịch bản tấn công không thành công. Sau đó tác giả PP/ ST chọn giá trị cao nhất để xác định mức khả năng TOE chống lại kẻ tấn công được quy định trong Bảng B.3: khả năng chống lại của TOE ít nhất phải bằng giá trị cao nhất này đã được xác định. Ví dụ, giá trị cao nhất tiềm của khả năng tấn công của tất cả các kịch bản tấn công, mà phải không làm suy yếu chính sách an toàn TOE, được xác định là mức vừa phải; Vì thế, khả năng chống lại của TOE ít nhất phải ở mức vừa phải (tức là mức vừa phải hoặc cao); Do đó, tác giả PP/ ST có thể chọn hoặc thành phần AVA_VAN.4 (đối với mức vừa phải) hoặc thành phần AVA_VAN.5 (đối với mức cao) làm các thành phần bảo đảm phù hợp.

B.5 Ví dụ tính toán tấn công trực tiếp

Các cơ chế tấn công trực tiếp đặc biệt quan trọng đối với an toàn hệ thống và người phát triển phải thường xuyên củng cố những cơ chế này. Ví dụ, một TOE có thể sử dụng cơ chế xác thực số mật khẩu đơn giản mà có thể bị vượt qua bởi kẻ tấn công - người mà có cơ hội đoán được số pass của người dùng khác. Hệ thống có thể làm cơ chế này trở nên vững chắc bằng cách hạn chế các số pass và việc sử dụng của họ trong các cách khác nhau. Trong quá trình đánh giá và phân tích tấn công trực tiếp này có thể tiến hành như sau:

Thông tin thu thập được từ ST và chứng cớ thiết kế cho thấy rằng việc định danh và xác thực cung cấp cơ sở để kiểm soát quyền truy nhập vào tài nguyên mạng từ thiết bị đầu cuối được phân phối rộng rãi. Truy nhập vật lý vào các thiết bị đầu cuối không được kiểm soát bởi bất kỳ phương tiện thích hợp nào. Khoảng thời gian truy nhập vào một thiết bị đầu cuối không được kiểm soát bởi bất kỳ hiệu phương tiện nào. Người dùng có thẩm quyền của hệ thống chọn các số mật khẩu riêng của họ khi lúc đầu người dùng có thẩm quyền sử dụng hệ thống và sau đó theo yêu cầu của người dùng. Hệ thống đặt ra những hạn chế dưới đây về các số mật khẩu được người dùng lựa chọn:

a) Số mật khẩu phải có ít nhất bốn số và dài hơn sáu chữ số;

b) Không được phép dùng các số liên tiếp (ví dụ như 7,6,5,4,3);

c) Không được phép lặp lại các chữ số (mỗi chữ số phải là duy nhất).

...

Khoảng trống số mật khẩu được tính như sau:

a) Mô hình sử dụng nhân lực cần được lưu ý đặc biệt vì có thể ảnh hưởng đến các phương pháp tìm kiếm mật khẩu trống. Giả sử đối với kịch bản xấu nhất và người sử dụng lựa chọn một số chỉ bao gồm bốn chữ số, số lần hoán vị số mật khẩu giả định rằng mỗi chữ số phải là duy nhất là:

7(8)(9)(10) = 5040

b) Số các chuỗi số liên tiếp có thể là bảy vì số các chuỗi giảm. Khoảng trống số mật khẩu không được phép dùng các chuỗi số liên tiếp là:

5040 - 14 = 5026

Dựa vào thông tin thu được từ những chứng cớ thiết kế, cơ chế số mật khẩu được thiết kế với tính năng khóa thiết bị đầu cuối. Khi xác thực lần thứ 6 bị thất bại thiết bị đầu cuối sẽ bị khóa trong vòng một giờ. Việc đếm số lần xác thực bị thất bại sẽ được thiết lập lại sau 5 phút vì thế kẻ tấn công có thể phải cố gắng hết sức để cứ 5 phút phải nhập 5 số mật khẩu hoặc mỗi giờ phải nhập 60 số pass.

Trung bình, một kẻ tấn công sẽ phải nhập 2513 số mật khẩu, trên 2513 phút, trước khi nhập số mật khẩu chính xác. Kết quả là, cuộc tấn công trung bình sẽ xuất hiện ít hơn:

Sử dụng phương pháp tiếp cận để tính toán khả năng tấn công được mô tả trong các phần trước, cho thấy rằng một người không có chuyên môn có thể đánh bại các cơ chế trong vòng vài ngày (truy nhập dễ dàng vào TOE), với việc sử dụng các thiết bị chuẩn và không có kiến thức về TOE, cho giá trị là 1. Với kết quả tổng 1, khả năng tấn công được quy định để thực hiện một cuộc tấn công thành công không được đánh giá vì nó nằm dưới mức được quy định là cơ bản.

...

MỤC LỤC

Lời nói đầu

1 Phạm vi áp dụng

2 Tài liệu viện dẫn

3 Thuật ngữ và định nghĩa

4 Ký hiệu và chữ viết tắt

5 Tổng quan

5.1 Bố cục của TCVN 11386:2016 (ISO/IEC 18045:2008)

6 Quy ước trong tiêu chuẩn

...

6.2 Cách sử dụng động từ

6.3 Hướng dẫn đánh giá tổng quát

6.4 Mối quan hệ giữa các cấu trúc của TCVN 8709 (ISO/IEC 15408) và TCVN 11386:2016 (ISO/IEC 18045:2008)

7 Quy trình đánh giá và các nhiệm vụ liên quan

7.1 Giới thiệu

7.2 Tổng quan về quá trình đánh giá

7.2.1 Mục tiêu

7.2.2 Trách nhiệm của các vai

7.2.3 Mối quan hệ của các bên

...

7.2.5 Nhận định của người đánh giá

7.3 Nhiệm vụ đầu vào đánh giá

7.3.1 Mục tiêu

7.3.2 Lưu ý áp dụng

7.3.3 Quản lý nhiệm vụ con bằng chứng đánh giá

7.4 Hoạt động con đánh giá

7.5 Nhiệm vụ đầu ra đánh giá

7.5.1 Mục tiêu

7.5.2 Quản lý đầu ra đánh giá

...

7.5.4 Nhiệm vụ con viết OR

7.5.5 Nhiệm vụ con viết ETR

8 Lớp APE: Đánh giá hồ sơ bảo vệ

8.1 Giới thiệu

8.2 Lưu ý áp dụng

8.2.1 Tái sử dụng Kết quả đánh giá của các PP đã được chứng nhận

8.3 Giới thiệu PP (APE_INT)

8.3.1 Đánh giá hoạt động con (APE_INT.1)

8.4 Yêu cầu tuân thủ (APE_CCL)

...

8.5 Định nghĩa vấn đề an toàn (APE_SPD)

8.5.1 Đánh giá hoạt động con (APE_SPD.1)

8.6 Mục tiêu an toàn (APE_OBJ)

8.6.1 Đánh giá hoạt động con (APE_OBJ.1)

8.6.2 Đánh giá hoạt động con (APE_OBJ.2)

8.7 Định nghĩa các thành phần mở rộng (APE_ECD)

8.7.1 Đánh giá hoạt động con (APE_ECD.1)

8.8 Yêu cầu an toàn (APE_REQ)

8.8.1 Đánh giá hoạt động con (APE_REQ.1)

...

9 Lớp ASE: Đánh giá đích an toàn

9.1 Giới thiệu

9.2 Lưu ý áp dụng

9.2.1 Tái sử dụng Kết quả đánh giá của các PP đã được chứng nhận

9.3 Giới thiệu ST (ASE_INT)

9.3.1 Đánh giá hoạt động con (ASE_INT.1)

9.4 Yêu cầu tuân thủ (ASE_CCL)

9.4.1 Đánh giá hoạt động con (ASE_CCL.1)

9.5 Định nghĩa vấn đề an toàn (ASE_SPD)

...

9.6 Mục tiêu an toàn (ASE_OBJ)

9.6.1 Đánh giá hoạt động con (ASE_OBJ.1)

9.6.2 Đánh giá hoạt động con (ASE_OBJ.2)

9.7 Định nghĩa các thành phần mở rộng (ASE_ECD)

9.7.1 Đánh giá hoạt động con (ASE_ECD.1)

9.8 Yêu cầu an toàn (ASE_REQ)

9.8.1 Đánh giá hoạt động con (ASE_REQ.1)

9.8.2 Đánh giá hoạt động con (ASE_REQ.2)

9.9 Đặc tả tổng quát TOE (ASE_TSS)

...

9.9.2 Đánh giá hoạt động con (ASE_TSS.2)

10 Lớp ADV: Phát triển

10.1 Giới thiệu

10.2 Lưu ý áp dụng

10.3 Kiến trúc an toàn (ADV_ARC)

10.3.1 Đánh giá hoạt động con (ADV_ARC.1)

10.4 Đặc tả chức năng (ADV_FSP)

10.4.1 Đánh giá hoạt động con (ADV_FSP.1)

10.4.2 Đánh giá hoạt động con (ADV_FSP.2)

...

10.4.5 Đánh giá hoạt động con (ADV_FSP.5)

10.4.6 Đánh giá hoạt động con (ADV_FSP.6)

10.5 Biểu diễn triển khai (ADV_IMP)

10.5.1 Đánh giá hoạt động con (ADV_IMP.1)

10.5.2 Đánh giá hoạt động con (ADV_IMP.2)

10.6 Nội bộ TSF (ADV_INT)

10.6.1 Đánh giá hoạt động con (ADV_INT.1)

10.6.2 Đánh giá hoạt động con (ADV_INT.2)

10.6.3 Đánh giá hoạt động con (ADV_INT.3)

...

10.7.1 Đánh giá hoạt động con (ADV_SPM.1)

10.8 Thiết kế TOE (ADV_TDS)

10.8.1 Đánh giá hoạt động con (ADV_TDS.1)

10.8.2 Đánh giá hoạt động con (ADV_TDS.2)

10.8.3 Đánh giá hoạt động con (ADV_TDS.3)

10.8.4 Đánh giá hoạt động con (ADV_TDS.4)

10.8.5 Đánh giá hoạt động con (ADV_TDS.5)

10.8.6 Đánh giá hoạt động con (ADV_TDS.6)

11 Lớp AGD: Tài liệu hướng dẫn

...

11.2 Lưu ý áp dụng

11.3 Hướng dẫn sử dụng vận hành (AGD_OPE)

11.3.1 Đánh giá hoạt động con (AGD_OPE.1)

11.4 Các thủ tục chuẩn bị (AGD_PRE)

11.4.1 Đánh giá hoạt động con (AGD_PRE.1)

12 Lớp ALC: Hỗ trợ vòng đời

12.1 Giới thiệu

12.2 Năng lực CM (ALC_CMC)

12.2.1 Đánh giá hoạt động con (ALC_CMC.1)

...

12.2.3 Đánh giá hoạt động con (ALC_CMC.3)

12.2.4 Đánh giá hoạt động con (ALC_CMC.4)

12.2.5 Đánh giá hoạt động con (ALC_CMC.5)

12.3 Phạm vi CM (ALC_CMS)

12.3.1 Đánh giá hoạt động con (ALC_CMS.1)

12.3.2 Đánh giá hoạt động con (ALC_CMS.2)

12.3.3 Đánh giá hoạt động con (ALC_CMS.3)

12.3.4 Đánh giá hoạt động con (ALC_CMS.4)

12.3.5 Đánh giá hoạt động con (ALC_CMS.5)

...

12.4.1 Đánh giá hoạt động con (ALC_DEL.1)

12.5 An toàn phát triển (ALC_DVS)

12.5.1 Đánh giá hoạt động con (ALC_DVS.1)

12.5.2 Đánh giá hoạt động con (ALC_DVS.2)

12.6 Khắc phục sai sót (ALC_FLR)

12.6.1 Đánh giá hoạt động con (ALC_FLR.1)

12.6.2 Đánh giá hoạt động con (ALC_FLR.2)

12.6.3 Đánh giá hoạt động con (ALC_FLR.3)

12.7 Định nghĩa vòng đời (ALC_LCD)

...

12.7.2 Đánh giá hoạt động con (ALC_LCD.2)

12.8 Công cụ và kỹ thuật (ALC_TAT)

12.8.1 Đánh giá hoạt động con (ALC_TAT.1)

12.8.2 Đánh giá hoạt động con (ALC_TAT.2)

12.8.3 Đánh giá hoạt động con (ALC_TAT.3)

13 Lớp ATE: Kiểm thử

13.1 Giới thiệu

13.2 Lưu ý áp dụng

13.2.1 Tìm hiểu đáp ứng dự kiến TOE

...

13.2.3 Xác minh tính đầy đủ của các kiểm thử

13.3 Phạm vi (ATE_COV)

13.3.1 Đánh giá hoạt động con (ATE_COV.1)

13.3.2 Đánh giá hoạt động con (ATE_COV.2)

13.3.3 Đánh giá hoạt động con (ATE_COV.3)

13.4 Năng lực/Độ sâu (ATE_DPT)

13.4.1 Đánh giá hoạt động con (ATE_DPT.1)

13.4.2 Đánh giá hoạt động con (ATE_DPT.2)

13.4.3 Đánh giá hoạt động con (ATE_DPT.3)

...

13.5 Chức năng kiểm thử (ATE_FUN)

13.5.1 Đánh giá hoạt động con (ATE_FUN.1)

13.5.2 Đánh giá hoạt động con (ATE_FUN.2)

13.6 Kiểm thử độc lập (ATE_IND)

13.6.1 Đánh giá hoạt động con (ATE_IND.1)

13.6.2 Đánh giá hoạt động con (ATE_IND.2)

13.6.3 Đánh giá hoạt động con (ATE_IND.3)

14 Lớp AVA: Đánh giá điểm yếu

14.1 Giới thiệu

...

14.2.1 Đánh giá hoạt động con (AVA_VAN.1)

14.2.2 Đánh giá hoạt động con (AVA_VAN.2)

14.2.3 Đánh giá hoạt động con (AVA_VAN.3)

14.2.4 Đánh giá hoạt động con (AVA_VAN.4)

14.2.5 Đánh giá hoạt động con (AVA_VAN.5)

15 Lớp ACO: Thành phần

15.1 Giới thiệu

15.2 Lưu ý áp dụng

15.3 Sở cứ cấu thành (ACO_COR)

...

15.4 Bằng chứng phát triển (ACO_DEV)

15.4.1 Đánh giá hoạt động con (ACO_DEV.1)

15.4.2 Đánh giá hoạt động con (ACO_DEV.2)

15.4.3 Đánh giá hoạt động con (ACO_DEV.3)

15.5 Tính phục thuộc của các thành phần (ACO_REL)

15.5.1 Đánh giá hoạt động con (ACO_REL.1)

15.5.2 Đánh giá hoạt động con (ACO_REL.2)

15.6 Kiểm tra TOE tích hợp (ACO_CTT)

15.6.1 Đánh giá hoạt động con (ACO_CTT.1)

...

15.7 Phân tích thành phần điểm yếu (ACO_VUL)

15.7.1 Đánh giá hoạt động con (ACO_VUL.1)

15.7.2 Đánh giá hoạt động con (ACO_VUL.2)

15.7.3 Đánh giá hoạt động con (ACO_VUL.3)

Phụ lục A (tham khảo): Hướng dẫn đánh giá chung

Phụ lục B (tham khảo): Đánh giá điểm yếu (AVA)

Văn bản này chưa cập nhật nội dung Tiếng Anh

Bạn Chưa Đăng Nhập Thành Viên!

Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...

Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây

Bạn Chưa Đăng Nhập Thành Viên!

Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây

Bạn Chưa Đăng Nhập Thành Viên!

Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây

Bạn Chưa Đăng Nhập Thành Viên!

Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây

Tiêu chuẩn quốc gia TCVN 11386:2016 (ISO/IEC 18045:2008) về Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp đánh giá an toàn công nghệ thông tin

Tải Văn bản tiếng Việt

Tải Văn bản gốc

Bạn Chưa Đăng Nhập Thành Viên!

Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây

TCVN11386:2016, Tiêu chuẩn Việt Nam TCVN11386:2016

1.783

Góp Ý Cho THƯ VIỆN PHÁP LUẬT
Họ & Tên:
Email:
Điện thoại:
Nội dung:

Góp Ý Cho Văn bản Pháp Luật
Họ & Tên:
Email:
Điện thoại:
Nội dung: