Законодательная база Российской Федерации

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

Класс ATE "Тестирование" включает в себя четыре семейства: ATE_COV "Покрытие", ATE_DPT "Глубина", ATE_FUN "Функциональное тестирование" и ATE_IND "Независимое тестирование" (например, функциональное тестирование, проводимое оценщиками). Тестирование помогает установить, что функциональные требования безопасности ОО выполнены. Тестирование обеспечивает доверие к тому, что ОО удовлетворяет, по меньшей мере, функциональным требованиям безопасности ОО, хотя оно и не может установить, что ОО не обладает большими возможностями, чем определено спецификациями. Тестирование также может быть направлено на внутреннюю структуру ФБО, например, тестирование подсистем и модулей на соответствие им спецификациям.

Аспекты покрытия и глубины отделены от функционального тестирования для повышения гибкости при применении компонентов семейств. Тем не менее, требования этих трех семейств предназначены для совместного применения.

Компоненты семейства "Независимое тестирование" имеют зависимости от компонентов другим семейств, позволявшие получить необходимую информацию для поддержки требований, но при этом относятся в первую очередь к независимым действиям оценщика.

Основное внимание в этом классе уделено подтверждению того, что ФБО выполняются согласно их спецификациям. Для этого применяют и позитивное тестирование, основанное на функциональных требованиях, и негативное тестирование, чтобы проверить отсутствие нежелательных режимов выполнения. Этот класс не распространяется на тестирование проникновения, которое направлено на поиск уязвимостей, дающих пользователю возможность нарушить политику безопасности. Тестирование проникновения базируется на анализе ОО, направленном специально на идентификацию уязвимостей в проекте и реализации ФБО, и рассматривается отдельно как аспект оценки уязвимостей в классе AVA "Оценка уязвимостей".

Декомпозиция класса АТЕ "Тестирование" на составляющие его семейства и иерархия компонентов этих семейств показаны на рисунке 14.

17.1.1 Цели

Семейство ATE_COV направлено на те аспекты тестирования, которые имеют отношение к полноте охвата (покрытия) тестами. Таким образом, семейство связано с объемом тестирования ФБО, а также с выяснением, является ли тестирование достаточно всесторонним, чтобы продемонстрировать выполнение ФБО в соответствии со спецификациями.

17.1.2 Ранжирование компонентов

Компоненты в этом семействе ранжированы на основе повышения строгости тестирований интерфейсов и строгости анализа достаточности тестов для демонстрации, что ФБО выполняются в соответствии с их функциональной спецификацией.

17.1.3 ATE_COV.1 Свидетельство покрытия

Зависимости: ADV_FSP.1 Неформальная функциональная спецификация

ATE_FUN.1 Функциональное тестирование

17 1.3.1 Цели

Цель данного компонента состоите том, чтобы установить, что ФБО были проверены на соответствие нефункциональной спецификации. Эта цель достигается путем экспертизы представленного разработчиком свидетельства соответствия.

17.1.3.2 Замечания по применению

Хотя цель тестирования состоит в полном покрытии ФБО, для верификации этого утверждения достаточно неформального сопоставления тестов с функциональной спецификацией и собственно данных тестирования.

В данном компоненте от разработчика требуется показать, насколько идентифицированные тесты соответствуют описанию ФБО в функциональной спецификации. Это может быть достигнуто представлением соответствия (возможно, с использованием таблицы). Такая информация необходима оценщику для подготовки программы тестирования при оценке. На рассматриваемом уровне нет требований полного покрытия разработчиком каждого аспекта ФБО, поэтому оценщику следует принять во внимание возможные пробелы в этой области.

17.1.3.3 Элементы действий разработчика

17.1.3.3.1 АТЕ_GOV.1.1D

Разработчик должен представить свидетельство покрытия тестами.

17.1.3.4 Элементы содержания и представления свидетельств

17.1.3.4.1 ATE_COV1.1С

Свидетельство покрытия тестами должно показать соответствие между тестами, идентифицированными в тестовой документации, и описанием ФБО в функциональной спецификации,

17.1.3.5 Элементы действий оценщика

17.1.3.5 1 ATE_COV.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

17.1.4 ATE_COV.2 Анализ покрытия

Зависимости: ADV_FSP.1 Неформальная функциональная спецификация

ATE_FUN.1 Функциональное тестирование

17.1.4.1 Цели

Цель данного компонента состоите том, чтобы установить, что ФБО были проверены на соответствие их функциональной спецификации систематическим методом. Эта цель достигается путем экспертизы представленного разработчикам анализа соответствия.

17.1.4.2 Замечания по применению

От разработчика требуется продемонстрировать, что идентифицированные тесты включают в себя проверку всех функций безопасности, представленных в функциональной спецификации. При анализе следует не только показать соответствие между тестами и функциями безопасности, но также предоставить оценщику достаточную информацию для вынесения независимого заключения о том, насколько функции были проверены. Эта информация может быть использована при планировании дополнительных тестов оценщика. Хотя на этом уровне разработчик должен продемонстрировать, что каждая из функций в функциональной спецификации была проверена, исчерпывающее тестирование каждой функции не обязательно.

17.1.4.3 Элементы действий разработчика

17.1.4.3.1 ATE_COV.2.1D

Разработчик должен представить анализ покрытия тестами.

17.1.4.4 Элементы содержания и представления свидетельств

17.1.4.4.1 ATE_COV.2.1C

Анализ покрытия тестами должен демонстрировать соответствие между тестами, идентифицированными в тестовой документации, и описанием ФБО в функциональной спецификации.

17.1.4.4.2 ATE_COV.2.2C

Анализ покрытия тестами должен демонстрировать полное соответствие между описанием ФБО в функциональной спецификации и тестами, идентифицированными в тестовой документации.

17.1.4.5 Элементы действий оценщика

17.1.4.5.1 ATE_COV2.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

17.1.5 ATE_CОV.3 Строгий анализ покрытия

Зависимости: ADV_FSP.2 Полностью определенные внешние интерфейсы

ATE_FUN.1 Функциональное тестирование

17.1.5.1 Цели

Цель данного компонента состоит в том, чтобы установить, что ФБО были проверены систематическим и исчерпывающим образом на соответствие их функциональной спецификации. Эта цель достигается путем экспертизы анализа соответствия, представленного разработчиком.

17.1.5.2 Замечания по применению

От разработчика требуется предоставить убедительные аргументы того, что идентифицированные тесты покрывают все функции безопасности, а тестирование каждой функции безопасности является полным. Оценщику остается мало возможностей для разработки дополнительных функциональных тестов интерфейсов ФБО, основанных на функциональной спецификации, поскольку они будут исчерпывающе проверены. Тем не менее оценщику следует разрабатывать такие тесты.

17.1.5.3 Элементы действий разработчика

17.1.5.3.1 ATE_COV.3.1D

Разработчик должен представить анализ покрытия тестами.

17.1.5.4 Элементы содержания и представления свидетельств

17.1.5.4.1 ATE_COV.3.1С

Анализ покрытия тестами должен демонстрировать соответствие между тестами, идентифицированными в тестовой документации, и описанием ФБО в функциональной спецификации.

17.1.5.4.2 ATE_COV.3.2C

Анализ покрытия тестами должен демонстрировать полное соответствие между описанием ФБО в функциональной спецификации и тестами, идентифицированными в тестовой документации.

17.1.5.4.3 ATE_COV3.3C

Анализ покрытия тестами должен убедительно демонстрировать, что все внешние интерфейсы ФБО, идентифицированные в функциональной спецификации, полностью проверены.

17.1.5.5 Элементы действий оценщика

17.1.5.5.1 ATE_COV.3.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

17.2.1 Цели

Компоненты данного семейства имеют отношение к уровню детализации тестирования ФБО. Тестирование функций безопасности основано на детализации информации, полученной из анализа представлений.

Цель тестирования - противостоять риску пропуска ошибки при разработке ОО. Дополнительно компоненты этого семейства позволяют с большей вероятностью обнаружить любой внесенный злонамеренный код, особенно потому, что тестирование в большей степени касается внутренней структуры ФБО.

Тестирование конкретных внутренних интерфейсов может обеспечивать доверие не только к тому, что ФБО внешне соответствуют желательному режиму безопасности, но также к тому, что этот режим является следствием корректного функционирования внутренних механизмов.

17.2.2 Ранжирование компонентов

Компоненты в данном семействе ранжированы на основе увеличения степени детализации в представлениях ФБО, от проекта верхнего уровня до представления реализации. Такое ранжирование отражает представления ФБО, рассмотренные в классе ADV.

17.2.3 Замечания по применению

Конкретный объем, а также типы документации и свидетельств будут определяться, в основном, выбранным из семейства ATE_FUN "Функциональное тестирование" компонентом.

Тестирование на уровне функциональной спецификации рассмотрено в ATE_GOV "Покрытие".

В данном семействе принят принцип соответствия уровня тестирования искомому уровню доверия. Там, где применяют более высокие по иерархии компоненты, от результатов тестирования требуется демонстрация того, что реализация ФБО не противоречит проекту ФБО. Например, в проекте верхнего уровня следует описать с достаточной детализацией каждую из подсистем, а также интерфейсы для взаимодействия этих подсистем. В свидетельстве тестирования необходимо показать, что были проверены внутренние интерфейсы для взаимодействия подсистем. Это может быть достигнуто тестированием через внешние интерфейсы ФБО либо автономной проверкой интерфейсов подсистем, возможно, с использованием средств и среды автономного тестирования. В случаях, если некоторые аспекты внутреннего интерфейса не могут быть проверены через внешние интерфейсы, следует иметь логическое обоснование того, что эти аспекты проверять необязательно, либо проверить этот внутренний интерфейс непосредственно. В последнем случае необходимо, чтобы проект верхнего уровня был достаточно детализированным для облегчения прямого тестирования. Иерархичные компоненты в этом семействе нацелены на проверку правильности использования внутренних интерфейсов, которые становятся видимыми по мере того, как проект становится менее абстрактным. Когда применяют эти компоненты, сложнее обеспечить адекватное свидетельство глубины тестирования, используя только внешние интерфейсы ФБО, поэтому, как правило, необходимо тестирование на уровне модулей.

17.2.4 ATE_DPT.1 Тестирование: проект верхнего уровня

Зависимости. ADV_HLD.1 Описательный проект верхнего уровня

ATE_FUN.1 Функциональное тестирование

17.2.4.1 Цели

Подсистемы ФБО обеспечивают высокоуровневое описание внутреннего устройства ФБО. Тестирование на уровне подсистем для демонстрации наличия любых недостатков обеспечивает доверие к тому, что подсистемы ФБО были правильно реализованы.

17.2.4.2 Замечания по применению

Разработчик, как ожидается, представит описание процесса тестирования в контексте проекта верхнего уровня ФБО в терминах "подсчетом". Термин "подсистема" используют чтобы отразить декомпозицию ФБО на относительно малое число частей.

17.2.4.3 Элементы действии разработчика

17.2.4.3.1 ATE_DPT.1.1D

Разработчик должен представить анализ глубины тестирования.

17.2.4.4 Элементы содержания и представления свидетельств

17.2.4.4.1 ATE_DPT.1.1C

Анализ глубины должен показать достаточность тестов, идентифицированных в тестовой документации, для демонстрации того, что ФБО выполняются в соответствии с проектом верхнего уровня.

17.2.4.5 Элементы действий оценщика

17.2.4.5.1 ATE_DPT.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

17.2.5 ATE_DPT.2 Тестирование: проект нижнего уровня

Зависимости: ADV_HLD.2 Детализация вопросов безопасности в проекте верхнего уровня

ADV_LLD.1 Описательный проект нижнего уровня

ATE_FUN.1 Функциональное тестирование

17.2.5.1 Цели

Подсистемы ФБО обеспечивают высокоуровневое описание внутреннего устройства ФБО. Тестирование на уровне подсистем для демонстрации наличия любых недостатков обеспечивает доверие к тому, что подсистемы ФБО были правильно реализованы.

Модули ФБО обеспечивают описание внутренних действий ФБО. Тестирование на уровне модулей для демонстрации наличия любых недостатков обеспечивает доверие к тому, что модули ФБО были правильно реализованы.

17.2.5.2 Замечания по применению

Разработчик, как ожидается, представит описание процесса тестирования в контексте проекта верхнего уровня ФБО в терминах "подсистем". Термин "подсистема" используют, чтобы отразить декомпозицию ФБО на относительно малое число частей.

Разработчик, как ожидается, опишет тестирование проекта нижнего уровня ФБО в терминах "модулей". Термин "модуль" используют, чтобы отразить декомпозицию каждой из подсистем ФБО на относительно малое число частей.

17.2.5.3 Элементы действий разработчика

17.2.5.3.1 ATE_DPT.2.1D

Разработчик должен представить анализ глубины тестирования.

17.2.5.4 Элементы содержания и представления свидетельств

17.2.54 1 ATE_DPT.2.1C

Анализ глубины должен показать достаточность тестов, идентифицированных в тестовой документации, для демонстрации, что ФБО выполняются в соответствии с проектом верхнего уровня и проектом нижнего уровня.

17.2.5.5 Элементы действий оценщика

17.2.5.5.1 ATE_DPT.2.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

17.2.6 ATE_DPT.3 Тестирование на уровне реализации

Зависимости: ADV_HLD.2 Детализация вопросов безопасности в проекте верхнего уровня

ADV_IMP.2 Реализация ФБО

ADV_LLD.1 Описательный проект нижнего уровня

ATE_FUN.1 Функциональное тестирование

17.2.6.1 Цели

Подсистемы ФБО обеспечивают высокоуровневое описание внутреннего устройства ФБО. Тестирование на уровне подсистем для демонстрации наличия любых недостатков обеспечивает доверие к тому, что подсистемы ФБО были правильно реализованы.

Модули ФБО обеспечивают описание внутренних действий ФБО. Тестирование на уровне модулей для демонстрации наличия любых недостатков обеспечивает доверие к тому, что модули ФБО были правильно реализованы.

Представление реализации ФБО обеспечивает детализированное описание внутреннего устройства ФБО. Тестирование на уровне реализации для демонстрации наличия любых недостатков обеспечивает доверие к тому, что реализация ФБО была выполнена правильно.

17.2.6.2. Замечания по применению

Разработчик, как ожидается, представит описание процесса тестирования в контексте проекта верхнего уровня ФБО в терминах "подсистем". Термин "подсистема" используют, чтобы отразить декомпозицию ФБО на относительно малое число частей.

Разработчик, как ожидается, представит описание процесса тестирования в контексте проекта нижнего уровня ФБО в терминах "модулей". Термин "модуль" используют, чтобы отразить декомпозицию каждой из подсистем ФБО на относительно малое число частей.

Представление реализации используют непосредственно для генерации реализации ФБО (например исходный текст, который затем компилируют).

17.2.6.3 Элементы действий разработчика

17.2.6 3 1 ATE_DPT.3.1D

Разработчик должен представить анализ глубины тестирования.

17.2.6.4 Элементы содержания и представления свидетельств

17.2.6.4.1 АТЕ_DРТ.3.1С

Анализ глубины должен показать достаточность тестов, идентифицированных в тестовой документации, для демонстрации, что ФБО выполняются в соответствии с проектом верхнего уровня, проектом нижнего уровня и представлением реализации.

1 7 2.6.5 Элементы действий оценщика

17.2.6.5.1 ATE_DPT.3.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

17.3.1 Цели

Функциональное тестирование, выполняемое разработчиком, устанавливает, что ФБО проявляют свойства, необходимые для удовлетворения функциональных требований ПЗ/ЗБ. Такое функциональное тестирование обеспечивает доверие к тому, что ОО, по меньшей мере, соответствует функциональным требованиям безопасности ОО, хотя и не может установить, что ОО не обладает большими возможностями, нем определено спецификациями. Семейство "Функциональное тестирование" сосредоточено на типе и объеме необходимой документации или требуемым инструментальным средств поддержки, а также на том, что будет демонстрировать тестирование, проведенное разработчиком. Функциональное тестирование не ограничено позитивным подтверждением предоставления требуемых функций безопасности, но может также включать в себя негативное тестирование (часто основанное на инверсии функциональных требований) для проверки отсутствия нежелательных режимов функционирования.

Данное семейство способствует обеспечению доверия к тому, что вероятность наличия незамеченных недостатков относительна мала.

Семейства ATE_COV "Покрытие", ATE_DPT "Глубина" и ATE_FUN "Функциональное тестирование" используют совместно для определения свидетельства тестирования, представляемого разработчиком. Независимое функциональное тестирование, выполняемое оценщиком, рассмотрено в ATE_IND "Независимое тестирование".

17.3.2 Ранжирование компонентов

Данное семейство содержит два компонента. Иерархичный компонент содержит требование анализа зависимости от порядка выполнения процедур тестирования.

17.3.3 Замечания по применению

Как ожидается, процедуры выполнения тестов будут содержать инструкции по использованию тестовых программ и комплектов тестов, включая среду, условия тестирования, параметры и значения тестовых данных. Необходимо также, чтобы процедуры тестирования показывали, как результаты тестирования получаются из входных данных тестирования.

Данное семейство определяет требования для представления всех планов, процедур и результатов тестирования. Поэтому объем информации, которая должна быть представлена, будет меняться в зависимости от использования ATE_COV "Покрытие" и ATE_DPT "Глубина".

Зависимость от порядка выполнения актуальна, если успешное выполнение конкретного теста зависит от существования конкретного состояния. Например, можно потребовать, чтобы тест А выполнялся непосредственно перед тестом В, так как состояние, следующее из успешного выполнения теста А - предпосылке для успешного выполнения теста В. Таким образом, неудача теста В может быть связана с проблемой зависимости от порядка выполнения. В приведенном примере тест В может закончиться неудачно. потому что тест С (а не А) был выполнен непосредственно перед ним, или же неудача теста В связана с неудачей теста А.

17.3.4 ATE_FUN.1 Функциональное тестирование

Зависимости: нет зависимостей.

17.3.4.1 Цели

Цель разработчика - продемонстрировать, что все функции безопасности выполняются в соответствии со спецификациями. От разработчика требуется выполнить тестирование и представить тестовую документацию.

17.3.4.2 Элементы действий разработчика

17.3.4.2.1 AТE_FUN.1.1D

Разработчик должен протестировать ФБО и задокументировать, результаты.

17.3.4.2.2 ATE_FUM.1.2D

Разработчик должен представить тестовую документацию.

17.3.4.3 Элементы содержания и представления свидетельств

17.3.4.3.1 ATE_FUN1.1С

Тестовая документация должна состоять из планов и описаний процедур тестирования, а также ожидаемых и фактических результатов тестирования.

17.3.4.3.2 ATE_FUN.1.2C

Планы тестирования должны идентифицировать проверяемые функции безопасности и содержать изложение целей проводимых тестов.

17.3.4.3.3 ATE_FUN.1.3C

Описания процедур тестирования должны идентифицировать тесты, которые необходимо выполнить, и включать в себя сценарии для тестирования каждой функции безопасности. Эти сценарии должны учитывать любое влияние последовательности выполнения тестов на результаты других тестов.

17.3.4.3.4 ATE_FUN.1.4C

Ожидаемые результаты тестирования должны показать прогнозируемые выходные данные успешного выполнения тестов.

17.3.4.3.5 ATE_FUN.1.5C

Результаты выполнения тестов разработчиком должны демонстрировать, что каждая проверенная функция безопасности выполнялась в соответствии со спецификациями.

17.3.4.4 Элементы действий оценщика

17.3.4.4.1 ATE_FUN.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

17.3.5 ATE_FUN.2 Упорядоченное функциональное тестирование

Зависимости: нет зависимостей.

173.5.1 Цели

Цепь разработчика - продемонстрировать, что все функции безопасности выполняются в соответствии со спецификациями. От разработчика требуется выполнить тестирование и представить тестовую документацию.

Дополнительная цель данного компонента - обеспечить, чтобы зависимости между тестами были идентифицированы и понятны. Понимание зависимостей между тестами уменьшает вероятность того, что результаты тестов, выполненных различными сторонами или в разное время, будут отличаться из-за различной последовательности выполнения данным тестов.

17.3.5.2 Замечания по применению

Хотя процедуры тестирования могут устанавливать необходимые начальные условия тестирования на основе упорядочения тестов, они могут не содержать какого-либо обоснования этого упорядочения. Анализ упорядочения тестов - важный фактор в определении адекватности тестирования, так как имеется возможность сокрытия ошибок как следствие конкретного порядка выполнения тестов.

17.3.5.3 Элементы действий разработчика

17.3.5.3.1 ATE_FUN.2.1D

Разработчик должен протестировать ФБО и задокументировать результаты.

17.3.5.3.2 ATE_FUN.2.2D

Разработчик должен представить тестовую документацию.

17.3.5.4 Элементы содержания и представления свидетельств

17.3.5.4.1 ATE_FUN.2.1С

Тестовая документация должна состоять из планов и описаний процедур тестирования, а также ожидаемых и фактических результатов тестирования.

17.3.5.4.2 ATE_FUN.2.2С

Планы тестирования должны идентифицировать проверяемые функции безопасности и содержать изложение целей проводимых тестов.

17.3.5.4.3 ATE_FUN.2.3С

Описания процедур тестирования должны идентифицировать тесты, которые необходимо выполнить, и включать в себя сценарии для тестирования каждой функции безопасности. Эти сценарии должны учитывать любое влияние последовательности выполнении тестов на результаты других тестов.

17.3.5.4.4 ATE_FUN.2.4C

Ожидаемые результаты тестирования должны показать прогнозируемые выходные данные успешного выполнения тестов.

17.3.5.4.5 ATE_FUN.2.5C

Результаты выполнения тестов разработчиком должны демонстрировать, что каждая проверенная функция безопасности выполнялась в соответствии со спецификациями.

17.3.5.4.6 ATE_FUN.2.6С

Тестовая документация должна включать в себя анализ зависимостей от порядка выполнения процедуры тестирования.

17.3.5.5 Элементы действий оценщика

17.3.5.5.1 ATE_FUN.2.1Е

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

17.4 Независимое тестирование (ATE_IND)

17.4.1 Цели

Главная цель - продемонстрировать, что функции безопасности выполняются в соответствии со спецификациями.

Дополнительная цель - противостоять риску неправильной оценки разработчиком выходных данных тестов, приводящей к неправильной реализации спецификаций или пропуска кода, который не согласуется со спецификациями.

17.4.2 Ранжирование компонентов

Ранжирование компонентов основано на объеме тестовой документации и поддержки тестирования, а также на объеме тестирования оценщиком.

17.4.3 Замечания по применению

Тестирование, рассматриваемое в данном семействе, может проводиться с привлечением, помимо оценщика, других квалифицированных исполнителей (например, независимой лаборатории, организации конечных потребителей). При этом тестирование требует понимания ОО с учетом выполнения других действий по установлению доверия к ОО, а оценщик по-прежнему отвечает за обеспечение удовлетворения требований данного семейства, если такое привлечение имеет место.

Это семейство имеет отношение к степени выполнения независимого функционального тестирования ФБО. Независимое функциональное тестирование может приобретать форму полного или частичного повторения функциональных тестов, выполненным разработчиком. Оно может также проводиться в дополнение к функциональным тестам, выполненным разработчиком, как для увеличения области покрытия или глубины тестов, так и для проверки очевидных, известных из общедоступных источников слабых мест безопасности, которые могут быть в ОО. Эти действия дополняют друг друга, и для каждого ОО необходимо планировать приемлемое их сочетание с учетом применимости и области покрытия результатов тестов, а также функциональной сложности ФБО. Следует разработать план тестирования, согласующийся с уровнем других действий по установлению доверия к ОО, который, если требуется более высокое доверие, включаете себя повторение большей выборки тестов и большего объема независимым позитивных и негативных функциональных тестов, выполняемых оценщиком.

Повторение выборки тестов, выполненных разработчиком, предназначено для обеспечения подтверждения, что разработчик выполнил свою запланированную программу тестирования ФБО и правильно зафиксировал результаты. На объем установленной выборки будут влиять детализация и качество результатов функционального тестирования разработчиком. Необходимо также, чтобы оценщик рассмотрел возможности разработки дополнительных тестов и относительную пользу, которая мажет быть получена от их использования. Повторение всех тестов, выполненных разработчиком, может быть осуществимо и желательно в некоторых случаях, но весьма затруднено и менее продуктивно в других. Поэтому самый высокий по иерархии компонент данного семейства следует использовать осторожно. При формировании выборки рассматривается весь диапазон применения результатов тестирования, включая обеспечение выполнения требований семейств ATE_COV "Покрытие" и ATE_DPT "Глубина".

Необходимо также принять во внимание, что при оценке могут использоваться разные конфигурации ОО. Оценщику необходимо будет проанализировать применимость предоставленных результатов и в соответствии с этим планировать собственное тестирований.

Независимое функциональное тестирование отличается от тестирования проникновения основанного на целенаправленном и систематическом поиске уязвимостей в проекте и/или реализации. Тестирование проникновения рассмотрело в семействе AVA_VIA "Анализ уязвимостей".

Пригодность ОО для тестирования основана на доступности ОО и поддержке документацией и информацией, необходимыми для выполнения тестов (включая любое тестовое программное обеспечение или инструментальные средства тестирования). Необходимость в такой поддержке отражена в зависимостях от других семейств доверия.

Кроме того, пригодность ОО для тестирования может основываться на других соображениях. Например, версия ОО, представленная разработчиком, может быть не окончательной.

Ссылки на подмножество ФБО предназначены для того, чтобы позволить оценщику проектировать приемлемую совокупность тестов, согласованную с целями проводимой оценки.

17.4.4 ATE_IND.1 Независимое тестирование на соответствие

Зависимости: ADV_FSP.1 Неформальная функциональная спецификация

AGD_ADM.1 Руководство администратора

AGD_USR.1 Руководство пользователя

17.4.4.1 Цели

Целью является демонстрация выполнения функций безопасности в соответствии со спецификациями.

17.4.4.2 Замечания по применению

Данный компонент не ориентирован на использование результатов тестирования разработчиком. Он применим, если такие результаты недоступны, а также в случае, если тестирование, выполненное разработчиком, принимается без проверки. От оценщика требуется разработать и выполнить тесты с целью подтверждения того, что функциональные требования безопасности ОО удовлетворены. При этом подходе уверенность в правильном функционировании приобретается через репрезентативное тестирование, а не через выполнение всех возможных тестов. Объем тестирования, планируемый для этой цели, является методологической проблемой, и его необходимо рассматривать в контексте конкретного ОО и а сопоставлении с другими действиями оценки.

17.4.4.3 Элементы действий разработчика

17.4.4.3.1 ATE_IND.1.1D

Разработчик должен представить ОО для тестирования,

17.4.4.4 Элементы содержания и представления свидетельств

17.4.4.4.1 ATE_IND.1.1С

ОО должен быть пригоден для тестирования.

17.4.4.5 Элементы действий оценщика

17.4.4.5.1 ATE_IND.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств,

17.4.4.5.2 ATE_IND.1.2E

Оценщик должен протестировать подмножество ФБО так, чтобы подтвердить, что ОО функционирует в соответствии со спецификациями.

17.4.5 ATE_IND.2 Выборочное независимое тестирование

Зависимости: ADV_FSP.1 Неформальная функциональная спецификация

AGD_ADM.1 Руководство администратора

AGD_USR.1 Руководство пользователя

ATE_FUN.1 Функциональное тестирование

17.4.5.1 Цели

Целью является демонстрация выполнения функций безопасности в соответствии со спецификациями. Тестирование, проводимое оценщиком, включает в себя отбор и повторение тестов, выполненных разработчиком.

17.4.5.2 Замечания по применению

Разработчику следует предоставить оценщику материалы, необходимые для эффективного воспроизведения тестов, выполненных разработчиком. В состав этих материалов могут быть включены такие материалы, как машиночитаемая тестовая документация, тест - программы и т д.

Данный компонент содержит требование о том, чтобы оценщику были доступны результаты тестирования разработчиком для дополнения программы тестирования. Оценщик должен повторить выборку из тестов, выполненных разработчиком, чтобы получить уверенность в полученных результатах. Получив такую уверенность, оценщик расширит тестирование, выполненное разработчиком, проводя дополнительные испытания ОО способом, отличающимся от примененного разработчиком. Основываясь на подтверждении достоверности результатов, тестов, выполненных разработчиком, оценщик будет способен убедиться в том, что ОО функционирует правильно, в более широком диапазоне условий, чем это было бы возможно для разработчика, ограниченного уровнем его ресурсов. Убедившись в том, что разработчик протестировал ОО, оценщик будет также иметь больше свободы выбора для концентрации тестирования в тех направлениях, где экспертиза документации или специальные знания вызвали определенную настороженность.

17.4.5.3 Элементы действий разработчика

17.4.5.3.1 ATE_IND.2.1D

Разработчик должен представить ОО для тестирования.

17.4.5.4 Элементы содержания и представления свидетельств

17.4.5.4.1 ATE_IND.2.1С

ОО должен быть пригоден для тестирования.

17.4.5.4.2 ATE_IND.2.2C

Разработчик должен представить набор ресурсов, эквивалентных использованным им при функциональном тестировании ФБО.

17.4.5.5 Элементы действий оценщика

17.4.5.5.1 ATE_IND.2.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

17.4.5.5.2 ATE_IND.2.2Е

Оценщик должен протестировать подмножество ФБО так, чтобы подтвердить, что ОО функционирует в соответствии со спецификациями.

17.4.5.5.3 ATE_IND.2.3Е

Оценщик должен выполнить выборку тестов из тестовой документации, чтобы верифицировать результаты тестирования, полученные разработчиком.

17.4.6 ATE_IND.3 Полное независимое тестирование

Зависимости: ADV_FSP.1 Неформальная функциональная спецификация

AGD_ADM.1 Руководство администратора

AGD_USR.1 Руководство пользователя

ATE_FUN.4.1 Функциональное тестирование

17.4.6 1 Цели

Целью является демонстрация выполнения всех функций безопасности в соответствии, со спецификациями. Тестирование, проводимое оценщиком, включает в себя повторное выполнение всех тестов, выполненных разработчиком.

17.4.6.2 Замечания по применению

Разработчику следует предоставить оценщику материалы, необходимые для эффективного воспроизведения тестов, выполненных разработчиком. В состав этих материалов могут быть включены такие материалы, как машиночитаемая тестовая документация, тест - программы и т. д.

В данном компоненте требуется, чтобы оценщик повторил все тесты, выполненные разработчиком, как часть программы тестирования. Как и в предыдущем компоненте, оценщик должен провести дополнительные испытания, стремясь проверить ОО способом, отличным от использованного разработчиком. В случае, если тестирование, выполненное разработчиком, было исчерпывающим, для этого могут оставаться небольшие возможности.

17.4.6.3 Элементы действий разработчика

17.4.6 3.1 ATE_IND.3.1D

Разработчик должен представить ОО для тестирования.

17.4.6.4 Элементы содержания и представления свидетельств

17.4.6.4.1 ATE_IND.3.1С

ОО должен быть пригоден для тестирования.

17.4 6.4 3. ATE_IND.3 2С

Разработчик должен представить набор ресурсов, эквивалентных использованным им при функциональном тестировании ФБО.

17.4.6.5 Элементы действий оценщика

17.4.6.5.1 ATE_IND.3.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

17.4.6.5.2 ATE_IND.3.2E

Оценщик должен протестировать подмножество ФБО так, чтобы подтвердить, что ОО функционирует в соответствии со спецификациями.

17.4.6.5.3 ATE_IND.3.3E

Оценщик должен выполнить все тесты из тестовой документации, чтобы верифицировать результаты тестирования, полученные разработчиком.