в базе 1 113 607 документа
Последнее обновление: 27.03.2024

Законодательная база Российской Федерации

Расширенный поиск Популярные запросы

8 (800) 350-23-61

Бесплатная горячая линия юридической помощи

Навигация
Федеральное законодательство
Содержание
  • Главная
  • "МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)
действует Редакция от 18.12.2008 Подробная информация
"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

10.7 Оценочный уровень доверия 5 (ОУД5), предусматривающий полуформальное проектирование и тестирование

10.7.1 Цели

ОУД5 позволяет разработчику достичь максимального увеличения доверия путем проектирования безопасности, основанного на строгой коммерческой практике разработки, поддержанного умеренным применением узкоспециализированных методов проектирования безопасности. Такие ОО будут, вероятно, проектироваться и разрабатываться с намереньем достичь ОУД5. Скорее всего, дополнительные затраты, сопутствующие требованиям ОУД5 в части строгости разработки, не будут большими без учета применения специализированных методов.

Поэтому ОУД5 применяют, если разработчикам или пользователям требуется независимо получаемый высокий уровень доверия для запланированной разработки со строгим подходом к разработке, не влекущим излишни* затрат на применение узкоспециализированным методов проектирования безопасности.

10.7.2 Компоненты доверия

ОУД5 (см. таблицу 11) обеспечивает доверие посредством анализа функций безопасности с использованием для понимания режима безопасности функциональной спецификации, полной спецификации интерфейсов. руководств, проекта ОО верхнего уровня и нижнего уровня, а также всей реализации. Доверие дополнительно достигается применением формальной модели политики безопасности ОО и полуформального представления функциональной спецификации и проекта верхнего уровня, а также полуформальной демонстрации соответствия между ними. Кроме этого, требуется модульное проектирование ОО.

Анализ поддержан независимым тестированием ФБО, свидетельством разработчика об испытаниях. основанных на функциональной спецификации, проекте верхнего уровня и проекте нижнего уровня, выборочным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с умеренным потенциалом нападения. Анализ также включает в себя проверку правильности анализа разработчиком скрытых каналов.

ОУД5 также обеспечивает доверие посредством использования контроля среды разработки, всестороннего управления конфигурацией ОО, включая автоматизацию, и свидетельства безопасных процедур поставки.

ОУД5 представляет значимое увеличение доверия по сравнению с ОУД4, требуя полуформального описания проекта, полной реализации, более структурированной (и, следовательно, лучше анализируемой) архитектуры, анализа скрытых каналов и улучшенных механизмов и/или процедур, что дает уверенность в том, что в ОО не будут внесены искажения во время разработки.

Таблица 11 - ОУД5

Класс доверия Компоненты доверия
ACM: Управление конфигурацией ACM_ALT.1 Частичная автоматизация УК
АСМ_САР.4 Поддержка генерации процедуры приемки
АСН_SСР.3 Охват УК инструментальных средств разработки
ADO: Поставка и эксплуатация ADO_DEL.2 Обнаружение модификации
ADO_IGS.1 Процедуры установки, генерации и запуска
ADV: Разработка ADV_FSP.3 Полуформальная функциональная спецификация
ADV_HLD.3. Полуфврмальный проект верхнего уровня
ADV_IMP.2 Реализация ФБО
ADV_INT.1 Модульность
ADV_LLD.1 Описательный проект нижнего уровня
ADV_RCR.2 Полуформальная демонстрация соответствия
ADV_SPM.3 Формальная модель политики безопасности ОО
AQD: Руководства AGD_ADM.1 Руководства администратора
AGD_USR.1 Руководство пользователя
ALC: Поддержка жизненного цикла ALC_DVS.1 Идентификация мер безопасности
ALC_LCD.2 Стандартизованная модель жизненного цикла
ALC_TAT.2 Соответствие стандартам реализации
ATE: Тестирование ATE_COV.2 Анализ покрытия
ATE_DPT.2 Тестирование: проект нижнего уровня
ATE_FUN.1 Функциональное тестирование
ATE_IND.2 Выборочное независимое тестировании
AVA: Оценка уязвимостей AVA_CCA.1 Анализ скрытых каналов
AVA_MSU.2 Подтверждение правильности анализа
AVA_SOF.1 Оценка стойкости функции безопасности ОО
AVA_VLA.3 Умеренно стойкий
  • Главная
  • "МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)