Законодательная база Российской Федерации

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

18.2.1 Цели

Семейство AVA_MSU позволяет установить, может ли ОО быть сконфигурирован или использован опасным образом так, чтобы администратор или пользователь ОО обоснованно считал бы его безопасным. Целями являются:

а) минимизация вероятности конфигурирования или установки ОО опасным образом, исключающим возможность обнаружения пользователем или администратором;

b) минимизация риска ошибок, обусловленных человеческим фактором или иными причинами, в операциях, которые могут блокировать, отключить или помешать активизировать функции безопасности, приводя к необнаруженному опасному состоянию.

13.2.2 Ранжирование компонентов

Компоненты ранжированы по возрастанию числа свидетельств, представляемых разработчиком, и повышению строгости анализа.

18.2.3 Замечания по применению

Противоречивое, вводящее в заблуждение, неполное или необоснованное руководство может убедить пользователя в безопасности ОО при ее отсутствии, что может привести к уязвимостям.

Примером противоречия является наличие двух инструкций руководства, которые подразумевают различные выходные результаты при одних и тех же входных данный.

Примером введения в заблуждение является такая формулировка инструкции руководства, которую можно трактовать неоднозначно, причем одна из трактовок может привести к опасному состоянию.

Примером неполноты является список существенных физических требований безопасности, в котором опущен важный пункт, что приведет к игнорированию соответствующего требования администратором, считающим список полным.

Примером необоснованности является рекомендация следовать процедуре, приводящей к чрезмерной нагрузке по администрированию.

Требуется наличие документации руководств. Она может быть включена в руководства пользователя и администратора или представляться отдельно. При отдельном представлении оценщику следует подтвердить, что данная документация поставляется вместе с ОО.

18.2.4 AVA_MSU.1 Экспертиза руководств

Зависимости: ADO_IGS.1 Процедуры установки, генерации и запуска

ADV_FSP.1 Неформальная функциональная спецификация

AGD_ADM.1 Руководство администратора

AGD_USR.1 Руководство пользователя

18.2.4.1 Цели

Цель состоит в том, чтобы обеспечить отсутствие в руководствах вводящий в заблуждение, необоснованных и противоречивых указаний и предусмотреть безопасные процедуры для всех режимов функционирования. Опасные состояния должны легко выявляться.

18.2.4.2 Элементы действий разработчика

18.2.4.2.1 AVA_MSU.1.1D

Разработчик должен представить руководства по применению ОО.

18.2.4.3 Элементы содержания и представления свидетельств

18.2.4.3.1 AVA_MSU.1.1C

Руководства должны идентифицировать все возможные режимы эксплуатации ОО (включая действия после сбоя или ошибки в работе), их последствия и значение для обеспечения безопасной эксплуатации.

18.2.4.3.2 AVA_MSU.1.2C

Руководства должны быть полными, понятными, непротиворечивыми и обоснованными.

18.2.4.3.3 AVA_MSU.1.3C

Руководства должны содержать список всех предположений относительно среды эксплуатации.

18.2.4.3.4 AVA_MSU1.4C

Руководства должны содержать список всех требований к внешним мерам безопасности (включая внешний контроль над процедурами, физическими мерами и персоналом).

18.2.4.4 Элементы действий оценщика

18.2.4.4.1 AVA_MSU.1.1Е

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

18.2.4.4.2 AVA_MSU.1.2E

Оценщик должен повторить все процедуры конфигурирования и установки для подтверждения того, что ОО можно безопасно конфигурировать и использовать, применяя только представленные руководства.

18.2.4.4.3 AVA_MSU.1.3E

Оценщик должен сделать независимое заключение, что использование руководств позволяет выявить все опасные состояния.

18.2.5 AVA_MSU.2 Подтверждение правильности анализа

Зависимости: ADO_IGS.1 Процедуры установки, генерации и запуска

ADV_FSP.1 Неформальная функциональная спецификация

AGD_ADM.1 Руководство администратора

AGD_USR.1 Руководство пользователя

18.2.5.1 Цели

Цель состоит в том, чтобы обеспечить отсутствие в руководствах вводящих в заблуждение, необоснованных и противоречивых указаний и предусмотреть безопасные процедуры для всех режимов функционирования. Опасные состояния должны легко выявляться. В данном компоненте требуется анализ разработчиком руководств для повышения доверия к тому, что цель достигнута.

18.2.5.2 Элементы действий разработчика

18.2.5.2.1 AVA_MSU.2.1D

Разработчик должен представить руководства по применению ОO.

18.2.5.2.2 AVA_MSU.2.2D

Разработчик должен задокументировать анализ руководств.

18.2.5.3 Элементы содержания и представления свидетельств

18.2.5.3.1 AVA_MSU.2.1C

Руководства должны идентифицировать все возможные режимы эксплуатации ОО (включая действия после сбоя или ошибки в работе), их последствия и значение для обеспечения безопасной эксплуатации.

18.2.5.3.2 AVA_MSU.2.2C

Руководства должны быть полны, понятны, непротиворечивы и обоснованы.

18.2.5.3.3 AVA_MSU.2.3С

Руководства должны содержать список всех предположений относительно среды эксплуатации.

18.2.5.3.4 AVA_MSU.2.4C

Руководства должны содержать список всех требований к внешним мерам безопасности (включая внешний контроль за процедурами, физическими мерами и персоналом).

18.2.5.3.5 AVA_MSU.2.5С

Документация анализа должна демонстрировать, что руководства полны.

18.2.5.4 Элементы действий оценщика

18.2.5.4.1 AVA_MSU.2.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

18.2.5.4.2 AVA_MSU.2.2Е

Оценщик должен повторить все процедуры конфигурирования и установки и, выборочно, другие процедуры для подтверждения, что ОО можно безопасно конфигурировать и использовать, применяя только представленные руководства.

18.2.5.4.3 AVA_MSU2.3E

Оценщик должен сделать независимое заключение о том, что использование руководств позволяет выявить все опасные состояния.

18.2.5.4.4 AVA_MSU.2.4E

Оценщик должен подтвердить, что документация анализа показывает, что руководства по безопасной эксплуатации предоставлены для всех режимов эксплуатации ОО.

18.2.6 AVA_MSU.3 Анализ и тестирование опасный состояний

Зависимости. ADO_IGS.1 Процедуры установки, генерации и запуска

ADV_FSP.1 Неформальная функциональная спецификация

AGD_ADM.1 Руководство администратора

AGO_USR.1 Руководство пользователя

18.2.6.1 Цели

Цель состоит в том, чтобы обеспечить отсутствие в руководствах вводящих в заблуждение, необоснованных и противоречивых указаний и предусмотреть безопасные процедуры для всех режимов функционирования. Опасные состояния должны легко выявляться. В данном компоненте требуется анализ разработчиком руководств для повышения доверия к тому, что цель достигнута, и этот анализ проверяется и подтверждается оценщиком путем тестирования.

18.2.6.2 Замечания по применению

В данном компоненте от оценщика требуется выполнить тестирование, позволяющее удостовериться в том, что при переходе ОО в опасное состояние последнее может быть легко выявлено. Указа иное тестирование может рассматриваться как специфический аспект тестирования проникновения.

13.2.6.3 Элементы действий разработчика

18.2.6.3.1 AVA_MSU.3.1D

Разработчик должен представить руководства по применению ОО.

18.2.6.3.2 AVA_MSU.3.2D

Разработчик должен задокументировать анализ руководств.

18.2.6.4 Элементы содержания и представления свидетельств

18.2.6.4.1 AVA_MSU.3.1C

Руководства должны идентифицировать все возможные режимы эксплуатации ОО (включая действия после сбоя или ошибки в работе), их последствия и значение для обеспечения безопасной эксплуатации.

18.2.6.4.2 AVA_MSU.3.2C

Руководства должны быть полными, понятными, непротиворечивыми и обоснованными.

18.2.6.4.3 AVA_MSU.3.3C

Руководства должны содержать список всех предположений относительно среды эксплуатации.

18.2.6.4.4 AVA_MSU.3.4C

Руководства должны содержать список всех требований к внешним мерам безопасности (включая внешний контроль за процедурами, физическими мерами и персоналом).

18.2.6.4.5 AVA_M5U.3.5C

Документация анализа должна демонстрировать, что руководства полны.

18.2.6.5 Элементы действий оценщика

18.2.6.5.1 AVA_MSU.3.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

18.2.6.5.2 AVA_MSU.3.2E

Оценщик должен повторить все процедуры конфигурирования и установки и выборочно другие процедуры для подтверждения, что ОО можно безопасно конфигурировать и использовать, применяя только представленные руководства.

18.2.6.5.3 AVA_MSU.3.3E

Оценщик должен сделать независимое заключение, что использование руководств позволяет выявить все опасные состояния.

18.2.6.5.4 AVA_MSU.3.4E

Оценщик должен подтвердить, что документация анализа показывает, что руководства по безопасной эксплуатации предоставлены для всех режимов эксплуатации ОО.

18.2.6.5.5 AVA_MSU.3.5E

Оценщик должен выполнить независимое тестирование, чтобы сделать заключение, будет ли администратор или пользователь способен установить, руководствуясь документацией что ОО конфигурирован и используется опасным образом.