Зарубежные нормативные документы и критерии на английском / cem-p2v10
.pdfCommon Methodology for Information Technology Security Evaluation
CEM-99/045
Part 2:
Evaluation Methodology
Version 1.0
August 1999
Foreword
This document, version 1.0 of the Common Methodology for Information Technology Security Evaluation (CEM), is issued for use by the international IT security evaluation community. The CEM is a companion document to the Common Criteria for Information Technology Security Evaluation (CC) and is the result of extensive international cooperation. Practical experience acquired through use in evaluations, and requests for interpretations received, will be used to further develop the CEM.
A template for reporting observations on the CEM is included at the end of this document. Any observation reports should be communicated to one or more of the following points of contact at the sponsoring organisations:
CANADA: |
FRANCE: |
Communications Security Establishment |
Service Central de la Sécurité des Systèmes |
Canadian Common Criteria Evaluation and Certification |
d'Information (SCSSI) |
Scheme |
Centre de Certification de la Sécurité des Technologies |
P.O. Box 9703, Terminal |
de l'Information |
Ottawa, Ontario, Canada K1G 3Z4 |
18, rue du docteur Zamenhof |
Tel: +1.613.991.7543, Fax: +1.613.991.7455 |
F-92131 Issy les Moulineaux, France |
E-mail: criteria@cse-cst.gc.ca |
Tel: +33.1.41463784, Fax: +33.1.41463701 |
WWW: http://www.cse-cst.gc.ca/cse/english/cc.html |
E-mail: ssi20@calva.net |
|
WWW: http://www.scssi.gouv.fr |
GERMANY: |
NETHERLANDS: |
Bundesamt für Sicherheit in der Informationstechnik |
Netherlands National Communications Security Agency |
(BSI) |
P.O. Box 20061 |
Abteilung V |
NL 2500 EB The Hague |
Postfach 20 03 63 |
The Netherlands |
D-53133 Bonn, Germany |
Tel: +31.70.3485637, Fax: +31.70.3486503 |
Tel: +49.228.9582.300, Fax: +49.228.9582.427 |
E-mail: criteria@nlncsa.minbuza.nl |
E-mail: cc@bsi.de |
WWW: http://www.tno.nl/instit/fel/refs/cc.html |
WWW: http://www.bsi.de/cc |
|
UNITED KINGDOM: |
UNITED STATES - NIST: |
Communications-Electronics Security Group |
National Institute of Standards and Technology |
Compusec Evaluation Methodology |
Computer Security Division |
P.O. Box 144 |
100 Bureau Drive, MS: 8930 |
Cheltenham GL52 5UE, United Kingdom |
Gaithersburg, Maryland 20899, U.S.A. |
Tel: +44.1242.221.491 ext. 5257, Fax: +44.1242.252.291 |
Tel: +1.301.975.5390, Fax: +1.301.948.0279 |
E-mail: criteria@cesg.gov.uk |
E-mail: criteria@nist.gov |
WWW: http://www.cesg.gov.uk/cchtml |
WWW: http://csrc.nist.gov/cc |
FTP: ftp://ftp.cesg.gov.uk/pub |
|
UNITED STATES - NSA: |
|
National Security Agency |
|
Attn: V1, Common Criteria Technical Advisor |
|
Fort George G. Meade, Maryland 20755-6740, U.S.A. |
|
Tel: +1.410.854.4458, Fax: +1.410.854.7512 |
|
E-mail: common_criteria@radium.ncsc.mil |
|
WWW: http://www.radium.ncsc.mil/tpep/ |
|
Version 1.0
August 1999
Table of Contents
|
Table of Contents |
|
|
Chapter 1 |
|
|
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 1 |
1.1 |
Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 1 |
1.2 |
Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 1 |
1.3 |
Document conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 2 |
1.3.1 |
Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 2 |
1.3.2 |
Verb usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 3 |
1.3.3 |
General evaluation guidance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 3 |
1.3.4 |
Relationship between CC and CEM structures . . . . . . . . . . . . . . . . . . . . |
. . 3 |
1.4 |
Evaluator verdicts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 5 |
|
Chapter 2 |
|
|
General evaluation tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 7 |
2.1 |
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 7 |
2.2 |
Evaluation input task . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 7 |
2.2.1 |
Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 7 |
2.2.2 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 7 |
2.2.3 |
Management of evaluation evidence sub-task . . . . . . . . . . . . . . . . . . . . |
. . 8 |
2.3 |
Evaluation output task . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 9 |
2.3.1 |
Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 9 |
2.3.2 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 9 |
2.3.3 |
Write OR sub-task . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 10 |
2.3.4 |
Write ETR sub-task . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 10 |
2.4 |
Evaluation sub-activities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 17 |
|
Chapter 3 |
|
|
PP evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 19 |
3.1 |
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 19 |
3.2 |
Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 19 |
3.3 |
PP evaluation relationships . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 19 |
3.4 |
PP evaluation activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 20 |
3.4.1 |
Evaluation of TOE description (APE_DES.1) . . . . . . . . . . . . . . . . . . . . |
. . 20 |
3.4.2 |
Evaluation of security environment (APE_ENV.1) . . . . . . . . . . . . . . . . |
. . 22 |
3.4.3 |
Evaluation of PP introduction (APE_INT.1) . . . . . . . . . . . . . . . . . . . . . |
. . 25 |
3.4.4 |
Evaluation of security objectives (APE_OBJ.1) . . . . . . . . . . . . . . . . . . . |
. . 26 |
3.4.5 |
Evaluation of IT security requirements (APE_REQ.1) . . . . . . . . . . . . . |
. . 30 |
3.4.6 |
Evaluation of explicitly stated IT security requirements (APE_SRE.1) |
. . 41 |
|
Chapter 4 |
|
|
ST evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 45 |
4.1 |
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 45 |
4.2 |
Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 45 |
August 1999 |
CEM-99/045 |
Page iii of x |
|
Version 1.0 |
|
Table of Contents
4.3 |
ST evaluation relationships . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 46 |
4.4 |
ST evaluation activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 47 |
4.4.1 |
Evaluation of TOE description (ASE_DES.1) . . . . . . . . . . . . . . . . . . . . |
. . 47 |
4.4.2 |
Evaluation of security environment (ASE_ENV.1) . . . . . . . . . . . . . . . . |
. . 49 |
4.4.3 |
Evaluation of ST introduction (ASE_INT.1) . . . . . . . . . . . . . . . . . . . . . |
. . 52 |
4.4.4 |
Evaluation of security objectives (ASE_OBJ.1) . . . . . . . . . . . . . . . . . . . |
. . 54 |
4.4.5 |
Evaluation of PP claims (ASE_PPC.1) . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 58 |
4.4.6 |
Evaluation of IT security requirements (ASE_REQ.1) . . . . . . . . . . . . . |
. . 59 |
4.4.7 |
Evaluation of explicitly stated IT security requirements (ASE_SRE.1) |
. . 70 |
4.4.8 |
Evaluation of TOE summary specification (ASE_TSS.1) . . . . . . . . . . . |
. . 73 |
|
Chapter 5 |
|
|
EAL1 evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 79 |
5.1 |
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 79 |
5.2 |
Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 79 |
5.3 |
EAL1 evaluation relationships . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 79 |
5.4 |
Configuration management activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 81 |
5.4.1 |
Evaluation of CM capabilities (ACM_CAP.1) . . . . . . . . . . . . . . . . . . . . |
. . 81 |
5.5 |
Delivery and operation activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 83 |
5.5.1 |
Evaluation of installation, generation and start-up (ADO_IGS.1) . . . . . |
. . 83 |
5.6 |
Development activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 85 |
5.6.1 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 85 |
5.6.2 |
Evaluation of functional specification (ADV_FSP.1) . . . . . . . . . . . . . . |
. . 85 |
5.6.3 |
Evaluation of representation correspondence (ADV_RCR.1) . . . . . . . . |
. . 91 |
5.7 |
Guidance documents activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 92 |
5.7.1 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 92 |
5.7.2 |
Evaluation of administrator guidance (AGD_ADM.1) . . . . . . . . . . . . . |
. . 92 |
5.7.3 |
Evaluation of user guidance (AGD_USR.1) . . . . . . . . . . . . . . . . . . . . . . |
. . 96 |
5.8 |
Tests activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 99 |
5.8.1 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 99 |
5.8.2 |
Evaluation of independent testing (ATE_IND.1) . . . . . . . . . . . . . . . . . . |
. . 99 |
|
Chapter 6 |
|
|
EAL2 evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 105 |
6.1 |
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 105 |
6.2 |
Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 105 |
6.3 |
EAL2 evaluation relationships . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 105 |
6.4 |
Configuration management activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 107 |
6.4.1 |
Evaluation of CM capabilities (ACM_CAP.2) . . . . . . . . . . . . . . . . . . . . |
. . 107 |
6.5 |
Delivery and operation activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 110 |
6.5.1 |
Evaluation of delivery (ADO_DEL.1) . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 110 |
6.5.2 |
Evaluation of installation, generation and start-up (ADO_IGS.1) . . . . . |
. . 113 |
6.6 |
Development activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 115 |
6.6.1 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 115 |
6.6.2 |
Evaluation of functional specification (ADV_FSP.1) . . . . . . . . . . . . . . |
. . 116 |
6.6.3 |
Evaluation of high-level design (ADV_HLD.1) . . . . . . . . . . . . . . . . . . . |
. . 122 |
6.6.4 |
Evaluation of representation correspondence (ADV_RCR.1) . . . . . . . . |
. . 126 |
6.7 |
Guidance documents activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
. . 128 |
Page iv of x |
CEM-99/045 |
August 1999 |
|
Version 1.0 |
|
Table of Contents
6.7.1 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
128 |
6.7.2 |
Evaluation of administrator guidance (AGD_ADM.1) . . . . . . . . . . . . . . . |
128 |
6.7.3 |
Evaluation of user guidance (AGD_USR.1) . . . . . . . . . . . . . . . . . . . . . . . . |
132 |
6.8 |
Tests activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
135 |
6.8.1 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
135 |
6.8.2 |
Evaluation of coverage (ATE_COV.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . |
135 |
6.8.3 |
Evaluation of functional tests (ATE_FUN.1) . . . . . . . . . . . . . . . . . . . . . . . |
138 |
6.8.4 |
Evaluation of independent testing (ATE_IND.2) . . . . . . . . . . . . . . . . . . . . |
143 |
6.9 |
Vulnerability assessment activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
151 |
6.9.1 |
Evaluation of strength of TOE security functions (AVA_SOF.1) . . . . . . . |
151 |
6.9.2 |
Evaluation of vulnerability analysis (AVA_VLA.1) . . . . . . . . . . . . . . . . . |
155 |
|
Chapter 7 |
|
|
EAL3 evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
163 |
7.1 |
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
163 |
7.2 |
Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
163 |
7.3 |
EAL3 evaluation relationships . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
163 |
7.4 |
Configuration management activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
165 |
7.4.1 |
Evaluation of CM capabilities (ACM_CAP.3) . . . . . . . . . . . . . . . . . . . . . . |
165 |
7.4.2 |
Evaluation of CM scope (ACM_SCP.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . |
170 |
7.5 |
Delivery and operation activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
172 |
7.5.1 |
Evaluation of delivery (ADO_DEL.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
172 |
7.5.2 |
Evaluation of installation, generation and start-up (ADO_IGS.1) . . . . . . . |
175 |
7.6 |
Development activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
177 |
7.6.1 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
177 |
7.6.2 |
Evaluation of functional specification (ADV_FSP.1) . . . . . . . . . . . . . . . . |
178 |
7.6.3 |
Evaluation of high-level design (ADV_HLD.2) . . . . . . . . . . . . . . . . . . . . . |
184 |
7.6.4 |
Evaluation of representation correspondence (ADV_RCR.1) . . . . . . . . . . |
189 |
7.7 |
Guidance documents activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
191 |
7.7.1 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
191 |
7.7.2 |
Evaluation of administrator guidance (AGD_ADM.1) . . . . . . . . . . . . . . . |
191 |
7.7.3 |
Evaluation of user guidance (AGD_USR.1) . . . . . . . . . . . . . . . . . . . . . . . . |
195 |
7.8 |
Life-cycle support activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
198 |
7.8.1 |
Evaluation of development security (ALC_DVS.1) . . . . . . . . . . . . . . . . . . |
198 |
7.9 |
Tests activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
202 |
7.9.1 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
202 |
7.9.2 |
Evaluation of coverage (ATE_COV.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . |
204 |
7.9.3 |
Evaluation of depth (ATE_DPT.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
207 |
7.9.4 |
Evaluation of functional tests (ATE_FUN.1) . . . . . . . . . . . . . . . . . . . . . . . |
210 |
7.9.5 |
Evaluation of independent testing (ATE_IND.2) . . . . . . . . . . . . . . . . . . . . |
215 |
7.10 |
Vulnerability assessment activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
223 |
7.10.1 |
Evaluation of misuse (AVA_MSU.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
223 |
7.10.2 |
Evaluation of strength of TOE security functions (AVA_SOF.1) . . . . . . . |
227 |
7.10.3 |
Evaluation of vulnerability analysis (AVA_VLA.1) . . . . . . . . . . . . . . . . . |
231 |
|
Chapter 8 |
|
|
EAL4 evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
239 |
8.1 |
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
239 |
August 1999 |
CEM-99/045 |
Page v of x |
|
Version 1.0 |
|
Table of Contents
8.2 |
Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
239 |
8.3 |
EAL4 evaluation relationships . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
239 |
8.4 |
Configuration management activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
241 |
8.4.1 |
Evaluation of CM automation (ACM_AUT.1) . . . . . . . . . . . . . . . . . . . . . . |
241 |
8.4.2 |
Evaluation of CM capabilities (ACM_CAP.4) . . . . . . . . . . . . . . . . . . . . . . |
244 |
8.4.3 |
Evaluation of CM scope (ACM_SCP.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . |
250 |
8.5 |
Delivery and operation activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
252 |
8.5.1 |
Evaluation of delivery (ADO_DEL.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
252 |
8.5.2 |
Evaluation of installation, generation and start-up (ADO_IGS.1) . . . . . . . |
255 |
8.6 |
Development activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
257 |
8.6.1 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
257 |
8.6.2 |
Evaluation of functional specification (ADV_FSP.2) . . . . . . . . . . . . . . . . |
258 |
8.6.3 |
Evaluation of high-level design (ADV_HLD.2) . . . . . . . . . . . . . . . . . . . . . |
264 |
8.6.4 |
Evaluation of implementation representation (ADV_IMP.1) . . . . . . . . . . . |
269 |
8.6.5 |
Evaluation of low-level design (ADV_LLD.1) . . . . . . . . . . . . . . . . . . . . . |
272 |
8.6.6 |
Evaluation of representation correspondence (ADV_RCR.1) . . . . . . . . . . |
276 |
8.6.7 |
Evaluation of security policy modeling (ADV_SPM.1) . . . . . . . . . . . . . . . |
278 |
8.7 |
Guidance documents activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
282 |
8.7.1 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
282 |
8.7.2 |
Evaluation of administrator guidance (AGD_ADM.1) . . . . . . . . . . . . . . . |
282 |
8.7.3 |
Evaluation of user guidance (AGD_USR.1) . . . . . . . . . . . . . . . . . . . . . . . . |
286 |
8.8 |
Life-cycle support activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
289 |
8.8.1 |
Evaluation of development security (ALC_DVS.1) . . . . . . . . . . . . . . . . . . |
289 |
8.8.2 |
Evaluation of life-cycle definition (ALC_LCD.1) . . . . . . . . . . . . . . . . . . . |
293 |
8.8.3 |
Evaluation of tools and techniques (ALC_TAT.1) . . . . . . . . . . . . . . . . . . . |
295 |
8.9 |
Tests activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
297 |
8.9.1 |
Application notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
297 |
8.9.2 |
Evaluation of coverage (ATE_COV.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . |
299 |
8.9.3 |
Evaluation of depth (ATE_DPT.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
302 |
8.9.4 |
Evaluation of functional tests (ATE_FUN.1) . . . . . . . . . . . . . . . . . . . . . . . |
305 |
8.9.5 |
Evaluation of independent testing (ATE_IND.2) . . . . . . . . . . . . . . . . . . . . |
310 |
8.10 |
Vulnerability assessment activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
318 |
8.10.1 |
Evaluation of misuse (AVA_MSU.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
318 |
8.10.2 |
Evaluation of strength of TOE security functions (AVA_SOF.1) . . . . . . . |
323 |
8.10.3 |
Evaluation of vulnerability analysis (AVA_VLA.2) . . . . . . . . . . . . . . . . . |
327 |
|
Annex A |
|
|
Glossary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
343 |
A.1 |
Abbreviations and acronyms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
343 |
A.2 |
Vocabulary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
343 |
A.3 |
References . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
345 |
|
Annex B |
|
|
General evaluation guidance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
346 |
B.1 |
Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
346 |
B.2 |
Sampling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
346 |
B.3 |
Consistency analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
349 |
B.4 |
Dependencies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
351 |
Page vi of x |
CEM-99/045 |
August 1999 |
|
Version 1.0 |
|
Table of Contents
B.4.1 |
Dependencies between activities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
351 |
B.4.2 |
Dependencies between sub-activities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
351 |
B.4.3 |
Dependencies between actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
352 |
B.5 |
Site visits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
352 |
B.6 |
TOE boundary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
353 |
B.6.1 |
Product and system . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
353 |
B.6.2 |
TOE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
354 |
B.6.3 |
TSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
354 |
B.6.4 |
Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
354 |
B.6.5 |
Certification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
355 |
B.7 |
Threats and FPT requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
355 |
B.7.1 |
TOEs not necessarily requiring the FPT class . . . . . . . . . . . . . . . . . . . . . . |
356 |
B.7.2 |
Impact upon Assurance Families . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
357 |
B.8 |
Strength of function and vulnerability analysis . . . . . . . . . . . . . . . . . . . . . . . . |
358 |
B.8.1 |
Attack potential . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
360 |
B.8.2 |
Calculating attack potential . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
361 |
B.8.3 |
Example strength of function analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
366 |
B.9 |
Scheme responsibilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
368 |
|
Annex C |
|
|
Providing CEM observation reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
371 |
C.1 |
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
371 |
C.2 |
Format of a CEMOR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
371 |
C.2.1 |
Example observation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
372 |
August 1999 |
CEM-99/045 |
Page vii of x |
|
Version 1.0 |
|
List of Figures
List of Figures
Figure 1.1 |
Mapping of the CC and CEM structures . . . . . . . . . . . . . . . . . . . . . . . |
4 |
Figure 1.2 |
Example of the verdict assignment rule . . . . . . . . . . . . . . . . . . . . . . . . |
5 |
Figure 2.1 |
ETR information content for a PP evaluation . . . . . . . . . . . . . . . . . . . . |
11 |
Figure 2.2 |
ETR information content for a TOE evaluation . . . . . . . . . . . . . . . . . . |
14 |
Figure 2.3 |
Generic evaluation model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
18 |
Figure 5.1 |
TSF Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
87 |
Figure 6.1 |
TSF Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
118 |
Figure 6.2 |
A conceptual framework of the test coverage evidence . . . . . . . . . . . . |
137 |
Figure 7.1 |
TSF Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
180 |
Figure 7.2 |
A conceptual framework of the test coverage analysis . . . . . . . . . . . . . |
206 |
Figure 7.3 |
A conceptual framework of the depth of testing analysis . . . . . . . . . . . |
209 |
Figure 8.1 |
TSF Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
260 |
Figure 8.2 |
A conceptual framework of the test coverage analysis . . . . . . . . . . . . . |
301 |
Figure 8.3 |
A conceptual framework of the depth of testing analysis . . . . . . . . . . . |
304 |
Page viii of x |
CEM-99/045 |
August 1999 |
|
Version 1.0 |
|
List of Tables
List of Tables
Table B.1 |
Vulnerability analysis and attack potential . . . . . . . . . . . . . . . . . . . . . |
358 |
Table B.2 |
Strength of TOE security function and attack potential . . . . . . . . . . . |
359 |
Table B.3 |
Calculation of attack potential . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
365 |
Table B.4 |
Rating of vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . |
366 |
August 1999 |
CEM-99/045 |
Page ix of x |
|
Version 1.0 |
|
List of Tables
Page x of x |
CEM-99/045 |
August 1999 |
|
Version 1.0 |
|