Последнее обновление: 25.04.2024
Законодательная база Российской Федерации
8 (800) 350-23-61
Бесплатная горячая линия юридической помощи
- Главная
- "МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)
10.8 Оценочный уровень доверия 6 (ОУД6), предусматривающий полуформальную верификацию проекта и тестирование
10.8.1 Цели
ОУД6 позволяет разработчикам достичь высокого уровня доверия путем применения специальных методов проектирования безопасности в строго контролируемой среде разработки с целью получения высококачественного ОО для защиты высоко оцениваемый активов от значительных рисков.
Поэтому ОУД6 применяют для разработки безопасных ОО с целью использования в ситуациях высокого риска, где ценность защищаемых активов оправдывает дополнительные затраты.
10.8.2 Компоненты доверия
ОУД6 (см. таблицу 12) обеспечивает доверие посредством анализа функций безопасности с использованием для понимания режима безопасности функциональной спецификации, полной спецификации интерфейсов., руководств, проекта ОО верхнего уровня и нижнего уровня, а также структурированного представления реализации. Доверие дополнительно достигается применением формальной модели политики безопасности ОО и полуформального представления функциональной спецификации, проекта верхнего уровня и проекта нижнего уровня, а также полуформальной демонстрации соответствия между ними. Кроме того, требуется модульное и иерархическое (по уровням) проектирование ОО.
Анализ поддержан независимым тестированием ФБО, свидетельством разработчика об испытаниях. основанных на функциональной спецификации, проекте верхнего уровня и проекте нижнего уровня, выборочным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с высоким потенциалом нападения. Анализ также включает в себя проверку правильности систематического анализа разработчиком скрытых каналов.
ОУД6 также обеспечивает доверие посредством использования структурированного процесса разработки, контроля среды разработки, всестороннего управления конфигурацией ОО. включал полную автоматизацию, и свидетельства безопасных процедур поставки.
ОУД6 представляет значимое увеличение доверил по сравнению с ОУД5, требуя всесторонне-го анализа, структурированного представления реализации, болев стройной структуры (например, с разбиением на уровни), всестороннего независимого анализа уязвимостей, систематической идентификации скрытых каналов, улучшенного управления конфигурацией и улучшенного контроля среды разработки.
Таблица 12 - ОУД6
- Главная
- "МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)