Приложение Б. РАСШИРЕННЫЕ (СПЕЦИАЛЬНЫЕ) КОМПОНЕНТЫ ТРЕБОВАНИЙ ДОВЕРИЯ К БЕЗОПАСНОСТИ ОБЪЕКТА ОЦЕНКИ
Приложение Б 
РАСШИРЕННЫЕ (СПЕЦИАЛЬНЫЕ) КОМПОНЕНТЫ
ТРЕБОВАНИЙ ДОВЕРИЯ К БЕЗОПАСНОСТИ ОБЪЕКТА ОЦЕНКИ
Для ОО определены следующие расширенные (специальные) компоненты требований доверия к безопасности: ALC_FPU_EXT.1 "Процедуры обновления программного обеспечения операционной системы", AMA_SIA_EXT.3 "Анализ влияния обновлений на безопасность операционной системы" и AMA_SIA_EXT.6 "Анализ влияния внешних модулей уровня ядра на безопасность операционной системы", сформулированные в явном виде в стиле компонентов из национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности".
Б.1. Класс ALC "Поддержка жизненного цикла"
Б.1.1. Процедуры обновления программного
обеспечения операционной системы (ALC_FPU_EXT)
Цели
Процедуры обновлений программного обеспечения должны быть разработаны, реализованы и подвергнуты контролю испытательной лабораторией в целях качественного проведения работ по устранению уязвимостей операционной системы, а также недопущения внесения уязвимостей в операционную систему при ее обновлении.
|
ALC_FPU_EXT.1
|
Процедуры обновления программного обеспечения ОС
|
|
Иерархический для:
|
нет подчиненных компонентов.
|
|
Зависимости:
|
отсутствуют.
|
|
Элементы действий заявителя (разработчика, производителя)
|
|
|
ALC_FPU_EXT.1.1D
|
Заявитель (разработчик, производитель) должен разработать и реализовать технологию обновления операционной системы для [выбор: обновление, направленное на устранение уязвимостей ОО; иное обновление, оказывающее влияние на безопасность ОО; обновление, не оказывающее влияния на безопасность ОО].
|
|
ALC_FPU_EXT.1.2D
|
Заявитель (разработчик, производитель) должен разработать и поддерживать регламент обновления программного обеспечения ОС.
|
|
ALC_FPU_EXT.1.3D
|
Заявитель (разработчик, производитель) должен разработать и реализовать процедуру уведомления потребителей о выпуске обновлений ОС, основанную на [назначение: способы уведомления].
|
|
ALC_FPU_EXT.1.4D
|
Заявитель (разработчик, производитель) должен разработать и реализовать процедуру предоставления обновлений потребителям ОС, основанную на [назначение: способы предоставления обновлений].
|
|
ALC_FPU_EXT.1.5D
|
Заявитель (разработчик, производитель) должен разработать и реализовать процедуру представления обновлений в испытательную лабораторию для проведения внешнего контроля, основанную на [назначение: способы предоставления обновлений для контроля].
|
|
Элементы содержания и представления документированных материалов
|
|
|
ALC_FPU_EXT.1.1C
|
Документация ОС должна содержать описание технологии выпуска обновлений ОС.
|
|
ALC_FPU_EXT.1.2C
|
Документация ОС должна содержать регламент обновления ОС, включающий:
а) идентификацию типов выпускаемых обновлений;
б) описание процедуры уведомления потребителей о выпуске обновлений;
в) описание процедуры предоставления обновлений потребителям;
г) описание содержания эксплуатационной документации на выпускаемые обновления;
д) [назначение: иная информация].
|
|
ALC_FPU_EXT.1.3C
|
Регламент обновления ОС должен предусматривать включение в эксплуатационную документацию на выпускаемые обновления описания следующих процедур:
а) процедуры получения обновления;
б) процедуры контроля целостности обновления;
в) типовой процедуры тестирования обновления;
г) процедуры установки и применения обновления;
д) процедуры контроля установки обновления;
е) процедуры верификации (проверки) применения
обновления.
|
|
ALC_FPU_EXT.1.4C
|
Документация процедуры представления обновлений для проведения внешнего контроля должна содержать:
а) описание процедуры предоставления обновлений для внешнего контроля;
б) требования к предоставлению и содержанию методики тестирования обновления заявителем;
в) требования к оформлению и предоставлению результатов тестирования обновления заявителем;
г) [назначение: иная информация].
|
|
Элементы действий испытательной лаборатории
|
|
|
ALC_FPU_EXT.1.1E
|
Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированных материалов, изложенным в ALC_FPU_EXT.1.1C - ALC_FPU_EXT.1.4C.
|
|
ALC_FPU_EXT.1.2E
|
Испытательная лаборатория должна проверить, что процедура представления обновлений для проведения внешнего контроля позволяет организовать и проводить их внешний контроль.
|
Б.1.2. Определение жизненного цикла (ALC_LCD)
|
ALC_LCD_EXT.3
|
Определенные разработчиком сроки поддержки
|
|
Зависимости:
|
отсутствуют.
|
|
Элементы действий (разработчика, производителя)
|
|
|
ALC_LCD_EXT.3.1D
|
Заявитель, разработчик, производитель должны установить в совместной декларации срок [назначение: срок], в течение которого они обязуются выполнять все необходимые действия по поддержке ОО, направленные на обеспечение поддержания сертификата соответствия ОО требованиям безопасности информации.
|
|
ALC_LCD_EXT.3.2D
|
Заявитель, разработчик, производитель должны обеспечить представление совместной декларации о сроке поддержки ОО вместе с заявкой на сертификацию ОО.
|
|
Элементы содержания и представления документированных материалов
|
|
|
ALC_LCD_EXT.3.1C
|
Декларация о сроке поддержки ОО должна содержать план поддержки ОО на весь задекларированный срок, включающий описание всех предпринимаемых действий по обеспечению поддержания сертификата соответствия ОО требованиям безопасности информации.
|
|
ALC_LCD_EXT.3.2C
|
Декларация о сроке поддержки ОО должна содержать сведения о поддерживаемой версии ОО.
|
|
Элементы действий испытательной лаборатории
|
|
|
ALC_LCD_EXT.3.1E
|
Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_LCD_EXT.3.1C и ALC_LCD_EXT.3.2C.
|
Б.2. Класс AMA "Поддержка доверия"
Б.2.1. Анализ влияния на безопасность (AMA_SIA)
Цели
Назначение семейства AMA_SIA состоит в том, чтобы убедиться в поддержке доверия к ОО посредством анализа, проводимого разработчиком, по определению влияния на безопасность всех изменений, воздействующих на ОО после его сертификации.
|
AMA_SIA_EXT.3
|
Анализ влияния обновлений на безопасность ОС
|
|
Иерархический для:
|
нет подчиненных компонентов.
|
|
Зависимости:
|
ALC_FPU_EXT.1 Процедуры обновления программного обеспечения ОС.
|
|
Элементы действий заявителя (разработчика, производителя)
|
|
|
AMA_SIA_EXT.3.1D
|
Заявитель (разработчик, производитель) должен представить материалы анализа влияния обновлений на безопасность ОС.
|
|
Элементы содержания и представления документированных материалов
|
|
|
AMA_SIA_EXT.3.1C
|
Материалы анализа влияния обновлений на безопасность операционной системы должны содержать краткое описание влияния обновлений на задание по безопасности, реализацию операционной системой функциональных возможностей, или логическое обоснование отсутствия такого влияния, подтверждение устранения уязвимости (уязвимостей), на устранение которой (которых) направлен выпуск данных обновлений и невнесения иных уязвимостей в операционную систему.
|
|
AMA_SIA_EXT.3.2C
|
Материалы анализа влияния обновлений на безопасность ОС для обновлений, влияющих на безопасность, должны идентифицировать функции безопасности и компоненты ОС, на которые влияет данное обновление.
|
|
Элементы действий испытательной лаборатории
|
|
|
AMA_SIA_EXT.3.1E
|
Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированных материалов, изложенным в AMA_SIA_EXT.3.1C, AMA_SIA_EXT.3.2C.
|
|
AMA_SIA_EXT.3.2E
|
Испытательная лаборатория должна подтвердить влияние (отсутствие влияния) обновлений на безопасность ОС.
|
|
AMA_SIA_EXT.6
|
Анализ влияния внешних модулей уровня ядра на безопасность операционной системы
|
|
Иерархический для:
|
нет подчиненных компонентов.
|
|
Зависимости:
|
отсутствуют.
|
|
Элементы действий заявителя (разработчика, производителя)
|
|
|
AMA_SIA_EXT.6.1D
|
Разработчик (заявитель, производитель) должен предоставлять в испытательную лабораторию материалы анализа влияния внешних модулей уровня ядра на безопасность операционной системы и комплект идентифицированных (промаркированных) внешних модулей уровня ядра.
|
|
Элементы содержания и представления документированных материалов
|
|
|
AMA_SIA_EXT.6.1C
|
Материалы анализа влияния внешних модулей уровня ядра на безопасность операционной системы должны содержать краткое описание влияния внешних модулей уровня ядра на задание по безопасности, функции безопасности операционной системы или содержать логическое обоснование отсутствия такого влияния.
|
|
AMA_SIA_EXT.6.2C
|
Материалы анализа влияния внешних модулей уровня ядра операционной системы на безопасность операционной системы, должны идентифицировать функции безопасности и компоненты операционной системы, на которые влияют внешние модули уровня ядра.
|
|
Элементы действий испытательной лаборатории
|
|
|
AMA_SIA_EXT.6.1E
|
Испытательная лаборатория должна подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению документированных материалов.
|
|
AMA_SIA_EXT.6.2E
|
Испытательная лаборатория должна подтвердить влияние (отсутствие влияния) внешних модулей уровня ядра на безопасность операционной системы.
|
