Validation of the Ontology Based Model of the Common Criteria Evaluation Evidences

The paper concerns the validation of the selected issues related to the new ontology-based approach to the elaboration and management of evidences prepared by developers for the FT security evaluation process according to the Common Criteria standard. The evidences arc implied by the claimed EAL (Evaluation Assurance Level) for a developed IT product or system, called TOE (Target of Evaluation). The evidences envisage the TOE features and its development environment. The validation and use of the author’s elaborated ontology are discussed, including: composing evidences for the given TOE and EAL, expressing details of evidences documents, issuing queries to get given information about model, etc.The paper also shows how the evidences are organized, developed and used. This work is aimed at the development of a prototype of a knowledge base, designed mainly for developers to allow them to compose and manage different kinds of evidences elaborated on the patterns basis. This knowledge base can be used by a software tool aiding developers who produce evaluation evidences.

Artykuł przedstawia wybrane zagadnienia dotyczące walidacji modelu materiału dowodowego służącego do oceny zabezpieczeń informatycznych, opracowanego w oparciu o metody inżynierii wiedzy i metodykę “Wspólne Kryteria” (ISO/IEC 15408 Common Criteria). Artykuł stanowi kontynuację artykułu [3], nakreślającego tło tematyki i wprowadzającego ontologię środków specyfikacji (SMO - Spécification Means Ontology). Niniejszy artykuł poświęcono walidacji modelu danych opartego na SMO i związanego z metodyką Common Criteria. Na wstępie artykuł zawiera krótkie informacje wprowadzające dotyczące: podejścia onto logicznego, rozważanej dziedziny wiedzy oraz pojęć wprowadzonych przez SMO. Główną część artykułu (Rozdział 5) poświęcono wybranym zagadnieniom dotyczącym wykorzystania ontologii SMO i związanej z nią bazy wiedzy - zagadnieniom napotkanym podczas walidacji rozwiązań na przykładzie projektu systemu zaporowego. W sekcji 5.1 wskazano punkt startowy tworzenia materiału dowodowego dla produktu informatycznego, czyli przedmiotu oceny (TOE - Target of Evaluation). Punktem tym jest specyfikacja funkcji zabezpieczających zawarta w zadaniu zabezpieczeń (ST - Security Target). Funkcje te należy zaimplementować w produkcie informatycznym na zadanym poziomie uzasadnionego zaufania EAL (Evaluaüon Assurance Level), czyli opracować na odpowiednim poziomie szczegółowości materiał dowodowy. Jego wykaz dla systemu zaporowego MyFirewall/EAL4+ zawiera Tab. 1. Sekcja 5.2 ilustruje model materiału dowodowego implikowanego przez komponenty danego pakietu EAL - pokazuje organizację materiału jako całości z uwzględnieniem wzbogacenia i rozszerzenia pakietu EAL4 do EAL4+.