home *** CD-ROM | disk | FTP | other *** search

---

/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Textfiles / coloredbooks / BrightBlueBook.sit.hqx / Bright Blue Book

Wrap

Text File  |  1997-11-17  |  51KB  |  1,499 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7.  
8. TRUSTED PRODUCT EVALUATIONS
9.  
10.  
11.  
12.  
13. NCSC-TG-002 TRUSTED PRODUCT EVALUATIONS
14.  
15.  
16.  
17. Library No. S-228,538
18.  
19.  
20. Version 1
21. FOREWORD
22.  
23.  
24.  
25. The National Computer Security Center has established an aggressive
26. program to study and implement computer security technology, and
27. to encourage the widespread availability of trusted computer products
28. for use by any organization desiring better protection of their
29. important data. The Trusted Product Evaluation Program focuses
30. on the security evaluation of commercially produced and supported
31. computer systems by evaluating the technical protection capabilities
32. against the established criteria presented in the Trusted Computer
33. System Evaluation Criteria. This program, and the open and cooperative
34. business relationship being forged with the computer and telecommunications
35. industries, will result in the fulfillment of our country's computer
36. security requirements. We are resolved to meet the challenge of
37. identifying trusted computer products suitable for use in processing
38. sensitive information. A key service of the National Computer
39. Security Center to the computer security community is to act as
40. a clearinghouse for computer security issues and to develop technical
41. security guidelines for automatic data processing systems and
42. networks. This technical information exchange provides guidance
43. and interpretations for the security evaluation process and offers
44. the vendors a central point for technical exchange.
45.  
46.  
47. PATRICK R. GALLAGHER, JR. 1 March 1988
48.  
49.  
50. DIRECTOR
51.  
52.  
53. NATIONAL COMPUTER SECURITY CENTER
54. PREFACE
55.  
56.  
57.  
58. This publication describes procedures for interacting with the
59. National Security Agency's Information Security Organization as
60. related to the Trusted Product Evaluation Program within the National
61. Computer Security Center. It provides the information needed to
62. submit a computer product for technical security evaluation and
63. outlines the National Security Agency's responsibilities for positive,
64. timely acknowledgements. This publication specifically covers
65. the National Computer Security Center's relationship with vendors
66. of proposed trusted computer products from the initial contact
67. with the vendor through the completion of the security evaluation
68. process and follow-on programs. Although more detailed instructions
69. will be referenced in this publication, sufficient guidelines
70. are established for any first-time user of the National Computer
71. Security Center's services. The Office of Industrial Relations
72. invites your comments on this document and on the National Computer
73. Security Center's procedures for conducting security evaluations
74. of computer products. In cooperation with the computer industry,
75. we can improve our national security through the availability
76. of trusted computer products. 
77. INTRODUCTION
78.  
79.  
80.  
81. In January 1981 the Director of the National Security Agency was
82. assigned the responsibility for computer security for the Department
83. of Defense. This action led to the formation of the Computer Security
84. Center at the National Security Agency. The Computer Security
85. Center's Charter, promulgated in Department of Defense Directive
86. 5215.1 in October 1982, specifically tasks the Computer Security
87. Center to establish and maintain "... technical standards
88. and criteria for the security evaluation of trusted computer systems
89. that can be incorporated readily into the Department of Defense
90. component life-cycle management process..." The developmental
91. experiments in the 1970's ranged from attempts to add security
92. front-ends to existing systems to designing secure systems and
93. hardware from scratch. Early research and development efforts
94. defined a graduated scale of security features and design principles.
95. These features and principles were incorporated in the Department
96. of Defense Trusted Computer System Evaluation Criteria (Orange
97. Book). The Orange Book was issued in August 1983. In December
98. 1985, the Orange Book was reissued as a Department of Defense
99. Standard (DOD 5200.28-STD). The National Computer Security Center
100. (the Center) responds to a growing need for, and recognizes technical
101. challenges involved in, providing effective protection within
102. computer systems and networks of systems. The Center relies on
103. an open and cooperative relationship with government, industry
104. representatives, and the academic community to accomplish these
105. important objectives. The government encourages industry to provide
106. the computer security capabilities government needs. The Center
107. sponsors critical research, and makes the results widely available
108. to encourage their incorporation into trusted computer products
109. and secure applications. The Center performs security evaluations
110. of computer software and hardware products on commercially or
111. government-produced computer systems. A trusted computer system
112. is defined as a system that employs sufficient hardware and software
113. integrity measures to allow its use to simultaneously process
114. a range of sensitive unclassified or classified (e. g., confidential
115. through top secret) information for a diverse set of users without
116. violating access privileges. Levels of trust are based on the
117. ability of the computer system to enforce access privileges to
118. authorized users and to system protected files. The Center evaluates
119. the security features of trusted products against established
120. technical standards and criteria, and maintains the Evaluated
121. Products List. The Evaluated Products List is a compilation of
122. all computer products which have undergone formal security evaluations,
123. and indicates the relative security merit of each computer product.
124. The criteria against which computer systems are evaluated is the
125. Orange Book. This provides a metric for distinguishing a range
126. of features and assurances for security controls built into automatic
127. data processing system products. The Orange Book establishes specific
128. requirements that a computer system must meet in order to achieve
129. a specific level of trustworthiness. The levels are arranged hierarchically
130. into four major divisions of protection, each with certain security-relevant
131. characteristics. These divisions are subdivided into levels of
132. trust. In recognition of the complex and technical nature of the
133. issues addressed by the Orange Book, the Center has established
134. a Technical Guidelines Program. This program augments information
135. provided in the Orange Book by publishing additional guidance
136. on issues and features addressed therein.
137. TRUSTED PRODUCT SECURITY EVALUATION
138.  
139.  
140.  
141. This section provides the potential computer product vendor with
142. an overview of the Center's Trusted Product Evaluation Program.
143. The process of a trusted product evaluation is illustrated in
144. Figure One. The Pre-Evaluation Review includes the initial contact
145. between the vendor and the National Security Agency, the decision-making
146. process to initiate, and the signing of a Memorandum of Understanding.
147. Note: subsystem products do not require a Memorandum of Understanding
148. but are initiated with a Memorandum of Agreement. The Trusted
149. Product Developmental Process provides the vendor the opportunity
150. to obtain assistance from the Center during the development of
151. a system or network product. The formal product evaluation consists
152. of the actual security evaluation of the vendor's computer system.
153. Successful completion of this process results in the vendor's
154. computer product being placed on the Evaluated Products List.
155.  
156. PRE-EVALUATION REVIEW
157.  
158.  
159.  
160. Five milestones in the application process must be reached before
161. the security evaluation of a proposed computer product can begin.
162.  
163.  
164.  
165. 1. Initial Contact
166.  
167.  
168. 2. Certificate Pertaining to Foreign Interests
169.  
170.  
171. 3. Proposal Package
172.  
173.  
174. 4. Program Decision
175.  
176.  
177. 5. Memorandum of Understanding (Memorandum of Agreement for Subsystems)
178. INITIAL CONTACT
179.  
180.  
181.  
182. The National Security Agency point of contact for the Trusted
183. Product Evaluation Program is the Office of Industrial Relations.
184. Interested companies are encouraged to call or write to:
185.  
186.  
187. Director, National Security Agency
188.  
189.  
190. Attention: Office of Industrial Relations
191.  
192.  
193. 9800 Savage Road
194.  
195.  
196. Fort George G. Meade, Maryland 20755-6000
197.  
198.  
199. (301) 688-6581
200. CERTIFICATE PERTAINING TO FOREIGN INTERESTS
201.  
202.  
203.  
204. Before submitting an application for the Trusted Product Evaluation
205. Program, the Center requires that all companies submit a completed
206. Certificate Pertaining to Foreign Interests prior to undertaking
207. the additional effort to prepare a proposal package. For those
208. companies that already have a facility security clearance, a current
209. DD Form 441s may be sent in lieu of the Certificate Pertaining
210. to Foreign Interests. Please submit the certificate or DD Form
211. 441s to the Office of Industrial Relations, as listed above.
212. PROPOSAL PACKAGE
213.  
214.  
215.  
216. After contact has been established, the vendor must prepare a
217. proposal package in accordance with the following guidance. Four
218. copies of the proposal package are required. 
219.  
220.  
221. This point cannot be over emphasized; information marked Company
222. Proprietary is protected to the fullest extent permitted under
223. the law, and must be marked accordingly. The product proposal
224. package should demonstrate corporate-level support for the product
225. evaluation effort and consist of a company profile, market information
226. and a written product proposal.
227. COMPANY PROFILE
228.  
229.  
230.  
231. Potential computer security product vendors, whether requesting
232. a system, a network, or a subsystem evaluation, must establish
233. a formal working relationship with the Center. Vendors are encouraged
234. to submit as much detailed documentation as necessary to establish
235. their capability and suitability for the Trusted Product Evaluation
236. Program. The company profile portion of the submission shall include
237. at least the following information:
238.  
239.  
240. Company name and address. 
241.  
242.  
243. State of incorporation and composition of ownership. 
244.  
245.  
246. Principal point of contact, a technical point of contact, and
247. a public point of contact. For each, include name and title, business
248. address, and business telephone. Public point of contact names
249. will be placed on a list that can be provided to any requestor
250. desiring to establish a business connection with your company.
251.  
252.  
253.  
254. Product or services offered. This could be supplemented with a
255. company capabilities brochure. 
256.  
257.  
258. A recent annual or certified financial report.
259.  
260.  
261. Number of people employed by the company, and in the case of a
262. system or network product, the projected size of the team which
263. will be developing, enhancing and/or maintaining the proposed
264. product.
265. MARKET INFORMATION
266.  
267.  
268.  
269. To evaluate the requirements for any proposed product, the vendor
270. must provide sufficient detail to identify the utility in the
271. market place. The information below covers the minimum market
272. information the Center requires to assess the probable need in
273. the community. The market information portion of the proposal
274. package shall identify:
275.  
276.  
277. Intended market by product type and level of trust, including
278. a specific customer base and/or firmly established requirements.
279.  
280.  
281. Portion of markets intended to address. How the specific market
282. projections were derived. In cases where the product to be developed
283. is a retrofit to existing equipment, include the potential volumne
284. of sales for those existing equipments that are already fielded.
285.  
286.  
287. Known or projected U.S. Government requirements that the product
288. will satisfy. Distinguish between DOD and Civil Agency.
289.  
290.  
291. Known or projected commercial requirements that the product will
292. satisfy.
293. WRITTEN PRODUCT PROPOSAL
294.  
295.  
296.  
297. A separate proposal is required for each computer product submitted
298. for security evaluation. These products must be of direct and
299. obvious benefit to the information security posture of the nation,
300. and should address the applicable requirements outlined in established
301. criteria or interpretations. This determination will be based
302. on the information contained in the product proposal, measured
303. against national computer security needs and priorities.
304.  
305.  
306. The Center presently conducts three distinct types of product
307. evaluations: 1) the system evaluation, 2) the network evaluation,
308. and 3) the subsystem evaluation. 
309. Proposals For System Evaluations
310.  
311.  
312.  
313. The Center evaluates as a system that product which addresses
314. all of the requirements of a given class of the Orange Book.
315.  
316.  
317. Although complete information about the proposed product may not
318. be available at this stage of the design, the written product
319. proposal should provide the following information:
320.  
321.  
322. Technical description of the product. 
323.  
324.  
325. What is the targeted class or level of trust? 
326.  
327.  
328. What is the operating system for your product? 
329.  
330.  
331. Is the proposed product currently in use? If so, what is the current
332. installed base?
333.  
334.  
335. What is the projected installed base over the next five years?
336.  
337.  
338.  
339. What is the target development schedule? How flexible is this
340. schedule and by what date do you plan to bring this product to
341. market? 
342.  
343.  
344. What are the known or projected requirements that the product
345. will satisfy? (Distinguish between the Department of Defense and
346. Civil Agencies.)
347.  
348.  
349. What are the differences between and advantages of the proposed
350. product relative to similar products which are currently available?
351.  
352.  
353.  
354. Proposals For Network Evaluations
355.  
356.  
357.  
358. The Center defines a network as everything that is needed to accomplish
359. a job, end user to end user. The Center defines a network component
360. as any part of a network. 
361.  
362.  
363. The Trusted Network Interpretation of The Trusted Computer System
364. Evaluation Criteria (TNI) is currently the criteria against which
365. networks are evaluated.
366.  
367.  
368. Written product proposals should provide the following information:
369.  
370.  
371. A technical description of the product. 
372.  
373.  
374. What is the underlying security policy of the product? 
375.  
376.  
377. What level of protection is provided by the product? 
378.  
379.  
380. What is the projected schedule for development?
381.  
382.  
383. What are the environments for which the product is intended? Include
384. an overall description of the product. Compare it to another product
385. currently available if possible. 
386.  
387.  
388. Does your product interact with users directly? If so, does it
389. provide all of the functionality identified at one of the criteria
390. levels in Part I of the TNI, or only a subset? 
391.  
392.  
393. If it is a network system, what level of trust does it meet according
394. to Part I of the TNI? 
395.  
396.  
397. If it is a network component, which of the following functionalities
398. does it provide, and at which level of trust is each functionality
399. provided? 
400.  
401.  
402. Mandatory Access Control
403.  
404.  
405. Discretionary Access Control
406.  
407.  
408. Identification and Authenication
409.  
410.  
411. What other security services mentioned in Part II of the TNI does
412. your product provide? 
413.  
414.  
415. What type of carrier medium, if any, is used or supported by your
416. product? 
417. Proposals For Subsystem Evaluations
418.  
419.  
420.  
421. The Center defines a computer security subsystem as a physical
422. device or software mechanism which is added to a computer system
423. to enhance the computer security functionality of the overall
424. system. 
425.  
426.  
427. To be considered for a subsystem evaluation, a company must have
428. an existing product which is designed to provide one or more of
429. the following capabilities, as described in the Trusted Computer
430. System Evaluation Criteria:
431.  
432.  
433. 1) mandatory access control;
434.  
435.  
436. 2) audit;
437.  
438.  
439. 3) discretionary access control;
440.  
441.  
442. 4) identification and authentication; or.
443.  
444.  
445. 5) object re-use.
446.  
447.  
448. Written product proposals should provide the following information:
449.  
450.  
451. A technical description of the product. 
452.  
453.  
454. Which of the five subsystem functionalities does the product implement?
455.  
456.  
457.  
458.  
459.  
460. What is the current installed base? What is the projected installed
461. base over the next five years? 
462.  
463.  
464. What is the current or projected market for your product (to include
465. specific customer base and/or firmly established requirements,
466. if possible)? What portion of this market do you intend to address?
467. How were the specific market projections derived? 
468.  
469.  
470. What are the known or projected requirements that the product
471. will satisfy? (Distinguish between the Department of Defense and
472. Civil Agencies.)
473.  
474.  
475. What are the differences between and advantages of the proposed
476. product relative to similar products which are currently available?
477. PROGRAM DECISION
478.  
479.  
480.  
481. Upon receipt of the company's proposal package, the Office of
482. Industrial Relations will send the company written notification
483. that the package has been received and is under consideration.
484. The proposal will be reviewed to determine its value while assessing
485. the capabilities of the company, the utility of the product to
486. the Federal Government, and the degree to which the product addresses
487. the technical aspects of computer security. The availability of
488. adequate Center resources to support the evaluation program is
489. also a prime consideration in the program decision. The Center
490. may need to meet with the vendor's technical experts to ensure
491. decision making processes are based on sound technical understanding
492. of the product. When a decision is reached, the Office of Industrial
493. Relations will notify the vendor in writing whether the product
494. has been accepted for evaluation. System and network evaluations
495. will enter into the Trusted Product Developmental Process as described
496. below. Subsystem evaluations enter directly into the formal evaluation.
497. MEMORANDUM OF UNDERSTANDING
498.  
499.  
500.  
501. If a package for a system or network product is accepted, a Memorandum
502. of Understanding is executed between the vendor and the National
503. Security Agency. The purpose and function of the Memorandum of
504. Understanding is to establish a legal relationship between the
505. National Security Agency and the potential vendor in which:
506.  
507.  
508. The National Security Agency agrees to provide necessary and relevant
509. computer security information and guidance to the potential vendor.
510.  
511.  
512.  
513. The vendor agrees to provide the National Security Agency the
514. information necessary to assess the security of the proposed product.
515.  
516.  
517.  
518. The vendor agrees to follow the intent and requirements of the
519. procedures leading to a system, network or subsystem evaluation.
520.  
521.  
522.  
523.  
524.  
525. The National Security Agency agrees to protect vendor proprietary
526. information which is provided under the Memorandum of Understanding.
527.  
528.  
529. Both parties agree to review the continuation and terms of the
530. Memorandum of Understanding periodically.
531.  
532.  
533. A program manager within the Requirements and Resources Division
534. at the Center will be assigned to monitor and coordinate technical
535. and/or administrative responses to the vendor, and a technical
536. point of contact within the Product Evaluation Division will be
537. identified to the vendor. To determine the division and class
538. at which all requirements are met by a computer system, the system
539. must be evaluated against the Orange Book. This security evaluation
540. will be conducted by a Center evaluation team.
541. TRUSTED PRODUCT DEVELOPMENTAL PROCESS
542.  
543.  
544.  
545. The primary thrust of this phase is an in-depth examination of
546. a vendor's design either for a new trusted product (system or
547. network) or for security enhancements to an existing product.It
548. is intended to ensure that the product is actually ready for evaluation
549. with all necessary evidence available so the evaluation can be
550. completed without delays for additional development or evidence
551. generation. This phase is based primarily on design documentation
552. and information supplied by the vendor, and it involves little
553. or no "hands on" use of the product. 
554.  
555.  
556. This phase results in the production of an Initial Product Assessment
557. Report. This report documents the evaluation team's understanding
558. of the system based on the information presented by the vendor,
559. and assigns a candidate Orange Book class rating to the system.
560. The candidate rating is an estimate of the highest class for which
561. the product has displayed some evidence for each of the requirements
562. in the Orange Book. 
563.  
564.  
565. The Center's Technical Review Board provides a consistency check
566. on the application of the Orange Book requirements, and ensures
567. the product is ready for evaluation. Because the Initial Product
568. Assessment Report does not represent a complete analysis of the
569. computer product and may contain proprietary information, distribution
570. is restricted to the respective vendor and the Center.
571. SYSTEM AND NETWORK FORMAL EVALUATIONS
572.  
573.  
574.  
575. To enter this formal evaluation phase, the design of a computer
576. system must be finalized and marketable. In addition, the product
577. release being evaluated must not undergo any additional development.
578. Once the product is accepted for evaluation, a Memorandum of Agreement
579. is signed between the Center and the vendor, to address the formal
580. aspects of the product receiving an Evaluated Products List rating
581. and the accompanying responsibilities.
582.  
583.  
584. At the start of this phase, a Product Bulletin is released by
585. the enter announcing the evaluation. The Product Bulletin is a
586. brief description of the computer system undergoing security evaluation,
587. and includes the candidate rating of the system.
588.  
589.  
590. The evaluation phase is a detailed analysis of the hardware and
591. software components of a system, all system documentation, and
592. a mapping of the security features and assurances to the Orange
593. Book. The analysis performed during this phase requires "hands
594. on" testing (i.e., functional testing and, if applicable,
595. penetration testing).
596.  
597.  
598. The evaluation phase leads to the Center publishing a Final Evaluation
599. Report and an Evaluated Products List entry. The Final Evaluation
600. Report is a summary of the security evaluation and includes the
601. Evaluated Products List rating, which is the final class at which
602. the product successfully met all Orange Book requirements in terms
603. of both security features and assurances. The Final Evaluation
604. Report and the Evaluated Products List entry are made public.
605. The evaluation process represents a firm commitment from the vendor,
606. and at its completion the product will receive a rating from the
607. Center.
608. SUBSYSTEM FORMAL EVALUATIONS
609.  
610.  
611.  
612. While the Center devotes much of its resources to encouraging
613. the production and use of multipurpose trusted computer systems,
614. there is a recognized need for guidance on, and security evaluation
615. of, supplementary computer security products. These subsystems
616. may not meet all of the security feature, architecture, or assurance
617. requirements of any one security class or level of the Orange
618. Book. To meet this need, the Center has established the subsystem
619. evaluation process.
620.  
621.  
622. The goal of the Center's subsystem evaluations is to provide computer
623. installation managers with information on subsystems that would
624. be helpful in providing immediate computer security improvements
625. in existing installations. Once a subsystem product is accepted
626. for evaluation, a Memorandum of Agreement is signed between the
627. Center and the vendor, addressing the formal aspects of the product
628. being included in the Evaluated Products List and the accompanying
629. responsibilities.
630.  
631.  
632. Subsystems are special-purpose products which can be added to
633. existing computer systems to increase some aspect of security
634. and have the potential of meeting automatic data processing security
635. needs. For the most part, the scope of a subsystem evaluation
636. is limited to consideration of the subsystem itself, and does
637. not address or attempt to rate the overall security of the processing
638. environment or computer system on which the subsystem may be implemented.
639. To promote consistency in evaluations, an attempt is made to assess
640. a subsystem's security-relevant performance in light of applicable
641. standards and features outlined in the Orange Book. In addition,
642. the evaluation team reviews the vendor's claims and documentation
643. for obvious flaws which would violate the product's security features,
644. and verifies, through functional testing, that the computer product
645. performs as advertised. Upon completion, a summary of the Final
646. Evaluation Report will be placed on the Evaluated Products List.
647.  
648.  
649. The Final Evaluation Report will not assign a specific rating
650. to the computer product, but will provide an assessment of the
651. product's effectiveness and usefulness in increasing computer
652. security. The Final Evaluation Report and the Evaluated Products
653. List entry are made public.
654. EVALUATED PRODUCTS LIST
655.  
656.  
657.  
658. The Evaluated Products List provides computer users, managers
659. and security officials, an authoritative and unbiased security
660. evaluation of a computer system's suitability for use in processing
661. classified and sensitive information. All products on the Evaluated
662. Products List have been evaluated against the established criteria
663. and interpretations. A Final Evaluation Report is issued for all
664. products. The rating given to a system product is the highest
665. class for which all the requirements in the Orange Book have been
666. met. Trusted product security evaluation results are published
667. in formal reports available from either the Government Printing
668. Office or the National Technical Information Service. 
669.  
670.  
671. The overall evaluation class ratings given in the Evaluated Products
672. List apply only to the specific hardware/software configurations
673. listed. As such, the rating indicates that the product met or
674. exceeded each of the individual requirements for the overall Evaluation
675. Class. Although the computer product was subjected to the detailed
676. security testing specified in the Orange Book, it must be emphasized
677. that such testing is not sufficient to guarantee the absence of
678. flaws in the product. The Evaluated Products List entry does not
679. constitute a general or overall endorsement of the product by
680. the government, nor does it constitute a Department of Defense
681. certification or accreditation of the trusted computer product
682. for use in classified or sensitive unclassified processing environments.
683. Rather, the security evaluation provides an essential part of
684. the technical evidence required for follow on certification and
685. accreditation. Ultimate responsibility for the continuing integrity
686. provided by the security mechanisms of any trusted computer product
687. evaluated by the Center rests solely with the vendor. The Evaluated
688. Products List, which documents evaluated computer products, is
689. available to vendors to actively market and advertise the overall
690. evaluation class rating achieved by their products to procurement
691. authorities and the general public. 
692.  
693.  
694. The Evaluated Products List contains entries for general-purpose
695. operating systems, add-on packages, and subsystems. Product Bulletins,
696. which are synopses of computer systems currently undergoing formal
697. security evaluations by the Center, are also included on the Evaluated
698. Products List. 
699.  
700.  
701. A hard copy of the Evaluated Products List is included in the
702. Information Systems Security Products and Services Catalogue.
703. This catalogue is updated quarterly and is available through the
704. Government Printing Office.
705. RATINGS MAINTENANCE PHASE
706.  
707.  
708.  
709. The Ratings Maintenance Phase provides a mechanism to ensure the
710. validity of a previous rating for a new version of an evaluated
711. computer system product. As enhancements are made to the computer
712. product the Ratings Maintenance Phase ensures that the level of
713. trust is not degraded. A complete re-evaluation is required to
714. achieve a higher rating. 
715.  
716.  
717. The Ratings Maintenance Phase is designed to keep the Evaluated
718. Products List current. This is accomplished by using the personnel
719. involved in the maintenance of the product to manage the change
720. process and reduce the effort required to extend the rating.
721.  
722.  
723. Success of the Ratings Maintenance Phase depends upon the development
724. of a cadre of vendor personnel with a strong technical knowledge
725. of computer security and of their computer product. These trained
726. personnel will oversee the vendor's computer product modification
727. process. They will certify to the Center that any modifications
728. or enhancements applied to the product will preserve the security
729. mechanisms and maintan the assurances.
730.  
731.  
732. The Ratings Maintenance Phase is initially designed for C1 - B1
733. level of trust systems. As experience is gained in the program,
734. the intent is to extend to higher level systems and to networks.
735. EVALUATION SUPPORT SERVICES
736.  
737.  
738.  
739. The Center supports the trusted product security evaluation process
740. within the Trusted Product Evaluation Program. The following specialized
741. technical services are available to benefit the interactive relationship
742. between the computer product vendors and the technical staff of
743. the Center. To obtain these services or to gain more insight into
744. their particular detail, refer to the Points of Contact section.
745. DOCKMASTER
746.  
747.  
748.  
749.  
750.  
751.  
752. DOCKMASTER is an unclassified computer system used by the Center
753. for the nationwide dissemination and exchange of computer security
754. information. DOCKMASTER serves the entire information security
755. community including the Federal Government, universities, and
756. private industry. It can distribute electronic mail via connections
757. to the ARPANET. DOCKMASTER is accessible by direct dial, the MILNET,
758. and McDonnell Douglas Tymnet network.
759.  
760.  
761. DOCKMASTER is the primary means of communications between the
762. vendor and the Center throughout the computer product security
763. evaluation process. It allows vendors to use electronic mail,
764. file transfer protocols, and the Forum subsystem. Forum is an
765. on-line, interactive meeting facility that permits an individual
766. to "meet" with other users through the use of a computer
767. terminal.
768. VERIFICATION TOOLS
769.  
770.  
771.  
772.  
773.  
774.  
775. Vendors who are developing systems that are targeted to meet the
776. class A1 requirements of the Orange Book must provide assurance
777. that the system implementation is consistent with the system's
778. design. This assurance is gained by developing a Formal Top Level
779. Specification of the design and verifying that the specifications
780. are consistent with the formal security policy model (the security
781. requirements) for the system. After the design verification has
782. been completed, an informal mapping is performed from the Formal
783. Top Level Specification to the implementation. This completes
784. the evidence. Formal Top Level Specification development and subsequent
785. verification is a rigorous, mathematical process that can be greatly
786. aided by the use of automated verification tools. The Orange Book
787. requires the use of such a tool in the verification of A1 systems:
788.  
789.  
790. "This verification evidence shall be consistent with that
791. provided within the state-of-the-art of the particular Center
792. endorsed formal specification and verification system used."
793.  
794.  
795. The Center endorsed verification tools are maintained on the Endorsed
796. Tools List. Examples of these verification tools are Formal Development
797. Methodology, Gypsy, and Enhanced Hierarchical Development Methodology.
798. For information concerning the current entries on the Endorsed
799. Tools List, vendors should contact the Computer Hardware and Software
800. Support Division.
801. TECHNICAL GUIDELINES
802.  
803.  
804.  
805. To complement the information contained in the Orange Book, the
806. Center publishes technical guidelines which serve as additional
807. guidance in interpreting the established standard. These technical
808. guidelines aid in the evaluation and selection of computer security
809. products, both complete systems and subsystems. In addition, they
810. are used throughout the Federal Government and by Federal Government
811. contractors as guidance for the procurement, use, and disposal
812. of automation systems and their associated magnetic storage media.
813.  
814.  
815. The Technical Guidelines Program contributes to the technical
816. literature on issues of computer security. Guidelines are written
817. in response to demonstrated need in automated processing environments.
818.  
819.  
820. Participation in the development of technical guidelines is provided
821. by the technical staff of the Center and its associated offices
822. within the National Security Agency, by representatives of the
823. Department of Defense and the Intelligence Community, by civil
824. agencies of the Federal Government, by Federally Funded Research
825. and Development Centers, by contracted analytic and technical
826. firms, and by selected experts in the particular field of endeavor.
827. Draft versions of proposed documents are extensively reviewed
828. by a wide audience of interests, and comments are fielded for
829. consideration before publication.
830. PUBLICATIONS
831.  
832.  
833.  
834. Technical guidelines that are published by the Center, and useful
835. to a vendor in order to process a computer product through the
836. Trusted Product Evaluation Program, will be provided in limited
837. quantity by the INFOSEC Awareness Organization.
838. TRAINING
839.  
840.  
841.  
842. The Center provides training on topics of major importance to
843. vendors interested in the trusted product security evaluation
844. process.
845. OTHER RELATED SERVICES 
846.  
847.  
848.  
849. Within the Information Security Organization, there are several
850. separate but complementary programs which relate to the Trusted
851. Product Evaluation Program. A brief description of each program
852. is provided in subsequent paragraphs. For more details, please
853. contact the specific program office in the Points of Contact list.
854.  
855.  
856. Like the Trusted Product Evaluation Program, the Commercial Communications
857. Security Endorsement Program is a business relationship which
858. combines private sector leadership and expertise in equipment
859. design, development and high volume production with the information
860. security expertise of the National Security Agency. Specifically,
861. this program is designed to encourage industry to embed United
862. States Government proprietary cryptography into telecommunications
863. products to meet the need to protect its classified and sensitive
864. unclassified information. The Commercial Communications Security
865. Endorsement Program products that are endorsed for protecting
866. sensitive unclassified government information only are also available
867. to the private sector. In today's computer networking environment,
868. many products require both an encryption capability and a trusted
869. computing base to meet user requirements. Companies whose products
870. merge both communications and computer security disciplines are
871. encouraged to become familiar with the requirements of the Commercial
872. Communications Security Endorsement Program.
873.  
874.  
875. The Secure Data Network System Program was established in August
876. 1986, when the National Security Agency joined in partnership
877. with ten major telecommunications and computer companies to develop
878. a security architecture and a user-friendly key management system
879. using the Open Systems Interconnection model. The ultimate goal
880. of the Secure Data Network System Program is to provide for the
881. development of information security products that can operate
882. over a broad range of commercial data networks. Once the Secure
883. Data Network System architecture is formalized, the development
884. of Secure Data Network System products will be carried out under
885. the auspices of the Commercial Communications Security Endorsement
886. Program.
887.  
888.  
889. The Industrial TEMPEST Program is designed to aid industry in
890. developing and testing TEMPEST-suppressed equipment which can
891. be offered for sale to the United States Government. Companies
892. developing trusted computing products should be aware that the
893. United States Government may require that products protecting
894. classified information be TEMPEST-suppressed. 
895.  
896.  
897. A company that produces computer security products may be interested
898. in the Department of Treasury's Electronic Funds Transfer Certification
899. Program if the primary function of its product is to provide message
900. authentication in support of United States Government financial
901. transactions. The program specifically provides for testing, evaluating
902. and certifying Message Authentication Code devices for Federal
903. electronic funds transfer use in accordance with American National
904. Standards Institute Standard X9.9. In addition, elements of Federal
905. Standard 1027 covering minimum general security requirements for
906. implementing the Data Encryption Standard encryption algorithm
907. are included. Optional electronic key management is based on American
908. National Standards Institute Standard X9.17.
909.  
910.  
911. Vendors who are developing trusted computer products as Independent
912. Research and Development Projects may obtain technical assistance
913. and technical plan evaluations by contacting the Center's Office
914. of Computer Security Research and Development.
915.  
916.  
917. The Computer Security Technical Vulnerability Reporting Program,
918. promulgated in Department of Defense Instruction 5215.2 in September
919. 1986, provides a mechanism for reporting weaknesses or design
920. deficiencies in hardware, firmware, or software that leave automated
921. information systems open to potential exploitation. Technical
922. vulnerabilities reported in Evaluated Products List items could
923. possibly change the overall rating of the product.
924.  
925.  
926. Points of Contact
927. COMMERCIAL COMMUNICATIONS SECURITY ENDORSEMENT 
928.  
929. COMMERCIAL COMMUNICATIONS SECURITY ENDORSEMENT PROGRAM
930.  
931.  
932.  
933. Director, National Security Agency
934.  
935.  
936. Attention: Office of Industrial Relations
937.  
938.  
939. 9800 Savage Road
940.  
941.  
942. Fort George G.Meade, MD 20755-6000
943.  
944.  
945. (301) 688-6581
946. TRUSTED PRODUCT EVALUATION PROGRAM
947.  
948.  
949.  
950. Director,National Security Agency
951.  
952.  
953. Attention: Office of Industrial Relations
954.  
955.  
956. 9800 Savage Road
957.  
958.  
959. Fort George G.Meade, MD 20755-6000
960.  
961.  
962. (301) 688-6581
963. COMPUTER SECURITY TECHNICAL VULNERABILITY 
964.  
965. COMPUTER SECURITY TECHNICAL VULNERABILITY REPORTING PROGRAM
966.  
967.  
968.  
969.  
970. Director,National Security Agency
971.  
972.  
973. Attention: Vulnerability Reporting Program
974.  
975.  
976. 9800 Savage Road
977.  
978.  
979. Fort George G. Meade, MD 20755-6000
980.  
981.  
982. (301) 688-6079
983. ELECTRONIC FUNDS TRANSFER CERTIFICATION 
984.  
985. ELECTRONIC FUNDS TRANSFER CERTIFICATION PROGRAM
986.  
987.  
988.  
989. DEPARTMENT OF TREASURY'S 
990.  
991.  
992. Assistant Director, Security Programs
993.  
994.  
995. Department of Treasury
996.  
997.  
998. 15th and Pennsylvania Avenue NW
999.  
1000.  
1001. Washington, DC 20220
1002.  
1003.  
1004. (202) 566-5152
1005.  
1006.  
1007.  
1008. DOCKMASTER AND VERIFICATION TOOLS
1009.  
1010.  
1011.  
1012. National Computer Security Center
1013.  
1014.  
1015. Attention: Computer Hardware and Software Support Division
1016.  
1017.  
1018. 9800 Savage Road
1019.  
1020.  
1021. Fort George G. Meade, MD 20755-6000
1022.  
1023.  
1024. (301) 859-4360
1025.  
1026.  
1027.  
1028. INDEPENDENT RESEARCH AND DEVELOPMENT 
1029.  
1030. INDEPENDENT RESEARCH AND DEVELOPMENT PROJECTS PROGRAM
1031.  
1032.  
1033.  
1034. National Computer Security Center
1035.  
1036.  
1037. Attention: Office of Computer Security Research and
1038.  
1039.  
1040. Development
1041.  
1042.  
1043. 9800 Savage Road
1044.  
1045.  
1046. Fort George G.Meade, MD 20755-6000
1047.  
1048.  
1049. (301) 859-4486
1050.  
1051.  
1052. INDUSTRIAL TEMPEST PROGRAM
1053.  
1054.  
1055.  Ford Aerospace and Communications Corporation
1056.  
1057.  
1058.  Attention: Mail Stop 3 (Industrial TEMPEST Program)
1059.  
1060.  
1061.  7170 Standard Drive
1062.  
1063.  
1064.  Hanover, MD 21076
1065.  
1066.  
1067.  (301) 796-5254
1068.  
1069.  
1070.  
1071. PUBLICATIONS AND TRAINING
1072.  
1073.  
1074.  
1075. Superintendent of Documents
1076.  
1077.  
1078. U.S. Government Printing Office
1079.  
1080.  
1081. ashington, DC 20402
1082.  
1083.  
1084. (202) 783-3238
1085.  
1086.  
1087.  
1088.  
1089.  
1090.  U.S. Department of Commerce
1091.  
1092.  
1093.  National Technical Information Service
1094.  
1095.  
1096.  5285 Port Royal Road
1097.  
1098.  
1099.  Springfield, VA 22161
1100.  
1101.  
1102.  (703) 487-4650
1103.  
1104.  
1105.  
1106. SECURE DATA NETWORK SYSTEM PROGRAM
1107.  
1108.  
1109.  
1110. Director, National Security Agency
1111.  
1112.  
1113. Attention: Secure Data Network Systems SPO
1114.  
1115.  
1116. 9800 Savage Road
1117.  
1118.  
1119. Fort George G. Meade, MD 20755-6000
1120.  
1121.  
1122. (301)668-7110
1123. TECHNICAL GUIDELINES
1124.  
1125.  
1126.  
1127. National Computer Security Center
1128.  
1129.  
1130. Attention: Technical Guidelines Division
1131.  
1132.  
1133. 9800 Savage Road
1134.  
1135.  
1136. Fort George G. Meade, MD 20755-6000
1137.  
1138.  
1139.  
1140. REFERENCES
1141.  
1142.  
1143.  
1144.  
1145.  
1146.  
1147. DoD 3204.1, Independent Research and Development, Under Secretary
1148. of Defense for Research and Engineering, 1 December 1983.
1149.  
1150.  
1151. DoD Directive 5200.28, Security Requirements for Automatic Data
1152. Processing (ADP) Systems, revised April 1978.
1153.  
1154.  
1155. DoD 5200.28-STD, Department of Defense Standard, Department of
1156. Defense Trusted Computer System Evaluation Criteria, December
1157. 1985; supersedes CSC-STD-001, dated 15 August 1983.
1158.  
1159.  
1160. DoD Directive 5215.1, Computer Security Evaluation Center, 25
1161. October 1982.
1162.  
1163.  
1164. DoD Instruction 5215.2, Computer Security Technical Vulnerability
1165. Reporting Program, 2 September 1986.
1166.  
1167.  
1168. National Telecommunications and Information System Security Policy
1169. No. 200, National Policy on Controlled Access Protection Policy,
1170. 15 July 1987.
1171.  
1172.  
1173. NCSC-TG-005 Version 1, Trusted Network Interpretation of The Trusted
1174. Computer System Evaluation Criteria, 31 July 1987.
1175. ATTACHMENT I
1176.  
1177. SPECIFICATIONS AND DESIGN DOCUMENTATION
1178.  
1179.  
1180.  
1181. When a vendor enters into a product evaluation, he must present
1182. evidence that his system and its design meets the appropriate
1183. criteria requirements. Examples of the type of evidence normally
1184. submitted to support an evaluation include the design specifications
1185. that explain the security mechanisms, the Trusted Computing Base
1186. (TCB) arguments that show how the TCB is tamperproof, always invoked
1187. and small enough to be analyzed. Also, the model (or philosophy
1188. of protection) and how it relates to the implementation are important
1189. parts of the evidence. The best test of evidence is that it must
1190. include all the information such that a new team that is basically
1191. unfamiliar with the product could evaluate only the evidence and
1192. reach the proper conclusion. 
1193.  
1194.  
1195. In order for the evaluation team to review this evidence and determine
1196. whether the system complies with these requirements, the team
1197. must develop a conceptual understanding of how the system being
1198. evaluated operates. Generally, the evaluation team can acquire
1199. this level of understanding by reviewing the vendor's system documentation
1200. and specifications. The following types of high level system documents
1201. are typically required by the evaluation team:
1202. User-Level Documentation
1203.  
1204.  
1205.  
1206. Provides users an overview of the system, its functioning, and
1207. information on user services. 
1208. Operational Manuals
1209.  
1210.  
1211.  
1212. Contains general description,implementation and usage information
1213. for the system. It is intended for use by system programmers who
1214. service the system. 
1215. Program Logic Manuals
1216.  
1217.  
1218.  
1219. Documents the internal operation and organization of a system.
1220. It is intended for use by system programmers for program maintenance
1221. and to determine the location of program malfunctions. 
1222.  
1223.  
1224. Administrative Manuals
1225.  
1226.  
1227. Documents the procedures for installing and generating the system.
1228.  
1229.  
1230.  
1231. Hardware and Software System Specifications
1232.  
1233.  
1234. Includes Hardware and Software design and implementation details
1235. of
1236.  
1237.  
1238. the system major components
1239.  
1240.  
1241.  
1242. ATTACHMENT II
1243.  
1244. TEST PLANNING
1245.  
1246.  
1247.  
1248. The Department of Defense Trusted Computer System Evaluation Criteria
1249. (Orange Book) requires that vendors provide a document to the
1250. evaluators that describes the test plan, test procedures, and
1251. the results of the security mechanisms functional testing. Security
1252. mechanisms are those mechanisms that are relevant to the Orange
1253. Book. These include object reuse, labeling, discretionary access
1254. control (DAC), mandatory access control (MAC), identification
1255. and authentication, auditing, and trusted path. A security related
1256. functional test plan should determine whether the system being
1257. evaluated has any design and implementation flaws that would permit
1258. a subject external to the Trusted Computing Base (TCB) to read,
1259. change, or delete data which he would not normally have access
1260. to under the mandatory or discretionary security policy enforced
1261. by the TCB. [The TCB is defined by the TCSEC as "the totality
1262. of protection mechanisms within a computer system- including hardware,
1263. firmware, and software-the combination of which is responsible
1264. for enforcing a security policy"]. Security related functional
1265. tests involve all security properties of a system (i.e., all aspect
1266. of the TCB that affect or can be affected by a security mechanism).
1267. COVERAGE OF TESTING
1268.  
1269.  
1270.  
1271. Although many standard testing methods are acceptable in fulfilling
1272. the Orange Book testing requirements, they are, for all but very
1273. small or simplistic systems, impractical to use due to the large
1274. amount of resources required. Some methods of testing that have
1275. in the past proven to be sufficient and were reasonable to implement
1276. are Interface and Mechanism testing. 
1277.  
1278.  
1279. Interface testing refers to testing the TCB at the user interface
1280. (i.e., user callable routines). Generally, critical boundaries
1281. of each security mechanism are determined and test cases on both
1282. sides of these boundaries are generated. The critical boundary
1283. of a security mechanism is the point at which the rule it is designed
1284. to implement is or is not invoked. This provides more assurance
1285. that the view of the system presented to a user is correct.
1286.  
1287.  
1288. Mechanism testing refers to the testing of the security mechanisms
1289. that the TCB supports (i.e., DAC , object reuse, audit, etc.).
1290. Mechanism can consist of one or more interface, and some interfaces
1291. can be called by different mechanisms. Mechanism testing shows
1292. that the TCB supports these mechanisms. The sufficiency of the
1293. different methods of testing are dependent on the particular class
1294. of the Orange Book the system is being evaluated against.
1295. TESTING A B2-A1 SYSTEM
1296.  
1297.  
1298.  
1299. TCB interface testing is sufficient. Every interface must be tested.
1300. Since B2, B3 or A1 systems are well structured, and their Detailed
1301. Top Level Specifications (DTLS) and Formal Top Level Specifications
1302. (FTLS) provide a complete and accurate description of the TCB
1303. interface, the testing of the TCB interfaces can reasonably be
1304. expected to be very comprehensive.
1305. TESTING A C1-B1 SYSTEM
1306.  
1307.  
1308.  
1309. Mechanism testing is probably sufficient. The structure allowed
1310. by a C1-B1 architecture would most likely make interface testing
1311. impractical. It is likely that an evaluation team may determine,
1312. through inspection of the system's test plan and its architecture,
1313. that black box testing of the interface is insufficient and requires
1314. "white box" testing of instrumental code sections.
1315. DOCUMENTATION
1316.  
1317.  
1318.  
1319. Documentation of a test should be specific and briefly describe
1320. the TCB mechanism being tested. The expected results of each test
1321. case should be set forth. The test documentation should also contain
1322. an overview of the test methods being used, and the security properties
1323. which are and are not pertinent for each particular mechanism.
1324. A list of all assumptions being made about the testing environment
1325. should also be included . 
1326.  
1327.  
1328. The Orange Book functional testing requirements also require that
1329. both the system and the test plan be maintained using good configuration
1330. management techniques. This allows the vendor to provide a form
1331. of Life-cycle assurances for the system. Life-cycle assurance
1332. is a procedure for managing system design, development, and maintenance
1333. using a method of rigorous and formalized controls and standards.
1334. It allows the vendor to reevaluate the system when changes are
1335. made to determine whether the integrity of the protection mechanism
1336. has been affected
1337. ATTACHMENT III
1338.  
1339. REQUIRED DOCUMENTATION
1340.  
1341.  
1342.  
1343. The Orange Book requires that a vendor produce documentation which
1344. describes the system protection mechanisms, 
1345.  
1346.  
1347. how the system can operate using these protection mechanisms,
1348. how the system developer designed security into the system, and
1349. how these security features and system were tested. The amount
1350. of documentation required increases with the targeted Orange Book
1351. class. The specific requirements are listed below starting at
1352. the lower Orange Book classes and progressing through the higher
1353. classes. In some cases, additional documentation may be required
1354. C1 - DISCRETIONARY ACCESS CONTROL
1355.  
1356.  
1357.  
1358. Security Features User's Guide tells users how to use the security
1359. mechanisms of the system. It provides the necessary information
1360. to understand and effectively use the discretionary access control
1361. mechanisms to protect information.
1362.  
1363.  
1364. Trusted Facility Manual tells the system administrator how to
1365. set the system up so that it stays secure. It should tell the
1366. administrator how to select the proper options such that the system
1367. is operated in a mode that meets the requirements of the Criteria.
1368. If there are unsecure modes that the system can run in, the manual
1369. should clearly state their impact on the security and include
1370. warnings as appropriate. This manual should also include any procedures
1371. the administrator should use during operations to maintain security.
1372. If any of the hardware/software features require administrator
1373. actions to complete the security protection, they should be thoroughly
1374. described.
1375.  
1376.  
1377. Test Documentation describes results of security mechanism's functional
1378. testing. This documentation is used by the evaluation team to
1379. assess the testing performed by the vendor. This document describes
1380. those tests, how they are run, and how to properly interpret the
1381. results.
1382.  
1383.  
1384. Design documentation provides the rationale and supporting evidence
1385. for the security of the design of the system. The descriptive
1386. specifications are included in this evidence. It is intended to
1387. provide the sort of information a new developer would need in
1388. order to support the system. It should include the manufacturer's
1389. philosophy of protection. If the TCB consists of distinct modules,
1390. the design documentation describes the interfaces between these
1391. modules.
1392. C2 - CONTROLLED ACCESS PROTECTION
1393.  
1394.  
1395.  
1396. Security Features User's Guide remains the same as C1. 
1397.  
1398.  
1399. Trusted Facility Manual is the same as C1, but also requires details
1400. on how to maintain audit data.
1401.  
1402.  
1403. Test Documentation remains the same as C1.
1404.  
1405.  
1406. Design Documentation is the same as C1.
1407. B1 - MANDATORY PROTECTION
1408.  
1409.  
1410.  
1411. Security Features User's Guide remains the same as C2., but also
1412. describes the additional security mechanisms required at this
1413. class (i.e., Mandatory Access Control).
1414.  
1415.  
1416. Trusted Facility Manual remains the same as C2, but also describes
1417. the operator and administrator functions related to security.
1418. This includes an explanation of what's involved in changing the
1419. security characteristics of a user, and a description of facility
1420. procedures, warnings, and privileges that need to be controlled
1421. in order to operate the facility in a secure manner.
1422.  
1423.  
1424. Test Documentation remains the same as C2.
1425.  
1426.  
1427. Design Documentation remains the same as C2, but also describes
1428. the security policy model (either formally, i.e., mathematically,
1429. or informally, i.e., in English) and how the TCB implements this
1430. model.
1431. B2 - STRUCTURED PROTECTION
1432.  
1433.  
1434.  
1435. Security Features User's Guide remains the same as B1, but also
1436. describes the additional security mechanisms required by this
1437. class (i.e., Trusted Path).
1438.  
1439.  
1440. Trusted Facility Manual remains the same as B1, but also details
1441. what constitutes the TCB and how it can be modified. It also describes
1442. how separate operator and administrator functions need to be supported.
1443.  
1444.  
1445. Test Documentation remains the same as B1, but includes the results
1446. of covert channel tests. Covert channels are communication paths
1447. that allow a process to transfer information in a manner that
1448. violates the system's security policy.
1449.  
1450.  
1451. Design Documentation remains the same as B1, but also includes
1452. a formal description of the model, and proof that it is sufficient
1453. for the policy. It will also describe how the TCB implements the
1454. reference monitor concept and how it enforces the principle of
1455. least privilege.
1456. B3 - SECURITY DOMAINS
1457.  
1458.  
1459.  
1460. Security Features User's Guide remains the same as B2, but also
1461. describes the additional security mechanisms required at this
1462. class .
1463.  
1464.  
1465. Trusted Facility Manual remains the same as B2, but also includes
1466. a description on how to start up and restore the system security.
1467. It also describes the role of the Security Administrator.
1468.  
1469.  
1470. Test Documentation remains the same as B2.
1471.  
1472.  
1473. Design Documentation remains the same as B2, but also includes
1474. the correspondence between the Detailed Top Level Specifications
1475. and the TCB. The TCB implementation is also shown to be informally
1476. consistent with the Detailed Top Level Specifications.
1477. A1 - VERIFIED PROTECTION
1478.  
1479.  
1480.  
1481. Security Features Users's Guide remains the same as B3.
1482.  
1483.  
1484. Trusted Facility Manual remains the same as B3.
1485.  
1486.  
1487. Test Documentation remains the same as B3, but also includes the
1488. results of the mapping between the Formal Top Level Specifications
1489. and the TCB source code.
1490.  
1491.  
1492. Design Documentation remains the same as B3, but also includes
1493. a description of the components that are strictly internal to
1494. the TCB. It also includes a Formal Top Level Specification to
1495. TCB correspondence.
1496.  
1497.  
1498.  
1499. ;