10.9 Оценочный уровень доверия 7 (ОУД7), предусматривающий формальную верификацию проекта и тестирование "МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

Действия

Главная
"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

действует Редакция от 18.12.2008 Подробная информация

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

10.9 Оценочный уровень доверия 7 (ОУД7), предусматривающий формальную верификацию проекта и тестирование

10.3.1 Цели

ОУД7 применим при разработке безопасных ОО для использования в ситуациям чрезвычайно высокого риска и/или там, где высокая ценность активов оправдывает повышенные затраты. Практическое применение ОУД7 в настоящее время ограничено ОО, которые строго ориентированы на реализацию функциональных возможностей безопасности и для которым возможен подробный формальный анализ.

10.9.2 Компоненты доверил

ОУД7 (см. таблицу 13) обеспечивает доверие посредством анализа функций безопасности с использованием для понимания режима безопасности функциональной спецификации, полной спецификации интерфейсов, руководств, проекта ОО верхнего и нижнего уровней, а также структурированного представления реализации. Доверие дополнительно достигается применением формальной модели политики безопасности ОО, формального представления функциональной спецификации и проекта верхнего уровня, полуформального представления проекта нижнего уровня, а также формальной (если требуется) и полуформальной демонстрации соответствия между ними. Кроме того, требуется модульное и иерархическое (по уровням) и простое проектирование ОО.

Анализ поддержан независимым тестированием ФБО, свидетельством разработчика об испытаниям, основанных на функциональной спецификации, проекте верхнего уровня, проекте нижнего уровня и представлении реализации, полным независимым подтверждением результатов тестирования разработчиком. анализом стойкости функций, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с высоким потенциалом нападения. Анализ также включает в себя проверку правильности систематического анализа разработчиком скрытых каналов.

ОУД7 также обеспечивает доверие посредством использования структурированного процесса разработки, средств контроля среды разработки, всестороннего управления конфигурацией ОО, включая полную автоматизацию, и свидетельства безопасных процедур поставки.

ОУД7 представляет значимое увеличение доверия по сравнению с ОУД6. требуя всестороннего анализа, использующего формальные представления и формальное соответствие, а также всестороннего тестирования,

Таблица 13 - ОУД7

Класс доверия	Компоненты доверия
ACM: Управление конфигурацией	ACM_AUT.2 Полная автоматизация УК
	АСМ_САР.5 Расширенная поддержка
	АСМ_5СР.3 Охват УК инструментальных средств разработки
ADO: Поставка и эксплуатация	ADO_DEL.3 Предотвращение модификации
ADO: Поставка и эксплуатация	ADО_IGS.1 Процедуры установки, генерации и запуска
ADV: Разработка	ADV_FSP.4 Формальная функциональная спецификация
	ADV_HLD.5 Формальный проект верхнего уровня
	ADV_IMP.3 Структурированная реализация ФБО
	ADV_INT.3 Минимизация сложности
	ADV_LLD.2 Полуформапьный проект нижнего уровни
	ADV_RCR.3 Формальная демонстрация соответствия
	ADV_SPM.3 Формальная модель политики безопасности ОО
AGD: Руководства	AGD_ADM.1 Руководство администратора
AGD: Руководства	AGD_U3R.1 Руководство пользователя
ALC: Поддержка жизненного цикла	ALC_DVS.2 Достаточность мер безопасности
	ALC_LCD.3 Измеримая модель жизненного цикла
	ALС_ТАТ.3 Соответствие всех частей объекта оценки стандартам реализации
ATE: Тестирование	ATE_COV.3 Строгий анализ покрытия
	ATE_DPT.3 Тестирование ни уровне реализации
	ATE_FUN.2 Упорядоченное функциональное тестирование
	ATE_IND.3 Полное независимое тестирование
AVA: Оценка уязвимостей	AVA_CCA.2 Систематический анализ скрытых каналов
	AVA_MSU.3 Анализ и тестирование опасных состояний
	AVA_SQF.1 Оценка стойкости функции безопасности ОО
	AVA_VLA.1 Высокостойкий

Главная
"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

Наименование документ	"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)
Вид документа	приказ, стандарт, гост
Принявший орган	ростехрегулирование
Номер документа	521-СТ
Дата принятия	01.01.1970
Дата редакции	18.12.2008
Дата регистрации в Минюсте	01.01.1970
Статус	действует
Публикация	На момент включекния в базу документ опубликован не был
Навигатор	Примечания

Законодательная база Российской Федерации

Бесплатная консультация

Навигация

Федеральное законодательство

Действия