7.2.5. Тестирование (ATE)
ATE_COV.2
|
Анализ покрытия
|
Зависимости:
|
ADV_FSP.2 Детализация вопросов безопасности в функциональной спецификации;
ATE_FUN.1 Функциональное тестирование.
|
Элементы действий разработчика
|
|
ATE_COV.2.1D
|
Разработчик должен представить анализ покрытия тестами.
|
Элементы содержания и представления документированных материалов
|
|
ATE_COV.2.1C
|
Анализ покрытия тестами должен демонстрировать соответствие между тестами из тестовой документации и ИФБО из функциональной спецификации.
|
ATE_COV.2.2C
|
Анализ покрытия тестами должен демонстрировать, что все ИФБО из функциональной спецификации были подвергнуты тестированию.
|
Элементы действий оценщика
|
|
ATE_COV.2.1E
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ATE_COV.2.1C и ATE_COV.2.2C.
|
Работы оценки
Оценщик должен выполнить действия в соответствии с пунктом 13.3.2 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
ATE_DPT.2
|
Тестирование: модули, осуществляющие безопасность
|
Зависимости:
|
ADV_ARC.1 Описание архитектуры безопасности
ADV_TDS.3 Базовый модульный проект
ATE_FUN.1 Функциональное тестирование
|
Элементы действий разработчика
|
|
ATE_DPT.2.1D
|
Разработчик должен представить анализ глубины тестирования.
|
Элементы содержания и представления документированных материалов
|
|
ATE_DPT.2.1C
|
Анализ глубины тестирования должен демонстрировать соответствие между тестами в тестовой документации и подсистемами ФБО, а также осуществляющими выполнение ФТБ модулями из проекта ОО.
|
Замечания по применению:
|
|
Для каждого интерфейса каждой функции обеспечения ИБ должны быть предусмотрены процедуры тестирования, соответствующие этому интерфейсу.
|
|
ATE_DPT.2.2C
|
Анализ глубины тестирования должен демонстрировать, что все подсистемы ФБО из проекта ОО были подвергнуты тестированию.
|
ATE_DPT.2.3C
|
Анализ глубины тестирования должен демонстрировать, что осуществляющие выполнение ФТБ модули из проекта ОО были подвергнуты тестированию.
|
Элементы действий оценщика
|
|
ATE_DPT.2.1E
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ATE_DPT.2.1C - ATE_DPT.2.3C.
|
Работы оценки
Оценщик должен выполнить действия в соответствии с пунктом 13.4.2 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
ATE_FUN.1
|
Функциональное тестирование
|
Зависимости:
|
ATE_COV.1 Свидетельство покрытия.
|
Элементы действий разработчика
|
|
ATE_FUN.1.1D
|
Разработчик должен протестировать ФБО и задокументировать результаты.
|
ATE_FUN.1.2D
|
Разработчик должен представить тестовую документацию.
|
Элементы содержания и представления документированных материалов
|
|
ATE_FUN.1.1C
|
Тестовая документация должна состоять из планов тестирования, а также ожидаемых и фактических результатов тестирования.
|
ATE_FUN.1.2C
|
В планах тестирования должны быть идентифицированы тесты, которые необходимо выполнить, а также должны содержаться описания сценариев проведения каждого теста. В эти сценарии должны быть включены также любые зависимости последовательности выполнения тестов от результатов других тестов.
|
Замечания по применению:
|
|
В среде разработки и тестирования не рекомендуется использование реальных данных, полученных в результате реализации банковских технологических процессов, технологических процессов финансовой организации.
В случае если для тестирования необходимы данные, максимально приближенные к реальным, рекомендуется формирование тестовых массивов данных путем необратимого обезличивания, маскирования и (или) искажения сведений, полученных в результате реализации банковских технологических процессов, технологических процессов финансовой организации. Запрещается использование в тестировании каких-либо данных, на которые на основании законодательства Российской Федерации, в том числе нормативных актов Банка России, внутренних документов организации БС Российской Федерации и (или) договоров с клиентами и контрагентами, распространяется требование к обеспечению ИБ.
|
|
ATE_FUN.1.3C
|
Ожидаемые результаты тестирования должны продемонстрировать прогнозируемые данные на выходе успешного выполнения тестов.
|
ATE_FUN.1.4C
|
Фактические результаты тестирования должны соответствовать ожидаемым.
|
Замечания по применению:
|
|
Факт выполнения теста должен подтверждаться протоколом тестирования, содержащим дату тестирования, указание на методику тестирования, использованные при выполнении теста исходные данные, полученный результат и решение об успешном или неуспешном выполнении теста.
|
|
Элементы действий оценщика
|
|
ATE_FUN.1.1E
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ATE_FUN.1.1C - ATE_FUN.1.4C.
|
Работы оценки
Оценщик должен выполнить действия в соответствии с пунктом 13.5.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
ATE_IND.2
|
Выборочное независимое тестирование
|
Зависимости:
|
ADV_FSP.2 Детализация вопросов безопасности в функциональной спецификации;
AGD_OPE.1 Руководство пользователя по эксплуатации;
AGD_PRE.1 Подготовительные процедуры;
ATE_COV.1 Свидетельство покрытия;
ATE_FUN.1 Функциональное тестирование.
|
Элементы действий разработчика
|
|
ATE_IND.2.1D
|
Разработчик должен представить ОО для тестирования.
|
Элементы содержания и представления документированных материалов
|
|
ATE_IND.2.1C
|
ОО должен быть пригоден для тестирования.
|
ATE_IND.2.2C
|
Разработчик должен представить набор ресурсов, эквивалентных использованным им при функциональном тестировании ФБО.
|
Элементы действий оценщика
|
|
ATE_IND.2.1E
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ATE_IND.2.1C и ATE_IND.2.2C.
|
ATE_IND.2.2E
|
Оценщик должен выполнить выборку тестов из тестовой документации, чтобы верифицировать результаты тестирования, полученные заявителем (разработчиком, производителем).
|
ATE_IND.2.3E
|
Оценщик должен протестировать ФБО так, чтобы подтвердить, что все ФБО функционируют в соответствии со спецификациями.
|
Работы оценки
Оценщик должен выполнить действия в соответствии с пунктом 13.6.2 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|