Законодательная база Российской Федерации

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

16.2.1 Цели

Семейство ALC_FLR содержит требование, чтобы обнаруженные недостатки безопасности были отслежены и исправлены разработчиком. Хотя при оценке ОО не может быть сделано заключение о его соответствии процедурам устранения недостатков в будущем, можно оценить политики и процедуры, которые предусмотрены разработчиком для отслеживания и исправления недостатков, а также распространения информации о недостатках и их исправлении.

16.2.2 Ранжирование компонентов

Компоненты в этом семействе ранжированы на основе расширения области применения процедур устранения недостатков и повышения строгости политик устранения недостатков.

16.2.3 Замечания по применению

Данное семейство обеспечивает доверие к сопровождению и поддержке ОО в будущем, требуя от разработчика ОО отслеживать и исправлять недостатки в ОО. Кроме того, имеются требования по распространению сведений об исправлениях недостатков. Однако данное семейство не налагает требований, выходящих за рамки текущей оценки.

Пользователь ОО считается основным лицом в организации, ответственным за получение и применение исправлений недостатков безопасности. Таким лицом необязательно должен являться отдельный пользователь, им может быть представитель организации, ответственный за обработку недостатков безопасности. Использование термина "пользователь ОО" предполагает, что в различных организациях имеются различные процедуры обработки сообщений о недостатках, которые могут выполняться пользователями индивидуально либо централизовано административным лицом.

В процедурах устранения недостатков следует описать методы реагирования на все типы встречающихся недостатков. Некоторые недостатки не могут быть исправлены немедленно. Об этих недостатках могут сообщить разработчик ОО, пользователи ОО, другие стороны, знакомые с ОО. Не исключено, что недостаток вообще не может быть исправлен, и необходимо применить другие (например, процедурные) меры. Представленная документация должна охватывать процедуры по обеспечению исправлений в местах эксплуатации, а также предоставление информации о недостатках, для которых исправление отложено (и что делать в этой ситуации) или невозможно.

После того как оценка ОО завершена, он больше не является объектом оценки. Более того, любые изменения, вносимые в оцененный ОО, приводят к тому, что первоначальные результаты оценки не являются больше применимыми к измененной версии. Поэтому термин "релиз ОО", используемый в данном семействе, относится к версии продукта или системы, являющейся релизом сертифицированного ОО, в который были внесены изменения.

16.2.4. ALC_FLR.1 Базовое устранение недостатков Зависимости: нет зависимостей.

16.2.4.1 Элементы действии разработчика

16.2.4.1.1 ALC_FLR.1.1D

Разработчик должен предоставить процедуры устранения недостатков, предназначенные для разработчиков ОО.

16.2.4.2 Элементы содержания и представления свидетельств

16.2.4.2.1 ALC_FLR.1.1С

Документация процедур устранения недостатков должна содержать описание процедур по отслеживанию всех ставших известными недостатков безопасности в каждом релизе ОО.

16.2.4.2.2 ALC_FLR.1.2С

Процедуры устранения недостатков должны содержать требование представления описания сути и последствий каждого недостатка безопасности, а также статуса процесса исправления этого недостатка.

16.2.4.2.3 ALC_FLR.1.3C

Процедуры устранения недостатков должны содержать требование, чтобы действия по исправлению были идентифицированы для каждого недостатка безопасности.

16.2.4.2.4 ALC_FLR.1.4С

Документация процедур устранения недостатков должна содержать описание методов, используемых для предоставления пользователям ОО информации о недостатках, материалов исправлений и руководства по внесению исправлений.

16.2.4.3 Элементы действий оценщика

16.2.4.3.1 ALC_FLR.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

16.2.5 ALC_FLR.2 Процедуры сообщений о недостатках

Зависимости: нет зависимостей.

16.2.5.1 Цели

Для того чтобы разработчик имел возможность соответствующим образом реагировать на сообщения пользователей ОО о недостатках безопасности и знал, кому посылать исправления, пользователям ОО необходимо иметь представление о том, каким образом представлять сообщения о недостатках безопасности разработчику. Руководство по исправлению недостатков, предоставляемое разработчиком пользователям ОО, обеспечивает знание пользователями ОО этой важной информации.

16.2.5.2 Элементы действий разработчика

16.2.5.2.1 ALC_FLR.2.1D

Разработчик должен предоставить процедуры устранения недостатков, предназначенные для разработчиков ОO.

16.2.5.2.2 ALC_FLR.2.2D

Разработчик должен установить процедуру приема и отработки всех сообщений пользователей о недостатках безопасности и запросов на их исправление,

16.2.5.2.3 ALC_FLR.2.3D

Разработчик должен предоставить руководство по устранению недостатков, предназначенное для пользователей ОО.

16.2.5.3 Элементы содержания и представления свидетельств

16.2.5.3.1 ALC_FLR.2.1C

Документация процедур устранения недостатков должна содержать описание процедур по отслеживанию всех ставших известными недостатков безопасности в каждом релизе ОО.

16.2.5.3.2 ALC_FLR.2.2C

Процедуры устранения недостатков должны содержать требование представления описания сути и последствий каждого недостатка безопасности, а также статуса процесса исправления этого недостатка.

16.2.5.3.3 ALC_FLR.2.3C

Процедуры устранения недостатков должны содержать требование, чтобы действия по исправлению были идентифицированы для каждого недостатка безопасности.

16.2.5.3.4 ALC_FLR.2.4C

Документация процедур устранения недостатков должна содержать описание методов, используемых, для предоставления пользователям ОО информации о недостатках, материалов исправлений и руководства по внесению исправлений.

16.2.5.3.5 ALC_FLR.2.5C

Процедуры устранения недостатков должны описывать средства, с помощью которых разработчик получает от пользователей ОО сообщения и запросы о предполагаемых недостатках безопасности в ОО.

16.2.5.3.6 ALC_FLR.2.6C

Процедуры обработки ставших известными недостатков безопасности должны обеспечить, чтобы любые ставшие известными недостатки были исправлены, а для пользователей ОО выпущены исправления.

16.2.5.3.7 ALC_FLR.2.7C

Процедуры обработки ставших известными недостатков безопасности должны обеспечить такие защитные меры, чтобы любые исправления этих недостатков не приводили к появлению новых.

16.2.5.3.8 ALC_FLR.2.6C

Руководство по устранению недостатков должно описывать средства, с помощью которых пользователи ОО могут сообщать разработчикам о любых предполагаемых недостатках безопасности в ОО.

16.2.5.4 Элементы действий оценщика

16.2.5.4.1 ALC_FLR.2.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

16.2.6 ALC_FLR.3 Систематическое устранение недостатков

Зависимости: нет зависимостей.

16.2.6.1 Цели

Для того чтобы разработчик имел возможность соответствующим образом реагировать на сообщения от пользователей ОО о недостатках безопасности и знал, кому посылать исправления, пользователям ОО необходимо иметь представление о том, каким образом представлять сообщения о недостатках безопасности на рассмотрение разработчику и каким образом регистрироваться у разработчика для того, чтобы получать исправления. Руководство по исправлению недостатков, предоставляемое разработчиком пользователям ОО, обеспечивает знание пользователями ОО этой важной информации.

16.2.6.2 Элементы действий разработчика

16.2.6.2.1 ALC_FLR.3.1D

Разработчик должен предоставить процедуры устранения недостатков, предназначенные для разработчиков ОО.

16.2.6.2.2 ALC_FLR.3.2D

Разработчик должен установить процедуру приема и отработки всех сообщений пользователей о недостатках безопасности и запросов на исправление этих недостатков.

16.2.6.2.3 ALC_FLR.3.3D

Разработчик должен предоставить руководство по устранению недостатков, предназначенное для пользователей ОО,

16.2.6.3 Элементы содержания и представления свидетельств

16.2.6.3.1 ALC_FLR.3.1C

Документация процедур устранения недостатков должна содержать описание процедур по отслеживанию всех ставших известными недостатков безопасности в каждом релизе ОО.

16.2.6.3.2 ALC_FLR.3.2C

Процедуры устранения недостатков должны содержать требование представления описания сути и последствий каждого недостатка безопасности, а также статуса процесса исправления этого недостатка.

16.2.6.3.3 ALC_FLR.3.3С

Процедуры устранения недостатков должны содержать требование, чтобы действия по исправлению были идентифицированы для каждого недостатка безопасности.

16.2.6.3.4 ALC_FLR.3.4C

Документация процедур устранения недостатков должна содержать описание методов, используемых для предоставления пользователям ОО информации о недостатках, материалов исправлений и руководства по внесению исправлений.

16.2.6.3.5 ALC_FLR.3.5C

Процедуры устранения недостатков должны описывать средства, с помощью которым разработчик получает от пользователей ОО сообщения и запросы о предполагаемый недостатках безопасности в ОО.

16.2.6.3.6 ALC_FLR.3.6C

Процедуры обработки ставших известными недостатков безопасности должны обеспечить, чтобы любые ставшие известными недостатки были исправлены, а для пользователей ОО выпущены исправления.

16.2.6.3.7 ALC_FLR.3.7C

Процедуры обработки ставших известными недостатков безопасности должны обеспечить такие защитные меры, чтобы любые исправления этих недостатков не приводили к появлению новых.

16.2.6.3.8 ALC_FLR.3.8C

Руководство по устранению недостатков должно описывать средства, с помощью которых пользователи ОО могут сообщать разработчикам о любых предполагаемых недостаткам безопасности в ОО.

16.2.6.3.9 ALC_FLR.3.9C

Процедуры устранения недостатков должны включать в себя процедуру своевременного реагирования для автоматического распространения сообщений о недостатках безопасности и материалов по их исправлению зарегистрированным пользователям, для которых эти недостатки могут иметь последствия,

16.2.6.3.10 ALC_FLR.3.10C

Руководство по устранению недостатков должно описывать средства, с помощью которых пользователи ОО могут регистрироваться у разработчика, чтобы иметь право получать сообщения о недостатках безопасности и исправления.

16.2.6.3.11 ALC_FLR.3.11C

В руководстве по устранению недостатков должна быть идентифицирована контактная информация для всех сообщений и запросов по вопросам безопасности, связанных с ОО.

16.2.6.4 Элементы действий оценщика

16.2.6.4.1 ALC_FLR.3.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.