ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
10.3 Оценочный уровень доверия 1 (ОУД1), предусматривающий функциональное тестирование
10.3.1 Цели
ОУД1 применяют, если требуется некоторая уверенность в правильном функционировании, а угрозы безопасности не рассматривают как серьезные. Он будет полезен в случае, если требуется независимо полученное доверие утверждению, что было уделено должное внимание защите персональных данных или подобной информации.
ОУД1 обеспечивает оценку ОО в том виде, в каком он доступен потребителю, путем независимого тестирования на соответствие спецификации и экспертизы представленной документации. Предполагается, что оценка может успешно проводиться без помощи разработчика ОО и с минимальными затратами.
При оценке на этом уровне следует предоставить свидетельство, что ОО функционирует в соответствии с документацией и предоставляет приемлемую защиту против идентифицированных угроз.
10.3.2 Компоненты доверия
ОУД1 (см. таблицу 7) предоставляет базовый уровень доверия посредством анализа функций безопасности с использованием для понимания режима безопасности функциональной спецификации, спецификации интерфейсов и руководств.
Таблица 7 - OУД1
Класс доверия | Компоненты доверия |
АСМ: Управление конфигурацией | АСМ_САР.1 Номера версий |
ADO: Поставка и эксплуатация | ADO_IGS.1 Процедуры установки, генерации и запуска |
ADV: Разработка | ADV_FSP.1 Неформальная функциональная спецификация |
ADV_RCR.1 Неформальная демонстрация соответствия | |
AGD: Руководства | AGD_ADM.1 Руководство администратора |
AGD_USR.1 Руководство пользователя | |
ATE: Тестирование | ATE_IND.1 Независимое тестирование на соответствие |
Анализ поддержан независимым тестированием ФБО.
ОУД1 обеспечивает значимое увеличение доверия по сравнению с неоцененным продуктом или системой ИТ.