в базе 1 113 607 документа
Последнее обновление: 28.03.2024

Законодательная база Российской Федерации

Расширенный поиск Популярные запросы

8 (800) 350-23-61

Бесплатная горячая линия юридической помощи

Навигация
Федеральное законодательство
Содержание
  • Главная
  • "МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)
действует Редакция от 18.12.2008 Подробная информация
"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

13 Класс ADO. Поставка и эксплуатация

Класс ADO "Поставка и эксплуатация" содержит требования правильной поставки, установки, генерации и запуска ОО.

Декомпозиция класса ADO "Поставка и эксплуатация" на составляющие его семейства и иерархия компонентов этих семейств показаны на рисунке 9.

13.1 Поставка (ADO_DEL)

13.1.1 Цели

Требования для поставки предусматривают такие сродства и процедуры системы контроля и распространения, которые конкретизируют меры, необходимые для обеспечения доверия к тому, что безопасность ОО поддерживается во время распространения ОО. Для правильного выполнения распространения ОО процедуры, используемые для распространения ОО, должны учитывать идентифицированные в ПЗ/ЗБ угрозы, относящиеся к безопасности ОО во время поставки.

13.1.2 Ранжирование компонентов

Компоненты в этом семействе ранжированы на основе повышения требований к разработчику по поддержанию безопасности ОО во время его поставки.

13.1.3 Замечания по применению

Процедуры поставки могут затрагивать следующие проблемы:

а) обеспечение точного соответствия ОО, полученного потребителем, эталону ОО;

b) избежание / обнаружение какой-либо подделки актуальной версии ОО;

c) предотвращение представления фальсифицированной версии ОО;

d) избежание распространения нежелательной информации о распространении ОО потребителю;

e) избежание/обнаружение перехвата ОО во время поставки и

f) избежание задержки или недоставки ОО во время его распространения.

Хотя в процедурах рассматривается защита ОО во всех аспектах (целостность, конфиденциальность. доступность), технические меры, представленные в ADO_DEL.2 "Обнаружение модификации" и ADO_OEL3 "Предотвращение модификации", требуются только в отношении проблем целостности.

13.1.4 ADO_DEL.1 Процедуры поставки

Зависимости: нет зависимостей.

13.1.4.1 Элементы действий разработчика

13.1.4.1.1 ADO_DEL.1.1D

Разработчик должен задокументировать процедуры поставки ОО или его частей пользователю.

13.1.4.1.2 ADO_DEL1.2.D

Разработчик ДОЛЖЕН использовать процедуры поставки.

13.1.4.2 Элементы содержания и представления свидетельств

Документация поставки должна содержать описание всех процедур, необходимых для поддержки безопасности при распространении версий ОО к местам использования.

13.1.4.3 Элементы действий оценщика

13.1.4.3.1 ADO_DEL.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

13.1.5 ADO_DEL.2 Обнаружение модификации

Зависимости: АСМ_САР.З Средства контроля авторизации

13.1.5.1 Элементы действий разработчика

13.1.5.1.1 ADO_DEL.2.1D

Разработчик должен задокументировать процедуры поставки ОО или его частей пользователю.

13.1.5.1.2 ADO_DEL.2.2D

Разработчик должен использовать процедуры поставки.

13.1.5.2 Элементы содержания и представления свидетельств

13.1.5.2.1 ADO_DEL.2.1С

Документация поставки должна содержать описание всех процедур, необходимых для поддержки безопасности при распространении версий к местам использования.

13.1.5.2.2 ADO_DEL.2.2С

Документация поставки должна содержать описание, как различные процедуры и технические меры обеспечивают обнаружений модификаций или любого расхождения между оригиналом разработчика и версией, полученной в месте использования.

13.1.5.2.3 ADO_DEL.2.3C

Документация поставки должна содержать описание, как различные процедуры, позволяли обнаружить попытку подмены от имени разработчика, даже в тех случаях, когда разработчик ничего не отсылал к месту использования.

13.1.5.2.3 Элементы действий оценщика

13.1.5.3.1 ADО_DEL2.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

13.1.6 ADO_DEL.3 Предотвращение модификации

Зависимости: АСМ_САР.3 Средства контроля авторизации

13.1.6.1 Элементы действий разработчика

13.1.6.1.1 ADO_DEL.3.1D

Разработчик должен задокументировать процедуры поставки ОО или его частей пользователю.

13.1.6.1.2 ADO_DEL.3.2D

Разработчик должен использовать процедуры поставки.

13.1.6.2 Элементы содержания и представления свидетельств

13.1.6.2.1 ADO_DEL.3.1С

Документация поставки должна содержать описание всех процедур, необходимых для поддержки безопасности при распространении версий ОО к местам использования.

13.1.6.2.2 ADO_DEL.3.2C

Документация поставки должна содержать описание, как различные процедуры и технические меры обеспечивают предотвращение модификаций или любого расхождения между оригиналом разработчика и версией, полученной в месте использования.

13.1.6.2.3 ADO_DEI_3.3C

Документация поставки должна содержать описание, как различные- процедуры позволяют обнаружить попытку подмены от имени разработчика, даже в тех случаях, когда разработчик ничего не отсылал к месту использования.

13.1.6.3 Элементы действий оценщика

13.1.6.3.1 ADO_DEL.3.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержание и представлению свидетельств.

13.2 Установка, генерация и запуск (ADOJGS)

13.2.1 Цели

Процедуры установки, генерации и запуска полезны для обеспечения того, чтобы ОO был установлен, с генерирован и запущен безопасным способом так, как это предписано разработчиком. Требования, предъявляемые к установке, генерации и запуску, предусматривают безопасный переход от нахождения представления реализации ОО под управлением конфигурации к началу его эксплуатации, а среде использования.

13.2.2 Ранжирование компонентов

Компоненты в этом семействе ранжированы с учетом того, регистрируются ли опции генерации ОО.

13.2.3. Замечания по применению

Установлено, что применение указанных выше требований будет меняться в зависимости от различных аспектов, например, является ли ОО продуктом или системой ИТ, поставлен ли ОО в готовом к эксплуатации состоянии или он должен устанавливаться владельцем на месте эксплуатации и т.д. Для конкретного ОО обычно будет иметь место разделение ответственности по установке, генерации и запуску между разработчиком и владельцем ОО, но имеются примеры, когда все действия выполняются одной стороной. Например, для смарт-карты все аспекты установки, генерации и запуска могут выполняться по месту разработки ОО. С другой стороны, ОО может быть поставлен как система ИТ в форме программного обеспечения, где все аспекты установки, генерации и запуска выполняются по месту использования ОО.

Также возможен случай, когда ОО уже установлен до начала оценки. В этом случае может быть неуместным требовать и анализировать процедуры установки.

Более того, требования генерации применимы только к тем ОО, которые дают возможность генерировать составляющие вводимого в эксплуатацию ОО из их представления реализации.

Процедуры установки, генерации и запуска могут быть приведены е отдельном документе либо включены в другое административное руководство. Требования доверия в этом семействе представлены отдельно от требований семейства AGD_ADM "Руководство администратора" из-за редкого, возможно одноразового. использования процедур установки, генерации и запуска.

13.2.4 ADO_lGS.1 Процедуры установки, генерации и запуска

Зависимости: AGD_ADM.1 Руководство администратора

13.2.4.1 Элементы действий разработчика

13.2.4.1.1 ADO_IGS.1.1D

Разработчик должен задокументировать процедуры, необходимые для безопасной установки, генерации и запуска ОО.

13.2.4.2 Элементы содержания и представления свидетельств

13.2.4.2.1 ADO_IGS.1.1C

Документация установки, генерации и запуска должна содержать описание последовательности всех действий, необходимых для безопасной установки, генерации и запуска ОО.

13.2.4.3 Элементы действий оценщика

13.2.4.3.1ADО_IGS.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

13.2.4.3.2 ADО_IGS.1.2E

Оценщик должен сделать независимое заключение, что процедуры установки, генерации и запуска приводят к безопасной конфигурации.

13.2.5 ADО_IGS.2 Журнал регистрации генерации

Зависимости: AGD_ADM.1 Руководство администратора

13.2.5.1 Элементы действий разработчика

13.2.5.1.1 ADО_IGS.2.1D

Разработчик должен задокументировать процедуры, необходимые для безопасной установки, генерации и запуска ОО.

13.2.5.2 Элементы содержания и представления свидетельств

13.2.5.2.1 ADО_IGS.2.1C

Документация установки, генерации и запуска должна содержать описание последовательности всех действий, необходимых для безопасной установки, генерации и запуска ОО.

13.2.5.2.2 ADО_IGS.2.2C

Документация установки, генерации и запуска должна содержать описание процедур, позволяющим таким образом создать журнал регистрации, содержащий применявшиеся опции генерации ОО. чтобы можно было темно определить, как и когда ОО был сгенерирован.

13.2.5.3 Элементы действий оценщика

13.2.5.3.1 ADО_IGS.2.1E

Оценщик должен подтвердить, что представлен на я информация соответствует всем требованиям к содержанию и представлению свидетельств.

13.2.5.3.2 ADО_IGS.2.2E

Оценщик должен сделать независимое заключение о том, что процедуры установки, генерации и запуска приводят к безопасной конфигурации.

  • Главная
  • "МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)