Законодательная база Российской Федерации

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

13.1.1 Цели

Требования для поставки предусматривают такие сродства и процедуры системы контроля и распространения, которые конкретизируют меры, необходимые для обеспечения доверия к тому, что безопасность ОО поддерживается во время распространения ОО. Для правильного выполнения распространения ОО процедуры, используемые для распространения ОО, должны учитывать идентифицированные в ПЗ/ЗБ угрозы, относящиеся к безопасности ОО во время поставки.

13.1.2 Ранжирование компонентов

Компоненты в этом семействе ранжированы на основе повышения требований к разработчику по поддержанию безопасности ОО во время его поставки.

13.1.3 Замечания по применению

Процедуры поставки могут затрагивать следующие проблемы:

а) обеспечение точного соответствия ОО, полученного потребителем, эталону ОО;

b) избежание / обнаружение какой-либо подделки актуальной версии ОО;

c) предотвращение представления фальсифицированной версии ОО;

d) избежание распространения нежелательной информации о распространении ОО потребителю;

e) избежание/обнаружение перехвата ОО во время поставки и

f) избежание задержки или недоставки ОО во время его распространения.

Хотя в процедурах рассматривается защита ОО во всех аспектах (целостность, конфиденциальность. доступность), технические меры, представленные в ADO_DEL.2 "Обнаружение модификации" и ADO_OEL3 "Предотвращение модификации", требуются только в отношении проблем целостности.

13.1.4 ADO_DEL.1 Процедуры поставки

Зависимости: нет зависимостей.

13.1.4.1 Элементы действий разработчика

13.1.4.1.1 ADO_DEL.1.1D

Разработчик должен задокументировать процедуры поставки ОО или его частей пользователю.

13.1.4.1.2 ADO_DEL1.2.D

Разработчик ДОЛЖЕН использовать процедуры поставки.

13.1.4.2 Элементы содержания и представления свидетельств

Документация поставки должна содержать описание всех процедур, необходимых для поддержки безопасности при распространении версий ОО к местам использования.

13.1.4.3 Элементы действий оценщика

13.1.4.3.1 ADO_DEL.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

13.1.5 ADO_DEL.2 Обнаружение модификации

Зависимости: АСМ_САР.З Средства контроля авторизации

13.1.5.1 Элементы действий разработчика

13.1.5.1.1 ADO_DEL.2.1D

Разработчик должен задокументировать процедуры поставки ОО или его частей пользователю.

13.1.5.1.2 ADO_DEL.2.2D

Разработчик должен использовать процедуры поставки.

13.1.5.2 Элементы содержания и представления свидетельств

13.1.5.2.1 ADO_DEL.2.1С

Документация поставки должна содержать описание всех процедур, необходимых для поддержки безопасности при распространении версий к местам использования.

13.1.5.2.2 ADO_DEL.2.2С

Документация поставки должна содержать описание, как различные процедуры и технические меры обеспечивают обнаружений модификаций или любого расхождения между оригиналом разработчика и версией, полученной в месте использования.

13.1.5.2.3 ADO_DEL.2.3C

Документация поставки должна содержать описание, как различные процедуры, позволяли обнаружить попытку подмены от имени разработчика, даже в тех случаях, когда разработчик ничего не отсылал к месту использования.

13.1.5.2.3 Элементы действий оценщика

13.1.5.3.1 ADО_DEL2.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

13.1.6 ADO_DEL.3 Предотвращение модификации

Зависимости: АСМ_САР.3 Средства контроля авторизации

13.1.6.1 Элементы действий разработчика

13.1.6.1.1 ADO_DEL.3.1D

Разработчик должен задокументировать процедуры поставки ОО или его частей пользователю.

13.1.6.1.2 ADO_DEL.3.2D

Разработчик должен использовать процедуры поставки.

13.1.6.2 Элементы содержания и представления свидетельств

13.1.6.2.1 ADO_DEL.3.1С

Документация поставки должна содержать описание всех процедур, необходимых для поддержки безопасности при распространении версий ОО к местам использования.

13.1.6.2.2 ADO_DEL.3.2C

Документация поставки должна содержать описание, как различные процедуры и технические меры обеспечивают предотвращение модификаций или любого расхождения между оригиналом разработчика и версией, полученной в месте использования.

13.1.6.2.3 ADO_DEI_3.3C

Документация поставки должна содержать описание, как различные- процедуры позволяют обнаружить попытку подмены от имени разработчика, даже в тех случаях, когда разработчик ничего не отсылал к месту использования.

13.1.6.3 Элементы действий оценщика

13.1.6.3.1 ADO_DEL.3.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержание и представлению свидетельств.