7.2. Требования доверия к безопасности ОО
Требования доверия к безопасности ОО взяты из национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности" и образуют ОУД4, усиленный компонентами ADV_IMP.2 "Полное отображение представления реализации ФБО", ALC_FLR.2 "Процедуры сообщений о недостатках", AVA_VAN.5 "Усиленный методический анализ", расширенный компонентами ADV_IMP_EXT.3 "Реализация ОО", ALC_FPU_EXT.1 "Процедуры обновления программного обеспечения", ALC_LCD_EXT.3 "Определенные разработчиком сроки поддержки", AMA_SIA_EXT.3 "Анализ влияния обновлений на безопасность" и AVA_CCA_EXT.1 "Анализ скрытых каналов" (см. таблицу 7.3).
Таблица 7.3 - Требования доверия к безопасности ОО
Классы доверия
|
Идентификаторы компонентов доверия
|
Названия компонентов доверия
|
Разработка
|
ADV_ARC.1
|
Описание архитектуры безопасности
|
ADV_FSP.4
|
Полная функциональная спецификация
|
|
ADV_IMP.2 <*>
|
Полное отображение представления реализации ФБО
|
|
ADV_IMP_EXT.3 <*>
|
Реализация ОО
|
|
ADV_TDS.3
|
Базовый модульный проект
|
|
Руководства
|
AGD_OPE.1
|
Руководство пользователя по эксплуатации
|
AGD_PRE.1
|
Подготовительные процедуры
|
|
Поддержка жизненного цикла
|
ALC_CMC.4 <**>
|
Поддержка генерации, процедуры приемки и автоматизация
|
ALC_CMS.4
|
Охват УК отслеживания проблем
|
|
ALC_DEL.1
|
Процедуры поставки
|
|
ALC_DVS.1
|
Идентификация мер безопасности
|
|
ALC_FLR.2
|
Процедуры сообщений о недостатках
|
|
ALC_FPU_EXT.1
|
Процедуры обновления программного обеспечения
|
|
ALC_LCD.1
|
Определенная заявителем модель жизненного цикла
|
|
ALC_LCD_EXT.3
|
Определенные разработчиком сроки поддержки
|
|
ALC_TAT.1
|
Полностью определенные инструментальные средства разработки
|
|
Оценка задания по безопасности
|
ASE_CCL.1
|
Утверждения о соответствии
|
ASE_ECD.1
|
Определение расширенных компонентов
|
|
ASE_INT.1
|
Введение ЗБ
|
|
ASE_OBJ.2
|
Цели безопасности
|
|
ASE_REQ.2
|
Производные требования безопасности
|
|
ASE_SPD.1
|
Определение проблемы безопасности
|
|
ASE_TSS.1
|
Краткая спецификация ОО
|
|
Тестирование
|
ATE_COV.2
|
Анализ покрытия
|
ATE_DPT.2
|
Тестирование: модули обеспечения безопасности
|
|
ATE_FUN.1
|
Функциональное тестирование
|
|
ATE_IND.2
|
Выборочное независимое тестирование
|
|
Оценка уязвимостей
|
AVA_VAN.5
|
Усиленный методический анализ
|
AVA_CCA_EXT.1
|
Анализ скрытых каналов
|
|
Обновление ОО
|
AMA_SIA_EXT.3
|
Анализ влияния обновлений на безопасность ОО
|
Примечания:
|
||
<*> - Отмечены компоненты, конкретизированные в настоящем ПЗ для обеспечения унификации с действующими ПЗ ФСТЭК России и преемственности требований по контролю отсутствия недекларированных возможностей руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации: Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999).
|
||
<**> - Требования доверия настоящего ПЗ основаны на ОУД4, усиленном, с учетом предыдущего примечания, компонентом ADV_IMP.2, для которого по зависимости требуется компонент ALC_CMC.5. Однако для исключения чрезмерного завышения требований в настоящем ПЗ сохранен компонент ALC_CMC.4, который входит в состав ОУД4.
|