Componentes de Garantia

Os componentes de garantia são as famílias e classes de componentes que ajudam a garantir o projeto e a execução de alvos de avaliação. As ameaças de segu- rança e a efetivação de políticas de segurança organizacionais devem ser bem articuladas e as medidas de segurança tomadas devem demonstrar suficiência para os seus propósitos.

Estes componentes vão ser base para a construção dos níveis de valia- ção de garantias, os EAL, os quais servem para qualificarmos produtos de segurança da tecnologia da informação através do cumprimento dos requisitos de segurança funcional e de garantias. Eles provêm requisitos para que tenhamos garantias de gerenciamento de configuração, de desenvolvimento, de entrega e operação, de documentação do ciclo de vida, de teste e de vulnerabilidades, tornando assim o produto, que é o alvo de avaliação, muito mais robusto e factível de certificação.

As classes de componentes de garantia são as apresentadas na Tabela 3.4:

Tabela 3.4: Classes de requisitos de garantias.

Sigla: Descrição:

ACM Garantias de Gerenciamento de Configuração ADO Garantias de Entrega e Operação

ADV Garantias de Desenvolvimento ACM Garantias de Documentação

ALC Garantias de Suporte do Ciclo de Vida ATE Garantias de Testes

AVA Garantias de Avaliação de Vulnerabilidades

3.2.2.1 Garantias de Gerenciamento de Configuração (ACM)

A classe de garantias de gerenciamento de configuração nos ajuda a garantir que a integridade do alvo de avaliação sempre será preservada, requerendo disci- plina e controle nos processos de refinamento e modificação.

A gerência de configuração nos ajuda a prevenir modificações, adições e apagamentos do alvo de avaliação, garantindo assim que a documentação de avaliação é a documentação final do produto. Ela está dividida em famílias de:

gerência de automação - responsáveis por automatizar o controle usado nos ítens de

configuração.

funcionalidades de gerenciamento de configuração - responsáveis por definir as ca-

racterísticas do sistema de gerenciamento de configuração

escopo do gerenciamento de configuração - responsáveis por indicar os ítens que de-

3.2.2.2 Garantias de Entrega e Operação (ADO)

Os componentes desta classe de garantias definem os requisitos para medidas, procedimentos e padrões voltados para a entrega, instalação e uso operacional do alvo de avaliação, garantindo que a segurança não será comprometida durante o trans- porte, instalação, inicialização ou operação.

Esta classe é dividida em duas famílias: entrega, que cobre os proce- dimentos usados para manter a segurança durante o processo de entrega para o usuário; e instalação, geração e inicialização, as quais definem os requisitos para que uma cópia do alvo de avaliação, ao ser configurada e ativada pelo seu administrador, mantenha as mesmas propriedades do alvo de avaliação propriamente dito, dando subsídio para que o administrador saiba como proceder as configurações.

3.2.2.3 Garantias de Desenvolvimento (ADV)

A classe de garantias de desenvolvimento define os requisitos para o refinamento dos requisitos de segurança, a partir da especificação inicial do alvo de ava- liação até a sua implementação. Cada uma das famílias ajuda no provimento de infor- mações para o avaliador determinar quando os requisitos funcionais foram devidamente cumpridos durante o desenvolvimento.

Uma das famílias é a de especificação funcional, a qual deve instanciar de forma apurada e completa os requisitos funcionais, especificando também detalhes da interface onde os usuários devem operar com o alvo de avaliação. As outras famílias são de projetos de alto e baixo nível, as quais são repensáveis pelos detalhamentos das macro- estruturas no caso do projeto de alto nível e dos detalhes necessários à implementação de software ou hardware no caso de baixo nível.

Ainda nesta classe, temos mais duas famílias importantes que são a de representação de correspondência, responsável por mostrar a correspondência entre todos os pares adjacentes de projetos desenvolvidos neste nível, e a família de modelagem de políticas, a qual define os requisitos de modelagem das políticas de segurança do alvo de avaliação, e aumenta a correspondência entre as políticas e os requisitos funcionais.

3.2.2.4 Garantias de Documentação (AGD)

A classe de garantias de documentação define os requisitos necessários ao entendimento, cobertura e completude da documentação operacional provida pelo de- senvolvedor. As documentações estão divididas em duas categorias, uma para os usuários e a outra para os administradores.

Os requisitos para a documentação dos administradores são focados para o entendimento de todo o ambiente operacional do alvo de avaliação, dando completa informação ao administrador de como administrar o módulo de uma maneira segura e de coma fazer uso efetivo das funções de proteção e privilégios. Já os requisitos para a docu- mentação do usuário ajudam a garantir que os usuários serão capazes de operar o alvo de avaliação de maneira segura, informando e explicando a ele quais são as funções visíveis ao seu nível de acesso, e como é seu uso, de forma que as proteções às informações sejam adequadamente garantidas.

3.2.2.5 Garantias de Suporte do Ciclo de Vida (ALC)

As classes de garantias de suporte ao ciclo de vida do alvo de avaliação definem os requisitos para garantir, através de modelos bem definidos de gerenciamento de ciclo de vida, todos os passos do desenvolvimento, incluídos remediação de problemas e políticas, o correto uso de ferramentas e técnicas e as medidas de segurança necessárias para garantir o processo de desenvolvimento do alvo de avaliação.

Dentro desta classe temos famílias para o controle de desenvolvimento seguro, remediação de problemas, definição do ciclo de vida e a definição de ferramentas e técnicas que garantirão o ciclo de vida do alvo de avaliação.

3.2.2.6 Garantias de Testes (ATE)

Os componentes desta classe respondem aos requisitos dos testes para demonstrar que as funções de segurança correspondem aos requisitos funcionais do alvo de avaliação.

Esta classe está dividida em 4 famílias que são:

testes de cobertura cuidam para que todos os testes funcionais tenham sido efetuados

teste de profundidade garantem os detalhes com os quais os testes foram especificados

pelo desenvolvedor.

testes funcionais garantem que as funções de segurança exibem as propriedades neces-

sárias para satisfazer os requisitos do alvo de avaliação.

testes independentes especificam o grau com os quais serão testadas as funcionalidades

por terceiros.

3.2.2.7 Garantias de Avaliação de Vulnerabilidades (AVA)

Nos componentes da classe de garantias de avaliação de vulnerabili- dades, temos a definição dos requisitos direcionados à identificação de vulnerabilidades exploráveis, em especial as introduzidas no processo de construção, na operação, mau uso ou configuração incorreta do alvo de avaliação.

Esta classe está dividida em 4 famílias, que são: família para análises

e descobertas de canais de comunicação não documentados que pode ser explorada

para violar o alvo de avaliação, assim como temos a família para analisar as possibi-

lidades de mau uso tornando fácil saber quando não foram seguidas as recomendações

dos manuais do administrador e do usuário. Por fim, temos a família de análise da força

das funções de segurança, as quais são testadas de maneira probabilística ou através de

mecanismos de permutação, e a família de análises de vulnerabilidades, a qual tem por objetivo a identificação de falhas inseridas em diferentes passos durante o refinamento do desenvolvimento.