Законодательная база Российской Федерации

"РУКОВОДЯЩИЙ ДОКУМЕНТ. БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ " (Утв. Приказом Гостехкомиссии РФ от 19.06.2002 N 187)

Цели

Назначение семейства AMA_EVD состоит в том, чтобы убедиться в поддержке разработчиком доверия к ОО в соответствии с планом ПД. Это достигается подготовкой свидетельства, независимо проверяемого оценщиком, которое демонстрирует поддержку доверия к ОО. Указанную проверку, называемую "Аудит ПД", периодически проводят во время действия плана ПД.

Ранжирование компонентов

Семейство содержит только один компонент.

Замечания по применению

Семейство включает в себя некоторые требования к свидетельству, подобные требованиям доверия, определенным в классах ACM, ATE и AVA. В то же время, аудит ПД не требует проведения оценщиком экспертизы свидетельства в том же самом объеме, как это установлено компонентами перечисленных классов; скорее, здесь достаточно требования, чтобы частичная выборка позволила убедиться в правильности следования процедурам поддержки доверия.

В порядке аудита ПД оценщик проверяет (выборочно) согласованность списка конфигурации и анализа влияния на безопасность с текущей версией ОО для компонентов ОО, которые изменились по сравнению с сертифицированной версией ОО.

AMA_EVD.1.3C содержит требование подготовки свидетельства следования процедурам поддержки доверия из плана ПД. Требование распространяется на все процедуры, упоминаемые в AMA_AMP.1.11C, т.е. необходимо свидетельство применения процедур, относящихся к управлению конфигурацией, поддержке свидетельства доверия, выполнению анализа влияния на безопасность и устранению недостатков.

Свидетельство, требуемое в AMA_EVD.1.4C, содержит список идентифицированных уязвимостей в текущей версии ОО. Это выделено как отдельное требование ввиду важности отсутствия в текущей версии каких-либо недостатков безопасности, которые могли бы быть использованы в среде ОО, с уровнем доверия, полученным при первоначальной оценке. В список в AMA_EVD.1.4C следует включить уязвимости, выявленные в результате:

а)анализа разработчиком, требуемого AVA_VLA.1 или иерархичным компонентом (если он применялся для сертифицированной версии ОО);

б)обнаружения любых других недостатков безопасности, обработанных с использованием процедур их устранения, требуемых ALC_FLR.1 (или ALC_FLR.2) для сертифицированной версии ОО.

AMA_EVD.1.5E содержит требования, чтобы оценщик подтвердил выполнение разработчиком функционального тестирования текущей версии ОО, а также соразмерность покрытия тестами и глубины тестирования с поддерживаемым уровнем доверия. Эту проверку выполняют посредством выборки из тестовой документации для текущей версии ОО.

AMA_EVD.1 Свидетельство процесса поддержки

Зависимости

AMA_AMP.1 План поддержки доверия

AMA_SIA.1 Выборочная проверка анализа влияния на безопасность

Элементы действий разработчика

AMA_EVD.1.1D Аналитик безопасности от разработчика должен представить документацию ПД для текущей версии ОО.

Элементы содержания и представления свидетельств

AMA_EVD.1.1C Документация ПД должна включать в себя список конфигурации и список идентифицированных уязвимостей в ОО.

AMA_EVD.1.2C Список конфигурации должен содержать описание элементов конфигурации, которые составляют текущую версию ОО.

AMA_EVD.1.3C Документация ПД должна представить свидетельство следования процедурам, которые имеются или на которые есть ссылки в плане ПД.

AMA_EVD.1.4C Список идентифицированных уязвимостей в текущей версии ОО должен показать для каждой уязвимости, что она не может быть использована в предполагаемой среде ОО.

Элементы действий оценщика

AMA_EVD.1.1E Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.

AMA_EVD.1.2E Оценщик должен подтвердить следование процедурам, которые задокументированы или на которые есть ссылки в плане ПД.

AMA_EVD.1.3E Оценщик должен подтвердить, что анализ влияния на безопасность для текущей версии ОО согласован со списком конфигурации.

AMA_EVD.1.4E Оценщик должен подтвердить, что все изменения, задокументированные при анализе влияния на безопасность для текущей версии ОО, находятся в пределах, установленных планом ПД.

AMA_EVD.1.5E Оценщик должен подтвердить, что функциональное тестирование выполнялось на текущей версии ОО соразмерно поддерживаемому уровню доверия.