Tiêu chuẩn Việt Nam TCVN 8709-3:2011 về Công nghệ thông tin - kỹ thuật an toàn - thành phần đảm bảo an toàn

7.2. Chi tiết cho mức đảm bảo đánh giá

Các phần sau trình bày các định nghĩa của EAL, nêu rõ sự khác nhau giữa các yêu cầu cụ thể với các diễn tả văn xuôi của các yêu cầu đó sử dụng kiểu tô đậm.

7.3. Mức đảm bảo đánh giá mức 1 (EAL1) - Kiểm thử chức năng

7.3.1. Mục tiêu

EAL1 có thể áp dụng nơi mà tính bí mật trong hoạt động chính xác được yêu cầu, nhưng nguy cơ an toàn không được xem là quan trọng. Nó sẽ có giá trị khi sự bảo đảm độc lập được đòi hỏi để hỗ trợ luận điểm đã được áp dụng đối với sự bảo vệ thông tin cá nhân hoặc thông tin tương tự.

EAL1 chỉ đòi hỏi một đích an toàn giới hạn. Đơn giản chỉ là tuyên bố các yêu cầu chức năng an toàn (SFR) mà đích đánh giá (TOE) phải đáp ứng chứ không cần phải diễn giải xuất xứ của chúng xuất phát từ các nguy cơ đe dọa.

EAL1 đưa ra một đánh giá cho TOE đáp ứng cho khách hàng, bao gồm cả kiểm thử độc lập với một bảng mô tả đặc tính, và cung cấp một văn bản kiểm tra tài liệu hướng dẫn. Ý đồ hướng đến là đánh giá EAL1 có thể được thực hiện một cách thành công mà không cần sự trợ giúp của nhà phát triển TOE, và với chi phí nhỏ nhất.

Một đánh giá ở mức này có thể cung cấp bằng chứng về các chức năng TOE phù hợp với tài liệu của nó.

7.3.2. Các thành phần đảm bảo

...

...

...

Sự phân tích được hỗ trợ bởi việc tìm kiếm những điểm yếu tiềm năng thông báo công khai và kiểm tra độc lập các chức năng cũng như sự thâm nhập của các chức năng an toàn TOE (các TSF).

EAL1 cung cấp sự đảm bảo thông qua việc nhận dạng duy nhất cho TOE và tài liệu đánh giá liên quan.

EAL này có ý nghĩa hơn trong việc đảm bảo đối với một sản phẩm CNTT không được đánh giá.

Bảng 2 - EAL1

Lớp đảm bảo

Các thành phần đảm bảo

Phát triển: ADV

Đặc tả chức năng cơ bản (ADV_FSP.1)

Tài liệu hướng dẫn: AGD

...

...

...

Các thủ tục chuẩn bị (AGD_PRE.1)

Hỗ trợ vòng đời: ALC

Dán nhãn TOE (ALC_CMC.1)

Tổng quát TOE CM (ALC_CMS.1)

Đánh giá đích an toàn: ASE

Yêu cầu tuân thủ (ASE_CCL.1)

Định nghĩa các thành phần mở rộng (ASE_ECD.1)

Giới thiệu ST (ASE_INT.1)

Các mục tiêu an toàn cho môi trường vận hành (ASE_OBJ.1)

...

...

...

Đặc tả tóm tắt TOE (ASE_TSS.1)

Kiểm thử: ATE

Kiểm thử độc lập - Tuân thủ (ATE_IND.1)

Đánh giá điểm yếu: AVA

Khảo sát điểm yếu (AVA_VAN.1)

7.4. Mức đảm bảo đánh giá 2 (EAL2) - Kiểm thử cấu trúc

7.4.1. Mục tiêu

EAL2 yêu cầu sự hợp tác của nhà phát triển dưới dạng thông tin thiết kế và các kết quả kiểm tra, nhưng không yêu cầu nhiều hơn về tính hiệu quả của các bộ phận phát triển so với tính phù hợp thực tế về thương mại. Như vậy đó không yêu cầu một sự gia tăng về đầu tư chi phí và thời gian.

EAL2 vì vậy có thể áp dụng trong các trường hợp nhà phát triển và người sử dụng yêu cầu một mức thấp đến trung bình về đảm bảo an toàn một cách độc lập khi thiếu hồ sơ phát triển đầy đủ. Một tình huống như vậy có thể xảy ra khi đảm bảo cho các hệ thống kế thừa, hoặc ở nơi truy nhập đến nhà phát triển có thể bị giới hạn.

...

...

...

EAL2 cung cấp sự đảm bảo bằng một đích an toàn đầy đủ và thông qua phân tích các đòi hỏi chức năng an toàn (SFR) của ST, sử dụng một đặc tả chức năng và giao diện, tài liệu hướng dẫn và các mô tả cơ sở về kiến trúc của TOE để hiểu hành vi an toàn.

Sự phân tích được hỗ trợ bằng việc kiểm tra độc lập các chức năng an toàn TOE, bằng chứng về việc kiểm tra của nhà phát triển dựa trên đặc tính chức năng, sự xác nhận độc lập có chọn lọc các kết quả kiểm tra của nhà phát triển, phân tích những điểm yếu (dựa trên các đặc tính chức năng, thiết kế TOE, mô tả kiến trúc an toàn và bằng chứng hướng dẫn được cung cấp) để thể hiện khả năng phản ứng trước một xâm nhập của kẻ tấn công với một tiền lực tấn công cơ sở.

EAL2 cũng như cung cấp sự đảm bảo thông qua hệ thống quản lý cấu hình và bằng chứng của các thủ tục chuyển giao an toàn.

EAL này thể hiện sự đảm bảo có ý nghĩa hơn so với EAL1 bằng việc yêu cầu kiểm tra của nhà phát triển, phân tích lỗ hổng, (ngoài ra tìm kiếm thông tin công cộng) và kiểm tra độc lập dựa trên đặc tả TOE chi tiết hơn.

Bảng 3 - EAL2

Lớp đảm bảo

Các thành phần đảm bảo

Phát triển: ADV

Đặc tả kiến trúc an toàn (ADV_ARC.1)

...

...

...

Thiết kế cơ bản (ADV_TDS.1)

Tài liệu hướng dẫn: AGD

Hướng dẫn người dùng vận hành (AGD_OPE.1)

Các thủ tục chuẩn bị (AGD_PRE.1)

Hỗ trợ vòng đời: ALC

Sử dụng một hệ thống CM (ALC_CMC.2)

Các phần tổng quát TOE CM (ALC_CMS.2)

Các thủ tục chuyển giao (ALC_DEL.1)

Đánh giá đích an toàn: ASE

...

...

...

Định nghĩa các thành phần mở rộng (ASE_ECD.1)

Giới thiệu ST (ASE_INT.1)

Các mục tiêu an toàn (ASE_OBJ.2)

Các yêu cầu an toàn thu được (ASE_REQ.2)

Định nghĩa vấn đề an toàn (ASE_SPD.1)

Đặc tả tóm tắt TOE (ASE_TSS.1)

Kiểm thử: ATE

Chứng cứ về tính tổng quát (ATE_COV.1)

Kiểm thử chức năng (ATE_FUN.1)

...

...

...

Đánh giá điểm yếu: AVA

Khảo sát điểm yếu (AVA_VAN.2)

7.5. Mức đảm bảo đánh giá 3 (EAL3) - Kiểm thử và kiểm tra phương pháp

7.5.1. Mục tiêu

EAL3 cho phép một nhà phát triển tận tâm đạt được sự đảm bảo tối đa với công nghệ an toàn tốt ở mức thiết kế mà không cần thay đổi các cơ chế phát triển đang có sẵn.

EAL3 có thể ứng dụng trong các tình huống mà nhà phát triển hoặc người sử dụng yêu cầu ở mức vừa phải về đảm bảo an toàn độc lập, và yêu cầu một sự điều tra tỉ mỉ về TOE và phát triển nó không cần bước thiết kế lại đáng kể nào.

7.5.2. Các thành phần đảm bảo

EAL3 cung cấp đảm bảo bởi một đích an toàn đầy đủ và phân tích các yêu cầu chức năng an toàn (SFR) của ST, sử dụng một đặc tả chức năng và giao diện, tài liệu hướng dẫn và các mô tả về kiến trúc thiết kế của TOE, để diễn giải hoạt động an toàn.

Sự phân tích được hỗ trợ bằng việc kiểm tra một cách độc lập các chức năng an toàn của TOE, chứng cứ về việc kiểm thử của nhà phát triển dựa trên đặc tả chức năng và thiết kế TOE, sự xác nhận độc lập có chọn lọc các kết quả kiểm tra của nhà phát triển, phân tích các lỗ hổng/điểm yếu (dựa trên các đặc tính chức năng, thiết kế TOE, mô tả kiến trúc an toàn và bằng chứng hướng dẫn được cung cấp) để thể hiện khả năng bảo vệ trước xâm nhập của kẻ tấn công với một tiềm lực tấn công cơ bản.

...

...

...

EAL này thể hiện sự đảm bảo có ý nghĩa hơn so với EAL2 bằng việc đòi hỏi tổng quát việc kiểm thử hoàn thiện hơn về chức năng an toàn và cơ chế và/hoặc thủ tục nhằm đưa ra một sự tin cậy nào đó về việc TOE sẽ không bị giả mạo trong quá trình phát triển.

Bảng 4 - EAL3

Lớp đảm bảo

Các thành phần đảm bảo

Phát triển: ADV

Đặc tả kiến trúc an toàn (ADV_ARC.1)

Đặc tả chức năng với tóm tắt đầy đủ (ADV_FSP.3)

Thiết kế kiến trúc (ADV_TDS.2)

Tài liệu hướng dẫn: AGD

...

...

...

Các thủ tục chuẩn bị (AGD_PRE.1)

Hỗ trợ vòng đời: ALC

Các biện pháp quản lý cấp quyền (ALC_CMC.3)

Tổng quát CM biểu diễn triển khai (ALC_CMS.3)

Các thủ tục chuyển giao (ALC_DEL.1)

Định danh các biện pháp an toàn (ALC_DVS.1)

Mô hình vòng đời định nghĩa cho nhà phát triển (ALC_LCD.1)

Đánh giá đích an toàn: ASE

Yêu cầu tuân thủ (ASE_CCL.1)

...

...

...

Giới thiệu ST (ASE_INT.1)

Các mục tiêu an toàn (ASE_OBJ.2)

Các yêu cầu an toàn thu được (ASE_REQ.2)

Định nghĩa vấn đề an toàn (ASE_SPD.1)

Đặc tả tóm tắt TOE (ASE_TSS.1)

Kiểm thử: ATE

Phân tích tổng quát (ATE_COV.2)

Kiểm thử: Thiết kế cơ bản (ATE_DPT.1)

Kiểm thử chức năng (ATE_FUN.1)

...

...

...

Đánh giá điểm yếu: AVA

Phân tích điểm yếu (AVA_VAN.2)

7.6. Mức đảm bảo đánh giá 4 (EAL4) - Thiết kế, kiểm thử, soát xét phương pháp

7.6.1. Mục tiêu

EAL4 cho phép một nhà phát triển đạt được sự đảm bảo tối đa về kỹ thuật an toàn tốt dựa trên các thực tế phát triển thương mại tốt, tuy chặt chẽ, song không yêu cầu kiến thức chuyên gia, kỹ năng, và các tài nguyên đáng kể nào khác. EAL4 là mức cao nhất khả thi về mặt kinh tế đưa vào một dòng sản phẩm đang tồn tại.

EAL4 vì vậy có thể ứng dụng trong các trường hợp mà ở đó các nhà phát triển và người sử dụng yêu cầu một mức từ trung bình đến cao đảm bảo an toàn độc lập trong TOE thông thường và được chuẩn bị để đưa vào các chi phí mở rộng công trình an toàn cụ thể.

7.6.2. Các thành phần đảm bảo

EAL4 cung cấp khả năng đảm bảo bởi một đích an toàn đầy đủ và sự phân tích các yêu cầu chức năng an toàn (SFR) của ST, sử dụng một đặc tả chức năng và giao diện, tài liệu hướng dẫn, mô tả về thiết kế mô-đun cơ bản của TOE và một tập triển khai, nhằm diễn giải hoạt động an toàn.

Sự phân tích được hỗ trợ bởi việc kiểm tra độc lập các chức năng an toàn TOE, chứng cứ về việc kiểm thử của nhà phát triển dựa trên đặc tả chức năng và thiết kế của TOE, sự khẳng định độc lập có lựa chọn về các kết quả kiểm thử của nhà phát triển, phân tích các lỗ hổng/điểm yếu (dựa trên các đặc tính chức năng, thiết kế TOE, trình diễn thực thi, thiết kế kiến trúc và bằng chứng hướng dẫn được cung cấp) để thể hiện khả năng bảo vệ trước xâm nhập của kẻ tấn công với một tiềm lực tấn công trên mức cơ bản.

...

...

...

EAL này thể hiện sự đảm bảo hơn EAL3 bằng việc yêu cầu mô tả thiết kế tỉ mỉ hơn, trình diễn thực thi cho toàn bộ các chức năng an toàn TOE và cơ chế cải thiện và/hoặc các thủ tục nhằm đưa ra sự tin cậy rằng TOE sẽ không bị giả mạo trong quá trình phát triển.

Bảng 5 - EAL4

Lớp đảm bảo

Các thành phần đảm bảo

Phát triển: ADV

Đặc tả kiến trúc an toàn (ADV_ARC.1)

Đặc tả chức năng đầy đủ (ADV_FSP.4)

Mô tả triển khai TSF (ADV_IMP.1)

Thiết kế kiến trúc cơ sở (ADV_TDS.3)

...

...

...

Hướng dẫn người dùng vận hành (AGD_OPE.1)

Các thủ tục chuẩn bị (AGD_PRE.1)

Hỗ trợ vòng đời: ALC

Tự động hóa, các thủ tục chấp nhận và hỗ trợ sản xuất (ALC_CMC.4)

Tổng quan CM theo dấu vết vấn đề (ALC_CMS.4)

Các thủ tục chuyển giao (ALC_DEL.1)

Định danh các biện pháp an toàn (ALC_DVS.1)

Mô hình vòng đời định nghĩa cho nhà phát triển (ALC_LCD.1)

Các công cụ phát triển xác định rõ (ALC_TAT.1)

...

...

...

Yêu cầu tuân thủ (ASE_CCL.1)

Định nghĩa các thành phần mở rộng (ASE_ECD.1)

Giới thiệu ST (ASE_INT.1)

Các mục tiêu an toàn (ASE_OBJ.2)

Các yêu cầu an toàn thu được (ASE_REQ.2)

Định nghĩa vấn đề an toàn (ASE_SPD.1)

Đặc tả tóm tắt TOE (ASE_TSS.1)

Kiểm thử: ATE

Phân tích tổng quát (ATE_COV.2)

...

...

...

Kiểm thử chức năng (ATE_FUN.1)

Kiểm thử độc lập - ví dụ (ATE_IND.2)

Đánh giá điểm yếu: AVA

Phân tích điểm yếu trọng tâm (AVA_VAN.3)

7.7. Mức đảm bảo đánh giá 5 (EAL5) - Thiết kế và kiểm thử bán chính thức

7.7.1. Mục tiêu

EAL5 cho phép một nhà phát triển đạt được đảm bảo tối đa với kỹ thuật an toàn dựa trên thực tế sự phát triển thương mại nghiêm ngặt hỗ trợ bởi việc ứng dụng ở mức trung bình các kỹ thuật an toàn đặc biệt. Như vậy một TOE sẽ có thể được thiết kế và phát triển với mục đích đạt được đảm bảo EAL5. Nó tương tự như các chi phí mở rộng đưa vào các yêu cầu EAL5, liên quan đến sự phát triển nghiêm ngặt không ứng dụng các kỹ thuật đặc biệt.

EAL5 vì vậy có khả năng ứng dụng trong các trường hợp mà ở đó nhà phát triển và người sử dụng yêu cầu ở mức cao đảm bảo an toàn độc lập trong sự phát triển đã được kế hoạch và đòi hỏi một nghiên cứu phát triển nghiêm ngặt không chịu các chi phí có thể quy cho các kỹ thuật an toàn đặc biệt.

7.7.2. Các thành phần đảm bảo

...

...

...

Sự phân tích được hỗ trợ bởi việc kiểm tra độc lập các chức năng an toàn TOE, bằng chứng kiểm tra nhà phát triển dựa trên các đặc tả chức năng, thiết kế TOE, sự khẳng định độc lập có lựa chọn các kết quả kiểm tra nhà phát triển, và một sự phân tích lỗ hổng độc lập thể hiện sự phản ứng đối với các xâm nhập của kẻ tấn công với một khả năng tấn công mức vừa phải.

EAL5 cũng cung cấp khả năng đảm bảo thông qua sử dụng các kiểm soát môi trường phát triển, và quản lý cấu hình TOE tổng thể bao gồm thông tin và bằng chứng của các thủ tục chuyển giao an toàn.

EAL này thể hiện sự đảm bảo hơn EAL4 bằng việc yêu cầu mô tả thiết kế bán chính thức, kiến trúc có cấu trúc hơn (và từ đây có thể phân tích) và cơ chế cải thiện và/hoặc các thủ tục mà nó cung cấp sự chắc chắn mà TOE sẽ không bị ảnh hưởng trong quá trình phát triển.

Bảng 6 - EAL5

Lớp đảm bảo

Các thành phần đảm bảo

Phát triển: ADV

Đặc tả kiến trúc an toàn (ADV_ARC.1)

Đặc tả chức năng đầy đủ bán chính thức với thông tin lỗ bổ sung (ADV_FSP.5)

...

...

...

Thiết kế mô đun bán chính thức (ADV_TDS.4)

Tài liệu hướng dẫn: AGD

Hướng dẫn người dùng vận hành (AGD_OPE.1)

Các thủ tục chuẩn bị (AGD_PRE.1)

Hỗ trợ vòng đời: ALC

Tự động hóa, các thủ tục chấp nhận và hỗ trợ sản xuất (ALC_CMC.4)

Tổng quan CM các công cụ phát triển (ALC_CMS.5)

Các thủ tục chuyển giao (ALC_DEL.1)

Định danh các biện pháp an toàn (ALC_DVS.1)

...

...

...

Tuân thủ với các tiêu chuẩn triển khai (ALC_TAT.2)

Đánh giá đích an toàn: ASE

Yêu cầu tuân thủ (ASE_CCL.1)

Định nghĩa các thành phần mở rộng (ASE_ECD.1)

Giới thiệu ST (ASE_INT.1)

Các mục tiêu an toàn (ASE_OBJ.2)

Các yêu cầu an toàn thu được (ASE_REQ.2)

Định nghĩa vấn đề an toàn (ASE_SPD.1)

Đặc tả tóm tắt TOE (ASE_TSS.1)

...

...

...

Phân tích tổng quát (ATE_COV.2)

Kiểm thử: Thiết kế mô đun (ATE_DPT.3)

Kiểm thử chức năng (ATE_FUN.1)

Kiểm thử độc lập - ví dụ (ATE_IND.2)

Đánh giá điểm yếu: AVA

Phân tích điểm yếu theo phương pháp (AVA_VAN.4)

7.8. Mức đảm bảo đánh giá 6 (EAL6) - Xác minh thiết kế và kiểm thử bán chính thức

7.8.1. Mục tiêu

EAL6 cho phép nhà phát triển đạt tới độ đảm bảo cao từ việc ứng dụng các kỹ thuật an toàn đối với môi trường phát triển nghiêm ngặt để đưa ra TOE cho việc bảo vệ dữ liệu có giá trị cao trước các rủi ro.

...

...

...

7.8.2. Các thành phần đảm bảo

EAL6 cung cấp khả năng đảm bảo bởi một đích an toàn đầy đủ và sự phân tích các yêu cầu chức năng an toàn (SFR) của ST, sử dụng đặc tả chức năng và giao diện tổng thể, tài liệu hướng dẫn, thiết kế của TOE, và triển khai, nhằm diễn giải hoạt động an toàn. Ngoài ra, đảm bảo còn đạt được thông qua một mô hình chính thức về lựa chọn các chính sách an toàn TOE và một thể hiện bán chính thức của các đặc tả chức năng, thiết kế TOE. Điều đó đòi hỏi thiết kế TOE theo mô-đun và phân lớp.

Sự phân tích được hỗ trợ bởi việc kiểm tra độc lập các chức năng an toàn TOE, bằng chứng về việc kiểm thử của nhà phát triển dựa trên đặc tả chức năng, thiết kế TOE, sự xác nhận độc lập có lựa chọn về các kết quả kiểm thử của nhà phát triển, và một sự phân tích lỗ hổng độc lập thể hiện bảo vệ trước xâm nhập của kẻ tấn công với một khả năng tấn công mức cao.

EAL6 cũng cung cấp khả năng đảm bảo thông qua sử dụng một quy trình phát triển có cấu trúc, các biện pháp quản lý môi trường phát triển, và quản lý cấu hình TOE tổng thể bao gồm thông tin và bằng chứng của các thủ tục chuyển giao an toàn.

EAL này đưa ra một sự đảm bảo có ý nghĩa hơn so với EAL5 bằng việc yêu cầu phân tích toàn diện hơn, thể hiện ứng dụng có cấu trúc, kiến trúc có cấu trúc hơn (ví dụ phân lớp), sự phân tích lỗ hổng độc lập toàn diện hơn, cải thiện quản lý cấu hình và kiểm soát môi trường phát triển.

Bảng 7 - EAL6

Lớp đảm bảo

Các thành phần đảm bảo

Phát triển: ADV

...

...

...

Đặc tả chức năng đầy đủ bán chính thức với thông tin lỗi bổ sung (ADV_FSP.5)

Ánh xạ đầy đủ mô tả triển khai TSF (ADV_IMP.2)

Nội bộ tổ hợp tối thiểu (ADV_INT.3)

Mô hình chính sách an toàn TOE chính thức (ADV_SPM.1)

Thiết kế mô đun đầy đủ bán chính thức (ADV_TDS.5)

Tài liệu hướng dẫn: AGD

Hướng dẫn người dùng vận hành (AGD_OPE.1)

Các thủ tục chuẩn bị (AGD_PRE.1)

Hỗ trợ vòng đời: ALC

...

...

...

Tổng quan CM các công cụ phát triển (ALC_CMS.5)

Các thủ tục chuyển giao (ALC_DEL.1)

Sự đầy đủ của các biện pháp an toàn (ALC_DVS.2)

Mô hình vòng đời định nghĩa cho nhà phát triển (ALC_LCD.1)

Tuân thủ với các tiêu chuẩn triển khai - tất cả các phần (ALC_TAT.3)

Đánh giá đích an toàn: ASE

Yêu cầu tuân thủ (ASE_CCL.1)

Định nghĩa các thành phần mở rộng (ASE_ECD.1)

Giới thiệu ST (ASE_INT.1)

...

...

...

Các yêu cầu an toàn thu được (ASE_REQ.2)

Định nghĩa vấn đề an toàn (ASE_SPD.1)

Đặc tả tóm tắt TOE (ASE_TSS.1)

Kiểm thử: ATE

Phân tích tổng quát nghiêm ngặt (ATE_COV.3)

Kiểm thử: Thiết kế mô đun (ATE_DPT.3)

Kiểm thử chức năng theo thứ tự (ATE_FUN.2)

Kiểm thử độc lập - ví dụ (ATE_IND.2)

Đánh giá điểm yếu: AVA

...

...

...

7.9. Mức đảm bảo đánh giá 7 (EAL7) - Xác minh thiết kế và kiểm thử chính thức

7.9.1. Mục tiêu

EAL7 được ứng dụng để phát triển TOE cho ứng dụng có độ rủi ro rất cao hoặc ở đó tài sản có giá trị cao điều chỉnh chi phí lớn hơn. Ứng dụng thực tế của EAL7 hiện nay giới hạn cho TOE tập trung vào chức năng an toàn tuân theo phân tích chính thức mở rộng.

7.9.2. Các thành phần đảm bảo

EAL7 cung cấp khả năng đảm bảo bởi một đích an toàn đầy đủ và sự phân tích các yêu cầu chức năng an toàn (SFRs) của ST, sử dụng đặc tả chức năng và giao diện tổng thể, tài liệu hướng dẫn, thiết kế TOE, và một thể hiện triển khai có cấu trúc, nhằm diễn giải hoạt động an toàn. Ngoài ra, đảm bảo còn đạt được thông qua một mô hình chính thức về chọn lựa các chính sách an toàn TOE, và một thể hiện bán chính thức các đặc tả chức năng và thiết kế TOE. Điều đó đòi hỏi thiết kế TSF có tính mô-đun, đơn giản và có phân lớp.

Sự phân tích được hỗ trợ bởi việc kiểm thử độc lập các chức năng an toàn TOE, bằng chứng về việc kiểm thử của nhà phát triển dựa trên đặc tả chức năng, thiết kế TOE và thể hiện triển khai, xác nhận độc lập có lựa chọn về các kết quả kiểm tra của nhà phát triển, một phân tích lỗ hổng độc lập thể hiện sự bảo vệ trước xâm nhập của kẻ tấn công với một khả năng tấn công mức cao.

EAL7 cũng cung cấp khả năng đảm bảo thông qua sử dụng một quy trình phát triển có cấu trúc, các biện pháp quản lý môi trường phát triển, quản lý cấu hình TOE tổng thể bao gồm tự động hóa đầy đủ và bằng chứng về các thủ tục chuyển giao an toàn.

EAL này đưa ra một sự đảm bảo có ý nghĩa hơn so với EAL6 bằng việc yêu cầu phân tích toàn diện hơn, sử dụng các thể hiện chính thức, phù hợp chính thức và kiểm thử toàn diện.

Bảng 8 - EAL7

...

...

...

Các thành phần đảm bảo

Phát triển: ADV

Đặc tả kiến trúc an toàn (ADV_ARC.1)

Đặc tả chức năng đầy đủ bán chính thức với đặc tả chính thức bổ sung (ADV_FSP.6)

Ánh xạ đầy đủ mô tả triển khai TSF (ADV_IMP.2)

Nội bộ tổ hợp tối thiểu (ADV_INT.3)

Mô hình chính sách an toàn TOE chính thức (ADV_SPM.1)

Thiết kế mô đun đầy đủ bán chính thức với thể hiện thiết kế mức cao (ADV_TDS.6)

Tài liệu hướng dẫn: AGD

...

...

...

Các thủ tục chuẩn bị (AGD_PRE.1)

Hỗ trợ vòng đời: ALC

Hỗ trợ cải tiến (ALC_CMC.5)

Tổng quan CM các công cụ phát triển (ALC_CMS.5)

Các thủ tục chuyển giao (ALC_DEL.1)

Sự đầy đủ của các biện pháp an toàn (ALC_DVS.2)

Mô hình vòng đời định mức được (ALC_LCD.2)

Tuân thủ với các tiêu chuẩn triển khai - tất cả các phần (ALC_TAT.3)

Đánh giá đích an toàn: ASE

...

...

...

Định nghĩa các thành phần mở rộng (ASE_ECD.1)

Giới thiệu ST (ASE_INT.1)

Các mục tiêu an toàn (ASE_OBJ.2)

Các yêu cầu an toàn thu được (ASE_REQ.2)

Định nghĩa vấn đề an toàn (ASE_SPD.1)

Đặc tả tóm tắt TOE (ASE_TSS.1)

Kiểm thử: ATE

Phân tích tổng quát nghiêm ngặt (ATE_COV.3)

Kiểm thử: Biểu diễn triển khai (ATE_DPT.4)

...

...

...

Kiểm thử độc lập - đầy đủ (ATE_IND.3)

Đánh giá điểm yếu: AVA

Phân tích điểm yếu theo phương pháp cải tiến (AVA_VAN.5)

8. Các gói đảm bảo tổng hợp

Các gói đảm bảo tổng hợp (CAP) cung cấp một thang đo tăng dần để cân bằng mức độ đảm bảo đạt được với giá thành và sự khả thi có thể đạt được mà mức độ đảm bảo cho TOE tổng hợp.

Điểm quan trọng cần chú ý là chỉ có một số lượng nhỏ các họ và thành phần trong phần này của ISO 15408 được chứa trong CAP. Đây là tính tất yếu của việc xây dựng dựa trên các kết quả đánh giá các thực thể được đánh giá trước đó (dựa trên các thành phần và các thành phần phụ thuộc), điều này không nói lên rằng chúng không cung cấp các đảm bảo được mong muốn và đầy đủ ý nghĩa.

8.1. Tổng quan về gói đảm bảo tổng hợp (CAP)

CAP có thể được sử dụng để đưa ra các TOE tổng hợp, bao gồm các thành phần mà đã hoặc sẽ được đánh giá TOE thành phần (xem Phụ lục B). Các thành phần riêng sẽ được chứng nhận EAL hoặc gói bảo đảm khác được chỉ ra trong ST. Với mong muốn, mức độ cơ bản của bảo đảm trong TOE thành phần sẽ đạt được thông qua áp dụng các EAL1, mà có thể đạt được với các thông tin về thành phần thường có sẵn trong một miền chung. (EAL1 có thể được áp dụng như được chỉ ra trong cả TOE tổng hợp và thành phần). CAP cung cấp một cách tiếp cận khác để đạt được cấp độ cao hơn bảo đảm cho TOE thành phần hơn việc áp dụng các EAL trên EAL1.

Khi một thành phần phụ thuộc có thể được đánh giá bằng cách sử dụng các đánh giá và chứng nhận trước đó để thỏa mãn đòi hỏi về nền tảng CNTT trong môi trường, điều này không cung cấp bất kỳ sự bảo đảm chính thức của tương tác giữa các thành phần hoặc đưa ra các lỗ hổng có thể xảy ra thu được từ sự tổng hợp. Các gói đảm bảo tổng hợp xem xét các tương tác này, ở các mức đảm bảo cao hơn, đảm bảo rằng tương tác giữa các thành phần mà chính nó là mục tiêu để kiểm thử. Phân tích điểm yếu của TOE tổng hợp sẽ được thực hiện để xem xét việc đưa ra các điểm yếu như là kết quả của sự tổng hợp các thành phần.

...

...

...

Như được nêu trong mục con tiếp theo, ba gói đảm bảo tổng hợp được phân cấp có trật tự được định nghĩa trong TCVN 8709 để xếp hạng mức độ đảm bảo của các TOE tổng hợp. Chúng được phân cấp theo trật tự để đảm bảo rằng mỗi biểu diễn CAP là chính xác hơn tất cả CAP thấp hơn.  Việc tăng mức độ đảm bảo từ CAP đến CAP được thực hiện bằng việc thay thế bằng thành phần đảm bảo có mức độ phân cấp cao hơn từ các họ đảm bảo tương tự (ví dụ tăng tính nghiêm ngặt, phạm vi và độ sâu) và từ việc bổ sung các thành phần đảm bảo từ các họ đảm bảo khác (ví dụ như thêm các đòi hỏi mới). Điều này làm việc phân tích lớn hơn với các tập hợp để chỉ ra tác động trong các kết quả đánh giá đạt được với TOE tổng hợp.

Các CAP bao gồm một sự phối hợp thích hợp của các thành phần đảm bảo như mô tả trong điều 6 trong phần TCVN 8709 này. Chính xác hơn, mỗi CAP chứa không nhiều hơn một thành phần của mỗi họ đảm bảo và tất cả các phụ thuộc đảm bảo trong mọi thành phần được đề cập đến.

Các CAP chỉ xem xét khả năng chống lại kẻ tấn công với khả năng tấn công lên trên mức cơ bản. Đây là do mức độ thông tin thiết kế được cung cấp bởi ACO_DEV, hạn chế một số yếu tố kết hợp với khả năng tấn công (hiểu biết về các thành phần cấu thành TOE) và sau đó ảnh hưởng đến sự chặt chẽ của phân tích điểm yếu được thực hiện bởi đánh giá viên. Vì vậy, mức độ đảm bảo trong TOE tổng hợp sẽ bị giới hạn, mặc dù vậy việc đảm bảo trong các thành phần riêng trong TOE tổng hợp cao hơn nhiều.

Bảng 9 - Tóm tắt mức đảm bảo tổng hợp

Lớp đảm bảo

Họ đảm bảo

Các thành phần đảm bảo từ Gói đảm bảo tổng hợp

CAP-A

CAP-B

...

...

...

Tổng hợp

ACO_COR

1

1

1

ACO_CTT

1

2

2

...

...

...

1

2

3

ACO_REL

1

1

2

ACO_VUL

1

...

...

...

3

Tài liệu hướng dẫn

AGD_OPE

1

1

1

AGD_PRE

1

1

...

...

...

Hỗ trợ vòng đời

ACL_CMC

1

1

1

ACL_CMS

2

2

2

...

...

...

ACL_DVS

ACL_FLR

...

...

...

ACL_LCD

ACL_TAT

...

...

...

ASE_CCL

1

1

1

ASE_ECD

1

1

1

ASE_INT

...

...

...

1

1

ASE_OBJ

1

2

2

ASE_REQ

1

2

...

...

...

ASE_SPD

1

1

ASE_TSS

1

1

1

8.2. Chi tiết về gói đảm bảo tổng hợp

...

...

...

8.3. Mức đảm bảo tổng hợp A (CAP-A) - Tổng hợp theo cấu trúc

8.3.1. Mục tiêu

CAP-A được áp dụng khi TOE tổng hợp được tích hợp và tin cậy với hoạt động an toàn thực hiện đúng theo tổng hợp kết quả được yêu cầu. Điều này đòi hỏi sự hợp tác của nhà phát triển của thành phần phụ thuộc về việc cung cấp thông tin thiết kế và kết quả kiểm tra từ việc chứng nhận các thành phần phụ thuộc, mà không đòi hỏi sự tham gia của nhà phát triển thành phần cơ sở.

CAP-A do đó áp dụng trong các trường hợp này, nơi các nhà phát triển hoặc người dùng yêu cầu một mức thấp đến trung bình mức độ an toàn được đảm bảo một cách độc lập trong trường hợp không sẵn có toàn bộ bản ghi phát triển.

8.3.2. Các thành phần đảm bảo

CAP-A cung cấp đảm bảo thông qua phân tích đích an toàn cho TOE tổng hợp. Các SFR trong ST của TOE tổng hợp được phân tích bằng cách sử dụng kết quả đầu ra từ đánh giá của các TOE thành phần (ví dụ ST, tài liệu hướng dẫn) và đặc tả cho các giao diện giữa các TOE thành phần trong TOE tổng hợp để hiểu về hành vi an toàn.

Phân tích này được hỗ trợ bằng cách kiểm tra độc lập của các giao diện của các thành phần cơ sở dựa trên thành phần phụ thuộc, như được mô tả trong thông tin tin cậy, bằng chứng về nhà phát triển các phép thử dựa trên thông tin tin cậy, thông tin phát triển và các sở cứ tổng hợp, và lựa chọn xác nhận độc lập có chọn lọc các kết quả kiểm tra của nhà phát triển. Phân tích này cũng được hỗ trợ bởi việc xem xét lại điểm yếu trong TOE tổng hợp bởi đánh giá viên.

CAP-A cũng cung cấp bảo đảm thông qua nhận dạng duy nhất của TOE tổng hợp (ví dụ TOE CNTT và tài liệu hướng dẫn).

Bảng 10 - CAP - A

...

...

...

Các thành phần đảm bảo

ACO: Tổng hợp

ACO_COR.1 Sở cứ tổng hợp

ACO_CTT.1 Kiểm thử giao diện

ACO_DEV.1: Mô tả chức năng

ACO_REL.1: Thông tin tin cậy cơ sở

ACO_VUL.1: Soát xét các điểm yếu tổng hợp

AGD: Tài liệu hướng dẫn

AGD_OPE.1 Hướng dẫn người dùng vận hành

...

...

...

ALC: Hỗ trợ vòng đời

ACL_CMC.1 Gắn nhãn cho TOE

ACL_CMS.2: Các thành phần của TOE CM tổng quát

Đánh giá các đích an toàn

ASE_CCL.1 Các yêu cầu tuân thủ

ASE_ECD.1 Định nghĩa các thành phần mở rộng

ASE_INT.1: Giới thiệu ST

ASE_OBJ.1: Các mục tiêu an toàn cho môi trường vận hành

ASE_REQ.1: Các yêu cầu an toàn đã xác nhận

...

...

...

8.4. Mức đảm bảo tổng hợp B (CAP-B) - Tổng hợp theo phương pháp

8.4.1. Mục tiêu

CAP-B cho phép nhà phát triển đạt được đảm bảo tối đa từ sự hiểu biết, tại mức hệ thống con, các ảnh hưởng của tương tác giữa các TOE thành phần được tích hợp trong các TOE tổng hợp, trong khi giảm thiểu nhu cầu về sự tham gia của các nhà phát triển thành phần cơ sở.

CAP-B được áp dụng trong các trường hợp này, nơi các nhà phát triển hay người dùng đòi hỏi một mức độ vừa phải về an toàn được đảm bảo độc lập, và yêu cầu một cuộc điều tra kỹ lưỡng về TOE tổng hợp và sự phát triển của nó mà không có kỹ thuật quan trọng.

8.4.2. Các thành phần đảm bảo

CAP-B cung cấp đảm bảo bằng phân tích một đích an toàn đầy đủ cho TOE tổng hợp. Các SFR trong ST của TOE tổng hợp sẽ được phân tích bằng cách sử dụng kết quả đầu ra từ đánh giá của các TOE thành phần (ví dụ như ST, tài liệu hướng dẫn), đặc tả cho các giao diện giữa các TOE thành phần và thiết kế TOE (mô tả hệ thống con TSF) chứa trong thông tin phát triển tổng hợp để hiểu về các hành vi an toàn.

Phân tích này được hỗ trợ bằng cách kiểm tra độc lập của các giao diện của thành phần cơ sở được dựa trên các thành phần phụ thuộc, như mô tả trong thông tin tin cậy (bây giờ cũng bao gồm thiết kế TOE), bằng chứng kiểm thử phát triển dựa trên thông tin tin cậy, thông tin phát triển và sở cứ tạo ra, xác nhận độc lập có chọn lọc kết quả kiểm thử của nhà phát triển. Phân tích cũng được hỗ trợ bởi một phân tích điểm yếu trong TOE tổng hợp bởi đánh giá viên chứng minh khả năng chống kẻ tấn công với các khả năng tấn công.

CAP biểu diễn sự gia tăng có ý nghĩa trong sự bảo đảm từ CAP-A bằng cách yêu cầu vùng bao phủ đầy đủ của các chức năng an toàn.

Bảng 11 - CAP - B

...

...

...

Các thành phần đảm bảo

ACO: Tổng hợp

ACO_COR.1 Sở cứ tổng hợp

ACO_CTT.2 Kiểm thử giao diện nghiêm ngặt

ACO_DEV.2: Mô tả chứng cứ cơ sở

ACO_REL.1: Thông tin tin cậy cơ sở

ACO_VUL.2: Soát xét các điểm yếu thành phần

AGD: Tài liệu hướng dẫn

AGD_OPE.1 Hướng dẫn người dùng vận hành

...

...

...

ALC: Hỗ trợ vòng đời

ACL_CMC.1 Gắn nhãn cho TOE

ACL_CMS.2: Các phần của TOE CM tổng quát

Đánh giá các đích an toàn

ASE_CCL.1 Các yêu cầu tuân thủ

ASE_ECD.1 Định nghĩa các thành phần mở rộng

ASE_INT.1: Giới thiệu ST

ASE_OBJ.2: Các mục tiêu an toàn

ASE_REQ.2: Các yêu cầu an toàn được cung cấp

...

...

...

ASE_TSS.1: Đặc tả tổng quát TOE

8.5. Mức đảm bảo tổng hợp C (CAP-C) - Tổng quát theo phương pháp, kiểm tra và soát xét.

8.5.1. Mục tiêu

CAP-C cho phép nhà phát triển đạt được mức đảm bảo cao nhất từ việc phân tích chủ động sự tương tác giữa các thành phần của TOE tổng hợp, mà không đòi hỏi phải truy cập đầy đủ đến tất cả các chứng cứ đánh giá của thành phần cơ sở.

CAP-C do đó áp dụng trong các trường hợp này, nơi các nhà phát triển hoặc người sử dụng đòi hỏi phải có mức độ an toàn độc lập được đảm bảo ở mức trung bình đến cao trong TOE tổng hợp thông thường truyền thống và được chuẩn bị để phải chịu thêm chi phí liên quan đến vấn đề an toàn đặc trưng.

8.5.2. Các thành phần đảm bảo

CAP-C cung cấp đảm bảo bằng phân tích của một đích an toàn đầy đủ cho TOE tổng hợp. Các SFR trong ST của TOE tổng hợp được phân tích bằng cách sử dụng kết quả đầu ra thông qua đánh giá các TOE thành phần (ví dụ như ST, tài liệu hướng dẫn), đặc tả cho các giao diện giữa các TOE thành phần và thiết kế TOE (mô tả các mô đun TSF) được chứa trong thông tin phát triển tổng hợp để hiểu về hành vi an toàn.

Phân tích được hỗ trợ bằng cách kiểm tra độc lập của các giao diện của thành phần cơ sở được dựa trên thành phần phụ thuộc, như mô tả trong thông tin tin cậy (nay bao gồm cả thiết kế TOE), kiểm tra chứng cứ của nhà phát triển dựa trên thông tin tin cậy, thông tin phát triển và sở cứ tổng hợp và chọn lọc độc lập xác nhận kết quả kiểm thử của nhà phát triển. Phân tích này cũng được hỗ trợ với việc phân tích điểm yếu của TOE tổng hợp bởi đánh giá viên để chứng minh khả năng chống kẻ tấn công với khả năng tấn công trên mức cơ bản.

CAP này thể hiện sự gia tăng có ý nghĩa trong sự bảo đảm từ CAP-B bằng cách yêu cầu mô tả chi tiết thiết kế và thể hiện khả năng chống lại khả năng bị tấn công cao hơn.

...

...

...

Lớp đảm bảo

Các thành phần đảm bảo

ACO: Thành phần cấu tạo

ACO_COR.1 Sở cứ tổng hợp

ACO_CTT.2 Kiểm thử giao diện nghiêm ngặt

ACO_DEV.3: Chứng cứ chi tiết cho thiết kế

ACO_REL.2: Thông tin tin cậy

ACO_VUL.3: Phân tích điểm yếu tổng hợp mức cao hơn cơ bản

AGD: Tài liệu hướng dẫn

...

...

...

AGD_PRE.1 Các thủ tục chuẩn bị

ALC: Hỗ trợ vòng đời

ACL_CMC.1 Gắn nhãn cho TOE

ACL_CMS.2 Các phần của TOE CM tổng quát

Đánh giá các đích an toàn

ASE_CCL.1 Các yêu cầu tuân thủ

ASE_ECD.1 Định nghĩa các thành phần mở rộng

ASE_INT.1: Giới thiệu ST

ASE_OBJ.2: Các mục tiêu an toàn

...

...

...

ASE_SPD.1 Định nghĩa các vấn đề an toàn

ASE_TSS.1: Đặc tả tổng quát TOE

9. Lớp APE: Đánh giá hồ sơ bảo vệ

Đánh giá một PP được yêu cầu để chứng minh rằng PP là nhất quán và nếu là PP dựa trên một hoặc nhiều PP khác hoặc trong các gói, mà PP là một thể hiện đúng của các PP này và các gói. Các thuộc tính này là cần thiết cho PP cho phù hợp để sử dụng làm cơ sở để viết ST hay PP khác.

Mục này nên được sử dụng cùng với các Phụ lục A, B và C trong TCVN 8709-1, như các phụ lục để làm rõ các khái niệm ở đây và cung cấp nhiều ví dụ.

Hình 8 cho thấy các họ trong lớp này, và hệ thống phân cấp của các thành phần trong họ.

Hình 8 - Phân cấp lớp APE: Đánh giá Hồ sơ bảo vệ

9.1. Giới thiệu PP (APE_INT)

...

...

...

Mục tiêu của họ này là mô tả TOE theo một phạm vi hẹp.

Đánh giá giới thiệu PP được đòi hỏi để chứng minh rằng PP được xác định đúng và tham chiếu PP và tổng quan TOE là nhất quán với các thành phần khác.

9.1.2. APE_INT.1 Giới thiệu PP

Các mối phụ thuộc: không có sự phụ thuộc nào.

9.1.2.1. Phần tử hành động của nhà phát triển

9.1.2.1.1. APE_INT.1.1D

Nhà phát triển PP cần cung cấp giới thiệu PP

9.1.2.2. Các phần tử nội dung và trình bày

9.1.2.2.1. APE_INT.1.1C

...

...

...

9.1.2.2.2. APE_INT.1.2C

Tham chiếu PP cần là định danh duy nhất của PP

9.1.2.2.3. APE_INT.1.3C

Tổng quan TOE cần tóm tắt việc sử dụng và các đặc trưng an toàn chính của TOE

9.1.2.2.4. APE_INT.1.4C

Tổng quan TOE cần xác định kiểu TOE.

9.1.2.2.5. APE_INT_1.5C

Tổng quan TOE cần xác định bất kỳ phần cứng, phần mềm và phần sụn không phải TOE có trong TOE.

9.1.2.3. Các phần tử hành động của đánh giá viên

...

...

...

Đánh giá viên cần khẳng định rằng thông tin cung cấp đáp ứng mọi yêu cầu về chứng cứ cho nội dung và trình bày.

9.2. Các yêu cầu tuân thủ (APE_CCL)

9.2.1. Mục tiêu

Mục tiêu của họ này là quyết định giá trị của các yêu cầu tuân thủ. Thêm vào đó, họ này chỉ ra làm sao mà ST và các PP khác được yêu cầu tuân thủ với PP.

9.2.2. APE_CCL.1 Các yêu cầu tuân thủ

Các phụ thuộc:

APE_INT.1 Giới thiệu PP

APE_ECD.1 Định nghĩa các thành phần mở rộng

APE_REQ.1 Nêu các yêu cầu an toàn.

...

...

...

9.2.2.1.1. APE_CCL.1.1D

Nhà phát triển cần cung cấp yêu cầu tuân thủ

9.2.2.1.2. APE_CCL.1.2D

Nhà phát triển cần cung cấp sở cứ các yêu cầu tuân thủ

9.2.2.1.3. APE_CCL.1.3D

Nhà phát triển cần cung cấp các tuyên bố về tuân thủ

9.2.2.2. Các phần tử nội dung và trình bày

9.2.2.2.1. APE_CCL.1.1C

Các yêu cầu tuân thủ cần chứa yêu cầu tuân thủ TCVN 8709 mà xác định phiên bản của TCVN 8709 mà PP yêu cầu tuân thủ.

...

...

...

Các yêu cầu tuân thủ TCVN 8709 cần mô tả sự tuân thủ của PP theo TCVN 8709-2 cũng như là sự tuân thủ TCVN 8709-2 hoặc mở rộng của TCVN 8709-2.

9.2.2.2.3. APE_CCL.1.3C

Các yêu cầu tuân thủ TCVN 8709 cần mô tả sự tuân thủ của PP theo phần này của TCVN 8709 cũng như là sự tuân thủ phần này của TCVN 8709 hoặc phần này của phần mở rộng TCVN 8709.

9.2.2.2.4. APE_CCL.1.4C

Yêu cầu tuân thủ TCVN 8709 cần nhất quán với định nghĩa các thành phần mở rộng

9.2.2.2.5. APE_CCL.1.5C

Yêu cầu tuân thủ TCVN 8709 cần chỉ ra tất cả PP và các gói yêu cầu an toàn mà PP yêu cầu tuân thủ.

9.2.2.2.6. APE_CCL.1.6C

Yêu cầu tuân thủ cần mô tả bất kỳ sự tuân thủ nào của PP theo gói cũng như gói tuân thủ hay gói tăng cường khác.

...

...

...

Sở cứ cho yêu cầu tuân thủ về cần chứng minh rằng kiểu TOE này là nhất quán với kiểu TOE trong các PP mà sự tuân thủ đang được yêu cầu.

9.2.2.2.8. APE_CCL.1.8C

Sở cứ cho yêu cầu tuân thủ sẽ chứng minh rằng tuyên bố định nghĩa các vấn đề an toàn là nhất quán với tuyên bố về định nghĩa các vấn đề an toàn bên trong các PP mà sự tuân thủ đang được yêu cầu.

9.2.2.2.9. APE_CCL.1.9C

Sở cứ cho yêu cầu tuân thủ cần chứng minh rằng tuyên bố các mục tiêu an toàn là nhất quán với tuyên bố về định nghĩa các mục tiêu an toàn bên trong các PP mà sự tuân thủ đang được yêu cầu.

9.2.2.2.10. APE_CCL.1.10C

Sở cứ cho yêu cầu tuân thủ cần chứng minh rằng tuyên bố định nghĩa các yêu cầu an toàn là nhất quán với tuyên bố về định nghĩa các yêu cầu an toàn bên trong các PP mà sự tuân thủ đang được yêu cầu.

9.2.2.2.11. APE_CCL.1.11C

Tuyên bố tuân thủ cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu cho nội dung và trình bày các chứng cứ.

...

...

...

9.2.2.3.1. APE_CCL.1.1E

Đánh giá viên cần khẳng định rằng thông tin cung cấp đáp ứng mọi yêu cầu về chứng cứ cho nội dung và trình bày.

9.3. Định nghĩa vấn đề an toàn (APE_SPD)

9.3.1. Mục tiêu

Phần này của PP định nghĩa các vấn đề an toàn được đề cập đến trong TOE và môi trường áp dụng của TOE.

Đánh giá định nghĩa các vấn đề an toàn được yêu cầu để chứng minh rằng các vấn đề an toàn dự kiến được đề cập bởi TOE và môi trường áp dụng của nó, được định nghĩa rõ ràng.

9.3.2. APE_SPD.1 định nghĩa các vấn đề an toàn

Các mối phụ thuộc: không có sự phụ thuộc nào

9.3.2.1. Phần tử hành động của nhà phát triển

...

...

...

Nhà phát triển cần cung cấp định nghĩa các vấn đề an toàn

9.3.2.2. Nội dung và trình bày của các thành phần

9.3.2.2.1. APE_SPD.1.1C

Định nghĩa các vấn đề an toàn cần mô tả các mối đe dọa.

9.3.2.2.2. APE_SPD.1.2C

Tất cả các mối đe dọa cần được mô tả dưới dạng tác nhân gây nguy cơ, tài sản và các hành động thù địch.

9.3.2.2.3. APE_SPD.1.3C

Định nghĩa vấn đề an toàn cần mô tả các OSP.

9.3.2.2.4. APE_SPD.1.4C

...

...

...

9.3.2.3. Các phần tử hành động của đánh giá viên

9.3.2.3.1. APE_SPD.1.1E

Đánh giá viên cần khẳng định rằng thông tin cung cấp đáp ứng mọi yêu cầu về chứng cứ cho nội dung và trình bày.

9.4. Các mục tiêu an toàn (APE_OBJ)

9.4.1. Mục tiêu

Các mục tiêu an toàn là tuyên bố ngắn gọn của phản ứng dự định cho vấn đề an toàn được định nghĩa thông qua định nghĩa các vấn đề an toàn (họ APE_SPD).

Đánh giá các mục tiêu an toàn được đòi hỏi để chứng minh rằng các mục tiêu an toàn được đề cập đến là tương xứng và đầy đủ cho các vấn đề an toàn và sự phân tách giữa TOE và môi trường áp dụng nó sẽ được định nghĩa rõ ràng.

9.4.2. Phân mức thành phần

Các thành phần trong họ này được phân mức ra dựa trên việc quy định chúng là mục tiêu an toàn cho môi trường áp dụng hay mục tiêu an toàn cho TOE.

...

...

...

Các mối phụ thuộc: không có sự phụ thuộc nào.

9.4.3.1. Phần tử hành động của nhà phát triển

9.4.3.1.1. APE_OBJ.1.1D

Nhà phát triển PP cần cung cấp tuyên bố các mục tiêu an toàn.

9.4.3.2. Các phần tử nội dung và trình bày

9.4.3.2.1. APE_OBJ.1.1C

Tuyên bố các mục tiêu an toàn cần mô tả các mục tiêu an toàn cho môi trường vận hành.

9.4.3.3. Các phần tử hành động của đánh giá viên

9.4.3.3.1. APE_OBJ.1.1E

...

...

...

9.4.4. APE_OBJ.2 Các mục tiêu an toàn

Các phụ thuộc: APE_SPD.1 định nghĩa vấn đề an toàn

9.4.4.1. Phần tử hành động của nhà phát triển

9.4.4.1.1. APE_OBJ.2.1D

Nhà phát triển cần cung cấp tuyên bố về các mục tiêu an toàn

9.4.4.1.2. APE_OBJ.2.2D

Nhà phát triển cần cung cấp sở cứ cho các mục tiêu an toàn.

9.4.4.2. Các phần tử nội dung và trình bày

9.4.4.2.1. APE_OBJ.2.1C

...

...

...

9.4.4.2.2. APE_OBJ.2.2C

Sở cứ các mục tiêu an toàn cần theo vết từng mục tiêu an toàn cho TOE chống lại các nguy cơ bởi các mục tiêu an toàn đó và các OSP được thực hiện bởi các mục tiêu an toàn.

9.4.4.2.3. APE_OBJ.2.3C

Sở cứ các mục tiêu an toàn cần theo vết từng mục tiêu an toàn cho môi trường áp dụng chống lại các nguy cơ bởi các mục tiêu an toàn đó và các OSP được thực hiện bởi các mục tiêu an toàn và giả định duy trì các mục tiêu an toàn.

9.4.4.2.4. APE_OBJ.2.4C

Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an toàn chống lại tất cả các nguy cơ.

9.4.4.2.5. APE_OBJ.2.5C

Sở cứ các mục tiêu an toàn cần chứng minh rằng các mục tiêu an toàn thực thi tất cả OSP.

9.4.4.2.6. APE_OBJ.2.6C

...

...

...

9.4.4.3. Các phần tử hành động của đánh giá viên

9.4.4.3.1. APE_OBJ.2.1E

Đánh giá viên cần xác nhận rằng các thông tin được cung cấp đáp ứng tất cả các yêu cầu cho nội dung và trình bày các chứng cứ.

9.5. Định nghĩa các thành phần mở rộng (APE_ECD)

9.5.1. Mục tiêu

Các yêu cầu an toàn mở rộng là các yêu cầu mà không dựa trên các thành phần từ TCVN 8709-2 hay phần này của TCVN 8709 mà dựa trên các thành phần mở rộng: các thành phần được định nghĩa bởi tác giả PP.

Đánh giá định nghĩa các thành phần mở rộng là cần thiết để quyết định rằng chúng rất rõ ràng và không mập mờ, và chúng là cần thiết, ví dụ chúng không thể được biểu diễn rõ ràng nếu sử dụng các thành phần đang có trong TCVN 8709-2 hoặc phần này của TCVN 8709

9.5.2. APE_ECD.1 định nghĩa các thành phần mở rộng

Các mối phụ thuộc: không có sự phụ thuộc nào.

...

...

...

9.5.2.1.1. APE_ECD.1.1D

Nhà phát triển cần cung cấp tuyên bố về các yêu cầu an toàn

9.5.2.1.2. APE_ECD.1.2D

Nhà phát triển cần cung cấp định nghĩa các thành phần mở rộng

9.5.2.2. Các phần tử nội dung và trình bày

9.5.2.2.1. APE_ECD.1.1C

Tuyên bố các yêu cầu an toàn cần xác định tất cả các yêu cầu an toàn mở rộng.

9.5.2.2.2. APE_ECD.1.2C

Định nghĩa các thành phần mở rộng cần xác định thành phần mở rộng cho từng yêu cầu an toàn mở rộng.

...

...

...

Định nghĩa các thành phần mở rộng cần được mô tả mỗi thành phần mở rộng có quan hệ thế nào với các lớp, họ và thành phần đang có trong TCVN 8709.

9.5.2.2.4. APE_ECD.1.4C

Định nghĩa các thành phần mở rộng cần sử dụng các lớp, họ, thành phần của TCVN 8709 đang tồn tại như là mô hình cho sự trình bày.

9.5.2.2.5. APE_ECD.1.5C

Các thành phần mở rộng cần sử dụng phương pháp, lớp, họ và thành phần đang có trong TCVN 8709 như là mô hình trong sự trình bày.

9.5.2.3. Các phần tử hành động của đánh giá viên

9.5.2.3.1. APE_ECD.1.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu cho nội dung và trình bày của các chứng cứ.

9.5.2.3.2. APE_ECD.1.2E

...

...

...

9.6. Các yêu cầu an toàn (APE_REQ)

9.6.1. Mục tiêu

SFR được mô tả một cách rõ ràng, không lẫn lộn được xác định hoàn toàn các hành vi an toàn mong muốn của TOE. SAR được mô tả một cách rõ ràng, không lẫn lộn được hoàn toàn xác định các hoạt động mong muốn mà có trách nhiệm đạt được sự đảm bảo trong TOE.

Đánh giá các yêu cầu an toàn được yêu cầu để đảm bảo rằng chúng là rõ ràng, không lẫn lộn và được hoàn toàn xác định.

9.6.2. Phân mức thành phần

Các thành phần trong họ này được phân mức mà chúng được quy định hay SFR được bắt nguồn từ các mục tiêu an toàn cho TOE.

9.6.3. APE_REQ.1 Các yêu cầu an toàn được tuyên bố

Các phụ thuộc: APE_ECD.1 Định nghĩa các thành phần mở rộng

9.6.3.1. Phần tử hành động của nhà phát triển

...

...

...

Nhà phát triển cần cung cấp tuyên bố về các yêu cầu an toàn

9.6.3.1.2. APE_REQ.1.2D

Nhà phát triển cần cung cấp các sở cứ về các yêu cầu an toàn

9.6.3.2. Các phần tử nội dung và trình bày

9.6.3.2.1. APE_REQ.1.1C

Tuyên bố về các yêu cầu an toàn cần mô tả các SFR và SAR

9.6.3.2.2. APE_REQ.1.2C

Tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các nhóm khác được sử dụng trong SFR và SAR, cần được xác định.

9.6.3.2.3 APE_REQ.1.3C

...

...

...

9.6.3.2.4. APE_REQ.1.4C

Tất cả các hoạt động cần phải thực hiện đúng

9.6.3.2.5. APE_REQ.1.5C

Mỗi phụ thuộc của các yêu cầu an toàn không chỉ cần được thỏa mãn mà sở cứ các yêu cầu an toàn cần phải biện minh cho các phụ thuộc không được thỏa mãn.

9.6.3.2.6. APE_REQ.1.6C

Tuyên bố về các yêu cầu an toàn cần phải có tính nhất quán nội bộ.

9.6.3.3. Các phần tử hành động của đánh giá viên

9.6.3.3.1. APE_REQ.1.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu cho nội dung và trình bày của các chứng cứ.

...

...

...

Các phụ thuộc: APE_OBJ.2 Các mục tiêu an toàn

APE_ECD.1 Định nghĩa các thành phần mở rộng

9.6.4.1. Phần tử hành động của nhà phát triển

9.6.4.1.1. APE_REQ.2.1D

Nhà phát triển cần cung cấp tuyên bố về các yêu cầu an toàn

9.6.4.1.2. APE_REQ.2.2D

Nhà phát triển cần cung cấp sở cứ các yêu cầu an toàn.

9.6.4.2. Các phần tử nội dung và trình bày

9.6.4.2.1. APE_REQ.2.1C

...

...

...

9.6.4.2.2. APE_REQ.2.2C

Tất cả các đối tượng, mục tiêu, hoạt động, thuộc tính an toàn, các thực thể bên ngoài và các nhóm khác được sử dụng trong SFR và SAR, cần được xác định.

9.6.4.2.3. APE_REQ.2.3C

Tuyên bố về các yêu cầu an toàn cần xác định tất cả các quá trình hoạt động trong các yêu cầu an toàn.

9.6.4.2.4. APE_REQ.2.4C

Các hoạt động cần phải được thực hiện đúng

9.6.4.2.5. APE_REQ.2.5C

Mỗi phụ thuộc của các yêu cầu an toàn không chỉ cần được thỏa mãn mà sở cứ các yêu cầu an toàn cần phải biện minh cho các phụ thuộc không được thỏa mãn.

9.6.4.2.6. APE_REQ.2.6C

...

...

...

9.6.4.2.7. APE_REQ.2.7C

Sở cứ các yêu cầu an toàn cần chứng minh rằng SFR đáp ứng tất cả các mục tiêu an toàn cho TOE.

9.6.4.2.8. APE_REQ.2.8C

Sở cứ các yêu cầu an toàn cần giải thích vì sao các SAP được chọn.

9.6.4.2.9. APE_REQ.2.9C

Tuyên bố về các yêu cầu an toàn cần nhất quán nội bộ

9.6.4.3. Các phần tử hành động của đánh giá viên

9.6.4.3.1. APE_REQ.2.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu về nội dung và trình bày các chứng cứ.

...

...

...

Mục tiêu của đánh giá ST là chứng minh rằng ST đó đã hoàn tất, nhất quán, phù hợp và nếu ST được dựa trên một hoặc nhiều PP hay các gói, khi đó ST là một thể hiệu đúng của các PP và các gói này. Các thuộc tính này là cần thiết cho ST để phù hợp cho sử dụng như là cơ sở cho đánh giá TOE.

Phần này cần được kết nối với các Phụ lục A, B và C trong TCVN 8709-1, phụ lục này làm rõ các khái niệm ở đây và cung cấp nhiều ví dụ.

Hình 9 chỉ ra các họ bên trong lớp này và phân cấp các thành phần trong các họ này.

Hình 9 - Phân cấp lớp ASE: Đánh giá Đích an toàn

10.1. Giới thiệu ST (ASE_INT)

10.1.1. Mục tiêu

Mục tiêu của họ này là mô tả TOE theo một cách hẹp theo ba mức gồm: Tham chiếu TOE, Tổng quan TOE và mô tả TOE.

Đánh giá giới thiệu ST được yêu cầu để chứng minh rằng ST và TOE được xác định đúng, do đó TOE được mô tả đúng tại 3 mức và mô tả của 3 mức này nhất quán với mỗi cái khác.

...

...

...

Các mối phụ thuộc: Không có sự phụ thuộc nào.

10.1.2.1. Phần tử hành động của nhà phát triển

10.1.2.1.1. ASE_INT.1.1D

Nhà phát triển cần cung cấp giới thiệu ST.

10.1.2.2. Các phần tử nội dung và trình bày

10.1.2.2.1. ASE_INT.1.1C

Giới thiệu ST cần chứa tham chiếu ST, tham chiếu TOE, tổng quan TOE và mô tả TOE.

10.1.2.2.2. ASE_INT.1.2C

Tham chiếu ST cần xác định ST duy nhất.

...

...

...

Tham chiếu TOE cần xác định TOE.

10.1.2.2.4. ASE_INT.1.4C

Tổng quan TOE cần tóm tắt việc sử dụng các đặc trưng an toàn chính của TOE.

10.1.2.2.5. ASE_INT.1.5C

Tổng quan TOE cần xác định kiểu TOE.

10.1.2.2.6. ASE_INT.1.6C

Tổng quan TOE cần xác định bất kỳ phần cứng, phần mềm, phần sụn nào không phải TOE được yêu cầu bởi TOE.

10.1.2.2.7. ASE_INT.1.7C

Mô tả TOE cần mô tả phạm vi vật lý của TOE.

...

...

...

Mô tả TOE cần mô tả phạm vi logic của TOE.

10.1.2.3. Phần tử hành động của đánh giá viên

10.1.2.3.1 ASE_INT.1.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu về nội dung và trình bày của chứng cứ.

10.1.2.3.2. ASE_INT.1.2E

Đánh giá viên cần xác nhận rằng tham chiếu TOE, tổng quan TOE và mô tả TOE là nhất quán với các cái khác.

10.2. Các yêu cầu tuân thủ (ASE_CCL)

10.2.1. Mục tiêu

Mục tiêu của họ này là quyết định giá trị của yêu cầu tuân thủ. Thêm vào đó, họ này chỉ ra làm thế nào các ST yêu cầu tuân thủ với PP.

...

...

...

Mục tiêu của họ này là quyết định giá trị của yêu cầu tuân thủ. Thêm vào đó, họ này chỉ ra làm thế nào các ST yêu cầu tuân thủ với PP.

10.2.2. ACE_CCL.1 Các yêu cầu tuân thủ

Các phụ thuộc:

ASE_INT.1 ST Giới thiệu

ASE_ECD.1 Định nghĩa các thành phần mở rộng

ASE_REQ.1 Tuyên bố về các yêu cầu an toàn

10.2.2.1. Các phần tử hành động của đánh giá viên

10.2.2.1.1. ASE_CCT.1.1D

Nhà phát triển cần cung cấp yêu cầu tuân thủ

...

...

...

Nhà phát triển cần cung cấp sở cứ yêu cầu tuân thủ

10.2.2.2. Các phần tử nội dung và trình bày

10.2.2.2.1. ASE_CCL.1.1C

Yêu cầu tuân thủ cần chứa yêu cầu tuân thủ TCVN 8709 để xác định phiên bản của TCVN 8709-2 mà yêu cầu tuân thủ TOE và ST.

10.2.2.2.2. ASE_CCL.1.2C

Yêu cầu tuân thủ TCVN 8709 cần mô tả tuân thủ của ST theo TCVN 8709-2, không chỉ tuân thủ TCVN 8709-2 mà còn TCVN 8709-2 mở rộng.

10.2.2.2.3. ASE_CCL.1.3C

Yêu cầu tuân thủ TCVN 8709 cần mô tả tuân thủ của ST theo phần này của TCVN 8709 không chỉ tuân thủ theo phần này của TCVN 8709 mà còn theo phần này của TCVN 8709 mở rộng.

10.2.2.2.4. ASE_CCL.1.4C

...

...

...

10.2.2.2.5. ASE_CCL.1.5C

Yêu cầu tuân thủ cần chỉ ra tất cả các PP và các gói đảm bảo an toàn mà ST yêu cầu tuân thủ.

10.2.2.2.6. ASE_CCL.1.6C

Yêu cầu tuân thủ cần mô tả bất kỳ tuân thủ nào của ST theo gói, không chỉ các gói tuân thủ mà cả các gói tăng cường.

10.2.2.2.7. ASE_CCL.1.7C

Sở cứ yêu cầu tuân thủ cần chứng minh rằng kiểu TOE là nhất quán với kiểu TOE trong PP theo đó sự tuân thủ được yêu cầu.

10.2.2.2.8. ASE_CCL.1.8C

Sở cứ yêu cầu tuân thủ cần chứng minh rằng tuyên bố của định nghĩa vấn đề an toàn là nhất quán với tuyên bố định nghĩa các vấn đề an toàn trong PP theo đó sự tuân thủ được yêu cầu.

10.2.2.2.9. ASE_CCL.1.9C

...

...

...

10.2.2.2.10. ASE_CCL.1.10C

Sở cứ yêu cầu tuân thủ cần chứng minh rằng tuyên bố của các yêu cầu an toàn là nhất quán với tuyên bố của các yêu cầu an toàn trong PP mà tại đó sự tuân thủ được yêu cầu.

10.2.2.3. Các phần tử hành động của đánh giá viên

10.2.2.3.1. ASE_CCL.1.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu về nội dung và biểu diễn các chứng cứ.

10.3. Định nghĩa vấn đề an toàn (ASE_SPD)

10.3.1. Mục tiêu

Trong phần này của ST định nghĩa vấn đề an toàn được đề cập bởi TOE và môi trường áp dụng TOE.

Đánh giá định nghĩa các vấn đề an toàn được yêu cầu để chứng minh rằng vấn đề an toàn dự định được đề cập bởi TOE và môi trường áp dụng của nó là được định nghĩa rõ ràng.

...

...

...

Các mối phụ thuộc: không có sự phụ thuộc nào.

10.3.2.1. Phần tử hành động của nhà phát triển

10.3.2.1.1. ASE_SPD.1.1D

Nhà phát triển cần cung cấp định nghĩa các vấn đề an toàn

10.3.2.2. Các phần tử nội dung và trình bày

10.3.2.2.1. ASE_SPD.1.1C

Định nghĩa vấn đề an toàn cần mô tả các nguy cơ

10.3.2.2.2. ASE_SPD.1.2C

Tất cả các nguy cơ cần mô tả dưới dạng tác nhân nguy cơ, tài sản và hành động bất lợi.

...

...

...

Định nghĩa vấn đề an toàn cần mô tả OSP

10.3.2.2.4. ASE_SPD.1.4C

Định nghĩa vấn đề an toàn cần mô tả giả thiết về môi trường hoạt động của TOE.

10.3.2.3. Các phần tử hành động của đánh giá viên

10.3.2.3.1. ASE_SPD.1.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu cho nội dung và trình bày của các chứng cứ.

10.4. Mục tiêu an toàn (ASE_OBJ)

10.4.1. Mục tiêu

Các mục tiêu an toàn là tuyên bố ngắn gọn của các phản ứng dự định cho các vấn đề về an toàn được định nghĩa qua định nghĩa các vấn đề an toàn của họ (ASE_SPD)

...

...

...

10.4.2. Phân mức thành phần

Các thành phần trong họ này được phân mức dựa trên có hay không việc quy định chỉ các mục tiêu an toàn cho môi trường áp dụng hay cả các mục tiêu an toàn cho TOE.

10.4.3. ASE_OBJ.1 Các mục tiêu an toàn cho môi trường hoạt động

Các mối phụ thuộc: không có sự phụ thuộc nào.

10.4.3.1. Phần tử hành động của nhà phát triển.

10.4.3.1.1. ASE_OBJ.1.1D

Nhà phát triển cần cung cấp tuyên bố về mục tiêu an toàn

10.4.3.2. Các phần tử nội dung và trình bày

10.4.3.2.1. ASE_OBJ.1.1C

...

...

...

10.4.3.3. Các phần tử hành động của đánh giá viên

10.4.3.3.1. ASE_OBJ.1.1E

Đánh giá viên cần xác nhận rằng các thông tin được cung cấp đáp ứng tất cả các yêu cầu cho nội dung và biểu diễn các chứng cứ.

10.4.4. ASE_OBJ.2 Các mục tiêu an toàn.

Các phụ thuộc: ASE_SPD.1 định nghĩa các vấn đề an toàn.

10.4.4.1. Phần tử hành động của nhà phát triển

10.4.4.1.1. ASE_OBJ.2.1D

Nhà phát triển cần cung cấp tuyên bố về các mục tiêu an toàn.

10.4.4.1.2. ASE_OBJ.2.2D

...

...

...

10.4.4.2. Các phần tử nội dung và trình bày

10.4.4.2.1. ASE_OBJ.2.1C

Tuyên bố về các mục tiêu an toàn cần mô tả các mục tiêu an toàn cho TOE và các mục tiêu an toàn cho môi trường áp dụng.

10.4.4.2.2. ASE_OBJ.2.2C

Sở cứ các mục tiêu an toàn cần theo vết mỗi mục tiêu an toàn cho TOE trở lại chống lại các nguy cơ bởi mục tiêu an toàn đó và thực thi OSP bởi mục tiêu an toàn đó.

10.4.4.2.3. ASE_OBJ.2.3C

Sở cứ các mục tiêu an toàn cần theo vết mỗi mục tiêu an toàn cho môi trường áp dụng trở lại chống lại các nguy cơ bởi mục tiêu an toàn đó, thực thi OSP bởi mục tiêu an toàn đó, và giả thiết duy trì mục tiêu an toàn đó.

10.4.4.2.4. ASE_OBJ.2.4C

Sở cứ các mục tiêu an toàn cần chứng minh rằng mục tiêu an toàn chống lại tất cả các nguy cơ.

...

...

...

Sở cứ các mục tiêu an toàn cần chứng minh rằng mục tiêu an toàn chống lại tất cả các OSP.

10.4.4.2.6. ASE_OBJ.2.6C

Sở cứ các mục tiêu an toàn cần chứng minh rằng mục tiêu an toàn cho môi trường áp dụng duy trì tất cả các giả thiết.

10.4.4.3. Các phần tử hành động của đánh giá viên

10.4.4.3.1. ASE_OBJ.2.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp cần đáp ứng tất cả các yêu cầu cho nội dung và trình bày các chứng cứ.

10.5. Định nghĩa các thành phần mở rộng (ASE_ECD)

10.5.1. Mục tiêu

Các yêu cầu an toàn mở rộng là các yêu cầu mà không dựa trên các thành phần từ TCVN 8709-2 hay phần này của TCVN 8709, mà dựa trên các thành phần mở rộng: Thành phần được định nghĩa bởi tác giả ST.

...

...

...

10.5.2. ASE_ECD.1 Định nghĩa các thành phần mở rộng

Các mối phụ thuộc: không có sự phụ thuộc nào.

10.5.2.1.1. ASE_ECD.1.1D

Nhà phát triển cần cung cấp tuyên bố về yêu cầu an toàn.

10.5.2.1.2. ASE_ECD.1.2D

Nhà phát triển cần cung cấp định nghĩa các thành phần mở rộng.

10.5.2.2. Các phần tử nội dung và trình bày

10.5.2.2.1. ASE_ECD.1.1C

Tuyên bố các yêu cầu an toàn cần xác định tất cả các yêu cầu an toàn mở rộng.

...

...

...

Định nghĩa các thành phần mở rộng cần định nghĩa thành phần mở rộng cho mỗi yêu cầu an toàn mở rộng.

10.5.2.2.3. ASE_ECD.1.3C

Định nghĩa các thành phần mở rộng cần mô tả mỗi thành phần mở rộng có mối quan hệ như thế nào với các thành phần, họ và lớp trong TCVN 8709 đang tồn tại.

10.5.2.2.4. ASE_ECD.1.4C

Định nghĩa các thành phần mở rộng cần sử dụng các thành phần, lớp, họ và phương pháp trong TCVN 8709 như một mô hình cho trình bày.

10.5.2.3. Các phần tử hành động của đánh giá viên

10.5.2.3.1. ASE_ECD.1.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu về nội dung và trình bày của chứng cứ.

10.5.2.3.2. ASE_ECD.1.2E

...

...

...

10.6. Các yêu cầu an toàn (ASE_REQ)

10.6.1. Mục tiêu

SFR được mô tả một cách rõ ràng, không lẫn lộn được xác định hoàn toàn các hành vi an toàn mong muốn của TOE. SAR được mô tả một cách rõ ràng, không lẫn lộn được hoàn toàn xác định các hoạt động mong muốn mà có trách nhiệm đạt được sự đảm bảo trong TOE.

Đánh giá các yêu cầu an toàn được yêu cầu để đảm bảo rằng chúng là rõ ràng, không lẫn lộn và được hoàn toàn xác định.

10.6.2. Phân mức thành phần

Các thành phần trong họ này được phân mức theo như chúng được tuyên bố.

10.6.3. ASE_REQ.1 Định nghĩa các thành phần mở rộng

10.6.3.1. Phần tử hành động của nhà phát triển.

10.6.3.1.1. ASE_REQ.1.1D

...

...

...

10.6.3.1.2. ASE_REQ.1.2D

Nhà phát triển cần cung cấp sở cứ các yêu cầu an toàn

10.6.3.2. Các phần tử nội dung và trình bày

10.6.3.2.1. ASE_REQ.1.1C

Tuyên bố các yêu cầu an toàn cần mô tả SFR và SAR

10.6.3.2.2. ASE_REQ.1.2C

Tất cả các chủ thể, mục tiêu, hoạt động, thuộc tính an toàn, thực thể ngoài và các thuật ngữ được sử dụng trong SFR và SAR cần được định nghĩa.

10.6.3.2.3. ASE_REQ.1.3C

Tuyên bố về các yêu cầu an toàn cần xác định tất cả các hoạt động dựa trên các yêu cầu an toàn.

...

...

...

Tất cả các hoạt động cần thực hiện chính xác.

10.6.3.2.5. ASE_REQ.1.5C

Mỗi các mối phụ thuộc của các yêu cầu an toàn cần không chỉ sự thỏa mãn mà sở cứ các yêu cầu an toàn cần biện minh cho các mối phụ thuộc không được thỏa mãn.

10.6.3.2.6. ASE_REQ.1.6C

Tuyên bố về các yêu cầu an toàn cần nhất quán nội bộ.

10.6.3.3. Các phần tử hành động của đánh giá viên

10.6.3.3.1. ASE_REQ.1.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu cho nội dung và trình bày các chứng cứ

10.6.4. ASE_REQ.2 Các yêu cầu an toàn thu được

...

...

...

ASE_OBJ.2 Các mục tiêu an toàn

ASE_ECD.1 Định nghĩa các thành phần mở rộng

10.6.4.1. Phần tử hành động của nhà phát triển

10.6.4.1.1. ASE_REQ.2.1D

Nhà phát triển cần cung cấp tuyên bố các yêu cầu an toàn.

10.6.4.1.2. ASE_REQ.2.2D

Nhà phát triển cần cung cấp sở cứ các yêu cầu an toàn.

10.6.4.2. Các phần tử nội dung và trình bày

10.6.4.2.1. ASE_REQ.2.1C

...

...

...

10.6.4.2.2. ASE_REQ.2.2C

Tất cả các chủ thể, mục tiêu, hoạt động, thuộc tính an toàn, thực thể ngoài và các thuật ngữ được sử dụng trong SFR và SAR cần được định nghĩa.

10.6.4.2.3. ASE_REQ.2.3C

Tuyên bố các yêu cầu an toàn cần chỉ ra tất cả các hoạt động dựa trên các yêu cầu an toàn.

10.6.4.2.4. ASE_REQ.2.4C

Tất cả các hoạt động cần phải thực hiện chính xác.

10.6.4.2.5. ASE_REQ.2.5C

Mỗi phụ thuộc của các yêu cầu an toàn cần không chỉ thỏa mãn mà sở cứ các yêu cầu an toàn cần biện minh cho các phụ thuộc mà không được thỏa mãn.

10.6.4.2.6. ASE_REQ.2.6C

...

...

...

10.6.4.2.7. ASE_REQ.2.7C

Sở cứ các yêu cầu an toàn cần chứng minh rằng SFR đáp ứng tất cả các mục tiêu an toàn cho TOE.

10.6.4.2.8. ASE_REQ.2.8C

Sở cứ các yêu cầu an toàn cần giải thích vì sao SAR được chọn.

10.6.4.2.9. ASE_REQ.2.9C

Tuyên bố các yêu cầu an toàn cần nhất quán nội bộ.

10.6.4.3. Các phần tử hành động của đánh giá viên

10.6.4.3.1. ASE_REQ.2.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu cho nội dung và trình bày các chứng cứ.

...

...

...

10.7.1. Mục tiêu

Đặc tả tổng quát TOE giúp đánh giá viên và khách hàng tiềm năng có được các hiểu biết chung về việc TOE được thực hiện như thế nào.

Đánh giá của đặc tả tổng quát TOE là cần thiết để quyết định mô tả TOE như thế nào là phù hợp:

- Đáp ứng các SFR của nó

- Bảo vệ chính nó chống lại sự can thiệp, sự giả mạo và phớt lờ ở mức logic.

Và các đặc tả tổng quát phải nhất quán với các mô tả hẹp khác của TOE.

10.7.2. Phân mức thành phần

Các thành phần trong họ này được phân mức dựa trên việc có hay không đặc tả tổng quát TOE là cần thiết để mô tả TOE đáp ứng SFR như thế nào, hay có hay không đặc tả tổng quát TOE cần thiết để mô tả làm thể nào TOE bảo vệ chính nó chống lại việc giả mạo hay phớt lờ ở mức logic. Sự mô tả bổ sung này có thể được sử dụng trong trường hợp đặc biệt tại nơi mà có thể liên quan xem xét kiến trúc an toàn TOE.

10.7.3. ASE_TSS.1 Đặc tả tổng quát TOE

...

...

...

ASE_INT.1 Giới thiệu ST

ASE_REQ.1 Tuyên bố các yêu cầu an toàn

ASE_REQ.1 Đặc tả chức năng cơ sở

10.7.3.1. Phần tử hành động của nhà phát triển

10.7.3.1.1. ASE_TSS.1.1D

Nhà phát triển cần cung cấp đặc tả tổng quát TOE

10.7.3.2. Các phần tử nội dung và trình bày

10.7.3.2.1. ASE_TSS.1.1C

Đặc tả tổng quát TOE cần mô tả TOE đáp ứng mối SFR như thế nào

...

...

...

10.7.3.3.1. ASE_TSS.1.1E

Đánh giá viên cần xác nhận rằng các thông tin được cung cấp đáp ứng tất cả các yêu cầu về nội dung và trình bày các chứng cứ

10.7.3.3.2. ASE_TSS.1.2E

Đánh giá viên cần xác nhận rằng đặc tả tổng quát TOE nhất quán với tổng quan TOE và mô tả TOE.

10.7.4. ASE_TSS.2 Đặc tả tổng quát với kiến trúc thiết kế tổng quát.

Các phụ thuộc:

ASE_INT.1 Giới thiệu ST

ASE_REQ.1 Tuyên bố các yêu cầu an toàn

ASE_ARC.1 Mô tả các kiến trúc an toàn

...

...

...

10.7.4.1.1. ASE_TSS.2.1D

Nhà phát triển cần cung cấp đặc tả tổng quát TOE

10.7.4.2. Các phần tử nội dung và trình bày

10.7.4.2.1. ASE_TSS.2.1C

Đặc tả tổng quát TOE cần mô tả TOE đáp ứng mỗi SFR như thế nào.

10.7.4.2.2. ASE_TSS.2.2C

Đặc tả tổng quát TOE cần mô tả làm thế nào TOE tự bảo vệ chống lại sự can thiệp và sự giả mạo mức logic.

10.7.4.2.3. ASE_TSS.2.3C

Đặc tả tổng quát TOE cần mô tả TOE tự bảo vệ như thế nào để chống lại sự phớt lờ.

...

...

...

10.7.4.3.1. ASE_TSS.2.1E

Đánh giá viên cần xác nhận rằng các thông tin được cung cấp đáp ứng tất cả các yêu cầu về nội dung và trình bày các chứng cứ.

10.7.4.3.2. ASE_TSS.2.2E

Đánh giá viên cần xác nhận rằng đặc tả tổng quát TOE là nhất quán với tổng quan TOE và mô tả TOE.

11. Lớp ADV: Phát triển

Yêu cầu của lớp phát triển là cung cấp thông tin về TOE. Kiến thức có được từ thông tin này phải được sử dụng như là cơ sở để tạo ra bản phân tích điểm yếu và kiểm tra trên TOE như được mô tả trong lớp AVA và ATE.

Lớp phát triển bao gồm 6 họ các yêu cầu cho việc cấu trúc và biểu diễn TSF tại các mức thay đổi và các dạng thay đổi trừu tượng. Những họ này bao gồm:

● Yêu cầu đối với mô tả thiết kế và thực hiện các SFR (ADV_FSP, ADV_TDS, ADV_IMP) (ở các mức độ trừu tượng khác nhau)

● Yêu cầu đối với mô tả về các tính năng hướng dẫn kiến trúc theo định hướng tách miền, khả năng tự bảo vệ và không thể vượt qua của TSF trong chức năng an toàn (ADV_ARC)

...

...

...

● Yêu cầu về cơ cấu nội bộ của TSF, bao gồm các khía cạnh như mô đun, phân lớp, và giảm thiểu độ phức tạp (ADV_INT).

Khi lập tài liệu các chức năng an toàn của TOE, có hai thuộc tính cần phải được chứng minh. Thuộc tính đầu tiên là các chức năng an toàn làm việc chính xác, có nghĩa là, nó thực hiện theo quy định. Thuộc tính thứ hai, đòi hỏi một cách tiếp cận khó khăn hơn trong để chứng minh, theo đó TOE không thể được sử dụng theo cách như vậy mà các chức năng bảo mật có thể bị hỏng hoặc bỏ qua. Hai thuộc tính này yêu cầu một cách khác trong tiếp cận phân tích, và vì thế họ ADV được cấu trúc để hỗ trợ các phương pháp tiếp cận khác nhau. Các họ đặc tả chức năng (ADV_FSP), thiết kế TOE (ADV_TDS), biểu diễn triển khai (ADV_IMP), và mô hình chính sách an toàn (ADV_SPM) sẽ thực hiện với thuộc tính đầu tiên: đặc tả của chức năng an toàn. Các họ Kiến trúc (ADV_ARC) và TSF internals (ADV_INT) đối phó với các bất động sản thứ hai: các đặc điểm kỹ thuật của các thiết kế của TOE thể hiện các chức năng bảo mật không thể bị hỏng hoặc bỏ qua. Cần lưu ý rằng cả hai thuộc tính cần phải được nhận biết: thuộc tính càng bí mật được thỏa mãn thì TOE càng tin cậy. Các thành phần trong họ được thiết kế bởi vì sự đảm bảo tăng khi có được sự phân cấp tăng.

Các mô hình cho các họ nhắm mục tiêu vào các thuộc tính đầu tiên là một trong phân rã thiết kế. Ở mức cao nhất, có một đặc tả chức năng của TSF về giao diện của nó (mô tả những gì TSF làm để yêu cầu TSF cho các dịch vụ và trả lời kết quả), phân rã các TSF thành các đơn vị nhỏ hơn (Phụ thuộc vào việc bảo đảm mong muốn và sự phức tạp của TOE) và mô tả cách TSF đã thực hiện được chức năng của mình (với một mức độ chi tiết tương xứng với mức độ bảo đảm), và cho thấy việc thực hiện các TSF. Một mô hình chính thức của các hành vi an toàn cũng có thể được đưa ra. Tất cả các mức phân rã thường được sử dụng trong việc xác định tính đầy đủ và chính xác của các mức khác nhau, để đảm bảo rằng các mức có hỗ trợ lẫn nhau. Các yêu cầu để biểu diễn TSF khác nhau được tách thành các họ khác nhau, để cho phép các tác giả PP/ST chỉ ra các biểu diễn TSF nào được yêu cầu. Mức độ được lựa chọn sẽ quyết định dự đoán bảo đảm hay mong muốn sẽ đạt được.

Hình 10 chỉ ra các mối quan hệ giữa sự biểu diễn TSF khác nhau của lớp ADV, cũng như mối quan hệ của chúng với các lớp khác. Số liệu cho thấy, các lớp APE và ASE định nghĩa các yêu cầu về sự tương ứng giữa các SFR và các mục tiêu an toàn cho TOE. Lớp ASE cũng định nghĩa các yêu cầu cho sự tương ứng giữa hai mục tiêu an toàn và SFR, và với các đặc tả tóm tắt TOE để giải thích làm thế nào TOE đáp ứng SFR của nó. Các hoạt động của ALC_CMC.5.2E bao gồm việc xác minh rằng các TSF đã được kiểm thử với lớp ATE và AVA trong thực tế, một trong những mô tả của tất cả các cấp mức độ phân rã ADV.

Hình 10 - Mối quan hệ của các cấu trúc ADV với lớp khác và các họ khác

Các yêu cầu cho tất cả các đáp ứng khác thể hiện trong hình 10 được định nghĩa trong lớp ADV. Các mô hình chính sách an toàn họ (ADV_SPM) xác định các yêu cầu về mô hình chính thức SFR được chọn, và cung cấp đáp ứng giữa các đặc tả chức năng và mô hình chính thức. Mỗi họ đảm bảo cụ thể cho một đại diện TSF (tức là chức năng đặc điểm kỹ thuật (ADV_FSP), thiết kế TOE (ADV_TDS) và biểu diễn triển khai (ADV_IMP)) xác định các yêu cầu liên quan mà TSF đại diện cho các SFR. Tất cả các phân rã phải phản ánh chính xác tất cả các phân rã khác (ví dụ, có thể hỗ trợ lẫn nhau); Nhà phát triển cung cấp khả năng theo vết với phần tử C cuối của các thành phần. Bảo đảm liên quan đến yếu tố này là thu được trong quá trình phân tích cho từng mức độ phân rã bằng cách tham chiếu đến mức độ khác của sự phân rã (một cách đệ quy) trong khi các phân tích của một mức độ cụ thể của việc phân rã đang được thực hiện; Đánh giá viên thẩm tra sự tương ứng như là một phần của phần tử E thứ hai. Những hiểu biết thu được từ các mức độ phân rã tạo thành cơ sở của những nỗ lực kiểm thử chức năng và thâm nhập.

Họ ADV_INT không được biểu diễn trong hình này, vì nó có liên quan đến cấu trúc bên trong của TSF, và liên quan gián tiếp đến quá trình tinh chỉnh các đại diện của TSF. Tương tự, họ ADV_ARC là không được biểu diễn trong hình vì nó liên quan đến tính hợp lý kiến trúc, hơn là việc biểu diễn, của các TSF. Cả ADV_INT và ADV_ARC liên quan đến việc phân tích các thuộc tính mà các TOE không thể thực hiện để phá vỡ hoặc làm hỏng chức năng an toàn của nó.

Chức năng an toàn TOE (TSF) bao gồm tất cả các phần của TOE mà cần phải dựa vào thực thi của SFR. TSF bao gồm cả chức năng trực tiếp thực thi các SFR, cũng như các chức năng đó, mà không trực tiếp thực thi các SFR, góp phần thực thi của chúng một cách gián tiếp nhiều hơn, bao gồm cả chức năng với khả năng là nguyên nhân các SFR bị vi phạm. Điều này bao gồm các phần của TOE được viện dẫn lúc bắt đầu mà có trách nhiệm đưa TSF vào trạng thái an toàn ban đầu của nó.

...

...

...

Một quan điểm chỉ ra là càng nhiều thông tin sẵn sàng thì càng đạt được mức độ đảm bảo cao hơn về chức năng an toàn thông tin. 1) được thực hiện chính xác, 2) không thể bị sửa đổi và 3) không thể bị vượt qua. Điều này được thực hiện thông qua việc thẩm tra sự nhất quán và chính xác của các tài liệu với các tài liệu khác, và với việc cung cấp thông tin có thể được sử dụng để đảm bảo rằng các hoạt động kiểm tra là toàn diện (cả hai kiểm tra về chức năng và thâm nhập). Điều này được phản ánh sự phân mức thành phần của họ. Nhìn chung, các thành phần được phân mức dựa trên số lượng thông tin mà được cung cấp (và được phân tích sau đó).

Mặc dù không phải đúng với tất cả các TOE, trong trường hợp nói chung khi TSF có đủ phức tạp mà có các phần của TSF được kiểm tra tăng cường hơn các phần khác của TSF. Không may việc quyết định các phần này có phần chủ quan, do đó thuật ngữ và thành phần đã được định nghĩa như vậy mà là mức tăng đảm bảo, trách nhiệm trong việc quyết định các phần nào của TSF cần phải xem xét thay đổi chi tiết từ nhà phát triển đến đánh giá viên. Để hỗ trợ trong việc thể hiện khái niệm này, theo các thuật ngữ được giới thiệu. Cần lưu ý rằng trong các họ của lớp, thuật ngữ này được sử dụng khi biểu diễn các phần liên quan đến SFR của TOE (nghĩa là, các phần tử và các đơn vị làm việc thể hiện bên trong các đặc tả chức năng (ADV_FSP), thiết kế TOE (ADV_TDS), và biểu diễn thực hiện của các họ (ADV_IMP)). Khi đó, khái niệm chung (với một số phần của TOE hấp dẫn hơn các phần khác) được áp dụng với các họ khác, tiêu chí này được biểu diễn dưới cách khác để đạt được yêu cầu đảm bảo.

Tất cả các phần của TSF là phù hợp an toàn, nghĩa là chúng cần phải bảo vệ an toàn của TOE như được biểu diễn bởi các SFR và các yêu cầu cho việc chia cắt miền và không thể đi đường vòng. Một khía cạnh phù hợp an toàn khác là mức độ mà một phần của TSF thực thi yêu cầu an toàn. Các phần khác nhau của TOE thực hiện các vai trò khác nhau (hoặc vai trò không rõ ràng ở tất cả) trong việc thực thi các yêu cầu an toàn, điều này tạo ra một sự liên tục với SFR liên quan: tại một đầu của sự liên tục này là các phần của TOE được gọi là thực thi-SFR. Các phần này đóng một vai trò trực tiếp trong việc thực hiện bất kỳ SFR nào trong TOE này. SFR như thế tham chiếu đến bất kỳ chức năng cung cấp bởi một trong những SFR có trong ST này. Cần lưu ý rằng việc định nghĩa của việc thực hiện vai trò trong chức năng thực thi-SFR là không thể biểu diễn số lượng. Ví dụ, trong việc thực hiện cơ chế kiểm soát truy nhập tùy ý (DAC), cái nhìn hẹp thực thi-SFR có thể chỉ là một vài dòng mã thực sự thực hiện việc kiểm tra các thuộc tính của chủ thể chống lại các thuộc tính của đối tượng. Một cái nhìn rộng hơn sẽ bao gồm các thực thể phần mềm (ví dụ, chức năng C) có chứa một số dòng mã. Một cái nhìn rộng hơn vẫn sẽ bao gồm những người gọi của chức năng C, bởi vì chúng sẽ chịu trách nhiệm thi hành quyết định được trả về bởi việc kiểm tra thuộc tính. Một cái nhìn rộng hơn sẽ bao gồm bất kỳ mã nào trong cây gọi (hoặc chương trình tương đương cho việc thực hiện các ngôn ngữ được sử dụng) cho chức năng C đó (ví dụ, một chức năng sắp xếp mà các thực thể trong danh sách điều khiển truy cập được sắp xếp sử dụng thuật toán first-match - chọn phù hợp đầu tiên). Tại một số điểm, thành phần này không được thực thi nhiều trong sách an toàn, mà đóng vai trò hỗ trợ, các thành phần như vậy được gọi là hỗ trợ SFR.

Một trong các tính chất của chức năng hỗ trợ SFR là nó được tin cậy để thực hiện việc chỉnh sửa việc thực hiện SFR trong quá trình áp dụng mà không có lỗi. Chức năng này có thể bị phụ thuộc vào chức năng thực thi SFR, nhưng các mối phụ thuộc này thường ở mức độ chức năng, ví dụ như quản lý bộ nhớ, quản lý bộ đệm, v.v… Việc giảm liên tục độ tương quan an toàn được gọi là không can thiệp vào SFR (SFR no-interfering). Chức năng như vậy không có vai trò trong việc thực hiện các SFR, và là một phần tương tự của TSF vì môi trường của nó: ví dụ, bất kỳ mã chạy trong một chế độ phần cứng đặc quyền của hệ điều hành. Nó cần phải được coi là một phần của TSF bởi vì, nếu bị xâm nhập (hoặc thay thế bởi mã độc hại), nó có thể làm ảnh hưởng tới hoạt động chính xác của SFR bởi ưu điểm của việc hoạt động trong chế độ phần cứng đặc quyền. Một ví dụ về chức năng không can thiệp vào SFR có thể là một tập hợp các ứng dụng dấu chấm động trong toán học nổi thực hiện chế độ nhân cho các suy xét về tốc độ.

Họ kiến trúc (Kiến trúc an toàn (ADV_ARC)) cung cấp các yêu cầu và phân tích của TOE dựa trên các thuộc tính phân tách miền, tự bảo vệ, và không thể vượt qua. Những thuộc tính liên quan đến các SFR trong đó, nếu những thuộc tính này không có mặt, nó có thể sẽ dẫn đến lỗi của các cơ chế thực hiện SFR. Chức năng và thiết kế liên quan đến các thuộc tính này không được coi là một phần trong mô tả liên tục ở trên, nhưng thay vì được xử lý riêng do bản chất khác nhau của nó và các yêu cầu phân tích.

Sự khác biệt trong phân tích việc thực hiện các SFR (chức năng thực thi SFR và hỗ trợ SFR) và thực hiện một số thuộc tính an toàn nền tảng khác của TOE, bao gồm các vấn đề liên quan khởi tạo, tự bảo vệ và không thể vượt qua, đó là chức năng liên quan đến SFR mà nhiều hay ít có thể thấy được trực tiếp và tương đối dễ dàng cho việc kiểm tra, khi đó các thuộc tính được đề cập ở trên yêu cầu các mức độ phân tích khác nhau trong các tập rộng hơn nhiều của chức năng. Hơn nữa, độ sâu phân tích các thuộc tính đó sẽ thay đổi phụ thuộc vào thiết kế của TOE. Họ ADV được xây dựng để giải quyết điều này bằng một họ riêng biệt (Kiến trúc an toàn (ADV_ARC)) dành cho việc phân tích các yêu cầu khởi tạo, tự bảo vệ, và không thể vượt qua, trong khi các họ khác có liên quan với phân tích các chức năng hỗ trợ SFR.

Ngay cả trong trường hợp các mô tả khác nhau là cần thiết cho nhiều cấp độ trừu tượng, nó không phải là hoàn toàn cần thiết cho mỗi và mọi đại diện TSF chứa trong một văn bản riêng. Thật vậy, nó có thể là trường hợp mà một tài liệu duy nhất đáp ứng các yêu cầu lập tài liệu cho việc biểu diễn nhiều hơn một TSF, vì nó là thông tin về mỗi cái trong các đại diện TSF đó là cần thiết, hơn là các cấu trúc tài liệu kết quả. Trong trường hợp nhiều đại diện TSF được kết hợp trong một tài liệu duy nhất, các nhà phát triển nên chỉ ra các phần của tài liệu đáp ứng được yêu cầu.

Ba loại kiểu đặc tả kỹ thuật được ủy quyền của lớp này: không chính thức, bán chính thức và chính thức. Các đặc tả chức năng và tài liệu thiết kế TOE luôn luôn được viết bằng một trong hai phong cách chính thức hoặc bán chính thức. Kiểu bán chính thức làm giảm sự không rõ ràng trong các tài liệu này trên một bài trình bày không chính thức. Một đặc tả chính thức có thể được yêu cầu thêm vào các bài trình bày bán chính thức, giá trị này là một mô tả của TSF trong nhiều hơn một cách sẽ tăng thêm bảo đảm rằng các TSF đã được xác định hoàn toàn và chính xác.

Một đặc điểm kỹ thuật không chính thức được viết dưới dạng văn xuôi trong ngôn ngữ thông dụng. Ngôn ngữ được sử dụng ở đây là ý nghĩa truyền thông trong bất kỳ tiếng nói chung (ví dụ như tiếng Tây Ban Nha, tiếng Đức, tiếng Pháp, tiếng Anh, tiếng Hà Lan). Một đặc tả kỹ thuật không chính thức không phải là chủ thể của bất kỳ ký hiệu hoặc sự hạn chế đặc biệt nào khác so với những yêu cầu như quy ước thông thường cho ngôn ngữ đó (ví dụ văn phạm và cú pháp). Trong khi không áp dụng hạn chế các chú giải, các đặc tả không chính thức cũng được yêu cầu để cung cấp các định nghĩa có ý nghĩa cho các thuật ngữ được sử dụng trong một ngữ cảnh khác hơn là chấp nhận sử dụng thông thường.

...

...

...

Một đặc tả chính thức được viết dưới dạng ký hiệu dựa trên các khái niệm toán học được xây dựng tốt, và thường đi kèm với hỗ trợ giải thích (chính thức) dưới dạng văn xuôi. Những khái niệm toán học được sử dụng để định nghĩa cú pháp và ngữ nghĩa của các ký hiệu và các quy tắc chứng minh có hỗ trợ nguyên nhân về mặt logic. Các quy tắc cú pháp và ngữ nghĩa hỗ trợ một ký hiệu chính thức mà định nghĩa làm thế nào để nhận biết các cấu trúc rõ ràng và xác định ý nghĩa của chúng. Cần có bằng chứng rằng không thể là nguồn gốc mâu thuẫn, và tất cả các quy tắc hỗ trợ các ký hiệu cần phải được xác định hoặc tham chiếu.

Hình 11 cho thấy các Họ bên trong lớp này, và phân cấp của các thành phần bên trong họ.

Hình 11 - Phân cấp lớp ADV: Phát triển

11.1. Kiến trúc an toàn (ADV_ARC)

11.1.1. Mục tiêu

Các mục tiêu của họ này là phục vụ nhà phát triển để cung cấp khả năng mô tả kiến trúc an toàn của TSF. Điều này sẽ cho phép phân tích thông tin, khi kết hợp với các chứng cứ khác để biểu diễn cho các TSF, để xác nhận TSF các đạt được các thuộc tính mong muốn. Mô tả kiến trúc an toàn hỗ trợ giải thích các yêu cầu ngầm hiểu về phân tích an toàn của TOE có thể đạt được bằng cách kiểm tra các TSF, mà không có một kiến trúc rõ ràng, toàn bộ các chức năng TOE cần phải được kiểm tra.

11.1.2. Phân mức thành phần

Họ này chỉ chứa một thành phần.

...

...

...

Các thuộc tính tự bảo vệ, tách miền, và không thể vượt qua được phân biệt với chức năng an toàn thể hiện bằng Phần 2 SFR vì tự bảo vệ và không thể vượt qua phần lớn không có giao diện trực tiếp quan sát tại các TSF. Thay vào đó, chúng là thuộc tính của TSF được đạt được thông qua thiết kế của TOE và TSF, và được thực thi bởi việc thực hiện chính xác thiết kế đó.

Cách tiếp cận sử dụng họ này là dành cho nhà phát triển để thiết kế và cung cấp TSF trình bày các thuộc tính nêu trên, và để cung cấp bằng chứng (dưới dạng tài liệu) để giải thích các thuộc tính của TSF. Việc giải thích này cung cấp mức độ cụ thể như mô tả các phần tử thực thi SFR của TOE trong tài liệu thiết kế TOE. Đánh giá viên có trách nhiệm xem xét chứng cứ và, cùng với các bằng chứng khác của TOE và TSF, quyết định các thuộc tính này sẽ đạt được.

Đặc tả của thực hiện chức năng an toàn cho các SFR (trong đặc tả chức năng (ADV_FSP) và thiết kế TOE (ADV_TDS) sẽ không cần thiết có các cơ chế mô tả được sử dụng trong việc thực hiện cơ chế tự bảo vệ và không thể vượt qua (ví dụ cơ chế quản lý bộ nhớ). Do đó, cần thiết cung cấp sự đảm bảo rằng các yêu cầu được đạt được là phù hợp hơn để biểu diễn phân tách giữa sự phân rã thành phần thiết kế của TSF như thể hiện trong ADV_FSP và ADV_TDS. Điều này không có hàm ý rằng mô tả kiến trúc an toàn được gọi bởi thành phần này có thể không tham khảo hoặc sử dụng phân rã thiết kế, như dường như có rất nhiều chi tiết hiện tại trong tài liệu phân rã sẽ không có liên quan đến các đối số được cung cấp cho tài liệu mô tả kiến trúc an toàn.

Mô tả kiến trúc hợp lý có thể được dùng như phân tích tính dễ tổn thương của nhà phát triển, trong đó nó cung cấp sự biện minh cho lý do tại sao TSF là hợp lý và thực thi tất cả các SFR của nó. Tính hợp lý đạt được tại thông qua cơ chế an toàn cụ thể, chúng sẽ được kiểm tra như một phần của yêu cầu độ sâu (ATE_DPT), tại nơi tính hợp lý đạt được chỉ duy nhất thông qua kiến trúc, hành vi đó sẽ được kiểm thử như là một phần của AVA: yêu cầu đánh giá tính dễ tổn thương.

Họ này bao gồm các yêu cầu cho mô tả kiến trúc an toàn mà mô tả tính chất tự bảo vệ, tách miền, không thể vượt qua, bao gồm một mô tả về việc làm thế nào mà các tính chất này được hỗ trợ bởi các phần của TOE mà được sử dụng cho khởi tạo TSF.

Thông tin bổ sung về các thuộc tính kiến trúc an toàn về tự bảo vệ, tách miền, và không thể vượt qua có thể được tìm thấy trong Phụ lục A.1, ADV_ARC: bổ sung tài liệu về kiến trúc an toàn.

11.1.4. ADV_ARC: Mô tả kiến trúc an toàn

Các phụ thuộc:

ADV_FSP.1 Đặc tả chức năng cơ sở

...

...

...

11.1.4.1. Phần tử hành động của nhà phát triển

11.1.4.1.1. ADV_ARC.1.1D

Nhà phát triển cần thiết kế và thực hiện TOE mà các đặc trưng an toàn của TSF không thể bị vượt qua.

11.1.4.1.2. ADV_ARC.1.2D

Nhà phát triển cần thiết kế và thực hiện TSF mà có thể bảo vệ chính nó bởi sự pha trộn của các thực thể không tin cậy.

11.1.4.1.3. ADV_ARC.1.3D

Nhà phát triển cần cung cấp mô tả kiến trúc an toàn của TSF.

11.1.4.2. Các phần tử nội dung và trình bày

11.1.4.2.1. ADV_ARC.1.1C

...

...

...

11.1.4.2.2. ADV_ARC.1.2C

Mô tả kiến trúc an toàn cần mô tả việc bảo trì các miền an toàn với sự nhất quán của TSF so với SFR.

11.1.4.2.3. ADV_ARC.1.3C

Mô tả kiến trúc an toàn cần mô tả làm thế nào tiến trình khởi tạo TSF là an toàn.

11.1.4.2.4. ADV_ARC.1.4C

Mô tả kiến trúc an toàn cần chứng minh rằng TSF bảo vệ chính nó khỏi bị can thiệp.

11.1.4.2.5. ADV_ARC.1.5C

Mô tả kiến trúc an toàn cần chứng minh rằng TSF chống lại việc vượt qua của chức năng thực thi SFR.

11.1.4.3. Phần tử hành động của đánh giá viên

...

...

...

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu cho nội dung và biểu diễn các chứng cứ.

11.2. Đặc tả chức năng (ADV_FSP)

11.2.1. Mục tiêu

Các yêu cầu họ dựa trên các đặc tả chức năng, trong đó mô tả các giao diện TSF (TSFI). Các TSFI bao gồm tất cả các phương tiện cho người dùng để gọi một dịch vụ từ TSF (bằng cách cung cấp dữ liệu được xử lý bởi TSF) và các câu trả lời tương ứng với những lệnh gọi dịch vụ. Nó không mô tả cách các tiến trình TSF yêu cầu các dịch vụ, cũng không mô tả cách thức truyền thông khi TSF các gọi dịch vụ từ môi trường áp dụng của nó; thông tin này được đề cập thông qua việc thiết kế TOE (ADV_TDS) và sự tin cậy của các thành phần phụ thuộc của họ (ACO_REL) tương ứng.

Họ này cung cấp đảm bảo trực tiếp bằng cách cho phép đánh giá viên hiểu cách TSF đáp ứng các SFR đã tuyên bố. Nó cũng cung cấp bảo đảm gián tiếp, như là đầu vào cho các họ và lớp đảm bảo:

● ADV_ARC, nơi mà sự mô tả của các TSFI có thể được sử dụng để đạt được sự hiểu biết tốt hơn về cách TSF được bảo vệ chống lại sự phá hủy (như tự bảo vệ chống lại sự phá hoại hay tách miền) và/hoặc bỏ qua;

● ATE, nơi mà sự mô tả của các TSFI là một đầu vào quan trọng cho cả nhà phát triển và đánh giá viên kiểm thử;

● AVA, là nơi việc mô tả của các TSFI được sử dụng để tìm kiếm các điểm yếu.

11.2.2. Phân mức thành phần

...

...

...

11.2.3. Chú thích ứng dụng

Một khi các TSFI được xác định (xem A.2.1, Xác định TSFI để được hướng dẫn và ví dụ về xác định TSFI), chúng đã được mô tả. Tại các thành phần mức thấp hơn, nhà phát triển tập trung vào các tài liệu của họ (và đánh giá viên tập trung vào các phân tích của họ) trên nhiều khía cạnh an toàn liên của TOE. Ba loại TSFI được xác định, dựa trên quan hệ của các dịch vụ có sẵn thông qua đó chúng để có các SFR được tuyên bố:

● Nếu một dịch vụ có sẵn thông qua một giao diện có thể được truy nguồn từ một trong những SFR áp cho TSF, khi đó giao diện được gọi là thực thi-SFR. Lưu ý rằng có thể xảy ra trường hợp một giao diện có thể có nhiều loại dịch vụ và kết quả, một số trong đó có thể thực thi SFR và một số khác có thể không.

● Giao diện (hoặc dịch vụ có sẵn thông qua một giao diện liên quan) cho các dịch vụ mà chức năng thực thi SFR được dựa trên đó, nhưng chỉ cần thực hiện chức năng chính xác để cho các chính sách an toàn của TOE được bảo vệ, được gọi là hỗ trợ SFR.

● Giao diện với các dịch vụ trên đó chức năng thực thi SFR không có các mối phụ thuộc được gọi là không can thiệp vào SFR.

Cần lưu ý rằng để cho một giao diện được hỗ trợ SFR hay không can thiệp SFR thì nó phải không có các kết quả hay dịch vụ thực thi SFR. Ngược lại, giao diện thực thi SFR có thể có các dịch vụ hỗ trợ SFR (Ví dụ như khả năng thiết lập đồng hồ hệ thống có thể là một dịch vụ thực thi SFR của giao diện, nhưng nếu cùng một giao diện được sử dụng để hiển thị ngày hệ thống dịch vụ có thể hỗ trợ SFR). Một ví dụ về một giao diện hoàn toàn hỗ trợ SFR là một giao diện cuộc gọi hệ thống được sử dụng cả bởi người dùng và do một phần của TSF nghĩa là đang hoạt động dựa trên hành vi của người dùng.

Khi có thêm thông tin về các TSFI, mức độ lớn hơn của đảm bảo có thể đạt được với giao diện được phân loại/phân tích chính xác. Các yêu cầu được cấu trúc như vậy, ở mức thấp nhất, các thông tin cần thiết cho giao diện không can thiệp SFR là tối thiểu cần thiết để đánh giá viên quyết định theo một cách hiệu quả. Ở cấp độ cao hơn, nếu có thêm thông tin đánh giá viên sẽ có thêm sự tin cậy trong các thiết kế.

Mục đích trong việc xác định các nhãn này (Thực thi, hỗ trợ, không can thiệp với SFR) và đưa ra các yêu cầu khác nhau theo từng cái (ở các thành phần đảm bảo mức thấp hơn) để cung cấp một phép xấp xỉ bước đầu của nơi tập trung phân tích và bằng chứng mà phân tích được thực hiện dựa trên nó. Nếu các tài liệu của nhà phát triển của các giao diện TSF mô tả tất cả các giao diện theo mức quy định trong các yêu cầu đối với các giao diện thực thi SFR (có nghĩa là, nếu lập tài liệu vượt quá yêu cầu), không cần thiết phải cho phát triển tạo ra các bằng chứng mới phù hợp với yêu cầu. Tương tự như vậy, bởi vì các nhãn chỉ đơn thuần là một phương tiện phân biệt các loại giao diện trong các yêu cầu, nó không cần cho các nhà phát triển khi cập nhật các bằng chứng duy nhất để gán cho các giao diện như thực thi-SFR, hỗ trợ SFR, không can thiệp SFR. Mục đích chính của nhãn này là cho phép nhà phát triển có ít kiến thức để phát triển phương pháp luận (và hiện vật, chẳng hạn như giao diện chi tiết và tài liệu thiết kế) để cung cấp bằng chứng cần thiết mà không phải chi phí quá mức.

Các phần tử C cuối cùng của mỗi thành phần trong họ này cung cấp một sự tương ứng trực tiếp giữa các SFR và đặc tả chức năng, đó là một dấu hiệu trong đó có giao diện được sử dụng để gọi đến từng tuyên bố SFR. Trong trường hợp ST có chứa các yêu cầu chức năng như: Bảo vệ thông tin còn sót lại (FDP_RIP) - TCVN 8709-2, mà có chức năng có thể không biểu hiện chính mình trong TSFIs, các đặc tả chức năng và/hoặc các truy gốc được chờ đợi sẽ xác định các SFR này, bao gồm chúng trong các đặc tả chức năng giúp đảm bảo rằng chúng không bị mất ở mức thấp hơn của phân rã, nơi chúng có liên quan.

...

...

...

Các yêu cầu định nghĩa các bộ sưu tập của các chi tiết về TSFI là được cung cấp. Với mục đích của các yêu cầu, giao diện được chỉ ra (trong mức độ chi tiết khác nhau) về mục tiêu của chúng, phương pháp sử dụng, thông số, mô tả thông số, và thông báo lỗi.

Mục đích của giao diện là một mô tả mức cao các mục tiêu chung của giao diện (ví dụ các lệnh tiến trình GUI, tiếp nhận các gói tin mạng, cung cấp đầu ra máy in v.v…).

Phương pháp sử dụng của giao diện mô tả việc làm thế nào giao diện được hỗ trợ để sử dụng. Mô tả này nên được xây dựng xung quanh các tương tác khác nhau hiện có tại giao diện đó. Ví dụ, nếu giao diện là một dấu nhắc lệnh Unix, ls, mv và cp có thể tương tác với giao diện đó. Đối với mỗi tương tác phương pháp sử dụng mô tả những gì tương tác này thực hiện, cả hành vi nhìn thấy ở giao diện (ví dụ như chương trình gọi các API, người dùng Windowns thay đổi một thiết lập trong thanh ghi v.v…) cũng như hành vi tại các giao diện khác (ví dụ như tạo ra một bản ghi phục vụ kiểm tra).

Tham số được đầu vào và đầu ra rõ ràng từ một giao diện điều khiển hành vi của giao diện đó. Ví dụ, các thông số là các đối số cung cấp cho một API; các lĩnh vực khác nhau trong một gói tin cho một giao thức mạng nhất định; các giá trị khóa riêng trong thanh ghi của Windows, các tín hiệu trên một tập hợp các chân trên một con chip, những cờ có thể được thiết lập cho lệnh ls v.v… Các tham số được “nhận diện” với một danh sách đơn giản của những gì chúng đang có.

Mô tả tham số nói lên rằng tham số này có ý nghĩa gì. Ví dụ, một mô tả tham số chấp nhận được đối với giao diện foo (i) sẽ là “tham số i là một số nguyên cho biết số lượng người dùng hiện đang đăng nhập vào hệ thống”. Một mô tả như là “tham số i là một số nguyên” là không thể chấp nhận được.

Mô tả các hành động của một giao diện mô tả những gì mà giao diện thực hiện. Điều này là chi tiết hơn mục đích trong đó, trong khi các “mục đích” giải thích lý do tại sao người ta muốn sử dụng nó, còn “hành động” cho thấy tất cả mọi thứ mà nó làm. Những hành động này có thể liên quan hoặc không liên quan đến các SFR. Trong trường hợp hành động của giao diện không có liên quan đến SFR, mô tả của nó được nói tóm tắt, có nghĩa là mô tả chỉ nêu rõ rằng nó thực sự là không liên quan đến SFR.

Các mô tả thông báo lỗi xác định các điều kiện tạo ra nó, thông điệp là gì, và ý nghĩa của bất kỳ mã lỗi nào. Một thông báo lỗi được tạo ra bởi các TSF để chỉ ra rằng một vấn đề hoặc sự bất thường ở một mức độ nào đó đã thu được. Các yêu cầu trong họ này đề cập đến các loại thông báo lỗi khác nhau:

● Một thông báo lỗi “trực tiếp” là một phản ứng an toàn có liên quan thông qua lệnh gọi TSFI cụ thể.

● Lỗi “gián tiếp” có thể không được gắn với một lời gọi TSFI cụ thể bởi vì nó là kết quả của điều kiện toàn hệ thống (ví dụ như cạn kiệt tài nguyên, gián đoạn kết nối, v.v…) Thông báo lỗi mà không liên quan bảo mật cũng được xem là “gián tiếp”.

...

...

...

Một ví dụ về đặc tả chức năng được cung cấp trong A.2.3.

11.2.3.2. Các thành phần của họ này

Tăng cường bảo đảm thông qua sự tăng hoàn thiện và độ chính xác trong đặc tả giao diện được phản ánh trong các tài liệu cần thiết từ nhà phát triển như chi tiết trong các thành phần phân cấp trong họ này.

Trong đặc tả chức năng cơ bản ADV_FSP.1, chỉ các tài liệu hướng dẫn được yêu cầu có tính chất của tất cả các TSFIs và mô tả ở mức cao của TSFI thực thi SFR và hỗ trợ SFR. Để cung cấp thêm một vài đảm bảo, mà các khía cạnh “quan trọng” của TSF có tính chất chính xác tại các TSFI, nhà phát triển được yêu cầu cung cấp mục đích và phương pháp sử dụng, các tham số cho thực thi SFR và hỗ trợ SFR của TSFIs.

Tại đặc tả chức năng thực thi an toàn ADV_FSP.2, nhà phát triển được yêu cầu cung cấp các mục đích, phương pháp sử dụng, thông số, và mô tả thông số cho tất cả TSFIs. Thêm vào đó, đối với TSFI thực thi SFR, nhà phát triển cần phải mô tả các hành động thực thi SFR và các thông báo lỗi trực tiếp.

Theo đặc tả chức năng với bản tóm tắt hoàn chỉnh ADV_FSP.3, nhà phát triển phải cung cấp ngay, ngoài các thông tin cần thiết tại ADV_FSP.2, cung cấp đủ thông tin về hỗ trợ SFR và không can thiệp SFR để chứng minh rằng chúng không phải là thực thi SFR. Thêm vào đó, nhà phát triển phải lập tài liệu tất cả các thông báo lỗi trực tiếp do việc gọi các TSFI của thực thi SFR.

Theo đặc tả chức năng đầy đủ ADV_FSP.4, tất cả các TSFI - cho dù thực thi SFR, hỗ trợ SFR, không can thiệp SFR - phải được mô tả ở cùng mức độ như nhau, bao gồm tất cả các thông báo lỗi trực tiếp.

Theo đặc tả chức năng bán chính thức đầy đủ với các thông tin lỗi bổ sung ADV_FSP.5, mô tả TSFI cũng bao gồm các thông báo lỗi mà không phải là kết quả của việc gọi của TSFI.

Theo ADV_FSP.6 đặc tả chức năng bán chính thức đầy đủ với bổ sung đặc tả chính thức, ngoài các thông tin theo yêu cầu của ADV_FSP.5, tất cả các thông báo lỗi còn lại đã được bao gồm. Nhà phát triển cũng phải cung cấp mô tả chính thức của TSFI. Điều này cung cấp một cái nhìn khác của TSFI có thể phơi bày các đặc tả không nhất quán hay không hoàn tất.

...

...

...

Các mối phụ thuộc: không có sự phụ thuộc nào

11.2.4.1. Các phần tử của nhà phát triển

11.2.4.1.1. ADV_FSP.1.1D

Nhà phát triển cần cung cấp đặc tả chức năng.

11.2.4.1.2. ADV_FSP.1.2D

Nhà phát triển cần cung cấp truy vết từ đặc tả chức năng đến các SFR.

11.2.4.2. Các phần tử nội dung và trình bày

11.2.4.2.1. ADV_FSP.1.1C

Đặc tả chức năng cần mô tả mục tiêu và phương pháp sử dụng cho mỗi TSFI của thực thi SFR và hỗ trợ SFR.

...

...

...

Đặc tả chức năng cần xác định tất cả các tham số liên quan với mỗi TSFI của thực thi SFR và hỗ trợ SFR.

11.2.4.2.3. ADV_FSP.1.3C

Đặc tả chức năng cần cung cấp sở cứ cho việc phân nhóm rõ ràng của các giao diện như không can thiệp SFR.

11.2.4.2.4. ADV_FSP.1.4C

Truy vết cần chứng minh rằng truy vết SFR theo TSFI trong đặc tả chức năng.

11.2.4.3. Các phần tử hành động của đánh giá viên

11.2.4.3.1. ADV_FSP.1.1E

Đánh giá viên cần xác nhận rằng thông tin cung cấp sự phù hợp với tất cả các yêu cầu cho nội dung và trình bày các chứng cứ.

11.2.4.3.2. ADV_FSP.1.2E

...

...

...

11.2.5. ADV_FSP.2 Đặc tả chức năng thực thi an toàn

Các phụ thuộc: ADV_TDS.1 Thiết kế cơ sở

11.2.5.1. Phần tử hành động của nhà phát triển

11.2.5.1.1. ADV_FSP.2.1D

Nhà phát triển cần cung cấp đặc tả chức năng

11.2.5.1.2. ADV_FSP.2.2D

Nhà phát triển cần cung cấp truy vết từ đặc tả chức năng đến các SFR.

11.2.5.2. Các phần tử nội dung và trình bày

11.2.5.2.1. ADV_FSP.2.1C

...

...

...

11.2.5.2.2. ADV_FSP.2.2C

Đặc tả chức năng cần mô tả mục tiêu và phương pháp sử dụng cho tất cả TSFI.

11.2.5.2.3. ADV_FSP.2.3C

Đặc tả chức năng cần xác định và mô tả tất cả các tham số liên quan đến mỗi TSFI.

11.2.5.2.4. ADV_FSP.2.4C

Với mỗi TSFI thực thi SFR, đặc tả chức năng cần mô tả các hành động thực thi SFR liên quan đến mỗi TSFI.

11.2.5.2.5. ADV_FSP.2.5C

Với các TSFI thực thi SFR, đặc tả chức năng cần mô tả các thông báo lỗi trực tiếp có kết quả từ xử lý liên quan với các hành động thực thi SFR.

11.2.5.2.6. ADV_FSP.2.6C

...

...

...

11.2.5.3. Các phần tử hành động của đánh giá viên

11.2.5.3.1. ADV_FSP.2.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu về nội dung và trình bày các bằng chứng.

11.2.5.3.2. ADV_FSP.2.2E

Đánh giá viên cần quyết định rằng đặc tả chức năng là một sự khởi tạo chính xác và hoàn toàn của các SFR.

11.2.6. ADV_FSP.3 Đặc tả chức năng với tóm tắt đầy đủ

Các phụ thuộc: ADV_TDS.1 Thiết kế cơ sở

11.2.6.1. Phần tử hành động của nhà phát triển

11.2.6.1.1. ADV_FSP.3.1D

...

...

...

11.2.6.1.2. ADV_FSP.3.2D

Nhà phát triển cần cung cấp truy vết từ đặc tả chức năng đến các SFR.

11.2.6.2. Các phần tử nội dung và trình bày

11.2.6.2.1. ADV_FSP.3.1C

Đặc tả chức năng cần biểu diễn đầy đủ TSF

11.2.6.2.2. ADV_FSP.3.2C

Đặc tả chức năng cần mô tả mục tiêu và phương pháp sử dụng cho tất cả TSFI.

11.2.6.2.3. ADV_FSP.3.3C

Đặc tả chức năng cần xác định và mô tả tất cả các tham số liên quan với mỗi TSFI.

...

...

...

Với mỗi TSFI của thực thi SFR, đặc tả chức năng cần mô tả các hành động thực thi SFR liên quan với TSFI.

11.2.6.2.5. ADV_FSP.3.5C

Với mỗi TSFI thực thi SFR, đặc tả chức năng cần mô tả trực tiếp các thông báo lỗi thu được từ các kết quả và ngoại lệ liên quan đến các lệnh gọi của TSFI.

11.2.6.2.6. ADV_FSP.3.6

Đặc tả chức năng cần tóm tắt các hành động hỗ trợ SFR và không can thiệp SFR liên quan đến mỗi TSFI.

11.2.6.2.7. ADV_FSP.3.7C

Truy vết cần chứng minh rằng SFR truy vết từ TSFI trong đặc tả chức năng.

11.2.6.3. Các phần tử hành động của đánh giá viên

11.2.6.3.1. ADV_FSP.3.1E

...

...

...

11.2.6.3.2. ADV_FSP.3.2E

Đánh giá viên cần quyết định rằng đặc tả chức năng là chính xác và đầy đủ của các SFR.

11.2.7. ADV_FSP.4 Đặc tả chức năng đầy đủ

Các phụ thuộc: ADV_TDS.1 Thiết kế cơ sở

11.2.7.1. Phần tử hành động của nhà phát triển

11.2.7.1.1. ADV_FSP.4.1D

Nhà phát triển cần cung cấp đặc tả chức năng.

11.2.7.1.2. ADV_FSP.4.2D

Nhà phát triển cần cung cấp truy vết từ đặc tả chức năng đến các SFR.

...

...

...

11.2.7.2.1. ADV_FSP.4.1C

Đặc tả chức năng cần biểu diễn đầy đủ TSF.

11.2.7.2.2. ADV_FSP.4.2C

Đặc tả chức năng cần mô tả mục tiêu và phương pháp sử dụng của tất cả TSFI.

11.2.7.2.3. ADV_FSP.4.3C

Đặc tả chức năng cần xác định và mô tả tất cả các tham số liên quan với mỗi TSFI.

11.2.7.2.4. ADV_FSP.4.4C

Đặc tả chức năng cần mô tả tất cả các hành động liên quan với mỗi TSFI.

11.2.7.2.5. ADV_FSP.4.5C

...

...

...

11.2.7.2.6. ADV_FSP.4.6C

Truy vết cần chứng minh rằng các SFR truy vết TSFI trong đặc tả chức năng.

11.2.7.3. Các phần tử hành động của đánh giá viên

11.2.7.3.1. ADV_FSP.4.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu về nội dung và trình bày các chứng cứ.

11.2.7.3.2. ADV_FSP.4.2E

Đánh giá viên cần quyết định rằng đặc tả chức năng là chính xác và đầy đủ của các SFR.

11.2.8. ADV_FSP.5. Đặc tả chức năng bán chính thức đầy đủ với thông tin lỗi bổ sung

Các phụ thuộc:

...

...

...

ADV_IMP.1 Biểu diễn thực hiện của TSF.

11.2.8.1. Phần tử hành động của nhà phát triển

11.2.8.1.1. ADV_FSP.5.1D

Nhà phát triển cần cung cấp đặc tả chức năng.

11.2.8.1.2. ADV_FSP.5.2D

Nhà phát triển cần cung cấp truy vết từ đặc tả chức năng đến các SFR.

11.2.8.2. Các phần tử nội dung và trình bày

11.2.8.2.1. ADV_FSP.5.1C

Đặc tả chức năng cần biểu diễn hoàn toàn TSF.

...

...

...

Đặc tả chức năng cần mô tả TSFI sử dụng kiểu bán hình thức.

11.2.8.2.3. ADV_FSP.5.3C

Đặc tả chức năng cần mô tả mục tiêu và phương pháp sử dụng cho tất cả TSFI.

11.2.8.2.4. ADV_FSP.5.4C

Đặc tả chức năng cần xác nhận và mô tả tất cả các tham số liên quan với mối TSFI.

11.2.8.2.5. ADV_FSP.5.5C

Đặc tả chức năng cần mô tả tất cả các hành động liên quan đến mỗi TSFI.

11.2.8.2.6. ADV_FSP.5.6C

Đặc tả chức năng cần mô tả tất cả các thông báo lỗi trực tiếp mà có kết quả từ việc gọi đến từ mối TSFI.

...

...

...

Đặc tả chức năng cần mô tả tất cả các thông báo lỗi mà không phải được gọi đến từ TSFI.

11.2.8.2.8. ADV_FSP.5.8C

Đặc tả chức năng cần cung cấp sở cứ cho mỗi thông báo lỗi chứa trong thực hiện TSF nhưng kết quả không phải từ lệnh gọi đến TSFI.

11.2.8.2.9. ADV_FSP.5.9C

Truy vết cần chứng minh rằng SFR truy vết đến các TSFI trong các đặc tả chức năng.

11.2.8.3. Các phần tử hành động của đánh giá viên

11.2.8.3.1. ADV_FSP.5.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu về nội dung và trình bày các chứng cứ.

11.2.8.3.2. ADV_FSP.5.2E

...

...

...

11.2.9. ADV_FSP.6 Đặc tả chức năng bán chính thức đầy đủ với đặc tả chính thức bổ sung

Các phụ thuộc:

ADV_TDS.1 Thiết kế cơ sở

ADV_IMP.1 Biểu diễn thực hiện của TSF

11.2.9.1. Phần tử hành động của nhà phát triển

11.2.9.1.1. ADV_FSP.6.1D

Nhà phát triển cần cung cấp đặc tả chức năng.

11.2.9.1.2. ADV_FSP.6.2D

Nhà phát triển cần cung cấp biểu diễn chính thức của đặc tả chức năng của TSF.

...

...

...

Nhà phát triển cần cung cấp truy vết từ đặc tả chức năng đến các SFR.

11.2.9.2. Các phần tử nội dung và trình bày

11.2.9.2.1. ADV_FSP.6.1C

Đặc tả chức năng cần biểu diễn đầy đủ TSF.

11.2.9.2.2. ADV_FSP.6.2C

Đặc tả chức năng cần mô tả TSFI sử dụng kiểu chính thức.

11.2.9.2.3. ADV_FSP.6.3C

Đặc tả chức năng cần mô tả mục tiêu và phương pháp sử dụng tất cả TSFI.

11.2.9.2.4. ADV_FSP.6.4C

...

...

...

11.2.9.2.5. ADV_FSP.6.5C

Đặc tả chức năng cần mô tả tất cả các hành động liên quan đến mỗi TSFI.

11.2.9.2.6. ADV_FSP.6.6C

Đặc tả chức năng cần mô tả tất cả các thông báo lỗi trực tiếp mà kết quả từ lệnh gọi của mỗi TSFI.

11.2.9.2.7. ADV_FSP.6.7C

Đặc tả chức năng cần mô tả tất cả thông báo lỗi chứa trong biểu diễn thực hiện TSF.

11.2.9.2.8. ADV_FSP.6.8C

Đặc tả chức năng cần cung cấp các sở cứ cho mỗi thông báo lỗi chứa trong việc thực hiện TSF mà không được mô tả trong việc giải trình vì sao đặc tả chức năng không liên quan với TSFI.

11.2.9.2.9. ADV_FSP.6.9C

...

...

...

11.2.9.2.10. ADV_FSP.6.10C

Truy vết cần chứng minh rằng SFR truy vết TSFI trong đặc tả chức năng.

11.2.9.3. Các phần tử hành động của đánh giá viên

11.2.9.3.1. ADV_FSP.6.1E

Đánh giá viên cần xác nhận rằng các thông tin được cung cấp đáp ứng tất cả các yêu cầu cho nội dung và trình bày các chứng cứ.

11.2.9.3.2. ADV_FSP.6.2E

Đánh giá viên cần quyết định rằng đặc tả chức năng là đầy đủ và chính xác với SFR.

11.3. Biểu diễn triển khai (ADV_IMP)

11.3.1. Mục tiêu

...

...

...

11.3.2. Phân mức thành phần

Thành phần trong họ này được phân mức dựa trên số lượng thực hiện được ánh xạ vào mô tả thiết kế TOE.

11.3.3. Chú thích ứng dụng

Sơ đồ mã nguồn hoặc phần cứng và/hoặc thiết kế phần cứng IC mã ngôn ngữ hoặc bố trí dữ liệu được sử dụng để xây dựng phần cứng thực tế là những ví dụ của các bộ phận của biểu diễn triển khai. Điều quan trọng cần lưu ý rằng trong khi các biểu diễn triển khai phải được sẵn sàng cho đánh giá viên, điều này không có nghĩa là đánh giá viên cần phải sở hữu đại diện đó. Ví dụ, nhà phát triển có thể yêu cầu đánh giá viên xem xét lại các biểu diễn triển khai tại một trang web lựa chọn của nhà phát triển.

Các biểu diễn triển khai toàn bộ được sẵn sàng để đảm bảo rằng các hoạt động phân tích không được rút ngắn do thiếu thông tin. Tuy vậy, điều này không có hàm ý rằng tất cả các đại diện được xem xét khi thực hiện phân tích các hoạt động đang được thực hiện. Điều này không thực tế ở hầu hết các trường hợp, thêm vào đó là nó rất có thể sẽ không dẫn đến một TOE có mức đảm bảo cao hơn so với mẫu mục tiêu của biểu diễn triển khai. Biểu diễn triển khai được làm sẵn để cho phép phân tích các phân tích phân rã thiết kế TOE khác (ví dụ như chức tả chức năng, thiết kế TOE), và để đạt được sự tin cậy mà các chức năng an toàn được mô tả ở mức độ cao hơn trong việc thiết kế thực sự xuất hiện để được thực hiện trong TOE.

Quy ước trong một số dạng của các biểu diễn triển khai có thể làm cho nó khó hoặc không thể xác định từ chính các biểu diễn triển khai những gì kết quả thực tế của việc biên dịch hoặc thông dịch thời gian thực. Ví dụ, chỉ thị, trình biên dịch cho các trình biên dịch ngôn ngữ C sẽ là nguyên nhân để các trình biên dịch loại trừ hoặc bao gồm toàn bộ các phần của mã này. Vì lý do này, điều quan trọng là các công cụ cung cấp “thêm” thông tin hoặc công cụ liên quan (kịch bản, trình biên dịch, vv) được cung cấp để các biểu diễn triển khai có thể được xác định chính xác.

Mục đích của các ánh xạ giữa các biểu diễn triển khai và mô tả thiết kế TOE là để trợ giúp phân tích của đánh giá viên. Các hoạt động nội bộ của TOE có thể được hiểu rõ hơn khi thiết kế TOE được phân tích với các phần tương ứng của biểu diễn triển khai. Lập bản đồ phục vụ như một chỉ mục trong các biểu diễn triển khai. Tại các thành phần thấp hơn, chỉ có một tập hợp con của các biểu diễn triển khai được ánh xạ tới các mô tả thiết kế TOE. Bởi vì sự không chắc chắn trong đó phần của biểu diễn triển khai sẽ cần ánh xạ như thế, nhà phát triển có thể chọn một trong hai ánh xạ đến biểu diễn triển khai toàn bộ trước, hoặc phải chờ đợi để xem những phần của biểu diễn triển khai, đánh giá viên yêu cầu để được ánh xạ.

Các biểu diễn triển khai được thao tác bởi nhà phát triển dưới các hình thức thích hợp cho chuyển đổi để thực hiện trong thực tế. Ví dụ, nhà phát triển có thể làm việc với các tập tin có chứa mã nguồn, mà là cuối cùng đã được biên dịch để trở thành một phần của TSF. Nhà phát triển làm cho biểu diễn triển khai sẵn sàng dưới dạng để sử dụng bởi nhà phát triển, do đó đánh giá viên có thể sử dụng kỹ thuật tự động trong phân tích. Điều này cũng làm tăng sự tin cậy rằng việc kiểm tra các biểu diễn triển khai thực sự là một trong những sử dụng trong sản xuất của các TSF (như trái ngược với các trường hợp được cung cấp theo định dạng trình bày thay thế, như một phần mềm xử lý văn bản). Cần lưu ý rằng các hình thức khác của các biểu diễn triển khai cũng có thể được sử dụng bởi nhà phát triển, các mẫu này được cung cấp. Mục tiêu tổng thể là để cung cấp cho đánh giá viên với các thông tin sẽ phát huy tối đa hiệu quả của các nỗ lực phân tích của đánh giá viên.

Một số hình thức của biểu diễn triển khai có thể yêu cầu thêm thông tin, bởi vì họ giới thiệu những rào cản đáng kể cho sự hiểu biết và phân tích. Ví dụ như mã nguồn “bị che khuất” hoặc mã nguồn đã được làm cho khó hiểu theo những cách khác do đó nó ngăn cản sự hiểu biết và/hoặc phân tích. Các dạng biểu diễn triển khai thường do kết quả của nhà phát triển TOE đưa ra một phiên bản của biểu diễn triển khai và chạy một chương trình bị che khuất hay làm cho khó hiểu trong đó. Trong khi đại diện bị che khuất là những gì được biên dịch và có thể được gần hơn để thực hiện (về mặt cấu trúc) so với ban đầu, đại diện bị làm cho khó hiểu, cung cấp mã khó hiểu có thể tiêu tốn thời gian đáng kể khi thực hiện việc phân tích liên quan đến đại diện. Khi các hình thức biểu diễn được tạo ra, các thành phần yêu cầu chi tiết về các công cụ liệm/ thuật toán che khuất được sử dụng để đại diện không bị che khuất có thể được cung cấp, và các thông tin bổ sung có thể được sử dụng để đạt được sự tin cậy về tiến trình che khuất không làm tổn hại bất kỳ chức năng an toàn nào.

...

...

...

Các phụ thuộc:

ADV_TDS.3 Thiết kế mô đun cơ sở

ALC_TAT.1 Các công cụ phát triển được xác định rõ ràng

11.3.4.1. Phần tử hành động của nhà phát triển

11.3.4.1.1. ADV_IMP.1.1D

Nhà phát triển cần tạo ra sự sẵn sàng của biểu diễn triển khai cho toàn bộ TSF.

11.3.4.1.2. ADV_IMP.1.2D

Nhà phát triển cần cung cấp ánh xạ giữa mô tả thiết kế TOE và ví dụ của biểu diễn triển khai.

11.3.4.2. Các phần tử nội dung và trình bày

...

...

...

Biểu diễn triển khai cần định nghĩa TSF theo một mức độ chi tiết như TSF có thể được tạo ra mà không cần các quyết định thiết kế thêm nào.

11.3.4.2.2. ADV_IMP.1.2C

Biểu diễn triển khai cần dưới dạng được sử dụng bởi các cá nhân phát triển.

11.3.4.2.3. ADV_IMP.1.3C

Ánh xạ giữa mô tả thiết kế TOE và ví dụ thực hiện cần chứng minh sự đáp ứng của nó.

11.3.4.3. Các phần tử hành động của đánh giá viên

11.3.4.3.1. ADV_IMP.1.1E

Đánh giá viên cần xác nhận rằng, với các mẫu được lựa chọn của biểu diễn triển khai, thông tin được cung cấp đáp ứng tất cả nội dung và trình bày các chứng cứ.

11.3.5. ADV_IMP.2 Ánh xạ đầy đủ của biểu diễn triển khai của TSF.

...

...

...

ADV_TDS.3 Thiết kế mô đun cơ sở

ALC_TAT.1 Các công cụ phát triển được định nghĩa rõ ràng

ALC_CMS.5 Hỗ trợ nâng cao

11.3.5.1. Các hành động của nhà phát triển

11.3.5.1.1. ADV_IMP.2.1D

Nhà phát triển cần tạo ra biểu diễn triển khai sẵn sàng cho toàn bộ TSF.

11.3.5.1.2. ADV_IMP.2.2D

Nhà phát triển cần cung cấp ánh xạ giữa mô tả thiết kế TOE và toàn bộ biểu diễn triển khai.

11.3.5.2. Các phần tử nội dung và trình bày

...

...

...

Biểu diễn thực hiện cần xác định TSF theo các mức chi tiết mà TSF có thể được tạo ra mà không cần các quyết định thiết kế thêm.

11.3.5.2.2. ADV_IMP.2.2C

Biểu diễn triển khai cần được định dạng dưới dạng được bởi nhà phát triển.

11.3.5.2.3. ADV_IMP.2.3C

Ánh xạ giữa mô tả thiết kế TOE và toàn bộ biểu diễn triển khai cần chứng minh sự đáp ứng.

11.3.5.3. Các phần tử hành động của đánh giá viên

11.3.5.3.1. ADV_IMP.2.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu về nội dung và trình bày các chứng cứ.

11.4. Nội bộ TSF (ADV_INT)

...

...

...

Họ này đề cập đến việc đánh giá cấu trúc trong của TSF. Một TSF có bản chất được cấu trúc rõ ràng sẽ dễ dàng hơn để thực hiện và ít có khả năng chứa lỗ hổng mà có thể dẫn đến các điểm yếu, nó cũng dễ dàng hơn để duy trì không cần đưa vào các lỗ hổng.

11.4.2. Phân mức thành phần

Các thành phần trong họ này được phân mức trên cơ sở số lượng cấu trúc và giảm thiểu độ phức tạp cần thiết. Tập con được cấu trúc rõ ràng ADV_INT.1 của các chỗ bản chất TSF yêu cầu bản chất được cấu trúc rõ ràng trên chỉ các phần lựa chọn của TSF. Thành phần này không bao gồm trong EAL bởi vì thành phần này được xem xét để sử dụng trong các trường hợp đặc biệt (ví dụ, người tài trợ có một mối quan tâm cụ thể về một mô-đun mã hóa, mà bị cô lập với phần còn lại của TSF) và sẽ không được áp dụng rộng rãi. Ở mức độ tiếp theo, các yêu cầu về bản chất được cấu trúc rõ ràng được đặt trên toàn bộ TSF. Cuối cùng, giảm thiểu độ phức tạp được giới thiệu trong các thành phần cao nhất.

11.4.3. Chú thích ứng dụng

Những yêu cầu này, khi áp dụng cho các cấu trúc bên trong của TSF, thường dẫn đến những cải thiện mà hỗ trợ cả nhà phát triển và đánh giá viên trong sự hiểu biết về TSF, và cũng cung cấp cơ sở cho việc thiết kế và đánh giá các bộ kiểm thử. Hơn nữa, nâng cao hiểu biết của các TSF sẽ hỗ trợ nhà phát triển đơn giản hóa bảo trì nó.

Các yêu cầu trong họ này được trình bày ở mức độ khá trừu tượng. Sự đa dạng của TOE làm cho nó không thể biên soạn thành bất cứ điều gì cụ thể hơn là “có cấu trúc rõ ràng” hay “phức tạp tối thiểu”. Sự biện minh về cấu trúc và tính phức tạp được chờ đợi được cung cấp từ các kỹ thuật đặc biệt được sử dụng trong các TOE. Ví dụ, phần mềm có thể được xem xét cấu trúc rõ ràng khi nó thể hiện những đặc điểm được trích dẫn trong các ngành kỹ nghệ phần mềm. Các thành phần bên trong họ này gọi để xác định các tiêu chuẩn để đo các tính chất được cấu trúc tốt và không quá phức tạp.

11.4.4. ADV_INT.1 Tập con cấu trúc rõ ràng của nội bộ TSF

Các phụ thuộc:

ADV_IMP.1 Biểu diễn triển khai của TSF

...

...

...

ALC_TAT.1 Các công cụ phát triển được định nghĩa rõ ràng

11.4.4.1. Các mục tiêu

Mục tiêu của thành phần này là cung cấp theo cách làm cho việc yêu cầu các phần đặc biệt của TSF được cấu trúc rõ ràng.

Theo dự định toàn bộ TSF đã được thiết kế và thực hiện bằng cách sử dụng các nguyên tắc kỹ thuật phù hợp, nhưng phân tích được thực hiện dựa trên một tập con cụ thể.

11.4.4.2. Chú thích ứng dụng

Thành phần này yêu cầu tác giả PP và ST sẽ được gán đầy đủ với các tập con của TSF. Tập con này sẽ được xác định theo dạng bên trong của TSF tại bất kỳ lớp trừu tượng nào. Ví dụ:

a) các phần tử cấu trúc của TSF được xác định trong thiết kế TOE (ví dụ: “Nhà phát triển cần thiết kế và thực hiện kiểm tra hệ thống con theo cách mà nó có bản chất cấu trúc rõ ràng”)

b) thực hiện (ví dụ: “nhà phát triển cần thiết kế và thực hiện các tập tin encrypt.c và decrypt.c theo cách chúng có bản chất cấu trúc rõ ràng.” hoặc “Nhà phát triển cần thiết kế và thực hiện chíp vi mạch 6.227 theo cách mà nó có bản chất cấu trúc rõ ràng”.”)

Điều này dường như chưa sẵn sàng thực hiện bằng cách tham khảo các tuyên bố SFR (ví dụ: “Nhà phát triển cần thiết kế và thực hiện phần của TSF để cung cấp khả năng nặc danh như được định nghĩa trong FPR_ANO.2 như vậy mà nó có bản chất cấu trúc rõ ràng.”) Bởi vì điều này không chỉ ra nơi tập trung phân tích.

...

...

...

11.4.4.3. Phần tử hành động của nhà phát triển

11.4.4.3.1. ADV_INT.1.1D

Nhà phát triển cần thiết kế và thực hiện [gán: tập con của TSF] theo đó nó có bản chất được cấu trúc rõ ràng.

11.4.4.3.2. ADV_INT.1.2D

Nhà phát triển cần cung cấp mô tả và biện minh cho nội bộ.

11.4.4.4. Các phần tử nội dung và trình bày

11.4.4.4.1. ADV_INT.1.1C

Biện minh cần giải thích các bản chất được sử dụng để xem xét ý nghĩa của “cấu trúc rõ ràng”.

11.4.4.4.2. ADV_INT.1.2C

...

...

...

11.4.4.5. Các phần tử hành động của đánh giá viên

11.4.4.5.1. ADV_INT.1.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu cho nội dung và trình bày các chứng cứ.

11.4.4.5.2. ADV_INT.1.2E

Đánh giá viên cần thực hiện phân tích bản chất dựa trên các tập con được gán của TSF.

11.4.5. ADV_INT.2 Nội bộ với cấu trúc rõ ràng

Các phụ thuộc:

ADV_IMP.1 Biểu diễn triển khai của TSF.

ADV_TDS.3 Thiết kế mô đun cơ sở

...

...

...

11.4.5.1. Mục tiêu

Mục tiêu của thành phần này là cung cấp theo cách làm cho việc yêu cầu TSF được cấu trúc rõ ràng. Theo dự định toàn bộ TSF đã được thiết kế và thực hiện bằng cách sử dụng các nguyên tắc kỹ thuật phù hợp.

11.4.5.2. Chú thích ứng dụng

Sự biện minh về tính đầy đủ của cấu trúc và sự phức tạp được chờ đợi sẽ nhận được từ kỹ thuật đặc biệt được sử dụng trong TOE. Thành phần này gọi để xác định các tiêu chuẩn để đo đạc tính chất của các cấu trúc rõ ràng.

11.4.5.3. Phần tử hành động của nhà phát triển

11.4.5.3.1. ADV_INT.2.1D

Nhà phát triển cần thiết kế và thực hiện toàn bộ TSF mà bản chất có cấu trúc rõ ràng.

11.4.5.3.2. ADV_INT.2.2D

Nhà phát triển cần cung cấp mô tả và biện minh cho bản chất.

...

...

...

11.4.5.4.1. ADV_INT.2.1C

Sự biện minh cần mô tả các tính chất sử dụng để xem xét ý nghĩa của “cấu trúc rõ ràng”.

11.4.5.4.2. ADV_INT.2.2C

Mô tả bản chất TSF cần chứng minh rằng toàn bộ TSF có cấu trúc rõ ràng.

11.4.5.5. Các phần tử hành động của đánh giá viên

11.4.5.5.1. ADV_INT.2.1E

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng đầy đủ các yêu cầu cho nội dung và trình bày chứng cứ.

11.4.5.5.2. ADV_INT.2.2E

Đánh giá viên cần thực hiện phân tích bản chất bên trong TSF.

...

...

...

Các phụ thuộc:

ADV_IMP.1 Biểu diễn triển khai của TSF

ADV_TDS.3 Thiết kế mô đun cơ sở

ALC_TAT.1 Các công cụ phát triển được định nghĩa rõ ràng

11.4.6.1. Mục tiêu

Mục tiêu của thành phần này là cung cấp theo cách làm cho việc yêu cầu TSF được cấu trúc rõ ràng và sự phức tạp nhỏ nhất. Theo dự định toàn bộ TSF đã được thiết kế và thực hiện bằng cách sử dụng các nguyên tắc kỹ thuật phù hợp.

11.4.6.2. Chú thích ứng dụng

Sự biện minh về tính đầy đủ của cấu trúc và sự phức tạp được chờ đợi sẽ nhận được từ kỹ thuật đặc biệt được sử dụng trong TOE. Thành phần này gọi để xác định các tiêu chuẩn để đo đạc cấu trúc và độ phức tạp.

11.4.6.3. Phần tử hành động của nhà phát triển

...

...

...

Nhà phát triển cần thiết kế và thực hiện toàn bộ TSF mà bản chất được cấu trúc rõ ràng.

11.4.6.3.2. ADV_INT.3.2D

Nhà phát triển cần cung cấp mô tả và biện minh cho bản chất

11.4.6.4. Các phần tử nội dung và trình bày

11.4.6.4.1. ADV_INT.3.1C

Sự biện minh cần mô tả các tính chất được sử dụng để xem xét ý nghĩa của “Cấu trúc rõ ràng” và “phức tạp”.

11.4.6.4.2. ADV_INT.3.2C

Mô tả các bản chất của TSF cần chứng minh rằng toàn bộ TSF được cấu trúc rõ ràng và không phức tạp quá.

11.4.6.5. Các phần tử hành động của đánh giá viên

...

...

...

Đánh giá viên cần xác nhận rằng thông tin được cung cấp đáp ứng tất cả các yêu cầu cho nội dung và trình bày các chứng cứ.

11.4.6.5.2. ADV_INT.3.2E

Đánh giá viên cần thực hiện phân tích bản chất của trên toàn TSF.

11.5. Mô hình hóa chính sách an toàn (ADV_SPM)

11.5.1. Mục tiêu

Mục tiêu của họ này là cung cấp sự bảo đảm bổ sung từ sự phát triển của một mô hình chính sách an toàn chính thức của TSF, và thiết lập một sự tương ứng giữa các đặc tả chức năng và mô hình chính sách an toàn. Bảo vệ sự nhất quán nội bộ mô hình chính sách an toàn được chờ đợi để thiết lập các nguyên tắc an toàn từ các tính chất của nó bằng một chứng minh toán học.

11.5.2. Phân mức thành phần

Họ này chứa chỉ một thành phần.

11.5.3. Chú thích ứng dụng

...

...

...

Việc tạo ra một mô hình chính sách an toàn chính thức giúp xác định và loại bỏ các phần tử chính sách an toàn không rõ ràng, không phù hợp, mâu thuẫn, hoặc không thể thực thi. Chỉ khi TOE đã được xây dựng, mô hình chính thức phục vụ các nỗ lực đánh giá góp phần cho các phán xét của đánh giá viên về việc nhà phát triển có hiểu biết thế nào về chức năng an toàn đang được thực hiện và có sự nhất quán giữa yêu cầu an toàn và thiết kế TOE. Sự tin cậy trong mô hình này được đi kèm với bằng chứng rằng nó không chứa mâu thuẫn.

Mô hình chính sách an toàn chính thức là một bài thuyết trình chính thức chính xác về các khía cạnh quan trọng của an toàn và mối quan hệ của chúng với các hành vi của TOE, nó xác định tập các quy tắc và thông lệ điều chỉnh làm thế nào TSF quản lý, bảo vệ, và kiểm soát các tài nguyên hệ thống. Mô hình này bao gồm việc thiết lập các hạn chế và các thuộc tính mà chỉ ra làm thế nào thông tin và tài nguyên tính toán bị ngăn không cho sử dụng khi vi phạm các SFR, kèm theo một tập thuyết phục các đối số kỹ thuật cho thấy rằng những hạn chế này và các thuộc tính đóng một vai trò quan trọng trong việc thực thi SFR. Nó bao gồm cả hình thức hóa mà biểu diễn các chức năng an toàn, cũng như các văn bản phụ trợ để giải thích các mô hình và cung cấp cho nó với ngữ cảnh. Các hành vi an toàn của TSF được mô hình hóa cả về hành vi bên ngoài (tức là làm thế nào TSF tương tác với phần còn lại của TOE và với môi trường hoạt động của nó), cũng như các hành vi nội bộ của nó.

Các mô hình chính sách an toàn của TOE được trích dẫn không chính thức từ thực tế của nó bằng cách xem xét các yêu cầu an toàn được đề nghị của ST này. Việc trích dẫn không chính thức được thực hiện thành công nếu các nguyên tắc của TOE (còn gọi là “bất biến”) đưa ra được thực thi bởi các đặc tính của nó. Mục đích của các phương pháp chính thức nằm trong việc tăng cường sự chặt chẽ của việc thực thi. Đối số không chính thức luôn dễ bị sai lầm, đặc biệt là nếu các mối quan hệ giữa các chủ thể, đối tượng và hoạt động nhận được tham gia nhiều hơn và nhiều hơn nữa. Để giảm thiểu nguy cơ về trạng thái không an toàn đưa đến các quy tắc và tính chất của mô hình chính sách an toàn được ánh xạ tới các thuộc tính tương ứng và các đặc trưng bên trong một số hệ thống chính thức, với sự chặt chẽ và mạnh mẽ có thể được sử dụng sau đó để có được các thuộc tính an toàn qua các định lý và bằng chứng chính thức.

Trong khi thuật ngữ “mô hình chính sách an toàn chính thức” được sử dụng trong giới học thuật, cách tiếp cận của TCVN 8709 không có nghĩa cố định về “an toàn”, nó sẽ tương đương với bất cứ điều gì SFR được tuyên bố. Vì vậy, mô hình chính sách an toàn chính thức chỉ là một đại diện chính thức của tập SFR được tuyên bố.

Các chính sách an toàn có kết hợp truyền thống chỉ với chính sách kiểm soát truy cập, mà dựa trên nhãn (bắt buộc kiểm soát truy cập), hoặc dựa trên người dùng (kiểm soát truy cập tùy ý). Tuy nhiên, một chính sách an toàn không giới hạn kiểm soát truy cập, còn có những chính sách kiểm tra, chính sách xác định, chính sách xác thực, chính sách mã hóa, chính sách quản lý, và các chính sách an toàn khác mà được thực thi bởi các TOE, như mô tả trong PP/ST.ADV_SPM.1.1D chứa phần để xác định các chính sách này được mô hình hóa chính thức.

11.5.4. ADV_SPM.1 Mô hình chính sách an toàn TOE chính thức

Các phụ thuộc: ADV_FSP.4 Đặc tả chức năng đầy đủ.

11.5.4.1. Phần tử hành động của nhà phát triển

11.5.4.1.1. ADV_SPM.1.1D

...

...

...

11.5.4.1.2. ADV_SPM.1.2D

Mỗi chính sách bao gồm mô hình chính sách an toàn chính thức, mô hình này cần chỉ ra các phần phù hợp của tuyên bố của SFR mà là sự phối hợp chính sách đó.

11.5.4.1.3. ADV_SPM.1.3D

Nhà phát triển cần cung cấp chứng minh chính thức về sự tương ứng giữa mô hình và bất kỳ đặc tả chức năng chính thức nào.

11.5.4.1.4. ADV_SPM.1.4D

Nhà phát triển cần cung cấp chứng minh sự tương ứng giữa mô hình và đặc tả chức năng.

11.5.4.2. Các phần tử nội dung và trình bày

11.5.4.2.1. ADV_SPM.1.1C

Mô hình cần cung cấp kiểu chính thức, được hỗ trợ bởi văn bản giải thích được yêu cầu và xác định các chính sách an toàn của TSF được mô hình hóa.

...

...

...

Tất cả các chính sách mà được mô hình hóa, mô hình cần định nghĩa an toàn cho TOE và cung cấp chứng minh chính thức mà TOE không thể tiếp cận đến trạng thái không an toàn.

11.5.4.2.3. ADV_SPM.1.3C

Sự phù hợp giữa mô hình và đặc tả chức năng cần ở mức chính xác của quy cách.

11.5.4.2.4. ADV_SPM.1.4C

Sự phù hợp cần chỉ ra đặc tả chức năng là nhất quán và đầy đủ với toàn bộ về mô hình.

11.5.4.2.5. ADV_SPM.1.5C

Chứng minh sự phù hợp cần chỉ ra rằng các giao diện trong đặc tả chức năng là nhất quán và đầy đủ về các chính sách được phân trong ADV_SPM.1.1D.

11.5.4.3. Các phần tử hành động của đánh giá viên

11.5.4.3.1. ADV_SPM.1.1E

...

...

...

11.6. Thiết kế TOE (ADV_TDS)

11.6.1. Mục tiêu

Bản mô tả thiết kế cho một TOE đưa ra ngữ cảnh mô tả cho TSF đồng thời mô tả chi tiết cho TSF. Khi nhu cầu đảm bảo tăng, mức chi tiết trong mô tả cũng tăng. Khi phạm vi và độ phức tạp của TSF tăng, việc phân tách nhiều mức là thích hợp. Các yêu cầu thiết kế đưa ra các thông tin với chủ ý (tương xứng với mức đảm bảo cho trước) sao cho có thể đưa ra quyết định về việc các yêu cầu chức năng an toàn đã được thực hiện.

11.6.2. Phân mức thành phần

Các thành phần trong họ này được phân mức trên cơ sở tổng số thông tin đòi hỏi phải thể hiện ứng với TSF và tùy vào mức độ hình thức yêu cầu của mô tả thiết kế.

11.6.3. Chú thích ứng dụng

Mục tiêu của tài liệu thiết kế là đưa ra thông tin đầy đủ để xác định ranh giới TSF và mô tả TSF triển khai các yêu cầu chức năng an toàn như thế nào. Số lượng và cấu trúc của tài liệu thiết kế phụ thuộc vào độ phức tạp của TOE và số các SFR. Thông thường, một TOE khá phức tạp với một lượng lớn SFR sẽ đòi hỏi nhiều tài liệu thiết kế hơn một TOE đơn giản chi triển khai cho một vài SFR. Các TOE phức tạp hơn sẽ được lợi từ việc tạo ra các mức phân tách khác nhau trong mô tả thiết kế, trong khi các TOE đơn giản hơn không đòi hỏi mô tả mức cao và mức thấp việc triển khai chúng.

Họ này có hai mức phân tách: hệ thống con và mô đun. Một mô đun là bản mô tả chức năng đặc trưng nhất, nó chính là bản mô tả triển khai. Một nhà phát triển cần có khả năng triển khai một phần TOE mô tả trong mô đun mà không cần thêm các giải trình về thiết kế khác. Một hệ thống con là bản mô tả thiết kế TOE, nó giúp đưa ra mô tả mức cao về một thành phần TOE đang làm gì và như thế nào. Do vậy, một hệ thống con có thể được chia ra các hệ thống con mức thấp hơn, hoặc chia ra thành các mô đun. Các TOE phức tạp có thể đòi hỏi một số mức hệ thống con khác nhau nhằm truyền đạt phù hợp thông tin mô tả hữu ích về việc TOE làm việc như thế nào. Các TOE đơn giản hơn thì ngược lại không đòi hỏi mô tả cấp hệ thống con nào, mô đun của nó có thể mô tả rõ ràng cách thức làm việc của TOE.

Cách thức chung cho tài liệu thiết kế là tùy theo mức độ đảm bảo tăng dẫn, mức độ chi tiết của mô tả đi từ mô tả chung (mức hệ thống con) đến mô tả chi tiết hơn (mức đô mun). Trong các trường hợp mức độ trừu tượng ở mức mô đun là phù hợp vì TOE đơn giản đủ để mô tả ở mức mô đun song mức đảm bảo yêu cầu mô tả ở mức hệ thống con, thì chỉ cần mô tả ở mức mô đun là đủ. Tuy nhiên, đối với các TOE phức tạp thì không phải như vậy: một lượng lớn các chi tiết (mức mô đun) cũng sẽ không đủ nếu không có kèm theo mô tả ở mức hệ thống con.

...

...

...

Trong các yêu cầu của họ này, khái niệm giao diện dùng để chỉ phương tiện trao đổi (giữa hai hệ thống con hoặc hai mô đun). Nó mô tả cách thức thực hiện trao đổi, tương tự như các chi tiết của TSFI (xem Đặc tả chức năng ADV_FSP). Khái niệm tương tác dùng để chỉ ra mục đích trao đổi, nó chỉ ra lý do hai hệ thống con hoặc hai mô đun trao đổi với nhau.

11.6.3.1. Chi tiết về các hệ thống con và các mô đun

Các yêu cầu xác định ra tập các chi tiết về các hệ thống con và các mô đun cần đưa ra gồm:

a) Các hệ thống con và các mô đun được xác định với một danh sách đơn giản mô tả chúng là những gì.

b) Các hệ thống con và các mô đun có thể được phân loại (rõ ràng hoặc ngầm định) thành “bắt buộc theo SFR”, “Hỗ trợ SFR”, hoặc “Không liên quan đến SFR”. Các khái niệm này được dùng tương tự như trong phần đặc tả chức năng (ADV_FSP).

c) Hoạt động của một hệ thống con chỉ ra nó làm những gì. Hoạt động này có thể phân loại thành “bắt buộc theo SFR”, “Hỗ trợ SFR”, hoặc “Không liên quan đến SFR”. Hoạt động của hệ thống con không bao giờ được phân loại khi phân ra nhiều SFR phù hợp hơn là phân loại hệ thống con. Ví dụ, một hệ thống con bắt buộc theo SFR có thể có hoạt động bắt buộc theo SFR và cũng có thể là hoạt động Hỗ trợ SFR hoặc Không liên quan đến SFR.

d) Tóm tắt hoạt động của một hệ thống con là một mô tả tổng quát về các hành động nó thực hiện (ví dụ “hệ thống con TCP tập hợp các IP datagram vào các luồng byte tin cậy”).

e) Mô tả hoạt động của một hệ thống con là một bản giải thích về mọi điều nó làm. Mô tả này cần ở mức chi tiết để có thể xác định rõ ràng là hoạt động này có bất kỳ sự liên quan nào đến việc thực thi các SFR hay không.

f) Mô tả các tương tác của các hệ thống con và các mô đun hoặc tương tác giữa chúng chỉ ra lý do trao đổi thông tin giữa các hệ thống con hoặc các mô đun, và đặc tả thông tin chuyển qua nó. Không cần phải xác định thông tin chi tiết như đặc tả của một giao diện. Ví dụ, sẽ đủ khi nói rằng “hệ thống con X yêu cầu một khối bộ nhớ từ bộ quản lý bộ nhớ, và nhận được vị trí bộ nhớ đã cấp phát”.

...

...

...

h) Mục đích mô tả phương thức một mô đun cung cấp chức năng của nó. Nó đưa ra chi tiết đủ để không cần phải thêm giải trình thiết kế nào khác. Cần thể hiện rõ tính phù hợp mô tả triển khai mô đun và mục đích của mô đun.

i) Một mô đun được mô tả theo các khác với các thuật ngữ được xác định trong phần tử của nó.

Các hệ thống con và các mô đun, khái niệm “Bắt buộc theo SFR”, v.v. sẽ được giải thích chi tiết hơn trong Phụ lục A.4: Các hệ thống con và các mô đun: ADV_TDS.

11.6.4. ADV_TDS.1 Thiết kế cơ sở

Các phụ thuộc: ADV_FSP.2 Đặc tả chức năng thực thi an toàn

11.6.4.1. Phần tử hành động của nhà phát triển

11.6.4.1.1. ADV_TDS.1.1D

Nhà phát triển cần đưa ra được bản thiết kế của TOE.

11.6.4.1.2. ADV_TDS.1.2D

...

...

...

11.6.4.2. Các phần tử nội dung và trình bày

11.6.4.2.1. ADV_TDS.1.1C

Bản thiết kế cần mô tả cấu trúc TOE với các hệ thống con.

11.6.4.2.2. ADV_TDS.1.2C

Bản thiết kế cần chỉ ra tất cả các hệ thống con của TSF.

11.6.4.2.3. ADV_TDS.1.3C

Bản thiết kế cần mô tả hoạt động của mỗi hệ thống con TSF kiểu “hỗ trợ SFR” hoặc “không liên quan SFR” ở mức độ chi tiết đủ để khẳng định nó không phải là kiểu “bắt buộc theo SFR”.

11.6.4.2.4. ADV_TDS.1.4C

Bản thiết kế cần tóm lược hoạt động bắt buộc theo SFR cho các hệ thống con kiểu “bắt buộc theo SFR”.

...

...

...

Bản thiết kế cần đưa ra mô tả về tương tác của các hệ thống con kiểu “bắt buộc theo SFR” của TSF, và giữa các hệ thống con đó với các hệ thống con của TSF khác.

11.6.4.2.6. ADV_TDS.1.6C

Bản thiết kế cần biểu thị rằng mọi hoạt động mô tả trong thiết kế TOE được ánh xạ vào trong các TSFI thực thi chúng.

11.6.4.3. Các phần tử hành động của đánh giá viên

11.6.4.3.1. ADV_TDS.1.1E

Đánh giá viên cần khẳng định rằng thông tin đã cung cấp đáp ứng mọi yêu cầu về nội dung và biểu thị bằng chứng.

11.6.4.3.2. ADV_TDS.1.2E

Đánh giá viên cần xác định rằng bản thiết kế là một bản sao chính xác và đầy đủ mọi yêu cầu chức năng an toàn.

11.6.5. ADV_TDS.2 Thiết kế kiến trúc

...

...

...

11.6.5.1. Phần tử hành động của nhà phát triển

11.6.5.1.1. ADV_TDS.2.1D

Nhà phát triển cần đưa ra được bản thiết kế của TOE.

11.6.5.1.2. ADV_TDS.2.2D

Nhà phát triển cần đưa ra được bản ánh xạ giữa TSFI về đặc tả chức năng và mức phân tách thấp nhất dùng được trong thiết kế TOE.

11.6.5.2. Các phần tử nội dung và trình bày

11.6.5.2.1. ADV_TDS.2.1C

Bản thiết kế cần mô tả cấu trúc TOE với các hệ thống con.

11.6.5.2.2. ADV_TDS.2.2C

...

...

...

11.6.5.2.3. ADV_TDS.2.3C

Bản thiết kế cần mô tả hoạt động của mỗi hệ thống con TSF kiểu “không liên quan SFR” ở mức độ chi tiết đủ để khẳng định nó là kiểu “không liên quan SFR”.

11.6.5.2.4. ADV_TDS.2.4C

Bản thiết kế cần tóm lược hoạt động bắt buộc theo SFR cho các hệ thống con kiểu “bắt buộc theo SFR”.

11.6.5.2.5. ADV_TDS.2.5C

Bản thiết kế cần tóm tắt hoạt động “hỗ trợ SFR” và “không liên quan SFR” của các hệ thống con kiểu “bắt buộc theo SFR”.

11.6.5.2.6. ADV_TDS.2.6C

Bản thiết kế cần tóm tắt hoạt động của các hệ thống con kiểu “hỗ trợ SFR”.

11.6.5.2.7. ADV_TDS.2.7C

...

...

...

11.6.5.2.8. ADV_TDS.2.8C

Bản thiết kế cần biểu thị rằng mọi hoạt động mô tả trong thiết kế TOE được ánh xạ vào trong các TSFI thực thi chúng.

11.6.5.3. Các phần tử hành động của đánh giá viên

11.6.5.3.1. ADV_TDS.2.1E

Đánh giá viên cần khẳng định rằng thông tin đã cung cấp đáp ứng mọi yêu cầu về nội dung và biểu thị bằng chứng.

11.6.5.3.2. ADV_TDS.2.2E

Đánh giá viên cần xác định rằng bản thiết kế là một bản sao chính xác và đầy đủ mọi yêu cầu chức năng an toàn.

11.6.6. ADV_TDS.3 Thiết kế mô đun cơ sở

Các phụ thuộc: ADV_FSP.4 Đặc tả chức năng đầy đủ

...

...

...

11.6.6.1.1. ADV_TDS.3.1D

Nhà phát triển cần đưa ra được bản thiết kế của TOE.

11.6.6.1.2. ADV_TDS.3.2D

Nhà phát triển cần đưa ra được bản ánh xạ giữa TSFI về đặc tả chức năng và mức phân tách thấp nhất dùng được trong thiết kế TOE.

11.6.6.2. Các phần tử nội dung và trình bày

11.6.6.2.1. ADV_TDS.3.1C

Bản thiết kế cần mô tả cấu trúc TOE với các hệ thống con.

11.6.6.2.2 ADV_TDS.3.2C

Bản thiết kế cần mô tả tất cả các mô đun của TSF.

...

...

...

Bản thiết kế cần chỉ ra tất cả các hệ thống con của TSF.

11.6.6.2.4. ADV_TDS.3.4C

Bản thiết kế cần đưa ra mô tả cho mỗi hệ thống con của TSF.

11.6.6.2.5. ADV_TDS.3.5C

Bản thiết kế cần đưa ra mô tả cho các tương tác của mọi hệ thống con của TSF.

11.6.6.2.6. ADV_TDS.3.6C

Bản thiết kế cần đưa ra ánh xạ từ các hệ thống con của TSF đến các mô đun của TSF.

11.6.6.2.7. ADV_TDS.3.7C

Bản thiết kế cần mô tả mỗi mô đun “hỗ trợ SFR” và “không liên quan SFR” với mục đích và tương tác của chúng với các mô đun khác.

...

...

...

Bản thiết kế cần mô tả mỗi mô đun “bắt buộc theo SFR” với các giao diện liên quan SFR của chúng, cho lại các giá trị từ các giao diện này, tương tác với và gọi các giao diện tới các mô đun khác.

11.6.6.2.9. ADV_TDS.3.9C

Bản thiết kế cần mô tả mỗi mô đun “hỗ trợ SFR” hoặc “không liên quan SFR” với mục đích và tương tác của chúng với các mô đun khác.

11.6.6.2.10. ADV_TDS.3.10C

Bản thiết kế cần biểu thị rằng mọi hoạt động mô tả trong thiết kế TOE được ánh xạ vào trong các TSFI thực thi chúng.

11.6.6.3. Các phần tử hành động của đánh giá viên

11.6.6.3.1. ADV_TDS.3.1E

Đánh giá viên cần khẳng định rằng thông tin đã cung cấp đáp ứng mọi yêu cầu về nội dung và biểu thị bằng chứng.

11.6.6.3.2. ADV_TDS.3.2E

...

...

...

11.6.7. ADV_TDS.4 Thiết kế mô đun bán chính thức

Các phụ thuộc: ADV_FSP.5 Đặc tả chức năng bán chính thức đầy đủ với thông tin lỗi bổ sung

11.6.7.1. Phần tử hành động của nhà phát triển

11.6.7.1.1. ADV_TDS.4.1D

Nhà phát triển cần đưa ra được bản thiết kế của TOE.

11.6.7.1.2. ADV_TDS.4.2D

Nhà phát triển cần đưa ra được bản ánh xạ giữa TSFI về đặc tả chức năng và mức phân tách thấp nhất dùng được trong thiết kế TOE.

11.6.7.2. Các phần tử nội dung và trình bày

11.6.7.2.1. ADV_TDS.4.1C

...

...

...

11.6.7.2.2. ADV_TDS.4.2C

Bản thiết kế cần mô tả TSF với các mô đun, thiết kế mỗi mô đun theo “bắt buộc theo SFR”, “hỗ trợ SFR”, hoặc “không liên quan SFR”.

11.6.7.2.3. ADV_TDS.4.3C

Bản thiết kế cần chỉ ra tất cả các hệ thống con của TSF.

11.6.7.2.4. ADV_TDS.4.4C

Bản thiết kế cần đưa ra mô tả bán chính thức cho mỗi hệ thống con của TSF, với văn bản giải thích không chính thức phù hợp.

11.6.7.2.5. ADV_TDS.4.5C

Bản thiết kế cần đưa ra mô tả cho các tương tác của mọi hệ thống con của TSF.

11.6.7.2.6. ADV_TDS.4.6C

...

...

...

11.6.7.2.7. ADV_TDS.4.7C

Bản thiết kế cần mô tả mỗi mô đun “bắt buộc SFR” và “hỗ trợ SFR” với mục đích và tương tác của chúng với các mô đun khác.

11.6.7.2.8. ADV_TDS.4.8C

Bản thiết kế cần mô tả mỗi mô đun “bắt buộc theo SFR” với các giao diện liên quan SFR của chúng, cho lại các giá trị các giao diện này, tương tác với và gọi các giao diện tới các mô đun khác.

11.6.7.2.9. ADV_TDS.4.9C

Bản thiết kế cần mô tả mỗi mô đun “không liên quan SFR” với mục đích và tương tác của chúng với các mô đun khác.

11.6.7.2.10. ADV_TDS.4.10C

Bản thiết kế cần biểu thị rằng mọi hoạt động mô tả trong thiết kế TOE được ánh xạ vào trong các TSFI thực thi chúng.

11.6.7.3. Các phần tử hành động của đánh giá viên

...

...

...

Đánh giá viên cần khẳng định rằng thông tin đã cung cấp đáp ứng mọi yêu cầu về nội dung và biểu thị bằng chứng.

11.6.7.3.2. ADV_TDS.4.2E

Đánh giá viên cần xác định rằng bản thiết kế là một bản sao chính xác và đầy đủ mọi yêu cầu chức năng an toàn.

11.6.8. ADV_TDS.5 Thiết kế mô đun bán chính thức đầy đủ

Các phụ thuộc: ADV_FSP.5 Đặc tả chức năng bán chính thức đầy đủ với thông tin lỗi bổ sung

11.6.8.1. Phần tử hành động của nhà phát triển

11.6.8.1.1. ADV_TDS.5.1D

Nhà phát triển cần đưa ra được bản thiết kế của TOE.

11.6.8.1.2. ADV_TDS.5.2D

...

...

...

11.6.8.2. Các phần tử nội dung và trình bày

11.6.8.2.1. ADV_TDS.5.1C

Bản thiết kế cần mô tả cấu trúc TOE với các hệ thống con.

11.6.8.2.2. ADV_TDS.5.2C

Bản thiết kế cần mô tả TSF với các mô đun, thiết kế mỗi mô đun theo “bắt buộc theo SFR”, “hỗ trợ SFR”, hoặc “không liên quan SFR”.

11.6.8.2.3. ADV_TDS.5.3C

Bản thiết kế cần chỉ ra tất cả các hệ thống con của TSF.

11.6.8.2.4. ADV_TDS.5.4C

Bản thiết kế cần đưa ra mô tả bán chính thức cho mỗi hệ thống con của TSF, với văn bản giải thích không chính thức phù hợp.

...

...

...

Bản thiết kế cần đưa ra mô tả cho các tương tác của mọi hệ thống con của TSF.

11.6.8.2.6. ADV_TDS.5.6C

Bản thiết kế cần đưa ra ánh xạ từ các hệ thống con của TSF đến các mô đun của TSF.

11.6.8.2.7. ADV_TDS.5.7C

Bản thiết kế cần mô tả bán chính thức mỗi mô đun với mục đích, tương tác, giao diện của chúng, cho lại các giá trị từ các giao diện này, tương tác với và gọi các giao diện tới các mô đun khác, với văn bản giải thích không chính thức phù hợp.

11.6.8.2.8. ADV_TDS.5.8C

Bản thiết kế cần biểu thị rằng mọi hoạt động mô tả trong thiết kế TOE được ánh xạ vào trong các TSFI thực thi chúng.

11.6.8.3. Các phần tử hành động của đánh giá viên

11.6.8.3.1. ADV_TDS.5.1E

...

...

...

11.6.8.3.2. ADV_TDS.5.2E

Đánh giá viên cần xác định rằng bản thiết kế là một bản sao chính xác và đầy đủ mọi yêu cầu chức năng an toàn.

11.6.9. ADV_TDS.6 Thiết kế mô đun bán chính thức đầy đủ với bản thể hiện thiết kế chính thức mức cao

Các phụ thuộc: ADV_FSP.6 Đặc tả chức năng bán chính thức đầy đủ với bổ sung đặc tả chính thức

11.6.9.1. Phần tử hành động của nhà phát triển

11.6.9.1.1. ADV_TDS.6.1D

Nhà phát triển cần đưa ra được bản thiết kế của TOE.

11.6.9.1.2. ADV_TDS.6.2D

Nhà phát triển cần đưa ra được bản ánh xạ giữa TSFI về đặc tả chức năng và mức phân tách thấp nhất dùng được trong thiết kế TOE.

...

...

...

Nhà phát triển cần đưa ra được đặc tả chính thức cho các hệ thống con TSF.

11.6.9.1.4. ADV_TDS.6.4D

Nhà phát triển cần đưa ra được minh chứng về sự phù hợp giữa các đặc tả chính thức cho các hệ thống con TSF và cho đặc tả chức năng.

11.6.9.2. Các phần tử nội dung và trình bày

11.6.9.2.1 ADV_TDS.6.1C

Bản thiết kế cần mô tả cấu trúc TOE với các hệ thống con.

11.6.9.2.2 ADV_TDS.6.2C

Bản thiết kế cần mô tả TSF với các mô đun, thiết kế mỗi mô đun theo “bắt buộc theo SFR”, “hỗ trợ SFR”, hoặc “không liên quan SFR”.

11.6.9.2.3. ADV_TDS.6.3C

...

...

...

11.6.9.2.4. ADV_TDS.6.4C

Bản thiết kế cần đưa ra mô tả bán chính thức cho mỗi hệ thống con của TSF, với văn bản giải thích không chính thức phù hợp.

11.6.9.2.5. ADV_TDS.6.5C

Bản thiết kế cần đưa ra mô tả cho các tương tác của mọi hệ thống con của TSF.

11.6.9.2.6. ADV_TDS.6.6C

Bản thiết kế cần đưa ra ánh xạ từ các hệ thống con của TSF đến các mô đun của TSF.

11.6.9.2.7. ADV_TDS.6.7C

Bản thiết kế cần mô tả theo kiểu bán chính thức cho mỗi mô đun với mục đích, tương tác, các giá trị cho lại từ các giao diện này, và các giao diện được gọi tới các mô đun khác, với văn bản giải thích không chính thức phù hợp.

11.6.9.2.8. ADV_TDS.6.8C

...

...

...

11.6.9.2.9. ADV_TDS.6.9C

Ánh xạ cần biểu thị rằng mọi hoạt động mô tả trong thiết kế TOE được ánh xạ vào trong các TSFI thực thi chúng.

11.6.9.2.10. ADV_TDS.6.10C

Minh chứng cho sự phù hợp giữa các đặc tả chính thức cho các hệ thống con TSF và cho đặc tả chức năng cần biểu thị rằng mọi hoạt động mô tả trong thiết kế TOE là bản chi tiết hóa một cách đầy đủ và chính xác của TSFI thực thi chúng.

11.6.9.3. Các phần tử hành động của đánh giá viên

11.6.9.3.1. ADV_TDS.6.1E

Đánh giá viên cần khẳng định rằng thông tin đã cung cấp đáp ứng mọi yêu cầu về nội dung và biểu thị bằng chứng.

11.6.9.3.2. ADV_TDS.6.2E

Đánh giá viên cần xác định rằng bản thiết kế là một bản sao chính xác và đầy đủ mọi yêu cầu chức năng an toàn.

...

...

...

Lớp tài liệu hướng dẫn đưa ra những yêu cầu cho tài liệu hướng dẫn cho người sử dụng. Đối với việc chuẩn bị và vận hành an toàn TOE, điều này là cần thiết để mô tả tất cả những vấn đề về xử lý an toàn của TOE. Lớp cũng đề cập đến khả năng cấu hình không đúng như mong muốn hoặc việc xử lý TOE.

Trong nhiều trường hợp, có thể thích hợp hơn là hướng dẫn được chia ra nhiều tài liệu cho chuẩn bị và vận hành an toàn TOE, hoặc các tài liệu riêng cho những người sử dụng khác nhau như: người dùng đầu cuối, quản trị viên, người lập trình ứng dụng sử dụng các giao diện phần cứng, phần mềm…

Lớp tài liệu hướng dẫn được chia thành hai họ, có liên quan đến phần hướng dẫn chuẩn bị cho người dùng (là điều cần thực hiện khi chuyển đổi TOE đã bàn giao sang cấu hình đã đánh giá trong môi trường vận hành như đã mô tả trong ST) và với phần hướng dẫn người dùng vận hành (những gì cần thực hiện trong quá trình khai thác TOE trong cấu hình đã đánh giá của nó.

Hình 12 biểu thị các họ trong lớp này, phân lớp thành phần trong các họ.

Hình 12 - Phân cấp lớp AGC: Các tài liệu hướng dẫn

12.1. Hướng dẫn người dùng vận hành (AGD_OPE)

12.1.1. Mục tiêu

Tài liệu hướng dẫn này đề cập đến các tài liệu văn bản dành cho những người dùng TOE trong cấu hình đã đánh giá của nó bao gồm: người dùng đầu cuối, người có trách nhiệm duy trì và quản lý TOE theo cách đúng nhằm đạt sự an toàn tối đa, và những người dùng khác (ví dụ các lập trình viên) sử dụng các giao diện TOE với bên ngoài. Tài liệu hướng dẫn người dùng vận hành mô tả chức năng an toàn cung cấp bởi TSF, đưa ra các lệnh và hướng dẫn (gồm cả cảnh báo), giúp hiểu được TSF và bao gồm thông tin an toàn trọng yếu, các hành động an toàn trọng yếu cần có, nhằm đảm bảo sử dụng chúng an toàn. Hướng dẫn sai hoặc không hợp lý cần loại bỏ khỏi tài liệu hướng dẫn, các thủ tục an toàn cho mọi chế độ hoạt động cần được xem xét. Các trạng thái không an toàn cần dễ phát hiện.

...

...

...

12.1.2. Phân mức thành phần

Họ này chỉ gồm một thành phần.

12.1.3. Chú thích ứng dụng

Có thể các vai trò người dùng và nhóm người dùng khác nhau được chấp thuận trong TOE và họ có thể tương tác với TSF. Vai trò người dùng và các nhóm này cần được xem xét trong tài liệu hướng dẫn người dùng vận hành. Họ có thể được nhóm vào quản trị viên và những người dùng không có vai trò quản trị, hoặc cụ thể hơn được nhóm vào các cá nhân có trách nhiệm về việc: nhận, chấp thuận, cài đặt và duy trì TOE, lập trình viên các ứng dụng, người soát xét, kiểm toán viên, quản trị viên hàng ngày, người dùng đầu cuối. Mỗi vai trò có thể bao hàm một tập năng lực hoặc chỉ một quyền duy nhất.

Yêu cầu AGD_OPE.1.1C bao hàm khía cạnh mọi cảnh báo tới người dùng trong khi vận hành TOE sẽ liên quan đến định nghĩa vấn đề an toàn và các mục tiêu an toàn cho môi trường vận hành được mô tả trong PP/ST là phù hợp trong hướng dẫn người dùng.

Khái niệm các giá trị an toàn, như đã nêu trong AGD_OPE.1.3.C có liên quan về vị trí người dùng có quyền kiểm soát các tham số an toàn. Hướng dẫn cần đưa ra đối với việc đặt đúng và không an toàn các tham số trên.

AGD_OPE.1.4C đòi hỏi hướng dẫn người dùng phải mô tả các phản ứng phù hợp với các sự kiện an toàn liên quan. Mặc dù nhiều sự kiện an toàn là kết quả của thực hiện các chức năng, cũng không nhất thiết phải như vậy trong một số trường hợp (ví dụ kiểm toán bản ghi nhật ký, phát hiện một xâm nhập). Ngoài ra, một sự kiện liên quan an toàn có thể xảy ra là kết quả của một chuỗi các chức năng, hoặc, ngược lại, một số sự kiện an toàn có thể xảy ra với một chức năng.

AGD_OPE.1.7C đòi hỏi rằng hướng dẫn người dùng phải rõ ràng và hợp lý. Hướng dẫn sai hoặc không hợp lý có thể dẫn đến việc một người dùng TOE tin rằng TOE an toàn trong khi nó không phải như vậy.

Một ví dụ về hướng dẫn sai có thể là mô tả về một lệnh hướng dẫn đơn lẻ có thể truyền theo nhiều cách, một trong những cách đó có thể dẫn đến trạng thái không an toàn.

...

...

...

12.1.4. Hướng dẫn người dùng vận hành AGD_OPE.1

Phụ thuộc: ADV_FSP.1 Đặc tả chức năng cơ bản

12.1.4.1. Các thành phần hành động nhà phát triển

12.1.4.1.1. AGD_OPE.1.1D

Nhà phát triển cần đưa ra tài liệu hướng dẫn người dùng vận hành.

12.1.4.2. Các phần tử nội dung và trình bày

12.1.4.2.1. AGD_OPE.1.1C

Tài liệu hướng dẫn người dùng vận hành cần mô tả các vai trò từng người, các chức năng truy nhập người dùng và các đặc quyền cần được kiểm soát trong môi trường xử lý an toàn, bao gồm các cảnh báo phù hợp.

12.1.4.2.2. AGD_OPE.1.2C

...

...

...