10.6 Оценочный уровень доверия 4 (ОУД4), предусматривающий методическое проектирование, тестирование и углубленную проверку "МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

Действия

Главная
"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

действует Редакция от 18.12.2008 Подробная информация

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

10.6 Оценочный уровень доверия 4 (ОУД4), предусматривающий методическое проектирование, тестирование и углубленную проверку

10.6.1 Цели

ОУД4 позволяет разработчику достичь максимального увеличения доверия путем применения надлежащего проектирования безопасности, основанного на обычной коммерческой практике разработки, которая, будучи строгой, не требует глубоких специальных знаний, навыков и других ресурсов. ОУД4 - самый высокий уровень, на который, вероятно, экономически целесообразно ориентироваться при оценке уже существующий продуктов.

Поэтому ОУД4 применяют, если разработчикам или пользователям требуется независимо подтверждаемый уровень доверия от умеренного до высокого в ОО общего назначения и имеется готовность нести дополнительные, производственные затраты, связанные с обеспечением безопасности.

10.6.2 Компоненты доверия

ОУД4 (см. таблицу 10) обеспечивает доверие посредством анализа функций безопасности с использованием для понимания режима безопасности функциональной спецификации, полной спецификации интерфейсов, руководств, проекта ОО верхнего уровня и нижнего уровня, а также подмножества реализации. Доверие дополнительно достигается применением неформальной модели политики безопасности ОО.

Анализ поддержан независимым тестированием ФБО, свидетельством разработчика об испытаниям, основанных на функциональной спецификации и проекте верхнего уровня, выборочным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с низким потенциалом нападения.

ОУД4 также обеспечивает доверие посредством использования мер управления средой разработки, дополнительного управления конфигурацией ОО, включая автоматизацию, и свидетельства безопасных процедур поставки.

ОУД4 представляет значимое увеличение доверия по сравнению с ОУД3, требуя более детального описания проекта, подмножества реализации и улучшенных механизмов и/или процедур, что дает уверенность в том, что в ОО не будут внесены искажения во время разработки или поставки.

Таблица 10 - ОУД4

Класс доверия	Компоненты доверия
ACM: Управления конфигурацией	ACM_AUT.1 Частичная автоматизации УК
	АСМ_САР.4 Поддержка генерации, процедуры приемки
	АСМ_5СР.2 Охват УК отслеживания проблем
ADO: Поставка и эксплуатация	ADO_DEI.2 Обнаружение модификации
ADO: Поставка и эксплуатация	ADO_IGS.1 Процедуры установки, генерации и запуска
ADV: Разработка	ADV_FSF.2 Полностью определенные внешние интерфейсы
	ADV_HLD.2 Детализация вопросов безопасности в проекте верхнего уровни
	ADVJMP.1 Подмножество реализации - ФБО
	ADV_LLD.1 Описательный проект нижнего уровня
	ADV_RCR.1 Неформальная демонстрация соответствия
	ADV_SPM.1 Неформальная модель политики безопасности ОО
AGD: Руководства	AGD_ADM.1 Руководство администратора
AGD: Руководства	AGD_USR.1 Руководство пользователя
ALC: Поддержка жизненного цикла	ALC_DVS.1 Идентификация мер безопасности
	ALC_LCD.1 Модель жизненного цикла, определенная разработчиком
	ALC_TAT.1 Полностью определенные инструментальные средства разработки
ATE: Тестирования	ATE_CQV.2 Анализ покрытия
	ATE_DPT.1 Тестирование: проект верхнего уровня
	ATE_FUN.1 Функциональное тестирование
	ATE_IND.2 Выборочное независимое тестирование
AVA: Оценка уязвимостей	AVA_MSU.2 Подтверждение правильности анализа
	AVA_SOF.1 Оценка стойкости функции безопасности ОО
	AVA_VLA.2 Независимый анализ уязвимостей

Главная
"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

Наименование документ	"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)
Вид документа	приказ, стандарт, гост
Принявший орган	ростехрегулирование
Номер документа	521-СТ
Дата принятия	01.01.1970
Дата редакции	18.12.2008
Дата регистрации в Минюсте	01.01.1970
Статус	действует
Публикация	На момент включекния в базу документ опубликован не был
Навигатор	Примечания

Законодательная база Российской Федерации

Бесплатная консультация

Навигация

Федеральное законодательство

Действия