tÜrk standardi...ics 35.040 tÜrk standardi ts iso/iec 15408-3/nisan 2007 Ön söz − bu standard;...

TÜRK STANDARDITURKISH STANDARD

TS ISO/IEC 15408-3Nisan 2007

ICS 35.040

BİLGİ TEKNOLOJİSİ - GÜVENLİK TEKNİKLERİ - BİLGİ TEKNOLOJİSİ (IT) GÜVENLİĞİ İÇİN DEĞERLENDİRME KRİTERLERİ - BÖLÜM 3: GÜVENLİK GARANTİ GEREKSİNİMLERİ Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance requirements

TÜRK STANDARDLARI ENSTİTÜSÜ Necatibey Caddesi No.112 Bakanlıklar/ANKARA

− Bugünkü teknik ve uygulamaya dayanılarak hazırlanmış olan bu standardın, zamanla ortaya çıkacak

gelişme ve değişikliklere uydurulması mümkün olduğundan ilgililerin yayınları izlemelerini ve standardın uygulanmasında karşılaştıkları aksaklıkları Enstitümüze iletmelerini rica ederiz.

− Bu standardı oluşturan Hazırlık Grubu üyesi değerli uzmanların emeklerini; tasarılar üzerinde görüşlerini

bildirmek suretiyle yardımcı olan bilim, kamu ve özel sektör kuruluşları ile kişilerin değerli katkılarını şükranla anarız.

Kalite Sistem Belgesi İmalât ve hizmet sektörlerinde faaliyet gösteren kuruluşların sistemlerini TS EN ISO 9000 Kalite Standardlarına uygun olarak kurmaları durumunda TSE tarafından verilen belgedir.

Türk Standardlarına Uygunluk Markası (TSE Markası) TSE Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin ilgili Türk Standardına uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü’nün garantisi altında olduğunu ifade eder.

TSEK Kalite Uygunluk Markası (TSEK Markası) TSEK Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin henüz Türk Standardı olmadığından ilgili milletlerarası veya diğer ülkelerin standardlarına veya Enstitü tarafından kabul edilen teknik özelliklere uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü’nün garantisi altında olduğunu ifade eder.

DİKKAT! TS işareti ve yanında yer alan sayı tek başına iken (TS 4600 gibi), mamulün Türk Standardına uygun üretildiğine dair üreticinin beyanını ifade eder. Türk Standardları Enstitüsü tarafından herhangi bir garanti söz konusu değildir.

Standardlar ve standardizasyon konusunda daha geniş bilgi Enstitümüzden sağlanabilir.

TÜRK STANDARDLARININ YAYIN HAKLARI SAKLIDIR.

ICS 35.040 TÜRK STANDARDI TS ISO/IEC 15408-3/Nisan 2007

Ön söz − Bu standard; ISO tarafından kabul edilen, ISO/IEC 15408-3 (2005) standardı esas alınarak, TSE Bilgi

Teknolojileri ve İletişim İhtisas Grubu’nca hazırlanmış ve TSE Teknik Kurulu’nun 24 Nisan 2007 tarihli toplantısında Türk Standardı olarak kabul edilerek yayımına karar verilmiştir.

- ISO/IEC 15408 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi teknolojisi (IT) güvenliği için değerlendirme

kriterleri genel başlığı altında aşağıdaki bölümlerden oluşmaktadır:

- 1. Bölüm: Giriş ve genel model - 2. Bölüm: Güvenlik fonksiyonel gereksinimleri - 3. Bölüm: Güvenlik garanti gereksinimleri

− Bu standardda kullanılan bazı kelime ve/veya ifadeler patent haklarına konu olabilir. Böyle bir patent hakkının belirlenmesi durumunda TSE sorumlu tutulamaz.


İçindekiler 0 Giriş ........................................................................................................................................................1 1 Kapsam...................................................................................................................................................1 2 Atıf yapılan standardlar ve/veya dokümanlar.....................................................................................1 3 Terimler, tarifler, semboller ve kısaltmalar .........................................................................................2 4 Genel bakış ............................................................................................................................................2

4.1 Bu standardın (Ortak Kriterler (CC) Bölüm 3) yapısı............................................................................2 5 Ortak Kriterlerin (CC) garanti paradigması.........................................................................................2

5.1 Ortak Kriterlerin (CC) felsefesi .............................................................................................................2 5.2 Garanti yaklaşımı .................................................................................................................................2

5.2.1 Açıklıkların önemi......................................................................................................................2 5.2.2 Açıklıkların nedeni.....................................................................................................................3 5.2.3 CC garantisi ..............................................................................................................................3 5.2.4 Değerlendirme yoluyla garanti ..................................................................................................3

5.3 CC değerlendirme garanti ölçeği..........................................................................................................3 6 Güvenlik garanti gereksinimleri...........................................................................................................4

6.1 Yapılar ..................................................................................................................................................4 6.1.1 Sınıf yapısı ................................................................................................................................4 6.1.2 Garanti ailesinin yapısı..............................................................................................................5 6.1.3 Garanti bileşeni yapısı ..............................................................................................................6 6.1.4 Garanti elemanları ....................................................................................................................8 6.1.5 EAL yapısı .................................................................................................................................8

6.2 Bileşen sınıflandırması .......................................................................................................................10 6.3 Koruma Profili ve Güvenlik Hedefi değerlendirme kriterleri sınıf yapısı .............................................10 6.4 Bu standarddaki terimlerin kullanımı ..................................................................................................10

6.4.1 Anlaşılır.........................................................................................................................................10 6.4.2 Tam...............................................................................................................................................10 6.4.3 Doğrulama....................................................................................................................................10 6.4.4 Tutarlı............................................................................................................................................10 6.4.5 Karşılaşmak (fiil)...........................................................................................................................10 6.4.6 Gösterme......................................................................................................................................10 6.4.7 Tarif etme......................................................................................................................................11 6.4.8 Belirleme ......................................................................................................................................11 6.4.9 Sağlama .......................................................................................................................................11 6.4.10 Kapsayıcı....................................................................................................................................11 6.4.11 Açıklamak ...................................................................................................................................11 6.4.12 Kendi içinde tutarlı......................................................................................................................11 6.4.13 Geçerliliğini doğrulamak.............................................................................................................11 6.4.14 Birbirini destekleyici....................................................................................................................11 6.4.15 Kanıtlama ...................................................................................................................................11 6.4.16 Belirtme ......................................................................................................................................11 6.4.17 İzleme.........................................................................................................................................11 6.4.18 Doğruluğunu kanıtlamak ............................................................................................................11

6.5 Garanti sınıflandırması .......................................................................................................................12 6.6 Garanti sınıfı ve ailesine genel bakış .................................................................................................12

6.6.1 ACM Sınıfı: Yapılandırma yönetimi .........................................................................................12 6.6.2 ADO Sınıfı: Teslim ve çalıştırma .............................................................................................13 6.6.3 ADV Sınıfı: Geliştirme .............................................................................................................13 6.6.4 AGD Sınıfı: Kılavuz belgeler ...................................................................................................14 6.6.5 ALC Sınıfı: Kullanım ömrü desteği..........................................................................................14 6.6.6 APE Sınıfı: Koruma Profili değerlendirmesi..................................................................................14 6.6.7 ASE Sınıfı: Güvenlik Hedefi değerlendirmesi...............................................................................15 6.6.8 ATE Sınıfı: Testler ...................................................................................................................15 6.6.9 AVA Sınıfı: Açıklık incelemesi..................................................................................................15

7 Koruma Profili ve Güvenlik Hedefi değerlendirme kriterleri...........................................................16 7.1 Genel bakış ........................................................................................................................................16 7.2 Koruma Profili kriterlerine genel bakış ...............................................................................................16

7.2.1 Koruma Profili değerlendirmesi...............................................................................................16 7.2.2 Güvenlik Hedefi değerlendirme kriterleri ilişkisi ......................................................................16 7.2.3 Değerlendiricinin görevleri ......................................................................................................16


7.3 Güvenlik Hedefi kriterlerine genel bakış.............................................................................................17 7.3.1 Güvenlik Hedefi değerlendirmesi............................................................................................17 7.3.2 Bu standarddaki diğer değerlendirme kriterleriyle ilişki...........................................................17 7.3.3 Değerlendiricinin görevleri ......................................................................................................17

8 APE Sınıfı: Koruma Profili değerlendirmesi .....................................................................................18 8.1 TOE Tarifi (APE_DES) .......................................................................................................................19

8.1.1 Hedefler ........................................................................................................................................19 8.1.2 APE_DES.1 Koruma Profili, TOE tarifi, Değerlendirme gereksinimleri.....................................19

8.2 Güvenlik ortamı (APE_ENV) ..............................................................................................................19 8.2.1 Hedefler ........................................................................................................................................19 8.2.2 APE_ENV.1 Koruma Profili, Güvenlik ortamı, Değerlendirme gereksinimleri...........................19 8.2.2.3 Değerlendirici eylem öğeleri ......................................................................................................20

8.3 PP tanıtımı (APE_INT) .......................................................................................................................20 8.3.1 Hedefler ........................................................................................................................................20 8.3.2 APE_INT.1 Koruma Profili, PP tanıtımı, Değerlendirme gereksinimleri ....................................20

8.4 Güvenlik hedefleri (APE_OBJ) ...........................................................................................................21 8.4.1 Hedefler ........................................................................................................................................21 8.4.2 APE_OBJ.1 Koruma Profili, Güvenlik hedefleri, Değerlendirme gereksinimleri .......................21

8.5 Bilgi teknolojisi güvenlik gereksinimleri (APE_REQ)..........................................................................22 8.5.1 Hedefler ........................................................................................................................................22 8.5.2 Uygulama notları ..........................................................................................................................22 8.5.3 APE_REQ.1 Koruma Profili, Bilgi teknolojisi güvenlik gereksinimleri, Değerlendirme gereksinimleri ...........................................................................................................................23

8.6 Açıkça belirtilen IT güvenlik gereksinimleri (APE_SRE) ....................................................................24 8.6.1 Hedefler ........................................................................................................................................24 8.6.2 Uygulama notları ..........................................................................................................................25 8.6.3 APE_SRE.1 Koruma Profili, Açıkça belirtilen IT güvenlik gereksinimleri, Değerlendirme gereksinimleri ............................................................................................................................25

9 ASE Sınıfı: Güvenlik Hedefi değerlendirmesi .......................................................................................26 9.1 TOE tarifi (ASE_DES) ........................................................................................................................27

9.1.1 Hedefler ........................................................................................................................................27 9.1.2 ASE_DES.1 Güvenlik Hedefi, TOE tarifi, Değerlendirme gereksinimleri .....................................27

9.2 Güvenlik ortamı (ASE_ENV) ..............................................................................................................27 9.2.1 Hedefler ........................................................................................................................................27 9.2.2 ASE_ENV.1 Güvenlik Hedefi, Güvenlik ortamı, Değerlendirme gereksinimleri ...........................27

9.3 ST tanıtımı (ASE_INT) .......................................................................................................................28 9.3.1 Hedefler ........................................................................................................................................28 9.3.2 ASE_INT.1 Güvenlik Hedefi, ST tanıtımı, Değerlendirme gereksinimleri...................................28

9.4 Güvenlik hedefleri (ASE_OBJ) ...........................................................................................................29 9.4.1 Hedefler ........................................................................................................................................29 9.4.2 ASE_OBJ.1 Güvenlik Hedefi, Güvenlik hedefleri, Değerlendirme gereksinimleri ....................29

9.5 PP iddiaları (ASE_PPC) .....................................................................................................................30 9.5.1 Hedefler ........................................................................................................................................30 9.5.2 Uygulama notları ..........................................................................................................................30 9.5.3 ASE_PPC.1 Güvenlik Hedefi, PP iddiaları, Değerlendirme gereksinimleri .................................30

9.6 Bilgi teknolojisi güvenlik gereksinimleri (ASE_REQ)..........................................................................31 9.6.1 Hedefler ........................................................................................................................................31 9.6.2 Uygulama notları ..........................................................................................................................31 9.6.3 ASE_REQ.1 Güvenlik Hedefi, Bilgi teknolojisi güvenlik gereksinimleri, Değerlendirme gereksinimleri .........................................................................................................................32

9.7 Açıkça belirtilen IT güvenlik gereksinimleri (ASE_SRE) ....................................................................33 9.7.1 Hedefler ........................................................................................................................................33 9.7.2 Uygulama notları ..........................................................................................................................33 9.7.3 ASE_SRE.1 Güvenlik Hedefi, Açıkça belirtilen IT güvenlik gereksinimleri, Değerlendirme gereksinimleri .............................................................................................................................34

9.8 TOE özet belirtimi (ASE_TSS) ...........................................................................................................35 9.8.1 Hedefler ........................................................................................................................................35 9.8.2 Uygulama notları ..........................................................................................................................35 9.8.3 ASE_TSS.1 Güvenlik Hedefi, TOE özet belirtimi, Değerlendirme gereksinimleri ......................35

10 Değerlendirme garanti düzeyleri ....................................................................................................36 10.1 Değerlendirme garanti düzeyine (EAL) genel bakış...................................................................37 10.2 Değerlendirme garanti düzeyi ayrıntıları ....................................................................................38


10.3 Değerlendirme garanti düzeyi 1 (EAL1) - fonksiyonel olarak test edilmiş ........................................39 10.3.1 Hedefler ......................................................................................................................................39 10.3.2 Garanti bileşenleri ......................................................................................................................39

10.4 Değerlendirme garanti düzeyi 2 (EAL2) - yapısal olarak test edilmiş ...............................................39 10.4.1 Hedefler ......................................................................................................................................39 10.4.2 Garanti bileşenleri ......................................................................................................................39

10.5 Değerlendirme garanti düzeyi 3 (EAL3) - metodik olarak test ve kontrol edilmiş .............................40 10.5.1 Hedefler ......................................................................................................................................40 10.5.2 Garanti bileşenleri ......................................................................................................................40

10.6 Değerlendirme garanti düzeyi 4 (EAL4) - metodik olarak tasarlanmış, test edilmiş ve gözden geçirilmiş ...................................................................................................................................................41

10.6.2 Hedefler ......................................................................................................................................41 10.6.3 Garanti Bileşenleri ......................................................................................................................41

10.7 Değerlendirme garanti düzeyi 5 (EAL5 - yarı biçimsel olarak tasarlanmış ve test edilmiş ...............42 10.7.1 Hedefler ......................................................................................................................................42 10.7.2 Garanti bileşenleri ......................................................................................................................43

10.8 Değerlendirme garanti düzeyi 6 (EAL6) - yarı biçimsel olarak doğrulanmış tasarım ve test edilmiş44 10.8.1 Hedefler ......................................................................................................................................44 10.8.2 Garanti bileşenleri ......................................................................................................................44 10.9 Değerlendirme garanti düzeyi 7 (EAL7) - biçimsel olarak doğrulanmış tasarım ve test edilmiş46 10.9.1 Hedefler ......................................................................................................................................46 10.9.2 Garanti bileşenleri ......................................................................................................................46

11 Garanti sınıfları, aileleri ve bileşenleri ...........................................................................................48 12 ACM Sınıfı: Yapılandırma yönetimi ................................................................................................48

12.1 CM otomasyonu (ACM_AUT).....................................................................................................48 12.1.1 Hedefler ......................................................................................................................................48 12.1.2 Bileşen düzeyini belirleme..........................................................................................................48 12.1.3 Uygulama notları ........................................................................................................................48 12.1.4 ACM_AUT.1 Kısmi CM otomasyonu ..........................................................................................48 12.1.5 ACM_AUT.2 Bütün CM otomasyonu ..........................................................................................49

12.2 CM yetenekleri (ACM_CAP).......................................................................................................50 12.2.1 Hedefler ......................................................................................................................................50 12.2.2 Bileşen düzeyini belirleme..........................................................................................................51 12.2.3 Uygulama notları ........................................................................................................................51 12.2.4 ACM_CAP.1 Sürüm numaraları..................................................................................................51 12.2.5 ACM_CAP.2 Yapılandırma öğeleri..............................................................................................52 12.2.6 ACM_CAP.3 Yetkilendirme kontrolleri ........................................................................................53 12.2.7 ACM_CAP.4 Üretim desteği ve kabul prosedürleri.....................................................................54 12.2.8 ACM_CAP.5 Gelişmiş destek .....................................................................................................56

12.3 CM kapsamı (ACM_SCP)...........................................................................................................58 12.3.1 Hedefler ......................................................................................................................................58 12.3.2 Bileşen düzeyini belirleme..........................................................................................................59 12.3.3 Uygulama notları ........................................................................................................................59 12.3.4 ACM_SCP.1 TOE CM kapsamı ..................................................................................................59 12.3.5 ACM_SCP.2 Sorun çözme CM kapsamı ....................................................................................60 12.3.6 ACM_SCP.3 Geliştirme araçları CM kapsamı ............................................................................60

13 ADO Sınıfı: Teslim ve çalışma ........................................................................................................61 13.1 Teslim (ADO_DEL).....................................................................................................................61

13.1.1 Hedefler ......................................................................................................................................61 13.1.2 Bileşen düzeyini belirleme..........................................................................................................61 13.1.3 Uygulama notları ........................................................................................................................61 13.1.4 ADO_DEL.1 Teslim prosedürleri .............................................................................................62 13.1.5 ADO_DEL.2 Değişikliğin tespiti...............................................................................................62 13.1.6 ADO_DEL.3 Değişikliğin önlenmesi ...........................................................................................63

13.2 Kurulum, üretim ve başlatma (ADO_IGS) ..................................................................................63 13.2.1 Hedefler ......................................................................................................................................63 13.2.2 Bileşen düzeyini belirleme..........................................................................................................63 13.2.3 Uygulama notları ........................................................................................................................64 13.2.4 ADO_IGS.1 Kurulum, üretim ve başlatma prosedürleri ..........................................................64 13.2.5 ADO_IGS.2 Üretim kütüğü......................................................................................................64

14 ADV Sınıfı: Geliştirme......................................................................................................................65 14.1 Fonksiyonel belirtim (ADV_FSP)................................................................................................68


14.1.1 Hedefler ......................................................................................................................................68 14.1.2 Bileşen düzeyini belirleme..........................................................................................................68 14.1.3 Uygulama notları ........................................................................................................................69 14.1.4 ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim ................................................................69 14.1.5 ADV_FSP.2 Bütünüyle tanımlanmış dış arayüzler .....................................................................70 14.1.6 ADV_FSP.3 Yarı biçimsel fonksiyonel belirtim ...........................................................................70 14.1.7 ADV_FSP.4 Biçimsel fonksiyonel belirtim ..................................................................................71

14.2 Yüksek düzeyde tasarım (ADV_HLD) ........................................................................................72 14.2.1 Hedefler ......................................................................................................................................72 14.2.2 Bileşen düzeyini belirleme..........................................................................................................72 14.2.3 Uygulama notları ........................................................................................................................72 14.2.4 ADV_HLD.1 Tarif edici yüksek düzeyde tasarım........................................................................73 14.2.5 ADV_HLD.2 Güvenliği uygulayan yüksek düzeyde tasarım ......................................................74 14.2.6 ADV_HLD.3 Yarı biçimsel yüksek düzeyde tasarım...................................................................75 14.2.7 ADV_HLD.4 Yarı biçimsel yüksek düzeyde açıklama ................................................................76 14.2.8 ADV_HLD.5 Biçimsel yüksek düzeyde tasarım..........................................................................77

14.3 Uygulamanın temsili (ADV_IMP)................................................................................................79 14.3.1 Hedefler ......................................................................................................................................79 14.3.2 Bileşen düzeyini belirleme..........................................................................................................79 14.3.3 Uygulama notları ........................................................................................................................79 14.3.4 ADV_IMP.1 TSF’nin uygulanmasının alt kümesi ........................................................................79 14.3.5 ADV_IMP.2 TSF’nin uygulanması ..............................................................................................80 14.3.6 ADV_IMP.3 TSF'nin organize bir şekilde uygulanması ..............................................................81

14.4 TSF iç yapısı (ADV_INT) ............................................................................................................82 14.4.1 Hedefler ......................................................................................................................................82 14.4.2 Bileşen düzeyini belirleme..........................................................................................................82 14.4.3 Uygulama notları ........................................................................................................................82

14.4.4 ADV_INT.1 Modülerlik ...............................................................................................................83 14.4.5 ADV_INT.2 Karmaşıklığın azaltılması ........................................................................................83 14.4.6 ADV_INT.3 Karmaşıklığın azaltılması ........................................................................................85

14.5 Düşük düzeyde tasarım (ADV_LLD) ..........................................................................................86 14.5.1 Hedefler ......................................................................................................................................86 14.5.2 Bileşen düzeyini belirleme..........................................................................................................86 14.5.3 Uygulama notları ........................................................................................................................87 14.5.4 ADV_LLD.1 Tarif edici düşük düzeyde tasarım..........................................................................87 14.5.5 ADV_LLD.2 Yarı biçimsel düşük düzeyde tasarım.....................................................................88 14.5.6 ADV_LLD.3 Biçimsel düşük düzeyde tasarım............................................................................89

14.6 Temsilin karşılık gelmesi (ADV_RCR)........................................................................................91 14.6.1 Hedefler ......................................................................................................................................91 14.6.2 Bileşen düzeyini belirleme..........................................................................................................91 14.6.3 Uygulama notları ........................................................................................................................91 14.6.4 ADV_RCR.1 Biçimsel olmayan karşılık gelmenin gösterilmesi..................................................91 14.6.5 ADV_RCR.2 Yarı biçimsel karşılık gelmenin gösterilmesi..........................................................92 14.6.6 ADV_RCR.3 Biçimsel karşılık gelmenin gösterilmesi ................................................................92

14.7 Güvenlik politikası modellemesi (ADV_SPM).............................................................................93 14.7.1 Hedefler ......................................................................................................................................93 14.7.2 Bileşen düzeyini belirleme..........................................................................................................93 14.7.3 Uygulama notları ........................................................................................................................93 14.7.4 ADV_SPM.1 Biçimsel olmayan TOE güvenlik politikası modeli.................................................94 14.7.5 ADV_SPM.2 Yarı biçimsel TOE güvenlik politikası modeli.........................................................94 14.7.6 ADV_SPM.3 Biçimsel TOE güvenlik politikası modeli................................................................95

15 AGD Sınıfı: Kılavuz belgeler ...........................................................................................................96 15.1 Yönetici kılavuzu (AGD_ADM) ...................................................................................................97

15.1.1 Hedefler ......................................................................................................................................97 15.1.2 Bileşen düzeyini belirleme..........................................................................................................97 15.1.3 Uygulama notları ........................................................................................................................97 15.1.4 AGD_ADM.1 Yönetici kılavuzu...................................................................................................97

15.2 Kullanıcı kılavuzu (AGD_USR)...................................................................................................98 15.2.1 Hedefler ......................................................................................................................................98 15.2.2 Bileşen düzeyini belirleme..........................................................................................................98 15.2.3 Uygulama notları ........................................................................................................................98 15.2.4 AGD_USR.1 Kullanıcı kılavuzu ..................................................................................................98


16 ALC Sınıfı: Kullanım ömrü desteği.................................................................................................99 16.1 Geliştirme güvenliği (ALC_DVS) ............................................................................................. 100

16.1.1 Hedefler ................................................................................................................................... 100 16.1.2 Bileşen düzeyini belirleme....................................................................................................... 100 16.1.3 Uygulama notları ..................................................................................................................... 100 16.1.4 ALV_DVS.1 Güvenlik önlemlerinin belirlenmesi...................................................................... 100 16.1.5 ALC_DVS.2 Güvenlik önlemlerinin yeterliliği........................................................................... 100

16.2 Hata düzeltme (ALC_FLR) ...................................................................................................... 101 16.2.1 Hedefler ................................................................................................................................... 101 16.2.2 Bileşen düzeyini belirleme....................................................................................................... 101 16.2.3 Uygulama notları ..................................................................................................................... 101 16.2.4 ALC_FLR.1 Temel hata düzeltme............................................................................................ 102 16.2.5 ALC_FLR.2 Hata bildirme prosedürleri ................................................................................... 102 16.2.6 ALC_FLR.3 Sistemli hata düzeltme ........................................................................................ 103

16.3 Kullanım ömrü tanımı (ALC_LCD)........................................................................................... 105 16.3.1 Hedefler ................................................................................................................................... 105 16.3.2 Bileşen düzeyini belirleme....................................................................................................... 105 16.3.3 Uygulama notları ..................................................................................................................... 105 16.3.4 ALC_LCD.1 Geliştiricinin tarif ettiği kullanım ömrü modeli...................................................... 106 16.3.5 ALC_LCD.2 Standardlaştırılmış kullanım ömrü modeli ........................................................... 106 16.3.6 ALC_LCD.3 Ölçülebilir kullanım ömrü modeli ......................................................................... 107

16.4 Araçlar ve teknikler (ALC_TAT)............................................................................................... 108 16.4.1 Hedefler ................................................................................................................................... 108 16.4.2 Bileşen düzeyini belirleme....................................................................................................... 108 16.4.3 Uygulama notları ..................................................................................................................... 108 16.4.4 ALC_TAT.1 İyi tanımlanmış geliştirme araçları ........................................................................ 109 16.4.5 ALC_TAT.2 Uygulama standardlarına uyum ........................................................................ 109 16.4.6 ALC_TAT.3 Uygulama standardlarına uyum - bütün bölümler .................................................110

17 ATE Sınıfı: Testler......................................................................................................................... 111 17.1 Kapsam (ATE_COV) ............................................................................................................... 111

17.1.1 Hedefler .................................................................................................................................... 111 17.1.2 Bileşen düzeyini belirleme........................................................................................................ 111 17.1.3 ATE_COV.1 Kapsam kanıtı ......................................................................................................112 17.1.4 ATE_COV.2 Kapsamın incelenmesi .........................................................................................112 17.1.5 ATE_COV.3 Kapsamın ayrıntılı incelemesi ..............................................................................113

17.2 Derinlik (ATE_DPT) ................................................................................................................. 114 17.2.1 Hedefler ....................................................................................................................................114 17.2.2 Bileşen düzeyini belirleme........................................................................................................114 17.2.3 Uygulama notları ......................................................................................................................114 17.2.4 ATE_DPT.1 Test: yüksek düzeyde tasarım...............................................................................114 17.2.5 ATE_DPT.2 Test: düşük düzeyde tasarım ................................................................................115 17.2.6 ATE_DPT.3 Test: uygulama temsili...........................................................................................116

17.3 Fonksiyonel testler (ATE_FUN)............................................................................................... 117 17.3.1 Hedefler ....................................................................................................................................117 17.3.2 Bileşen düzeyini belirleme........................................................................................................117 17.3.3 Uygulama notları ......................................................................................................................117 17.3.4 ATE_FUN.1 Fonksiyonel test ...................................................................................................117 17.3.5 ATE_FUN.2 Sıralı fonksiyonel test ...........................................................................................118

17.4 Bağımsız test (ADE_IND)........................................................................................................ 119 17.4.1 Hedefler ....................................................................................................................................119 17.4.2 Bileşen düzeyini belirleme........................................................................................................119 17.4.3 Uygulama notları ......................................................................................................................119 17.4.4 ATE_IND.1 Bağımsız test - uygunluk ..................................................................................... 120 17.4.5 ATE_IND.2 Bağımsız test - örnek .......................................................................................... 121 17.4.6 ATE_IND.3 Bağımsız test - bütün ........................................................................................... 122

18 AVA Sınıfı: Açıklık değerlendirmesi............................................................................................ 123 18.1 Örtülü kanal incelemesi (AVA_CCA)....................................................................................... 123

18.1.1 Hedefler ................................................................................................................................... 123 18.1.2 Bileşen düzeyini belirleme....................................................................................................... 124 18.1.3 Uygulama notları ..................................................................................................................... 124 18.1.4 AVA_CCA Örtülü kanal incelemesi .......................................................................................... 124 18.1.5 AVA_CCA.2 Sistemli örtülü kanal incelemesi.......................................................................... 125


18.1.6 AVA_CCA.3 Tüketici örtülü kanal incelemesi .......................................................................... 126 18.2 Yanlış kullanım (AVA_MSU).................................................................................................... 127

18.2.1 Hedefler ................................................................................................................................... 127 18.2.2 Bileşen düzeyini belirleme....................................................................................................... 128 18.2.3 Uygulama notları ..................................................................................................................... 128 18.2.4 AVA_MSU.1 Kılavuz bilgilerin incelenmesi.............................................................................. 128 18.2.5 AVA_MSU.2 İncelemenin kanıtlanması ................................................................................... 129 18.2.6 AVA_MSU.3 Güvenli olmayan durumlar için inceleme ve test ................................................ 130

18.3 TOE güvenlik fonksiyonlarının gücü (AVA_SOF).................................................................... 132 18.3.1 Hedefler ................................................................................................................................... 132 18.3.2 Bileşen düzeyini belirleme....................................................................................................... 132 18.3.3 Uygulama notları ..................................................................................................................... 132 18.3.4 AVA_SOF.1 TOE güvenlik fonksiyonu gücü değerlendirmesi ................................................. 132

18.4 Açıklık incelemesi (AVA_VLA)................................................................................................. 133 18.4.1 Hedefler ................................................................................................................................... 133 18.4.2 Bileşen düzeyini belirleme....................................................................................................... 133 18.4.3 Uygulama notları ..................................................................................................................... 133 18.4.4 AVA_VLA.1 Geliştirici açıklık incelemesi ................................................................................. 134 18.4.5 AVA_VLA.2 Bağımsız açıklık incelemesi................................................................................. 134 18.4.6 AVA_VLA.3 Orta derecede dirençli.......................................................................................... 135 18.4.7 AVA_VLA.4 Yüksek derecede dirençli..................................................................................... 137

Ek A - Garanti bileşeni bağımlılıklarının referansı................................................................................ 139 Ek B - EAL'ler ve garanti bileşenleri referans çizelgesi....................................................................... 144


1

Bilgi teknolojisi - Güvenlik teknikleri - Bilgi teknolojisi (IT) güvenliği için değerlendirme kriterleri - Bölüm 3: Güvenlik garanti gereksinimleri

0 Giriş Bu standardda tanımlanan güvenlik garanti gereksinimleri, bir Koruma Profili (PP) ya da Güvenlik Hedefi'nde (ST) ifade edilen güvenlik garanti gereksinimlerinin temelini oluşturmaktadır. Bu gereksinimler TOE’ler için garanti gereksinimlerini ifade etmenin standard bir yolunu ifade etmektedirler. Bu standard garanti bileşenleri, aileleri ve sınıfları kümesini kataloglandırmaktadır. Bu standard ayrıca PP’ler ve ST'ler için değerlendirme kriterleri tanımlamakta ve Değerlendirme Garanti Düzeyleri (EAL'ler) olarak adlandırılan, TOE’lerde garantiyi derecelendirmek için önceden tanımlanmış ISO/IEC 15408 ölçeği tanımlayan değerlendirme garanti düzeylerini sunmaktadır. Bu standardın hedef kitlesi, IT sistemleri ve ürünleri kullanıcıları, geliştiricileri ve değerlendiricilerini içermektedir. ISO/IEC 15408-1 Madde 5'te ISO/IEC 15408'in hedef kitlesi ve ISO/IEC 15408'in hedef kitleyi oluşturan gruplar tarafından kullanımıyla ilgili ek bilgi sunulmaktadır. Bu gruplar bu standardı aşağıdaki şekilde kullanabilir: a) Bu standardı, bir PP ya da ST'de ifade edilen güvenlik amaçlarını karşılayan fonksiyonel

gereksinimleri ifade eden bileşenleri seçerken kullanan kullanıcılar. ISO/IEC 15408-1 Madde 5.3, güvenlik amaçlarıyla güvenlik gereksinimleri arasındaki ilişki hakkında daha ayrıntılı bilgi sunmaktadır.

b) Bir TOE oluştururken gerçek ya da algılanan kullanıcı güvenliği gereksinimlerine tepki veren

geliştiriciler, bu gereksinimleri anlamak için standardlaştırılmış bir yöntemi bu standardda bulabilir. Ayrıca bu standardın içeriğini, bu gereksinimlere uygun TOE güvenlik fonksiyonları ve mekanizmalarını tanımlamak için de temel alabilirler.

c) Bu standardda tanımlanan fonksiyonel gereksinimler, PP ya da ST'de ifade edilen TOE fonksiyonel

gereksinimlerinin, IT güvenlik amaçlarını karşıladığını ve bütün bağımlılıkların dikkate alındığını ve bunların karşılandığının gösterilmiş olduğunu doğrulamakta kullanan değerlendiriciler. Değerlendiriciler ayrıca bu standardı belirli bir TOE'nin ifade edilen gereksinimleri karşılayıp karşılamadığını belirlemekte yardımcı olarak kullanmalıdır.

1 Kapsam Bu standard, ISO/IEC 15408’in garanti gereksinimlerini kapsar. Garantinin ölçülmesi için bir ölçek tanımlayan değerlendirme garanti düzeylerini (EAL'ler), garanti düzeylerini oluşturan ayrı ayrı garanti bileşenleri ve Koruma Profilleri (PP’ler) ile Güvenlik Hedeflerinin (ST’ler) değerlendirilmesi için kriterleri kapsar. 2 Atıf yapılan standardlar ve/veya dokümanlar Aşağıda verilen, atıf yapılan standardların hükümleri bu standardın hükümleri sayılır. Tarih belirtilen atıflarda, daha sonra yapılan tadil ve revizyonlar uygulanmaz. Bununla birlikte, bu standarda dayalı anlaşmalarda taraflara, aşağıda verilen standardların en yeni baskılarını uygulama imkanını araştırmaları önerilir. Tarih belirtilmeyen atıflarda, ilgili standardın en son baskısı kullanılır. Bütün standardların yürürlükte bulunan baskıları TSE’den temin edilebilir.

EN, ISO, IEC vb. No.

Adı (İngilizce)

TS No1) Adı (Türkçe)

ISO/IEC 15408-1

Information technology - Security techniques - Evaluation criteria for IT security Part 1: Introduction and general model

TS ISO/IEC 15408-1

Bilgi teknolojisi - Güvenlik teknikleri - Bilgi teknolojisi (IT) güvenliği için değerlendirme kriterleri - Bölüm 1: Giriş ve genel model

1) TSE Notu: Atıf yapılan standardların TS numarası ve Türkçe adı 3. ve 4. kolonda verilmiştir. ∗ işaretli olanlar İngilizce metin olarak basılan Türk Standardlarıdır.


2

3 Terimler, tarifler, semboller ve kısaltmalar Bu standardın amaçları bakımından, ISO/IEC 15408-1’de verilen terimler, tarifler, semboller ve kısaltmalar uygulanır. 4 Genel bakış 4.1 Bu standardın (Ortak Kriterler (CC) Bölüm 3) yapısı Madde 5, bu standarddaki güvenlik garanti gereksinimlerinde kullanılan paradigmayı açıklamaktadır. Madde 6, garanti sınıfları, aileleri, bileşenleri ve değerlendirme garanti düzeylerinin sunuş yapısını bunların ilişkileriyle birlikte tarif etmektedir. Ayrıca, Madde 12 ila Madde 18'de bulunan garanti sınıfları ve ailelerini de tarif etmektedir. Madde 7, Madde 8 ve Madde 9, PP'ler ve ST'ler için değerlendirme kriterlerine kısa bir giriş sunmaktadır ve ardından da bu değerlendirmelerde kullanılan aileler ve bileşenlerin açıklamaları yer almaktadır. Madde 10, EAL'lerin ayrıntılı tariflerini sunmaktadır. Madde 11, garanti sınıflarına kısa bir giriş sağlamaktadır ve onu bu sınıflarla ilgili ayrıntılı tanımlar sunan Madde 12 ila Madde 18 izlemektedir. Ek A, garanti bileşenleri arasında bağımlılıkların bir özetini sunmaktadır. Ek B, EAL'ler ve garanti bileşenleri arasındaki referansları sunmaktadır. 5 Ortak Kriterlerin (CC) garanti paradigması Bu maddenin amacı garanti konusundaki CC yaklaşımını oluşturan felsefeyi belgelemektir. Bu maddenin anlaşılması okurun CC Bölüm 3 garanti gereksinimlerinin arkasındaki gerekçeyi anlamasına olanak tanıyacaktır. 5.1 Ortak Kriterlerin (CC) felsefesi CC felsefesi, güvenlik ve kurumsal güvenlik politikası taahhütlerine yönelik tehditlerin açık bir şekilde bir araya getirilmesi ve önerilen güvenlik önlemlerinin amaçlandıkları hedef için gözle görülür bir yeterliliğe sahip olmasıdır.

Dahası, açıklıkların oluşmasını, bir açıklığın kullanılması yeteneğini (yani, isteyerek kötüye kullanma ya da istemeyerek tetikleme) ve bir açıklığın kullanılmasıyla oluşabilecek zararın kapsamını azaltacak önlemler alınmalıdır. Buna ek olarak, açıklıkların sonradan belirlenebilmesine ve kullanılan ya da tetiklenen bir açıklığın ortadan kaldırılması, azaltılması ve/veya bununla ilgili uyarı yapılmasına olanak tanıyan önlemler kullanılmalıdır.

5.2 Garanti yaklaşımı CC felsefesi, güvenilecek bilgi teknolojisi ürünü ya da sisteminin bir değerlendirmesine (aktif olarak araştırılmasına) dayanan bir garanti sağlamaktır. Değerlendirme, garanti sağlamanın geleneksel yöntemlerinden biri olmuştur ve önceki değerlendirme kriterleri belgelerinin temelini oluşturmaktadır. Mevcut yaklaşımları bir araya getirerek CC de aynı felsefeyi benimsemektedir. CC, belgelerin ve buna bağlı olarak oluşan bilgi teknolojisi ürünü ya da sisteminin geçerliliğinin, uzman değerlendiriciler tarafından kapsam, derinlik ve kesinlik bakımlarından gittikçe artan bir vurguyla ölçülmesini önermektedir.

CC diğer yollardan garanti sağlanmasının kendine göre avantajlarını dışlamamakta ve bununla ilgili yorumda bulunmamaktadır. Farklı yöntemlerle garanti sağlanması için araştırmalar sürmektedir. Bu araştırma etkinliklerinden olgunlaşmış farklı yaklaşımlar ortaya çıktıkça, bunlar da CC'nin kapsamı içine alınmak üzere ele alınacaktır ve CC de zaten gelecekte bunların eklenmesine olanak tanıyacak bir yapıya sahiptir.

5.2.1 Açıklıkların önemi Güvenlik politikalarını hem yasadışı amaçlar hem de iyi niyetli ama yine de güvenliği bozan eylemlerle çiğnemek amacıyla fırsatları kullanmak için aktif olarak çaba gösterecek tehdit kaynakları bulunduğu kabul edilmektedir. Tehdit kaynakları ayrıca kazara güvenlik açıklıklarını tetikleyerek kuruma zarar verebilir. Hassas bilgilerin işlenmesi ihtiyacı ve yeterince güvenilir ürün ya da sistemlerin bulunmaması nedeniyle, bilgi teknolojisinin görevini yerine getirememesi nedeniyle önemli bir risk bulunmaktadır. Bu nedenle, bilgi teknolojisi güvenlik ihlallerinin önemli kayıplara neden olması mümkündür.


3

Bilgi teknolojisi güvenlik ihlalleri, bilgi teknolojisinin iş ortamlarındaki uygulamasında açıklıkların bilerek kötüye kullanılması ya da bilmeden tetiklenmesiyle oluşmaktadır. Bilgi teknolojisi ürünleri ve sistemlerinde oluşan açıklıkların önlenmesi için adım atılmalıdır. Açıklıklar mümkün olduğunca: a) Ortadan kaldırılmalıdır; yani, bütün kullanılabilir açıklıkları göstermek ve ortadan kaldırmak ya da etkisiz

hale getirmek için aktif adımlar atılmalıdır, b) En aza indirilmelidir; yani, bir açıklığın herhangi bir kullanımının potansiyel etkisini kabul edilebilir, düşük

bir düzeye indirmek için aktif adımlar atılmalıdır, c) Gözlenmelidir; yani, küçük bir açıklığın kullanılmasına yönelik herhangi bir deneme belirlenebilmeli ve

böylece hasarın sınırlandırılması için adım atılabilmelidir. 5.2.2 Açıklıkların nedeni Açıklıklar aşağıdaki alanlardaki sorunlardan kaynaklanabilmektedir: a) Gereksinimler; yani, bir bilgi teknolojisi ürünü ya da sistemi kendisinden istenen bütün fonksiyonlara ve

özelliklere sahip olabilir ama yine de kendisini güvenlik açısından uygunsuz ya da etkisiz duruma getiren açıklıklar içerebilir.

b) Yapı; yani, bir bilgi teknolojisi ürünü ya da sistemi, belirtimlerine (spesifikasyonlarına) uygun değildir ve/veya kötü üretim standardları ya da yanlış tasarım seçimleri nedeniyle açıklıklar oluşmuştur.

c) Çalışma; yani, bir bilgi teknolojisi ürünü ya da sistemi doğru bir belirtime uygun olarak doğru bir şekilde üretilmiştir ama çalışmayla ilgili yetersiz kontroller nedeniyle açıklıklar oluşmuştur.

5.2.3 CC garantisi Garanti, bir bilgi teknolojisi ürünü ya da sisteminin güvenlik hedeflerine uyduğuna inanılmasını sağlayan temeldir. Garanti, temelsiz iddialar, konuyla ilgili önceki deneyim ya da belirli bir deneyimden yola çıkarak elde edilebilir. Ama, CC, aktif araştırma yoluyla garanti sağlamaktadır. Aktif araştırma, güvenlik özelliklerini belirlemek amacıyla bir bilgi teknolojisi ürünü ya da sisteminin değerlendirilmesidir. 5.2.4 Değerlendirme yoluyla garanti Değerlendirme, garanti sağlanması için geleneksel yol olmuştur ve CC yaklaşımının da temelini oluşturmaktadır. Değerlendirme teknikleri, herhangi bir sınırlama getirmeksizin, aşağıdakileri içerebilir: a) İşlem ve prosedürlerin incelenmesi ve kontrolü, b) İşlemler ve prosedürlerin uygulanıp uygulanmadığının kontrolü, c) TOE tasarım temsilleri arasındaki karşılıklılığın incelenmesi, d) TOE tasarım temsilinin gereksinimlere göre incelenmesi, e) Kanıtların doğrulanması, f) Kılavuz belgelerin incelenmesi, g) Geliştirilen fonksiyonel testlerin ve elde edilen sonuçların incelenmesi, h) Bağımsız fonksiyonel test, i) Açıklıkların incelenmesi (hata hipotezleri de dahil), j) Sızma testi. 5.3 CC değerlendirme garanti ölçeği CC felsefesi daha fazla garantinin daha fazla değerlendirme çalışmasıyla sağlanabileceğini ve hedefin, gerekli garanti düzeyini sağlamak için en az çabayı göstermek olduğunu belirtmektedir. Artan çaba düzeyi şunlara bağlıdır: a) Kapsam; yani daha fazla çaba gerekmektedir çünkü bilgi teknolojisi ürün ya da sisteminin daha büyük bir

bölümü incelenmektedir b) Derinlik; yani, daha fazla çaba gerekmektedir çünkü daha ayrıntılı bir tasarım ve uygulama ayrıntısına

ulaşmaktadır c) Kesinlik; yani, daha fazla çaba gerektirmektedir çünkü daha organize, biçimsel bir şekilde

uygulanmaktadır.


4

6 Güvenlik garanti gereksinimleri 6.1 Yapılar Aşağıdaki alt maddeler garanti sınıfları, aileleri, bileşenleri ve EAL'leri temsil etmekte kullanılan yapıları ve bunlar arasındaki ilişkileri açıklamaktadır. Şekil 1'de bu standardda tarif edilen garanti gereksinimleri açıklanmaktadır. Garanti gereksinimlerinin en soyut topluluğuna sınıf adı verildiğine dikkatinizi çekeriz. Her bir sınıf garanti ailelerini içermekte ve bunlar da garanti bileşenlerini içermektedir, bunlar da garanti elemanlarını içermektedir. Sınıflar ve aileler, garanti gereksinimlerinin sınıflandırılması için bir sınıflandırma sağlamaktadır ve bileşenler de bir PP/ST'deki garanti gereksinimlerini belirtmek için kullanılmaktadır. 6.1.1 Sınıf yapısı Şekil 1'de garanti sınıfının yapısı gösterilmektedir. 6.1.1.1 Sınıf adı Her bir garanti sınıfına ayrı bir isim verilmektedir. Bu isim, garanti sınıfının kapsadığı konuları göstermektedir. Garanti sınıfının adı için benzersiz bir kısaltma da verilmektedir. Bu da belirli bir garanti sınıfına atıfta bulunmak için temel yoldur. Burada kullanılan yöntem bir "A" ve ardından sınıf adıyla ilgili iki harfin gelmesidir. 6.1.1.2 Sınıf tanıtımı Her bir garanti sınıfı, o sınıfın yapısını açıklayan ve sınıfın amacıyla ilgili destekleyici metinler içeren bir tanıtıcı alt maddeye sahiptir. 6.1.1.3 Garanti aileleri Her bir garanti sınıfı en az bir garanti sınıfı içermektedir. Garanti ailelerinin yapısı aşağıdaki alt maddede açıklanmaktadır.


5

Ortak kriterler garanti gereksinimleri

Şekil 1 - Garanti sınıfı/ailesi/bileşeni/elemanı hiyerarşisi 6.1.2 Garanti ailesinin yapısı Şekil 1 garanti ailesinin yapısını göstermektedir. 6.1.2.1 Aile adı Her garanti ailesine benzersiz bir isim verilmiştir. Bu isim, garanti ailesinin kapsadığı konular hakkında tanımlayıcı bilgi sağlamaktadır. Her bir garanti ailesi, aynı amaca yönelik diğer aileleri içeren garanti sınıfının içinde yer almaktadır. Garanti ailesi adının benzersiz bir kısaltması da verilmiştir. Bu, garanti ailesine atıfta bulunmak için kullanılan temel yoldur. Burada kullanılan yöntem sınıf adının kısaltmasının ardından bir alt çizgi ve ardından da aile adıyla ilgili üç harfin kullanılmasıdır.

Garanti sınıfı

Sınıf adı

Sınıf tanıtımı

Garanti ailesi

Aile adı

Hedefler

Bileşen düzeyini belirleme

Uygulama notları

Garanti bileşeni

Bileşen tanımı

Hedefler

Uygulama notları

Bağımlılıklar

Garanti öğesi


6

6.1.2.2 Hedefler Garanti ailesinin hedefler alt maddesi garanti ailesinin amacını sunmaktadır. Bu alt madde, ailenin yönelik olduğu hedefleri, özellikle de CC garanti paradigmasıyla ilgili olanları tarif etmektedir. Garanti ailesi için tarif genel bir düzeyde tutulmaktadır. Hedeflerle ilgili gerekli özel ayrıntılar her bir garanti bileşeninin içinde yer almaktadır. 6.1.2.3 Bileşen düzeyi Her bir garanti ailesi bir ya da daha fazla garanti bileşenine sahiptir. Garanti ailesinin bu alt maddesi kullanılabilir bileşenleri tarif etmekte ve bunlar arasında farkları açıklamaktadır. Temel amacı, garanti ailesinin bir PP/ST için garanti gereksinimlerinin gerekli ya da kullanışlı bir parçası olduğu belirlendikten sonra garanti bileşenleri arasındaki farkları belirtmektir. Birden fazla bileşen içeren garanti aileleri aynı düzeye getirilir ve bileşenlerin nasıl aynı düzeye getirildiğiyle ilgili bir gerekçe belirtilir. Bu gerekçe, kapsam, derinlik ve/veya ayrıntı bakımındandır. 6.1.2.4 Uygulama notları Garanti ailesinin uygulama notları alt maddesi, varsa, garanti ailesiyle ilgili ek bilgi içermektedir. Bu bilgi özellikle garanti ailesinin kullanıcılarının ilgisini çekecektir (örneğin, PP ve ST yazarları, TOE tasarımcıları, değerlendiriciler). Bu sunum biçimsel değildir ve, örneğin, kullanım sınırlamalarıyla ve özel bir dikkat gösterilmesi gereken alanlarla ilgili uyarıları kapsamaktadır. 6.1.2.5 Garanti bileşenleri Her garanti ailesinde en az bir garanti bileşimi bulunur. Garanti bileşenlerinin yapısı aşağıdaki alt maddede sunulmuştur. 6.1.3 Garanti bileşeni yapısı Şekil 2'de garanti bileşeni yapısı gösterilmektedir.

Şekil 2 - Garanti bileşeni yapısı

Bir aile içindeki bileşenler arasındaki ilişki kalın harflerle vurgulanmaktadır. Gereksinimlerin yeni, güçlendirilmiş ya da hiyerarşideki bir önceki bileşenin gereksinimlerine göre değiştirilmiş bölümleri kalın harflerle gösterilmektedir. 6.1.3.1 Bileşenlerin belirlenmesi Bileşenlerin belirlenmesi alt maddesi bir bileşeni belirlemek, sınıflandırmak, kaydetmek ve bileşene gönderme yapmak için gerekli tanımlayıcı bilgileri sağlamaktadır. Her garanti bileşenine benzersiz bir isim verilmektedir. Bu isim, garanti bileşeninin kapsadığı konular hakkında tanımlayıcı bilgi sağlamaktadır. Her garanti bileşeni, güvenlik hedefini paylaştığı bir garanti ailesinin içine yerleştirilmektedir.

Garanti bileşeni Bileşen tanımı

Uygulama notları

Hedefler

Bağımlılıklar

Garanti öğeleri


7

Garanti bileşeni adının benzersiz bir kısaltması da sağlanmaktadır. Bu da garanti bileşenine atıfta bulunmak için kullanılan temel yoldur. Burada kullanılan kısaltma yönteminde aile adının kısaltması ve ardından da bir boşluk ve bir rakam bulunmaktadır. Her ailedeki bileşenler için rakamsal karakterler 1'den başlayarak art arda gelecek şekilde verilmektedir. 6.1.3.2 Hedefler Garanti bileşeninin hedefler alt maddesi, eğer varsa, o garanti bileşenine özgü ayrıntılı hedefleri içermektedir. Bu alt maddeye sahip garanti bileşenlerinde, bileşenin tam amacını ve hedeflerinin daha ayrıntılı bir açıklamasını sunmaktadır. 6.1.3.3 Uygulama notları Garanti bileşeninin uygulama notları alt maddesi, eğer varsa, bileşenin kullanımını kolaylaştıracak ek bilgileri içermektedir. 6.1.3.4 Bağımlılıklar Bir bileşen kendi kendine yetmediğinde ve başka bir bileşenin varlığına bağlı olduğunda garanti bileşenleri arasında bağımlılık oluşur. Her garanti bileşeni diğer garanti bileşenlerine bağımlılıkların tam bir listesini sağlamaktadır. Bazı bileşenler hiçbir bağımlılık belirlenmediğini göstermek için "Bağımlılık yok" diye belirtebilmektedir. Diğerlerinin bağımlı olduğu bileşenler de başka bileşenlere bağımlı olabilmektedir. Bağımlılık listesi dayanılan garanti bileşenlerinin asgari kümesini belirtmektedir. Bağımlılık listesindeki bir bileşene hiyerarşik olan bileşenler de bu bağlılığı karşılamak için kullanılabilir. Belirli durumlarda, belirtilen bağımlılıklar uygulanamayabilir. PP/ST yazarı, bir bağımlılığın neden uygulanmadığının gerekçesini sunarak o bağımlılığı karşılamamayı tercih edebilir. 6.1.3.5 Garanti elemanları Her garanti bileşeni için bir grup garanti elemanı sağlanmaktadır. Garanti elemanı, daha da bölünmesi durumunda anlamlı bir değerlendirme sonucu vermeyecek bir güvenlik gereksinimidir. CC'de tanınan en küçük güvenlik gereksinimidir. Her garanti elemanı, üç garanti elemanı grubundan birine aittir: a) Geliştirme eylemi elemanı: geliştirici tarafından gerçekleştirilecek etkinlikler. Bu eylem grubuna ayrıca

aşağıdaki eleman gruplarında belirtilen kanıta dayalı malzemeler de dahildir. Geliştirici eylemleri için gereksinimler, eleman numarasına "D" harfi eklenerek belirtilmektedir.

b) Kanıt içeriği ve sunumu elemanları: istenen kanıt, kanıtın göstereceği şey ve kanıtın aktaracağı bilgi. Kanıtın içeriği ve sunumuyla ilgili gereksinimler eleman numarasına "C" harfi eklenerek belirtilmektedir.

c) Değerlendirici eylemi elemanları: değerlendirici tarafından gerçekleştirilecek etkinlikler. Bu eylem grubu, kanıt elemanlarının içerik ve sunumunda belirtilen gereksinimlerin karşılandığının doğrulanmasını açık bir şekilde içermektedir. Ayrıca, geliştirici tarafından önceden gerçekleştirilen eylemlere ek olarak gerçekleştirilecek eylem ve incelemeleri de açık bir şekilde içermektedir. Kanıt gereksinimlerinin içeriği ve sunumuyla kapsanmayan geliştirici eylem elemanları nedeniyle açıkça belirtilmeyen değerlendirici eylemlerinin de gerçekleştirilmesi gerekmektedir. Geliştirici eylemleri için gereksinimler eleman numarasına "E" harfini ekleyerek belirtilmektedir.

Geliştirici eylemleri ve kanıtın içeriği ve sunumu, bir geliştiricinin TOE güvenlik fonksiyonlarındaki garantiyi gösterme sorumluluğunu temsil etmekte kullanılan garanti gereksinimlerini tanımlamaktadır. Geliştirici bu gereksinimleri karşılayarak, TOE'nin bir PP ya da ST'nin fonksiyonel ve garanti gereksinimlerini karşıladığına dair güveni arttırabilir. Değerlendirici eylemleri değerlendiricinin değerlendirmenin iki yönündeki sorumluluklarını tarif etmektedir. Birinci yönü PP/ST'nin, maddeler 4 ve 5'teki APE ve ASE sınıflarına göre doğrulanmasıdır. İkinci yönü ise TOE'nin kendi fonksiyonel ve garanti gereksinimlerine uyduğunun doğrulanmasıdır. Değerlendirici, PP/ST'nin geçerli olduğunu ve gereksinimlerin TOE tarafından karşılandığını göstererek TOE'nin güvenlik hedeflerini karşılayacağına güven için bir temel oluşturabilir.


8

Geliştirici eylem elemanları, kanıt içeriği ve sunumu elemanları ve açık değerlendirici eylem elemanları, TOE'nin ST'sinde belirtilen güvenlik iddialarını doğrulamakta kullanılacak değerlendirici çabalarını belirtmektedir. 6.1.4 Garanti elemanları Her eleman karşılanması gereken bir gereksinimi temsil etmektedir. Bu gereksinim ifadelerinin açık, kısa ve yanlış anlamaya meydan vermeyecek şekilde olması amaçlanmaktadır. Bu nedenle, bileşik cümleler bulunmamaktadır; her ayrılabilir gereksinim ayrı bir eleman olarak belirtilmektedir. Bu elemanlar, kullanılan terimler için normal sözlük anlamları kullanılarak yazıldı; açıkça belirtilmeyen gereksinimlere neden olan önceden tanımlanmış bir grup terim kullanılması tercih edilmedi. Bu nedenle, elemanlar herhangi bir saklı tutulan terim olmadan açık gereksinimler olarak yazılmıştır. 6.1.5 EAL yapısı Şekil 3'te bu standarddaki EAL'ler ve onunla ilgili tarif edilen yapı gösterilmektedir. Şekil her ne kadar garanti bileşenlerinin içeriklerini gösterse de, bu bilginin bir EAL içinde CC'de tarif edilen gerçek bileşenlere gönderme yapılarak yer alması amaçlanmaktadır.

Bölüm 3 Garanti düzeyleri

Şekil 3 - EAL yapısı 6.1.5.1 EAL ismi Her bir EAL'e benzersiz bir isim verilmektedir. Bu isim EAL'in amacıyla ilgili açıklayıcı bilgi vermektedir. EAL isminin benzersiz bir kısaltması da verilmektedir. Bu da EAL'e gönderme yapmakta kullanılan temel araçtır. 6.1.5.2 Hedefler EAL'in hedefler alt maddesi EAL'in amacını sunmaktadır. 6.1.5.3 Uygulama notları EAL'in uygulama notları alt maddesi, eğer varsa, EAL kullanıcıları (örneğin, PP ve ST yazarları, bu EAL'i hedefleyen TOE'lerin tasarımcıları, değerlendiriciler) açısından önemli bilgiler içermektedir. Sunum biçimsel değildir ve, örneğin, kullanımla ilgili kısıtlamalar ve özel bir dikkat gerekebilecek alanlar hakkında uyarıları kapsamaktadır.

Değerlendirme garanti düzeyi

EAL adı

Hedefler

Uygulama notları

Garanti bileşeni Bileşen tanıma

Bağımlılıklar

Hedefler

Uygulama notları

Garanti öğesi


9

6.1.5.3.1 Garanti bileşenleri Her EAL için bir grup garanti bileşeni seçilmiştir. Herhangi bir EAL tarafından sağlanana göre daha yüksek düzeyde bir garanti şu şekilde elde edilebilir: a) Başka garanti ailelerinden ek garanti bileşenlerinin eklenmesi ya da b) Bir garanti bileşeninin aynı garanti ailesinden daha yüksek düzeydeki bir garanti bileşeniyle değiştirilmesi. 6.1.5.4 Garantiler ve garanti düzeyleri arasındaki ilişki Şekil 4, CC'de tarif edilen garanti gereksinimleriyle garanti düzeyleri arasındaki ilişkiyi göstermektedir. Garanti bileşenleri ek olarak garanti elemanlarına bölünebilirse de, garanti elemanlarına ayrı olarak garanti düzeylerinden gönderme yapılamaz. Şekilde okun bir EAL'den, tanımlandığı sınıftaki bir garanti bileşenine referansı gösterdiğine dikkatinizi çekeriz.

Bölüm 3 Garanti gereksinimleri

Bölüm 3 Garanti düzeyleri

Şekil 4 - Garanti ve garanti düzeyi ilişkilendirmesi

Garanti sınıfı Sınıf adı

Garanti ailesi

Garanti bileşeni

Aile adı

Hedefler

Bileşen düzeyini belirleme

Uygulama notları

Bileşen tanımı Hedefler

Uygulama notları

Bağımlılıklar

Garanti öğesi

Değerlendirme garanti düzeyi

Aile adı

Hedefler

Uygulama notları

Garanti bileşeni

Bileşen tanımı

Hedefler

Uygulama notları

Bağımlılıklar

Garanti öğesi

Sınıf tanıtımı


10

6.2 Bileşen sınıflandırması Bu standard, ilgili garantiye bağlı olarak gruplandırılan aile ve bileşen sınıfları içermektedir. Her bir sınıfın başlangıcında, o sınıftaki aileleri ve her bir ailedeki bileşenleri gösteren bir şema bulunmaktadır.

Şekil 5 - Örnek sınıf yapısı şeması

Yukarıdaki Şekil 5'te, gösterilen sınıf tek bir aileyi içermektedir. Bu aile doğrusal olarak hiyerarşik olan üç bileşene sahiptir (yani, bileşen 2 belirli eylemler, belirli kanıtlar ya da eylem ve kanıt ayrıntısı bakımından bileşen 1'e göre daha fazla şey gerektirmektedir). Bu standarddaki garanti aileleri doğrusal olarak hiyerarşiktir ama gelecekte eklenebilecek garanti aileleri için doğrusallık zorunlu bir kriter değildir. 6.3 Koruma Profili ve Güvenlik Hedefi değerlendirme kriterleri sınıf yapısı Koruma profili ve güvenlik hedefi değerlendirmesi için gereksinimler garanti sınıfları olarak kabul edilmektedir ve aşağıda tarif edilen diğer garanti sınıfları için kullanılana benzer bir yapı kullanılarak sunulmaktadır. Burada belirtilmesi gereken önemli bir farklılık, ilgili aile tariflerinde bir bileşen düzeyini belirleme alt maddesinin bulunmamasıdır. Bunun nedeni her bir ailenin sadece bir bileşene sahip olması ve bu nedenle hiçbir düzey belirlemenin gerçekleşmemesidir. Bu standardın 7. maddesindeki çizelgeler 2, 3, 4 ve 5, hem APE hem de ASE sınıfları için her birini oluşturan aileleri ve her birinin kısaltmalarını özetlemektedir. APE aileleriyle ilgili açıklayıcı özetler CC Bölüm 1, Ek A’da ve ASE aileleri için açıklayıcı özetler de CC Bölüm 1, Ek B’de bulunabilir. 6.4 Bu standarddaki terimlerin kullanımı Aşağıdaki bu standardda net bir şekilde kullanılan terimlerin listesi yer almaktadır. Bunlar CC Bölüm 1, Madde 2’de yer almayı hak etmiyor çünkü bunlar genel İngilizce (Türkçe) terimler ve bunların kullanımı, her ne kadar burada verilen açıklamalarla sınırlı olsa da, sözlükteki tanımlarına uygundur. Ama, terimlerin bu açıklamaları bu standardı geliştirirken kılavuz olarak kullanıldı ve genel olarak metnin anlaşılmasına da katkıda bulunacaktır. 6.4.1 Anlaşılır Mantıklı bir düzene ve anlaşılabilir anlama sahip bir varlık. Belgelerde, bu hem gerçek metni hem de belgenin yapısını, hedef kitlesi tarafından anlaşılıp anlaşılmadığı bakımından ele alır. 6.4.2 Tam Bir varlığın bütün gerekli bölümleri sağlanmış. Belge bakımından, bu, ilgili bütün bilgilerin belgelerde, o ayırma düzeyinde daha fazla açıklama gerektirmeyecek bir ayrıntı düzeyinde yer alması. 6.4.3 Doğrulama Bu terim bir şeyin ayrıntılı olarak incelenmesi ve yeterlilikle ilgili bağımsız bir tespitin yapılması gerektiğini göstermek için kullanılmaktadır. Gerekli ayrıntı düzeyi konunun niteliğine bağlıdır. Bu terim sadece değerlendirici eylemlerinde kullanılmaktadır. 6.4.4 Tutarlı Bu terim iki ya da daha fazla varlık arasındaki bir ilişkiyi tarif etmektedir ve bu iki varlık arasında görünürde hiçbir çelişki bulunmadığını göstermektedir. 6.4.5 Karşılaşmak (fiil) Bu terim genel olarak bir güvenlik hedefinin belirli bir tehditle karşılaşmasında kullanılmaktadır ama bunun sonucunda mutlaka tehdidin ortadan kaldırıldığını göstermemektedir. 6.4.6 Gösterme Bu terim bir sonuca götüren bir analiz anlamına gelmektedir ki bu bir "kanıt"tan daha az ayrıntılıdır.

Aile 1 1 2 3


11

6.4.7 Tarif etme Bu terim bir varlığın bazı, özel ayrıntılarının sağlanmasını gerektirmektedir. 6.4.8 Belirleme Bu terim, belirli bir amaca ulaşma hedefiyle bağımsız bir analiz yapılmasını gerektirmektedir. Bu terimin kullanımı "doğrulama" ve "doğruluğunu kanıtlama"dan farklıdır çünkü bu diğer terimler önceden bir analizin yapılmış olduğunu ve bunun gözden geçirilmesi gerektiğini bildirirken, "belirleme"nin kullanılması çoğunlukla önceden herhangi bir analiz yapılmadan gerçekten bağımsız bir analize işaret etmektedir. 6.4.9 Sağlama Bu terim kendi başına kullanıldığında eylem ile sonuçları arasında güçlü bir neden/sonuç ilişkisine işaret etmektedir. Bu terimden önce genellikle "yardım eder" gelir ki bu da, sadece o eyleme bağlı olarak sonucun bütünüyle kesin olmadığına işaret eder. 6.4.10 Kapsayıcı Bu terim CC'de bir analiz ya da başka bir etkinliğin gerçekleştirilmesiyle ilgili olarak kullanılmaktadır. "Sistematik" ile ilişkilidir ama çok daha güçlüdür çünkü sadece analizin ya da etkinliğin karmaşık olmayan bir plana göre gerçekleştirilmesi için metodik bir yaklaşım uygulanmasını değil, aynı zamanda uygulanan planın bütün olası yolların denenmesini sağlamaya yeterli olduğunu da göstermektedir. 6.4.11 Açıklamak Terim hem "tarif etmek" hem de "göstermek"ten farklıdır. "Neden" sorusunu açıklaması amaçlanmaktadır ama bunu yaparken kullanılan hareket biçiminin en iyi yol olduğu konusunda herhangi bir iddiada bulunmaz. 6.4.12 Kendi içinde tutarlı Bir varlığın çeşitli yönleri arasında görünürde herhangi bir çelişki bulunmaması. Belgeler bakımından, belgelerin içinde birbiriyle çelişkili olacak hiçbir ifade bulunamayacağı anlamına gelir. 6.4.13 Geçerliliğini doğrulamak Bu terim bir sonuca ulaşan bir analizi anlatmaktadır ama gösterme'den daha ayrıntılıdır. Bu terim bir mantıksal tartışmanın her adımını dikkatli ve kapsamlı bir şekilde açıklama bakımından çok ayrıntı gerektirmektedir. 6.4.14 Birbirini destekleyici Bu terim bir grup varlık arasındaki ilişkiyi tarif etmektedir ve varlıkların diğer varlıklarla çelişmeyen ve diğer varlıklara kendi görevlerini yapmakta yardımcı olabilen niteliklere sahip olduğunu göstermektedir. Söz konusu her varlığın o gruptaki diğer varlıkları destekleyip desteklemediğinin belirlenmesi gerekli değildir; buradaki daha genel bir tespittir. 6.4.15 Kanıtlama Bu, matematik anlamda biçimsel bir analizi göstermektedir. Her yönden bütünüyle ayrıntılıdır. Genelde, "kanıtlama", daha yüksek bir ayrıntı düzeyindeki iki TSF temsili arasında birbirine karşılık gelme olduğunu göstermek istendiğinde kullanılmaktadır. 6.4.16 Belirtme Bu terim "tarif etmek" ile aynı bağlamda kullanılmaktadır ama daha ayrıntılı ve net olması amaçlanmaktadır. "Tanımlama"ya çok yakındır. 6.4.17 İzleme Bu terim iki varlık arasında sadece asgari düzeyde bir ayrıntıyla biçimsel olmayan bir karşılık gelmenin istendiğini göstermek için kullanılmaktadır. 6.4.18 Doğruluğunu kanıtlamak Bu terim "doğrulama"ya yakındır ama daha ayrıntılı olduğunu ifade eder. Değerlendiricinin eylemleri bağlamında kullanıldığında bu terim değerlendiriciden bağımsız bir çalışma istendiğini gösterir.


12

6.5 Garanti sınıflandırması Garanti sınıfları, aileleri ve her ailenin kısaltması Çizelge 1'de gösterilmektedir. 6.6 Garanti sınıfı ve ailesine genel bakış Aşağıda, Madde 12 ila Madde 18'ün garanti sınıfları ve ailelerinin özeti yer almaktadır. Bu sınıflar ve aile özetleri Madde 12 ila Madde 18'de sıralarıyla sunulmaktadır. Çizelge 1 - Garanti ailesinin yapısı ve ilişkileri Garanti Sınıfı Garanti Ailesi Kısaltılmış Adı

CM otomasyon (ACM_AUT) ACM_AUT

CM yetenekleri (ACM_CAP) ACM_CAP ACM: Yapılandırma yönetimi

CM kapsamı (ACM_SCP) ACM_SCP

Teslim (ADO_DEL) ADO_DEL ADO: Teslim ve çalışma

Kurulum, üretim ve başlatma (ADO_IGS) ADO_IGS

Fonksiyonel belirtim (ADV_FSP) ADV_FSP

Yüksek düzeyde tasarım (ADV_HLD) ADV_HLD

Uygulama temsili (ADV_IMP) ADV_IMP

TSF iç öğeleri (ADV_INT) ADV_INT

Düşük düzey tasarım (ADV_LLD) ADV_LLD

Temsilin karşılık gelmesi (ADV_RCR) ADV_RCR

ADV: Geliştirme

Güvenlik politikası modellemesi (ADV_SPM)

ADV_SPM

Yönetici kılavuzu (AGD_ADM) AGD_ADM AGD: Kılavuz belgeler

Kullanıcı kılavuzu (AGD_USR) AGD_USR

Geliştirme güvenliği (ALC_DVS) ALC_DVS

Hata düzeltme (ALC_FLR) ALC_FLR

Kullanım ömrü tanımı (ALC_LCD) ALC_LCD ALC: Kullanım ömrü desteği

Araçlar ve teknikler (ALC_TAT) ALC_TAT

Kapsam (ATE_COV) ATE_COV

Derinlik (ATE_DPT) ATE_DPT

Fonksiyonel testler (ATE_FUN) ATE_FUN ATE: Testler

Bağımsız test (ATE_IND) ATE_IND

Gizli kanal analizi (AVA_CCA) AVA_CCA

Kötüye kullanım (AVA_MSU) AVA_MSU

TOE güvenlik fonksiyonlarının gücü (AVA_SOF)

AVA_SOF AVA: Açıklık değerlendirmesi

Açıklık analizi (AVA_VLA) AVA_VLA 6.6.1 ACM Sınıfı: Yapılandırma yönetimi Yapılandırma yönetimi (CM), TOE'nin ve diğer ilgili bilgilerin ayrıntılandırılması ve değiştirilmesi işlemlerinde disiplin ve kontrol gerektirerek TOE'nün bütünlüğünün korunmasının sağlanmasına yardım etmektedir. CM, TOE'deki izinsiz değişiklikleri, eklemeleri ve silmeleri önleyerek TOE ve değerlendirme için kullanılan belgelerin dağıtım için hazırlananlar olduğuna dair güvence sağlamaktadır.


13

6.6.1.1 CM otomasyonu (ACM_AUT) Yapılandırma yönetiminin otomasyonu, yapılandırma öğelerini kontrol etmekte kullanılan otomasyon düzeyini belirlemektedir. 6.6.1.2 CM yetenekleri (ACM_CAP) Yapılandırma yönetimi yetenekleri, yapılandırma yönetim sisteminin özelliklerini tanımlamaktadır. 6.6.1.3 CM kapsamı (ACM_SCP) Yapılandırma yönetimi kapsamı, yapılandırma yönetimi sistemi tarafından kontrol edilmesi gereken TOE öğelerini göstermektedir. 6.6.2 ADO Sınıfı: Teslim ve çalıştırma Garanti sınıfı ADO, TOE’nin güvenli teslimi, kurulumu ve çalışma için kullanımıyla ilgili önlemler, prosedürler ve standardlar için gereksinimleri tanımlamaktadır ve TOE tarafından sağlanan güvenlik korumasının aktarım, kurulum, başlatma ve çalışma sırasında tehlikeye düşmemesini sağlar. 6.6.2.1 Teslim (ADO_DEL) Teslim, TOE’nin kullanıcıya aktarımı sırasında, hem başlangıçtaki teslim hem de sonradan yapılan değişikliklerde, güvenliği korumak için kullanılan prosedürleri kapsamaktadır. Teslim edilen TOE’nin doğruluğunu göstermek için gerekli özel prosedürler ve işlemleri de içermektedir. Bu prosedürler ve önlemler, TOE tarafından sunulan güvenlik korumasının aktarma sırasında tehlikeye girmemesini sağlamanın temelini oluşturmaktadır. Teslim gereksinimlerine uyum TOE değerlendirildiğinde her zaman belirlenemese de, bir geliştiricinin TOE’yi kullanıcılara dağıtmak için geliştirdiği prosedürleri değerlendirmek mümkündür. 6.6.2.2 Kurulum, üretim ve başlatma (ADO_IGS) Kurulum, üretim ve başlatma, TOE’nin kopyasının yönetici tarafından TOE’nin esas kopyasıyla aynı koruma niteliklerini sergileyecek şekilde yapılandırılmış ve etkin hale getirilmiş olmasını gerektirmektedir. Kurulum, üretim ve başlatma prosedürleri, yöneticinin TOE yapılandırma parametreleri ve bunların TSF’yi nasıl etkileyebileceğinin farkında olması konusunda güven sağlamaktadır. 6.6.3 ADV Sınıfı: Geliştirme ADV garanti sınıfı, TSF’nin ST’deki TOE özel belirtiminden gerçek uygulamaya kadar adım adım ayrıntılandırılması için gereksinimleri tanımlamaktadır. Buna bağlı olarak oluşan TSF temsillerinden her bir biri değerlendiriciye TOE’nin fonksiyonel gereksinimlerinin karşılanıp karşılanmadığını belirlemesine yardım edecek bilgiler sağlamaktadır. 6.6.3.1 Fonksiyonel belirtim (ADV_FSP) Fonksiyonel belirtim TSF’yi tarif etmektedir ve TOE güvenlik fonksiyonel gereksinimlerinin tam ve net bir somut temsili olmalıdır. Fonksiyonel belirtim ayrıca TOE’nin dış arayüzünü de ayrıntılandırmaktadır. TOE kullanıcılarının bu arayüz yoluyla TSF ile etkileşime girmesi beklenmektedir. 6.6.3.2 Yüksek düzeyde tasarım (ADV_HLD) Yüksek düzeyde tasarım, TSF fonksiyonel belirtimini TSF’yi oluşturan ana bölümler halinde ayrıntılandıran en üst düzeyde tasarım belirtimidir. Yüksek düzeyde tasarım TSF’nin temel yapısını ve temel donanım, bellenim ve yazılım öğelerini belirtmektedir. 6.6.3.3 Uygulama temsili (ADV_IMP) Uygulama temsili TSF’nin en az soyut olan temsilidir. TSF’nin ayrıntılı iç çalışmalarını, duruma göre, kaynak kodu, donanım çizimi vb. olarak kapsamaktadır. 6.6.3.4 TSF iç öğeleri (ADV_INT) TSF iç öğeleri gereksinimleri TSF’nin gerekli iç yapısını belirtmektedir. 6.6.3.5 Düşük düzeyde tasarım (ADV_LLD) Düşük düzeyli tasarım, yüksek düzeyli tasarımı programlama ve/veya donanım yapımı için temel alınabilecek bir ayrıntı düzeyinde ayrıntılandıran ayrıntılı bir tasarım belirtimidir. 6.6.3.6 Temsilin karşılık gelmesi (ADV_RCR) Temsilin karşılık gelmesi, sağlanan TOE özet belirtiminden an az soyut TSF temsiline kadar kullanılabilir bütün yan yana TSF temsillerinin yerlerinin gösterilmesidir.


14

6.6.3.7 Güvenlik politikası modellemesi (ADV_SPM) Güvenlik politikası modelleri TSP’nin güvenlik politikalarının yapılanmış temsilleridir ve fonksiyonel belirtimin TSP’nin güvenlik politikalarına ve nihai olarak da TOE güvenlik fonksiyonel gereksinimlerine karşılık geldiğine dair daha fazla garanti sağlamaktadırlar. Bu da fonksiyonel belirtim, güvenlik politikası modeli ve modellenen güvenlik politikaları arasında karşılık gelme ilişkilendirmesi yoluyla gerçekleştirilmektedir. 6.6.4 AGD Sınıfı: Kılavuz belgeler Garanti sınıfı AGD, geliştirici tarafından sağlanan çalışmayla ilgili belgelerin anlaşılabilirliği, kapsamı ve bütünlüğü ile ilgili gereksinimleri tanımlamaktadır. Kullanıcılar ve yöneticiler için iki bilgi sınıfı sağlayan bu belge TOE’nin güvenlik çalışmasında önemli bir etkendir. 6.6.4.1 Yönetici kılavuzu (AGD_ADM) Yönetici kılavuzluğuyla ilgili gereksinimler ortamla ilgili kısıtlamaların TOE yöneticileri ve kullanıcıları tarafından anlaşılabilmesini sağlamaya yardım etmektedir. Yönetici kılavuzluğu, geliştirici için, TOE yöneticilerine TOE’yi güvenlik bir şekilde nasıl yöneteceği ve TSF ayrıcalıkları ve koruma fonksiyonlarını nasıl etkili kullanacağıyla ilgili ayrıntılı, hassas bilgiler sağlamak amacıyla kullanabileceği temel yoldur. 6.6.4.2 Kullanıcı kılavuzu (AGD_USR) Kullanıcı kılavuzluğuyla ilgili gereksinimler kullanıcıların TOE’yi güvenli bir şekilde kullanabilmesini sağlamaya yardım etmektedir (örneğin, PP ya da ST’nin varsaydığı kullanıcı kısıtlamaları açıklanmalı ve gösterilmelidir). Kullanıcı kılavuzu, TOE kullanıcılarına gerekli ön bilgileri ve TOE koruma fonksiyonlarını doğru kullanmak için gerekli ayrıntılı bilgileri sunmak amacıyla geliştiricinin kullanabileceği temel yoldur. Kullanıcı kılavuzunun iki şey yapması gerekmektedir. Birincisi, kullanıcı tarafından görülebilen güvenlik fonksiyonlarının ne yaptığını ve nasıl kullanılması gerektiğini açıklamalı ve böylece kullanıcıların istikrarlı ve etkili bir şekilde bilgilerini koruyabilmesini sağlamalıdır. İkincisi, kullanıcının TOE’nin güvenliğinin korunmasındaki rolünü açıklamalıdır. 6.6.5 ALC Sınıfı: Kullanım ömrü desteği ALC garanti sınıfı: Kullanım ömrü desteği, hata düzeltme prosedürleri ve politikaları, araçların ve tekniklerin doğru kullanımı ve geliştirme ortamını korumakta kullanılan güvenlik önlemleri de dahil, TOE geliştirmesinin her aşaması için iyi tanımlanmış bir kullanım ömrü modeli benimsenmesi yoluyla garanti için gereksinimleri tanımlamaktadır. 6.6.5.1 Geliştirme güvenliği (ALC_DVS) Geliştirme güvenliği, geliştirme ortamında kullanılan fiziksel, prosedürle ilgili, personelle ilgili ve diğer güvenlik önlemlerini kapsamaktadır. Geliştirme yer(ler)inin fiziksel güvenliği ve geliştirme personeli seçilmesi ve istihdam edilmesindeki kontrolleri de içermektedir. 6.6.5.2 Hata düzeltme (ALC_FLR) Hata düzeltme, TOE tüketicileri tarafından fark edilen hataların, TOE, geliştirici tarafından desteklendiği sürece belirlenmesi ve düzeltilmesini sağlamaktadır. TOE değerlendirildiğinde gelecekte hata düzeltme gereksinimlerine uygun olacağı belirlenemese de, bir geliştiricinin hataları belirlemek ve tamir etmek ve düzeltmeleri tüketicilere dağıtmak için kullandığı prosedürleri ve politikaları değerlendirmek mümkündür. 6.6.5.3 Kullanım ömrü tanımı (ALC_LCD) Kullanım ömrü tanımı, bir geliştirici tarafından TOE’yi üretmek için kullanılan mühendislik uygulamalarının, geliştirme süreci ve çalışma desteği gereksinimlerinde belirtilen göz önünde bulundurulması gereken şeyleri ve etkinlikleri içerdiğini doğrulamaktadır. Güvenlik analizi ve kanıt üretimi düzenli bir şekilde geliştirme sürecinin bütünleşik bir parçası olarak gerçekleştirildiğinde gereksinimler ile TOE arasındaki karşılık gelmeye güven daha fazladır. Bu bileşenin amacı herhangi bir özel geliştirme süreci öngörmek değildir. 6.6.5.4 Araçlar ve teknikler (ALC_TAT) Araçlar ve teknikler, TOE’yi incelemek ve uygulamakta kullanılan geliştirme araçlarını tanımlama ihtiyacını karşılamaktadır. Geliştirme araçları ve bu araçların uygulamaya bağlı seçenekleriyle ilgili gereksinimlerini içermektedir. 6.6.6 APE Sınıfı: Koruma Profili değerlendirmesi PP değerlendirmesinin amacı PP'nin bütün, tutarlı, teknik açıdan iyi olduğunu göstermektir. Değerlendirilmiş PP, ST'lerin geliştirilmesi için bir temel olarak kullanılmaya uygundur. Böyle bir PP, kütüğe eklenmeye uygundur.


15

6.6.7 ASE Sınıfı: Güvenlik Hedefi değerlendirmesi ST değerlendirmesinin amacı ST'nin bütün, tutarlı, teknik olarak sağlam ve böylece karşılık gelen TOE değerlendirmesinde temel alınmaya uygun olduğunu göstermektir. 6.6.8 ATE Sınıfı: Testler ATE garanti sınıfı, TSF’nin TOE güvenlik fonksiyonel gereksinimlerini karşıladığını gösteren test gereksinimlerini belirtmektedir. 6.6.8.1 Kapsam (ATE_COV) Kapsam, geliştirici tarafından TOE üzerinde gerçekleştirilen fonksiyonel testlerin tam olmasıyla ilgilidir. TOE güvenlik fonksiyonlarının ne dereceye kadar test edildiğini ele almaktadır. 6.6.8.2 Derinlik (ATE_DPT) Derinlik, geliştiricinin TOE’yi hangi ayrıntı düzeyinde test ettiğini ele almaktadır. Güvenlik fonksiyonlarının testi, TSF temsillerinin incelenmesinden elde edilen bilginin derinliğinin artmasına dayalıdır. 6.6.8.3 Fonksiyonel testler (ATE_FUN) Fonksiyonel testler, TSF’nin ST’sinin gereksinimlerini karşılamak için gerekli nitelikleri sergilediğini doğrulamaktadır. Fonksiyonel testler, TSF’nin en azından seçilmiş fonksiyonel bileşenlerin gereksinimlerini karşıladığına dair garanti sağlar. Ama, fonksiyonel testler TSF’nin beklenenden daha fazlasını yaptığını doğrulamaz. Bu aile, geliştirici tarafından gerçekleştirilen fonksiyonel testler üzerinde yoğunlaşmaktadır. 6.6.8.4 Bağımsız testler (ATE_IND) Bağımsız testler, TOE’nin fonksiyonel testlerinin geliştirici dışındaki bir kişi (örneğin, üçüncü kişiler) tarafından ne dereceye kadar gerçekleştirilmesi gerektiğini belirtmektedir. Bu aile, geliştiricinin testleri arasında bulunmayan testler ekleyerek ek değer sağlamaktadır. 6.6.9 AVA Sınıfı: Açıklık incelemesi AVA garanti sınıfı, kötüye kullanılabilir açıklıkların belirlenmesine yönelik gereksinimleri tanımlamaktadır. Özellikle de, TOE’nin üretimi, çalışması, yanlış kullanımı ya da yanlış yapılandırmasıyla ortaya çıkan açıklıkları ele almaktadır. 6.6.9.1 Gizli kanal analizi (AVA_CCA) Gizli kanal analizi, amaçlanan TSP’yi ihlal etmek için kötüye kullanılabilecek amaçlanmamış iletişim kanallarının keşfi ve incelenmesiyle ilgilidir. 6.6.9.2 Yanlış kullanım (AVA_MSU) Yanlış kullanım incelemesi, bir yönetici ya da kullanıcının, kılavuz belgeleri anlamış olarak TOE’nin güvenli olmayan bir şekilde yapılandırılmış ve çalışıyor olduğunu belirleyip belirleyemeyeceğini araştırmaktadır. 6.6.9.3 TOE güvenlik fonksiyonlarının gücü (AVA_SOF) Fonksiyon analizinin gücü, bir olasılık ya da permütasyon mekanizmasıyla (örneğin, şifre ya da karıştırma fonksiyonu) gerçekleştirilen TOE güvenlik fonksiyonlarını ele almaktadır. Bu tür fonksiyonların etrafından dolanılması, etkisiz hale getirilmesi ya da bozulması mümkün olmasa da, bunları doğrudan bir saldırıyla yenmek mümkün olabilir. Bu fonksiyonların her birinin gücü için bir düzey ya da özel bir ölçü belirtilebilir. Fonksiyon gücü incelemesi, bu fonksiyonların belirtilen düzeyi karşılayıp karşılamadığını ya da aşıp aşmadığını belirlemek için gerçekleştirilir. Örneğin, bir şifre mekanizmasının fonksiyon gücü incelemesi, şifre alanının yeterince büyük olduğunu göstererek şifre fonksiyonunun belirtilen güçte olduğunu gösterebilir. 6.6.9.4 Açıklık incelemesi (AVA_VLA) Açıklık incelemesi, potansiyel olarak geliştirmenin farklı ayrıntılandırma adımlarında eklenen hataların belirlenmesinden oluşmaktadır. Aşağıdakilerle ilgili gerekli bilgilerin toplanması yoluyla sızma testlerinin tanımlanmasıyla sonuçlanır: (1) TSF’nin bütünlüğü (TSF, öngörülen bütün tehditleri karşılıyor mu?) ve (2) bütün güvenlik fonksiyonları arasındaki bağımlılıklar. Bu potansiyel açıklıklar sızma testiyle incelenerek bunların, uygulamada, TOE’nin güvenliği tehlikeye düşürebilecek şekilde kötüye kullanılıp kullanılamayacağı belirlenmektedir.


16

7 Koruma Profili ve Güvenlik Hedefi değerlendirme kriterleri 7.1 Genel bakış Bu madde PP'ler ve ST'ler için değerlendirme kriterlerini tanıtmaktadır. Değerlendirme kriterleri sonra tam olarak Madde 8 ve Madde 9'da sunulmaktadır. Bu kriterler bu standardda sunulan ilk gereksinimlerdir çünkü PP ve ST değerlendirmesi normalde TOE değerlendirmesinden önce gerçekleştirilecektir. Bunlar önemli bir role sahiptir, çünkü TOE ile ilgili bilgi değerlendirilmektedir ve fonksiyonel ve garanti gereksinimleri PP ya da ST'nin bir TOE değerlendirmesi için anlamlı bir temel oluşturup oluşturmadığının belirlenmesi için değerlendirilmektedir. Bu değerlendirme kriterleri Madde 12 ila Madde 18'deki gereksinimlerden biraz farklı olsa da, bunlar benzer bir şekilde sunulmaktadır çünkü geliştirici ve değerlendirici etkinlikleri PP, ST ve TOE değerlendirmeleri için benzerdir. PP ve ST sınıfları TOE sınıflarından PP ya da ST sınıfındaki bütün gereksinimlerin bir PP ya da ST değerlendirmesi için göz önünde bulundurulmasının gerekmesiyle ayrılmaktadır; öte yandan, TOE sınıflarında sunulan gereksinimler ise çok geniş kapsamlı konuları ele almaktadır ve bir TOE için bunların hepsinin göz önünde bulundurulması gerekmemektedir. PP'ler ve ST'ler için değerlendirme kriterleri, CC Bölüm 1'in ekleri A ve B'de sunulan bilgiye dayanmaktadır. APE ve ASE sınıflarındaki gereksinimler için, aşağıdaki maddelerde sunulan, kullanışlı temel bilgiler orada bulunabilir. 7.2 Koruma Profili kriterlerine genel bakış 7.2.1 Koruma Profili değerlendirmesi PP değerlendirmesinin amacı PP'nin bütün, istikrarlı, teknik açından iyi ve değerlendirilebilir TOE'lerden biri ya da daha fazlasının gereksinimlerinin ifadesi için kullanıma uygun olduğunu göstermektir. Böyle bir PP bir PP kütüğüne eklenmeye uygun olabilir. 7.2.2 Güvenlik Hedefi değerlendirme kriterleri ilişkisi CC Bölüm 1'in ekleri A ve B'de tarif edildiği gibi, genel PP ve TOE'ye özgü ST arasında yapı ve içerik olarak birçok benzerlik bulunmaktadır. Bu nedenle, PP'lerin değerlendirilmesi için kriterler, bu ST'lerin birçoğuyla benzer gereksinimler içermektedir ve her ikisi için de kriterler benzer bir şekilde sunulmaktadır. 7.2.3 Değerlendiricinin görevleri 7.2.3.1 Sadece CC gereksinimlerine dayalı bir değerlendirme için değerlendirici görevleri Standard dışı gereksinimler içermeyen bir PP değerlendirmesi yapan değerlendiriciler Çizelge 2'de tarif edilen APE sınıfının gereksinimlerini uygulayacaklardır. Çizelge 2 - Koruma Profili aileleri - sadece CC gereksinimleri Sınıf Aile Kısaltılmış Adı

TOE tarifi (APE_DES) APE_DES

Güvenlik ortamı (APE_ENV) APE_ENV

PP tanıtımı (APE_INT) APE_INT

Güvenlik hedefleri (APE_OBJ) APE_OBJ

APE Sınıfı: Koruma Profili değerlendirmesi

IT güvenlik gereksinimleri (APE_REQ) APE_REQ 7.2.3.2 CC genişletilmiş değerlendirmesi için değerlendirici görevleri Standardın dışından gereksinimler içeren bir PP değerlendirmesi yapan değerlendiriciler Çizelge 3'te tarif edilen APE sınıfının gereksinimlerini uygulayacaklardır.


17

Çizelge 3 - Koruma Profili aileleri - CC genişletilmiş gereksinimleri Sınıf Aile Kısaltılmış Adı

TOE tarifi (APE_DES) APE_DES

Güvenlik ortamı (APE_ENV) APE_ENV

PP tanıtımı (APE_INT) APE_INT

Güvenlik hedefleri () APE_OBJ

TOE tarifi (APE_OBJ) APE_DES

IT güvenlik gereksinimleri (APE_REQ) APE_REQ

APE Sınıfı: Koruma Profili değerlendirmesi

Açıkça belirtilen IT güvenlik gereksinimleri (APE_SRE)

APE_SRE

7.3 Güvenlik Hedefi kriterlerine genel bakış 7.3.1 Güvenlik Hedefi değerlendirmesi ST değerlendirmesinin hedefi ST'nin bütün, tutarlı, teknik açıdan iyi ve böylece karşılık gelen TOE değerlendirmesinde kullanılmaya uygun olduğunu göstermektir. 7.3.2 Bu standarddaki diğer değerlendirme kriterleriyle ilişki Bir TOE'nin değerlendirilmesi için belirlenmiş iki aşama bulunmaktadır; ST değerlendirmesi ve karşılık gelen TOE değerlendirmesi. ST değerlendirmeleri için gereksinimler burada ve Madde 9'da tartışılmaktadır, TOE değerlendirmeleri için gereksinimler ise Madde 12 ila Madde 18’de yer almaktadır. ST değerlendirmesi bir PP iddiaları değerlendirmesi içermektedir. Eğer ST, PP'ye uyum iddiasında değilse, ST'nin PP iddiaları bölümü, TOE'nin herhangi bir PP'ye uyum iddiasında bulunmadığı yolunda bir ifade içerecektir. 7.3.3 Değerlendiricinin görevleri 7.3.3.1 Sadece CC gereksinimlerine dayalı bir değerlendirme için değerlendirici görevleri Standardın dışından gereksinimler içermeyen ST değerlendirmesi yapan değerlendiriciler, Çizelge 4'te tarif edilen ASE sınıfı gereksinimlerini uygulayacaktır. Çizelge 4 - Güvenlik Hedefi aileleri - sadece CC gereksinimleri Garanti Sınıfı Aile Kısaltılmış Adı

TOE tarifi (ASE_DES) ASE_DES

Güvenlik ortamı (ASE_ENV) ASE_ENV

ST tanıtımı (ASE_INT) ASE_INT

Güvenlik hedefleri (ASE_OBJ) ASE_OBJ

PP iddiaları (ASE_PPC) ASE_PPC

IT güvenlik gereksinimleri (ASE_REQ) ASE_REQ

ASE Sınıfı: Güvenlik Hedefi değerlendirmesi

TOE özet belirtimi (ASE_TSS) ASE_TSS 7.3.3.2 CC genişletilmiş değerlendirmesi için değerlendiricinin görevleri Standardın dışından gereksinimler içeren ST değerlendirmesi yapan değerlendiriciler, Çizelge 5'te tarif edilen ASE sınıfı gereksinimlerini uygulayacaktır.


18

Çizelge 5 - Güvenlik Hedefi aileleri - CC genişletilmiş gereksinimleri

Garanti Sınıfı Aile Kısaltılmış Adı

TOE tarifi (ASE_DES) ASE_DES

Güvenlik ortamı (ASE_ENV) ASE_ENV

ST tanıtımı (ASE_INT) ASE_INT

Güvenlik hedefleri (ASE_OBJ) ASE_OBJ

PP iddiaları (ASE_PPC) ASE_PPC

IT güvenlik gereksinimleri (ASE_REQ) ASE_REQ

Açıkça belirtilmiş IT güvenlik gereksinimleri (ASE_SRE)

ASE_SRE

ASE Sınıfı: Güvenlik Hedefi değerlendirmesi

TOE özet belirtimi (ASE_TSS) ASE_TSS 8 APE Sınıfı: Koruma Profili değerlendirmesi PP değerlendirmesinin amacı PP'nin bütün, tutarlı, teknik açıdan iyi olduğunu göstermektir. Değerlendirilmiş PP, ST'lerin geliştirilmesi için bir temel olarak kullanılmaya uygundur. Böyle bir PP, kütüğe eklenmeye uygundur. Şekil 6'da bu sınıftaki aileler ve bu ailelerin içindeki bileşenlerin hiyerarşisi gösterilmektedir.

Şekil 6 - APE: Koruma Profili değerlendirme sınıfının yapısı

APE_DES: TOE tarifi

APE_ENV: Güvenlik ortamı

APE_INT: PP tanıtımı

APE_OBJ: Güvenlik hedefleri

APE_REQ: IT güvenlik gereksinimleri

APE_SRE: Açıkça belirtilen IT güvenlik gereksinimleri

1

1

1

1

1

1


19

8.1 TOE Tarifi (APE_DES) 8.1.1 Hedefler TOE tarifi, TOE'nin güvenlik gereksinimlerinin anlaşılmasına yardım etmektedir. TOE tarifinin değerlendirilmesi, kendi içinde dengeye, tutarlılığa ve PP'nin diğer bölümleriyle tutarlılığa sahip olduğunu göstermek açısından gereklidir. 8.1.2 APE_DES.1 Koruma Profili, TOE tarifi, Değerlendirme gereksinimleri Bağımlılıklar: APE_ENV.1 Koruma Profili, Güvenlik ortamı, Değerlendirme gereksinimleri APE_INT.1 Koruma Profili, PP tanıtımı, Değerlendirme gereksinimleri APE_OBJ.1 Koruma Profili, Bilgi teknolojisi güvenlik gereksinimleri,

Değerlendirme gereksinimleri APE_REQ.1 Koruma Profili, Bilgi teknolojisi güvenlik gereksinimleri,

Değerlendirme gereksinimleri 8.1.2.1 Geliştirici eylem öğeleri 8.1.2.1.1 APE_DES.1.1D PP geliştiricisinin, PP'nin bir parçası olarak bir TOE tarifi sağlaması gerekir. 8.1.2.2 Kanıtın içeriği ve sunulması öğeleri 8.1.2.2.1 APE_DES.1.1C TOE tarifi asgari olarak ürün türünü ve TOE'nin genel bilgi teknolojisi özelliklerini tarif etmesi gerekir. 8.1.2.3 Değerlendirici eylem öğeleri 8.1.2.3.1 APE_DES.1.1E Değerlendiricinin, sağlanan bilginin, kanıtın içeriği ve sunulması açısından bütün gereksinimleri karşıladığını doğrulaması gerekir. 8.1.2.3.2 APE_DES.1.2E Değerlendiricinin, TOE tarifinin dengeli ve kendi içinde tutarlı olduğunu doğrulaması gerekir. 8.1.2.3.3 APE_DES.1.3E Değerlendiricinin, TOE tarifinin PP'nin diğer bölümleriyle tutarlı olduğunu doğrulaması gerekir. 8.2 Güvenlik ortamı (APE_ENV) 8.2.1 Hedefler PP'deki bilgi teknolojisi güvenlik gereksinimlerinin yeterli olup olmadığının belirlenmesi için çözülecek güvenlik sorununun değerlendirmedeki bütün taraflar tarafından açık bir şekilde anlaşılması çok önemlidir. 8.2.2 APE_ENV.1 Koruma Profili, Güvenlik ortamı, Değerlendirme gereksinimleri Bağımlılıklar: Hiçbir bağımlılık yoktur.


20

8.2.2.1 Geliştirici eylem öğeleri 8.2.2.1.1 APE_ENV.1.1D PP geliştiricisinin, PP'nin bir parçası olarak TOE güvenlik ortamıyla ilgili bir beyan sağlaması gerekir. 8.2.2.2 Kanıtın içeriği ve sunulması öğeleri 8.2.2.2.1 APE_ENV.1.1C TOE güvenlik ortamı beyanının, TOE'nin amaçlanan kullanımı ve TOE'nin kullanım ortamıyla ilgili, varsa, varsayımları belirtmesi ve açıklaması gerekir. 8.2.2.2.2 APE_ENV.1.2C TOE güvenlik ortamıyla ilgili beyanın, varlıklara karşı bilinen ya da varsayılan ve TOE ya da ortamı tarafından korunması gereken tehditleri belirtmesi ve açıklaması gerekir. 8.2.2.2.3 APE_ENV.1.3C TOE güvenlik ortamı beyanının, varsa, TOE'nin uyması gereken kurumsal güvenlik politikalarını belirtmesi ve açıklaması gerekir. 8.2.2.3 Değerlendirici eylem öğeleri 8.2.2.3.1 APE_ENV.1.1E Değerlendiricinin, sağlanan bilginin, kanıtın içeriği ve sunulması bakımından bütün gereksinimleri karşıladığını doğrulaması gerekir. 8.2.2.3.2 APE_ENV.1.2E Değerlendiricinin, TOE güvenlik ortamı beyanının dengeli ve kendi içinde tutarlı olduğunu doğrulaması gerekir. 8.3 PP tanıtımı (APE_INT) 8.3.1 Hedefler PP tanıtımı, bir PP kütüğünü çalıştırmak için gerekli belge yönetimi ve genel bakış bilgilerini içermektedir. PP tanıtımının değerlendirilmesi, PP'nin doğru bir şekilde belirlendiğini ve PP'nin diğer bütün bölümleriyle tutarlı olduğunu göstermek için gereklidir. 8.3.2 APE_INT.1 Koruma Profili, PP tanıtımı, Değerlendirme gereksinimleri Bağımlılıklar: APE_DES.1 Koruma Profili, TOE tarifi, Değerlendirme gereksinimleri APE_ENV.1 Koruma Profili, Güvenlik ortamı, Değerlendirme gereksinimleri APE_OBJ.1 Koruma Profili, Güvenlik hedefleri, Değerlendirme gereksinimleri APE_REQ.1 Koruma Profili, Bilgi teknolojisi güvenlik gereksinimleri, Değerlendirme

gereksinimleri 8.3.2.1 Geliştirici eylem öğeleri 8.3.2.1.1 APE.INT.1.1D PP geliştiricisinin, PP'nin bir parçası olarak bir PP tanıtımı sağlaması gerekir.


21

8.3.2.2 Kanıtın içeriği ve sunulması öğeleri 8.3.2.2.1 APE_INT.1.1C PP tanıtımının, PP'nin belirlenmesi, kataloglanması, kaydedilmesi ve çapraz gönderme yapılması için gerekli işaretleme ve tanıtma bilgisini içeren bir PP kimliği içermesi gerekir. 8.3.2.2.2 APE_INT.1.2C PP tanıtımının, PP'yi düz yazı şeklinde özetleyen bir PP'ye genel bakış içermesi gerekir. 8.3.2.3 Değerlendirici eylem öğeleri 8.3.2.3.1 APE_INT.1.1E Değerlendiricinin, sağlanan bilginin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 8.3.2.3.2 APE_INT.1.2E Değerlendiricinin, PP tanıtımının dengeli ve kendi içinde tutarlı olduğunu doğrulaması gerekir. 8.3.2.3.3 APE_INT.1.3.E Değerlendiricinin, PP tanıtımının PP'nin diğer bölümleriyle tutarlı olduğunu doğrulaması gerekir. 8.4 Güvenlik hedefleri (APE_OBJ) 8.4.1 Hedefler Güvenlik hedefleri güvenlik sorununa karşı amaçlanan tepkinin kısa bir açıklamasıdır. Belirtilen hedeflerin güvenlik sorununu uygun bir şekilde ele aldığını göstermek için güvenlik hedeflerinin değerlendirilmesi gerekmektedir. Güvenlik hedefleri, TOE için güvenlik hedefleri ve ortam için güvenlik hedefleri olarak sınıflandırılmaktadır. Hem TOE hem de ortam için güvenlik hedeflerinin, her biri tarafından karşı konulacak belirlenmiş tehditler ve/veya karşılanacak politikalar ve varsayımlara kadar uzandığı gösterilmelidir. 8.4.2 APE_OBJ.1 Koruma Profili, Güvenlik hedefleri, Değerlendirme gereksinimleri Bağımlılıklar: APE_ENV.1 Koruma Profili, Güvenlik ortamı, Değerlendirme gereksinimleri 8.4.2.1 Geliştirici eylem öğeleri 8.4.2.1.1 APE_OBJ.1.1D PP geliştiricisinin, PP'nin bir parçası olarak bir güvenlik hedefleri beyanı sağlaması gerekir. 8.4.2.1.2 APE_OBJ.1.2D PP geliştiricisinin, güvenlik hedeflerinin gerekçesini sunması gerekir. 8.4.2.2 Kanıtın içeriği ve sunulması öğeleri 8.4.2.2.1 APE_OBJ.1.1C Güvenlik hedefleri beyanının, TOE ve ortamı için güvenlik hedeflerini tanımlaması gerekir. 8.4.2.2.2 APE_OBJ.1.2C TOE güvenlik hedeflerinin açıkça belirtilmesi ve TOE tarafından karşılanacak belirlenmiş tehditlerin ve/veya TOE tarafından karşılanacak kurumsal güvenlik politikalarının yönlerine dayandırılması gerekir.


22

8.4.2.2.3 APE_OBJ.1.3C Ortam için güvenlik hedeflerinin açıkça belirtilmesi ve TOE tarafından bütünüyle karşılanmayan belirlenmiş tehditlerin ve/veya TOE tarafından bütünüyle karşılanmayan kurumsal güvenlik politikaları ya da varsayımların yönlerine dayandırılması gerekir. 8.4.2.2.4 APE_OBJ.1.4C Güvenlik hedefleri gerekçesinin, belirtilen güvenlik hedeflerinin güvenliğe yönelik belirlenmiş tehditleri karşılamaya uygun olduğunu göstermesi gerekir. 8.4.2.2.5 APE_OBJ.1.5C Güvenlik hedefleri gerekçesinin, belirtilen güvenlik hedeflerinin belirtilen bütün kurumsal güvenlik politikaları ve varsayımları karşılamaya uygun olduğunu göstermesi gerekir. 8.4.2.3 Değerlendirici eylem öğeleri 8.4.2.3.1 APE_OBJ.1.1E Değerlendiricinin, sağlanan bilginin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 8.4.2.3.2 APE_OBJ.1.2E Değerlendiricinin, güvenlik hedefleri beyanının dengeli ve kendi içinde tutarlı olduğunu doğrulaması gerekir. 8.5 Bilgi teknolojisi güvenlik gereksinimleri (APE_REQ) 8.5.1 Hedefler Bir TOE için seçilen ve bir PP'de sunulan ya da belirtilen bilgi teknolojisi güvenlik gereksinimlerinin, kendi içinde tutarlı olup olmadığının ve kendi güvenlik hedeflerine ulaşacak bir TOE'nin geliştirilmesini sağlayıp sağlamayacağının belirlenmesi için değerlendirilmesi gerekmektedir. PP'de ifade edilen güvenlik hedeflerinin hepsi uygun bir TOE tarafından karşılanmayabilir çünkü bazı TOE'ler bilgi teknolojisi ortamı tarafından karşılanması gereken bazı bilgi teknolojisi güvenlik gereksinimlerine dayanabilmektedir. Böyle bir durumda, ortamla ilgili bilgi teknolojisi güvenlik gereksinimleri açık bir şekilde belirtilmeli ve TOE gereksinimleriyle bağlamı içinde değerlendirilmelidir. Bu aile, değerlendiricinin bir PP'nin değerlendirilebilir bir TOE'nin gereksinimlerinin belirtilmesinde kullanılmaya uygun olduğunu belirlemesine olanak tanıyan değerlendirme gereksinimlerini sunmaktadır. Açıkça belirtilen gereksinimlerin değerlendirilmesi için gerekli ek kriterler APE_SRE ailesinde tarafından ele alınmaktadır. 8.5.2 Uygulama notları "Bilgi teknolojisi gereksinimleri" terimi "TOE güvenlik gereksinimleri" ve isteğe bağlı olarak yer alan "Bilgi teknolojisi için güvenlik gereksinimlerine" gönderme yapmaktadır. "TOE güvenlik gereksinimleri", "TOE güvenlik fonksiyonel gereksinimleri" ve/veya "TOE güvenlik garantisi gereksinimleri"ne gönderme yapmaktadır. APE_REQ.1 Koruma Profili, Bilgi teknolojisi güvenlik gereksinimleri, Değerlendirme gereksinimleri bileşeninde, "uygun" kelimesi bazı öğelerin bazı durumlarda seçeneklere olanak tanıdığını göstermek için kullanılmaktadır. Hangi seçeneklerin bulunduğu PP'de verilen duruma bağlıdır. Bütün bunlarla ilgili ayrıntılı bilgi CC Bölüm 1, Ek A'da verilmektedir.


23

CC, verilen bir TOE içinde birden çok SOF etki alanının geçerliliğini tanımaktadır. Bir SOF etki alanı, amaçlanan çevre bağlamında belirli bir işlevsel güç düzeyinin uygun olduğu TOE’nin (mantıksal ya da fiziksel) bir alt kümesidir. Bu, TOE’ye, diğer işlevsellikten daha yüksek en az güç gereksinimine sahip biraz işlevsellik izni verir. Birden çok SOF etki alanı olan bir TOE için, “en az işlev gücü” tümcesi, her etki alanı için, o etki alanı tarafından tanımlanan en az işlev gücünü içeren kümeyi belirtmek için kullanılır. Ek olarak, güvenlik hedefleri gerekçesinin, her etki alanı için, o etki alanının güvenlik hedeflerini gerçekleştirmeyi nasıl etkilediği ışığında, SOF düzeyini dikkate alması gerekir. 8.5.3 APE_REQ.1 Koruma Profili, Bilgi teknolojisi güvenlik gereksinimleri, Değerlendirme gereksinimleri Bağımlılıklar: APE_OBJ.1 Koruma Profili, Güvenlik hedefleri, Değerlendirme gereksinimleri 8.5.3.1 Geliştirici eylem öğeleri 8.5.3.1.1 APE_REQ.1.1D PP geliştiricisinin, PP'nin bir parçası olarak Bilgi teknolojisi güvenliği gereksinimleri beyanı sağlaması gerekir. 8.5.3.1.2 APE_REQ.1.2D PP geliştiricisinin, güvenlik gereksinimleri gerekçesini sağlaması gerekir. 8.5.3.2 Kanıtın içeriği ve sunulması öğeleri 8.5.3.2.1 APE_REQ.1.1C TOE güvenlik fonksiyonel gereksinimleri beyanının, CC Bölüm 2 fonksiyonel gereksinimler bileşenlerinden alınan TOE güvenlik fonksiyonel gereksinimlerini belirtmesi gerekir. 8.5.3.2.2 APE_REQ.1.2C TOE güvenlik garantisi gereksinimleri beyanının, CC Bölüm 3 garanti gereksinimi bileşenlerinden alınan TOE güvenlik garanti gereksinimlerini belirtmesi gerekir. 8.5.3.2.3 APE_REQ.1.3C TOE güvenlik garanti gereksinimleri beyanının, CC Bölüm 3'te tanımlandığı gibi bir Değerlendirme Garanti Düzeyi (EAL) içermesi önerilir. 8.5.3.2.4 APE_REQ.1.4C Kanıtın, TOE güvenlik garanti gereksinimleri beyanının uygun olduğunu doğrulaması gerekir. 8.5.3.2.5 APE_REQ.1.5C PP’nin, varsa, Bilgi teknolojisi güvenlik ortamı için güvenlik gereksinimlerini belirtmesi gerekir. 8.5.3.2.6 APE_REQ.1.6C PP'de yer alan Bilgi teknolojisi güvenlik gereksinimleriyle ilgili tamamlanmış bütün işlemler belirtilmesi gerekir. 8.5.3.2.7 APE_REQ.1.7C PP'de yer alan Bilgi teknolojisi güvenlik gereksinimleriyle ilgili tamamlanmamış bütün işlemler belirtilmesi gerekir.


24

8.5.3.2.8 APE_REQ.1.8C PP'de yer alan bilgi teknolojisi güvenlik gereksinimleriyle ilgili bağımlılıkların karşılanması önerilir. 8.5.3.2.9 APE_REQ.1.9C Kanıtın, bağımlılıkların karşılanmamasının neden uygun olduğunu açıklaması gerekir. 8.5.3.2.10 APE_REQ.1.10C PP’nin, TOE güvenlik fonksiyonel gereksinimleri için asgari fonksiyon gücü düzeyini, duruma göre, SOF-temel, SOF-orta ya da SOF-yüksek olarak beyanını içermesi gerekir. 8.5.3.2.11 APE_REQ.1.11C PP’nin, varsa açık bir fonksiyon gücünün uygun olduğu belirli bir TOE güvenlik fonksiyonel gereksinimini, ilgili ölçü ile birlikte belirtmesi gerekir. 8.5.3.2.12 APE_REQ.1.12C Güvenlik gereksinimleri gerekçesinin, PP için asgari fonksiyon gücü düzeyinin, herhangi bir açık fonksiyon gücü iddiası ile birlikte TOE'nin güvenlik hedefleriyle tutarlı olduğunu göstermesi gerekir. 8.5.3.2.13 APE_REQ.1.13.C Güvenlik gereksinimleri gerekçesinin, Bilgi teknolojisi güvenlik gereksinimlerinin güvenlik hedeflerine karşılamaya uygun olduğunu göstermesi gerekir. 8.5.3.2.14 APE_REQ.1.14 Güvenlik gereksinimleri gerekçesinin, Bilgi teknolojisi güvenlik gereksinimleri kümesinin birlikte birbirini destekleyen ve kendi içinde tutarlı bir bütün olduğunu göstermesi gerekir. 8.5.3.3 Değerlendirici eylem öğeleri 8.5.3.3.1 APE_REQ.1.1E Değerlendiricinin, sağlanan bilginin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 8.5.3.3.2 APE_REQ.1.2E Değerlendiricinin, Bilgi teknolojisi güvenlik gereksinimleri beyanının bütün, dengeli ve kendi içinde tutarlı olduğunu doğrulaması gerekir. 8.6 Açıkça belirtilen IT güvenlik gereksinimleri (APE_SRE) 8.6.1 Hedefler Eğer, dikkatli bir incelemeden sonra CC Bölüm 2 ya da CC Bölüm 3'teki gereksinim bileşenlerinden hiçbiri Bilgi teknolojisi güvenlik gereksinimlerinin bütününe ya da bir bölümüne uygulanamıyorsa, PP yazarı CC'ye gönderme yapmayan diğer gereksinimler belirtebilir. Bu gereksinimlerin neden kullanıldığı açıklanacaktır. Bu aile, değerlendiricinin açıkta belirtilen gereksinimlerin açık ve yanlış anlaşılmayacak şekilde ifade edildiğini belirlemesine olanak tanıyan değerlendirme gereksinimleri sunmaktadır. CC'den alınan gereksinimlerin ve bunun yanında geçerli açıkça belirtilmiş güvenlik gereksinimlerinin değerlendirilmesini APE_REQ ailesi ele almaktadır. Bir PP'de sunulan ya da belirtilen Bir TOE için açıkça belirtilmiş Bilgi teknolojisi güvenlik gereksinimlerinin, bunların açık ve yanlış anlaşılmayacak şekilde ifade edildiğini göstermek için değerlendirilmesi gerekmektedir.


25

8.6.2 Uygulama notları Açıkça belirtilen gereksinimlerin mevcut CC bileşenlerine ve öğelerine benzer bir yapıda oluşturulması benzer isimlendirme, ifade tarzı ve ayrıntı düzeyi seçilmesini içermektedir. CC gereksinimlerinin model olarak kullanılması, gereksinimlerin açık bir şekilde belirlenebilmesi, bunların bağımsız olması ve her bir gereksinimin uygulamasının mümkün olması ve TOE'nin o gereksinimin uyum beyanına dayanarak anlamlı bir değerlendirme sonucu vermesi anlamına gelmektedir. "Bilgi teknolojisi güvenlik gereksinimleri" terimi "TOE güvenlik gereksinimleri" ve isteğe bağlı olarak yer alan "Bilgi teknolojisi ortamı için güvenlik gereksinimlerine" gönderme yapmaktadır. "TOE güvenlik gereksinimleri" terimi "TOE güvenlik fonksiyonel gereksinimleri" ve/veya "TOE güvenlik garanti gereksinimleri"ne gönderme yapmaktadır. 8.6.3 APE_SRE.1 Koruma Profili, Açıkça belirtilen IT güvenlik gereksinimleri, Değerlendirme gereksinimleri Bağımlılıklar: APE_REQ.1 Koruma Profili, IT güvenlik gereksinimleri, Değerlendirme gereksinimleri 8.6.3.1 Geliştirici eylem öğeleri 8.6.3.1.1 APE_SRE.1.1D PP geliştiricisinin, PP'nin bir parçası olarak Bilgi güvenliği güvenlik gereksinimleriyle ilgili bir beyan sağlaması gerekir. 8.6.3.1.2 APE_SRE.1.2D PP geliştiricisinin, güvenlik gereksinimleri gerekçesini sağlaması gerekir. 8.6.3.2 Kanıtın içeriği ve sunulması öğeleri 8.6.3.2.1 APE_SRE.1.1C CC'ye gönderme yapmadan açıkça ifade edilen bütün TOE güvenlik gereksinimlerinin belirtilmesi gerekir. 8.6.3.2.2 APE_SRE.1.2C CC'ye gönderme yapmadan açıkça ifade edilen bütün güvenlik gereksinimlerinin belirtilmesi gerekir. 8.6.3.2.3 APE_SRE.1.3C Kanıtların güvenlik gereksinimlerinin neden açıkça ifade edilmek zorunda kalındığını açıklaması gerekir. 8.6.3.2.4 APE_SRE.1.4C Açıkça ifade edilen Bilgi teknolojisi güvenlik gereksinimlerinin, CC gereksinimleri bileşenleri, aileleri ve sınıflarını sunum için model olarak kullanması gerekir. 8.6.3.2.5 APE_SRE.1.5C Açıkça ifade edilen Bilgi teknolojisi güvenlik gereksinimlerinin ölçülebilir olaması ve TOE'nin uygunluğu ya da uygunsuzluğunun belirlenebilmesine ve sistemli olarak gösterilebilmesine olanak tanıyacak tarafsız değerlendirme gereksinimleri belirtmesi gerekir.


26

8.6.3.2.6 APE_SRE.1.6C Açıkça ifade edilen Bilgi teknolojisi güvenlik gereksinimlerinin, açık ve yanlış anlaşılmayacak şekilde ifade edilmesi gerekir. 8.6.3.2.7 APE_SRE.1.7C Güvenlik gereksinimleri gerekçesinin garanti gereksinimlerinin uygulanabilir ve, varsa, açıkça ifade edilen TOE güvenlik fonksiyon gereksinimlerini desteklemeye uygun olduğunu göstermesi gerekir. 8.6.3.3 Değerlendirici eylem öğeleri 8.6.3.3.1 APE_SRE.1.1E Değerlendiricinin, sağlanan bilginin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 8.6.3.3.2 APE_SRE.1.2E Değerlendiricinin, açıkça ifade edilen bütün Bilgi teknolojisi güvenlik gereksinimlerinin belirtilip belirtilmediğini belirlemesi gerekir. 9 ASE Sınıfı: Güvenlik Hedefi değerlendirmesi ST değerlendirmesinin amacı ST'nin bütün, tutarlı, teknik olarak sağlam ve böylece karşılık gelen TOE değerlendirmesinde temel alınmaya uygun olduğunu göstermektir. Şekil 7 bu sınıftaki aileler ve bu ailelerin içindeki bileşenlerin hiyerarşisi gösterilmektedir.

Şekil 7 - ASE: Güvenlik Hedefi değerlendirme sınıfının yapısı

ASE_DES: TOE tarifi

ASE_ENV: Güvenlik Ortamı

ASE_INT: ST tanıtımı

ASE_OBJ: Güvenlik hedefleri

ASE_PPC: PP iddiaları

ASE_REQ: IT güvenlik gereksinimleri

ASE_SRE: Açıkça belirtilen IT güvenlik gereksinimleri

ASE_TSS: TOE özet belirtimi

1

1

1

1

1

1

1

1


27

9.1 TOE tarifi (ASE_DES) 9.1.1 Hedefler TOE tarifi TOE'nin güvenlik gereksinimlerinin anlaşılmasına yardım etmektedir. TOE tarifinin değerlendirilmesi, dengeli, kendi içinde tutarlı ve ST'nin diğer bütün bölümleriyle tutarlı olduğunun gösterilmesi için gereklidir. 9.1.2 ASE_DES.1 Güvenlik Hedefi, TOE tarifi, Değerlendirme gereksinimleri Bağımlılıklar: ASE_ENV.1 Güvenlik Hedefi, Güvenlik ortamı, Değerlendirme gereksinimleri ASE_INT.1 Güvenlik Hedefi, ST tanıtımı, Değerlendirme gereksinimleri ASE_OBJ.1 Güvenlik Hedefi, Güvenlik amaçları, Değerlendirme gereksinimleri ASE_PPC.1 Güvenlik Hedefi, PP iddiaları, Değerlendirme gereksinimleri ASE_REQ.1 Güvenlik Hedefi, Bilgi teknolojisi güvenlik gereksinimleri, Değerlendirme

gereksinimleri ASE_TSS.1 Güvenlik Hedefi, TOE özet belirtimi, Değerlendirme gereksinimleri 9.1.2.1 Geliştirici eylem öğeleri 9.1.2.1.1 ASE_DES.1.1D Geliştiricinin, ST'nin bir parçası olarak bir TOE tarifi sağlaması gerekir. 9.1.2.2 Kanıtın içeriği ve sunulması öğeleri 9.1.2.2.1 ASE_DES.1.1C TOE tarifinin, en azından ürün ya da sistem türünü ve TOE'nin kapsamı ya da sınırlarını genel terimlerle hem fiziksel hem de mantıksal bir şekilde tarif etmesi gerekir. 9.1.2.3 Değerlendirici eylem öğeleri 9.1.2.3.1 ASE_DES.1.1E Değerlendiricinin, sağlanan bilginin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 9.1.2.3.2 ASE_DES.1.2E Değerlendiricinin, TOE tarifinin dengeli ve kendi içinde tutarlı olduğunu doğrulaması gerekir. 9.1.2.3.3 ASE_DES.1.3E Değerlendiricinin, TOE tarifinin ST'nin diğer bölümleriyle tutarlı olduğunu doğrulaması gerekir. 9.2 Güvenlik ortamı (ASE_ENV) 9.2.1 Hedefler ST'deki bilgi teknolojisi güvenlik gereksinimlerinin yeterli olup olmadığını belirlemek için, çözülecek güvenlik sorununun bu değerlendirmedeki bütün taraflar tarafından açık bir şekilde anlaşılması önemlidir. 9.2.2 ASE_ENV.1 Güvenlik Hedefi, Güvenlik ortamı, Değerlendirme gereksinimleri Bağımlılıklar: Hiçbir bağımlılık yoktur.


28

9.2.2.1 Geliştirici eylem elemanları 9.2.2.1.1 ASE_ENV.1.1D Geliştiricinin, ST'nin bir parçası olarak bir TOE güvenlik ortamı beyanı sağlaması gerekir. 9.2.2.2 Kanıtın içeriği ve sunulması öğeleri 9.2.2.2.1 ASE_ENV.1.1C TOE güvenlik ortamı beyanının, TOE'nin amaçlanan kullanımı ve TOE'nin kullanım ortamıyla ilgili, varsa, varsayımları belirtmesi ve açıklaması gerekir. 9.2.2.2.2 ASE_ENV.1.2C TOE güvenlik ortamı beyanının, TOE ya da ortamı tarafından korunması gerekecek varlıklara karşı, varsa, bilinen ya da öngörülen tehditleri belirtmesi ve açıklaması gerekir. 9.2.2.2.3 ASE_ENV.1.3C TOE güvenlik ortamı beyanının, varsa, TOE'nin uyması gereken kurumsal güvenlik politikalarını belirtmesi ve açıklaması gerekir. 9.2.2.3 Değerlendirici eylem öğeleri 9.2.2.3.1 ASE_ENV.1.1E Değerlendiricinin, sağlanan bilginin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 9.2.2.3.2 ASE_ENV.1.2E Değerlendiricinin, TOE güvenlik ortamı beyanının dengeli ve kendi içinde tutarlı olduğunu doğrulaması gerekir. 9.3 ST tanıtımı (ASE_INT) 9.3.1 Hedefler ST tanıtımı kimlik ve tasnif malzemesi içermektedir. ST tanıtının değerlendirilmesi, ST'nin doğru bir şekilde belirlendiğinin ve ST'nin diğer bölümleriyle tutarlı olduğunu göstermek için gereklidir. 9.3.2 ASE_INT.1 Güvenlik Hedefi, ST tanıtımı, Değerlendirme gereksinimleri Bağımlılıklar: ASE_DES.1 Güvenlik Hedefi, TOE tarifi, Değerlendirme gereksinimleri ASE_ENV.1 Güvenlik Hedefi, Güvenlik ortamı, Değerlendirme gereksinimleri ASE_OBJ.1 Güvenlik Hedefi, Güvenlik amaçları, Değerlendirme gereksinimleri ASE_PPC.1 Güvenlik Hedefi, PP iddiaları, Değerlendirme gereksinimleri

ASE_REQ.1 Güvenlik Hedefi, Bilgi teknolojisi güvenlik gereksinimleri, Değerlendirme

gereksinimleri ASE_TSS.1 Güvenlik Hedefi, TOE özet belirtimi, Değerlendirme gereksinimleri


29

9.3.2.1 Geliştirici eylem öğeleri 9.3.2.1.1 ASE_INT.1.1D Geliştiricinin, ST'nin bir parçası olarak bir ST tanıtımı sunması gerekir. 9.3.2.2 Kanıtın içeriği ve sunulması öğeleri 9.3.2.2.1 ASE_INT.1.1C ST tanıtımının, ST'yi ve gönderme yaptığı TOE'yi kontrol etmek ve tanımak için gerekli sınıflandırma ve tanıtım bilgisini sağlayan bir ST kimliği içermesi gerekir. 9.3.2.2.2 ASE_INT.1.2C ST tanıtımının, ST'yi düz yazı olarak özetleyen bir ST'ye genel bakış içermesi gerekir. 9.3.2.2.3 ASE_INT.1.3C ST tanıtımının, TOE için herhangi bir değerlendirilebilir CC iddiasını belirten bir CC uyum iddiası içermesi gerekir. 9.3.2.3 Değerlendirici eylem öğeleri 9.3.2.3.1 ASE_INT.1.1E Değerlendiricinin, sağlanan bilginin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 9.3.2.3.2 ASE_INT.1.2E Değerlendiricinin, ST tanıtımının dengeli ve kendi içinde tutarlı olduğunu doğrulaması gerekir. 9.3.2.3.3 ASE_INT.1.3E Değerlendiricinin, ST tanıtımının ST'nin diğer bölümleriyle tutarlı olduğunu doğrulaması gerekir. 9.4 Güvenlik hedefleri (ASE_OBJ) 9.4.1 Hedefler Güvenlik hedefleri, güvenlik sorununa karşı gösterilmesi amaçlanan tepkinin kısaca belirtilmesinden oluşmaktadır. Güvenlik hedeflerinin değerlendirilmesi, belirtilen hedeflerin güvenlik sorununu uygun bir şekilde ele alıp almadığını göstermek için gereklidir. Güvenlik hedefleri TOE için güvenlik hedefleri ve ortam için güvenlik hedefleri olarak sınıflandırılmaktadır. Hem TOE hem de ortam için güvenlik hedeflerinin her biri tarafından karşılanacak belirlenmiş hedeflere ve/veya politika ya da varsayımlara dayandırıldığı gösterilmelidir. 9.4.2 ASE_OBJ.1 Güvenlik Hedefi, Güvenlik hedefleri, Değerlendirme gereksinimleri Bağımlılıklar: ASE_ENV.1 Güvenlik Hedefi, Güvenlik ortamı, Değerlendirme gereksinimleri 9.4.2.1 Geliştirici eylem öğeleri 9.4.2.1.1 ASE_OBJ.1.1D Geliştiricinin, ST'nin bir parçası olarak bir güvenlik hedefleri beyanı sağlaması gerekir. 9.4.2.1.2 ASE_OBJ.1.2D Geliştiricinin, güvenlik hedefleri gerekçesini sağlaması gerekir.


30

9.4.2.2 Kanıt içeriği ve sunulması öğeleri 9.4.2.2.1 ASE_OBJ.1.1C Güvenlik hedefleri beyanının, TOE ve ortamı için güvenlik hedeflerini tanımlaması gerekir. 9.4.2.2.2 ASE_OBJ.1.2C TOE için güvenlik hedeflerinin açık bir şekilde belirtilmesi ve TOE tarafından karşılanacak belirlenmiş tehditlerin ve/veya TOE tarafından karşılanacak kurumsal güvenlik politikaları ya da varsayımların yönlerine dayandırılması gerekir. 9.4.2.2.3 ASE_OBJ.1.3C Ortam için güvenlik hedeflerinin açık bir şekilde belirtilmesi ve TOE tarafından bütünüyle karşılanmayan belirlenmiş tehditleri ve/veya TOE tarafından bütünüyle karşılanmayan kurumsal güvenlik politikaları ya da varsayımların yönlerine dayandırılması gerekir. 9.4.2.2.4 ASE_OBJ.1.4C Güvenlik hedefleri gerekçesinin, belirtilen güvenlik hedeflerinin belirlenmiş güvenliğe yönelik tehditleri karşılamaya uygun olduğunu göstermesi gerekir. 9.4.2.2.5 ASE_OBJ.1.5C Güvenlik hedefleri gerekçesinin, belirtilen güvenlik hedeflerinin, belirlenmiş bütün kurumsal güvenlik politikaları ve varsayımlarını kapsamaya uygun olduğunu göstermesi gerekir. 9.4.2.3 Değerlendirici eylem öğeleri 9.4.2.3.1 ASE_OBJ.1.1E Değerlendiricinin, sağlanan bilginin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 9.4.2.3.2 ASE_OBJ.1.2E Değerlendiricinin, güvenlik hedefleri beyanının bütün, dengeli ve kendi içinde tutarlı olduğunu doğrulaması gerekir. 9.5 PP iddiaları (ASE_PPC) 9.5.1 Hedefler Güvenlik Hedefi PP iddialarının değerlendirilmesinin amacı ST'nin PP'nin doğru bir şekilde somutlaştırılmış hali olup olmadığını belirlemektir. 9.5.2 Uygulama notları Bu aile sadece bir PP iddiası durumunda geçerlidir. Diğer bütün durumlarda hiçbir geliştirici eylemi ve hiçbir değerlendirici eylemi gerekli değildir. Her ne kadar bir PP iddiası olduğunda ek değerlendirme etkinliği gerekli olsa da, ST değerlendirme çalışması genelde hiçbir PP'nin kullanılmadığı durumlara göre daha küçüktür çünkü PP değerlendirme sonuçlarının PP değerlendirmesi için yeniden kullanılması mümkündür. 9.5.3 ASE_PPC.1 Güvenlik Hedefi, PP iddiaları, Değerlendirme gereksinimleri Bağımlılıklar: ASE_OBJ.1 Güvenlik Hedefi, Güvenlik hedefleri, Değerlendirme gereksinimleri ASE_REQ.1 Güvenlik Hedefi, Bilgi teknolojisi güvenlik gereksinimleri, Değerlendirme

gereksinimleri


31

9.5.3.1 Geliştirici eylem öğeleri 9.5.3.1.1 ASE_PPC.1.1D Geliştiricinin, varsa PP iddialarını ST'nin bir parçası olarak sağlaması gerekir. 9.5.3.1.2 ASE_PPC.1.2D Geliştiricinin, sağlanan her PP iddiası için PP iddiaları gerekçesini sağlaması gerekir. 9.5.3.2 Kanıtın içeriği ve sunulması öğeleri 9.5.3.2.1 ASE_PPC.1.1C Her PP iddiasının uygunluk iddiasında bulunulan PP'yi belirtmesi gerekir ki buna o iddia için gerekli nitelikler de dahildir. 9.5.3.2.2 ASE_PPC.1.2C Her PP iddiasının, PP'nin izin verilen işlemlerini karşılayan ya da PP gereksinimlerini ek olarak niteleyen Bilgi teknolojisi güvenlik gereksinimlerini belirtmesi gerekir. 9.5.3.2.3 ASE_PPC.1.3C Her bir PP iddiasının, PP'dekilere ek olarak ST'de yer alan güvenlik hedefleri ve Bilgi güvenliği gereksinimleri beyanlarını belirtmesi gerekir. 9.5.3.3 Değerlendirici eylem öğeleri 9.5.3.3.1 ASE_PPC.1.1E Değerlendiricinin, sağlanan bilginin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 9.5.3.3.2 ASE_PPC.1.2E Değerlendiricinin, PP iddialarının PP'nin doğru bir şekilde somutlaştırılmış hali olduğunu doğrulaması gerekir. 9.6 Bilgi teknolojisi güvenlik gereksinimleri (ASE_REQ) 9.6.1 Hedefler Bir TOE için seçilen ve bir ST'de belirtilen Bilgi teknolojisi güvenlik gereksinimlerinin bunların kendi içinde tutarlı ve güvenlik hedeflerine ulaşacak bir TOE'nin geliştirilmesini sağlayacağını doğrulamak için değerlendirilmesi gerekmektedir. Bu aile, değerlendiricinin bir ST'nin karşılık gelen TOE'nin gereksinimlerinin beyanı için kullanılmaya uygun olduğunu belirlemesine olanak tanıyan değerlendirme gereksinimlerini sunmaktadır. 9.6.2 Uygulama notları "Bilgi teknolojisi güvenlik gereksinimleri", "TOE güvenlik gereksinimleri" ve isteğe bağlı olarak yer alan "Bilgi teknolojisi için güvenlik gereksinimleri"ne gönderme yapmaktadır. "TOE güvenlik gereksinimleri", "TOE güvenlik fonksiyonel gereksinimleri" ve/veya "TOE güvenlik garanti gereksinimleri"ne gönderme yapmaktadır. ASE_REQ.1 bileşeninde, "uygun" kelimesi bazı öğelerin bazı durumlarda seçeneklere olanak tanıdığını göstermek için kullanılmaktadır. Hangi seçeneklerin bulunduğu ST'deki bağlama bağlıdır. Bütün bu yönlerle ilgili ayrıntılı bilgi CC Bölüm 1, Ek C'de bulunmaktadır.


32

9.6.3 ASE_REQ.1 Güvenlik Hedefi, Bilgi teknolojisi güvenlik gereksinimleri, Değerlendirme gereksinimleri Bağımlılıklar: ASE_OBJ.1 Güvenlik Hedefi, Güvenlik hedefleri, Değerlendirme gereksinimleri 9.6.3.1 Geliştirici eylem öğeleri 9.6.3.1.1 ASE_REQ.1.1D Geliştiricinin, ST'nin bir parçası olarak bir Bilgi teknolojisi güvenliği gereksinimleri beyanı sağlaması gerekir. 9.6.3.1.2 ASE_REQ.1.2D Geliştiricinin, güvenlik gereksinimleri gerekçesi sağlaması gerekir. 9.6.3.2 Kanıtın içeriği ve sunulması öğeleri 9.6.3.2.1 ASE_REQ.1.1C TOE güvenlik fonksiyonel gereksinimleri beyanının, CC Bölüm 2 fonksiyonel gereksinimler bileşenlerinden alınan TOE güvenlik fonksiyonel gereksinimlerini belirtmesi gerekir. 9.6.3.2.2 ASE_REQ.1.2C TOE güvenlik garanti gereksinimleri beyanının, CC Bölüm 3 garanti gereksinimleri bileşenlerinden alınan TOE güvenlik garanti gereksinimlerini belirtmesi gerekir. 9.6.3.2.3 ASE_REQ.1.3C TOE güvenlik garanti gereksinimleri beyanının, CC Bölüm 3'te tarif edilen bir Değerlendirme Garanti Düzeyi'ni (EAL) içermesi önerilir. 9.6.3.2.4 ASE_REQ.1.4C Kanıtların TOE güvenlik garanti gereksinimleri beyanının uygun olduğunu doğrulaması gerekir. 9.6.3.2.5 ASE_REQ.1.5C ST’nin, varsa, Bilgi teknolojisi ortamı için güvenlik gereksinimlerini belirtmesi gerekir. 9.6.3.2.6 ASE_REQ.1.6C ST'de yer alan Bilgi teknolojisi güvenlik gereksinimlerinin çalışmalarının belirtilmesi ve gerçekleştirilmesi gerekir. 9.6.3.2.7 ASE_REQ.1.7C ST'de yer alan Bilgi teknolojisi gereksinimleri arasındaki bağımlılıkların karşılanması önerilir. 9.6.3.2.8 ASE_REQ.1.8C Kanıtların, bağımlılıkların karşılanmamasının neden uygun olduğunu açıklaması gerekir. 9.6.3.2.9 ASE_REQ.1.9C ST’nin, TOE güvenlik fonksiyonel gereksinimleri için asgari bir fonksiyon gücü düzeyi beyanı içermesi gerekir, örneğin, duruma göre, SOF-temel, SOF-orta ya da SOF-yüksek olarak.


33

9.6.3.2.10 ASE_REQ.1.10C ST’nin, belirli bir fonksiyon gücünün uygun olduğu herhangi bir TOE güvenlik fonksiyonel gereksinimini ilgili ölçüyle birlikte belirtmesi gerekir. 9.6.3.2.11 ASE_REQ.1.11C Güvenlik gereksinimleri gerekçesinin, ST için asgari fonksiyon gücü düzeyinin, varsa açık bir fonksiyon gücü iddiasıyla birlikte TOE'nin güvenlik hedefleriyle tutarlı olduğunu göstermesi gerekir. 9.6.3.2.12 ASE_REQ.1.12C Güvenlik gereksinimleri gerekçesinin, Bilgi teknolojisi güvenlik gereksinimlerinin güvenlik hedeflerini karşılamaya uygun olduğunu göstermesi gerekir. 9.6.3.2.13 ASE_REQ.1.13C Güvenlik gereksinimleri gerekçesinin, Bilgi teknolojisi güvenlik gereksinimleri kümesinin birlikte birbirini destekleyen ve kendi içinde tutarlı bir bütün oluşturduğunu göstermesi gerekir. 9.6.3.3 Değerlendirici eylem öğeleri 9.6.3.3.1 ASE_REQ.1.1E Değerlendiricinin, sağlanan bilginin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 9.6.3.3.2 ASE_REQ.1.2E Değerlendiricinin, Bilgi teknolojisi güvenlik gereksinimleri beyanının bütün, dengeli ve kendi içinde tutarlı olduğunu doğrulaması gerekir. 9.7 Açıkça belirtilen IT güvenlik gereksinimleri (ASE_SRE) 9.7.1 Hedefler Eğer dikkatli bir incelemeden sonra CC Bölüm 2 ya da CC Bölüm 3'teki güvenlik gereksinimlerinin hiçbiri Bilgi teknolojisi sisteminin bütününe ya da bazı bölümlerine kolayca uygulanamıyorsa, ST yazarı CC'ye gönderme yapmayan başka gereksinimler belirtebilir. Bu gereksinimlerin neden kullanıldığı açıklanacaktır. Bu aile değerlendiricinin açıkça belirtilen gereksinimlerin açık ve yanlış anlaşılmayacak bir şekilde ifade edildiğini belirlemesine olanak tanıyan değerlendirme gereksinimleri sunmaktadır. Geçerli açıkça belirtilen güvenlik gereksinimleriyle birlikte CC'den alınan gereksinimlerin değerlendirilmesi ASE_REQ ailesi tarafından ele alınmaktadır. Bir TOE için ST'de sunulan ya da belirtilen, açıkça belirtilmiş Bilgi teknolojisi güvenlik gereksinimlerinin, açık ve yanlış anlaşılmayacak bir şekilde ifade edildiğinin gösterilmesi için değerlendirilmesi gerekmektedir. 9.7.2 Uygulama notları Açıkça belirtilen gereksinimlerin mevcut CC bileşenleri ve öğelerine benzer bir yapıda oluşturulması benzer sınıflandırma, ifade biçimi ve ayrıntı düzeyi seçilmesini içermektedir. CC gereksinimlerinin model olarak kullanılması, gereksinimlerin açık bir şekilde belirtilebilmesi, bağımsız olmaları ve her gereksinimin uygulanmasının mümkün olması ve TOE'nin o gereksinim için uygunluk beyanına göre anlamlı bir değerlendirme sonucu sağlaması anlamına gelmektedir. "Bilgi teknolojisi güvenlik gereksinimleri" terimi "TOE güvenlik gereksinimleri"ne ve isteğe bağlı olarak yer alan "Bilgi teknolojisi için güvenlik gereksinimlerine" gönderme yapmaktadır. "TOE güvenlik gereksinimleri" de "TOE güvenlik fonksiyonel gereksinimleri" ve/veya "TOE güvenlik garanti gereksinimleri"ne gönderme yapmaktadır.


34

9.7.3 ASE_SRE.1 Güvenlik Hedefi, Açıkça belirtilen IT güvenlik gereksinimleri, Değerlendirme gereksinimleri Bağımlılıklar: ASE_REQ.1 Güvenlik Hedefi, Bilgi teknolojisi güvenlik gereksinimleri, Değerlendirme gereksinimleri 9.7.3.1 Geliştirici eylem öğeleri 9.7.3.1.1 ASE_SRE.1.1D Geliştiricinin, ST'nin bir parçası olarak bir Bilgi teknolojisi güvenlik gereksinimleri beyanı sağlaması gerekir. 9.7.3.1.2 ASE_SRE.1.2D Geliştiricinin, güvenlik gereksinimleri gerekçesini sağlaması gerekir. 9.7.3.2 Kanıtın içeriği ve sunulması öğeleri 9.7.3.2.1 ASE_SRE.1.1C CC'ye gönderme yapmadan açıkça ifade edilen bütün TOE güvenlik gereksinimlerinin belirtilmesi gerekir. 9.7.3.2.2 ASE_SRE.1.2C Bilgi teknolojisi ortamı için CC'ye gönderme yapmadan açıkça ifade edilen bütün güvenlik gereksinimlerinin belirtilmesi gerekir. 9.7.3.2.3 ASE_SRE.1.3C Kanıtların güvenlik gereksinimlerinin neden açıkça belirtilmesi gerektiğini açıklaması gerekir. 9.7.3.2.4 ASE_SRE.1.4C Açıkça belirtilen Bilgi teknolojisi güvenlik gereksinimlerinin, CC gereksinimleri bileşenleri, aileleri ve sınıflarını sunum için model olarak kullanması gerekir. 9.7.3.2.5 ASE_SRE.1.5C Açıkça belirtilen Bilgi teknolojisi güvenlik gereksinimlerinin ölçülebilir olması ve TOE'nin uygunluğu ya da uygunsuzluğu belirlenebilecek ve sistemli olarak gösterilebilecek şekilde tarafsız değerlendirme gereksinimlerini belirtmesi gerekir. 9.7.3.2.6 ASE_SRE.1.6C Açıkça belirtilen Bilgi teknolojisi güvenlik gereksinimlerinin açık ve yanlış anlaşılmayacak bir şekilde ifade edilmesi gerekir. 9.7.3.2.7 ASE_SRE.1.7C Güvenlik gereksinimleri gerekçesinin, garanti gereksinimlerinin uygulanabilir ve açıkça belirtilmiş TOE güvenlik fonksiyonel gereksinimlerini karşılamaya uygun olduğunu göstermesi gerekir. 9.7.3.3 Değerlendirici eylem öğeleri 9.7.3.3.1 ASE_SRE.1.1E Değerlendiricinin, sağlanan bilginin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir.


35

9.7.3.3.2 ASE_SRE.1.2E Değerlendiricinin, açıkça belirtilen Bilgi teknolojisi güvenlik gereksinimlerinin bütün bağımlılıklarının belirtildiğini belirlemesi gerekir. 9.8 TOE özet belirtimi (ASE_TSS) 9.8.1 Hedefler TOE özet belirtimi, fonksiyonel gereksinimleri ve garanti gereksinimlerini karşılamak üzere alınan garanti önlemlerini karşıladığı iddia edilen güvenlik fonksiyonlarının yüksek düzeyde bir tanımını sağlamaktadır. 9.8.2 Uygulama notları Bilgi teknolojisi güvenlik fonksiyonlarıyla TOE güvenlik fonksiyonel gereksinimleri arasındaki ilişki "birçoktan birçoğa" ilişkisi olabilir. Ama yine de, her güvenlik fonksiyonu, TSF'yi açık bir şekilde tanımlayabilmek için en az bir güvenlik gereksiniminin karşılanmasına katkıda bulunacaktır. Bu gereksinimi karşılamayan güvenlik fonksiyonları normalde gerekli olmamalıdır. Ama, bir güvenlik fonksiyonunun en az bir güvenlik gereksiniminin karşılanmasına katkıda bulunması gereksiniminin çok genel bir şekilde ifade edildiğine dikkat edin; bu nedenle, TOE için kullanışlı olduğu bulunan bütün güvenlik fonksiyonlarının kullanımı haklı gösterilebilir. Garanti önlemleri beyanı, CC'den alınmayan garanti gereksinimlerinin ST'de yer aldığı bütün durumlarda özellikle önemlidir. ST'deki TOE güvenlik garanti gereksinimleri sadece CC değerlendirme garanti düzeylerine ya da diğer CC Bölüm 3 garanti bileşenlerine dayanıyorsa, o zaman garanti önlemleri, garanti gereksinimlerinin karşılandığını gösteren, belgelere göndermeler şeklinde sunulabilir. ASE_TSS.1 bileşeninde, "uygun" kelimesi bazı öğelerin bazı durumlarda seçeneklere olanak tanıdığını göstermek için kullanılmaktadır. Hangi seçeneklerin bulunduğu ST'deki bağlama bağlıdır. Bütün bu yönlerle ilgili ayrıntılı bilgi CC Bölüm 1, Ek C'de yer almaktadır. 9.8.3 ASE_TSS.1 Güvenlik Hedefi, TOE özet belirtimi, Değerlendirme gereksinimleri Bağımlılıklar: ASE_REQ.1 Güvenlik Hedefi, Bilgi teknolojisi güvenlik gereksinimleri, Değerlendirme

gereksinimleri 9.8.3.1 Geliştirici eylem öğeleri 9.8.3.1.1 ASE_TSS.1.1D Geliştiricinin, ST'nin bir parçası olarak bir TOE özet belirtimi sağlaması gerekir. 9.8.3.1.2 ASE_TSS.1.2D Geliştiricinin, TOE özet belirtimi gerekçesini sağlaması gerekir. 9.8.3.2 Kanıtın içeriği ve sunulması öğeleri 9.8.3.2.1 ASE_TSS.1.1C TOE özet belirtiminin Bilgi teknolojisi güvenlik fonksiyonlarını ve TOE garanti önlemlerini tarif etmesi gerekir. 9.8.3.2.2 ASE_TSS.1.2C TOE özet belirtiminin, Bilgi teknolojisi güvenlik fonksiyonlarını TOE güvenlik fonksiyonel gereksinimlerine dayandırması gerekir, öyle ki hangi Bilgi teknolojisi güvenlik fonksiyonunun hangi TOE güvenlik fonksiyonel gereksinimini karşıladığı ve her Bilgi teknolojisi güvenlik fonksiyonunun en az bir TOE güvenlik fonksiyonel gereksiniminin karşılanmasına katkıda bulunduğu görülebilecektir.


36

9.8.3.2.3 ASE_TSS.1.3C Bilgi teknolojisi güvenlik fonksiyonlarının, amaçlarının anlaşılmasına yetecek bir ayrıntı düzeyinde biçimsel olmayan bir şekilde tanımlanması gerekir. 9.8.3.2.4 ASE_TSS.1.4C ST'de yer alan güvenlik mekanizmalarına bütün göndermelerin, her bir fonksiyonun uygulanmasında hangi güvenlik mekanizmalarının kullanıldığının görülmesi için ilgili güvenlik fonksiyonlarına dayandırılması gerekir. 9.8.3.2.5 ASE_TSS.1.5C TOE özet belirtimi gerekçesinin Bilgi teknolojisi güvenlik fonksiyonlarının TOE güvenlik fonksiyonel gereksinimlerini karşılamaya uygun olduğunu göstermesi gerekir. 9.8.3.2.6 ASE_TSS.1.6C TOE özel belirtimi gerekçesinin, belirtilen Bilgi teknolojisi güvenlik fonksiyonları grubunun TOE güvenlik fonksiyonel gereksinimlerini karşılamak için birlikte çalıştığını göstermesi gerekir. 9.8.3.2.7 ASE_TSS.1.7C TOE özel belirtimi, hangi önlemlerin hangi gereksinimlerin karşılanmasına katkıda bulunduğunun görülmesi için garanti önlemlerini garanti gereksinimlerine dayandıracaktır. 9.8.3.2.8 ASE_TSS.1.8C TOE özet belirtimi gerekçesinin garanti önlemlerinin TOE'nin bütün garanti gereksinimlerini karşıladığını göstermesi gerekir. 9.8.3.2.9 ASE_TSS.1.9C TOE özet belirtiminin, duruma göre, olasılık ya da permütasyon mekanizmalarıyla gerçekleştirilen bütün Bilgi teknolojisi güvenlik fonksiyonlarını belirtmesi gerekir. 9.8.3.2.10 ASE_TSS.1.10C TOE özet belirtiminin, uygun olan her bir Bilgi teknolojisi güvenlik fonksiyonu için, fonksiyon gücü iddiasını ya belirli bir ölçü olarak ya da SOF-temel, SOF-orta ya da SOF-yüksek olarak belirtmesi gerekir. 9.8.3.3 Değerlendirici eylem öğeleri 9.8.3.3.1 ASE_TSS.1.1E Değerlendiricinin, sağlanan bilginin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 9.8.3.3.2 ASE_TSS.1.2E Değerlendiricinin, TOE özet belirtiminin bütün, dengeli ve kendi içinde tutarlı olduğunu doğrulaması gerekir. 10 Değerlendirme garanti düzeyleri Değerlendirme Garanti Düzeyleri (EAL'ler), elde edilen garanti düzeyini o derecede garanti elde edilmesinin maliyeti ve olabilirliğiyle dengeleyen artan bir ölçek sağlamaktadır. CC yaklaşımı bir TOE'deki ayrı garanti kavramlarını değerlendirmenin sonunda ve bu garantinin sürdürülmesini de TOE'nin çalışma sırasında kullanımında belirtmektedir.


37

CC Bölüm 3'ten bütün ailelerin ve bileşenlerin EAL'lerde yer almadığına dikkat etmek gerekiyor. Bu, bunların anlamlı ve arzu edilen garantiler sağlamadığı anlamına gelmiyor. Bunun yerine, bu aileler ve bileşenlerin kullanım sağladıkları PP'ler ve ST'lerde bir EAL'in arttırılmasında göz önünde bulundurulması beklenmektedir. 10.1 Değerlendirme garanti düzeyine (EAL) genel bakış Çizelge 6'da EAL'lerin bir özeti sunulmaktadır. Sütunlar hiyerarşik olarak dizilmiş EAL'leri gösterirken satırlar garanti ailelerini göstermektedir. Oluşan matristeki her rakam, varsa, belirli bir garanti bileşenini belirtmektedir. Sonraki alt maddede genel olarak verildiği gibi, CC'de TOE'nin garantisinin sınıflandırılması için yedi hiyerarşik olarak düzenlenmiş değerlendirme garanti düzeyi tanımlanmaktadır. Bunlar hiyerarşik bir düzene sahiptir ve her bir EAL altındaki bütün EAL'lerden daha fazla garantiyi temsil etmektedir. EAL'den EAL'e garantideki artış, aynı garanti ailesinden hiyerarşik olarak daha yüksek bir garanti bileşiminin ikame edilmesi (yani, kesinlik, kapsam ve/veya derinliğin arttırılması) ve başka garanti ailelerinden garanti bileşenlerinin eklenmesiyle (yani, yeni gereksinimler eklenmesi) gerçekleştirilmektedir. Bu EAL'ler, bu standardın Madde 6'sında tarif edildiği gibi uygun garanti bileşenlerinin bir araya getirilmesinden oluşmaktadır. Daha da ayrıntılı belirtmek gerekirse, her EAL her garanti ailesinden birden fazla bileşen içermemektedir ve her bileşenin bütün garanti bağımlılıkları karşılanmaktadır. EAL'ler CC'de tarif edilse de, diğer garanti kombinasyonlarının temsil edilmesi mümkündür. Özellikle de, "arttırma" kavramı, EAL'e garanti bileşenleri eklenmesine (EAL'de yer almayan garanti ailelerinden) ya da garanti bileşenlerinin ikame edilmesine (aynı garanti ailesindeki başka bir hiyerarşik olarak daha yüksek garanti bileşeniyle) olanak tanımaktadır. CC'de tarif edilen garanti kavramları içinde, sadece EAL'ler arttırılabilmektedir. "EAL eksi onu oluşturan bir garanti öğesi" kavramı standard tarafından geçerli bir iddia olarak tanınmamaktadır. Arttırma, yanında, iddia sahibine EAL'e eklenen garanti öğesinin kullanışlılığını ve ek değerini kanıtlama zorunluluğunu da getirmektedir. EAL ayrıca açıkça belirtilmiş garanti gereksinimleriyle de genişletilebilmektedir.


38

Çizelge 6 - Değerlendirme garanti düzeyi özeti

Değerlendirme Garanti Düzeyine Göre Garanti Bileşenleri Garanti Sınıfı Garanti Ailesi

EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7

ACM_AUT 1 1 2 2

ACM_CAP 1 2 3 4 4 5 5

ACM Sınıfı: Yapılandırma

Yönetimi ACM_SCP 1 2 3 3 3

ADO_DEL 1 1 2 2 2 3 ADO Sınıfı: Teslim ve çalışma

ADO_IGS 1 1 1 1 1 1 1

ADV_FSP 1 1 1 2 3 3 4

ADV_HLD 1 2 2 3 4 5

ADV_IMP 1 2 3 3

ADV_INT 1 2 3

ADV_LLD 1 1 2 2

ADV_RCR 1 1 1 1 2 2 3

ADV Sınıfı: Geliştirme

ADV_SPM 1 3 3 3

AGD_ADM 1 1 1 1 1 1 1 AGD Sınıfı: Kılavuz belgeler

AGD_USR 1 1 1 1 1 1 1

ALC_DVS 1 1 1 2 2

ALC_FLR

ALC_LCD 1 2 2 3

ALC Sınıfı: Kullanım ömrü

desteği

ALC_TAT 1 2 3 3

ATE_COV 1 2 2 2 3 3

ATE_DPT 1 1 2 2 3

ATE_FUN 1 1 1 1 2 2 ATE Sınıfı: Testler

ATE_IND 1 2 2 2 2 2 3

AVA_CCA 1 2 2

AVA_MSU 1 2 2 3 3

AVA_SOF 1 1 1 1 1 1 AVA Sınıfı: Açıklık Değerlendirmesi

AVA_VLA 1 1 2 3 4 4 10.2 Değerlendirme garanti düzeyi ayrıntıları Aşağıdaki alt maddeler EAL'lerin tanımlarını sağlamakta ve belirli gereksinimler arasındaki farklılıkları vurgulamaktadır ve bu gereksinimlerin normal dildeki nitelendirmesini kalın yazı biçimiyle sunmaktadır.


39

10.3 Değerlendirme garanti düzeyi 1 (EAL1) - fonksiyonel olarak test edilmiş 10.3.1 Hedefler EAL1, doğru çalışmayla ilgili bir güven gerektiği ama güvenlikle ilgili tehditlerin ciddi görülmediği yerlerde kullanılabilmektedir. Kişisel ya da benzer bilgilerin korunmasıyla ilgili gerekli özenin gösterildiği yolundaki hoşnutluğu desteklemek için bağımsız garantinin gerektiği durumlarda yararlı olacaktır. EAL1, TOE'nin müşteriye sunulduğu haliyle, belirli bir belirtime karşı bağımsız test de dahil değerlendirmesini ve sunulan kılavuz belgelerin incelenmesini sağlamaktadır. EAL1 değerlendirmesinin TOE geliştiricisinin yardımı olmadan ve az bir bütçeyle başarılı bir şekilde gerçekleştirilebilmesi amaçlanmaktadır. Bu düzeydeki bir değerlendirme TOE'nin belgelerindekine uygun bir şekilde çalıştığını ve belirlenmiş tehditlere karşı yararlı bir koruma sağladığına dair kanıt sağlamalıdır. 10.3.2 Garanti bileşenleri EAL1, güvenlik davranışını anlamak için fonksiyonel ve arayüz belirtimi ve kılavuz belgeleri kullanarak güvenlik fonksiyonlarının incelenmesiyle temel düzeyde garanti sağlamaktadır. İnceleme, TOE güvenlik fonksiyonlarının bağımsız testiyle desteklenmektedir. Bu EAL değerlendirilmemiş bir Bilgi teknolojisi ürün ya da sistemine göre garantide anlamlı bir artış sağlamaktadır. Çizelge 7 - EAL1

Garanti sınıfı Garanti bileşenleri

ACM: Yapılandırma yönetimi ACM_CAP.1 Sürüm numaraları

ADO: Teslim ve çalışma ADO_IGS.1 Kurulum, üretim ve başlatma prosedürleri

ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim ADV: Geliştirme

ADV_RCR.1 Biçimsel olmayan karşılık gelme gösterme

AGD_USR.1 Yönetici kılavuzu AGD: Kılavuz belgeler

AGD_USR.1 Kullanıcı kılavuzu

ATE: Testler ATE_IND.1 Bağımsız test - uygunluk 10.4 Değerlendirme garanti düzeyi 2 (EAL2) - yapısal olarak test edilmiş 10.4.1 Hedefler EAL2, tasarım bilgisi ve test sonuçlarının sağlanması bakımından geliştiricinin işbirliğini gerektirmektedir ama normal ticari uygulamalar dışında geliştiriciden daha fazla bir çaba gerektirmemelidir. Bu şekilde maliyet ve zaman olarak da fazla bir yatırım gerektirmemektedir. Bu nedenle EAL2 geliştiricilerin ya da kullanıcıların, bütün geliştirme kaydının kolayca bulunamadığı ve düşük ila orta düzeyde bağımsız olarak garanti edilmiş güvenlik istendiği durumlarda uygundur. Böyle bir durum önceden kalan sistemlerin güvenliğinin sağlanmasında ya da geliştiriciye ulaşılamadığında ortaya çıkabilir. 10.4.2 Garanti bileşenleri EAL2, güvenlik davranışını anlamak için fonksiyonel ve arayüz belirtimi, kılavuz belgeler ve TOE'nin yüksek düzeyde tasarımını kullanıp güvenlik fonksiyonlarını inceleyerek garanti sağlamaktadır. Bu inceleme TOE güvenlik fonksiyonlarının bağımsız bir şekilde test edilmesi, fonksiyonel belirtime dayalı olarak geliştirici testlerinin kanıtı, geliştirici test sonuçlarının seçici olarak bağımsız bir şekilde doğrulanması, fonksiyon gücü incelemesi ve geliştiricinin bariz açıklıklar için araştırma yaptığının kanıtı (örneğin, kamuya açık alanda yer alanlar) ile desteklenmektedir.


40

EAL2 ayrıca TOE için bir yapılandırma listesi ve güvenli teslim prosedürlerinin kanıtıyla garanti sağlamaktadır. Bu EAL, geliştirici testi, açıklık incelemesi ve daha ayrıntılı TOE belirtimlerine dayalı olarak bağımsız test gerektirerek EAL1'e göre garantide anlamlı bir artışı temsil etmektedir.

Çizelge 8 - EAL2


ACM: Yapılandırma yönetimi ACM_CAP.1 Yapılandırma öğeleri

ADO_DEL.1 Teslim prosedürleri ADO: Teslim ve çalışma

ADO_IGS.1 Kurulum, üretim ve başlatma prosedürleri

ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim

ADV_HLD.1 Tanımlayıcı yüksek düzeyde tasarım ADV: Geliştirme

ADV_RCR.1 Biçimsel olmayan karşılık gelmenin gösterilmesi

AGD_ADM.1 Yönetici kılavuzu AGD: Kılavuz belgeler


ATE_COV.1 Kapsam kanıtı

ATE_FUN.1 Fonksiyonel test ATE: Testler

ATE_IND.2 Bağımsız test - örnek

AVA_SOF.1 TOE güvenlik fonksiyonu gücü değerlendirmesi AVA: Açıklık incelemesi

AVA_VLA.1 Geliştirici açıklık incelemesi 10.5 Değerlendirme garanti düzeyi 3 (EAL3) - metodik olarak test ve kontrol edilmiş 10.5.1 Hedefler EAL3, titiz bir geliştiricinin tasarım aşamasında mevcut sağlam geliştirme uygulamalarını önemli bir şekilde değiştirmeden olumlu güvenlik mühendisliğinden en fazla garantiyi elde etmesine olanak tanımaktadır. EAL3, geliştiricilerin ya da kullanıcıların bağımsız olarak test edilmiş orta düzeyde güvenlik istediği ve TOE ve onun geliştirmesiyle ilgili önemli mühendislik değişiklikleri gerektirmeyen kapsamlı bir inceleme istediklerinde kullanılmaktadır. 10.5.2 Garanti bileşenleri EAL3 güvenlik davranışını anlamak için fonksiyonel ve arayüz belirtimi, kılavuz belgeler ve TOE'nin yüksek düzeyde tasarımını kullanıp güvenlik fonksiyonlarını inceleyerek garanti sağlamaktadır. Bu inceleme TOE güvenlik fonksiyonlarının bağımsız bir şekilde test edilmesi, fonksiyonel belirtim ve yüksek düzeyde tasarıma dayalı olarak geliştirici testlerinin kanıtı, geliştirici test sonuçlarının seçici olarak bağımsız bir şekilde doğrulanması, fonksiyon gücü incelemesi ve geliştiricinin bariz açıklıklar için araştırma yaptığının kanıtı (örneğin, kamuya açık alanda yer alanlar) ile desteklenmektedir. EAL3 ayrıca geliştirme ortamı kontrolleri, TOE yapılandırma yönetimi ve güvenli teslim prosedürleri kanıtları yoluyla garanti sağlamaktadır. Bu EAL, güvenlik fonksiyonları ve mekanizmalarının ve/veya prosedürlerin daha kapsamlı testini isteyerek TOE'nin geliştirme sırasında karıştırılmayacağına dair belirli bir güven sağlamakta ve EAL2'ye göre garantide anlamlı bir artışı temsil etmektedir.


41

Çizelge 9 - EAL3


ACM_CAP.3 Yetkilendirme kontrolleri ACM: Yapılandırma yönetimi

ACM_SCP.1 TOE CM kapsamı

ADO_DEL.1 Teslim prosedürleri ADO: Teslim ve çalıştırma


ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim

ADV_HLD.2 Güvenliği uygulayan yüksek düzeyde tasarım ADV: Geliştirme


AGD_ADM Yönetici kılavuzu AGD: Kılavuz belgeler

AGD_USR Kullanıcı kılavuzu

ALC: Kullanım ömrü desteği ALC_DVS.1 Güvenlik önlemlerinin belirtilmesi

ATE_COV.2 Kapsamın incelenmesi

ATE_DPT.1 Test: yüksek düzeyde tasarım



AVA_MSU.1 Kılavuzluğun incelenmesi

AVA_SOF.1 TOE güvenlik fonksiyonu gücü değerlendirmesi AVA: Açıklık değerlendirme

AVA_VLA.1 Geliştirici açıklık incelemesi 10.6 Değerlendirme garanti düzeyi 4 (EAL4) - metodik olarak tasarlanmış, test edilmiş ve gözden geçirilmiş 10.6.2 Hedefler EAL4 geliştiricinin iyi ticari geliştirme uygulamalarına dayalı olarak pozitif güvenlik mühendisliğinden en yüksek garantiyi elde etmesine olanak tanır ki bu uygulamalar sıkı olmasına rağmen çok önemli uzmanlık bilgisi, yetenek ya da diğer kaynaklar gerektirmemektedir. EAL4, mevcut bir ürün serisine sonradan uygulanması ekonomik olarak mümkün olan en yüksek düzeydir. Bu nedenle EAL4, geliştiricilerin ya da kullanıcıların geleneksel mal TOE'lerinde orta ila yüksek düzeyde bağımsız olarak garantilenmiş güvenlik istediği ve ek güvenliğe özgü mühendislik masraflarını karşılamaya hazır olduğu durumlarda uygulanabilmektedir. 10.6.3 Garanti Bileşenleri EAL4, güvenlik davranışını anlamak için, fonksiyonel ve bütün arayüz belirtimi, kılavuz belgeler ve TOE'nin yüksek düzeyde ve düşük düzeyde tasarımını ve uygulamanın bir alt kümesini kullanıp güvenlik fonksiyonlarını inceleyerek garanti sağlamaktadır. Garanti, ek olarak TOE güvenlik politikasının biçimsel olmayan bir modeli yoluyla elde edilmektedir. Bu inceleme TOE güvenlik fonksiyonlarının bağımsız bir şekilde test edilmesi, fonksiyonel belirtim ve yüksek düzeyde tasarıma dayalı olarak geliştirici testlerinin kanıtı, geliştirici test sonuçlarının seçici olarak bağımsız bir şekilde doğrulanması, fonksiyon gücü incelemesi ve geliştiricinin açıklıklar için araştırma yaptığının kanıtı ve düşük saldırıcı potansiyeline sahip sızma saldırganlarına karşı direnci gösteren bağımsız bir açıklık incelemesi ile desteklenmektedir. EAL4 ayrıca geliştirme ortamı kontrolleri ve otomasyonu da içeren ek TOE yapılandırma yönetimi ve güvenli teslim prosedürleri kanıtları yoluyla garanti sağlamaktadır.


42

Bu EAL, daha fazla tasarım tarifi, uygulamanın bir alt kümesini ve TOE'nin geliştirme ya da teslim sırasında karıştırılmayacağına güveni sağlayan geliştirilmiş mekanizmalar ve/veya prosedürler isteyerek EAL3'e göre garantide anlamlı bir artışı temsil etmektedir. Çizelge 10 - EAL4


ACM_AUT.1 Kısmi CM otomasyonu

ACM_CAP.4 Üretim desteği ve kabul prosedürleri ACM: Yapılandırma yönetimi

ACM_SCP.2 Sorun izleme CM kapsamı

ADO_DEL.2 Değişmenin tespiti ADO: Teslim ve çalışma


ADV_FSP.2 Bütünüyle tanımlanmış dış arayüzler

ADV_HLD.2 Güvenliği uygulayan yüksek düzeyde tasarım

ADV_IMP.1 TSF uygulamasının alt kümesi

ADV_LLD.1 Tanımlayıcı düşük düzeyde tasarım


ADV: Geliştirme

ADV_SPM.1 Biçimsel olmayan TOE güvenlik politikası modeli

AGD_ADM.1 Yönetici kılavuzu AGD: Kılavuz Belgeler


ALC_DVS.1 Güvenlik önlemlerinin belirlenmesi

ALC_LCD.1 Geliştirici tarafından tanımlanan kullanım ömrü modeli ALC: Kullanım ömrü desteği

ALC_TAT.1 İyi tanımlanmış geliştirme araçları


ATE_DPT.1 Test: yüksek düzeyde tasarım



AVA_MSU.2 İncelemenin geçerliliğinin doğrulanması

AVA_SOF.1 TOE güvenlik fonksiyon gücü değerlendirmesi AVA: Açıklık incelemesi

AVA_VLA.2 Bağımsız açıklık incelemesi 10.7 Değerlendirme garanti düzeyi 5 (EAL5 - yarı biçimsel olarak tasarlanmış ve test edilmiş 10.7.1 Hedefler EAL5 geliştiricinin, uzman güvenlik mühendisliği tekniklerinin orta derecede uygulanmasıyla desteklenen sıkı ticari geliştirme uygulamalarına dayanan güvenlik mühendisliğinden en yüksek garantiyi elde etmesine olanak tanımaktadır. Böyle bir TOE büyük bir olasılıkla EAL5 garantisini elde etmek amacıyla tasarlanacak ve geliştirilecektir. EAL5 gereksinimlerine atfedilebilen, özel tekniklerin uygulanmasını içermeyen sıkı geliştirmeyle ilgili ek maliyetlerin büyük olmayacağı tahmin edilmektedir. Bu nedenle EAL5, geliştiricilerin ya da kullanıcıların planlı geliştirmede yüksek düzeyde bağımsız olarak garanti edilmiş güvenlik istediği ve özel güvenlik mühendisliği teknikleri nedeniyle oluşan makul olmayan maliyetler olmadan sıkı bir geliştirme yaklaşımı istediği durumlarda uygulanabilmektedir.


43

10.7.2 Garanti bileşenleri EAL5 güvenlik davranışını anlamak için, fonksiyonel ve bütün arayüz belirtimi, kılavuz belgeler ve TOE'nin yüksek düzeyde ve düşük düzeyde tasarımını ve bütün uygulamanın güvenlik fonksiyonlarını inceleyerek garanti sağlamaktadır. Garanti ek olarak TOE güvenlik politikasının biçimsel bir modeli ve fonksiyonel belirtimin ve yüksek düzeyde tasarımının yarı biçimsel bir sunumu ve ikisi arasındaki karşılık gelmenin yarı biçimsel olarak gösterilmesiyle elde edilmektedir. Modüler bir TOE tasarımı da gerekmektedir. Bu inceleme TOE güvenlik fonksiyonlarının bağımsız bir şekilde test edilmesi, fonksiyonel belirtim ve yüksek düzeyde tasarım ve düşük düzeyde tasarıma dayalı olarak geliştirici testlerinin kanıtı, geliştirici test sonuçlarının seçici olarak bağımsız bir şekilde doğrulanması, fonksiyon gücü incelemesi ve geliştiricinin açıklıklar için araştırma yaptığının kanıtı ve orta saldırı potansiyeline sahip sızma saldırganlarına karşı direnci gösteren bağımsız bir açıklık incelemesi ile desteklenmektedir. İnceleme ayrıca geliştiricinin gizli kanal incelemesinin doğrulanmasını da içermektedir. EAL5 ayrıca geliştirme ortamı kontrolleri ve otomasyonu da içeren kapsamlı TOE yapılandırma yönetimi ve güvenli teslim prosedürleri kanıtları yoluyla garanti sağlamaktadır. Bu EAL, daha fazla yarı biçimsel tasarım tarifi, bütün uygulama, daha iyi yapılandırılmış (yani daha iyi incelenebilir) bir mimari, örtülü kanal incelemesi ve TOE'nin geliştirme ya da teslim sırasında karıştırılmayacağına güveni sağlayan geliştirilmiş mekanizmalar ve/veya prosedürler isteyerek EAL4'e göre garantide anlamlı bir artışı temsil etmektedir.


44

Çizelge 11 - EAL5


ACM_AUT.1 Kısmi CM otomasyonu

ACM_CAP.4 Üretim desteği ve kabul prosedürleri ACM: Yapılandırma yönetimi

ACM_SCP.3 Geliştirme araçları CM kapsamı

ADO_DEL.2 Değişikliğin tespiti ADO: Teslim ve çalışma


ADV_FSP.3 Yarı biçimsel fonksiyonel belirtim

ADV_HLD.3 Yarı biçimsel yüksek düzeyde tasarım

ADV_IMP.2 TSF'nin uygulanması

ADV_INT.1 Modülerlik

ADV_LLD.1 Tarif edici düşük düzeyde tasarım

ADV_RCR.2 Yarı biçimsel karşılık gelmenin gösterilmesi

ADV: Geliştirme

ADV_SPM.3 Biçimsel TOE güvenlik politikası modeli



ALC_DVS.1 Güvenlik önlemlerinin belirlenmesi

ALC_LCD.2 Standardlaştırılmış kullanım ömrü modeli ALC: Kullanım ömrü desteği

ALC_TAT.2 Uygulama standardlarına uyum


ATE_DPT.2 Test: düşük düzeyde tasarım



AVA_CCA.1 Örtülü kanal incelemesi

AVA_MSU.2 İncelemenin doğrulanması

AVA_SOF.1 TOE güvenlik fonksiyonu gücü değerlendirmesi AVA: Açıklık değerlendirmesi

AVA_VLA.3 Orta derecede dirençli 10.8 Değerlendirme garanti düzeyi 6 (EAL6) - yarı biçimsel olarak doğrulanmış tasarım ve test edilmiş 10.8.1 Hedefler EAL6, yüksek değerdeki varlıkları önemli risklere karşı korumak için kaliteli bir TOE oluşturmak amacıyla geliştiricilerin, sıkı bir geliştirme ortamında güvenlik mühendisliği tekniklerinin uygulanmasıyla yüksek bir garanti elde etmesine olanak tanımaktadır. Bu nedenle EAL6, korunan varlıkların değerinin ek maliyetleri haklı çıkaracak düzeyde olduğu yüksek riskli durumlarda uygulama için güvenlik TOE'lerinin geliştirilmesinde kullanılabilmektedir. 10.8.2 Garanti bileşenleri EAL6, güvenlik davranışını anlamak için fonksiyonel ve bütün bir arayüz belirtimi, kılavuz belgeler, TOE'nin yüksek düzeyde ve düşük düzeyde tasarımı ve uygulamanın organize bir sunumunu kullanarak garanti sağlamaktadır.


45

Garanti, ek olarak, TOE güvenlik politikasının biçimsel bir modeli, fonksiyonel belirtimini yarı biçimsel bir sunumu, yüksek düzeyde tasarım ve düşük düzeyde tasarım ve bunlar arasındaki karşılık gelmenin yarı biçimsel bir şekilde gösterilmesiyle elde edilmektedir. Modüler ve katmanlı bir TOE tasarımı da gerekmektedir. İnceleme, TOE güvenlik fonksiyonlarının bağımsız testi, fonksiyonel belirtim, yüksek düzeyde tasarım ve düşük düzeyde tasarıma dayalı geliştirici testi kanıtları, geliştirici test sonuçlarının seçici olarak bağımsız bir şekilde doğrulanması, fonksiyon gücü incelemesi, geliştiricinin açıklıkları araştırdığına dair kanıtlar ve yüksek saldırı potansiyeline sahip sızma saldırganlarına karşı direnci gösteren bağımsız bir açıklık incelemesi ile desteklenmektedir. İnceleme ayrıca geliştiricinin sistemli örtülü kanal incelemesinin doğrulanmasını da içermektedir. EAL6 ayrıca organize yapıya sahip bir geliştirme süreci, geliştirme ortam kontrolleri ve bütünüyle otomasyonu da içeren kapsamlı TOE yapılandırma yönetimi kullanımıyla ve güvenlik teslim prosedürlerinin kanıtlarıyla garanti sağlamaktadır. Bu EAL, daha kapsamlı inceleme, uygulamanın organize bir şekilde temsili, daha fazla mimari yapı (örneğin, katmanlama), daha kapsamlı bağımsız açıklık incelemesi, sistemli örtülü kanal belirlemesi ve gelişmiş yapılandırma yönetimi ve geliştirme ortam kontrolleri gerektirerek EAL5'e göre garantide anlamlı bir artışı temsil etmektedir.


46

Çizelge 12 - EAL6


ACM_AUT.2 Bütün CÜM otomasyonu

ACM_CAP.5 Gelişmiş destek ACM: Yapılandırma yönetimi


ADO_DEL.2 Değiştirmenin tespiti ADO: Teslim ve çalışma


ADV_FSP.3 Yarı biçimsel fonksiyonel belirtim

ADV_HLD.4 Yarı biçimsel yüksek düzeyde açıklama

ADV_IMP.3 TSF'nin organize uygulaması

ADV_INT.2 Karmaşıklığın azaltılması

ADV_LLD.2 Yarı biçimsel düşük düzeyde tasarım

ADV_RCR.2 Yarı biçimsel karşılık gelmenin gösterilmesi

ADV: Geliştirme




ALC_DVS.2 Güvenlik önlemlerinin yeterliliği

ALC_LCD.2 Standardlaştırılmış kullanım ömrü modeli ALC: Kullanım ömrü desteği

ALC_TAT.3 Uygulama standardlarına uyum - bütün bölümler

ATE_COV.3 Kapsamın sıkı incelemesi

ATE_DPT.2 Test: düşük düzeyde tasarım

ATE_FUN.2 Düzenli fonksiyonel test ATE: Testler


AVA_CCA.2 Sistemli örtülü kanal incelemesi

AVA_MSU.3 Güvenli olmayan durumlar için inceleme ve test


AVA_VLA.4 Yüksek derecede dirençli 10.9 Değerlendirme garanti düzeyi 7 (EAL7) - biçimsel olarak doğrulanmış tasarım ve test edilmiş 10.9.1 Hedefler EAL7, son derece yüksek risk durumlarına ve/veya varlıkların yüksek değerinin daha yüksek maliyetlere değer olduğu yerlerde uygulanmak üzere güvenlik TOE'lerinin geliştirilmesi için uygundur. EAL7'nin pratik uygulaması şu anda çok kapsamlı biçimsel incelemeye tabi son derece sıkı bir şekilde yoğunlaşmış güvenlik fonksiyonelliğine sahip TOE'lerle sınırlıdır. 10.9.2 Garanti bileşenleri EAL7, güvenlik davranışını anlamak için fonksiyonel ve bütün bir arayüz belirtimi, kılavuz belgeler, TOE'nin yüksek düzeyde ve düşük düzeyde tasarımı ve uygulamanın organize bir yapıdaki sunumunu kullanarak güvenlik fonksiyonlarının incelenmesiyle garanti sağlamaktadır. Garanti, ek olarak, TOE güvenlik politikasının biçimsel bir modeli, fonksiyonel belirtim ve yüksek düzeyde tasarımın biçimsel bir sunumu, düşük düzeyde tasarımın yarı biçimsel bir sunumu ve, duruma göre, ikisi arasındaki karşılık gelmenin biçimsel ve yarı biçimsel bir şekilde gösterilmesi yoluyla elde edilmektedir. Modüler, katmanlı ve basit bir TOE tasarımı da gerekmektedir.


47

Bu inceleme, TOE güvenlik fonksiyonlarının bağımsız testi, fonksiyonel belirtim yüksek düzeyde tasarımı ve düşük düzeyde tasarımı ve uygulama temsiline dayalı geliştirici testi kanıtları, geliştirici test sonuçlarının bağımsız olarak bütünüyle doğrulanması, fonksiyon gücü incelemesi, geliştiricinin açıklıklarla ilgili araştırma yaptığına dair kanıtları ve yüksek saldırı potansiyeline sahip sızma saldırganlarına karşı direnci gösteren bağımsız bir açıklık incelemesiyle desteklenmektedir. İnceleme ayrıca geliştiricinin sistemli örtülü kanal incelemesinin geçerliliğinin doğrulanmasını da içermektedir. EAL7 ayrıca organize bir yapıya sahip bir geliştirme süreci, geliştirme ortamı kontrolleri ve bütünüyle otomasyonu da içeren kapsamlı TOE yapılandırma yönetimi ve güvenlik teslim prosedürleri kanıtlarını kullanarak garanti sağlamaktadır. Bu EAL, biçimsel temsiller ve biçimsel karşılık gelmenin kullanıldığı daha kapsamlı bir inceleme ve kapsamlı testler gerektirerek EAL6'ya göre garantide anlamlı bir artışı temsil etmektedir. Çizelge 13 - EAL7


ACM_AUT.2 Bütün CM otomasyonu

ACM_CAP.5 Gelişmiş destek ACM: Yapılandırma yönetimi


ADO_DEL.3 Değiştirmenin önlenmesi ADO: Teslim ve çalışma


ADV_FSP.4 Biçimsel fonksiyonel belirtim

ADV_HLD.5 Biçimsel yüksek tasarım

ADV_IMP.3 TSF'nin organize yapıyla uygulaması

ADV_INT.3 Karmaşıklığın en aza indirilmes

ADV_LLD.2 Yarı biçimsel düşük düzeyde tasarım

ADV_RCR.3 Biçimsel karşılık gelmenin gösterilmesi

ADV: Geliştirme




ALC_DVS.2 Güvenlik önlemlerinin yeterliliği

ALC_LCD.3 Ölçülebilir kullanım ömrü modeli ALC: Kullanım ömrü desteği

ALC_TAT.3 Uygulaman standardlarına uyum - bütün bölümler

ATE_COV.3 Kapsamın sıkı incelemesi

ATE_DPT.3 Test: uygulamanın temsili

ATE_FUN.2 Düzenli fonksiyonel test ATE: Testler

ATE_IND.3 Bağımsız test - bütün

AVA_CCA.2 Sistemli örtülü kanal incelemesi

AVA_MSU.3 Güvensiz durumlar için inceleme ve test


AVA_VLA.4 Yüksek derecede dirençli


48

11 Garanti sınıfları, aileleri ve bileşenleri Sonraki yedi maddede alfabetik sırayla, sınıf ve ailelere göre gruplandırılmış her bir garanti bileşeninin ayrıntılı gereksinimleri sunulmaktadır. 12 ACM Sınıfı: Yapılandırma yönetimi Yapılandırma yönetimi (CM), TOE'nin uygulanmasında fonksiyonel gereksinimler ve belirtimlerin gerçekleştirildiğinin belirlenmesi için bir yöntem ya da yoldur. CM, TOE ve ilgili bilgilerin ayrıntılandırılması ve değiştirilmesi süreçlerinde disiplin ve kontrol gerektirerek bu hedeflere ulaşmaktadır. CM sistemleri, varsa değişiklikleri izlemek için bir yöntem ve bütün değişikliklerin yetkilendirilmiş olmasını sağlayarak kontrol ettikleri TOE bölümlerinin bütünlüğünü sağlamak için yerleştirilmektedir. Şekil 8'de bu sınıftaki aileler ve bu ailelerin içindeki bileşenlerin hiyerarşisi gösterilmektedir.

Şekil 8 - ACM: Yapılandırma yönetimi sınıfının yapısı

12.1 CM otomasyonu (ACM_AUT) 12.1.1 Hedefler Otomatik CM araçlarının kullanılma amacı CM sisteminin daha etkin olmasını sağlamaktır. Hem otomatik hem de elle çalışan CM sistemlerinin etrafından dolanmak, bunları göz ardı etmek ya da yetkilendirilmemiş değiştirmeyi önlemekte yetersiz kaldığını kanıtlamak mümkün olsa da, otomatik sistemler insanların neden olduğu hatalara ya da dikkatsizliklere daha az eğilimlidir. 12.1.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi otomatik yollarla kontrol edilen yapılandırma öğeleri kümelerine göre belirlenmektedir. 12.1.3 Uygulama notları ACM_AUT.1.1C TOE'nin uygulama temsiliyle ilgili bir gereksinim sunmaktadır. TOE'nin uygulama temsili, fiziksel TOE'yi oluşturan bütün donanım, yazılım ve bellenimden oluşmaktadır. Sadece yazılım TOE'si durumunda, uygulama temsili sadece kaynak ve nesne kodundan oluşabilmektedir. ACM_AUT.1.2C CM sisteminin TOE'nin üretilmesini desteklemek için otomatik yollar sağlaması gereksinimini sunmaktadır. Bu da, CM sisteminin TOE'nin üretilmesinde doğru yapılandırma öğelerinin kullanıldığının belirlenmesine yardım etmek için otomatik yollar sağlamasını gerektirmektedir. ACM_AUT.2.5.C CM'nin TOE ile önceki sürümü arasındaki değişiklikleri belirlemek için otomatik bir yol sağlaması gereksinimini getirmektedir. Eğer TOE'nin hiçbir önceki sürümü yoksa, geliştiricinin yine de TOE ile gelecekteki TOE sürümü arasındaki farklılıkları belirlemek için otomatik bir yol sağlaması gerekmektedir. 12.1.4 ACM_AUT.1 Kısmi CM otomasyonu Bağımlılıklar: ACM_CAP.3 Yetkilendirme kontrolleri

ACM_AUT: CM otomasyonu

ACM_CAP: CM yetenekleri

ACM_SCP: CM kapsamı

1

1

1

2

2

2

3

3

4 5


49

12.1.4.1 Hedefler Uygulama temsilinin karmaşık olduğu ya da birçok geliştirici tarafından geliştirildiği geliştirme ortamlarında, otomatik araçların desteği olmadan değişikliklerin kontrol edilmesi zordur. Özellikle de, bu otomatik araçların geliştirme sırasında gerçekleşen değişiklikleri destekleyebilmesi ve bu değişikliklerin yetkilendirilmiş olmasını sağlaması gerekmektedir. Bu bileşenin amacı uygulama temsilinin otomatik yollarla kontrol edilmesini sağlamaktır. 12.1.4.2 Geliştirici eylem öğeleri 12.1.4.2.1 ACM_AUT.1.1D Geliştiricinin, bir CM sistemi kullanması gerekir. 12.1.4.2.2 ACM_AUT.1.2D Geliştiricinin, bir CM planı sağlaması gerekir. 12.1.4.3 Kanıtın içeriği ve sunulması öğeleri 12.1.4.3.1 ACM_AUT.1.1C CM sisteminin, TOE uygulama temsilinde sadece yetkilendirilmiş değişikliklerin yapılmasına olanak tanıyan otomatik bir yol sağlaması gerekir. 12.1.4.3.2 ACM_AUT.1.2C CM sisteminin, TOE'nin üretilmesini desteklemek için otomatik bir yol sağlaması gerekir. 12.1.4.3.3 ACM_AUT.1.3C CM planının, CM sisteminde kullanılan otomatik araçları tarif etmesi gerekir. 12.1.4.3.4 ACM_AUT.1.4C CM planının, CM sisteminde otomatik araçların nasıl kullanıldığını tarif etmesi gerekir. 12.1.4.4 Değerlendirici eylem öğeleri 12.1.4.4.1 ACM_AUT.1.1E Değerlendiricinin, sağlanan bilginin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 12.1.5 ACM_AUT.2 Bütün CM otomasyonu Bağımlılıklar: ACM_CAP.3 Yetkilendirme kontrolleri 12.1.5.1 Hedefler Yapılandırma öğelerinin karmaşık olduğu ya da ya da birçok geliştirici tarafından geliştirildiği geliştirme ortamlarında, otomatik araçların desteği olmadan değişikliklerin kontrol edilmesi zordur. Özellikle de, bu otomatik araçların geliştirme sırasında gerçekleşen değişiklikleri destekleyebilmesi ve bu değişikliklerin yetkilendirilmiş olmasını sağlaması gerekmektedir. Bu bileşenin amacı bütün yapılandırma öğelerinin otomatik yollarla kontrol edilmesini sağlamaktır. TOE sürümleri arasındaki değişikliklerin ve diğer yapılandırma öğelerindeki değişikliklerden hangi yapılandırma öğelerinin etkilendiğinin belirlenmesi için otomatik bir yol sağlanması, TOE'nin art arda gelen sürümleri arasındaki değişikliklerin etkisinin anlaşılmasına yardım etmektedir. Bu da TOE'de yapılan değişikliklerin bütün yapılandırma öğelerinin birbiriyle tutarlı olmasını sağlayıp sağlamadığının belirlenmesinde değerli bilgiler sağlayabilmektedir.


50

12.1.5.2 Geliştirici eylem öğeleri 12.1.5.2.1 ACM_AUT.2.1D Geliştiricinin, bir CM sistemi kullanması gerekir. 12.1.5.2.2 ACM_AUT.2.2D Geliştiricinin, bir CM planı sağlaması gerekir. 12.1.5.3 Kanıtın içeriği ve sunulması öğeleri 12.1.5.3.1 ACM_AUT.2.1C CM sisteminin, TOE uygulama temsilinde ve diğer bütün yapılandırma öğelerinde sadece yetkilendirilmiş değişikliklerin yapılabildiği otomatik bir yol sağlaması gerekir. 12.1.5.3.2 ACM_AUT.2.2C CM sisteminin, TOE'nin üretilmesini desteklemek için otomatik bir yol sağlaması gerekir. 12.1.5.3.3 ACM_AUT.2.3C CM planının, CM sisteminde kullanılan otomatik araçları tarif etmesi gerekir. 12.1.5.3.4 ACM_AUT.2.4C CM planının, CM sisteminde otomatik araçların nasıl kullanıldığını tarif etmesi gerekir. 12.1.5.3.5 ACM_AUT.2.5C CM sisteminin, TOE ile önceki sürümü arasındaki değişikliklerin belirlenmesi için otomatik bir yol sağlaması gerekir. 12.1.5.3.6 ACM_AUT.2.6C CM sisteminin, belirli bir yapılandırma öğesinin değiştirilmesinden etkilenen diğer bütün yapılandırma öğelerini belirlemek için otomatik bir yol sağlaması gerekir. 12.1.5.4 Değerlendirici eylem öğeleri 12.1.5.4.1 ACM_AUT.2.1E Değerlendiricinin, sağlanan bilginin kanıtın içeriği ve sunulmasıyla ilgili ütün gereksinimleri karşıladığını doğrulaması gerekir. 12.2 CM yetenekleri (ACM_CAP) 12.2.1 Hedefler CM sisteminin yetenekleri, yapılandırma öğelerinin kazara ya da yetkilendirilmemiş değişiklikleri olasılığını ele almaktadır. CM sistemi, ilk tasarım aşamalarından sonraki bütün sürdürme çabalarına kadar TOE'nin bütünlüğünü sağlamalıdır. Bu ailenin amaçları arasında aşağıdakiler yer almaktadır: a) TOE'nin müşteriye gönderilmeden önce doğru ve bütün olmasını sağlamak, b) Değerlendirme sırasında hiçbir yapılandırma öğesinin eksik olmamasını sağlamak, c) TOE yapılandırma öğelerinin yetkilendirilmemiş değiştirme, ekleme ya da silinmesini önlemek.


51

12.2.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi CM sisteminin yetenekleri, geliştirici tarafından sağlanan CM belgelerinin kapsamı ve geliştiricinin CM sisteminin kendi güvenlik gereksinimlerini karşıladığını doğrulayabilmesine bağlı olarak belirlenmektedir. 12.2.3 Uygulama notları ACM_CAP.2 yapılandırma öğelerine göndermede bulunan çeşitli elemanlar sunmaktadır. ACM_SCP ailesi CM sistemi tarafından izlenecek yapılandırma öğeleriyle ilgili gereksinimleri içermektedir. ACM_CAP.2.3C yapılandırma listesinin sunulması isteyen bir gereksinim sunmaktadır. Yapılandırma listesi CM sistemi tarafından sürdürülen bütün yapılandırma öğelerini içermektedir. ACM_CAP.2.6C CM sisteminin bütün yapılandırma öğelerini benzersiz bir şekilde belirtmesi gereksinimini sunmaktadır. Bu ayrıca yapılandırma öğelerindeki değişikliklerin yeni, benzersiz bir belirleyici atanmasını sağlamasını gerektirmektedir. ACM_CAP.3.8C kanıtların CM sisteminin CM planına göre çalıştığını göstereceğini belirten bir gereksinimi sunmaktadır. Bu tür kanıtlara örnekler belgeler olabilir, örneğin bir ekran görüntüsü ya da CM sisteminden bir denetim izi çıktısı ya da CM sisteminin geliştirici tarafından ayrıntılı bir şekilde gösterilmesi olabilir. Değerlendirici, bu kanıtların CM sisteminin CM planına göre çalıştığını göstermeye yeterli olduğunu belirlemekten sorumludur. ACM_CAP.3.9C bütün yapılandırma öğelerinin CM sistemi altında sürdürüldüğünü göstermek için kanıt sağlanması gereksinimini sunmaktadır. Bir yapılandırma öğesi yapılandırma listesindeki bir öğeye gönderme yaptığı için, bu gereksinim, yapılandırma listesindeki bütün öğelerin CM sistemine göre sürdürüldüğünü belirtmektedir. ACM_CAP.4.11C CM sisteminin TOE üretimini desteklemesi gereksinimi getirmektedir. Bu da, CM sisteminin, TOE'nin üretilmesinde doğru yapılandırma öğelerinin kullanıldığının belirlenmesinde yardım eden bilgi ve/veya elektronik yolları sağlamasını gerektirmektedir. 12.2.4 ACM_CAP.1 Sürüm numaraları Bağımlılıkları: Hiçbir bağımlılık yoktur. 12.2.4.1 Hedefler TOE'nin hangi örneğinin değerlendirildiğiyle ilgili herhangi bir karmaşa olmamasını sağlamak için benzersiz bir referans gerekmektedir. TOE'nin referansıyla isimlendirilmesi, TOE kullanıcılarının TOE'nin hangi örneğini kullandıklarının farkında olabilmelerini sağlamaktadır. 12.2.4.2 Geliştirici eylem öğeleri 12.2.4.2.1 ACM_CAP.1.1D Geliştiricinin, TOE için bir referans sağlaması gerekir. 12.2.4.3 Kanıtın içeriği ve sunulması öğeleri 12.2.4.3.1 ACM_CAP.1.1C TOE referansının TOE'nin her bir sürümü için ayrı olması gerekir. 12.2.4.3.2 ACM_CAP.1.2C TOE’nin, kendi referansıyla isimlendirilmesi gerekir. 12.2.4.4 Değerlendirici eylem öğeleri


52

12.2.4.4.1 ACM_CAP.1.1E Değerlendiricinin, sağlanan bilgilerin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 12.2.5 ACM_CAP.2 Yapılandırma öğeleri Bağımlılıklar: Hiçbir bağımlılık yoktur. 12.2.5.1 Hedefler TOE'nin hangi örneğinin değerlendirildiğiyle ilgili herhangi bir karmaşa olmamasını sağlamak için benzersiz bir referans gerekmektedir. TOE'nin referansıyla isimlendirilmesi, TOE kullanıcılarının TOE'nin hangi örneğini kullandıklarının farkında olabilmelerini sağlamaktadır. Yapılandırma öğelerinin benzersiz bir isme sahip olması TOE'nin yapısının daha açık bir şekilde anlaşılmasını sağlamaktadır ve bu da TOE için değerlendirme gereksinimlerine tabi olan öğelerin belirlenmesine yardım etmektedir. 12.2.5.2 Geliştirici eylem öğeleri 12.2.5.2.1 ACM_CAP.2.1D Geliştiricinin, TOE için bir referans sağlaması gerekir. 12.2.5.2.2 ACM_CAP.2.2D Geliştiricinin, bir CM sistemi kullanması gerekir. 12.2.5.2.3 ACM_CAP.2.3D Geliştiricinin, CM belgeleri sağlaması gerekir. 12.2.5.3 Kanıtın içeriği ve sunulması öğeleri 12.2.5.3.1 ACM_CAP.2.1C TOE referansının, TOE'nin her sürümüne özel olması gerekir. 12.2.5.3.2 ACM_CAP.2.2C TOE’nin, kendi referansıyla isimlendirilmesi gerekir. 12.2.5.3.3 ACM_CAP.2.3C CM belgelerinin bir yapılandırma listesi de içermesi gerekir. 12.2.5.3.4 ACM_CAP.2.4C Yapılandırma listesinin, TOE'yi oluşturan tüm yapılandırma öğelerini benzersiz şekilde tanımlaması gerekir. 12.2.5.3.5 ACM_CAP.2.5C Yapılandırma listesinin, TOE'yi oluşturan yapılandırma öğelerini tarif etmesi gerekir. 12.2.5.3.6 ACM_CAP.2.6C CM belgelerinin , yapılandırma öğelerini benzersiz bir şekilde ayırt etmek için kullanılan yöntemi tarif etmesi gerekir.


53

12.2.5.3.7 ACM_CAP.2.7C CM sisteminin bütün yapılandırma öğelerini ayrı bir şekilde isimlendirmesi gerekir. 12.2.5.4 Değerlendirici eylem öğeleri 12.2.5.4.1 ACM_CAP.2.1E Değerlendiricinin, sağlanan bilgilerin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 12.2.6 ACM_CAP.3 Yetkilendirme kontrolleri Bağımlılıklar: ALC_DVS.1 Güvenlik önlemlerinin belirlenmesi 12.2.6.1 Hedefler TOE'nin hangi örneğinin değerlendirildiğiyle ilgili herhangi bir karmaşa olmamasını sağlamak için benzersiz bir referans gerekmektedir. TOE'nin referansıyla isimlendirilmesi, TOE kullanıcılarının TOE'nin hangi örneğini kullandıklarının farkında olabilmelerini sağlamaktadır. Yapılandırma öğelerinin benzersiz bir isme sahip olması TOE'nin yapısının daha açık bir şekilde anlaşılmasını sağlamaktadır ve bu da TOE için değerlendirme gereksinimlerine tabi olan öğelerin belirlenmesine yardım etmektedir. TOE'de yetkilendirilmemiş değişikliklerin yapılmamasını sağlayan kontroller sağlanması ve CM sisteminin düzgün fonksiyonelliğinin ve kullanımının sağlanması TOE'nin bütünlüğünün sürdürülmesine yardım etmektedir. 12.2.6.2 Geliştirici eylem öğeleri 12.2.6.2.1 ACM_CAP.3.1D Geliştiricinin, TOE için bir referans sağlaması gerekir. 12.2.6.2.2 ACM_CAP.3.2D Geliştiricinin, bir CM sistemi kullanması gerekir. 12.2.6.2.3 ACM_CAP.3.3D Geliştiricinin, CM belgelerini sağlaması gerekir. 12.2.6.3 Kanıtın içeriği ve sunulması öğeleri 12.2.6.3.1 ACM_CAP.3.1C TOE referansının TOE'nin her sürümü için ayrı olması gerekir. 12.2.6.3.2 ACM_CAP.3.2C TOE’nin, kendi referansıyla isimlendirilmesi gerekir. 12.2.6.3.3 ACM_CAP.3.3C CM belgelerinin bir yapılandırma listesi ve bir CM planı içermesi gerekir. 12.2.6.3.4 ACM_CAP.3.4C Yapılandırma listesinin, TOE'yi oluşturan yapılandırma öğelerini benzersiz şekilde tanımlaması gerekir.


54

12.2.6.3.5 ACM_CAP.3.5C Yapılandırma listesinin, TOE'yi oluşturan yapılandırma öğelerini tarif etmesi gerekir. 12.2.6.3.6 ACM_CAP.3.6C CM belgelerinin, yapılandırma öğelerini benzersiz bir şekilde isimlendirmek için kullanılan yöntemi tarif etmesi gerekir. 12.2.6.3.7 ACM_CAP.3.7C CM sisteminin bütün yapılandırma öğelerini ayrı bir şekilde belirtmesi gerekir. 12.2.6.3.8 ACM_CAP.3.8C CM planının CM sisteminin nasıl kullanıldığını tarif etmesi gerekir. 12.2.6.3.9 ACM_CAP.3.9C Kanıtların CM sisteminin CM planına göre çalıştığını göstermesi gerekir. 12.2.6.3.10 ACM_CAP.3.10C CM belgelerinin , bütün yapılandırma öğelerinin CM sistemiyle etkili bir şekilde sürdürülmüş ve sürdürülmekte olduğunun kanıtlarını sağlaması gerekir. 12.2.6.3.11 ACM_CAP.3.11C CM sisteminin, yapılandırma öğelerinde sadece yetkilendirilmiş değişikliklerin yapılmasına izin veren önlemler sağlaması gerekir. 12.2.6.4 Değerlendirici eylem öğeleri 12.2.6.4.1 ACM_CAP.3.1E Değerlendiricinin, sağlanan bilgilerin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimlere uygun olduğunu doğrulaması gerekir. 12.2.7 ACM_CAP.4 Üretim desteği ve kabul prosedürleri Bağımlılıklar: ALC_DVS.1 Güvenlik önlemlerinin belirlenmesi 12.2.7.1 Hedefler TOE'nin hangi örneğinin değerlendirildiğiyle ilgili herhangi bir karmaşa olmamasını sağlamak için benzersiz bir referans gerekmektedir. TOE'nin referansıyla isimlendirilmesi, TOE kullanıcılarının TOE'nin hangi örneğini kullandıklarının farkında olabilmelerini sağlamaktadır. Yapılandırma öğelerinin benzersiz bir isme sahip olması TOE'nin yapısının daha açık bir şekilde anlaşılmasını sağlamaktadır ve bu da TOE için değerlendirme gereksinimlerine tabi olan öğelerin belirlenmesine yardım etmektedir. TOE'de yetkilendirilmemiş değişikliklerin yapılmamasını sağlayan kontroller sağlanması ve CM sisteminin düzgün fonksiyonelliğinin ve kullanımının sağlanması, TOE'nin bütünlüğünün sürdürülmesine yardım etmektedir. Kabul prosedürlerinin amacı, yapılandırma öğelerindeki herhangi bir yaratma ya da değişikliğin yetkilendirilmiş olmasını sağlamaktır.


55

12.2.7.2 Geliştirici eylem öğeleri 12.2.7.2.1 ACM_CAP.4.1D Geliştiricinin, TOE için bir referans sağlaması gerekir. 12.2.7.2.2 ACM_CAP.4.2D Geliştiricinin, bir CM sistemi kullanması gerekir. 12.2.7.2.3 ACM_CAP.4.3D Geliştiricinin, CM belgelerini sağlaması gerekir. 12.2.7.3 Kanıtın içeriği ve sunulması öğeleri 12.2.7.3.1 ACM_CAP.4.1C TOE referansının TOE'nin her bir sürümü için ayrı olması gerekir. 12.2.7.3.2 ACM_CAP.4.2C TOE’nin, referansıyla isimlendirilmesi gerekir. 12.2.7.3.3 ACM_CAP.4.3C CM belgelerinin bir yapılandırma listesi, bir CM planı ve bir kabul planını içermesi gerekir. 12.2.7.3.4 ACM_CAP.4.4C Yapılandırma listesinin, TOE'yi oluşturan yapılandırma öğelerini benzersiz şekilde tanımlaması gerekir. 12.2.7.3.5 ACM_CAP.4.5C Yapılandırma listesinin TOE'yi oluşturan yapılandırma öğelerini tarif etmesi gerekir. 12.2.7.3.6 ACM_CAP.4.6C CM belgelerinin , yapılandırma öğelerini benzersiz bir şekilde ayırt etmek için kullanılan yöntemi tarif etmesi gerekir. 12.2.7.3.7 ACM_CAP.4.7C CM sisteminin bütün yapılandırma öğelerini ayrı bir şekilde belirtmesi gerekir. 12.2.7.3.8 ACM_CAP.4.8C CM planının CM sisteminin nasıl kullanıldığını tarif etmesi gerekir. 12.2.7.3.9 ACM_CAP.4.9C Kanıtların CM sisteminin CM planına göre çalıştığını göstermesi gerekir. 12.2.7.3.10 ACM_CAP.4.10C CM belgelerinin , bütün yapılandırma öğelerinin CM sistemiyle etkili bir şekilde sürdürülmüş ve sürdürülmekte olduğunun kanıtlarını sağlaması gerekir.


56

12.2.7.3.11 ACM_CAP.4.11C CM sisteminin yapılandırma öğelerinde sadece yetkilendirilmiş değişikliklerin yapılmasına izin veren önlemler sağlaması gerekir. 12.2.7.3.12 ACM_CAP.4.12C CM sisteminin TOE'nin üretilmesini desteklemesi gerekir. 12.2.7.3.13 ACM_CAP.4.13C Kabul planının, değiştirilmiş ya da yeni yaratılmış yapılandırma öğelerini TOE'nin parçası olarak kabul etmek için prosedürleri tarif etmesi gerekir. 12.2.7.4 Değerlendirici eylem öğeleri: 12.2.7.4.1 ACM_CAP.4.1E Değerlendiricinin, sağlanan bilgilerin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 12.2.8 ACM_CAP.5 Gelişmiş destek Bağımlılıklar: ALC_DVS.2 Güvenlik önlemlerinin yeterliliği 12.2.8.1 Hedefler TOE'nin hangi örneğinin değerlendirildiğiyle ilgili herhangi bir karmaşa olmamasını sağlamak için benzersiz bir referans gerekmektedir. TOE'nin referansıyla isimlendirilmesi, TOE kullanıcılarının TOE'nin hangi örneğini kullandıklarının farkında olabilmelerini sağlamaktadır. Yapılandırma öğelerinin benzersiz bir isme sahip olması TOE'nin yapısının daha açık bir şekilde anlaşılmasını sağlamaktadır ve bu da TOE için değerlendirme gereksinimlerine tabi olan öğelerin belirlenmesine yardım etmektedir. TOE'de yetkilendirilmemiş değişikliklerin yapılmamasını sağlayan kontroller sağlanması ve CM sisteminin düzgün fonksiyonelliğinin ve kullanımının sağlanması, TOE'nin bütünlüğünün sürdürülmesine yardım etmektedir. Kabul prosedürlerinin amacı, yapılandırma öğelerindeki herhangi bir yaratma ya da değişikliğin yetkilendirilmiş olmasını sağlamaktır. Entegrasyon prosedürleri TOE'nin yönetilen bir yapılandırma öğeleri grubundan üretiminin yetkilendirilmiş bir şekilde doğru olarak gerçekleştirilmesini sağlamaya yardım etmektedir. CM sisteminin TOE'yi üretmekte kullanılan malzemenin asıl kopyasını belirleyebilmesini istemek, bu malzemenin bütünlüğünün uygun teknik, fiziksel ve prosedürle ilgili önlemlerle korunmasını sağlamaya yardım etmektedir. 12.2.8.2 Geliştirici eylem öğeleri 12.2.8.2.1 ACM_CAP.5.1D Geliştiricinin, TOE için bir referans sağlaması gerekir. 12.2.8.2.2 ACM_CAP.5.2D Geliştiricinin, bir CM sistemi kullanması gerekir. 12.2.8.2.3 ACM_CAP.5.3D Geliştiricinin, CM belgelerini sağlaması gerekir.


57

12.2.8.3 Kanıtın içeriği ve sunulması öğeleri 12.2.8.3.1 ACM_CAP.5.1C TOE referansının TOE'nin her bir sürümü için ayrı olması gerekir. 12.2.8.3.2 ACM_CAP.5.2C TOE’nin, referansıyla isimlendirilmesi gerekir. 12.2.8.3.3 ACM_CAP.5.3C CM belgelerinin bir yapılandırma listesi, bir CM planı, bir kabul planı ve entegrasyon prosedürlerini içermesi gerekir. 12.2.8.3.4 ACM_CAP.5.4C Yapılandırma listesinin, TOE'yi oluşturan yapılandırma öğelerini benzersiz şekilde tanımlaması gerekir. 12.2.8.3.5 ACM_CAP.5.5C Yapılandırma listesinin, TOE'yi oluşturan yapılandırma öğelerini tarif etmesi gerekir. 12.2.8.3.6 ACM_CAP.5.6C CM belgelerinin, yapılandırma öğelerini benzersiz bir şekilde belirlemek için kullanılan yöntemi tarif etmesi gerekir. 12.2.8.3.7 ACM_CAP.5.7C CM sisteminin bütün yapılandırma öğelerini ayrı bir şekilde belirtmesi gerekir. 12.2.8.3.8 ACM_CAP.5.8C CM planının CM sisteminin nasıl kullanıldığını tarif etmesi gerekir. 12.2.8.3.9 ACM_CAP.5.9C Kanıtların CM sisteminin CM planına göre çalıştığını göstermesi gerekir. 12.2.8.3.10 ACM_CAP.5.10C CM belgelerinin bütün yapılandırma öğelerinin CM sistemine göre etkili bir şekilde sürdürülmüş ve sürdürülmekte olduğunun kanıtlarını sağlaması gerekir. 12.2.8.3.11 ACM_CAP.5.11C CM sisteminin yapılandırma öğelerinde sadece yetkilendirilmiş değişikliklerine yapılmasına izin veren önlemler sağlaması gerekir. 12.2.8.3.12 ACM_CAP.5.12C CM sisteminin TOE'nin üretimini desteklemesi gerekir. 12.2.8.3.13 ACM_CAP.5.13C Kabul planının, değiştirilmiş ya da yeni yaratılmış yapılandırma öğelerinin TOE'nin bir parçası olarak kabul edilmesi için prosedürleri tarif etmesi gerekir.


58

12.2.8.3.14 ACM_CAP.5.14C Entegrasyon prosedürlerinin CM sisteminin TOE üretim sürecinde nasıl uygulandığını tarif etmesi gerekir. 12.2.8.3.15 ACM_CAP.5.15C CM sisteminin, CM'ye bir yapılandırma öğesinin kabulünden sorumlu kişinin onu geliştiren kişi olmamasını gerektirmesi gerekir. 12.2.8.3.16 ACM_CAP.5.16C CM sisteminin, TSF'yi oluşturan yapılandırma öğelerini açık bir şekilde belirtmesi gerekir. 12.2.8.3.17 ACM_CAP.5.17C CM sisteminin, asgari olarak denetim izindeki yaratıcı kişi, tarih ve zamanı içeren TOE'deki bütün değişikliklerin denetimini desteklemesi gerekir. 12.2.8.3.18 ACM_CAP.5.18C CM sisteminin TOE'yi üretmekte kullanılan bütün malzemenin asıl kopyasını ayırt edebilmesi gerekir. 12.2.8.3.19 ACM_CAP.5.19C CM belgelerinin , CM sisteminin geliştirme güvenlik önlemleriyle birlikte kullanımının TOE'de sadece yetkilendirilmiş değişikliklerin yapılmasına olanak tanıdığını göstermesi gerekir. 12.2.8.3.20 ACM_CAP.5.20C CM belgelerinin, entegrasyon prosedürlerinin kullanımının, TOE'nin üretiminin yetkilendirilmiş bir şekilde doğru olarak gerçekleştirilmesini sağladığını göstermesi gerekir. 12.2.8.3.21 ACM_CAP.5.21C CM belgelerinin , CM sisteminin CM'ye bir yapılandırma öğesini kabul etmekten sorumlu kişinin onu geliştiren kişi olmamasını sağlamaya yeterli olduğunu göstermesi gerekir. 12.2.8.3.22 ACM_CAP.5.22C CM belgelerinin , kabul prosedürlerinin, bütün yapılandırma öğelerindeki değişikliklerin yeterli ve uygun bir şekilde gözden geçirilmesini gerektirdiğini doğrulaması gerekir. 12.2.8.4 Değerlendirici eylem öğeleri 12.2.8.4.1 ACM_CAP.5.1E Değerlendiricinin, sağlanan bütün bilgilerin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 12.3 CM kapsamı (ACM_SCP) 12.3.1 Hedefler Bu ailenin hedefi gerekli bütün TOE yapılandırma öğelerinin CM sistemi tarafından izlenmesini sağlamaktır. Bu da, bu yapılandırma öğelerinin bütünlüğünün CM sisteminin yetenekleri yoluyla korunmasının sağlanmasına yardım etmektedir. Bu ailenin hedefleri aşağıdakileri içermektedir: a) TOE uygulama temsilinin izlenmesini sağlamak,


59

b) Sorun raporları da dahil gerekli bütün belgelerin geliştirme ve çalışma sırasında izlenmesini sağlamak, c) Yapılandırma seçeneklerinin (örneğin, derleyici anahtarlarının) izlenmesini sağlamak ve d) Geliştirme araçlarının izlenmesini sağlamak. 12.3.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi aşağıdakilerin hangisinin CM sistemi tarafından izlendiğine bağlı olarak belirlenmektedir: TOE uygulaması temsili; tasarım belgeleri; test belgeleri; kullanıcı belgeleri; yönetici belgeleri; CM belgeleri; güvenlik açıkları; ve geliştirme araçları. 12.3.3 Uygulama notları ACM_SCP.1.1C TOE uygulama temsilinin CM sistemi tarafından izlenmesi gereğini getirmektedir. TOE uygulama temsili fiziksel TOE'yi oluşturan bütün donanım, yazılım ve bellenim anlamına gelmektedir. Sadece yazılım TOE'si durumunda, uygulama temsili sadece kaynak ve nesne kodundan oluşabilir. ACM_SCP.1.1C ayrıca CM belgelerinin CM sistemi tarafından izlenmesi gereksinimini getirmektedir. Bu da CM planını ve CM sistemini oluşturan herhangi bir aracın mevcut sürümleriyle ilgili bilgileri içermektedir. ACM_SCP.2 güvenlik hatalarının CM sistemi tarafından izlenmesi gereksinimini getirmektedir. Bu da önceki güvenlik hataları ve bunların çözümüyle ilgili bilgilerin ve mevcut güvenlik hatalarıyla ilgili ayrıntıların tutulmasını gerektirmektedir. ACM_SCP.3.1C geliştirme araçları ve diğer ilgili bilgilerin CM sistemi tarafından izlenmesi gereksinimini getirmektedir. Geliştirme araçlarına örnekler programlama dilleri ve derleyicilerdir. TOE üretim öğeleriyle ilgili bilgiler (örneğin derleyici seçenekleri, kurulum/üretim seçenekleri ve kurma seçenekleri) geliştirme araçlarıyla ilgili bilgilere bir örnektir. 12.3.4 ACM_SCP.1 TOE CM kapsamı Bağımlılıklar: ACM_CAP.3 Yetkilendirme kontrolleri 12.3.4.1 Hedefler Bir CM sistemi ancak CM altına yerleştirilen öğelerdeki değişiklikleri kontrol edebilir. TOE uygulama temsili, tasarım, testler, kullanıcı ve yönetici belgeleri ve CM belgelerinin CM'nin altına konulması bunların uygun yetkilendirmeyle birlikte kontrollü bir şekilde değiştirildiğine dair garanti sağlamaktadır. 12.3.4.2 Geliştirici eylem öğeleri 12.3.4.2.1 ACM_SCP.1.1D Geliştiricinin, CM belgelerini sağlaması gerekir. 12.3.4.3 Kanıtın içeriği ve sunulması öğeleri 12.3.4.3.1 ACM_SCP.1.1C CM belgelerinin, CM sisteminin asgari olarak aşağıdakileri izlediğini göstermesi gerekir: TOE uygulama temsili, tasarım belgeleri, test belgeleri, kullanıcı belgeleri, yönetici belgeleri ve CM belgeleri. 12.3.4.3.2 ACM_SCP.1.2C CM belgelerinin yapılandırma öğelerinin CM sistemi tarafından nasıl izlendiğini tarif etmesi gerekir. 12.3.4.4 Değerlendirici eylem öğeleri 12.3.4.4.1 ACM_SCP.1.1E Değerlendiricinin, sağlanan bilgilerin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir.


60

12.3.5 ACM_SCP.2 Sorun çözme CM kapsamı Bağımlılıklar: ACM_CAP.3 Yetkilendirme kontrolleri 12.3.5.1 Hedefler Bir CM sistemi ancak CM altına yerleştirilen öğelerdeki değişiklikleri kontrol edebilir. TOE uygulama temsili, tasarım, testler, kullanıcı ve yönetici belgeleri ve CM belgelerinin CM'nin altına konulması bunların uygun yetkilendirmeyle birlikte kontrollü bir şekilde değiştirildiğine dair garanti sağlamaktadır. CM altında güvenlik hatalarının izlenebilmesi yeteneği güvenlik hata raporlarının kaybolmamasını ya da unutulmamasını sağlamaktadır ve geliştiricinin güvenlik hatalarının çözümlerine ulaşabilmesine olanak tanımaktadır. 12.3.5.2 Geliştirici eylem öğeleri 12.3.5.2.1 ACM_SCP.2.1D Geliştiricinin, CM belgelerini sağlaması gerekir. 12.3.5.3 Kanıtın içeriği ve sunulması öğeleri 12.3.5.3.1 ACM_SCP.2.1C CM belgelerinin CM sisteminin asgari olarak aşağıdakileri izlediğini göstermesi gerekir: TOE uygulaması temsili, tasarım belgeleri, test belgeleri, kullanıcı belgeleri, yönetici belgeleri, CM belgeleri, ve güvenlik hataları. 12.3.5.3.1 ACM_SCP.2.2C CM belgelerinin yapılandırma öğelerinin CM sistemi tarafından nasıl izlendiğini tarif etmesi gerekir. 12.3.5.4 Değerlendirici eylem öğeleri 12.3.5.4.1 ACM_SCP.2.1E Değerlendiricinin, sağlanan bilgilerin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 12.3.6 ACM_SCP.3 Geliştirme araçları CM kapsamı Bağımlılıklar: ACM_CAP.3 Yetkilendirme kontrolleri 12.3.6.1 Hedefler Bir CM sistemi ancak CM altına yerleştirilen öğelerdeki değişiklikleri kontrol edebilir. TOE uygulama temsili, tasarım, testler, kullanıcı ve yönetici belgeleri ve CM belgelerinin CM'nin altına konulması bunların uygun yetkilendirmeyle birlikte kontrollü bir şekilde değiştirildiğine dair garanti sağlamaktadır. Güvenlik hatalarını CM altına yerleştirmek, güvenlik hata raporlarının kaybolmamasını ya da unutulmamasını sağlamaktadır ve geliştiricinin güvenlik hatalarının çözümlerine ulaşabilmesine olanak tanımaktadır. Geliştirme araçları TOE'nin kaliteli bir sürümünün üretilmesinin sağlanmasında önemli bir rol oynamaktadır. Bu nedenle, bu araçlardaki değişikliklerin kontrol edilmesi önemlidir. 12.3.6.2 Geliştirici eylem öğeleri 12.3.6.2.1 ACM_SCP.3.1D Geliştiricinin, TEO için bir yapılandırma öğeleri listesi sağlaması gerekir.


61

12.3.6.3 Kanıtın içeriği ve sunulması öğeleri 12.3.6.3.1 ACM_SCP.3.1C Yapılandırma öğeleri listesinin aşağıdakileri içermesi gerekir: Uygulama temsili, güvenlik hataları, geliştirme araçları ve ilgili bilgiler, ve ST’deki garanti bileşenleri tarafından gereksinim duyulan değerlendirme kanıtı. 12.3.6.4 Değerlendirici eylem öğeleri 12.3.6.4.1 ACM_SCP.3.1E Değerlendiricinin, sağlanan bilgilerin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 13 ADO Sınıfı: Teslim ve çalışma Teslim ve çalışma, TOE'nin doğru teslimi, kurulumu, üretimi ve başlatılması için gereksinimler sağlamaktadır. Şekil 9'da bu ailedeki sınıflar ve bu ailelerin içindeki bileşenlerin hiyerarşisi gösterilmektedir.

Şekil 9 - ADO: Teslim ve çalışma sınıfının yapısı

13.1 Teslim (ADO_DEL) 13.1.1 Hedefler Teslim için gereksinimler, alıcının göndericinin amaçladığı TOE'yi herhangi bir değişiklik olmadan aldığı konusunda garanti sağlayan sistem kontrolü ve dağıtım olanaklarını gerektirmektedir. Geçerli bir teslim için, alınan şeyin tam olarak TOE asıl kopyasına karşılık gelmesi gerekmektedir ve böylece gerçek sürüm üzerindeki herhangi bir müdahale ya da yanlış bir sürümle değiştirilmesi önlenmiş olmaktadır. 13.1.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi, teslim sırasında TOE'deki değişikliklerin tespiti ve önlenmesi için geliştiriciden beklenen artan gereksinimlere göre belirlenmektedir. 13.1.3 Uygulama notları Bu prosedürler aşağıdaki hususları dikkate almalıdır: a) Tüketici (kullanıcı) tarafından alınan TEO’nin tam olarak TOE Ana kopyaya karşılık gelmesini sağlamak, b) TOE’nin gerçek sürümüne olabilecek değişikliklerden sakınmak/algılamak, c) TOE’nin hatalı bir sürümünün teslimini önlemek, d) TOE’nin tüketiciye dağıtımının istenmeyen öğelerce bilimesinden sakınmak, e) TOE’nin teslim esnasında engellenmesinden sakınmak/algılamak ve f) Dağıtım esnasında TOE’nin geciktirilmesi ya da durdurulmasından sakınmak. Prosedürler TOE’nin her yönden (bütünlük, gizlilik, kullanılabilirlik) korunmasını dikkate almasına rağmen, ADO_DEL.2 Değişikliğin tespiti ve ADO_DEL.3 Değişikliğin önlenmesi’nde tanıtılan teknik önlemler sadece bütünlük hususlarını belirtmek için gereklidir.

ADO_DEL: Teslim

ADO_IGS: Kurulum, üretim ve başlatma

1

1

2

2

3


62

13.1.4 ADO_DEL.1 Teslim prosedürleri Bağımlılıklar: Hiçbir bağımlılık yoktur. 13.1.4.1 Geliştirici eylem öğeleri 13.1.4.1.1 ADO_DEL.1.1D Geliştiricinin, TOE'nin ya da bölümlerinin kullanıcıya teslimi için prosedürleri belgelemesi gerekir. 13.1.4.1.2 ADO_DEL.1.2D Geliştiricinin, teslim prosedürleri kullanması gerekir. 13.1.4.2 Kanıtın içeriği ve sunulması öğeleri 13.1.4.2.1 ADO_DEL.1.1C Teslim belgelerinin, TOE sürümlerini bir kullanıcının alanına dağıtırken güvenliği sağlamak için gerekli bütün prosedürleri tarif etmesi gerekir. 13.1.4.3 Değerlendirici eylem öğeleri 13.1.4.3.1 ADO_DEL.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 13.1.5 ADO_DEL.2 Değişikliğin tespiti Bağımlılıklar: ACM_CAP.3 Yetkilendirme kontrolleri 13.1.5.1 Geliştirici eylem öğeleri: 13.1.5.1.1 ADO_DEL.2.1D Geliştiricinin, TOE'nin ya da bölümlerinin kullanıcıya teslimi için prosedürleri belgelemesi gerekir. 13.1.5.1.2 ADO_DEL.2.2D Geliştiricinin, teslim prosedürleri kullanması gerekir. 13.1.5.2 Kanıtın içeriği ve sunulması öğeleri 13.1.5.2.1 ADO_DEL.2.1C Teslim belgelerinin, TOE sürümlerini bir kullanıcının alanına dağıtırken güvenliği sağlamak için gerekli bütün prosedürleri tarif etmesi gerekir. 13.1.5.2.2 ADO_DEL.2.2C Teslim belgelerinin, çeşitli prosedürlerin ve teknik önlemlerin, değişikliklerin ya da geliştiricinin asıl kopyasıyla kullanıcı alanında teslim alınan sürüm arasındaki farklılıkların tespitini nasıl sağladığını tarif etmesi gerekir. 13.1.5.2.3 ADO_DEL.2.3C Teslim belgelerinin, çeşitli prosedürlerin, geliştirici kullanıcının alanına hiçbir şey göndermediği durumlarda bile, geliştirici gibi görünme denemelerinin tespitine nasıl olanak tanıdığını tarif etmesi gerekir.


63

13.1.5.3 Değerlendirici eylem öğeleri 13.1.5.3.1 ADO_DEL.2.1E Değerlendiricinin, sağlanan bilgilerin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 13.1.6 ADO_DEL.3 Değişikliğin önlenmesi Bağımlılıklar: ACM_CAP.3 Yetkilendirme kontrolleri 13.1.6.1 Geliştirici eylem öğeleri 13.1.6.1.1 ADO_DEL.3.1D Geliştiricinin, TOE'nin ya da bölümlerinin kullanıcıya teslimi için prosedürleri belgelemesi gerekir. 13.1.6.1.2 ADO_DEL.3.2D Geliştiricinin, teslim prosedürleri kullanması gerekir. 13.1.6.2 Kanıtın içeriği ve sunulması öğeleri 13.1.6.2.1 ADO_DEL.3.1C Teslim belgelerinin, TOE'nin sürümlerini bir kullanıcının alanına dağıtırken güvenliği korumak için gerekli bütün prosedürleri tarif etmesi gerekir. 13.1.6.2.2 ADO_DEL.3.2C Teslim belgelerinin, çeşitli prosedürlerin ve teknik önlemlerin, değişikliklerin önlenmesini ya da geliştiricinin asıl kopyayla kullanıcı alanında teslim alınan sürüm arasındaki farklılıkların önlenmesini nasıl sağladığını tarif etmesi gerekir. 13.1.6.2.3 ADO_DEL.3.3C Teslim belgelerinin, çeşitli prosedürlerin, geliştirici kullanıcının alanına hiçbir şey göndermediği durumlarda bile, geliştirici gibi görünme denemelerinin tespitine nasıl olanak tanıdığını tarif etmesi gerekir. 13.1.6.3 Değerlendirici eylem öğeleri 13.1.6.3.1 ADO_DEL.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 13.2 Kurulum, üretim ve başlatma (ADO_IGS) 13.2.1 Hedefler Kurulum, üretim ve başlatma prosedürleri, TOE'nin geliştirici tarafından amaçlanan güvenli bir şekilde kurulduğunu, üretildiğini ve başlatıldığını doğrulamakta kullanışlıdır. Kurulum, üretim ve başlatma gereksinimleri TOE'nin yapılandırma kontrolü altındaki uygulama temsilinden kullanıcı ortamındaki ilk çalışmasına güvenli geçişi gerektirmektedir. 13.2.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi TOE üretim seçeneklerinin kütüğe kaydedilip kaydedilmediğine bağlı olarak belirlenmektedir.


64

13.2.3 Uygulama notları Bu gereksinimlerin uygulamasının TOE'nin bir bilgi teknolojisi ürünü ya da sistemi olup olmamasına, çalışma durumunda teslim edilip edilmemesine ya da TOE sahibinin alanına getirilmesi gerekip gerekmediğine vb. bağlı olarak değişeceği kabul edilmektedir. Belirli bir TOE'de normalde kurulum, üretim ve başlatma ile ilgili olarak TOE geliştiricisiyle TOE'nin sahibi arasında bir sorumluluk dağılımı olacaktır ama bütün etkinliklerin tek bir alanda gerçekleştiği örnekler de vardır. Örneğin, akıllı bir kartta, kurulum, üretim ve başlatma çalışmaları TOE geliştiricisinin bulunduğu yerde gerçekleştirilmiş olabilir. Öte yandan, TOE bir yazılım biçimindeki bir bilgi teknolojisi sistemi olarak teslim edilmiş olabilir ve kurulum, üretim ve başlatmayla ilgili bütün işler TOE sahibinin yerinde gerçekleştirilebilir. Değerlendirme başladığı anda TOE zaten kurulu da olabilir. Bu durumda, kurulum prosedürlerinin istenmesi ve incelenmesi uygun olmayabilir. Buna ek olarak, üretim gereksinimleri sadece uygulama temsilinden, çalışmakta olan bir TOE'nin bölümlerinin üretilmesi yeteneği sağlayan TOE'lere uygulanabilmektedir. Kurulum, üretim ve başlatma prosedürleri ayrı belgeler olarak bulunabilir ya da diğer idari kılavuzlarla bir araya getirilebilir. Bu garanti ailesindeki gereksinimler AGD_ADM ailesindekilerden ayrı olarak sunulmaktadır çünkü kurulum, üretim ve başlatma prosedürleri sık olmayan bir şekilde ve büyük bir olasılıkla da bir kez kullanılmaktadır. 13.2.4 ADO_IGS.1 Kurulum, üretim ve başlatma prosedürleri Bağımlılıklar: AGD_ADM.1 Yönetici kılavuzu 13.2.4.1 Geliştirici eylem öğeleri 13.2.4.1.1 ADO_IGS.1.1D Geliştiricinin, TOE'nin güvenli kurulumu, üretimi ve başlatılması için gerekli prosedürleri belgelemesi gerekir. 13.2.4.2 Kanıtın içeriği ve sunulması öğeleri 13.2.4.2.1 ADO_IGS.1.1C Belgelerin, TOE'nin güvenli kurulumu, üretimi ve başlatılması için gerekli prosedürleri tarif etmesi gerekir. 13.2.4.3 Değerlendirici eylem öğeleri 13.2.4.3.1 ADO_IGS.1.1E Değerlendiricinin, sağlanan bilgilerin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 13.2.4.3.2 ADO_IGS.1.2E Değerlendiricinin, kurulum, üretim ve başlatma prosedürlerinin güvenli bir yapılandırma sağladığını belirlemesi gerekir. 13.2.5 ADO_IGS.2 Üretim kütüğü Bağımlılıklar: AGD_ADM.1 Yönetici kılavuzu


65

13.2.5.1 Değerlendirici eylem öğeleri 13.2.5.1.1 ADO_IGS.2.1D Değerlendiricinin, TOE'nin güvenli kurulumu, üretimi ve başlatılması için gerekli prosedürleri belgelemesi gerekir. 13.2.5.2 Kanıtın içeriği ve sunulması öğeleri 13.2.5.2.1 ADO_IGS.2.1C Kurulum, üretim ve başlatma belgelerinin, TOE'nin güvenli bir şekilde kurulumu, üretimi ve başlatılması için gerekli tüm adımları tarif etmesi gerekir. 13.2.5.2.2 ADO_IGS.2.2C Kurulum, üretim ve başlatma belgelerinin, TOE'yi üretmek için kullanılan üretim seçeneklerini, TOE'nin tam olarak nasıl ve ne zaman üretildiğinin belirlenmesine olanak tanıyacak şekilde içeren bir kütük yaratabilen prosedürleri tarif etmesi gerekir. 13.2.5.3 Değerlendirici eylem öğeleri 13.2.5.3.1 ADO_IGS.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 13.2.5.3.2 ADO_IGS.2.2E Değerlendiricinin, kurulum, üretim ve başlatma prosedürlerinin güvenli bir yapılandırma sağladığını belirlemesi gerekir. 14 ADV Sınıfı: Geliştirme Geliştirme sınıfı, TSF'yi fonksiyonel arayüzden uygulama temsiline kadar farklı soyutluk düzeylerinde temsil etmek için dört gereksinim ailesini kapsamaktadır. Geliştirme sınıfı ayrıca çeşitli TSF temsilleri arasında karşılık gelmenin eşleştirilmesi için bir gereksinim ailesi içermektedir ve nihai olarak, en az soyut temsilden aradaki bütün temsillere ve ST'de sağlanan TOE özet belirtimine kadar karşılık gelmenin gösterilmesini istemektedir. Buna ek olarak, bir TSP modeli ve TSP, TSP modeli ve fonksiyonel belirtim arasındaki karşılık gelme eşleştirmeleri için bir gereksinim ailesi bulunmaktadır. Son olarak, TSF'nin iç yapısıyla ilgili bir gereksinim ailesi bulunmaktadır ve bu da modülerlik, katmanlaştırma ve karmaşıklığın en aza indirilmesi gibi yönleri ele almaktadır. Bu ailelerde görülen paradigma TSF'nin fonksiyonel belirtimiyle ilgilidir ve TSF'yi alt sistemlere, alt sistemleri modüllere ayırmakta, modüllerin uygulamasını göstermekte ve bütün alt bölümler arasındaki karşılık gelmeyi kanıt olarak göstermektedir. Çeşitli TSF temsilleri için gereksinimler ise, PP/ST yazarının TSF temsillerinin hangi alt kümesinin gerektiğini belirtmesine olanak tanımak için farklı ailelere ayrılmıştır.


66

Şekil 10 - TOE temsilleri ve gereksinimleri arasındaki ilişki

Şekil 10'da çeşitli TSF temsilleriyle bunların ele alması amaçlanan nesneler ve gereksinimler arasındaki ilişkiler gösterilmektedir. Şekilde gösterildiği gibi, APE ve ASE sınıfları, fonksiyonel gereksinimlerle güvenlik hedefleri ve ayrıca güvenlik hedefleriyle TOE'nin beklenen ortamı arasında karşılık gelme için gereksinimleri tanımlamaktadır. ASE Sınıfı ayrıca hem güvenlik hedefleri hem de fonksiyonel gereksinimlerle TOE özet belirtimi arasındaki karşılık gelmeyi tanımlamaktadır. Şekil 10'da gösterilen diğer bütün karşılık gelmeler için gereksinimler ADV sınıfında tanımlanmaktadır. ADV_SPM ailesi TSP ile TSP modeli ve TSP modeli ile fonksiyonel belirtim arasındaki karşılık gelme için gereksinimleri tanımlamaktadır. ADV_RCR ailesi, TOE özet belirtiminden uygulama temsiline kadar kullanılabilir bütün TSF temsilleri için gereksinimleri tanımlamaktadır. Son olarak, belirli bir TSF temsiline özgü her garanti ailesi (yani, ADV_FSP, ADV_HLD, ADV_LLD ve ADV_IMP) o TSF temsilini fonksiyonel gereksinimlerle ilişkilendiren gereksinimleri tanımlamakta ve bunların kombinasyonu da TOE güvenlik fonksiyonel gereksinimlerinin ele alınmasını sağlamaya yardım etmektedir. İzlenebilirlik incelemesi her zaman en yüksek düzeydeki TSF temsilinden başlayarak aşağıya doğru sağlanan her bir TSF temsilinde gerçekleştirilecektir. CC, bu izlenebilirlik gereksinimini ADV_RCR ailesindeki bağımlılıklar yoluyla kapsamaktadır. ADV_INT ailesi bu şekilde temsil edilmemektedir çünkü bu aile TSF'nin iç yapısıyla ilgilidir ve TSF temsillerinin ayrıntılandırılması işlemiyle sadece dolaylı olarak ilgilidir.

Çevre

Kaynak amaca karşılık geliyor

Kaynak amaçta ayrıntılandırılıyor

Güvenlik Hedefleri

Fonksiyonel Gereksinimler/TSP

TOE Özet Belirtimi

Fonksiyonel Belirtim

Uygulama Temsili

Düşük Düzeyli Tasarım

Yüksek Düzeyli Tasarım

TSP Modeli

APE/ASE_OBJ

APE/ASE_REQ

ASE_TSS

ADV_RCR

ADV_RCR

ADV_RCR

ADV_RCR

ADV_FSP

ADV_FSP

ADV_FSP

ADV_FSP


67

TOE güvenlik politikası (TSP), TOE güvenlik fonksiyonel gereksinimleriyle ifade edilen, TOE içinde kaynakların yönetilmesini, korunmasını ve dağıtılmasını düzenleyen bir dizi kuraldır. Geliştirici açık bir şekilde TSP sağlanması istenmemektedir çünkü TSP, güvenlik fonksiyonu politikaları (SFP'ler ve diğer ayrı gereksinim öğelerinin kombinasyonuyla TOE güvenlik fonksiyonel gereksinimleri tarafından ifade edilmektedir. TOE güvenlik fonksiyonlarının (TSF) hepsi, TSP'nin uygulanması için güvenilmesi gereken TOE bölümleridir. TSF hem doğrudan TSP'yi uygulayan fonksiyonları hem de TSP'yi doğrudan uygulamasa da daha dolaylı olarak TSP'nin uygulanmasına katkıda bulunan fonksiyonları içermektedir. ASE_TSS ailesi ve bu sınıftaki çeşitli aileler içindeki gereksinimler bir kaç farklı TSF temsili gerektirse de, her bir TSF temsilinin ayrı bir belgede olması mutlaka gerekli değildir. Tek bir belgenin birden fazla TSF temsilinin belgeleme gereksinimlerini karşılaması da mümkündür, çünkü istenen oluşan belge yapısı değil bu her bir TSF temsiliyle ilgili bilgidir. Birden fazla TSF temsilinin tek bir belgede bir araya getirildiği durumlarda, geliştirici hangi belgenin hangi gereksinimi karşıladığını belirtmelidir. Bu sınıf üç tür belirtim biçimini zorunlu kılmaktadır; biçimsel olmayan, yarı biçimsel ve biçimsel. Fonksiyonel belirtim, yüksek düzeyde tasarım, düşük düzeyde tasarım ve TSP modelleri bu belirtim biçimlerinden biri kullanılarak yazılacaktır. Bu belirtimlerdeki yanlış anlaşılabilecek yapılar daha yüksek biçimsellik düzeyi kullanılarak azaltılmaktadır. Biçimsel olmayan bir belirtim doğal dilde düzyazı olarak yazılmaktadır. Doğal dil burada herhangi bir yaygın olarak konuşulan dildeki (örneğin, Flamanca, İngilizce, Fransızca, Almanca) iletişim anlamında kullanılmaktadır. Biçimsel olmayan belirtim o dildeki normal kurallar (örneğin, gramer ve söz dizimi) dışında herhangi bir temsille ilgili ya da özel sınırlamaya tabi değildir. Temsille ilgili hiçbir sınırlama uygulanmasa da, biçimsel olmayan belirtimin, aynı zamanda normal kullanım dışındaki bir bağlamda kullanılan terimlerin tanımlanmış anlamlarını da sağlaması istenmektedir. Yarı biçimsel bir belirtim kısıtlanmış bir söz dizimine sahip bir dilde yazılmaktadır ve normalde yanında destekleyici açıklayıcı (biçimsel olmayan) düzyazı da bulunmaktadır. Kısıtlanmış söz dizimine sahip dil, kısıtlanmış cümle yapısına ve özel anlamı bulunan temel kelimelere sahip doğal bir dil olabilir ya da şemalar şeklinde olabilir (örneğin, veri akış şemaları, durum geçiş şemaları, varlık-ilişki şemaları, veri yapısı şemaları ve süreç ya da program yapısı şemaları). İster şemalara dayansın ister doğal dile, söz dizimi üzerindeki kısıtlamaları tanımlamak için bir dizi kural belirtilmelidir. Biçimsel bir belirtim yaygın matematik kavramlarına dayalı bir temsil şeklinde yazılmaktadır ve normalde yanında destekleyici ve açıklayıcı (biçimsel olmayan) bir düzyazı bulunmaktadır. Bu matematiksel kavramlar, temsilin söz dizimini ve anlamını ve mantıklı akıl yürütmeyi destekleyen kanıtlama kuralların tarif etmekte kullanılmaktadır. Biçimsel bir temsili destekleyen söz dizimi ve anlam kuralları, yapıların yanlış anlaşılmayacak bir şekilde nasıl tanınacağını ve anlamların nasıl belirleneceğini tanımlamalıdır. Çelişkiler türetilmesinin imkansız olduğuna dair kanıt olması ve temsili destekleyen bütün kuralların tanımlanması ya da bunlarla ilgili göndermeler yapılması gerekmektedir. TSF'nin her bir temsilinden izlenebilmesi sağlanarak ve TSP modelinin fonksiyonel belirtime karşılık gelmesi sağlanarak önemli bir garanti elde edilebilir. ADV_RCR ailesi, çeşitli TSF temsilleri arasındaki karşılık gelme eşleştirmeleri için gereksinimler içermektedir ve ADV_SPM ailesi de TSP modeliyle fonksiyonel belirtim arasında karşılık gelme eşleştirmesi için gereksinimler içermektedir. Bir karşılık gelme, biçimsel olmayan bir gösterme, yarı biçimsel bir gösterme ya da biçimsel bir kanıt şeklinde olabilir. Karşılık gelmenin biçimsel olmayan bir şekilde gösterilmesi istendiğinde, bu, sadece temel bir karşılık gelme istendiğini göstermektedir. Karşılık gelme yöntemleri arasında, örneğin, iki boyutlu bir çizelge kullanılması ve bu çizelgedeki maddelerin karşılık gelmeyi temsil etmesi ya da tasarım şemalarının uygun temsilinin kullanılması yer almaktadır. Diğer belgelere yönlendirmeler ve göndermeler de kullanılabilir. Karşılık gelmenin yarı biçimsel olarak gösterilmesi, karşılık gelmenin incelenmesinde organize bir yaklaşım gerektirmektedir. Bu yaklaşım, karşılık gelmede yer alan terimlerin yorumunu sınırlayarak biçimsel olmayan bir karşılık gelmede bulunabilecek belirsizliği azaltmaktadır. Diğer belgelere yönlendirmeler ve göndermeler de kullanılabilir.


68

Karşılık gelmenin biçimsel olarak kanıtlanması, biçimsel temsilin söz dizimi ve anlamlarını ve mantıklı akıl yürütmeyi destekleyen kuralları tanımlamak için yaygın matematiksel kavramların kullanılmasını gerektirmektedir. Güvenlik özelliklerinin biçimsel bir belirtim dilinde ifade edilebilir olması gerekmektedir ve bu güvenlik özelliklerinin biçimsel belirtimle karşılandığının gösterilmesi gerekmektedir. Diğer belgelere yönlendirmeler ve göndermeler de kullanılabilir. ADV_RCR.*.1C öğeleri, geliştiricinin her bir yan yana TSF temsili çifti için, daha soyut TSF temsilinin bütün ilgili güvenlik fonksiyonelliğinin, daha az soyut TSF temsilinde ayrıntılandırıldığına dair kanıt sağlamasını gerektirmektedir. ADV_FSP.*.2E, ADV_HLD.*.2E, ADV_LLD.*.2E ve ADV_IMP.*.2E öğelerinin her biri değerlendiricinin, bu gereksinim ailesi tarafından temsil edilen TSF'nin, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlandırılmış hali olduğunu belirlemesini gerektirmektedir. Bir TSF temsilinin, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam olarak somutlandırılmış hali olduğunu belirlemek için, değerlendiricinin geliştirici tarafından ADV_RCR.*.1C'de sağlanan kanıtların bu belirlemede girdi olarak kullanılması amaçlanmaktadır. TOE güvenlik fonksiyonel gereksinimleriyle zincirdeki arta TSF temsillerinin her biri arasında bir karşılık gelmenin kurulmasıyla, bu adımlar halindeki süreç daha az soyut TSF temsilinin TOE güvenlik fonksiyonel gereksinimlerine karşılık geldiğine dair daha fazla garanti sağlayacaktır ki bu da bu sınıfın nihai amacıdır. Değerlendirici, ara TSF temsilleri için geriye TOE güvenlik fonksiyonel gereksinimlerine bir karşılık gelme oluşturmazsa, en az soyut TSF temsilinden geriye TOE güvenlik fonksiyonel gereksinimlerine doğru karşılık gelmeyi belirlemeye çalışmak hassas ve doğru olarak gerçekleştirilemeyecek kadar büyük bir adımı temsil edebilir. Son olarak, gereken TSF temsilleri dizisine bağlı olarak, düşük düzeyli tasarım, yüksek düzeyli tasarım ya da hatta fonksiyonel belirtimin, sağlanan en az soyut TSF temsili olması mümkündür. Şekil 11'de bu sınıftaki aileler ve bu ailelerdeki bileşenlerin hiyerarşisi gösterilmektedir

Şekil 11 - ADV: Geliştirme sınıfının yapısı 14.1 Fonksiyonel belirtim (ADV_FSP) 14.1.1 Hedefler Fonksiyonel belirtim, TSF'nin kullanıcı tarafından görülen arayüzünün ve davranışının yüksek düzeyde bir tarifidir. TOE güvenlik fonksiyonel gereksinimlerinin somutlaştırılmış halidir. Fonksiyonel belirtimin bütün TOE güvenlik fonksiyonel gereksinimlerinin ele alındığını göstermesi gerekmektedir. 14.1.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi, fonksiyonel belirtimden istenen biçimsellik derecesi ve TSF'nin dış arayüzleri için sağlanan ayrıntı derecesine bağlı olarak belirlenmektedir.

ADV_FSP: Fonksiyonel belirtim

ADV_HLD: Yüksek düzeyde tasarım

ADV_IMP: Uygulama temsili

ADV_INT: TSF iç öğeleri

ADV_LLD: Düşük düzeyde tasarım

ADV_RCR: Uygulamanın karşılık gelmesi

ADV_SPM: Güvenlik politikası modellemesi

1

1

1

1

1

1

1

2

2

2

2

2

2

2

3

3

3

3

3

3

3

4

4 5


69

14.1.3 Uygulama notları Bu ailedeki ADV_FSP.*.2E öğeleri, değerlendiricinin, fonksiyonel belirtimin TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam olarak somutlaştırılmış hali olduğunu belirlemesini belirten bir gereksinimi tanımlamaktadır. Bu da, ADV_RCR ailesi tarafından gerektirilen çiftler halindeki karşılım gelmeye ek olarak, TOE güvenlik fonksiyonel gereksinimleriyle fonksiyonel belirtim arasında doğrudan bir karşılık gelme sağlamaktadır. Değerlendiricisinin ADV_RCR'de sağlanan kanıtları bu kararı vermekte bir girdi olarak kullanması beklenmektedir ve tam olma gereksiniminin de fonksiyonel belirtimin soyutluk düzeyine göre olması amaçlanmaktadır. ADV_FSP.1.3C için, TOE güvenlik fonksiyonel gereksinimlerinin nasıl ele alındığını anlamak ve ST'deki TOE güvenlik fonksiyonel gereksinimlerini yansıtan testlerin belirtimine olanak tanımak için fonksiyonel belirtimde yeterli bilginin sağlanması amaçlanmaktadır. Bu test, arayüzde üretilebilecek bütün olası dönüş değerlerini ve hata mesajlarını kapsamayadabilir, ama sağlanan bilginin, başarı ve en yaygın hata durumlarında arayüzü kullanmanın sonuçlarını açık hale getirecektir. ADV_FSP.2.3C, fonksiyonel arayüzün bütünüyle sunulması için bir gereksinim getirmektedir. Bu da hem TOE'nin kapsamlı testini hem da açıklıkların değerlendirilmesini desteklemek için gerekli ayrıntıları sağlayacaktır. Fonksiyonel belirtimin, biçimsellik düzeyi bağlamında, biçimsel olmayan, yarı biçimsel ve biçimselin hiyerarşik bir nitelikte olduğu kabul edilmektedir. Böylece, ADV_FSP.1.1C ve ADV_FSP.2.1C, uygun yerlerde biçimsel olmayan, açıklayıcı metinlerle desteklenmesi koşuluyla, ayrıca ya yarı biçimsel ya da biçimsel fonksiyonel belirtimle de karşılanabilir. Buna ek olarak, ADV_FSP.3.1C ayrıca biçimsel bir fonksiyonel belirtimle karşılanabilir. 14.1.4 ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim Bağımlılıklar: ADV_RCR.1 Biçimsel olmayan karşılık gelmenin gösterilmesi 14.1.4.1 Geliştirici eylem öğeleri 14.1.4.1.1 ADV_FSP.1.1D Geliştiricinin, fonksiyonel bir belirtim sağlaması gerekir. 14.1.4.2 Kanıtın içeriği ve sunulması öğeleri 14.1.4.2.1 ADV_FSP.1.1C Fonksiyonel belirtimin, biçimsel olmayan bir üslupla TSF'yi ve dış arayüzlerini tarif etmesi gerekir. 14.1.4.2.2 ADV_FSP.1.2C Fonksiyonel belirtimin kendi içinde tutarlı olması gerekir. 14.1.4.2.3 ADV_FSP.1.3C Fonksiyonel belirtimin, bütün dış TSF arayüzlerinin kullanım amacını ve yöntemini tarif etmesi ve uygun yerlerde etkilerin, istisnaların ve hata mesajlarının ayrıntılarını sağlaması gerekir. 14.1.4.2.4 ADV_FSP.1.4C Fonksiyonel belirtimin TSF'yi bütünüyle temsil etmesi gerekir. 14.1.4.3 Değerlendirici eylem öğeleri 14.1.4.3.1 ADV_FSP.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir.


70

14.1.4.3.2 ADV_FSP.1.2E Değerlendiricinin, fonksiyonel belirtimin, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.1.5 ADV_FSP.2 Bütünüyle tanımlanmış dış arayüzler Bağımlılıklar: ADV_RCR.1 Biçimsel olmayan karşılık gelmenin gösterilmesi 14.1.5.1 Geliştirici eylem öğeleri 14.1.5.1.1 ADV_FSP.2.1D Geliştiricinin, fonksiyonel bir belirtim sağlaması gerekir. 14.1.5.2 Kanıtın içeriği ve sunulması öğeleri 14.1.5.2.1 ADV_FSP.2.1C Fonksiyonel belirtimin TSF'yi ve dış arayüzlerini biçimsel olmayan bir üslup kullanarak tarif etmesi gerekir. 14.1.5.2.2 ADV_FSP.2.2C Fonksiyonel belirtimin kendi içinde tutarlı olması gerekir. 14.1.5.2.3 ADV_FSP.2.3C Fonksiyonel belirtimin bütün dış TSF arayüzlerinin kullanım amacı ve yöntemlerini tarif etmesi ve bütün etkilerin, istisnaların ve hata mesajlarının bütün ayrıntılarını sağlaması gerekir. 14.1.5.2.4 ADV_FSP.2.4C Fonksiyonel belirtimin TSF'yi bütünüyle temsil etmesi gerekir. 14.1.5.2.5 ADV_FSP.2.5C Fonksiyonel belirtimin TSF'nin bütünüyle temsil edilmesinin gerekçesini içermesi gerekir. 14.1.5.3 Değerlendirici eylem öğeleri 14.1.5.3.1 ADV_FSP.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.1.5.3.2 ADV_FSP.2.2E Değerlendiricinin, fonksiyonel belirtimin, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.1.6 ADV_FSP.3 Yarı biçimsel fonksiyonel belirtim Bağımlılıklar: ADV_RCR.1 Biçimsel olmayan karşılık gelmenin gösterilmesi 14.1.6.1 Geliştirici eylem öğeleri 14.1.6.1.1 ADV_FSP.3.1D Geliştiricinin, fonksiyonel bir belirtim sağlaması gerekir.


71

14.1.6.2 Kanıtın içeriği ve sunulması öğeleri 14.1.6.2.1 ADV_FSP.3.1C Fonksiyonel belirtimin TSF'yi ve dış arayüzlerini yarı biçimsel bir üslup kullanarak ve uygun yerlerde bilgilendirici, açıklayıcı metinlerle destekleyerek tarif etmesi gerekir. 14.1.6.2.2 ADV_FSP.3.2C Fonksiyonel belirtimin kendi içinde tutarlı olması gerekir. 14.1.6.2.3 ADV_FSP.3.3C Fonksiyonel belirtimin bütün dış TSF arayüzlerinin kullanım amacı ve yöntemini tarif etmesi ve bütün etkilerin, istisnaların ve hata mesajlarının bütün ayrıntılarını sağlaması gerekir. 14.1.6.2.4 ADV_FSP.3.4C Fonksiyonel belirtimin TSF'yi bütünüyle temsil etmesi gerekir. 14.1.6.2.5 ADV_FSP.3.5C Fonksiyonel belirtimin, TSF'nin bütünüyle temsil edilmesinin gerekçesini de içermesi gerekir. 14.1.6.3 Değerlendirici eylem öğeleri 14.1.6.3.1 ADV_FSP.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.1.6.3.2 ADV_FSP.3.2E Değerlendiricinin, fonksiyonel belirtimin, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.1.7 ADV_FSP.4 Biçimsel fonksiyonel belirtim Bağımlılıklar: ADV_RCR.1 Biçimsel olmayan karşılık gelmenin gösterilmesi 14.1.7.1 Geliştirici eylem öğeleri 14.1.7.1.1 ADV_FSP.4.1D Geliştiricinin, bir fonksiyonel belirtim sağlaması gerekir. 14.1.7.2 Kanıtın içeriği ve sunulması öğeleri 14.1.7.2.1 ADV_FSP.4.1C Fonksiyonel belirtimin, TSF ve dış arayüzlerini biçimsel bir üslup kullanarak ve uygun yerlerde bunu biçimsel olmayan, açıklayıcı metinlerle destekleyerek tarif etmesi gerekir. 14.1.7.2.2 ADV_FSP.4.2C Fonksiyonel belirtimin kendi içinde tutarlı olması gerekir.


72

14.1.7.2.3 ADV_FSP.4.3C Fonksiyonel belirtimin, bütün TSF arayüzlerinin kullanım amacı ve yöntemini tarif etmesi ve bütün etkiler, istisnalar ve hata mesajlarının bütün ayrıntılarını sağlaması gerekir. 14.1.7.2.4 ADV_FSP.4.4C Fonksiyonel belirtimin TSF'yi bütünüyle temsil etmesi gerekir. 14.1.7.2.5 ADV_FSP.4.5C Fonksiyonel belirtimin TSF'nin bütünüyle temsil edilmesi gerekçesini içermesi gerekir. 14.1.7.3 Değerlendirici eylem öğeleri 14.1.7.3.1 ADV_FSP.4.1E Değerlendiricinin, sağlanan bilgilerin kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.1.7.3.2 ADV_FSP.4.2E Değerlendiricinin, fonksiyonel belirtimin, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.2 Yüksek düzeyde tasarım (ADV_HLD) 14.2.1 Hedefler TOE'nin yüksek düzeyde tasarımı, TSF'nin ana yapısal birimler olarak (yani, alt sistemler) bir tarifini sağlamaktadır ve bu birimleri sağladıkları fonksiyonlarla ilişkilendirmektedir. Yüksek düzeyde tasarım gereksinimlerinin TOE'nin TOE güvenlik fonksiyonel gereksinimlerini uygulamaya uygun bir mimari sağladığına dair garanti sağlaması amaçlanmaktadır. Yüksek düzeyde tasarım, fonksiyonel belirtimi alt sistemler şeklinde ayrıntılandırmaktadır. Yüksek düzeyde tasarım TSF'nin her bir alt sisteminin amacını ve fonksiyonunu tanımlamaktadır ve alt sistemde yer alan güvenlik fonksiyonlarını belirtmektedir. Bütün alt sistemler arasındaki ilişkiler de yüksek düzeyde tasarımda tanımlanmaktadır. Birbirleri arasındaki bu ilişkiler, duruma göre, veri akışı, kontrol akışı vb. için dış arayüzler olarak temsil edilecektir. 14.2.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi yüksek düzeyde tasarımdan istenen biçimsellik derecesi ve arayüz belirtimlerinden istenen ayrıntı derecesine göre belirlenmektedir. 14.2.3 Uygulama notları Geliştiricinin TSF'nin tasarımını alt sistemler olarak tarif etmesi beklenmektedir. "Alt sistem" terimi burada TSF'yi nispeten az sayıda bölümlere ayırma fikrini ifade etmek için kullanılmaktadır. Geliştiricinin gerçekten "alt sistemlere" sahip olması istenmese de, geliştiricinin benzer düzeyde bir ayırmayı temsil etmesi beklenmektedir. Örneğin, bir tasarım "katmanlar", "alanlar" ya da "sunucular" kullanılarak benzer bir şekilde parçalanabilir. "Güvenlik fonksiyonelliği" terimi bir alt sistemin TOE tarafından uygulanan güvenlik fonksiyonlarına katkı olarak gerçekleştirdiği çalışmaları temsil etmek için kullanılmaktadır. Böyle bir ayırım yapılmıştır çünkü tasarım yapıları, örneğin alt sistemler ve modüller, ille de belirli güvenlik fonksiyonlarıyla ilişkili değildir. Belirli bir alt sistem doğrudan bir güvenlik fonksiyonuna hatta çoklu güvenlik fonksiyonlarına karşılık gelebilse de, birçok alt sistemin tek bir güvenlik fonksiyonunu uygulamak için birleştirilmesi de gerekebilir. "TSP'yi uygulayan alt sistem" terimi, doğrudan ya da dolaylı olarak TSP'nin uygulanmasına katkıda bulunan bir alt sistemi anlatmaktadır.


73

Bu aile içindeki ADV_HLD.*.2E öğeleri, değerlendiricinin, yüksek düzeyde tasarımın TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam olarak somutlaştırılmış hali olduğunu belirlemesi gereksinimini tanımlamaktadır. Bu da, ADV_RCR ailesi tarafından istenen çiftler halinde karşılık gelmeye ek olarak, TOE güvenlik fonksiyonel gereksinimleriyle yüksek düzeyde tasarım arasında doğrudan bir karşılık gelme sağlamaktadır. Değerlendiricinin ADV_RCR'de sağlanan kanıtları bu tespiti yaparken bir girdi olarak kullanması beklenmektedir ve tam olma gereksiniminin de yüksek düzeyde tasarımın soyutluk düzeyine göre olması amaçlanmaktadır. ADV_HLD.3.8C alt sistemlere arayüzlerin tam bir sunumu için bir gereksinim getirmektedir. Bu, hem TOE'nin kapsamlı testi (ATE_DPT'den öğeler kullanarak) hem de açıklıkların değerlendirilmesi için gerekli ayrıntıları sağlayacaktır. Yüksek düzeyde tasarımın biçimsellik düzeyi bağlamında, biçimsel olmayan, yarı biçimsel ve biçimselin hiyerarşik bir özellikte olduğu kabul edilmektedir. Böylece, ADV_HLD.1.1C ve ADV_HLD.2.1C ayrıca yarı biçimsel ya da biçimsel bir yüksek düzeyde tasarımla da karşılanabilir ve ADV_HLD.4.1C ayrıca biçimsel bir yüksek düzeyde tasarımla karşılanabilir. 14.2.4 ADV_HLD.1 Tarif edici yüksek düzeyde tasarım Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim ADV_RCR.1 Biçimsel olmayan karşılık gelmenin gösterilmesi 14.2.4.1 Geliştirici eylem öğeleri 14.2.4.1.1 ADV_HLD.1.1D Geliştiricinin, TSF'nin yüksek düzeyde tasarımını sağlaması gerekir. 14.2.4.2 Kanıtın içeriği ve sunulması öğeleri 14.2.4.2.1 ADV_HLD.1.1C Yüksek düzeyde tasarımın sunulmasının biçimsel olmayan bir şekilde olması gerekir. 14.2.4.2.2 ADV_HLD.1.2C Yüksek düzeyde tasarımın kendi içinde tutarlı olması gerekir. 14.2.4.2.3 ADV_HLD.1.3C Yüksek düzeyde tasarımın TSF'nin yapısını alt sistemler halinde tarif etmesi gerekir. 14.2.4.2.4 ADV_HLD.1.4C Yüksek düzeyde tasarımın, TSF'nin her alt sistemi tarafından sağlanan fonksiyonelliği tarif etmesi gerekir. 14.2.4.2.5 ADV_HLD.1.5C Yüksek düzeyde tasarımın, TSF tarafından istenen, varsa, temel donanım, bellenim ve/veya yazılımları belirtecektir ve bu donanım, bellenim ya da yazılımda uygulanan destekleyici koruma mekanizması tarafından sağlanan fonksiyonları sunması gerekir. 14.2.4.2.6 ADV_HLD.1.6C Yüksek düzeyde tasarımın, TSF'nin alt sistemlerine olan bütün arayüzleri belirtmesi gerekir.


74

14.2.4.2.7 ADV_HLD.1.7C Yüksek düzeyde tasarımın, TSF'nin alt sistemlerine olan arayüzlerinin hangilerinin dışarıdan görülebildiğini belirtmesi gerekir. 14.2.4.3 Değerlendirici eylem öğeleri 14.2.4.3.1 ADV_HLD.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.2.4.3.2 ADV_HLD.1.2E Değerlendiricinin, yüksek düzeyde tasarımın, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.2.5 ADV_HLD.2 Güvenliği uygulayan yüksek düzeyde tasarım Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim ADV_RCR.1 Biçimsel olmayan karşılık gelmenin gösterilmesi 14.2.5.1 Geliştirici eylem öğeleri 14.2.5.1.1 ADV_HLD.2.1D Geliştiricinin, TSF'nin yüksek düzeyde tasarımını sağlaması gerekir. 14.2.5.2 Kanıtın içeriği ve sunulması öğeleri 14.2.5.2.1 ADV_HLD.2.1C Yüksek düzeyde tasarımın sunulmasının biçimsel olmayan bir şekilde olması gerekir. 14.2.5.2.2 ADV_HLD.2.2C Yüksek düzeyde tasarımın kendi içinde tutarlı olması gerekir. 14.2.5.2.3 ADV_HLD.2.3C Yüksek düzeyde tasarımın TSF'nin yapısını alt sistemler halinde tarif etmesi gerekir. 14.2.5.2.4 ADV_HLD.2.4C Yüksek düzeyde tasarımın, TSF'nin her alt sistemi tarafından sağlanan güvenlik fonksiyonelliğini tarif etmesi gerekir. 14.2.5.2.5 ADV_HLD.2.5C Yüksek düzeyde tasarımın, TSF tarafından istenen, varsa, temel donanım, bellenim, ve/veya yazılımı belirtecektir ve bu donanım, bellenim ya da yazılımda uygulanan destekleyici koruma mekanizması tarafından sağlanan fonksiyonları sunması gerekir. 14.2.5.2.6 ADV_HLD.2.6C Yüksek düzeyde tasarımın, TSF'nin alt sistemlerine olan bütün arayüzleri belirtmesi gerekir.


75

14.2.5.2.7 ADV_HLD.2.7C Yüksek düzeyde tasarımın, TSF'nin alt sistemlerine olan arayüzlerden hangilerinin dışarıdan görülebilir olduğunu belirtmesi gerekir. 14.2.5.2.8 ADV_HLD.2.8C Yüksek düzeyde tasarımın, TSF'nin bütün alt sistemlerine olan arayüzlerin kullanım amacı ve yöntemini tarif edecektir ve, duruma göre, etkilerin, istisnaların ve hata mesajlarının ayrıntılarını sağlaması gerekir. 14.2.5.2.9 ADV_HLD.2.9C Yüksek düzeyde tasarımın, TOE'nin TSP'yi uygulayan ve diğer alt sistemlere ayrılmasını tarif etmesi gerekir. 14.2.5.3 Değerlendirici eylem öğeleri

14.2.5.3.1 ADV_HLD.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.2.5.3.2 ADV_HLD.2.2E Değerlendiricinin, yüksek düzeyde tasarımın, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam olarak somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.2.6 ADV_HLD.3 Yarı biçimsel yüksek düzeyde tasarım Bağımlılıklar: ADV_FSP.3 Yarı biçimsel fonksiyonel belirtim ADV_RCR.2 Yarı biçimsel karşılık gelmenin gösterilmesi 14.2.6.1 Geliştirici eylem öğeleri 14.2.6.1.1 ADV_HLD.3.1D Geliştiricinin, TSF'nin yüksek düzeyde tasarımını sağlaması gerekir. 14.2.6.2 Kanıtın içeriği ve sunulması öğeleri 14.2.6.2.1 ADV_HLD.3.1C Yüksek düzeyde tasarımın temsili yarı biçimsel olması gerekir. 14.2.6.2.2 ADV_HLD.3.2C Yüksek düzeyde tasarımın kendi içinde tutarlı olması gerekir. 14.2.6.2.3 ADV_HLD.3.3C Yüksek düzeyde tasarımın TSF'nin yapısını alt sistemler halinde tarif etmesi gerekir. 14.2.6.2.4 ADV_HLD.3.4C Yüksek düzeyde tasarımın, TSF'nin her alt sistemi tarafından sağlanan güvenlik fonksiyonelliğini tarif etmesi gerekir.


76

14.2.6.2.5 ADV_HLD.3.5C Yüksek düzeyde tasarımın, TSF tarafından istenen, varsa, temel donanım, bellenim, ve/veya yazılımı belirtecektir ve bu donanım, bellenim ya da yazılımda uygulanan destekleyici koruma mekanizması tarafından sağlanan fonksiyonları sunması gerekir. 14.2.6.2.6 ADV_HLD.3.6C Yüksek düzeyde tasarımın, TSF'nin alt sistemlerine olan bütün arayüzleri belirtmesi gerekir. 14.2.6.2.7 ADV_HLD.3.7C Yüksek düzeyde tasarımın, TSF'nin alt sistemlerine olan arayüzlerin hangilerinin dışarıdan görülebilir olduğunu belirtmesi gerekir. 14.2.6.2.8 ADV_HLD.3.8C Yüksek düzeyde tasarımın, TSF'nin alt sistemlerine olan bütün arayüzlerin kullanım amacı ve yöntemini açıklaması ve bütün etkilerin, istisnaların ve hata mesajlarının bütün ayrıntılarını sağlaması gerekir. 14.2.6.2.9 ADV_HLD.3.9C Yüksek düzeyde tasarımın, TOE'nin TSP'yi uygulayan ve diğer alt sistemlere ayrılmasını tarif etmesi gerekir. 14.2.6.3 Değerlendirici eylem öğeleri 14.2.6.3.1 ADV_HLD.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.2.6.3.2 ADV_HLD.3.2E Değerlendiricinin, yüksek düzeyde tasarımın, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.2.7 ADV_HLD.4 Yarı biçimsel yüksek düzeyde açıklama Bağımlılıklar: ADV_FSP.3 Yarı biçimsel fonksiyonel belirtim ADV_RCR.2 Yarı biçimsel karşılık gelmenin gösterilmesi 14.2.7.1 Geliştirici eylem öğeleri 14.2.7.1.1 ADV_HLD.4.1D Geliştiricinin, TSF'nin yüksek düzeyde tasarımını sağlaması gerekir. 14.2.7.2 Kanıtın içeriği ve sunulması öğeleri 14.2.7.2.1 ADV_HLD.4.1C Yüksek düzeyde tasarımın sunulmasının yarı biçimsel olması gerekir. 14.2.7.2.2 ADV_HLD.4.2C Yüksek düzeyde tasarımın kendi içinde tutarlı olması gerekir.


77

14.2.7.2.3 ADV_HLD.4.3C Yüksek düzeyde tasarımın, TSF'nin yapısını alt sistemler halinde tarif etmesi gerekir. 14.2.7.2.4 ADV_HLD.4.4C Yüksek düzeyde tasarımın, TSF'nin her alt sistemi tarafından sağlanan güvenlik fonksiyonelliğini tarif etmesi gerekir. 14.2.7.2.5 ADV_HLD.4.5C Yüksek düzeyde tasarımın, TSF tarafından istenen, varsa, temel donanım, bellenim, ve/veya yazılımı belirtecektir ve bu donanım, bellenim ya da yazılımda uygulanan destekleyici koruma mekanizması tarafından sağlanan fonksiyonları sunması gerekir. 14.2.7.2.6 ADV_HLD.4.6C Yüksek düzeyde tasarımın, TSF'nin alt sistemlerine olan bütün arayüzleri belirtmesi gerekir. 14.2.7.2.7 ADV_HLD.4.7C Yüksek düzeyde tasarımın, TSF'nin alt sistemlerine olan arayüzlerden hangilerinin dışarıdan görülebilir olduğunu belirtmesi gerekir. 14.2.7.2.8 ADV_HLD.4.8C Yüksek düzeyde tasarımın, TSF'nin alt sistemlerine olan bütün arayüzlerin kullanım amacı ve yöntemini tarif etmesi ve bütün etkilerin, istisnaların ve hata mesajlarının bütün ayrıntılarını sağlaması gerekir. 14.2.7.2.9 ADV_HLD.4.9C Yüksek düzeyde tasarımın, TOE'nin TSP'yi uygulayan ve diğer alt sistemlere ayrılmasını tarif etmesi gerekir. 14.2.7.2.10 ADV_HLD.4.10C Yüksek düzeyde tasarımın, varsa, koruma mekanizmaları da dahil olmak üzere ayrılmayı sağlayan belirtilen yolların, TSP'yi uygulayan (uygulatan) fonksiyonların TSP'yi uygulamayan fonksiyonlardan açık ve etkili bir şekilde ayrılmasını sağlamaya yeterli olduğunu kanıtlaması gerekir. 14.2.7.2.11 ADV_HLD.4.11C Yüksek düzeyde tasarımın, TSF mekanizmalarının yüksek düzeyde belirtilen güvenlik fonksiyonlarını uygulamaya yeterli olduğunu kanıtlaması gerekir. 14.2.7.3 Değerlendirici eylem öğeleri 14.2.7.3.1 ADV_HLD.4.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.2.7.3.2 ADV_HLD.4.2E Değerlendiricinin, yüksek düzeyde tasarımın, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.2.8 ADV_HLD.5 Biçimsel yüksek düzeyde tasarım Bağımlılıklar: ADV_FSP.4 Biçimsel fonksiyonel belirtim ADV_RCR.3 Biçimsel karşılık gelmenin gösterilmesi


78

14.2.8.1 Geliştirici eylem öğeleri 14.2.8.1.1 ADV_HLD.5.1D Geliştiricinin, TSF'nin yüksek düzeyde tasarımını sağlaması gerekir. 14.2.8.2 Kanıtın içeriği ve sunulması öğeleri 14.2.8.2.1 ADV_HLD.5.1C Yüksek düzeyde tasarımın sunumunun biçimsel olması gerekir. 14.2.8.2.2 ADV_HLD.5.2C Yüksek düzeyde tasarımın kendi içinde tutarlı olması gerekir. 14.2.8.2.3 ADV_HLD.5.3C Yüksek düzeyde tasarımın, TSF'nin yapısını alt sistemler halinde tarif etmesi gerekir. 14.2.8.2.4 ADV_HLD.5.4C Yüksek düzeyde tasarımın, TSF'nin her alt sistemi tarafından sağlanan güvenlik fonksiyonelliğini tarif etmesi gerekir. 14.2.8.2.5 ADV_HLD.5.5C Yüksek düzeyde tasarımın, TSF tarafından istenen, varsa, temel donanım, bellenim, ve/veya yazılımı belirtecektir ve bu donanım, bellenim ya da yazılımda uygulanan destekleyici koruma mekanizması tarafından sağlanan fonksiyonları sunması gerekir. 14.2.8.2.6 ADV_HLD.5.6C Yüksek düzeyde tasarımın, TSF'nin alt sistemlerine olan bütün arayüzleri belirtmesi gerekir. 14.2.8.2.7 ADV_HLD.5.7C Yüksek düzeyde tasarımın, TSF'nin alt sistemlerine olan arayüzlerinin hangilerinin dışarıdan görülebilir olduğunu belirtmesi gerekir. 14.2.8.2.8 ADV_HLD.5.8C Yüksek düzeyde tasarımın, TSF'nin alt sistemlerine olan bütün arayüzlerin kullanım amacı ve yöntemini tarif etmesi ve bütün etkilerin, istisnaların ve hata mesajlarının bütün ayrıntılarını sağlaması gerekir. 14.2.8.2.9 ADV_HLD.5.9C Yüksek düzeyde tasarımın, TOE'nin TSP'yi uygulayan ve diğer alt sistemler olarak ayrılmasın tarif etmesi gerekir. 14.2.8.2.10 ADV_HLD.5.10C Yüksek düzeyde tasarımın, varsa, koruma mekanizmaları da dahil olmak üzere ayrılmayı sağlayan belirtilen yolların, TSP'yi uygulayan (uygulatan) fonksiyonların TSP'yi uygulamayan fonksiyonlardan açık ve etkili bir şekilde ayrılmasını sağlamaya yeterli olduğunu kanıtlaması gerekir. 14.2.8.2.11 ADV_HLD.5.11C Yüksek düzeyde tasarımın, TSF mekanizmalarının yüksek düzeyde tasarımda belirtilen güvenlik fonksiyonlarını uygulamaya yeterli olduğunu kanıtlaması gerekir.


79

14.2.8.3 Değerlendirici eylem öğeleri 14.2.8.3.1 ADV_HLD.5.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.2.8.3.2 ADV_HLD.5.2E Değerlendiricinin, yüksek düzeyde tasarımın, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.3 Uygulamanın temsili (ADV_IMP) 14.3.1 Hedefler Uygulama temsilinin kaynak kodu, bellenim, donanım çizimleri vb. şeklinde tarifi, incelemeyi destekleyecek şekilde TSF’nin iç çalışmasını ayrıntılı olarak göstermektedir. 14.3.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi, sağlanan uygulama temsilinin bütünlüğüne ve yapısına göre belirlenmektedir. 14.3.3 Uygulama notları Uygulama temsili, TSF’nin en az soyut temsili kavramı tasarımını, özellikle de TSF’nin kendisini daha fazla tasarım ayrıntısı olmadan yaratmak için kullanılanı ifade etmekte kullanılmaktadır. Sonra derlenen kaynak kodu ya da esas donanımı üretmekte kullanılan çizim, uygulama temsilinin bölümlerine örneklerdir. Değerlendiricilerin, uygulama temsilini diğer değerlendirme etkinliklerini (örneğin, açıklık incelemesi, test kapsamı incelemesi ya da ek değerlendirici testlerinin belirlenmesi) desteklemek için kullanması mümkündür. PP/ST yazarlarının, uygulamanın PP/ST’deki diğer bütün gereksinimlerin ihtiyaçlarını ele almaya yetecek kadar tam ve kapsamlı olmasını gerektiren bir gereksinim seçmesi beklenmektedir. 14.3.4 ADV_IMP.1 TSF’nin uygulanmasının alt kümesi Bağımlılıklar: ADV_LLD.1 Tarif edici düşük düzeyde tasarım ADV_RCR.1 Biçimsel olmayan karşılık gelmenin gösterilmesi ADV_TAT:1 İyi tanımlanmış geliştirme araçları 14.3.4.1 Uygulama notları ADV_IMP.1.1D geliştiricinin, TSF’nin bir alt kümesi için uygulama temsili sağlamasını gerektirmektedir. Buradaki amaç, TSF’nin en azından bir bölümüne erişimin değerlendiriciye, TOE’nin, kullanılan mekanizmaların anlaşılmasına ve garantisine önemli oranda katkı sağlayacak bölümlerinin uygulama temsilini inceleme fırsatı sağlamasıdır. Uygulama temsilinin bir örneğinin sağlanması ayrıca değerlendiriciye ayrıntılandırmada uygulanan yaklaşım bakımından garanti elde etmek için izlenebilirlik kanıtını test etme ve uygulama temsilinin sunulmasını değerlendirme olanağı sağlamaktadır. ADV_IMP.1.2E öğeleri, değerlendiricinin en az soyut TSF temsilinin TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesi gereksinimini tanımlamaktadır. Bu da, ADV_RCR ailesi tarafından istenen çiftler halindeki karşılık gelmeye ek olarak, TOE güvenlik fonksiyonel gereksinimleriyle en az soyut TSF temsili arasında doğrudan bir karşılık gelme sağlamaktadır. Değerlendiricinin, ADV_RCR’de sağlanan kanıtları bunu belirlerken girdi olarak kullanması beklenmektedir. Bu bileşen için en az soyut TSF temsili, sağlanan uygulama temsili ile düşük düzeyde tasarımın hiçbir karşılık gelen uygulama temsilinin sağlanmadığı bölümünün toplamıdır. 14.3.4.2 Geliştirici eylem öğeleri 14.3.4.2.1 ADV_IMP.1.1D Geliştiricinin, TSF’nin seçilmiş bir alt kümesi için uygulama temsili sağlaması gerekir.


80

14.3.4.3 Kanıtın içeriği ve sunulması öğeleri 14.3.4.3.1 ADV_IMP.1.1C Uygulama temsilinin, TSF’yi TSF’nin daha fazla tasarım kararı verilmeden üretilebilmesini sağlayacak ayrıntı düzeyinde anlaşılır bir şekilde tanımlaması gerekir. 14.3.4.3.2 ADV_IMP.1.2C Uygulama temsilinin kendi içinde tutarlı olması gerekir. 14.3.4.4 Değerlendirici eylem öğeleri 14.3.4.4.1 ADV_IMP.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.3.4.4.1 ADV_IMP.1.2E Değerlendiricinin, sağlanan en az soyut TSF temsilinin, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.3.5 ADV_IMP.2 TSF’nin uygulanması Bağımlılıklar: ADV_LLD.1 Tarif edici düşük düzeyde tasarım ALC_TAT.1 İyi tanımlanmış geliştirme araçları 14.3.5.1 Uygulama notları ADV_IMP.2.2E öğesi, değerlendiricinin, uygulama temsilinin, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesini gerektiren bir gereksinimi tanımlamaktadır. Bu da, ADV_RCR ailesi tarafından gerektirilen çiftler halindeki karşılık gelmeye ek olarak, TOE güvenlik fonksiyonel gereksinimleriyle uygulama temsili arasında doğrudan bir karşılık gelme sağlamaktadır. Değerlendiricinin ADV_RCR'de sağlanan kanıtları bu belirlemeyi yaparken girdi olarak kullanması beklenmektedir. 14.3.5.2 Geliştirici eylem öğeleri 14.3.5.2.1 ADV_IMP.1.1D Geliştiricinin, bütün TSF için uygulama temsili sağlaması gerekir. 14.3.5.3 Kanıtın içeriği ve sunulması öğeleri 14.3.5.3.1 ADV_IMP.1.1C Uygulama temsilinin TSF'yi, TSF'nin ek tasarım kararları almadan üretilebilmesine olanak tanıyacak bir ayrıntı düzeyinde anlaşılır bir şekilde tanımlaması gerekir. 14.3.5.3.2 ADV_IMP.2.2C Uygulama temsilinin kendi içinde tutarlı olması gerekir. 14.3.5.3.3 ADV_IMP.2.3C Uygulama temsilinin, uygulamanın bütün bölümleri arasındaki ilişkileri tarif etmesi gerekir.


81

14.3.5.4 Değerlendirici eylem öğeleri 14.3.5.4.1 ADV_IMP.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.3.5.4.2 ADV_IMP.2.2E Değerlendiricinin, uygulama temsilinin, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.3.6 ADV_IMP.3 TSF'nin organize bir şekilde uygulanması Bağımlılıklar: ADV_INT.1 Modülerlik ADV_LLD.1 Tarif edici düşük düzeyde tasarım ADV_RCR.1 Biçimsel olmayan karşılık gelmenin gösterilmesi ALC_TAT.1 İyi tanımlanmış geliştirme araçları 14.3.6.1 Uygulama notları ADV_IMP.3.2E öğesi, değerlendiricinin, uygulama temsilinin, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesini gerektiren bir gereksinimi tanımlamaktadır. Bu da, ADV_RCR ailesi tarafından gerektirilen çiftler halindeki karşılık gelmeye ek olarak, TOE güvenlik fonksiyonel gereksinimleriyle uygulama temsili arasında doğrudan bir karşılık gelme sağlamaktadır. Değerlendiricinin ADV_RCR'de sağlanan kanıtları bu belirlemeyi yaparken girdi olarak kullanması beklenmektedir. 14.3.6.2 Geliştirici eylem öğeleri 14.3.6.2.1 ADV_IMP.3.1D Geliştiricinin, bütün TSF için uygulama temsili sağlaması gerekir. 14.3.6.3 Kanıtın içeriği ve sunulması öğeleri 14.3.6.3.1 ADV_IMP.3.1C Uygulama temsilinin, TSF'yi,TSF'nin ek tasarım kararları almadan üretilebilmesine olanak tanıyacak bir ayrıntı düzeyinde anlaşılır bir şekilde tanımlaması gerekir. 14.3.6.3.2 ADV_IMP.3.2C Uygulama temsilinin kendi içinde tutarlı olması gerekir. 14.3.6.3.3 ADV_IMP.3.3C Uygulama temsilinin, uygulamanın bütün bölümleri arasındaki ilişkileri tarif etmesi gerekir. 14.3.6.3.4 ADV_IMP.3.4C Uygulama temsilinin, küçük ve anlaşılabilir bölümler halinde bir yapıya sahip olması gerekir.


82

14.3.6.4 Değerlendirici eylem öğeleri 14.3.6.4.1 ADV_IMP.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.3.6.4.2 ADV_IMP.3.2E Değerlendiricinin, uygulama temsilinin, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.4 TSF iç yapısı (ADV_INT) 14.4.1 Hedefler Bu aile TSF'nin iç yapısını ele almaktadır. Modülerlik, katmanlaştırma (soyutluk düzeylerini ayırmak ve yuvarlak bağımlılıkları en aza indirmek için), politika uygulama mekanizmalarının karmaşıklığını en aza indirme ve TSF içinde TSP'yi uygulamayan fonksiyonellik miktarının en aza indirilmesi için gereksinimler sunulmaktadır ve böylece incelenebilecek kadar basit olan bir TSF elde edilmektedir. Modüler tasarım TSF'nin öğeleri arasındaki birbirine bağımlılığı azaltmaktadır ve böylece bir modüldeki değişiklik ya da hatanın bütün TOE'yi etkilemesi riskini azaltmaktadır. Böylece, modüler bir tasarım, TSF'nin diğer öğeleriyle etkileşim kapsamını belirlemek için bir temel sağlamakta, beklenmeyen etkilerin oluşmayacağına dair daha fazla garanti sağlamakta ve ayrıca test dizilerinin tasarlanması ve değerlendirilmesi için de bir temel oluşturmaktadır. TSP'yi uygulayan fonksiyonellik için katmanlaştırma ve daha basit tasarımların kullanılması TSF'nin karmaşıklığını azaltmaktadır. Bu da TSF'nin daha iyi anlaşılmasına olanak tanımakta ve TOE güvenlik fonksiyonel gereksinimlerinin uygulamada doğru ve tam olarak somutlaştırılmasına dair daha fazla garanti sağlamaktadır. TSF'de TSP'yi uygulamayan fonksiyonellik miktarının en aza indirilmesi TSF'deki hata olasılığını azaltmaktadır. Modülerlik ve katmanlaştırma ile birlikte bu özellik değerlendiricinin sadece TSP'nin uygulanması için gerekli fonksiyonelliğe yoğunlaşmasına olanak tanımaktadır. Tasarım karmaşıklığının en aza indirilmesi kodun anlaşılması garantisine katkıda bulunmaktadır; TSF'deki kod ne kadar az karmaşık olursa, TSF'nin tasarımı o kadar kolay anlaşılır. Tasarım karmaşıklığının en aza indirilmesi bir referans doğrulama mekanizmasının en önemli özelliklerinden biridir. 14.4.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi istenen yapı ve en aza indirme miktarına bağlı olarak belirlenmektedir. 14.4.3 Uygulama notları "TSF'nin bölümleri" terimi, mevcut TSF temsillerine dayanarak TSF'nin bölümlerini değişen taneciklilikle temsil etmek için kullanılmaktadır. Fonksiyonel belirtim, arayüzler olarak ayırmaya olanak sağlamaktadır, yüksek düzeyde tasarım alt sistemler olarak ayırmaya olanak tanımaktadır, düşük düzeyde tasarım modüller şeklinde ayırmaya olanak tanımaktadır ve uygulama temsili de uygulama birimleri şeklinde ayırmaya olanak tanımaktadır. ADV_INT.2.5C ve ADV_INT.3.5C öğeleri, katmanlar arasındaki karşılıklı etkileşimlerin en aza indirilmesini ele almaktadır. Ama yine de, katmanlar arasında karşılıklı etkileşimlere sahip olunmasına izin verilmektedir, ama böyle durumlarda geliştiricinin bu karşılıklı etkileşimlerin gerekli olduğunu ve makul bir şekilde bundan kaçınmanın mümkün olmadığını göstermesi istenmektedir. ADV_INT.2.6C TSP'de belirtilen erişim kontrolünü ve/veya bilgi akışı kontrol politikalarını uygulayan TSF bölümlerinin karmaşıklığının en aza indirilmesini isteyerek bir referans monitörü kavramı getirmektedir. ADV_INT.3.6C bütün TSF'nin karmaşıklığının en aza indirilmesini isteyerek referans monitörü kavramını daha da geliştirmektedir.


83

Bu ailedeki öğelerin bazıları mimari tarife gönderme yapmaktadır. Mimari tarif, TSF'nin modülleriyle ilgili olması bakımından düşük düzeyde tasarımla aynı soyutluk düzeyindedir. Düşük düzeyde tasarım TSF'nin modüllerinin tasarımını tarif ederken, mimari tarifin amacı, duruma göre, modülerlik, katmanlaştırma ve TSF'nin karmaşıklığının en aza indirilmesiyle ilgili kanıtlar sağlamaktır. Hem düşük düzeyde tasarım hem de uygulama temsilinin mimari tarife uygun olması, bu TSF temsillerinin gereken modülerlik, katmanlaştırma ve karmaşıklığın en aza indirmeye sahip olduğuna dair garanti sağlanması istenmektedir. 14.4.4 ADV_INT.1 Modülerlik Bağımlılıklar: ADV_IMP.1 TSF'nin uygulanmasının alt kümesi ADV_LLD.1 Tarif edici düşük düzeyde tasarım 14.4.4.1 Geliştirici eylem öğeleri 14.4.4.1.1 ADV_INT.1.1D Geliştiricinin, TSF'yi tasarımdaki modüller arasında gereksiz etkileşimlerden kaçınan modüler bir yapıda tasarlaması ve buna göre bir yapı sağlaması gerekir. 14.4.4.1.2 ADV_INT.1.2D Değerlendiricinin, bir mimari tarif sağlaması gerekir. 14.4.4.2 Kanıtın içeriği ve sunulması öğeleri 14.4.4.2.1 ADV_INT.1.1C Mimari tarifin TSF'nin modüllerini belirtmesi gerekir. 14.4.4.2.2 ADV_INT.1.2C Mimari tarifin TSF'nin her modülünün amacını, arayüzünü, parametrelerini ve etkilerini tarif etmesi gerekir. 14.4.4.2.3 ADV_INT.1.3C Mimari tarifin TSF'nin gereksiz etkileşimlerden kaçınan büyük oranda bağımsız modülleri nasıl sağladığını tarif etmesi gerekir. 14.4.4.3 Değerlendirici eylem öğeleri 14.4.4.3.1 ADV_INT.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.4.4.3.2 ADV_INT.1.2E Değerlendiricinin, hem düşük düzeyde tasarımın hem de uygulama temsilinin mimari tarife uygun olduğunu belirlemesi gerekir. 14.4.5 ADV_INT.2 Karmaşıklığın azaltılması Bağımlılıklar: ADV_IMP.1 TSF'nin uygulamasının alt kümesi ADV_LLD.1 Tarif edici düşük düzeyde tasarım


84

14.4.5.1 Uygulama notları Bu bileşen, TSP'de belirtilen erişim kontrol ve/veya bilgi akışı kontrol politikalarını uygulayan TSF bölümlerinin karmaşıklığının en aza indirilmesini isteyerek bir referans monitörü kavramı getirmektedir. 14.4.5.2 Geliştirici eylem öğeleri 14.4.5.2.1 ADV_INT.2.1D Geliştiricinin, TSF'yi tasarımdaki modüller arasında gereksiz etkileşimlerden kaçınan modüler bir yapıda tasarlaması ve buna göre bir yapı sağlaması gerekir. 14.4.5.2.2 ADV_INT.2.2D Geliştiricinin, mimari bir tarif sağlaması gerekir. 14.4.5.2.3 ADV_INT.2.3D Geliştiricinin, TSF'yi tasarımdaki modüller arasında gereksiz etkileşimlerden kaçınan modüler bir yapıda tasarlaması ve buna göre bir yapı sağlaması gerekir. 14.4.5.2.4 ADV_INT.2.4D Geliştiricinin, TSF'yi, TSF'nin erişim kontrol ve/veya bilgi akışı kontrol politikalarını uygulayan bölümlerinin karmaşıklığını en aza indirecek şekilde tasarlaması ve buna göre bir yapı sağlaması gerekir. 14.4.5.3 Kanıtın içeriği ve sunulması öğeleri 14.4.5.3.1 ADV_INT.2.1C Mimari yapının TSF'nin modüllerini belirlemesi ve TSF'nin hangi bölümlerinin erişim kontrol ve/veya bilgi akışı kontrol politikalarını uyguladığını belirtmesi gerekir. 14.4.5.3.2 ADV_INT.2.2C Mimari yapının, TSF'nin her modülünün amacı, arayüzü, parametreleri ve etkilerini tarif etmesi gerekir. 14.4.5.3.3 ADV_INT.2.3C Mimari yapının, TSF tasarımının gereksiz etkileşimlerden kaçınan büyük oranda bağımsız modülleri nasıl sağladığını tarif etmesi gerekir. 14.4.5.3.4 ADV_INT.2.4C Mimari tarifin katmanlaştırma mimarisini tarif etmesi gerekir. 14.4.5.3.5 ADV_INT.2.5C Mimari tarifin, karşılıklı etkileşimlerin en aza indirildiğini göstermesi ve kalanların da gerekçesini belirtmesi gerekir. 14.4.5.3.6 ADV_INT.2.6C Mimari tarifin, TSF'nin erişim kontrol ve/veya bilgi akışı kontrol politikalarını uygulayan bölümlerinin nasıl karmaşıklığı en aza indirecek bir yapıyla oluşturulduğunu tarif etmesi gerekir.


85

14.4.5.4 Değerlendirici eylem öğeleri 14.4.5.4.1 ADV_INT.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.4.5.4.2 ADV_INT.2.2E Değerlendiricinin, hem düşük düzeyli tasarım hem de uygulama temsilinin mimari tarife uygun olduğunu belirlemesi gerekir. 14.4.6 ADV_INT.3 Karmaşıklığın azaltılması Bağımlılıklar: ADV_IMP.2 TSF'nin uygulanması ADV_LLD.1 Tarif edici düşük düzeyde tasarım 14.4.6.1 Uygulama notları Bu bileşen, "incelenecek kadar basit" referans kontrol özelliğinin bütünüyle ele alınmasını gerektirmektedir. Bu bileşen fonksiyonel gereksinimler FPT_RVM.1 ve FPT_SEP.3 ile birleştirildiğinde, referans monitörü kavramı bütünüyle gerçekleştirilmiş olur. 14.4.6.2 Geliştirici eylem öğeleri 14.4.6.2.1 ADV_INT.3.1D Geliştiricinin, TSF'yi tasarımın modülleri arasında gereksiz etkileşimlerden kaçınan modüler bir şekilde tasarlaması ve buna göre bir yapı sağlaması gerekir. 14.4.6.2.2 ADV_INT.3.2D Geliştiricinin, mimari bir tarif sağlaması gerekir. 14.4.6.2.3 ADV_INT.3.3D Geliştiricinin, TSF'yi tasarımın katmanları arasındaki karşılıklı etkileşimleri en aza indirecek katmanlı bir şekilde tasarlaması ve buna göre bir yapı sağlaması gerekir. 14.4.6.2.4 ADV_INT.3.4D Geliştiricinin, TSF'yi bütün TSF'nin karmaşıklığını en aza indiren bir şekilde tasarlaması ve buna göre bir yapı sağlaması gerekir. 14.4.6.2.5 ADV_INT.3.5D Geliştiricinin, TSF'nin, varsa, erişim kontrol ve/veya bilgi akışı kontrol politikalarını bunlar incelenebilecek kadar basit olacak şekilde tasarlaması ve buna göre bir yapı sağlaması gerekir. 14.4.6.2.6 ADV_INT.3.6D Geliştiricinin, hedefleri TSF ile ilgili olmayan fonksiyonların TSF modüllerinin dışında tutulmasını sağlaması gerekir. 14.4.6.3 Kanıtın içeriği ve sunulması öğeleri 14.4.6.3.1 ADV_INT.3.1C Mimari tarifin, TSF'in modüllerini belirlemesi ve TSF'nin hangi bölümlerinin erişim kontrol ve/veya bilgi akışı kontrol politikalarını uyguladığını belirtmesi gerekir.


86

14.4.6.3.2 ADV_INT.3.2C Mimari tarifin, TSF'nin her modülünün amacını, arayüzünü, parametrelerini ve yan etkilerini tarif etmesi gerekir. 14.4.6.3.3 ADV_INT.3.3C Mimari tarifin, TSF tasarımının gereksiz etkileşimlerden kaçınan büyük oranda bağımsız modülleri nasıl sağladığını tarif etmesi gerekir. 14.4.6.3.4 ADV_INT.3.4C Mimari tarifin katmanlı yapıyı tarif etmesi gerekir. 14.4.6.3.5 ADV_INT.3.5C Mimari tarifin, karşılıklı etkileşimlerin en aza indirildiğini göstermesi ve kalanların gerekçelerini belirtmesi gerekir. 14.4.6.3.6 ADV_INT.3.6C Mimari tarifin, bütün TSF'nin karmaşıklığı en aza indirmek için nasıl bir yapıya sahip olduğunu tarif etmesi gerekir. 14.4.6.3.7 ADV_INT.3.7C Mimari tarifin, TSP'yi uygulamayan modüllerin TSF'de yer almasının gerekçesini açıklaması gerekir. 14.4.6.4 Değerlendirici eylem öğeleri 14.4.6.4.1 ADV_INT.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.4.6.4.2 ADV_INT.3.2E Değerlendiricinin, hem düşük düzeyde tasarımın hem de uygulama temsilinin mimari yapıya uygun olduğunu belirlemesi gerekir. 14.4.6.4.3 ADV_INT.3.3E Değerlendiricinin, TSF'nin erişim kontrol ve/veya bilgi akışı kontrol politikalarını uygulayan bölümlerinin incelenebilecek kadar basit olduğunu doğrulaması gerekir. 14.5 Düşük düzeyde tasarım (ADV_LLD) 14.5.1 Hedefler Bir TOE'nin düşük düzeyde tasarımı, TSF'nin kendi içinde çalışma şeklini modüller ve bunların birbirleriyle ilişkileri ve bağımlılıkları olarak tarif etmektedir. Düşük düzeyde tasarım TSF alt sistemlerinin doğru ve etkili bir şekilde ayrıntılandırılmış olduğunu dair garanti sağlamaktadır. Düşük düzeyde tasarım TSF'nin her modülü için, amacını, fonksiyonunu, arayüzlerini, bağımlılıklarını ve, varsa, TSP'yi uygulayan fonksiyonların uygulanmasını tarif etmektedir. 14.5.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi, düşük düzeyde tasarımda gereken biçimsellik derecesi ve arayüz belirtimleri için istenen ayrıntı derecesine göre belirlenmektedir.


87

14.5.3 Uygulama notları "TSP'yi uygulayan modül" terimi TSP'nin doğru bir şekilde uygulanması için güvenilmesi gereken herhangi bir modül anlamına gelmektedir. "Güvenlik fonksiyonelliği" terimi, bir modülün TOE tarafından uygulanan güvenlik fonksiyonlarına katkıda bulunmak için gerçekleştirdiği işlem dizisini temsil etmekte kullanılmaktadır. Modüller her zaman belirli güvenlik fonksiyonlarıyla ilişkili olmadığı için bu ayırım yapılmaktadır. Belirli bir modül doğrudan bir güvenlik fonksiyonuna, hatta birçok güvenlik fonksiyonuna karşılık gelebilse de, tek bir güvenlik fonksiyonunu uygulamak için birçok modülün birleştirilmesinin gerekmesi de mümkündür. ADV_LLD.*6C öğeleri, düşük düzeyde tasarımın TSP'yi uygulayan her fonksiyonun nasıl sağlandığını tarif etmesini gerektirmektedir. Bu gereksinimin amacı düşük düzeyde tasarımın her modülün tasarım açısından nasıl uygulanmasının beklendiğini tarif etmesidir. Bu ailedeki ADV_LLD.*2E öğeleri, değerlendiricinin düşük düzeyde tasarımın, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesini isteyen bir gereksinimi tanımlamaktadır. Bu da, ADV_RCR ailesi tarafından istenen çiftler halindeki karşılık gelmeye ek olarak, TOE güvenlik fonksiyonel gereksinimleriyle düşük düzeyde tasarım arasında doğrudan bir karşılık gelme sağlamaktadır. Değerlendiricinin ADV_RCR'de sağlanan kanıtları bu belirlemeyi yaparken bir girdi olarak kullanması beklenmektedir ve bütünlük gereksiniminin de düşük düzeyde tasarımın soyutluk düzeyine göre olması amaçlanmaktadır. ADV_LLD.2.9C arayüzlerden modüllere tam bir sunum için bir gereksinim getirmektedir. Bu da, hem TOE'nin kapsamlı testini (ATE_DPT'den bileşenler kullanarak) hem de açıklıkların değerlendirilmesini desteklemek için gerekli ayrıntıyı sağlayacaktır. Düşük düzeyde tasarımın biçimsellik düzeyi bağlamında, biçimsel olmayan, yarı biçimsel ve biçimselin hiyerarşik nitelikte olduğu kabul edilmektedir. Böylece, ADV_LLD.1.1C ayrıca yarı biçimsel ya da biçimsel bir düşük düzeyde tasarımla karşılanabilir ve ADV_LLD.2.1C de biçimsel bir düşük düzeyde tasarımla karşılanabilir. 14.5.4 ADV_LLD.1 Tarif edici düşük düzeyde tasarım Bağımlılıklar: ADV_HLD.2 Güvenliği uygulayan yüksek düzeyde tasarım ADV_RCR.1 Biçimsel olmayan karşılık gelmenin gösterilmesi 14.5.4.1 Geliştirici eylem öğeleri 14.5.4.1.1 ADV_LLD.1.1D Geliştiricinin, TSF'nin düşük düzeyde tasarımını sağlaması gerekir. 14.5.4.2 Kanıtın içeriği ve sunulması öğeleri 14.5.4.2.1 ADV_LLD.1.1C Düşük düzeyde tasarımın sunulmasının biçimsel olmayan bir şekilde olması gerekir. 14.5.4.2.2 ADV_LLD.1.2C Düşük düzeyde tasarımın kendi içinde tutarlı olması gerekir. 14.5.4.2.3 ADV_LLD.1.3C Düşük düzeyde tasarımın TSF'yi modüller şeklinde tarif etmesi gerekir. 14.5.4.2.4 ADV_LLD.1.4C Düşük düzeyde tasarımın her modülün amacını tarif etmesi gerekir.


88

14.5.4.2.5 ADV_LLD.1.5C Düşük düzeyde tasarımın, modüller arasındaki ilişkileri sağlanan güvenlik fonksiyonelliği ve diğer modüllere bağımlılıklar şeklinde tarif tanımlaması gerekir. 14.5.4.2.6 ADV_LLD.1.6C Düşük düzeyde tasarımın, TSP'yi uygulayan her fonksiyonun nasıl sağlandığını tarif etmesi gerekir. 14.5.4.2.7 ADV_LLD.1.7C Düşük düzeyde tasarımın TSF'nin modüllerine bütün arayüzleri belirtmesi gerekir. 14.5.4.2.8 ADV_LLD.1.8C Düşük düzeyde tasarımın, TSF'nin modüllerine olan arayüzlerin hangilerinin dışarıdan görülebilir olduğunu belirtmesi gerekir. 14.5.4.2.9 ADV_LLD.1.9C Düşük düzeyde tasarımın, TSF'nin modüllerine olan bütün arayüzlerinin kullanım amacı ve yöntemini tarif edecek ve, duruma göre, etkilerin, istisnaların ve hata mesajlarının ayrıntılarını sağlaması gerekir. 14.5.4.2.10 ADV_LLD.1.10C Düşük düzeyde tasarımın TOE'nin TSP'yi uygulayan ve diğer modüller şeklinde ayrılmasını tarif etmesi gerekir. 14.5.4.3 Değerlendirici eylem öğeleri 14.5.4.3.1 ADV_LLD.1.1E Değerlendiricinin, sağlanan bütün bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.5.4.3.2 ADV_LLD.1.2E Değerlendiricinin, düşük düzeyde tasarımın, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.5.5 ADV_LLD.2 Yarı biçimsel düşük düzeyde tasarım Bağımlılıklar: ADV_HLD.3 Yarı biçimsel yüksek düzeyde tasarım ADV_RCR.2 Yarı biçimsel karşılık gelmenin gösterilmesi 14.5.5.1 Geliştirici eylem öğeleri 14.5.5.1.1 ADV_LLD.2.1D Geliştiricinin, TSF'nin düşük düzeyde tasarımını sağlaması gerekir. 14.5.5.2 Kanıtın içeriği ve sunulması öğeleri 14.5.5.2.1 ADV_LLD.2.1C Düşük düzeyde tasarımın sunumunun yarı biçimsel olması gerekir.


89

14.5.5.2.2 ADV_LLD.2.2C Düşük düzeyde tasarımın kendi içinde tutarlı olması gerekir. 14.5.5.2.3 ADV_LLD.2.3C Düşük düzeyde tasarımın TSF'yi modüller şeklinde tarif etmesi gerekir. 14.5.5.2.4 ADV_LLD.2.4C Düşük düzeyde tasarımın her modülün amacını tarif etmesi gerekir. 14.5.5.2.5 ADV_LLD.2.5C Düşük düzeyde tasarımın modüller arasındaki ilişkileri sağlanan güvenlik fonksiyonelliği ve diğer modüllere bağımlılıklar şeklinde tanımlaması gerekir. 14.5.5.2.6 ADV_LLD.2.6C Düşük düzeyde tasarımın TSP'yi uygulayan her fonksiyonun nasıl sağlandığını tarif etmesi gerekir. 14.5.5.2.7 ADV_LLD.2.7C Düşük düzeyde tasarımın TSF'nin modüllerine olan bütün arayüzleri belirtmesi gerekir. 14.5.5.2.8 ADV_LLD.2.8C Düşük düzeyde tasarımın TSF'nin modüllerine olan arayüzlerin hangilerinin dışarıdan görülebilir olduğunu belirtmesi gerekir. 14.5.5.2.9 ADV_LLD.2.9C Düşük düzeyde tasarımın, TSF'nin modüllerine olan bütün arayüzlerin kullanım amacı ve yöntemini tarif etmesi ve bütün etkilerin, istisnaların ve hata mesajlarının bütün ayrıntılarını sağlaması gerekir. 14.5.5.2.10 ADV_LLD.2.10C Düşük düzeyde tasarımın TOE'nin TSP'yi uygulayan ve diğer modüllere ayrılmasını tarif etmesi gerekir. 14.5.5.3 Değerlendirici eylem öğeleri 14.5.5.3.1 ADV_LLD.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.5.5.3.2 ADV_LLD.2.2E Değerlendiricinin, düşük düzeyde tasarımın, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam olarak somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.5.6 ADV_LLD.3 Biçimsel düşük düzeyde tasarım Bağımlılıklar: ADV_HLD.5 Biçimsel yüksek düzeyde tasarım ADV_RCR.3 Biçimsel karşılık gelmenin gösterilmesi


90

14.5.6.1 Geliştirici eylem öğeleri 14.5.6.1.1 ADV_LLD.3.1D Geliştiricinin, TSF'nin düşük düzeyde tasarımını sağlaması gerekir. 14.5.6.2 Kanıtın içeriği ve sunulması öğeleri 14.5.6.2.1 ADV_LLD.3.1C Düşük düzeyde tasarımın sunulmasının biçimsel olması gerekir. 14.5.6.2.2 ADV_LLD.3.2C Düşük düzeyde tasarımın kendi içinde tutarlı olması gerekir. 14.5.6.2.3 ADV_LLD.3.3C Düşük düzeyde tasarımın TSF'yi modüller şeklinde tarif etmesi gerekir. 14.5.6.2.4 ADV_LLD.3.4C Düşük düzeyde tasarımın her modülün amacını tarif etmesi gerekir. 14.5.6.2.5 ADV_LLD.3.5C Düşük düzeyde tasarımın modüller arasındaki ilişkileri sağlanan güvenlik fonksiyonelliği ve diğer modüller üzerindeki bağımlılıklar şeklinde tarif etmesi gerekir. 14.5.6.2.6 ADV_LLD.3.6C Düşük düzeyde tasarımın TSP'yi uygulayan her fonksiyonun nasıl sağlandığını tarif etmesi gerekir. 14.5.6.2.7 ADV_LLD.3.7C Düşük düzeyde tasarımın TSF'nin modüllerine olan bütün arayüzleri belirtmesi gerekir. 14.5.6.2.8 ADV_LLD.3.8C Düşük düzeyde tasarımın TSF'nin modüllerine olan arayüzlerin hangilerinin dışarıdan görülebilir olduğunu belirtmesi gerekir. 14.5.6.2.9 ADV_LLD.3.9C Düşük düzeyde tasarımın, TSF'nin modüllerine olan bütün arayüzlerin kullanım amacı ve yöntemini tarif edecektir ve bütün etkilerin, istisnaların ve hata mesajlarının bütün ayrıntılarını sağlaması gerekir. 14.5.6.2.10 ADV_LLD.3.10C Düşük düzeyde tasarımın, TOE'nin TSP'yi uygulayan ve diğer modüller halinde ayrılmasını tarif etmesi gerekir. 14.5.6.3 Değerlendirici eylem öğeleri 14.5.6.3.1 ADV_LLD.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtların içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir.


91

14.5.6.3.2 ADV_LLD.3.2E Değerlendiricinin, düşük düzeyde tasarımın, TOE güvenlik fonksiyonel gereksinimlerinin doğru ve tam bir şekilde somutlaştırılmış hali olduğunu belirlemesi gerekir. 14.6 Temsilin karşılık gelmesi (ADV_RCR) 14.6.1 Hedefler Çeşitli TSF temsilleri arasındaki karşılık gelme (yani, TOE özet belirtimi, fonksiyonel belirtim, yüksek düzeyde tasarım, düşük düzeyde tasarım, uygulama temsili) gereksinimlerin sağlanan en az soyut TSF temsiline, doğru ve tam bir şekilde somutlaştırılmasını ele almaktadır. Bu sonuç, adım adım ayrıntılandırma ve bütün komşu temsil soyutlukları arasındaki karşılık gelmenin belirlenmesinin toplu sonuçlarıyla elde edilmektedir. 14.6.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi, çeşitli TSF temsilleri arasındaki karşılık gelmenin biçimselliğinin istenen düzeyine göre belirlenmektedir. 14.6.3 Uygulama notları Geliştirici, değerlendiriciye sağlanan en ayrıntılı ya da en az soyut TSF temsilinin, ST'de fonksiyonel gereksinimler olarak ifade edilen fonksiyonların doğru, tutarlı ve tam bir şekilde somutlaştırılmış hali olduğunu göstermelidir. Bu da, komşu temsiller arasındaki karşılık gelmenin orantılı bir ayrıntı düzeyinde gösterilmesiyle gerçekleştirilmektedir. Bu gereksinim ailesinin TSP modeli ya da TSP ile ilgili karşılık gelmeyi ele alması amaçlanmamaktadır. Bunun yerine, Şetim 10.2'de gösterildiği gibi, bu ailenin sağlanan çeşitli TSF temsilleri (yani, TOE özet belirtimi, fonksiyonel belirtim, yüksek düzeyde tasarım, düşük düzeyde tasarım ve uygulama temsili) arasındaki karşılık gelmeyi ele alması amaçlanmaktadır. ADV_RCR.*.1C öğeleri, komşu bir TSF temsili arasında ayrıntılandırılması gerekenlerin kapsamını tanımlarken "bütün ilgili güvenlik fonksiyonelliği"ne gönderme yapmaktadır. TOE özet belirtimi ile fonksiyonel belirtim arasındaki ayrıntılandırmalar için, bu öğe, fonksiyonel belirtimde sadece TOE özet belirtimindeki TOE güvenlik fonksiyonlarının ayrıntılandırılmasını gerektirmektedir ve fonksiyonel belirtimin garanti önlemleriyle (bunlar TOE özet belirtiminde sunulmaktadır) ilgili herhangi bir ayrıntı içermesini gerektirmemektedir. Uygulama temsilinin sadece TSF'nin bir alt kümesi için sunulduğu yerlerde (örneğin ADV_IMP'de olduğu gibi), düşük düzeyde tasarımla uygulama temsili arasındaki istenen ayrıntılandırmalar, uygulama temsilinde sunulan güvenlik fonksiyonelliğiyle sınırlıdır. Diğer bütün durumlarda, bu öğe daha soyut TSF sunumunun bütün bölümlerinin daha az soyut TSF temsilinde ayrıntılandırılmasını gerektirmektedir. Komşu TSF temsilleri arasındaki karşılık gelmenin biçimsellik düzeyi bağlamında, biçimsel olmayan, yarı biçimsel ve biçimselin hiyerarşik nitelikte olduğu kabul edilmektedir. Böylece, ADV_RCR.2.2C ve ADV_RCR.3.2C biçimsel karşılık gelme kanıtı ile karşılanabilmekte ve biçimsellik düzeyiyle ilgili herhangi bir gereksinim bulunmaması durumunda da karşılık gelmenin gösterilmesi biçimsel olmayan, yarı biçimsel ya da biçimsel bir şekilde olabilir. 14.6.4 ADV_RCR.1 Biçimsel olmayan karşılık gelmenin gösterilmesi Bağımlılıklar: Hiçbir bağımlılık yoktur. 14.6.4.1 Geliştirici eylem öğeleri 14.6.4.1.1 ADV_RCR.1.1D Geliştiricinin, sağlanan bütün TSF temsili komşu çiftleri arasında karşılık gelmenin bir incelemesini sağlaması gerekir.


92

14.6.4.2 Kanıtın içeriği ve sunulması öğeleri 14.6.4.2.1 ADV_RCR.1.1C İncelemenin, sağlanan her TSF temsili komşu çiftinde, daha soyut TSF temsilinin ilgili bütün güvenlik fonksiyonelliğinin daha az soyut TSF temsilinde doğru ve tam bir şekilde ayrıntılandırılmış olduğunu göstermesi gerekir. 14.6.4.3 Değerlendirici eylem öğeleri 14.6.4.3.1 ADV_RCRC.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtların içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.6.5 ADV_RCR.2 Yarı biçimsel karşılık gelmenin gösterilmesi Bağımlılıklar: Hiçbir bağımlılık yoktur. 14.6.5.1 Geliştirici eylem öğeleri 14.6.5.1.1 ADV_RCR.2.1D Geliştiricinin, sağlanan bütün TSF temsili komşu çiftleri arasında karşılık gelmenin bir incelemesini sağlaması gerekir. 14.6.5.2 Kanıtın içeriği ve sunulması öğeleri 14.6.5.2.1 ADV_RCR.2.1C İncelemenin, sağlanan her TSF temsili komşu çiftinde, daha soyut TSF temsilinin ilgili bütün güvenlik fonksiyonelliğinin daha az soyut TSF temsilinde doğru ve tam bir şekilde ayrıntılandırılmış olduğunu göstermesi gerekir. 14.6.5.2.2 ADV_RCR.2.2C Her iki temsilin de bölümlerinin en azından yarı biçimsel olarak belirtildiği, sağlanan her TSF temsili komşu çifti için, temsillerin o bölümleri arasındaki karşılık gelmenin gösterilmesinin yarı biçimsel olması gerekir. 14.6.5.3 Değerlendirici eylem öğeleri 14.6.5.3.1 ADV_RCR.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sağlanmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.6.6 ADV_RCR.3 Biçimsel karşılık gelmenin gösterilmesi Bağımlılıklar: Hiçbir bağımlılık yoktur. 14.6.6.1 Uygulama notları Geliştiricinin, sunum biçiminin ayrıntı düzeyine uygun olarak karşılık gelmeyi, aşağıdaki gereksinimlerde tarif edildiği gibi göstermesi ya da kanıtlaması gerekmektedir. Örneğin, karşılık gelen temsiller biçimsel olarak belirtildiğinde karşılık gelmenin kanıtlanması gerekmektedir.


93

14.6.6.2 Geliştirici eylem öğeleri 14.6.6.2.1 ADV_RCR.3.1D Geliştiricinin, sağlanan bütün komşu TSF temsili çiftleri arasındaki karşılık gelmenin bir incelemesini sağlaması gerekir. 14.6.6.3 Kanıtın içeriği ve sunulması öğeleri 14.6.6.3.1 ADV_RCR.3.2D Biçimsel olarak belirtilen karşılık gelen temsil bölümleri için geliştiricinin o karşılık gelmeyi kanıtlaması gerekir. 14.6.6.3.2 ADV_RCR.3.1C İncelemenin, sağlanan her TSF temsili komşu çiftinde, daha soyut TSF temsilinin ilgili bütün güvenlik fonksiyonelliğinin daha az soyut TSF temsilinde doğru ve tam bir şekilde ayrıntılandırılmış olduğunu kanıtlayacak ya da göstermesi gerekir. 14.6.6.3.3 ADV_RCR.3.2C Bir temsilin bölümlerinin yarı biçimsel olarak belirtildiği ve diğerinin de en azından yarı biçimsel olarak belirtildiği, sağlanan her TSF temsili komşu çifti için, temsillerin o bölümleri arasındaki karşılık gelmenin gösterilmesinin yarı biçimsel olması gerekir. 14.6.6.3.4 ADV_RCR.3.3C Her iki temsilin de bölümlerinin biçimsel olarak belirtildiği, sağlanan her TSF temsili komşu çifti için, temsilin o bölümleri arasındaki karşılık gelmenin kanıtlanmasının biçimsel olması gerekir. 14.6.6.4 Değerlendirici eylem öğeleri 14.6.6.4.1 ADV_RCR.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sağlanmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.6.6.4.2 ADV_RCR.3.2E Değerlendiricinin, karşılık gelme kanıtlarının doğruluğunu biçimsel incelemeyi seçici olarak doğrulayarak belirlemesi gerekir. 14.7 Güvenlik politikası modellemesi (ADV_SPM)

14.7.1 Hedefler Bu ailenin amacı fonksiyonel belirtimdeki güvenlik fonksiyonlarının TSP'deki politikaları uyguladığına dair ek garanti sağlamaktır. Bu da, TSP'nin politikalarının bir alt kümesine dayanan bir güvenlik politikası modeli geliştirilmesiyle ve fonksiyonel belirtim, güvenlik politikası modeli ve TSP'nin bu politikalarıyla bir karşılık gelme oluşturulmasıyla gerçekleştirilmektedir.

14.7.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi, TSP modelinden istenen biçimsellik düzeyi ve TSP modeli ile fonksiyonel belirtim arasındaki karşılık gelmeden istenen biçimsellik düzeyine göre belirlenmektedir.

14.7.3 Uygulama notları TSP herhangi bir politika içerebilirse de, TSP modelleri geleneksel olarak sadece bu politikaların alt kümelerini temsil ettiler çünkü bazı politikaların modellenmesi şu anda bu alanda mümkün değil. Şu anda bu alanda en gelişmiş yöntemler modellenebilecek politikaları belirlemektedir ve PP/ST yazarının belirli fonksiyonları ve bu nedenle modellenebilir ve modellenmesi gereken ilgili politikaları belirtmesi gerekmektedir. En azından erişim kontrol ve bilgi akışı kontrol politikalarının modellenmesi (TSP'nin parçasıysalar) istenmektedir çünkü bunlar şu anda bu alanda gerçekleştirilebilir şeyler arasındadır.


94

Bu ailedeki her bileşen için, TSP modelindeki uygulanabilir TSP politikalarının kuralları ve özelliklerini tarif etme ve TSP modelinin TSP'nin karşılık gelen politikalarını karşılamasını sağlama gereksinimi bulunmaktadır. Bir TSP modelinin "kuralları" ve "özellikleri"nin geliştirilebilecek model türünde esnekliğe olanak tanıması amaçlanmaktadır (örneğin, durum geçişi, karışmama). Örneğin, kurallar "özellikler" olarak temsil edilebilir (örneğin, basit güvenlik özelliği) ve nitelikler de "başlangıç durumu", "güvenli durum", "özneler" ve "nesneler" gibi tanımlarla temsil edilebilir. TSP modelinin biçimselliğinin düzeyi ve TSP modeliyle fonksiyonel belirtim arasındaki karşılık gelme bağlamında, biçimsel olmayan, yarı biçimsel ve biçimselin hiyerarşik nitelikte olduğu kabul edilmektedir. Böylece, ADV_SPM.1.1C ayrıca yarı biçimsel ya da biçimsel bir TSP modeliyle karşılanabilir ve ADV_SPM.2.1C ayrıca biçimsel bir TSP modeliyle karşılanabilir. Buna ek olarak, ADV_SPM.2.5C ve ADV_SPM.3.5C biçimsel bir karşılık gelme kanıtıyla karşılanabilir. Son olarak, biçimsellik düzeyiyle ilgili herhangi bir gereksinimin bulunmaması durumunda, karşılık gelmenin gösterilmesi biçimsel olmayan, yarı biçimsel ya da biçimsel bir şekilde olabilir. 14.7.4 ADV_SPM.1 Biçimsel olmayan TOE güvenlik politikası modeli Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim 14.7.4.1 Geliştirici eylem öğeleri 14.7.4.1.1 ADV_SPM.1.1D Geliştiricinin, bir TSP modeli sağlaması gerekir. 14.7.4.1.2 ADV_SPM.1.2D Geliştiricinin, fonksiyonel belirtimle TSP modeli arasında karşılık gelmeyi göstermesi gerekir. 14.7.4.2 Kanıtın içeriği ve sunulması öğeleri 14.7.4.2.1 ADV_SPM.1.1C TSP modelinin biçimsel olmayan bir şekilde olması gerekir. 14.7.4.2.2 ADV_SPM.1.2C TSP modelinin, TSP'nin modellenebilen bütün politikalarının kurallarını ve özelliklerini tarif etmesi gerekir. 14.7.4.2.3 ADV_SPM.1.3C TSP modelinin, TSP'nin modellenebilir bütün politikalarına göre tutarlı ve tam olduğunu gösteren bir açıklamayı da içermesi gerekir. 14.7.4.2.4 ADV_SPM.1.4C TSP modeliyle fonksiyonel belirtim arasındaki karşılık gelmenin gösterilmesinin, fonksiyonel belirtimdeki bütün güvenlik fonksiyonlarının TSP modeline göre tutarlı ve tam olduğunu göstermesi gerekir. 14.7.4.3 Değerlendirici eylem öğeleri 14.7.4.3.1 ADV_SPM.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sağlanmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.7.5 ADV_SPM.2 Yarı biçimsel TOE güvenlik politikası modeli Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim


95

14.7.5.1 Geliştirici eylem öğeleri 14.7.5.1.1 ADV_SPM.2.1D Geliştiricinin, bir TSP modeli sağlaması gerekir. 14.7.5.1.2 ADV_SPM.2.2D Geliştiricinin, fonksiyonel belirtim ile TSP modeli arasında karşılık gelmeyi göstermesi gerekir. 14.7.5.2 Kanıtın içeriği ve sunulması öğeleri 14.7.5.2.1 ADV_SPM.2.1C TSP modelinin yarı biçimsel olması gerekir. 14.7.5.2.2 ADV_SPM.2.2C TSP modelinin TSP'nin modellenebilen bütün politikalarının kurallarını ve özelliklerini tarif etmesi gerekir. 14.7.5.2.3 ADV_SPM.2.3C TSP modelinin, TSP'nin modellenebilen bütün politikalarına göre tutarlı ve tam olduğunu gösteren bir açıklama içermesi gerekir. 14.7.5.2.4 ADV_SPM.2.4C TSP modeliyle fonksiyonel belirtim arasındaki karşılık gelmenin gösterilmesinin, fonksiyonel belirtimdeki bütün güvenlik fonksiyonlarının TSP modeline göre tutarlı ve tam olduğunu göstermesi gerekir. 14.7.5.2.5 ADV_SPM.2.5C Fonksiyonel belirtimin en azından yarı biçimsel olduğu yerlerde, TSP modeliyle fonksiyonel belirtimler arasındaki karşılık gelmenin gösterilmesinin yarı biçimsel olması gerekir. 14.7.5.3 Değerlendirici eylem öğeleri 14.7.5.3.1 ADV_SPM.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sağlanmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 14.7.6 ADV_SPM.3 Biçimsel TOE güvenlik politikası modeli Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim 14.7.6.1 Geliştirici eylem öğeleri 14.7.6.1.1 ADV_SPM.3.1D Geliştiricinin, bir TSP modeli sağlaması gerekir. 14.7.6.1.2 ADV_SPM.3.2D Geliştiricinin, duruma göre, fonksiyonel belirtim ile TSP modeli arasındaki karşılık gelmeyi gösterecek ya da kanıtlaması gerekir.


96

14.7.6.2 Kanıtın içeriği ve sunulması öğeleri 14.7.6.2.1 ADV_SPM.3.1C TSP modelinin biçimsel olması gerekir. 14.7.6.2.2 ADV_SPM.3.2C TSP modelinin, TSP'nin modellenebilen bütün politikalarının kurallarını ve özelliklerini tarif etmesi gerekir. 14.7.6.2.3 ADV_SPM.3.3C TSP modelinin, TSP'nin modellenebilen bütün politikalarına göre tutarlı ve tam olduğunu gösteren bir açıklama içermesi gerekir. 14.7.6.2.4 ADV_SPM.3.4C TSP modeliyle fonksiyonel belirtim arasındaki karşılık gelmenin gösterilmesinin, fonksiyonel belirtimdeki bütün güvenlik fonksiyonlarının TSP modeline göre tutarlı ve tam olduğunu göstermesi gerekir. 14.7.6.2.5 ADV_SPM.3.5C Fonksiyonel belirtimin yarı biçimsel olduğu yerlerde, TSP modeliyle fonksiyonel belirtim arasındaki karşılık gelmenin gösterilmesinin yarı biçimsel olması gerekir. 14.7.6.2.6 ADV_SPM.3.6C Fonksiyonel belirtimin biçimsel olduğu yerlerde, TSP modeliyle fonksiyonel belirtim arasındaki karşılık gelmenin kanıtlanmasının biçimsel olması gerekir. 14.7.6.3 Değerlendirici eylem öğeleri 14.7.6.3.1 ADV_SPM.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sağlanmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 15 AGD Sınıfı: Kılavuz belgeler Kılavuz belgeler sınıfı kullanıcı ve yönetici kılavuz belgeleri için gereksinimleri sağlamaktadır. TOE'nin güvenli bir şekilde yönetilmesi ve kullanılması için TOE'nin güvenli uygulamasının ilgili bütün yönlerinin tarif edilmesi gereklidir. Şekil 12'de bu sınıftaki aileler ve bu ailelerdeki bileşenlerin hiyerarşisi gösterilmektedir.

Şekil 12 - AGD: Kılavuz belgeler sınıfının yapısı

AGD_ADM: Yönetici kılavuzu

AGD_USR: Kullanıcı kılavuzu

1

1


97

15.1 Yönetici kılavuzu (AGD_ADM) 15.1.1 Hedefler Yönetici kılavuzu, TOE'yi yapılandırmak, sürdürmek ve yönetmekle sorumlu kişilerin en yüksek güvenliği sağlamak amacıyla doğru bir şekilde kullanması amaçlanan yazılı malzeme anlamına gelmektedir. Çünkü, TOE'nin güvenli çalışması TSF'nin doğru çalışmasına bağlı ve bu fonksiyonları yerine getirmekten sorumlu kişilere TSF tarafından güveniliyor. Yönetici kılavuzunun, yöneticilerin TOE tarafından sağlanan güvenlik fonksiyonlarını anlamasına yardım etmesi bekleniyor ki bunlar arasında yöneticinin güvenlikle ilgili önemli eylemler yapmasını gerektiren fonksiyonlar ve güvenlik açısından önemli bilgiler sağlayan fonksiyonlar da bulunuyor. 15.1.2 Bileşen düzeyini belirleme Bu aile sadece bir bileşen içermektedir. 15.1.3 Uygulama notları AGD_ADM.1.3C ve AGD_ADM.1.7C gereksinimleri, TOE kullanıcılarına TOE güvenlik ortamı ve PP/ST'de tarif edilen güvenlik hedefleriyle ilgili yapılan herhangi bir uyarının yönetici kılavuzunda uygun bir şekilde ele alınması yönünü de içermektedir. AGD_ADM.1.5C'de kullanıldığı haliyle, güvenli değerler kavramı yöneticinin güvenlik parametreleri üzerinde kontrole sahip olduğu yerlerle ilgilidir. Bu parametrelerin güvenli ve güvenli olmayan ayarlarıyla ilgili kılavuzluk sağlanması gerekmektedir. Bu kavram, CC Bölüm 2'deki FMT_MSA.2 bileşeninin kullanımıyla ilgilidir. AGD_ADM.1.6C, yönetici kılavuzunun tüm güvenlikle ilgili olaylara uygun yönetici tepkilerini tanımlamasını gerektirir. Güvenlikle ilgili olayların çoğu yönetim işlevlerini gerçekleştirmenin sonucu olmasına rağmen, her zaman böyle olması gerekmez (örneğin, denetim kütüğünün dolması, bir ihlal tespiti gibi). Ayrıca, bir güvenlikle ilgili olay yönetici işlevlerinin bir sonucu olarak ortaya çıkabilir ya da tam tersi şekilde birçok güvenlikle ilgili olay bir işlev tarafından tetiklenebilir. 15.1.4 AGD_ADM.1 Yönetici kılavuzu Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim 15.1.4.1 Geliştirici eylem öğeleri 15.1.4.1.1 AGD_ADM.1.1D Geliştiricinin, sistem yöneticisi personele yönelik olarak yönetici kılavuzu sağlaması gerekir. 15.1.4.2 Kanıtın içeriği ve sunulması öğeleri 15.1.4.2.1 AGD_ADM.1.1C Yönetici kılavuzunun, TOE yöneticilerinin kullanabileceği yönetici fonksiyonlarını ve arayüzlerini tarif etmesi gerekir. 15.1.4.2.2 AGD_ADM.1.2C Yönetici kılavuzunun, TOE'nin güvenli bir şekilde nasıl uygulanacağını tarif etmesi gerekir. 15.1.4.2.3 AGD_ADM.1.3C Yönetici kılavuzunun, güvenli bir işlem ortamında kontrol edilmesi önerilen fonksiyonlar ve ayrıcalıklarla ilgili uyarılar içermesi gerekir.


98

15.1.4.2.4 AGD_ADM.1.4C Yönetici kılavuzunun, TOE'nin güvenli bir şekilde çalıştırılmasıyla ilgili kullanıcı davranışlarıyla bakımından bütün varsayımları tarif etmesi gerekir. 15.1.4.2.5 AGD_ADIM.1.5C Yönetici kılavuzunun, yöneticinin kontrolü altındaki bütün güvenlik parametrelerini tarif etmesi ve uygun yerlerde güvenli değerleri belirtmesi gerekir. 15.1.4.2.6 AGD_ADM.1.6C Yönetici kılavuzunun, gerçekleştirilmesi gereken yönetim fonksiyonlarına bağlı her bir güvenlikle ilgili olayı tarif etmesi gerekir ki bunun içinde TSF'nin kontrolü altındaki varlıkların güvenlik özelliklerinin değiştirilmesi de yer almaktadır. 15.1.4.2.7 AGD_ADM.1.7C Yönetici kılavuzunun, değerlendirme için sunulan diğer bütün belgelerle tutarlı olması gerekir. 15.1.4.2.8 AGD_ADM.1.8C Yönetici kılavuzunun, bilgi teknolojisi ortamındaki yöneticiyle ilgili bütün güvenlik gereksinimlerini tarif etmesi gerekir. 15.1.4.3 Değerlendirici eylem öğeleri 15.1.4.3.1 AGD_ADM.1.1E Değerlendiricinin, sağlanan bütün bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 15.2 Kullanıcı kılavuzu (AGD_USR) 15.2.1 Hedefler Kullanıcı kılavuzu, TOE'nin yönetici olmayan insan kullanıcıları ve dış arayüzleri kullanan diğerleri (örneğin, programcılar) tarafından kullanılması amaçlanan malzeme anlamına gelmektedir. Kullanıcı kılavuzu TSF tarafından sağlanan güvenlik fonksiyonlarını tarif etmekte ve güvenli kullanımı için, uyarılar dahil, talimatlar ve yol gösterici bilgiler sağlamaktadır. Kullanıcı kılavuzu TOE'nin kullanımıyla ilgili varsayımlar hakkında bir temel ve kötü niyetli olmayan kullanıcılar, uygulama sağlayıcılar ve TOE'nin dış arayüzlerini kullanan diğerlerinin TOE'nin güvenli çalışmasını anlayacağına ve amaçlandığı şekilde kullanacağına dair bir güven ölçüsü sağlamaktadır. 15.2.2 Bileşen düzeyini belirleme Bu aile sadece bir bileşen içermektedir. 15.2.3 Uygulama notları AGD_USR.1.3C ve AGD_USR.1.5C gereksinimleri, TOE kullanıcılarına TOE güvenlik ortamı ve PP/ST'de tarif edilen güvenlik hedefleriyle ilgili yapılan herhangi bir uyarının yönetici kılavuzunda uygun bir şekilde ele alınması yönünü de içermektedir. Birçok durumda kılavuzun ayrı belgelerde sağlanması daha uygun olabilir; biri insan kullanıcılar için ve biri de uygulama programcıları ve/veya yazılım ya da donanım arayüzleri kullanan donanım tasarımcıları için. 15.2.4 AGD_USR.1 Kullanıcı kılavuzu Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim


99

15.2.4.1 Geliştirici eylem öğeleri 15.2.4.1.1 AGD_USR.1.1D Geliştiricinin, kullanıcı kılavuzu sağlaması gerekir. 15.2.4.2 Kanıtın içeriği ve sunulması öğeleri 15.2.4.2.1 AGD_USR.1.1C Kullanıcı kılavuzunun, TOE'nin yönetici olmayan kullanıcılarının kullanabileceği fonksiyonları ve arayüzleri tarif etmesi gerekir. 15.2.4.2.2 AGD_USR.1.2C Kullanıcı kılavuzunun, TOE tarafından sağlanan kullanıcıların erişebildiği güvenlik fonksiyonlarının kullanımını tarif etmesi gerekir. 15.2.4.2.3 AGD_USR.1.3C Kullanıcı kılavuzunun, güvenli bir işlem ortamında kontrol edilmesi önerilen, kullanıcının erişebildiği fonksiyonlar ve ayrıcalıklar hakkında uyarılar içermesi gerekir. 15.2.4.2.4 AGD_USR.1.4C Kullanıcı kılavuzunun, TOE'nin güvenli kullanımı için gerekli bütün kullanıcı sorumluluklarını açık bir şekilde sunması gerekir ve buna TOE güvenlik ortamı beyanında bulunan kullanıcı davranışı varsayımlarıyla ilgili olanlar da dahildir. 15.2.4.2.5 AGD_USR.1.5C Kullanıcı kılavuzunun, değerlendirme için sunulan diğer bütün belgelerle tutarlı olması gerekir. 15.2.4.2.6 AGD_USR.1.6C Kullanıcı kılavuzunun, bilgi teknolojisi ortamındaki kullanıcıyla ilgili bütün güvenlik gereksinimlerini tarif etmesi gerekir. 15.2.4.3 Değerlendirici eylem öğeleri 15.2.4.3.1 AGD_USR.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 16 ALC Sınıfı: Kullanım ömrü desteği Kullanım ömrü desteği, geliştirilmesi ve sürdürülmesi sırasında TOE'nin ayrıntılandırma sürecinde disiplin ve kontrolün sağlanmasıyla ilgili bir yöndür. Güvenlik incelemesi ve kanıtın üretilmesi düzenli bir şekilde, geliştirme ve sürdürme (bakım) etkinliklerinin bütünleşik bir parçası olarak gerçekleştirildiğinde, TOE güvenlik gereksinimleriyle TOE arasındaki karşılık gelmeye güven daha fazla olur. Şekil 13'de bu sınıftaki aileler ve bu ailedeki bileşenler arasındaki hiyerarşi gösterilmektedir.

Şekil 13 - ALC: Kullanım ömrü desteği sınıfının yapısı

ALC_DVS: Geliştirme güvenliği

3

3

ALC_FLR: Hata düzeltme

ALC_LCD: Kullanım ömrü tanımı

ALC_TAT: Araçlar ve teknikler

1

1

1

1

2

2

2

2

3


100

16.1 Geliştirme güvenliği (ALC_DVS) 16.1.1 Hedefler Geliştirme güvenliği, TOE'yi korumak için geliştirme ortamında kullanılabilecek fiziksel, prosedürlere, personele yönelik ve diğer güvenlik önlemleriyle ilgidir. Geliştirme yerinin fiziksel güvenliği ve, varsa, geliştirme personelinin seçilmesi için kullanılan prosedürleri de içermektedir. 16.1.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi güvenlik önlemlerinin yeterliliğinin kanıtlanmasının gerekip gerekmediğine bağlı olarak belirlenmektedir. 16.1.3 Uygulama notları Bu aile geliştiricinin yerinde bulunan tehditleri ortadan kaldırmak ya da azaltmak için önlemlerle ilgilidir. Bunun tersine, TOE kullanıcısının yerinde karşılanacak tehditler ise normalde PP’nin ya da ST’nin güvenlik ortamı alt maddesinde ele alınmaktadır. Değerlendirici, bu ailenin gereksinimlerinin karşılandığını doğrulamak için geliştiricinin yerini ziyaret etme gereği olup olmadığını belirlemelidir. TOE’nin geliştirme ortamında korunması için gizliliğin her zaman önemli olmayacağı kabul edilmektedir. “Gerekli” kelimesinin kullanımı, uygun önlemlerin seçilmesine olanak tanımaktadır. 16.1.4 ALV_DVS.1 Güvenlik önlemlerinin belirlenmesi Bağımlılıklar: Hiçbir bağımlılık yoktur. 16.1.4.1 Geliştirici eylem öğeleri 16.1.4.1.1 ALC_DVS.1.1D Geliştiricinin, geliştirme güvenlik belgelerini üretmesi gerekir. 16.1.4.2 Kanıtın içeriği ve sunulması öğeleri 16.1.4.2.1 ALC_DVS.1.1C Geliştirme güvenlik belgelerinin, TOE tasarımının gizliliğini ve bütünlüğünü ve geliştirme ortamındaki uygulamasını korumak için gerekli bütün fiziksel, prosedürle ilgili, personelle ilgili ve diğer güvenlik önlemlerini tarif etmesi gerekir. 16.1.4.2.2 ALC_DVS.1.2C Geliştirme güvenlik belgelerinin, bu güvenli önlemlerinin TOE’nin geliştirilmesi ve sürdürülmesi sırasında uygulandığına dair kanıt sağlaması gerekir. 16.1.4.3 Değerlendirici eylem öğeleri 16.1.4.3.1 ALC_DVS.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 16.1.4.3.2 ALC_DVS.1.2E Değerlendiricinin, güvenlik önlemlerinin uygulandığını doğrulaması gerekir. 16.1.5 ALC_DVS.2 Güvenlik önlemlerinin yeterliliği Bağımlılıklar: Hiçbir bağımlılık yoktur.


101

16.1.5.1 Geliştirici eylem öğeleri 16.1.5.1.1 ALC_DVS.2.1D Geliştiricinin, geliştirme güvenlik belgelerini üretmesi gerekir. 16.1.5.2 Kanıtın içeriği ve sunulması öğeleri 16.1.5.2.1 ALC_DVS.2.1C Geliştirme güvenlik belgelerinin, TOE tasarımının gizliliğinin ve bütünlüğünün korunması ve geliştirme ortamında uygulanması için gerekli bütün fiziksel, prosedürle ilgili, personelle ilgili ve diğer güvenlik önlemlerini tarif etmesi gerekir. 16.1.5.2.2 ALC_DVS.2.2C Geliştirme güvenlik belgelerinin, güvenlik önlemlerinin TOE’nin geliştirilmesi ve sürdürülmesi sırasında uygulandığına dair kanıt sağlaması gerekir. 16.1.5.2.3 ALC_DVS.2.3C Kanıtların, güvenlik önlemlerinin TOE’nin gizliliğini ve bütünlüğünü sürdürmek için gerekli düzeyde koruma sağladığını kanıtlaması gerekir. 16.1.5.3 Değerlendirici eylem öğeleri 16.1.5.3.1 ALC_DVS.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 16.1.5.3.2 ALC_DVS.2.2E Değerlendiricinin, güvenlik önlemlerinin uygulandığını doğrulaması gerekir. 16.2 Hata düzeltme (ALC_FLR) 16.2.1 Hedefler Hata düzeltme, fark edilen güvenlik hatalarının geliştirici tarafından kaynağına kadar izlenmesini ve düzeltilmesini gerektirmektedir. Hata düzeltme prosedürlerinin geleceğe dönük uyumu TOE değerlendirmesi sırasında belirlenemezse de, bir geliştiricinin hataları izlemek ve düzeltmek ve hata bilgisini ve düzeltmeleri dağıtmak için sahip olduğu politikaları ve prosedürleri değerlendirmek mümkündür. 16.2.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi, hata düzeltme prosedürlerinin kapsamının artan genişliğine ve hata düzeltme politikalarının ayrıntılarına göre belirlenmektedir. 16.2.3 Uygulama notları Bu aile, TOE’nin gelecekte sürdürüleceğine ve destekleneceğine dair garanti sağlamaktadır ve TOE geliştiricisinin TOE’deki hataları izlemesini ve düzeltmesini gerektirmektedir. Buna ek olarak, hata düzeltmelerinin dağıtılması için gereksinimler de yer almaktadır. Ama, bu aile mevcut değerlendirme dışında değerlendirme gereksinimleri getirmemektedir. Hata düzeltme prosedürleri, karşılaşılan hür türlü hataya karşı izlenecek yöntemleri tarif etmelidir. Bazı hatalar hemen düzeltilemeyebilir. Hatanın düzeltilemediği ve diğer (örneğin, prosedür olarak) önlemlerin alınmasının gerektiği bazı durumlar olabilir. Sağlanan belgeler, düzeltmelerle çalışabilir yerler sağlamak için prosedürleri ve düzeltmelerin geciktiği yerlerde hatalarla (ve bu arada ne yapılması gerektiğiyle) ilgili ya da düzeltmelerin mümkün olmadığı durumlarla ilgili bilgi sağlamalıdır.


102

16.2.4 ALC_FLR.1 Temel hata düzeltme Bağımlılıklar: Hiçbir bağımlılık yoktur. 16.2.4.1 Geliştirici eylem öğeleri 16.2.4.1.1 ALC_FLR.1.1D Geliştiricinin, hata düzeltme prosedürlerini belgelemesi gerekir. 16.2.4.2 Kanıtın içeriği ve sunulması öğeleri 16.2.4.2.1 ALC_FLR.1.1C Hata düzeltme prosedürleri belgelerinin, TOE’nin her sürümünde bildirilen bütün güvenlik hatalarını izlemek için kullanılan prosedürleri tarif etmesi gerekir. 16.2.4.2.2 ALC_FLR.1.2C Hata düzeltme prosedürlerinin, her güvenlik hatasının niteliği ve etkisiyle ilgili bir açıklamanın sağlanmasını ve ayrıca o hataya bir düzeltme bulunması konusunda o anki durumun belirtilmesini istemesi gerekir.. 16.2.4.2.3 ALC_FLR.1.3C Hata düzeltme prosedürlerinin, her güvenlik hatası için düzeltici eylemlerin belirtilmesini gerektirecektir. 16.2.4.2.4 ALC_FLR.1.4C Hata düzeltme prosedürleri belgelerinin, TOE kullanıcılarına hata bilgisi, düzeltmeler ve düzeltici eylemler hakkında kılavuzluk sağlamakta kullanılan yöntemleri tarif etmesi gerekir. 16.2.4.3 Değerlendirici eylem öğeleri 16.2.4.3.1 ALC_FLR.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 16.2.5 ALC_FLR.2 Hata bildirme prosedürleri Bağımlılıklar: Hiçbir bağımlılık yoktur. 16.2.5.1 Hedefler Geliştiricinin TOE kullanıcılarından gelen güvenlik hata raporları üzerine uygun şekilde gidebilmesi ve düzeltici onarımları kime göndereceğini bilmesi için, TOE kullanıcılarının güvenlik hata raporlarını geliştiriciye nasıl teslim edeceklerini anlamaları gerekir. Geliştiriciden TOE kullanıcısına olan hata düzeltme kılavuzu, TOE kullanıcılarının bu önemli bilginin farkında olmalarını sağlar. 16.2.5.2 Geliştirici eylem öğeleri 16.2.5.2.1 ALC_FLR.2.1D Geliştiricinin, hata düzeltme prosedürlerini belgelemesi gerekir. 16.2.5.2.2 ALC_FLR.2.2D Geliştiricinin, kullanıcıların bildirdiği güvenlik hatalarını kabul etmek ve bu hataların düzeltilmesi yönündeki istekler üzerine harekete geçmek amacıyla bir prosedür oluşturması gerekir.


103

16.2.5.2.3 ALC_FLR.2.3D Geliştiricinin, TOE kullanıcılarını hedefleyen hata düzeltme kılavuzu sağlaması gerekir. 16.2.5.3 Kanıtın içeriği ve sunulması öğeleri 16.2.5.3.1 ALC_FLR.2.1C Hata düzeltme prosedürleri belgelerinin, TOE'nin her sürümünde bildirilen güvenlik hatalarını izlemek için kullanılan prosedürleri tarif etmesi gerekir. 16.2.5.3.2 ALC_FLR.2.2C Hata düzeltme prosedürlerinin, her güvenlik hatasının niteliği ve etkisiyle ilgili bir açıklamanın sağlanmasını ve ayrıca o hataya bir düzeltme bulunması konusunda o anki durumun belirtilmesini istemesi gerekir.. 16.2.5.3.3 ALC_FLR.2.3C Hata düzeltme prosedürlerinin, her güvenlik hatası için düzeltici eylemlerin belirtilmesini istemesi gerekir. 16.2.5.3.4 ALC_FLR.2.4C Hata düzeltme prosedürleri belgelerinin, TOE kullanıcılarına hata bilgisi, düzeltmeler ve düzeltici eylemler hakkında kılavuzluk sağlamakta kullanılan yöntemleri tarif etmesi gerekir. 16.2.5.3.5 ALC_FLR.2.5C Hata düzeltme prosedürlerinin, geliştiricinin TOE’deki şüphelenilen güvenlik hataları hakkında TOE kullanıcılarının raporları ve sorgularından bilgi aldığı bir yöntem tanımlaması gerekir. 16.2.5.3.6 ALC_FLR.2.6C Bildirilen güvenlik hatalarının ele alınmasıyla ilgili prosedürlerin, bildirilen bütün hataların düzeltilmesini ve TOE kullanıcılarına bildirilmesini sağlaması gerekir. 16.2.5.3.7 ALC_FLR.2.7C Bildirilen güvenlik hatalarının ele alınmasıyla ilgili prosedürlerin, bu güvenlik hatalarında yapılan düzeltmelerin yeni hatalar yaratmasına karşı önlemler alacaktır. 16.2.5.3.8 ALC_FLR.2.8C Hata düzeltme kılavuzunun, TOE kullanıcılarının TOE’deki şüphelenilen güvenlik hatalarını geliştiriciye rapor edebilmeleri için bir yöntem tanımlaması gerekir. 16.2.5.4 Değerlendirici eylem öğeleri 16.2.5.4.1 ALC_FLR.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 16.2.6 ALC_FLR.3 Sistemli hata düzeltme Bağımlılıklar: Hiçbir bağımlılık yoktur. 16.2.6.1 Hedefler Geliştiricinin TOE kullanıcılarından gelen güvenlik hata raporları üzerine uygun şekilde gidebilmesi ve düzeltici onarımları kime göndereceğini bilmesi için, TOE kullanıcılarının güvenlik hata raporlarını geliştiriciye nasıl teslim edeceklerini ve düzeltici onarımları alabilmeleri için kendilerini geliştiriciye nasıl kaydedeceklerini anlamaları gerekir. Geliştiriciden TOE kullanıcısına olan hata düzeltme kılavuzu, TOE kullanıcılarının bu önemli bilginin farkında olmalarını sağlar.


104

16.2.6.2 Geliştirici eylem öğeleri 16.2.6.2.1 ALC_FLR.3.1D Geliştiricinin, hata düzeltme prosedürleri belgelerini sağlaması gerekir. 16.2.6.2.2 ALC_FLR.3.2D Geliştiricinin, kullanıcıların bildirdiği güvenlik hatalarını kabul etmek ve bu hataların düzeltilmesi yönündeki istekler üzerine harekete geçmek amacıyla bir prosedür oluşturması gerekir. 16.2.6.2.3 ALC_FLR.3.3D Geliştiricinin, TOE'yi ilgilendiren güvenlik konularıyla ilgili kullanıcıların bildiride ve istekte bulunabileceği bir ya da daha fazla özel iletişim noktası belirtmesi gerekir. 16.2.6.3 Kanıtın içeriği ve sunulması öğeleri 16.2.6.3.1 ALC_FLR.3.1C Hata düzeltme prosedürleri belgelerinin, TOE'nin her sürümünde bildirilen güvenlik hatalarını izlemek için kullanılan prosedürleri tarif etmesi gerekir. 16.2.6.3.2 ALC_FLR.3.2C Hata düzeltme prosedürlerinin, her güvenlik hatasının niteliği ve etkisiyle ilgili bir açıklamanın sağlanmasını ve ayrıca o hataya bir düzeltme bulunması konusunda o anki durumun belirtilmesini istemesi gerekir.. 16.2.6.3.3 ALC_FLR.3.3C Hata düzeltme prosedürlerinin, her güvenlik hatası için düzeltici eylemlerin belirtilmesini istemesi gerekir. 16.2.6.3.4 ALC_FLR.3.4C Hata düzeltme prosedürleri belgelerinin, TOE kullanıcılarına hata bilgisi, düzeltmeler ve düzeltici eylemler hakkında kılavuzluk sağlamakta kullanılan yöntemleri tarif etmesi gerekir. 16.2.6.3.5 ALC_FLR.3.5C Bildirilen güvenlik hatalarının ele alınmasıyla ilgili prosedürlerin, bildirilen bütün hataların düzeltilmesini ve TOE kullanıcılarına bildirilmesini sağlaması gerekir. 16.2.6.3.6 ALC_FLR.3.6C Bildirilen güvenlik hatalarının ele alınmasıyla ilgili prosedürlerin, bu güvenlik hatalarında yapılan düzeltmelerin yeni hatalar yaratmasına karşı önlemler alacaktır. 16.2.6.3.7 ALC_FLR.3.7C Hata düzeltme prosedürlerinin, güvenlik hatasından etkilenebilecek kayıtlı kullanıcılara güvenlik hatası raporlarının ve ilgili düzeltmelerin otomatik olarak dağıtılması için zamanında tepki vermeyi gerektiren bir prosedürü de içermesi gerekir. 16.2.6.3.8 ALC_FLR.3.8C Hata düzeltme prosedürlerinin, güvenlik hatasından etkilenebilecek kayıtlı kullanıcılara güvenlik hatası raporlarının ve ilgili düzeltmelerin otomatik olarak dağıtılması için zamanında tepki vermeyi gerektiren bir prosedürü de içermesi gerekir.


105

16.2.6.3.9 ALC_FLR.3.9C Hata düzeltme prosedürlerinin, güvenlik hatasından etkilenebilecek kayıtlı kullanıcılara güvenlik hatası raporlarının ve ilgili düzeltmelerin otomatik olarak dağıtılması için zamanında tepki vermeyi gerektiren bir prosedürü de içermesi gerekir. 16.2.6.3.10 ALC_FLR.3.10C Hata düzeltme prosedürlerinin, güvenlik hatasından etkilenebilecek kayıtlı kullanıcılara güvenlik hatası raporlarının ve ilgili düzeltmelerin otomatik olarak dağıtılması için zamanında tepki vermeyi gerektiren bir prosedürü de içermesi gerekir. 16.2.6.3.11 ALC_FLR.3.11C Hata düzeltme prosedürlerinin, güvenlik hatasından etkilenebilecek kayıtlı kullanıcılara güvenlik hatası raporlarının ve ilgili düzeltmelerin otomatik olarak dağıtılması için zamanında tepki vermeyi gerektiren bir prosedürü de içermesi gerekir. 16.2.6.4 Değerlendirici eylem öğeleri 16.2.6.3.4.1 ALC_FLR.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 16.3 Kullanım ömrü tanımı (ALC_LCD) 16.3.1 Hedefler TOE'nin iyi kontrol edilemeyen geliştirme ve sürdürülmesi TOE'nin kötü bir uygulamasına neden olabilir (ya da bütün güvenlik gereksinimlerini karşılayamayan bir TOE'ye). Bu da, güvenlik ihlallerine neden olur. Bu nedenle, TOE'nin geliştirilmesi ve sürdürülmesi için bir modelin TOE'nin kullanım ömründe mümkün olduğunca erken bir şekilde oluşturulması önemlidir. TOE'nin geliştirilmesi ve sürdürülmesi için bir modelin kullanılması TOE'nin hatasız olacağını garanti etmiyor; TOE'nin bütün güvenlik fonksiyonel gereksinimlerini karşılayacağını da garanti etmiyor. Seçilen modelin yeterli olmaması ya da uygun olmaması da mümkün ve böylece TOE'nin kalitesi açısından hiçbir yarar sağlanmamış olur. Bir uzman grubu tarafından (örneğin, akademik uzmanlar, standard kuruluşları) tarafından onaylanmış bir kullanım ömrü modeli kullanılması, geliştirme ve sürdürme modellerinin TOE'nin kalitesine katkıda bulunması şansını arttırmaktadır. 16.3.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi, kullanım ömrü modelinin standardizasyonu ve ölçülebilir için artan gereksinimler ve bu modele uyuma göre belirlenmektedir. 16.3.3 Uygulama notları Kullanım ömrü modeli, TOE'yi geliştirmek ve sürdürmek için kullanılan prosedürler, araçlar ve teknikleri kapsamaktadır. Böyle bir modelin kapsayabileceği süreç özellikleri arasında tasarım yöntemleri, gözden geçirme prosedürleri, proje yönetimi kontrolleri, değişim kontrol prosedürleri, test yöntemleri ve kabul prosedürleri bulunmaktadır. Etkili bir kullanım ömrü modeli, geliştirme ve sürdürme sürecinin bu yönlerini, sorumluluklar atayan ve ilerlemeyi gözleyen genel bir yönetim yapısı içinde ele alacaktır. Kullanım ömrü tanımı, TOE'nin sürdürülmesi ve bu nedenle, değerlendirmenin tamamlanmasından sonra ilgili hale gelen özellikleri ele alsa da, kullanım ömrünün değerlendirilmesi, TOE için değerlendirme sırasında sağlanan kullanım ömrü bilgisinin incelenmesiyle ek garanti sağlamaktadır. Standardlaştırılmış bir kullanım ömrü modeli, bir uzman grubu (örneğin, akademik uzmanlar, standard kurumları) tarafından onaylanmış bir modeldir. Ölçülebilir bir kullanım ömrü modeli, aritmetik parametrelere ve/veya TOE geliştirme özelliklerini ölçen ölçülere (örneğin, kaynak kodu karmaşıklığı ölçüleri) sahip bir modeldir.


106

Kullanım ömrü modeli, geliştiricinin modelin TOE'deki güvenlik ihlalleri tehlikesini uygun bir şekilde en aza indirdiğini gösteren bilgileri sağlayabilmesi durumunda, TOE'nin geliştirilmesi ve sürdürülmesi üzerinde gerekli kontrolü sağlamaktadır. ST'de TOE'nin amaçlanan ortamı ve TOE'nin güvenlik hedefleriyle ilgili verilen bilgi, TOE'nin tesliminden sonraki kullanım ömrü bölümü için modelin tanımlanmasında yararlı olabilir. 16.3.4 ALC_LCD.1 Geliştiricinin tarif ettiği kullanım ömrü modeli Bağımlılıklar: Hiçbir bağımlılık yoktur. 16.3.4.1 Geliştirici eylem öğeleri 16.3.4.1.1 ALC_LCD.1.1D Geliştiricinin, TOE'nin geliştirilmesi ve sürdürülmesinde kullanılacak bir kullanım ömrü modeli oluşturması gerekir. 16.3.4.1.2 ALC_LCD.1.2D Geliştiricinin, kullanım ömrü tanım belgelerini sağlaması gerekir. 16.3.4.2 Kanıtın içeriği ve sunulması öğeleri 16.3.4.2.1 ALC_LCD.1.1C Kullanım ömrü tanımı belgelerinin, TOE'yi geliştirmek ve sürdürmek için kullanılan modeli tarif etmesi gerekir. 16.3.4.2.2 ALC_LCD.1.2C Kullanım ömrü tanımı belgelerinin, TOE'yi geliştirmek ve sürdürmek için kullanılan modeli tarif etmesi gerekir. 16.3.4.3 Değerlendirici eylem öğeleri 16.3.4.3.1 ALC_LCD.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 16.3.5 ALC_LCD.2 Standardlaştırılmış kullanım ömrü modeli Bağımlılıklar: Hiçbir bağımlılık yoktur. 16.3.5.1 Geliştirici eylem öğeleri 16.3.5.1.1 ALC_LCD.2.1D Geliştiricinin, TOE'nin geliştirilmesi ve sürdürülmesinde kullanılacak bir kullanım ömrü modeli oluşturması gerekir. 16.3.5.1.2 ALC_LCD.2.2D Geliştiricinin, kullanım ömrü tanım belgeleri sağlaması gerekir. 16.3.5.1.3 ALC_LCD.2.3D Geliştiricinin, TOE'yi geliştirmek ve sürdürmek için standardlaştırılmış bir kullanım ömrü modeli kullanması gerekir.


107

16.3.5.2 Kanıtın içeriği ve sunulması öğeleri 16.3.5.2.1 ALC_LCD.2.1C Kullanım ömrü tanım belgelerinin, TOE'yi geliştirmek ve sürdürmekte kullanılan modeli tarif etmesi gerekir. 16.3.5.2.2 ALC_LCD.2.2C Kullanım ömrü modelinin, TOE'nin geliştirilmesi ve sürdürülmesi için gerekli kontrolü sağlaması gerekir. 16.3.5.2.3 ALC_LCD.2.3C Kullanım ömrü tanımı belgelerinin modelin neden seçildiğini açıklaması gerekir. 16.3.5.2.4 ALC_LCD.2.4C Kullanım ömrü tanımı belgelerinin modelin TOE'yi geliştirmekte ve sürdürmekte nasıl kullanıldığını açıklaması gerekir. 16.3.5.2.5 ALC_LCD.2.5C Kullanım ömrü tanımı belgelerinin, standardlaştırılmış kullanım ömrü modeliyle uyumu göstermesi gerekir. 16.3.5.3 Değerlendirici eylem öğeleri 16.3.5.3.1 ALC_LCD.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 16.3.6 ALC_LCD.3 Ölçülebilir kullanım ömrü modeli Bağımlılıklar: Hiçbir bağımlılık yoktur. 16.3.6.1 Geliştirici eylem öğeleri 16.3.6.1.1 ALC_LCD.3.1D Geliştiricinin, TOE'nin geliştirilmesi ve sürdürülmesinde kullanılacak bir kullanım ömrü modeli oluşturması gerekir. 16.3.6.1.2 ALC_LCD.3.2D Geliştiricinin, kullanım ömrü tanım belgeleri sağlaması gerekir. 16.3.6.1.3 ALC_LCD.3.3D Geliştiricinin, TOE'yi geliştirmek ve sürdürmek için standardlaştırılmış ve ölçülebilir bir kullanım ömrü modeli kullanması gerekir. 16.3.6.1.4 ALC_LCD.3.4D Geliştiricinin, TOE geliştirmesini standardlaştırılmış ve ölçülebilir bir kullanım ömrü modeli kullanarak ölçecektir.


108

16.3.6.2 Kanıtın içeriği ve sunulması öğeleri 16.3.6.2.1 ALC_LCD.3.1C Kullanım ömrü tanımı belgelerinin TOE'yi geliştirmekte ve sürdürmekte kullanılan modeli tarif edecektir ve bunun içinde aritmetik parametreleri ve/veya TOE gelişimini modele göre ölçmekte kullanılan ölçüleri de yer alacaktır. 16.3.6.2.2 ALC_LCD.3.2C Kullanım ömrü modelinin, TOE'nin geliştirilmesi ve sürdürülmesi için gerekli kontrolü sağlaması gerekir. 16.3.6.2.3 ALC_LCD.3.3C Kullanım ömrü tanımı belgelerinin modelin neden seçildiğini açıklaması gerekir. 16.3.6.2.4 ALC_LCD.3.4C Kullanım ömrü tanımı belgelerinin modelin TOE'nin geliştirilmesi ve sürdürülmesinde nasıl kullanıldığını açıklaması gerekir. 16.3.6.2.5 ALC_LCD.3.5C Kullanım ömrü tanımı belgelerinin, standardlaştırılmış ve ölçülebilir kullanım ömrü modeliyle uyumu göstermesi gerekir. 16.3.6.2.6 ALC_LCD.3.6C Kullanım ömrü belgelerinin, standardlaştırılmış ve ölçülebilir kullanım ömrü modelini kullanarak TOE gelişimi ölçümlerinin sonuçlarını sağlaması gerekir. 16.3.6.3 Değerlendirici eylem öğeleri 16.3.6.3.1 ALC_LCD.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 16.4 Araçlar ve teknikler (ALC_TAT) 16.4.1 Hedefler Araçlar ve teknikler, TOE geliştirmek, incelemek ve uygulamak için kullanılan araçların seçilmesiyle ilgili bir özelliktir. Kötü tanımlanmış, tutarsız ya da yanlış geliştirme araçlarının TOE'nin geliştirilmesinde kullanılmasını önlemek için gereksinimler içermektedir. Bunlar içinde, herhangi bir sınırlama getirmeksizin, programlama dilleri, belgeler, uygulama standardları ve TOE'nin diğer bölümleri örneğin destekleyici çalışma zamanı kütüphanesi yer almaktadır. 16.4.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi, uygulama standardlarının tarifi ve kapsamıyla ilgili artan gereksinimler ve uygulamaya bağlı seçeneklerin belgelenmesine göre belirlenmektedir. 16.4.3 Uygulama notları İyi tanımlanmış geliştirme araçları için bir gereksinim bulunmaktadır. Bunlar daha fazla yoğun açıklama ihtiyacı olmadan uygulanabildiği gösterilen araçlardır. Örneğin, standard kuruluşları tarafından yayınlanan bir standarda dayalı programlama dilleri ve bilgisayar destekli tasarım (CAD) sistemlerinin iyi tanımlanmış olduğu kabul edilmektedir. Araçlar ve teknikler geliştirici tarafından uygulanan uygulama standardları (ALC_TAT.2.3D) ve ek olarak üçüncü kişilere ait yazılım, donanım ya da bellenim içeren "TOE'nin bütün bölümleri" için uygulama standardları (ALC_TAT.3.3D) arasında ayırım yapmaktadır.


109

ALC_TAT.1.2C'deki gereksinim, kaynak kodundaki bütün ifadelerin yanlış anlaşılmayacak bir anlama sahip olmasını sağlamak için özellikle programlama dillerine uygulanabilmektedir. 16.4.4 ALC_TAT.1 İyi tanımlanmış geliştirme araçları Bağımlılıklar: ADV_IMP.1 TSF uygulamasının alt kümesi 16.4.4.1 Geliştirici eylem öğeleri 16.4.4.1.1 ALC_TAT.1.1D Geliştiricinin, TOE için kullanılan geliştirme araçlarını belirtmesi gerekir. 16.4.4.1.2 ALC_TAT.1.2D Geliştiricinin, geliştirme araçlarının seçilen uygulamaya bağlı seçeneklerini belgelemesi gerekir. 16.4.4.2 Kanıtın içeriği ve sunulması öğeleri 16.4.4.2.1 ALC_TAT.1.1C Uygulamada kullanılan bütün geliştirme araçlarının iyi tanımlanmış olması gerekir. 16.4.4.2.2 ALC_TAT.1.2C Geliştirme araçlarının belgelerinin, uygulamada kullanılan bütün ifadelerin anlamlarını açık bir şekilde tanımlaması gerekir. 16.4.4.2.3 ALC_TAT.1.3C Geliştirime araçlarının belgelerinin bütün uygulamaya bağlı seçeneklerin anlamını açık bir şekilde tanımlaması gerekir. 16.4.4.3 Değerlendirici eylem öğeleri 16.4.4.3.1 ALC_TAT.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 16.4.5 ALC_TAT.2 Uygulama standardlarına uyum Bağımlılıklar: ADV_IMP.1 TSF uygulamasının alt kümesi 16.4.5.1 Geliştirici eylem öğeleri 16.4.5.1.1 ALC_TAT.2.1D Geliştiricinin, TOE için kullanılan geliştirme araçlarını belirtmesi gerekir. 16.4.5.1.2 ALC_TAT.2.2D Geliştiricinin, geliştirme araçlarının seçilmiş uygulamaya bağlı seçeneklerini belgelemesi gerekir. 16.4.5.1.3 ALC_TAT.2.3D Geliştiricinin, uygulanacak uygulama standardlarını tarif etmesi gerekir.


110

16.4.5.2 Kanıtın içeriği ve sunulması öğeleri 16.4.5.2.1 ALC_TAT.2.1C Uygulamada kullanılan bütün geliştirme araçlarının iyi tanımlanmış olması gerekir. 16.4.5.2.2 ALC_TAT.2.2C Geliştirme araçlarının belgelerinin, uygulamada kullanılan bütün ifadelerin anlamını açık bir şekilde tanımlaması gerekir. 16.4.5.2.3 ALC_TAT.2.3C Geliştirme araçlarının belgelerinin, uygulamaya bağlı bütün seçeneklerin anlamını açık bir şekilde tanımlaması gerekir. 16.4.5.3 Değerlendirici eylem öğeleri 16.4.5.3.1 ALC_TAT.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 16.4.5.3.2 ALC_TAT.2.2E Değerlendiricinin, uygulama standardlarının uygulandığını doğrulaması gerekir. 16.4.6 ALC_TAT.3 Uygulama standardlarına uyum - bütün bölümler Bağımlılıklar: ADV_IMP.1 TSF uygulamasının alt kümesi 16.4.6.1 Geliştirici eylem öğeleri 16.4.6.1.1 ALC_TAT.3.1D Geliştiricinin, TOE için kullanılan geliştirme araçlarını belirtmesi gerekir. 16.4.6.1.2 ALC_TAT.3.2D Geliştiricinin, geliştirme araçlarının seçilmiş uygulamaya bağlı seçeneklerini belgelemesi gerekir. 16.4.6.1.3 ALC_TAT.3.3D Geliştiricinin, TOE'nin bütün bölümleri için uygulama standardlarını tarif etmesi gerekir. 16.4.6.2 Kanıtın içeriği ve sunulması öğeleri 16.4.6.2.1 ALC_TAT.3.1C Uygulamada kullanılan bütün geliştirme araçlarının iyi tanımlanmış olması gerekir. 16.4.6.2.2 ALC_TAT.3.2C Geliştirme araçlarının belgelerinin, uygulamada kullanılan bütün ifadelerin anlamını açık bir şekilde tanımlaması gerekir. 16.4.6.2.3 ALC_TAT.3.3C Geliştirme araçlarının belgelerinin, uygulamaya bağlı bütün seçeneklerin anlamını açık bir şekilde tanımlaması gerekir.


111

16.4.6.3 Değerlendirici eylem öğeleri 16.4.6.3.1 ALC_TAT.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 16.4.6.3.2 ALC_TAT.3.2E Değerlendiricinin, uygulama standardlarının uygulandığını doğrulaması gerekir. 17 ATE Sınıfı: Testler "Testler" sınıfı dört aileyi kapsamaktadır: Kapsam (ATE_COV), derinlik (ATE_DPT), bağımsız test (örneğin, değerlendiriciler tarafından gerçekleştirilen fonksiyonel test) (ATE_IND) ve fonksiyonel testler (ATE_FUN). Testler, TOE güvenlik fonksiyonel gereksinimlerinin karşılandığının belirlenmesine yardım etmektedir. Testler, TOE'nin en azından TOE güvenlik fonksiyonel gereksinimlerini karşıladığına dair garanti sağlamaktadır ama TOE'nin belirtilenden daha fazlasını yapmadığını belirleyememektedir. Testler ayrıca TSF'nin iç yapısıyla ilgili de olabilir, örneğin alt sistemlerin ve modüllerin kendi belirtimlerine göre test edilmesi gibi. Kapsam ve derinlik yönleri, ailelerin bileşenlerini uygularken daha fazla esneklik için fonksiyonel testlerden ayrılmıştır. Ama bu üç ailedeki gereksinimlerin birlikte uygulanması amaçlanmaktadır. Bağımsız test ailesi, gereksinimleri desteklemek amacıyla gerekli bilgiyi sağlamak için diğer aileler üzerinde bağımlılıklara sahiptir ama daha bağımsız değerlendirici eylemleriyle ilgilidir. Bu sınıfta önem verilen konu TSF'nin belirtimine göre çalıştığının doğrulanmasıdır. Bu da fonksiyonel gereksinimlere dayalı pozitif testler ve istenmeyen davranışın bulunmadığını kontrol etmek için negatif testleri içerecektir. Bu sınıf, kullanıcının güvenlik politikasını ihlal etmesine olanak tanıyan açıklıkların bulunmasıyla ilgili olan sızma testini ele almamaktadır. Sızma testi TOE'nin incelenmesine dayalıdır ve TSF'nin tasarımı ve uygulanmasındaki açıklıkları belirlemeye çalışır ve AVA sınıfında açıklık incelemesinin bir yönü olarak ayrıca ele alınmaktadır. Şekil 14'te bu sınıflardaki aileler ve ailelerdeki bileşenlerin hiyerarşisi gösterilmektedir.

Şekil 14 - ATE: Test sınıfının yapısı

17.1 Kapsam (ATE_COV) 17.1.1 Hedefler Bu aile, test kapsamının bütünlüğüyle ilgili test yönlerini ele almaktadır. Yani, TSF'nin hangi dereceye kadar test edildiğini ve testin TSF'nin belirtildiği gibi çalıştığını göstermeye yetecek kadar kapsamlı olup olmadığını ele almaktadır. 17.1.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi, arayüz testinin artan ayrıntısına ve testlerin TSF'nin fonksiyonel belirtimine göre çalıştığını göstermeye yeterli olup olmadığı incelemesinin artan hassaslığına göre belirlenmektedir.

ATE_COV: Kapsam

ATE_DPT: Derinlik

ATE_FUN: Fonksiyonel testler

ATE_IND: Bağımsız test

1

1

1

1

2

2

2

2

3

3

3


112

17.1.3 ATE_COV.1 Kapsam kanıtı Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim ATE_FUN.1 Fonksiyonel test 17.1.3.1 Hedefler Bu bileşende, amaç TSF'nin kendi fonksiyonel belirtimine göre test edildiğini belirlemektir. Bu da, geliştiricinin karşılık gelme kanıtının incelenmesiyle gerçekleştirilmektedir. 17.1.3.2 Uygulama notları Testin amacı TSF'yi kapsamaksa da, testlerin fonksiyon belirtimi ve test verileriyle biçimsel olmayan bir şekilde eşleştirilmesi dışında bu iddiayı kanıtlamak için herhangi bir şey sağlanması gerekmemektedir. Bu bileşende, geliştiricinin belirtilen testlerin fonksiyonel belirtimde tarif edilen TSF'ye nasıl karşılık geldiğini göstermesi istenmektedir. Bu da, örneğin bir çizelge kullanarak karşılık gelmenin ifade edilmesiyle gerçekleştirilebilir. Bu bilgi, değerlendirme için test programını planlarken değerlendiriciyi desteklemek için istenmektedir. Bu düzeyde, geliştiricinin TSF'nin bütün yönlerini bütünüyle kapsaması için hiçbir gereksinim bulunmamaktadır ve değerlendiricinin de bu alandaki bozuklukları göz önünde bulundurması gerekecektir. 17.1.3.3 Geliştirici eylem öğeleri 17.1.3.3.1 ATE_COV.1.1D Geliştiricinin, test kapsamının kanıtını sağlaması gerekir. 17.1.3.4 Kanıtın içeriği ve sunulması öğeleri 17.1.3.4.1 ATE_COV.1.1C Test kapsamının kanıtının test belgelerinde belirtilen testlerle fonksiyonel belirtimde tarif edilen TSF arasındaki karşılık gelmeyi göstermesi gerekir. 17.1.3.5 Değerlendirici eylem öğeleri 17.1.3.5.1 ATE_COV.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 17.1.4 ATE_COV.2 Kapsamın incelenmesi Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim ATE_FUN.1 Fonksiyonel test 17.1.4.1 Hedefler Bu bileşende, amaç TSF'nin fonksiyonel belirtimine göre sistemli bir şekilde test edildiğini belirlemektir. Bu da, geliştiricinin karşılık gelme incelemesinin incelenmesiyle gerçekleştirilecektir. 17.1.4.2 Uygulama notları Geliştiricinin, belirtilen testlerin, fonksiyonel belirtimde tarif edilen güvenlik fonksiyonlarının hepsinin testini de içerdiğini göstermesi istenmektedir. İnceleme sadece testlerle güvenlik fonksiyonları arasındaki karşılık gelmeyi göstermemeli, aynı zamanda değerlendiricinin fonksiyonların nasıl uygulandığını belirlemesine yetecek bilgiyi de sağlamalıdır. Bu bilgi, ek değerlendirici testlerinin planlanmasında kullanılabilir. Bu düzeyde geliştiricinin fonksiyonel belirtimdeki fonksiyonların her birinin test edildiğini göstermesi gerekse de, her fonksiyonun test miktarının tüketici olması gerekmemektedir.


113

17.1.4.3 Geliştirici eylem öğeleri 17.1.4.3.1 ATE_COV.2.1D Geliştiricinin, test kapsamının bir incelemesini sağlaması gerekir. 17.1.4.4 Kanıtın içeriği ve sunulması öğeleri 17.1.4.4.1 ATE_COV.2.1C Test kapsamının incelemesinin, test belgelerinde belirtilen testler ile fonksiyonel belirtimde tarif edilen TSF arasında karşılık gelmeyi göstermesi gerekir. 17.1.4.4.2 ATE_COV.2.2C Test kapsamının incelemesinin, fonksiyonel belirtimde tarif edilen TSF ile test belgelerinde belirtilen testler arasındaki karşılık gelmenin tam olduğunu göstermesi gerekir. 17.1.4.5 Değerlendirici eylem öğeleri 17.1.4.5.1 ATE_COV.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 17.1.5 ATE_COV.3 Kapsamın ayrıntılı incelemesi Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim ATE_FUN.1 Fonksiyonel test 17.1.5.1 Hedefler Bu bileşende, amaç TSF'nin kendi fonksiyonel belirtimine göre sistemli ve tüketici bir şekilde test edildiğini belirlemektedir. Bu da karşılık gelmenin geliştirici tarafından incelemesinin incelenmesiyle gerçekleştirilecektir. 17.1.5.2 Uygulama notları Geliştiricinin, belirtilen testlerin bütün güvenlik fonksiyonlarını kapsadığı ve her güvenlik fonksiyonunun testinin tam olduğuna dair inandırıcı bir açıklama sağlaması istenmektedir. Tüketici bir şekilde test edilmiş olacağı için, değerlendiricinin fonksiyonel belirtime dayalı olarak TSF arayüzlerinin ek fonksiyonel testlerini geliştirmesi için pek yer kalmayacaktır. Ama yine de, değerlendiricinin böyle testler geliştirmeye çalışması gerekmektedir. 17.1.5.3 Geliştirici eylem öğeleri 17.1.5.3.1 ATE_COV.3.1D Geliştiricinin, test kapsamının bir incelemesini sağlaması gerekir. 17.1.5.4 Kanıtın içeriği ve sunulması öğeleri 17.1.5.4.1 ATE_COV.3.1C Test kapsamının incelemesinin, test belgelerinde belirtilen testlerle fonksiyonel belirtimde tarif edilen TSF arasındaki karşılık gelmeyi göstermesi gerekir. 17.1.5.4.2 ATE_COV.3.2C Test kapsamının incelemesinin, fonksiyonel belirtimde tarif edilen TSF ile test belgelerinde belirtilen testler arasındaki karşılık gelmenin tam olduğunu göstermesi gerekir.


114

17.1.5.4.3 ATE_COV.3.3C Test kapsamının incelemesinin, TSF'nin fonksiyonel belirtimde belirtilen bütün dış arayüzlerinin bütünüyle test edildiğini ayrıntılı bir şekilde göstermesi gerekir. 17.1.5.5 Değerlendirici eylem öğeleri 17.1.5.5.1 ATE_COV.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 17.2 Derinlik (ATE_DPT) 17.2.1 Hedefler Bu ailedeki bileşenler, TSF'nin test edildiği ayrıntı düzeyiyle ilgilidir. Güvenlik fonksiyonlarının testi, temsillerin incelenmesinden türetilen bilginin artan derinliğine dayanmaktadır. Burada amaç, TOE'nin geliştirilmesindeki bir hatanın kaçırılması riskini önlemektir. Buna ek olarak, bu ailedeki bileşenlerin, özellikle de test daha çok TSF'nin iç yapısıyla ilgili olduğu için, eklenmiş kötü niyetli kodları fark etmesi daha yüksek bir olasılıktır. Belirli iç arayüzleri deneyen testler sadece TSF'nin istenen dış güvenlik davranışını sergilediğine dair garanti sağlamakla kalmaz, aynı zamanda bu davranışın doğru çalışan iç mekanizmalar tarafından sağlandığına dair de garanti sağlar. 17.2.2 Bileşen düzeyini belirleme Bu ailedeki bileşenlerin düzeyi TSF temsillerinde sağlanan, yüksek düzeyde tasarımdan uygulama temsiline, artan ayrıntılara göre belirlenmektedir. Bu düzey belirleme, ADV sınıfında temsil edilen TSF temsillerini yansıtmaktadır. 17.2.3 Uygulama notları Belge ve kanıtın tam olarak miktarı ve türü genelde ATE_FUN'dan seçilen bileşen tarafından belirlenecektir. Fonksiyonel belirtim düzeyindeki test ATE_COV tarafından ele alınmaktadır. Bu ailede uygulanan ilke, test düzeyinin istenen garanti düzeyine uygun olmasıdır. Daha yüksek bileşenlerin uygulandığı yerlerde, test sonuçlarının TSF'nin uygulamasının tasarımıyla uyumlu olduğunu göstermesi gerekecektir. Örneğin, yüksek düzeyde tasarımın, her alt sistemi tarif etmesi gerekmektedir ve ayrıca bu alt sistemler arasındaki arayüzleri de yeterli ayrıntıyla tarif etmesi gerekmektedir. Test kanıtları, alt sistemler arasındaki iç arayüzlerin kullanıldığını göstermelidir. Bu da, TSF'nin dış arayüzleri yoluyla test yaparak ya da alt sistem arayüzlerini ayrı olarak test ederek gerçekleştirilebilir, örneğin bir test düzeneği kullanarak. İç arayüzlerin bazı yönlerinin dış arayüzler yoluyla test edilemediği durumlarda, ya bu yönlerin test edilmesine gerek olmadığı ya da iç arayüzün doğrudan test edilmesini gerektiği kanıtlanmalıdır. Bu ikinci durumda, yüksek düzeyde tasarımın doğrudan teste olanak tanıması için yeterince ayrıntılı olması gerekmektedir. Bu ailedeki yüksek bileşenler, tasarım daha az soyut hale geldikçe görünür olan iç arayüzlerin doğru çalışmasını kontrol etmeyi amaçlamaktadır. Bu bileşenler uygulandığında, sadece TSF'nin dış arayüzlerini kullanarak testin derinliğine yeterince kanıt sağlanması zor olacaktır ve genelde modüler test gerekecektir. 17.2.4 ATE_DPT.1 Test: yüksek düzeyde tasarım Bağımlılıklar: ADV_HLD.1 Tarif edici yüksek düzeyde tasarım

ATE_FUN.1 Fonksiyonel test

17.2.4.1 Hedefler TSF'nin alt sistemleri TSF'nin iç çalışması hakkında yüksek düzeyde bir tarif sağlamaktadır. Herhangi bir hatanın varlığını göstermek için alt sistemler düzeyinde test yapılması TSF alt sistemlerinin doğru bir şekilde gerçekleştirildiğine dair garanti sağlamaktadır.


115

17.2.4.2 Uygulama notları Geliştiricinin, TSF'nin yüksek düzeyde tasarımının testini "alt sistemler" şeklinde tarif etmesi beklenmektedir. "Alt sistem" terimi, TSF'yi nispeten küçük sayıda parçaya ayırma fikrini ifade etmek için kullanılmaktadır. 17.2.4.3 Geliştirici eylem öğeleri 17.2.4.3.1 ATE_DPT.1.1D Geliştiricinin, testin derinliği incelemesini sağlaması gerekir. 17.2.4.4 Kanıtın içeriği ve sunulması öğeleri 17.2.4.4.1 ATE_DPT.1.1C Derinlik incelemesinin, test belgelerinde belirtilen testlerin, TSF'nin kendi yüksek düzeyde tasarımına göre çalıştığını göstermeye yeterli olduğunu göstermesi gerekir. 17.2.4.5 Değerlendirici eylem öğeleri 17.2.4.5.1 ATE_DPT.1.2E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 17.2.5 ATE_DPT.2 Test: düşük düzeyde tasarım Bağımlılıklar: ADV_HLD.2 Güvenliği uygulayan yüksek düzeyde tasarım ADV_LLD.1 Tarif edici düşük düzeyde tasarım ATE_FUN.1 Fonksiyonel test 17.2.5.1 Hedefler TSF'nin alt sistemleri, TSF'nin iç çalışmasının yüksek düzeyde bir tarifini sağlamaktadır. Herhangi bir hatanın varlığını göstermek için alt sistemler düzeyinde test yapılması, TSF alt sistemlerinin doğru bir şekilde gerçekleştirildiğine dair garanti sağlamaktadır. TSF'nin modülleri TSF'nin iç çalışması hakkında bir tarif sağlamaktadır. Herhangi bir hatanın varlığını göstermek için modüller düzeyinde test yapılması TSF modüllerinin doğru bir şekilde gerçekleştirildiğine dair garanti sağlamaktadır. 17.2.5.2 Uygulama notları Geliştiricinin, TSF'nin yüksek düzeyde tasarımının testini "alt sistemler" şeklinde tarif etmesi beklenmektedir. "Alt sistem" terimi, TSF'yi nispeten küçük sayıda parçaya ayırma fikrini ifade etmek için kullanılmaktadır. Geliştiricinin, TSF'nin düşük düzeyde tasarımının testini "modüller" şeklinde tarif etmesi beklenmektedir. "Modüller" terimi, TSF'yi nispeten küçük sayıda parçaya ayırma fikrini ifade etmek için kullanılmaktadır. 17.2.5.3 Geliştirici eylem öğeleri 17.2.5.3.1 ATE_DPT.2.1D Geliştiricinin, testin derinliği incelemesini sağlaması gerekir. 17.2.5.4 Kanıtın içeriği ve sunulması öğeleri 17.2.5.4.1 ATE_DPT.2.1C Derinlik incelemesinin, test belgelerinde belirtilen testlerin, TSF'nin yüksek düzeyde tasarımı ve düşük düzeyde tasarımına göre çalıştığını göstermeye yeterli olduğunu göstermesi gerekir.


116

17.2.5.5 Değerlendirici eylem öğeleri 17.2.5.5.1 ATE_DPT.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 17.2.6 ATE_DPT.3 Test: uygulama temsili Bağımlılıklar: ADV_HLD.2 Güvenliği uygulayan yüksek düzeyde tasarım ADV_IMP.2 TSF'nin uygulaması ADV_LLD.1 Tarif edici düşük düzeyde tasarım ATE_FUN.1 Fonksiyonel test 17.2.6.1 Hedefler TSF'nin alt sistemleri, TSF'nin iç çalışmasının yüksek düzeyde bir tarifini sağlamaktadır. Herhangi bir hatanın varlığını göstermek için alt sistemler düzeyinde test yapılması, TSF alt sistemlerinin doğru bir şekilde gerçekleştirildiğine dair garanti sağlamaktadır. TSF'nin modülleri TSF'nin iç çalışması hakkında bir tarif sağlamaktadır. Herhangi bir hatanın varlığını göstermek için modüller düzeyinde test yapılması TSF modüllerinin doğru bir şekilde gerçekleştirildiğine dair garanti sağlamaktadır. TSF'nin uygulama temsili, TSF'nin iç çalışması hakkında ayrıntılı bir tarif sağlamaktadır. Herhangi bir hatanın varlığını göstermek için uygulama düzeyinde test yapılması, TSF uygulamasının doğru bir şekilde gerçekleştirildiğine dair garanti sağlamaktadır. 17.2.6.2 Uygulama notları Geliştiricinin, TSF'nin yüksek düzeyde tasarımının testini "alt sistemler" şeklinde tarif etmesi beklenmektedir. "Alt sistem" terimi, TSF'yi nispeten küçük sayıda parçaya ayırma fikrini ifade etmek için kullanılmaktadır. Geliştiricinin, TSF'nin düşük düzeyde tasarımının testini "modüller" şeklinde tarif etmesi beklenmektedir. "Modüller" terimi, TSF'yi nispeten küçük sayıda parçaya ayırma fikrini ifade etmek için kullanılmaktadır. Uygulama temsili, TSF'nin kendisini üretmek için kullanılandır (örneğin, kaynak kodunu ki sonra derlenir). 17.2.6.3 Geliştirici eylem öğeleri 17.2.6.3.1 ATE_DPT.3.1D Geliştiricinin, testin derinliğinin incelemesini sağlaması gerekir. 17.2.6.4 Kanıtın içeriği ve sunulması öğeleri 17.2.6.4.1 ATE_DPT.3.1C Derinlik incelemesinin, test belgelerinde belirtilen testlerin, TSF'nin kendi yüksek düzeyde tasarımı, düşük düzeyde tasarımı ve uygulama temsiline göre çalıştığını göstermeye yeterli olduğunu göstermesi gerekir. 17.2.6.5 Değerlendirici eylem öğeleri 17.2.6.5.1 ATE_DPT.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir.


117

17.3 Fonksiyonel testler (ATE_FUN) 17.3.1 Hedefler Geliştirici tarafından gerçekleştirilen fonksiyonel testler TSF'nin kendi PP/ST'sinin fonksiyonel gereksinimlerini karşılamak için gerekli özellikleri sergilediğini belirlemektedir. Bu fonksiyonel test TSF'nin en azından güvenlik fonksiyonel gereksinimlerini karşıladığına dair garanti sağlamaktadır ama TSF'nin belirtilenden fazlasını yaptığını da belirleyememektedir. "Fonksiyonel testler" ailesi, istenen belge ya da destek araçları türü ve miktarı ve geliştirici testleriyle sergilenecekler üzerinde yoğunlaşmaktadır. Fonksiyonel test, istenen güvenlik fonksiyonlarının sağlandığının onaylanmasıyla sınırlı değildir, aynı zamanda belirli istenmeyen davranışların yokluğunu kontrol etmek için olumsuz testi de içerebilmektedir (çoğunlukla fonksiyonel gereksinimlerin ters çevrilmesine dayanmaktadır). Bu aile, fark edilmemiş hata olasılığının nispeten küçük olduğuna dair garanti sağlamaya katkıda bulunmaktadır. ATE_COV, ATE_DPT ve ATE_FUN aileleri, geliştirici tarafından sağlanacak test kanıtını tanımlamak için birlikte kullanılmaktadır. Değerlendirici tarafından bağımsız fonksiyonel test ise ATE_IND tarafından belirtilmektedir. 17.3.2 Bileşen düzeyini belirleme Bu aile iki bileşen içermektedir ve yüksek olan sıralama bağımlılıklarının incelenmesini gerektirmektedir. 17.3.3 Uygulama notları Testlerin gerçekleştirilmesi için prosedürlerin test programlarını ve test dizilerini kullanmak için talimatlar sunması beklenmektedir ki bunun içinde test ortamı, test koşulları, test veri parametreleri ve değerleri de bulunmaktadır. Test prosedürleri ayrıca test sonuçlarının test girdilerinden nasıl türetildiğini göstermelidir. Bu aile bütün test planlarının, prosedürlerin ve sonuçların sunulması için gereksinimleri belirtmektedir. Böylece, sunulması gereken bilgi miktarı ATE_COV ve ATE_DPT'nin kullanımına göre değişecektir. Sıralama bağımlılıkları, belirli bir testin başarılı bir şekilde gerçekleştirilmesi belirli bir durumun varlığına bağlı olduğunda önemlidir. Örneğin, bu, test A'nın test B'den hemen önce gerçekleştirilmesini gerektirebilir, çünkü test A'nın başarılı bir şekilde gerçekleştirilmesiyle oluşan durum test B'nin başarılı bir şekilde gerçekleştirilmesi için bir ön koşuldur. Bu nedenle, test B'nin başarısız olması sıralama bağımlılıklarıyla ilgili bir soruna bağlı olabilir. Yukarıdaki örnekte, test B'nin başarısız olması kendisinden hemen önce test C'nin gerçekleştirilmiş olmasından (test A yerine) kaynaklanabilir ya da test B'nin başarısız olması test A'nın başarısız olması nedeniyle olabilir. 17.3.4 ATE_FUN.1 Fonksiyonel test Bağımlılıklar: Hiçbir bağımlılık yoktur. 17.3.4.1 Hedefler Hedef geliştiricinin bütün güvenlik fonksiyonlarının belirtildiğini gibi çalıştığını göstermesidir. Geliştiricinin testleri gerçekleştirmesi ve test belgeleri sağlaması beklenmektedir. 17.3.4.2 Geliştirici eylem öğeleri 17.3.4.2.1 ATE_FUN.1.1D Geliştiricinin, TSF'yi test etmesi ve sonuçları belgelemesi gerekir. 17.3.4.2.2 ATE_FUN.1.2D Geliştiricinin, test belgelerini sağlaması gerekir.


118

17.3.4.3 Kanıtın içeriği ve sunulması öğeleri 17.3.4.3.1 ATE_FUN.1.1C Test belgelerinin, test planları, test prosedürü tarifleri, beklenen test sonuçları ve gerçek test sonuçlarından oluşması gerekir. 17.3.4.3.2 ATE_FUN.1.2C Test planlarının test edilecek güvenlik fonksiyonlarını belirtmesi ve gerçekleştirilecek testlerin amaçlarını tarif etmesi gerekir. 17.3.4.3.3 ATE_FUN.1.3C Test prosedürü tariflerinin gerçekleştirilecek testleri belirtmesi ve her güvenlik fonksiyonunu test etmek için senaryoları tarif etmesi gerekir. Bu senaryoların, varsa, diğer testlerin sonuçlarına sıra bağımlılığını da içermesi gerekir. 17.3.4.3.4 ATE_FUN.1.4C Beklenen test sonuçlarının, testlerin başarılı bir şekilde gerçekleştirilmesiyle elde edilecek beklenen sonuçları göstermesi gerekir. 17.3.4.3.5 ATE_FUN.1.5C Testlerin geliştirici tarafından gerçekleştirilmesiyle elde edilen test sonuçlarının, test edilen her fonksiyonun belirtildiği şekilde davranış gösterdiğini göstermesi gerekir. 17.3.4.4 Değerlendirici eylem öğeleri 17.3.4.4.1 ATE_FUN.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 17.3.5 ATE_FUN.2 Sıralı fonksiyonel test Bağımlılıklar: Hiçbir bağımlılık yoktur. 17.3.5.1 Hedefler Hedef geliştiricinin bütün güvenlik fonksiyonlarının belirtildiğini gibi çalıştığını göstermesidir. Geliştiricinin testleri gerçekleştirmesi ve test belgeleri sağlaması beklenmektedir. Bu bileşende, ek hedef testin, test edilen TSF bölümlerinin doğruluğu hakkında dolaylı tartışmalardan kaçınacak bir şekilde organize edilmiş olmasını sağlamaktır. 17.3.5.2 Uygulama notları Test prosedürleri başlangıçtaki test koşullarıyla ilgili ön koşulları testlerin sırası olarak belirtebilirse de, sıralama için bir gerekçe sağlamayabilirler. Test sırasının incelenmesi testin uygunluğunun belirlenmesinde önemli bir etkendir çünkü testlerin sırasıyla saklanan hatalar bulunma olasılığı vardır. 17.3.5.3 Geliştirici eylem öğeleri 17.3.5.3.1 ATE_FUN.2.1D Geliştiricinin, TSF test etmesi ve sonuçları belgelemesi gerekir. 17.3.5.3.2 ATE_FUN.2.2D Geliştiricinin, test belgelerini sağlaması gerekir.


119

17.3.5.4 Kanıtın içeriği ve sunulması öğeleri

17.3.5.4.1 ATE_FUN.2.1C Test belgelerinin, test planları, test prosedürü tarifleri, beklenen test sonuçları ve elde edilen test sonuçlarından oluşması gerekir. 17.3.5.4.2 ATE_FUN.2.2C Test planlarının, test edilecek güvenlik fonksiyonlarını belirtmesi ve gerçekleştirilecek testlerin amaçlarını tarif etmesi gerekir. 17.3.5.4.3 ATE_FUN.2.3C Test prosedürü tariflerinin, gerçekleştirilecek testleri belirtmesi ve her güvenlik fonksiyonunu test etmek için senaryoları tarif etmesi gerekir. Bu senaryolar, varsa, diğer testlerin sonuçlarıyla ilgili sıralama bağımlılıklarını da içermesi gerekir. 17.3.5.4.4 ATE_FUN.2.4C Beklenen test sonuçlarının, testlerin başarılı bir şekilde gerçekleştirilmesiyle elde edilmesi beklenen çıktıları göstermesi gerekir. 17.3.5.4.5 ATE_FUN.2.5C Testlerin geliştirici tarafından gerçekleştirilmesiyle elde edilen test sonuçlarının, test edilen her güvenlik fonksiyonunun belirtildiği gibi davranış gösterdiğini göstermesi gerekir. 17.3.5.4.6 ATE_FUN.2.6C Test belgelerinin, test prosedürü sıralama bağımlılıklarının bir incelemesini de içermesi gerekir. 17.3.5.5 Değerlendirici eylem öğeleri 17.3.5.5.1 ATE_FUN.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 17.4 Bağımsız test (ADE_IND) 17.4.1 Hedefler Hedeflerden biri güvenlik fonksiyonlarının belirtildiği gibi çalıştığını göstermektir. Ek bir hedef de, belirtimlerin yanlış uygulanmasına, ya da belirtimlere uyumlu olmayan kodu göz ardı etmesine neden olan, geliştirici tarafından test sonuçlarının yanlış değerlendirilmesi riskini önlemektir. 17.4.2 Bileşen düzeyini belirleme Bileşen düzeyi, test belgeleri miktarına, test desteği ve değerlendirici testi miktarına bağlı olarak belirlenmektedir. 17.4.3 Uygulama notları Bu ailede belirtilen testler, değerlendirici dışında uzmanlık bilgisine sahip kişiler tarafından desteklenebilir (örneğin, bağımsız bir laboratuar, tarafsız bir tüketici kuruluşu). Testler, TOE'nin diğer garanti etkinliklerinin performansıyla tutarlı bir şekilde anlaşılmasını gerektirmektedir ve değerlendirici de bu destek kullanıldığında bu ailenin gereksinimlerinin uygun bir şekilde ele alınmasını sağlama sorumluluğunu korumaktadır.


120

Bu aile TSF'nin bağımsız fonksiyonel testinin bulunduğu dereceyle ilgilidir. Bağımsız fonksiyonel test geliştiricinin fonksiyonel testlerinin bütünüyle ya da kısmen tekrarlanması şeklinde olabilir. Ayrıca, geliştiricinin testlerinin kapsamını ya da derinliğini arttırmak ya da TOE'ye uygulanabilir bariz kamusal alan güvenlik açıklıklarını test etmek için geliştiricinin fonksiyonel testlerinin büyütülmesi şeklinde de olabilir. Bu etkinlikler bütünleyicidir ve her TOE için uygun bir karışım planlanmalıdır ve bunu yaparken test sonuçlarının kullanılabilirliği ve kapsamı ve TSF'nin fonksiyonel karmaşıklığı göz önünde bulundurulmalıdır. Diğer garanti etkinliklerinin düzeyiyle uyumlu bir test planı geliştirilmelidir ve bu, daha fazla garanti istendiğinde, değerlendiricinin yaptığı daha büyük tekrarlanmış test örnekleri ve daha bağımsız pozitif ve negatif fonksiyonel testler içermelidir. Geliştirici testlerinin örneklenmesinin, geliştiricinin TSF üzerinde planladığı test programını gerçekleştirdiği ve sonuçları doğru bir şekilde kaydettiğine dair doğrulama sağlaması amaçlanmaktadır. Seçilen örneğin büyüklüğü, geliştiricinin fonksiyonel test sonuçlarının ayrıntısına ve kalitesine bağlı olacaktır. Değerlendiricinin ayrıca ek testler planlanması kapsamını ve bu iki alandaki çalışmalardan elde edilebilecek nispi faydaları göz önünde bulundurması gerekecektir. Bütün geliştirici testlerinin tekrarının bazı durumlarda gerçekleştirilebilir ve arzu edilir olabileceği ama bazı durumlarda da çok zor ve verimsiz olacağı kabul edilmektedir. Bu ailedeki en yüksek bileşenin bu nedenle dikkatle kullanılması gerekmektedir. Örnekleme, mevcut bütün test sonuçlarını ele alacaktır ki bunların içinde hem ATE_COV hem de ATE_DPT'nin gereksinimlerini karşılamak için sunulanlar da yer almaktadır. Ayrıca değerlendirmede yer alan TOE'nin farklı yapılandırmalarının da göz önünde bulundurulması gerekmektedir. Değerlendiricinin sağlanan sonuçlarının uygulanabilirliğini değerlendirmesi ve kendi testlerini de buna göre planlaması gerekmektedir. Bağımsız fonksiyonel testler sızma testinden farklıdır ve bu ikincisi tasarım ve/veya uygulamadaki açıklıkların bilgili ve sistemli bir şekilde araştırılmasına dayanmaktadır. Sızma testi, AVA_VLA ailesi kullanılarak belirtilmektedir. TOE'nin teste uygunluğu, TOE'ye erişime, destek belgelerine ve testleri gerçekleştirmek için gereken bilgiye (test yazılımları ve araçları de buna dahildir) dayanmaktadır. Bu destek ihtiyacı diğer garanti ailelerine bağımlılıklar tarafından ele alınmaktadır. Buna ek olarak, TOE'nin teste uygunluğu diğer şeylere de dayanabilmektedir. Örneğin, geliştirici tarafından sunulan TOE sürümü en son sürüm olmayabilir. TSF'nin alt kümelerine göndermelerin değerlendiricinin, gerçekleştirilen değerlendirmenin amaçlarına uyumlu uygun bir test dizisi tasarlamasına olanak tanıması amaçlanmaktadır. 17.4.4 ATE_IND.1 Bağımsız test - uygunluk Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim AGD_ADM.1 Yönetici kılavuzu AGD_USR.1 Kullanıcı kılavuzu 17.4.4.1 Hedefler Bu bileşende, hedef bütün güvenlik fonksiyonlarının belirtildiği gibi çalıştığını göstermektir. 17.4.4.2 Uygulama notları Bu bileşen geliştirici test sonuçlarının kullanımını ele almamaktadır. Bu sonuçların bulunmadığı yerlerde ve ayrıca geliştiricinin testinin doğrulanmadan kabul edildiği yerlerde geçerlidir. Değerlendiricinin, TOE güvenlik fonksiyonel gereksinimlerinin karşılandığını doğrulamak amacıyla testler planlaması ve gerçekleştirmesi istenmektedir. Burada kullanılan yaklaşım, mümkün olan her türlü testi yapmak yerine temsil edici testler yaparak güven elde etmektir. Bu amaçla planlanacak testin kapsamı metodolojiyle ilgili bir konudur ve belirli bir TOE bağlamında ve diğer değerlendirme etkinlikleriyle dengeli bir şekilde ele alınması gerekmektedir.


121

17.4.4.3 Geliştirici eylem öğeleri 17.4.4.3.1 ATE_IND.1.1D Geliştiricinin, test için TOE'yi sağlaması gerekir. 17.4.4.4 Kanıtın içeriği ve sunulması öğeleri 17.4.4.4.1 ATE_IND.1.1C TOE’nin teste uygun olması gerekir. 17.4.4.5 Değerlendirici eylem öğeleri 17.4.4.5.1 ATE_IND.1.1C Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 17.4.4.5.2 ATE_IND.1.2E Değerlendiricinin, TOE'nin belirtildiği gibi çalıştığını doğrulamak için, varsa, TSF'nin bir alt kümesini test etmesi gerekir. 17.4.5 ATE_IND.2 Bağımsız test - örnek Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim

AGD_ADM.1 Yönetici kılavuzu AGD_USR.1 Kullanıcı kılavuzu ATE_FUN.1 Fonksiyonel test 17.4.5.1 Hedefler Burada hedef güvenlik fonksiyonlarının belirtildiği gibi çalıştığını göstermektir. Değerlendirici testi, geliştirici testlerinin bir örneğini seçmeyi ve tekrarlamayı da içermektedir. 17.4.5.2 Uygulama notları Burada amaç geliştiricinin değerlendiriciye geliştirici testlerini etkili bir şekilde yeniden oluşturmak için gerekli malzemeleri sağlamasıdır. Bunun içinde makine tarafından okunabilir test belgeleri, test programları vb. de yer alabilmektedir. Bu bileşen, değerlendiricinin test programını desteklemek için geliştiriciden mevcut test sonuçlarını almasını gerektiren bir gereksinime sahiptir. Değerlendirici, elde edilen sonuçlar hakkında güven kazanmak için geliştirici testlerinin bir örneğini tekrarlayacaktır. Bu güveni kazanan değerlendirici, TOE'yi farklı bir şekilde çalıştıran ek testler gerçekleştirerek geliştiricinin testlerini genişletecektir. Değerlendirici, kanıtlanmış test sonuçlarından oluşan bir platformu kullanarak TOE'nin, sabit bir kaynak düzeyinde, sadece geliştiricinin kendi çabalarını kullanarak mümkün olandan çok daha geniş koşullarda doğru bir şekilde çalıştığına dair güven elde edebilmektedir. Değerlendirici, geliştiricinin TOE'yi test ettiğine dair güven kazandıktan sonra, belgelerin ya da özel uzmanlığın incelenmesinin belirli endişeler yarattığı alanların testi üzerinde yoğunlaşmak konusunda da daha fazla özgürlüğe sahip olacaktır. 17.4.5.3 Geliştirici eylem öğeleri: 17.4.5.3.1 ATE_IND.2.1D Geliştiricinin, test için TOE'yi sağlaması gerekir.


122

17.4.5.4 Kanıtın içeriği ve sunulması öğeleri 17.4.5.4.1 ATE_IND.2.1C TOE’nin, test etmeye uygun olması gerekir. 17.4.5.4.2 ATE_IND.2.2C Geliştiricinin, geliştiricinin TSF'yi fonksiyonel testinde kullanılanlarla eşdeğerde kaynakları sağlaması gerekir. 17.4.5.5 Değerlendirici eylem öğeleri 17.4.5.5.1 ATE_IND.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 17.4.5.5.2 ATE_IND.2.2E Değerlendiricinin, TOE'nin belirtildiği gibi çalıştığını doğrulamak için, varsa, TSF'nin bir alt kümesini test etmesi gerekir. 17.4.5.5.3 ATE_IND.2.3E Değerlendiricinin, geliştiricinin test sonuçlarını kanıtlamak için test belgelerindeki testlerin bir örneğini gerçekleştirmesi gerekir. 17.4.6 ATE_IND.3 Bağımsız test - bütün Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim ADV_ADM.1 Yönetici kılavuzu ADV_USR.1 Kullanıcı kılavuzu ATE_FUN.1 Fonksiyonel test 17.4.6.1 Hedefler Burada hedef bütün güvenlik fonksiyonlarının belirtildiği gibi çalıştığını göstermektir. Değerlendirici testi geliştirici testlerinin hepsini tekrarlamaktan oluşmaktadır. 17.4.6.2 Uygulama notları Burada amaç geliştiricinin değerlendiriciye geliştirici testlerini etkili bir şekilde yeniden oluşturmak için gerekli malzemeleri sağlamasıdır. Bunun içinde makine tarafından okunabilir test belgeleri, test programları vb. de yer alabilmektedir. Bu bileşende değerlendiricinin test programının bir parçası olarak geliştirici testlerinin hepsini tekrarlaması gerekmektedir. Önceki bileşende olduğu gibi, değerlendirici ayrıca TOE'yi geliştiricinin yaptığından farklı bir şekilde çalıştırmayı amaçlayan testler de gerçekleştirecektir. Geliştirici testinin tüketici olduğu durumlarda bunu yapmak için çok az alan kalmış olabilir. 17.4.6.3 Geliştirici eylem öğeleri 17.4.6.3.1 ATE_IND.3.1D Geliştiricinin, test için TOE'yi sağlaması gerekir.


123

17.4.6.4 Kanıtın içeriği ve sunulması öğeleri 17.4.6.4.1 ATE_IND.3.1C TOE’nin, test edilmeye uygun olması gerekir. 17.4.6.4.2 ATE_IND.3.2C Geliştiricinin, TSF'yi fonksiyonel testinde kullanılanla eşdeğerde kaynağı sağlaması gerekir. 17.4.6.5 Değerlendirici eylem öğeleri 17.4.6.5.1 ATE_IND.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 17.4.6.5.2 ATE_IND.3.2E Değerlendiricinin, TOE'nin belirtildiği gibi çalıştığını doğrulamak için TSF'nin bir alt kümesini test etmesi gerekir. 17.4.6.5.3 ATE_IND.3.3E Değerlendiricinin, geliştirici test sonuçlarını kanıtlamak için test belgelerindeki bütün testleri gerçekleştirmesi gerekir. 18 AVA Sınıfı: Açıklık değerlendirmesi Bu sınıf kötüye kullanılabilir gizli kanalların varlığını, TOE'nin kötü kullanımını ya da yanlış yapılandırmasını, olasılığa ya da permütasyona dayalı mekanizmaların yenilme olasılığını ve TOE'nin geliştirilmesi ya da çalıştırılması sırasında getirilen kötüye kullanılabilir açıklıklar olasılığını ele almaktadır. Şekil 15'te bu sınıftaki aileler ve ailelerin içindeki bileşenlerin hiyerarşisi gösterilmektedir.

Şekil 15 - AVA: Açıklık değerlendirmesi sınıfının yapısı 18.1 Örtülü kanal incelemesi (AVA_CCA) 18.1.1 Hedefler Örtülü kanal incelemesi, kötüye kullanılabilecek istenmeyen sinyal kanallarının (yani, gizli bilgi akışının) varlığını ve potansiyel kapasitesini belirlemek için gerçekleştirilmektedir. Garanti gereksinimleri, SFP'yi ihlal etmek için kullanılabilecek mevcut istenmeyen ve kötüye kullanılabilir sinyal yollarının varlığı tehdidini ele almaktadır.

3

3

3

AVA_CCA: Örtülü kanal incelemesi

AVA_MSU: Yanlış kullanım

AVA_SOF: TOE güvenlik fonksiyonlarının gücü

AVA_VLA: Açıklık incelemesi

1

1

1

1

2

2

2 4


124

18.1.2 Bileşen düzeyini belirleme Bileşenlerin düzeyi örtülü kanal incelemesinin artan ayrıntısına göre belirlenmektedir. 18.1.3 Uygulama notları Kanal kapasitesi tahminleri biçimsel olmayan mühendislik ölçümleri ve gerçek test ölçümlerine dayanmaktadır. Örtülü kanal analizinin dayalı olduğu varsayımlara örnekler arasında işlemci hızı, sistem ya da ağ yapılandırması, bellek boyutu ve ön bellek boyutu yer almaktadır. Örtülü kanal incelemesinin test yoluyla seçici olarak kanıtlanması, değerlendiriciye örtülü kanal incelemesinin herhangi bir yönünü doğrulama olanağı sağlamaktadır (örneğin, belirleme, kapasite tahmini, ortadan kaldırma, gözleme ve kötüye kullanma senaryoları). Bu, bütün örtülü kanal inceleme sonuçlarını kümesini göstermeyle ilgili bir gereksinim getirmemektedir. ST'de SFP'ler yoluyla hiçbir bilgi akışı kontrolü yoksa bu garanti gereksinimleri ailesi artık uygulanabilir değildir çünkü bu aile sadece bilgi akışı kontrol SFP'leriyle ilgilidir. 18.1.4 AVA_CCA Örtülü kanal incelemesi Bağımlılıklar: ADV_FSP.2 Bütünüyle tanımlanmış dış arayüzler ADV_IMP.2 TSF'nin uygulanması AGD_ADM.1 Yönetici kılavuzu AGD_USR.1 Kullanıcı kılavuzu 18.1.4.1 Hedefler Burada amaç, belirlenebilir örtülü kanalları, örtülü kanallar için biçimsel olmayan bir araştırma yoluyla belirlemektir. 18.1.4.2 Geliştirici eylem öğeleri 18.1.4.2.1 AVA_CCA.1.1D Geliştiricinin, her bilgi akışı kontrol politikasında örtülü kanallar için bir araştırma yapması gerekir. 18.1.4.2.2 AVA_CCA1.2D Geliştiricinin, örtülü kanal incelemesi belgeleri sağlaması gerekir. 18.1.4.3 Kanıtın içeriği ve sunulması öğeleri 18.1.4.3.1 AVA_CCA.1.1C İnceleme belgelerinin örtülü kanalları belirtmesi ve bunların kapasitesini tahmin etmesi gerekir. 18.1.4.3.2 AVA_CCA.1.2C İnceleme belgelerinin, örtülü kanalların varlığının belirlenmesi için kullanılan prosedürleri ve örtülü kanal incelemesini gerçekleştirmek için gereken bilgileri tarif etmesi gerekir. 18.1.4.3.3 AVA_CCA.1.3C İnceleme belgelerinin, örtülü kanal incelemesi sırasında yapılan bütün varsayımları tarif etmesi gerekir.


125

18.1.4.3.4 AVA_CCA.1.4C İnceleme belgelerinin, en kötü durum senaryolarına dayalı olarak kanal kapasitesini tahmin etmek için kullanılan yöntemi tarif etmesi gerekir. 18.1.4.3.5 AVA_CCA.1.5C İnceleme belgelerinin, belirtilen her örtülü kanal için en kötü kötüye kullanma senaryosunu tarif etmesi gerekir. 18.1.4.4 Değerlendirici eylem öğeleri 18.1.4.4.1 AVA_CCA.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 18.1.4.4.2 AVA_CCA.1.2E Değerlendiricinin, örtülü kanal incelemesinin sonuçlarının TOE'nin fonksiyonel gereksinimlerini karşıladığını gösterdiğini doğrulaması gerekir. 18.1.4.4.3 AVA_CCA.1.3E Değerlendiricinin, testler yoluyla örtülü kanal incelemesini seçici olarak kanıtlaması gerekir. 18.1.5 AVA_CCA.2 Sistemli örtülü kanal incelemesi Bağımlılıklar: ADV_FSP.2 Bütünüyle tanımlanmış dış arayüzler ADV_IMP.2 TSF'nin uygulanması AGD_ADM.1 Yönetici kılavuzu AGD_USR.1 Kullanıcı kılavuzu 18.1.5.1 Hedefler Burada amaç, örtülü kanallar için sistemli bir arama yoluyla belirlenebilir örtülü kanalları belirlemektir. 18.1.5.2 Uygulama notları Sistemli bir şekilde örtülü kanal incelemesi gerçekleştirilmesi, geliştiricinin örtülü kanalları bir kerelik belirtmesi yerine organize ve tekrarlanabilir bir şekilde belirtmesini gerektirmektedir. 18.1.5.3 Geliştirici eylem öğeleri 18.1.5.3.1 AVA_CCA.2.1D Geliştiricinin, her kontrol politikası için bir örtülü kanal araştırması gerçekleştirmesi gerekir. 18.1.5.3.2 AVA_CCA.2.2D Geliştiricinin, örtülü kanal incelemesi belgelerini sağlaması gerekir. 18.1.5.4 Kanıtın içeriği ve sunulması öğeleri 18.1.5.4.1 AVA_CCA.2.1C İnceleme belgelerinin örtülü kanalları belirtmesi ve bunların kapasitesini tahmin etmesi gerekir.


126

18.1.5.4.2 AVA_CCA.2.2C İnceleme belgelerinin, örtülü kanalların varlığının belirlenmesi için kullanılan prosedürleri ve örtülü kanal incelemesini gerçekleştirmek için gerekli bilgileri tarif etmesi gerekir. 18.1.5.4.3 AVA_CCA.2.3C İnceleme belgelerinin, örtülü kanal incelemesi sırasında yapılan bütün varsayımları tarif etmesi gerekir. 18.1.5.4.4 AVA_CCA.2.4C İnceleme belgelerinin, en kötü senaryolara dayalı olarak kanal kapasitesinin tahmin edilmesi için kullanılan yöntemi tarif etmesi gerekir. 18.1.5.4.5 AVA_CCA.2.5C İnceleme belgelerinin, belirtilen her örtülü kanal için en kötü kötüye kullanım senaryosunu tarif etmesi gerekir. 18.1.5.4.6 AVA_CCA.2.6C İnceleme belgelerinin, her örtülü kanalı belirtmek için kullanılan yöntemin sistemli olduğuna dair kanıt sağlaması gerekir. 18.1.5.5 Değerlendirici eylem öğeleri 18.1.5.5.1 AVA_CCA.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 18.1.5.5.2 AVA_CCA.2.2E Değerlendiricinin, örtülü kanal incelemesinin sonuçlarının TOE'nin fonksiyonel gereksinimlerini karşıladığını gösterdiğini doğrulaması gerekir. 18.1.5.5.3 AVA_CCA.2.3E Değerlendiricinin, testler yoluyla örtülü kanal incelemesini seçici olarak doğrulaması gerekir. 18.1.6 AVA_CCA.3 Tüketici örtülü kanal incelemesi Bağımlılıklar: ADV_FSP.2 Bütünüyle tanımlanmış dış arayüzler ADV_IMP.2 TSF'nin uygulanması AGD_ADM.1 Yönetici kılavuzu AGD_USR.1 Kullanıcı kılavuzu 18.1.6.1 Hedefler Burada amaç, örtülü kanallar için sistemli bir arama yoluyla belirlenebilir örtülü kanalları belirlemektir. 18.1.6.2 Uygulama notları Tüketici bir şekilde örtülü kanal incelemesi gerçekleştirilmesi, örtülü kanalları belirlemek için izlenen planın, örtülü kanal araştırması için olası bütün yolların kullanıldığından emin olmaya yeterli olduğuna dair ek kanıt sağlanmasını gerektirmektedir.


127

18.1.6.3 Geliştirici eylem öğeleri 18.1.6.3.1 AVA_CCA.3.1D Geliştiricinin, her kontrol politikası için bir örtülü kanal incelemesi gerçekleştirmesi gerekir. 18.1.6.3.2 AVA_CCA.3.2D Geliştiricinin, örtülü kanal incelemesi belgeleri sağlaması gerekir. 18.1.6.4 Kanıtın içeriği ve sunulması öğeleri 18.1.6.4.1 AVA_CCA.3.1C İnceleme belgelerinin örtülü kanalları belirlemesi ve bunların kapasitesini tahmin etmesi gerekir. 18.1.6.4.2 AVA_CCA.3.2C İnceleme belgelerinin, örtülü kanalların varlığının belirlenmesi için prosedürleri ve örtülü kanal incelemesini gerçekleştirmek için gerekli bilgiyi tarif etmesi gerekir. 18.1.6.4.3 AVA_CCA.3.3C İnceleme belgelerinin, örtülü kanal incelemesi sırasında yapılan bütün varsayımları tarif etmesi gerekir. 18.1.6.4.4 AVA_CCA.3.4C İnceleme belgelerinin, en kötü senaryolara dayanarak kanal kapasitesinin tahmin edilmesi için kullanılan yöntemi tarif etmesi gerekir. 18.1.6.4.5 AVA_CCA.3.5C İnceleme belgelerinin, belirlenen her örtülü kanal için en kötü kötüye kullanma senaryosunu tarif etmesi gerekir. 18.1.6.4.6 AVA_CCA.3.6C İnceleme belgelerinin, örtülü kanalları kullanmak için kullanılan yöntemin tüketici olduğunu dair kanıt sağlaması gerekir. 18.1.6.5 Değerlendirici eylem öğeleri 18.1.6.5.1 AVA_CCA.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 18.1.6.5.2 AVA_CCA.3.2E Değerlendiricinin, örtülü kanal incelemesinin sonuçlarının TOE'nin fonksiyonel gereksinimlerini karşıladığını gösterdiğini doğrulaması gerekir. 18.1.6.5.3 AVA_CCA.3.3E Değerlendiricinin, testler yoluyla örtülü kanal incelemesini seçici olarak kanıtlaması gerekir. 18.2 Yanlış kullanım (AVA_MSU) 18.2.1 Hedefler Yanlış kullanım, TOE güvenli olmayan bir şekilde yapılandırıldığı ya da kullanıldığı halde bir TOE yöneticisinin ya da kullanıcısının bunun güvenli olduğunu düşünüp düşünemeyeceğini araştırmaktadır.


128

Hedefler şunlardır: a) Kullanıcı ya da yönetici farkında olmadan TOE'yi güvenli olmayan bir şekilde yapılandırma ya da

kullanma olasılığını en aza indirmek; b) Çalışma sırasında güvenlik fonksiyonlarını devre dışı bırakacak, etkisiz hale getirecek ya da devreye

girmesini engelleyecek ve belirlenmemiş güvensiz bir duruma neden olacak insan hatası ve diğer hata risklerini en aza indirmek.

18.2.2 Bileşen düzeyini belirleme Bileşenlerin düzeyi, geliştirici tarafından sağlanan artan kanıtlar ve incelemenin artan ayrıntısına göre belirlenmektedir. 18.2.3 Uygulama notları Kafa karıştıran, yanlış yönlendiren, eksik ya da makul olmayan kılavuz bilgiler bir TOE kullanıcısının TOE'nin güvenli olmadığı halde güvenli olduğunu düşünmesine neden olabilir ve açıklıklar oluşturabilir. Kafa karıştıran kılavuz bilgilere örnek olarak aynı girdi verildiğinde farklı sonuçlara işaret eden iki kılavuz talimat verilebilir. Yanlış yönlendiren bir kılavuz bilgiye örnek olarak da birden fazla şekilde değerlendirilebilecek ve bu değerlendirmelerden biri güvensiz bir durum yaratabilecek tek bir kılavuz bilgi gösterilebilir. Eksik kılavuz bilgiye örnek de önemli bir maddenin eksik olduğu önemli fiziksel güvenlik gereksinimlerinin listesi olabilir; listenin tam olduğunu düşünen yönetici bu maddeyi göz ardı etmiş olur. Makul olmayan kılavuz bilgiye örnek de gereksiz bir şekilde fazla idari yük getiren bir prosedürü uygulama önerisi gösterilebilir. Kılavuz bilgi sağlayan belgeler gerekmektedir. Bunlar mevcut Kullanıcı ya da Yönetici belgeleri içinde yer alabilir ya da ayrı olarak sağlanabilir. Ayrı olarak sağlanıyorsa, değerlendirici, belgelerin TOE ile birlikte sağlandığını doğrulamalıdır. 18.2.4 AVA_MSU.1 Kılavuz bilgilerin incelenmesi Bağımlılıklar: ADO_IGS.1 Kurulum, üretim ve başlatma prosedürleri ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim AGD_ADM.1 Yönetici kılavuzu AGD_USR.1 Kullanıcı kılavuzu 18.2.4.1 Hedefler Burada amaç yanlış yönlendiren, makul olmayan ve kafa karıştıran kılavuz bilgilerin kılavuz belgelerde bulunmaması ve bütün çalışma durumlarıyla ilgili güvenli prosedürlerin ele alınmış olmasıdır. Güvenli olmayan durumların tespiti kolay olmalıdır. 18.2.4.2 Geliştirici eylem öğeleri 18.2.4.2.1 AVA_MSU.1.1D Geliştiricinin, kılavuz belgeleri sağlaması gerekir. 18.2.4.3 Kanıtın içeriği ve sunulması öğeleri 18.2.4.3.1 AVA_MSU.1.1C Kılavuz belgelerin TOE'nin olası bütün çalışma durumlarını (başarısızlık ya da çalışma hatasının ardından çalışma da dahil), güvenli çalışmayı sürdürmek bakımından bunların sonuçlarını ve etkilerini belirtmesi gerekir.


129

18.2.4.3.2 AVA_MSU.1.2C Kılavuz belgelerin tam, açık, tutarlı ve makul olması gerekir. 18.2.4.3.3 AVA_MSU.1.3C Kılavuz belgelerin kullanılacakları ortam ile ilgili bütün varsayımları liste halinde içermesi gerekir. 18.2.4.3.4 AVA_MSU.1.4C Kılavuz belgelerin, dış güvenlik önlemleri için bütün gereksinimlerin listesini sunması gerekir (dış prosedürle ilgili, fiziksel ve personel kontrolleri dahil). 18.2.4.4 Değerlendirici eylem öğeleri 18.2.4.4.1 AVA_MSU.1.2E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 18.2.4.4.2 AVA_MSU.1.2E Değerlendiricinin, TOE'nin sadece sağlanan kılavuz belgeleri kullanarak güvenli bir şekilde yapılandırılabileceği ve kullanılabileceğini doğrulamak için bütün yapılandırma ve kurulum prosedürlerini tekrarlaması gerekir. 18.2.4.4.3 AVA_MSU.1.3E Değerlendiricinin, kılavuz belgelerin kullanımının bütün güvenli olmayan durumların tespit edilmesine olanak tanıdığını belirlemesi gerekir. 18.2.5 AVA_MSU.2 İncelemenin kanıtlanması Bağımlılıklar: ADO_IGS.1 Kurulum, üretim ve başlatma prosedürleri ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim AGD_ADM.1 Yönetici kılavuzu AGD_USR.1 Kullanıcı kılavuzu 18.2.5.1 Hedefler Burada amaç yanlış yönlendiren, makul olmayan ve kafa karıştıran kılavuz bilgilerin kılavuz belgelerde bulunmaması ve bütün çalışma durumlarıyla ilgili güvenli prosedürlerin ele alınmış olmasıdır. Güvenli olmayan durumların tespiti kolay olmalıdır. Bu bileşende, hedeflere ulaşıldığına dair ek garanti sağlamak için geliştirici tarafından kılavuz belgelerin incelenmesi istenmektedir. 18.2.5.2 Geliştirici eylem öğeleri 18.2.5.2.1 AVA_MSU.2.1D Geliştiricinin, kılavuz belgeleri sağlaması gerekir. 18.2.5.2.2 AVA_MSU.2.2D Geliştiricinin, kılavuz belgelerin incelemesini belgelemesi gerekir.


130

18.2.5.3 Kanıtın içeriği ve sunulması öğeleri 18.2.5.3.1 AVA_MSU.2.1C Kılavuz belgelerin, TOE'nin olası bütün çalışma durumlarını (başarısızlık ya da çalışma hatasının ardından çalışma da dahil), güvenli çalışmayı sürdürmek bakımından bunların sonuçlarını ve etkilerini belirtmesi gerekir. 18.2.5.3.2 AVA_MSU.2.2C Kılavuz belgelerin tam, açık, tutarlı ve makul olması gerekir. 18.2.5.3.3 AVA_MSU.2.3C Kılavuz belgelerin kullanılacakları ortam ile ilgili bütün varsayımları liste halinde içermesi gerekir. 18.2.5.3.4 AVA_MSU.2.4C Kılavuz belgelerin, dış güvenlik önlemleri için bütün gereksinimlerin listesini sunması gerekir (dış prosedürle ilgili, fiziksel ve personel kontrolleri dahil). 18.2.5.3.5 AVA_MSU.2.5C İnceleme belgelerinin, kılavuz belgelerin tam olduğunu göstermesi gerekir. 18.2.5.4 Değerlendirici eylem öğeleri 18.2.5.4.1 AVA_MSU.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 18.2.5.4.2 AVA_MSU.2.2E Değerlendiricinin, TOE'nin sadece sağlanan kılavuz belgeleri kullanarak güvenli bir şekilde yapılandırılabildiğini ve kullanılabildiğini doğrulamak için bütün yapılandırma ve kurulum prosedürlerini ve diğer prosedürleri seçici olarak tekrarlaması gerekir. 18.2.5.4.3 AVA_MSU.2.3E Değerlendiricinin, kılavuz belgelerin kullanımının bütün güvenli olmayan durumların tespit edilmesine olanak tanıdığını belirlemesi gerekir. 18.2.5.4.4 AVA_MSU.2.4E Değerlendiricinin, inceleme belgelerinin TOE'nin bütün çalışma durumlarında güvenli çalışma için kılavuzluk sağladığını gösterdiğini doğrulaması gerekir. 18.2.6 AVA_MSU.3 Güvenli olmayan durumlar için inceleme ve test Bağımlılıklar: ADO_IGS.1 Kurulum, üretim ve başlatma prosedürleri ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim AGD_ADM.1 Yönetici kılavuzu AGD_USR.1 Kullanıcı kılavuzu


131

18.2.6.1 Hedefler Burada amaç yanlış yönlendiren, makul olmayan ve kafa karıştıran kılavuz bilgilerin kılavuz belgelerde bulunmaması ve bütün çalışma durumlarıyla ilgili güvenli prosedürlerin ele alınmış olmasıdır. Güvenli olmayan durumların tespiti kolay olmalıdır. Bu bileşende, hedeflere ulaşıldığına dair ek garanti sağlamak için geliştirici tarafından kılavuz belgelerin incelenmesi istenmektedir ve bu inceleme, değerlendirici tarafından test edilerek kanıtlanmakta ve doğrulanmaktadır. 18.2.6.2 Uygulama notları Bu bileşende, değerlendiricinin, TOE'nin güvenli olmayan duruma geçmesi durumunda bunun kolayca tespit edileceğinden emin olmak için test yapması istenmektedir. Bu test, sızma testinin belirli bir yönü olarak kabul edilebilir. 18.2.6.3 Geliştirici eylem öğeleri 18.2.6.3.1 AVA_MSU.3.1D Geliştiricinin, kılavuz belgelerini sağlaması gerekir. 18.2.6.3.2 AVA_MSU.3.2D Geliştiricinin, kılavuz belgelerin incelemesini belgelemesi gerekir. 18.2.6.4 Kanıtın içeriği ve sunulması öğeleri 18.2.6.4.1 AVA_MSU.3.1C Kılavuz belgelerini, TOE'nin olası bütün çalışma durumlarını (başarısızlık ya da çalışma hatasının ardından çalışma da dahil), güvenli çalışmayı sürdürmek bakımından bunların sonuçlarını ve etkilerini belirtmesi gerekir. 18.2.6.4.2 AVA_MSU.3.2C Kılavuz belgelerin tam, açık, tutarlı ve makul olması gerekir. 18.2.6.4.3 AVA_MSU.3.3C Kılavuz belgelerin kullanılacakları ortam ile ilgili bütün varsayımları liste halinde içermesi gerekir. 18.2.6.4.4 AVA_MSU.3.4C Kılavuz belgelerin, dış güvenlik önlemleri için bütün gereksinimlerin listesini sunması gerekir (dış prosedürle ilgili, fiziksel ve personel kontrolleri dahil). 18.2.6.4.5 AVA_MSU.3.5C İnceleme belgelerinin, kılavuz belgelerin tam olduğunu göstermesi gerekir. 18.2.6.5 Değerlendirici eylem öğeleri 18.2.6.5.1 AVA_MSU.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 18.2.6.5.2 AVA_MSU.3.2E Değerlendiricinin, TOE'nin sadece sağlanan kılavuz belgeleri kullanarak güvenli bir şekilde yapılandırılabildiğini ve kullanılabildiğini doğrulamak için bütün yapılandırma ve kurulum prosedürlerini seçici olarak tekrarlaması gerekir.


132

18.2.6.5.3 AVA_MSU.3.3E Değerlendiricinin, kılavuz belgelerin kullanımının bütün güvenli olmayan durumların tespit edilmesine olanak tanıdığını belirlemesi gerekir. 18.2.6.5.4 AVA_MSU.3.4E Değerlendiricinin, inceleme belgelerinin TOE'nin bütün çalışma durumlarında güvenli çalışma için kılavuzluk sağladığını gösterdiğini doğrulaması gerekir. 18.2.6.5.5 AVA_MSU.3.5E Değerlendiricinin, kılavuz belgeleri anlayan bir yönetici ya da kullanıcının TOE'nin güvenli olmayan bir şekilde yapılandırıldığını ve çalıştığını makul bir şekilde belirleyip belirleyemeyeceğini belirlemek için bağımsız testler yapması gerekir. 18.3 TOE güvenlik fonksiyonlarının gücü (AVA_SOF) 18.3.1 Hedefler TOE güvenlik fonksiyonunun etrafından dolaşılması, devre dışı bırakılması ya da bozulması mümkün olmasa da, temel güvenlik mekanizmaları kavramındaki bir açıklık nedeniyle yine de bunu yenmek mümkün olabilir. Bu fonksiyonlar için, bu mekanizmaların ve bunların üstesinden gelmek için gerekli çabaların güvenlik davranışının miktarsal olarak ya da istatistik olarak incelemesinin sonuçları kullanılarak güvenlik davranışları nitelendirilebilir. Bu nitelendirme, TOE güvenlik fonksiyonu gücü iddiası şeklinde yapılmaktadır. 18.3.2 Bileşen düzeyini belirleme Bu ailede sadece bir tane bileşen bulunmaktadır. 18.3.3 Uygulama notları Güvenlik fonksiyonları güvenlik mekanizmaları tarafından uygulanmaktadır. Örneğin, tanıma ve doğrulama güvenlik fonksiyonunun uygulanmasında bir şifre mekanizması kullanılabilmektedir. TOE güvenlik fonksiyonu değerlendirmesi güvenlik mekanizması düzeyinde gerçekleştirilmektedir, ama sonuçları ilgili güvenlik fonksiyonunun belirlenmiş tehditlere karşı koyma yeteneği hakkında bilgi sağlamaktadır. TOE güvenlik fonksiyonu gücü değerlendirmesi, hedeflenen değerlendirme garanti düzeyi için TOE'nin, ST dahil, sağlayabildiklerinin en azından içeriğini göz önünde bulundurmalıdır. 18.3.4 AVA_SOF.1 TOE güvenlik fonksiyonu gücü değerlendirmesi Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim ADV_HLD.1 Tarif edici yüksek düzeyde tasarım 18.3.4.1 Geliştirici eylem öğeleri 18.3.4.1.1 AVA_SOF.1.1D Geliştiricinin, ST'de TOE güvenlik fonksiyonu gücü iddiası bulunduğu belirtilen her mekanizma için bir TOE güvenlik fonksiyonu gücü analizi gerçekleştirmesi gerekir. 18.3.4.2 Kanıtın içeriği ve sunulması öğeleri 18.3.4.2.1 AVA_SOF.1.1C TOE güvenlik fonksiyonu gücü incelemesinin, TOE güvenlik fonksiyonu gücü iddiasına sahip her mekanizmanın PP/ST'de tanımlanan asgari güç düzeyini karşıladığını ya da aştığını göstermesi gerekir.


133

18.3.4.2.2 AVA_SOF.1.2C TOE güvenlik fonksiyon gücü incelemesinin, belirli bir TOE güvenlik fonksiyon gücü iddiasına sahip her mekanizmanın PP'de tanımlanan belirli fonksiyon gücü ölçüsünü karşıladığını ya da aştığını göstermesi gerekir. 18.3.4.3 Değerlendirici eylem öğeleri 18.3.4.3.1 AVA_SOF.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 18.3.4.3.2 AVA_SOF.1.2E Değerlendiricinin, güç iddialarının doğru olduğunu doğrulaması gerekir. 18.4 Açıklık incelemesi (AVA_VLA) 18.4.1 Hedefler Açıklık incelemesi, TOE'nin üretimi ya da beklenen çalışması sırasında ya da başka yöntemlerle (örneğin, hata varsayımlarıyla) belirlenen açıklıkların kullanıcıların TSP'yi ihlal etmesine olanak tanıyıp tanımadığını belirlemek için yapılan bir değerlendirmedir. Açıklık incelemesi, bir kullanıcının kaynaklara (örneğin, veriler) yetkisiz erişim olanağı tanıyan, TSF'yi kesintiye uğratma ya da değiştirme ya da diğer kullanıcıların yetkilendirilmiş yeteneklerine karışmaya yeteneği sağlayan açıklıkları keşfedebileceği tehdidini ele almaktadır. 18.4.2 Bileşen düzeyini belirleme Bileşen düzeyi, geliştirici ve değerlendirici tarafından açıklık incelemesinin artan ayrıntısına göre belirlenmektedir. 18.4.3 Uygulama notları Açıklık incelemesi geliştirici tarafından güvenlik açıklıklarını değerlendirmek için gerçekleştirilir ve hedeflenen değerlendirme garanti düzeyi için ST dahil en azından TOE tarafından aktarılabilenlerin içeriklerini göz önünde bulundurmalıdır. Geliştiricinin, değerlendiricinin bağımsız açıklık incelemesi için destek olarak kullanışlı bulunursa bu bilgiyi kullanmasına olanak tanımak amacıyla, belirlenen açıklıkların niteliğini belgelemesi istenmektedir. Geliştirici incelemesinin amacı TOE'nin amaçlanan ortamında belirlenmiş hiçbir güvenlik açıklığının kötüye kullanılamayacağını ve TOE'nin bariz sızma saldırılarına karşı dirençli olduğunu doğrulamaktır. Bariz açıklıklar, TOE ile ilgili az bir bilgi, asgari yetenek, teknik beceri ve kaynak gerektiren kötüye kullanılmaya açık açıklıklardır. Bunlara TSF arayüz tarifinde işaret edilebilir. Bariz açıklıklar arasında kamusal alanda olanlar da yer almaktadır ve bunlarla ilgili ayrıntılar bir geliştirici tarafından bilinmektedir ya da bir değerlendirme kuruluşundan temin edilebilmektedir. Açıklıklar için sistemli bir araştırma yapılması, geliştiricinin bu açıklıkları rasgele bir şekilde belirlemesini değil de organize ve tekrarlanabilir bir şekilde belirleyebilmesini gerektirmektedir. Açıklıklarla ilgili araştırmanın sistemli olduğunu gösteren ilgili kanıtlar arasında açıklık araştırmasının dayandığı bütün TOE belgelerinin belirtilmesi de yer almalıdır. Bağımsız açıklık incelemesi geliştirici tarafından belirlenen açıklıkların ötesine gitmektedir. Değerlendirici incelemesinin temel amacı TOE'nin, düşük (AVA_VLA.2 için), orta (AVA_VLA.3 için) ya da yüksek (AVA_VLA.4 için) saldırı potansiyeline sahip bir saldırgan tarafından gerçekleştirilecek sızma saldırılarına dirençli olduğunu belirlemektir. Bu amaca ulaşmak için, değerlendirici önce, belirlenmiş bütün açıklıkların kötüye kullanılabilirliğini değerlendirir. Bu da sızma testi yaparak gerçekleştirilmektedir. Değerlendirici, TOE'ye sızmaya çalışırken, düşük (AVA_VLA.2 için), orta (AVA_VLA.3 için) ya da yüksek (AVA_VLA.4 için) saldırı potansiyeline sahip bir saldırgan rolünü üstlenmelidir. Böyle bir saldırgan tarafından açıklıkların kötüye kullanılması değerlendirici tarafından, AVA_VLA.2 ila AVA_VLA.4 bileşenleri bağlamında "bariz sızma saldırısı" (AVA_VLA.*.2C öğelerine göre) olarak kabul edilmelidir.


134

18.4.4 AVA_VLA.1 Geliştirici açıklık incelemesi Bağımlılıklar: ADV_FSp.1 Biçimsel olmayan fonksiyonel belirtim ADV_HLD.1 Tarif edici yüksek düzeyde tasarım AGD_ADM.1 Yönetici kılavuzu AGD_USR.1 Kullanıcı kılavuzu 18.4.4.1 Hedefler Açıklık incelemesi, geliştirici tarafından bariz güvenlik açıklıklarının varlığından emin olmak ve TOE'nin amaçlanan ortamında bunların kötüye kullanılamayacağını doğrulamak için gerçekleştirilmektedir. 18.4.4.2 Uygulama notları Değerlendirici, değerlendirmenin diğer bölümlerinde belirlenen potansiyel kötüye kullanılabilir açıklıklar üzerinde ek testler yapmayı göz önünde bulundurmalıdır. 18.4.4.3 Geliştirici eylem öğeleri 18.4.4.3.1 AVA_VLA.1.1D Geliştiricinin, bir kullanıcının TSP'yi ihlal edebileceği bariz yolları araştırarak TOE'nin sağladıklarının bir incelemesini gerçekleştirmesi ve belgelemesi gerekir. 18.4.4.3.2 AVA_VLA.1.2D Geliştiricinin, bariz açıklıkların niteliğini belgelemesi gerekir. 18.4.4.4 Kanıtın içeriği ve sunulması öğeleri 18.4.4.4.1 AVA_VLA.1.1C Belgelerin, belirlenmiş bütün açıklıklar için, TOE'nin amaçlanan ortamında açıklığın kötüye kullanılamayacağını göstermesi gerekir. 18.4.4.5 Değerlendirici eylem öğeleri 18.4.4.5.1 AVA_VLA.1.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sağlanmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 18.4.4.5.2 AVA_VLA.1.2E Değerlendiricinin, bariz açıklıkların ele alındığından emin olmak için geliştirici açıklık incelemesine dayanarak sızma testi gerçekleştirmesi gerekir. 18.4.5 AVA_VLA.2 Bağımsız açıklık incelemesi Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim ADV_HLD.2 Güvenliği uygulayan yüksek düzeyde tasarım ADV_IMP.1 TSF uygulamasının alt kümesi ADV_LLD.1 Tarif edici düşük düzeyde tasarım AGD_ADM.1 Yönetici kılavuzu AGD_USR.1 Kullanıcı kılavuzu


135

18.4.5.1 Hedefler Açıklık incelemesi, geliştirici tarafından bariz güvenlik açıklıklarının varlığından emin olmak ve TOE'nin amaçlanan ortamında bunların kötüye kullanılamayacağını doğrulamak için gerçekleştirilmektedir. Değerlendirici, TOE'nin düşük saldırı potansiyeline sahip saldırganlar tarafından gerçekleştirilen sızma saldırılarına dirençli olduğunu belirlemek için, değerlendiricinin bağımsız açıklık incelemesiyle desteklenen bağımsız sızma testini gerçekleştirmektedir. 18.4.5.2 Geliştirici eylem öğeleri 18.4.5.2.1 AVA_VLA.2.1D Geliştiricinin, bir kullanıcının TSP'yi ihlal edebileceği yolları araştırarak TOE'nin sağladıklarının bir incelemesini gerçekleştirmesi ve belgelemesi gerekir. 18.4.5.2.2 AVA_VLA.2.2D Geliştiricinin, belirlenen açıklıkların niteliğini belgelemesi gerekir. 18.4.5.3 Kanıtın içeriği ve sunulması öğeleri 18.4.5.3.1 AVA_VLA.2.1C Belgelerin, belirlenmiş bütün açıklıklar için, TOE'nin amaçlanan ortamında açıklığın kötüye kullanılamayacağını göstermesi gerekir. 18.4.5.3.2 AVA_VLA.2.2C Belgelerin, TOE'nin belirlenen açıklıklarla, bariz sızma saldırılarına dirençli olduğunu kanıtlaması gerekir. 18.4.5.4 Değerlendirici eylem öğeleri 18.4.5.4.1 AVA_VLA.2.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 18.4.5.4.2 AVA_VLA.2.2E Değerlendiricinin, belirlenen açıklıkların ele alındığından emin olmak için geliştirici açıklık incelemesine dayanarak sızma testi gerçekleştirmesi gerekir. 18.4.5.4.3 AVA_VLA.2.3E Değerlendiricinin, bağımsız açıklık incelemesi gerçekleştirmesi gerekir. 18.4.5.4.4 AVA_VLA.2.4E Değerlendiricinin, amaçlanan ortamdaki belirlenmiş ek açıklıkların kötüye kullanılabilirliğini tespit etmek için, bağımsız açıklık incelemesine dayanarak bağımsız sızma testi gerçekleştirmesi gerekir. 18.4.5.4.5 AVA_VLA.2.5E Değerlendiricinin, TOE'nin düşük saldırı potansiyeline sahip bir saldırgan tarafından gerçekleştirilen sızma saldırılarına dirençli olduğunu belirlemesi gerekir. 18.4.6 AVA_VLA.3 Orta derecede dirençli Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim


136

ADV_HLD.2 Güvenliği uygulayan yüksek düzeyde tasarım ADV_IMP.1 TSF uygulamasının alt kümesi ADV_LLD.1 Tarif edici düşük düzeyde tasarım AGD_ADM.1 Yönetici kılavuzu AGD_USR.1 Kullanıcı kılavuzu 18.4.6.1 Hedefler Açıklık incelemesi, geliştirici tarafından güvenlik açıklıklarının varlığından emin olmak ve TOE'nin amaçlanan ortamında bunların kötüye kullanılamayacağını doğrulamak için gerçekleştirilmektedir. Değerlendirici, TOE'nin orta derecede saldırı potansiyeline sahip saldırganlar tarafından gerçekleştirilen sızma saldırılarına dirençli olduğunu belirlemek için, değerlendiricinin bağımsız açıklık incelemesiyle desteklenen bağımsız sızma testini gerçekleştirmektedir. 18.4.6.2 Geliştirici eylem öğeleri 18.4.6.2.1 AVA_VLA.3.1D Geliştiricinin, bir kullanıcının TSP'yi ihlal edebileceği yolları araştırarak TOE'nin sağladıklarının bir incelemesini gerçekleştirmesi ve belgelemesi gerekir. 18.4.6.2.2 AVA_VLA.3.2D Geliştiricinin, belirlenen açıklıkların niteliğini belgelemesi gerekir. 18.4.6.3 Kanıtın içeriği ve sunulması öğeleri 18.4.6.3.1 AVA_VLA.3.1C Belgelerin, belirlenmiş bütün açıklıklar için, TOE'nin amaçlanan ortamında açıklığın kötüye kullanılamayacağını göstermesi gerekir. 18.4.6.3.2 AVA_VLA.3.2C Belgelerin, TOE'nin belirlenen açıklıklarla, bariz sızma saldırılarına dirençli olduğunu kanıtlaması gerekir. 18.4.6.3.3 AVA_VLA.3.3C Kanıtların, açıklık araştırmasının sistemli olduğunu göstermesi gerekir. 18.4.6.4 Değerlendirici eylem öğeleri 18.4.6.4.1 AVA_VLA.3.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 18.4.6.4.2 AVA_VLA.3.2E Değerlendiricinin, belirlenen açıklıkların ele alındığından emin olmak için geliştirici açıklık incelemesine dayanarak sızma testi gerçekleştirmesi gerekir. 18.4.6.4.3 AVA_VLA.3.3E Değerlendiricinin, bağımsız açıklık incelemesi gerçekleştirmesi gerekir.


137

18.4.6.4.4 AVA_VLA.3.4E Değerlendiricinin, amaçlanan ortamdaki belirlenmiş ek açıklıkların kötüye kullanılabilirliğini tespit etmek için, bağımsız açıklık incelemesine dayanarak bağımsız sızma testi gerçekleştirmesi gerekir. 18.4.6.4.5 AVA_VLA.3.5E Değerlendiricinin, TOE'nin orta düzeyde saldırı potansiyeline sahip bir saldırgan tarafından gerçekleştirilen sızma saldırılarına dirençli olduğunu belirlemesi gerekir. 18.4.7 AVA_VLA.4 Yüksek derecede dirençli Bağımlılıklar: ADV_FSP.1 Biçimsel olmayan fonksiyonel belirtim ADV_HLD.2 Güvenliği uygulayan yüksek düzeyde tasarım ADV_IMP.1 TSF uygulamasının alt kümesi ADV_LLD.1 Tarif edici düşük düzeyde tasarım AGD_ADM.1 Yönetici kılavuzu AGD_USR.1 Kullanıcı kılavuzu 18.4.7.1 Hedefler Açıklık incelemesi, geliştirici tarafından güvenlik açıklıklarının varlığından emin olmak ve TOE'nin amaçlanan ortamında bunların kötüye kullanılamayacağını doğrulamak için gerçekleştirilmektedir. Değerlendirici, TOE'nin yüksek derecede saldırı potansiyeline sahip saldırganlar tarafından gerçekleştirilen sızma saldırılarına dirençli olduğunu belirlemek için, değerlendiricinin bağımsız açıklık incelemesiyle desteklenen bağımsız sızma testini gerçekleştirmektedir. 18.4.7.2 Geliştirici eylem öğeleri 18.4.7.2.1 AVA_VLA.4.1D Geliştiricinin, bir açıklık incelemesi gerçekleştirmesi gerekir. 18.4.7.2.2 AVA_VLA.4.2D Geliştiricinin, açıklık incelemesi belgeleri sağlaması gerekir. 18.4.7.3 Kanıtın içeriği ve sunulması öğeleri 18.4.7.3.1 AVA_VLA.4.1C Açıklık incelemesi belgelerinin, bir kullanıcının TSP'yi ihlal edebileceği yolları araştırarak TOE'nin sağladıklarının bir incelemesini gerçekleştirerek tanımlaması gerekir. 18.4.7.3.2 AVA_VLA.4.2C Açıklık incelemesi belgelerinin, belirlenen açıklıkların niteliğini tanımlaması gerekir. 18.4.7.3.3 AVA_VLA.4.3C Açıklık incelemesi belgelerinin, belirlenmiş bütün açıklıklar için, TOE'nin amaçlanan ortamında açıklığın kötüye kullanılamayacağını göstermesi gerekir.


138

18.4.7.3.4 AVA_VLA.4.4C Açıklık incelemesi belgelerinin, TOE'nin belirlenen açıklıklarla, bariz sızma saldırılarına dirençli olduğunu açıklaması gerekir. 18.4.7.3.5 AVA_VLA.4.5C Açıklık incelemesi belgelerinin, açıklık araştırmasının sistemli olduğunu göstermesi gerekir. 18.4.7.3.6 AVA_VLA.4.6C Açıklık incelemesi belgelerinin, incelemenin TOE'nin sağladıklarını bütünüyle ele aldığına dair bir açıklama sağlaması gerekir. 18.4.7.4 Değerlendirici eylem öğeleri 18.4.7.4.1 AVA_VLA.4.1E Değerlendiricinin, sağlanan bilgilerin, kanıtın içeriği ve sunulmasıyla ilgili bütün gereksinimleri karşıladığını doğrulaması gerekir. 18.4.7.4.2 AVA_VLA.4.2E Değerlendiricinin, belirlenen açıklıkların ele alındığından emin olmak için geliştirici açıklık incelemesine dayanarak sızma testi gerçekleştirmesi gerekir. 18.4.7.4.3 AVA_VLA.4.3E Değerlendiricinin, bağımsız açıklık incelemesi gerçekleştirmesi gerekir. 18.4.7.4.4 AVA_VLA.4.4E Değerlendiricinin, amaçlanan ortamdaki belirlenmiş ek açıklıkların kötüye kullanılabilirliğini tespit etmek için, bağımsız açıklık incelemesine dayanarak bağımsız sızma testi gerçekleştirmesi gerekir. 18.4.7.4.5 AVA_VLA.4.5E Değerlendiricinin, TOE'nin yüksek düzeyde saldırı potansiyeline sahip bir saldırgan tarafından gerçekleştirilen sızma saldırılarına dirençli olduğunu belirlemesi gerekir.


139

Ek A (Bilgi için)

Garanti bileşeni bağımlılıklarının referansı

Madde 8 ila Madde 18’in bileşenlerinde belirtilen bağımlılıklar, garanti bileşenleri arasındaki doğrudan bağımlılıklardır. Aşağıdaki garanti bileşenleri için bağımlılık tabloları, bunların doğrudan, dolaylı ve isteğe bağlı bağımlılıklarını göstermektedir. Bir garanti bileşeninin bağımlı olduğu her bir bileşene bir sütun ayrılmıştır. Her bir garanti bileşenine bir satır ayrılmıştır. Çizelge hücresindeki değer, o sütundaki bileşenin o sıradaki bileşen tarafından doğrudan istendiğini (bir çarpı "X" ile gösterilmiştir) ya da dolaylı olarak istendiğini (bir çizgi "-" ile gösterilmiştir) belirtir. Hiçbir karakter bulunmuyorsa, o bileşen başka bir bileşene bağımlı değildir. Çizelge A.1 - Sınıf ACM: Yapılandırma yönetimi için bağımlılık çizelgesi

AC

M_C

AP

.3

ALC

_DV

S.1

ALC

_DV

S.2

ACM_AUT.1 X -

ACM_AUT.2 X -

ACM_CAP.1

ACM_CAP.2

ACM_CAP.3 X

ACM_CAP.4 X

ACM_CAP.5

ACM_SCP.1 X -

ACM_SCP.2 X -

ACM_SCP.3 X - Çizelge A.2 - Sınıf ADO: Teslim ve çalışma için bağımlılık çizelgesi

A

CM

_CA

P.3

AD

V_FS

P.1

ADV_R

CR

.1

AGD

_ADM

.1

ALC

_DV

S.1

ADO_DEL.1

ADO_DEL.2 X -

ADO_DEL.3 X -

ADO_IGS.1 - - X

ADO_IGS.2 - - X


140

Çizelge A.3 - Sınıf ADV: Geliştirme için bağımlılık çizelgesi A

DV

_FSP

.1

AD

V_FS

P.3

AD

V_FS

P.4

AD

V_H

LD.2

AD

V_H

LD.3

AD

V_H

LD.5

AD

V_IM

P.1

AD

V_IM

P.2

AD

V_IN

T.1

AD

V_LLD

.1

ADV_R

CR

.1

ADV_R

CR

.2

ADV_R

CR

.3

ALC

_TAT.1

ADV_FSP.1 X

ADV_FSP.2 X

ADV_FSP.3 X

ADV_FSP.4 X

ADV_HLD.1 X X

ADV_HLD.2 X X

ADV_HLD.3 X - X

ADV_HLD.4 X - X

ADV_HLD.5 X - X

ADV_IMP.1 - - - X X X

ADV_IMP.2 - - - X - X

ADV_IMP.3 - - - X X X X

ADV_INT.1 - - X X - -

ADV_INT.2 - - X X - -

ADV_INT.3 - - - X X - -

ADV_LLD.1 - X X

ADV_LLD.2 - X - X

ADV_LLD.3 - X - X

ADV_RCR.1

ADV_RCR.2

ADV_RCR.3

ADV_SPM.1 X -

ADV_SPM.2 X -

ADV_SPM.3 X -


141

Çizelge A.4 - Sınıf AGD: Kılavuz belgeler için bağımlılık çizelgesi

AD

V_FS

P.1

ADV_R

CR

.1

AGD_ADM.1 X -

AGD_USR.1 X - Çizelge A.5 - Sınıf ALC: Kullanım ömrü desteği için bağımlılık çizelgesi

AD

V_FS

P.1

AD

V_H

LD.2

AD

V_IM

P.1

AD

V_LLD

.1

AD

V_R

CR

.1

ALC

_TAT.1

ALC_DVS.1

ALC_DVS.2

ALC_FLR.1

ALC_FLR.2

ALC_FLR.3

ALC_LCD.1

ALC_LCD.2

ALC_LCD.3

ALC_TAT.1 - - X - - -

ALC_TAT.2 - - X - - -

ALC_TAT.3 - - X - - - Çizelge A.6 - Sınıf APE: Koruma Profili değerlendirme için bağımlılık çizelgesi

AP

E_D

ES

.1

AP

E_E

NV

.1

AP

E_IN

T.1

AP

E_O

BJ.1

AP

E_R

EQ

.1

APE_DES.1 - X X X X

APE_ENV.1

APE_INT.1 X X - X X

APE_OBJ.1 X

APE_REQ.1 - X

APE_SRE.1 - X


142

Çizelge A.7 - Sınıf ASE: Güvenlik Hedefi değerlendirme için bağımlılık çizelgesi

AS

E_D

ES

.1

AS

E_E

NV

.1

AS

E_IN

T.1

AS

E_O

BJ.1

AS

E_P

PC

.1

AS

E_R

EQ

.1

AS

E_TS

S.1

ASE_DES.1 - X X X X X X

ASE_ENV.1

ASE_INT.1 X X X X X X

ASE_OBJ.1 X

ASE_PPC.1 - X X

ASE_REQ.1 - X

ASE_SRE.1 - - X

ASE_TSS.1 - - X Çizelge A.8 - Sınıf ATE: Testler için bağımlılık çizelgesi A

DV

_FSP

.1

AD

V_FS

P.2

AD

V_H

LD.1

AD

V_H

LD.2

AD

V_IM

P.1

AD

V_IM

P.2

AD

V_LLD

.1

ADV_R

CR

.1

AGD

_ADM

.1

AG

D_U

SR

.1

ALC

_TAT.1

ATE

_FUN

.1

ATE_COV.1 X - X

ATE_COV.2 X - X

ATE_COV.3 X - X

ATE_DPT.1 - X - X

ATE_DPT.2 - X X - X

ATE_DPT.3 - X - X X - - X

ATE_FUN.1

ATE_FUN.2

ATE_IND.1 X - X X

ATE_IND.2 X - X X X

ATE_IND.3 X - X X X


143

Çizelge A.9 - Sınıf AVA: Açıklık incelemesi için bağımlılık çizelgesi

AD

O_IG

S.1

AD

V_FS

P.1

AD

V_FS

P.2

AD

V_H

LD.1

AD

V_H

LD.2

AD

V_IM

P.1

AD

V_IM

P.2

AD

V_LLD

.1

ADV_R

CR

.1

AGD

_ADM

.1

AG

D_U

SR

.1

ALC

_TAT.1

AVA_CCA.1 - X - - X - - X X -

AVA_CCA.2 - X - - X - - X X -

AVA_CCA.3 - X - - X - - X X -

AVA_MSU.1 X X - X X

AVA_MSU.2 X X - X X

AVA_MSU.3 X X - X X

AVA_SOF.1 X X -

AVA_VLA.1 X X - X X

AVA_VLA.2 X X X X - X X -




144

Ek B (Bilgi için)

EAL'ler ve garanti bileşenleri referans çizelgesi

Çizelge B.1 değerlendirme garanti düzeyleri ve garanti sınıfları, aileleri ve bileşenleri arasındaki ilişkiyi göstermektedir. Çizelge B.1 - Değerlendirme garanti düzeyi özeti

Değerlendirme Garanti Düzeyine göre Garanti Bileşenleri Garanti Sınıfı Garanti

Ailesi EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7

ACM_AUT 1 1 2 2

ACM_CAP 1 2 3 4 4 5 5

Yapılandırma yönetimi

ACM_SCP 1 2 3 3 3

ADO_DEL 1 1 2 2 2 3 Teslim ve çalışma ADO_IGS 1 1 1 1 1 1 1

ADV_FSP 1 1 1 2 3 3 4

ADV_HLD 1 2 2 3 4 5

ADV_IMP 1 2 3 3

ADV_INT 1 2 3

ADV_LLD 1 1 2 2

ADV_RCR 1 1 1 1 2 2 3

Geliştirme

ADV_SPM 1 3 3 3

AGD_ADM 1 1 1 1 1 1 1 Kılavuz belgeler

AGD_USR 1 1 1 1 1 1 1

ALC_DVS 1 1 1 2 2

ALC_FLR

ALC_LCD 1 2 2 3 Kullanım ömrü

desteği

ALC_TAT 1 2 3 3

ATE_COV 1 2 2 2 3 3

ATE_DPT 1 1 2 2 3

ATE_FUN 1 1 1 1 2 2 Testler

ATE_IND 1 2 2 2 2 2 3

AVA_CCA 1 2 3

AVA_MSU 1 2 2 3 3

AVA_SOF 1 1 1 1 1 1 Açıklık incelemesi

AVA_VLA 1 1 2 3 4 4

tÜrk standardi...ics 35.040 tÜrk standardi ts iso/iec 15408-3/nisan 2007 Ön söz − bu standard;...

Documents