Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

Приложение А
(информативное)

          
Общие указания по оценке

А.1 Цели

Цель данного подраздела состоит в том, чтобы охватить общие вопросы руководства обеспечением технического подтверждения результатов оценки. Использование такого общего руководства помогает достичь объективности, повторяемости и воспроизводимости работы, выполненной оценщиком.

А.2 Выборка

Данный подраздел предоставляет общие указания по осуществлению выборки. Конкретная и подробная информация дана в шагах оценивания, соответствующих определенным элементам действий оценщика, где выборку необходимо выполнить.

Выборка - определенная процедура, выполняемая оценщиком, посредством которой некоторое подмножество требуемой совокупности свидетельств оценки исследуется и предполагается репрезентативным (представительным) для совокупности в целом. Это позволяет оценщику получить достаточную уверенность в правильности конкретного свидетельства оценки без его анализа в полном объеме. Выборка производится для экономии ресурсов при поддержании адекватного уровня доверия. Выборка из свидетельства может приводить к двум возможным результатам:

a) На подмножестве не обнаружено никаких ошибок, что дает оценщику определенную уверенность в том, что совокупность в целом корректна.

b) На подмножестве найдены ошибки, и поэтому правильность совокупности в целом подвергается сомнению. Даже устранение всех обнаруженных ошибок может оказаться недостаточным для получения оценщиком необходимой уверенности, и поэтому оценщику придется либо увеличить размер подмножества, либо прекратить использование выборки для этого конкретного свидетельства.

Выборка - это метод, который может использоваться для получения заслуживающих доверия выводов, когда состав свидетельства относительно однороден по существу, например если свидетельство является результатом полностью определенного процесса.

Выборка в случаях, указанных в ИСО/МЭК 15408 или специально оговоренных в шагах оценивания методологии, признается как экономичный подход к действиям, выполняемым оценщиком. Выборка в других областях разрешается только в исключительных случаях, там, где выполнение конкретного вида деятельности в целом потребовало бы усилий, непропорциональных другим видам деятельности, и где оно не повысило бы соответственно доверие. В таких случаях потребуется обоснование применения выборки в этой области. Ни тот факт, что ОО является объемным и сложным, ни то, что он имеет много функциональных требований безопасности, не является достаточным обоснованием, так как при оценке объемных и сложных ОО как раз и могут потребоваться большие усилия. Скорее предполагается, что это исключение ограничивается такими случаями, когда подход к разработке ОО дает большое количество материала для конкретного требования ИСО/МЭК 15408, который обычно весь требуется проверить или исследовать, и когда не ожидается, что такое действие повысит соответственно степень доверия.

Выборка нуждается в логическом обосновании, принимая во внимание возможное влияние на цели безопасности и угрозы ОО. Влияние зависит от того, что может быть пропущено в результате выборки. Необходимо также учитывать характер свидетельства, проверяемого выборочно, и требование не игнорировать любые функции безопасности и не снижать их роль.

Следует признать, что выборка из свидетельства, прямо связанного с реализацией ОО (например, результатов теста разработчика), требует подхода, отличного от применяемого при выборке, связанного с вынесением заключения о том, правильно ли выполнялся процесс. Во многих случаях, когда от оценщика требуется определить, что процесс действительно выполняется, рекомендуется стратегия выборки. Подход, который применяется при выборке результатов тестирования разработчиком, будет отличаться. Это происходит потому, что в первом случае речь идет об уверенности в том, что процесс выполняется, а во втором мы имеем дело с определением корректности реализации ОО. Как правило, более объемные выборки следует анализировать в случаях, связанных с правильной реализацией ОО, нежели с необходимостью удостовериться, что процесс выполняется.

В определенных случаях для оценщика может быть уместно придавать большее значение повторению тестирований, проведенных разработчиком. Например, если независимые тесты, которые осталось провести оценщику, только поверхностно отличаются от включенных в обширный набор проверок, проведенных разработчиком (допустим, что разработчик провёл тестирование в большем объеме, чем необходимо для удовлетворения критериев классов ATE_COV "Покрытие" и ATE_DPT "Глубина"), тогда оценщику целесообразнее сосредоточить усилия на повторении проверок, проведенных разработчиком. Следует отметить, что это не обязательно подразумевает требование большой доли выборки при повторении тестов разработчика; на самом деле, учитывая обширный набор проверок, проведенных разработчиком, оценщик может обосновать необходимость повторения лишь весьма малого процента тестовых испытаний.

В тех случаях, когда разработчик для проведения функционального тестирования применил автоматизированное средство тестирования, оценщику обычно будет проще повторно запустить средство тестирования и провести полную проверку заново, нежели выборочно повторить тестирования, проведенные разработчиком. Однако оценщик обязан проверить, что автоматизированное тестирование не дает искаженных результатов. Подразумевается, что эта проверка должна быть выполнена с выборкой среди тестов, проведенных автоматизированным средством тестирования, по принципу оказания предпочтения проверке некоторых тестов из всех возможных и при этом с обеспечением достаточности объема выборки.

При выборке рекомендуется всегда придерживаться следующих принципов:

a) Осуществление выборки не должно носить случайный характер, выборка должна проводиться таким образом, чтобы она являлась репрезентативной (показательной) для всех свидетельств. Объем выборки и её состав всегда должны быть обоснованы.

b) В случае, когда выборка имеет отношение к верной реализации ОО, следует, чтобы она была репрезентативна по всем аспектам, относящимся к областям применения выборки. В частности, следует, чтобы выборка охватила все разнообразие компонентов, функций безопасности, мест разработки и эксплуатации (если их несколько) и типов аппаратных платформ (если их несколько). Объем выборки следует сопоставить с эффективностью затрат на проведение оценки, он зависит от некоторых характеристик ОО (например, от размеров и сложности ОО, от объема документации).

c) Также, в случае, когда осуществление выборки касается получения конкретного свидетельства того, что тестирование, проводимое разработчиком, является повторяемым и воспроизводимым, используемая выборка должна быть достаточной для того, чтобы представить все аспекты тестовых проверок, проводимых разработчиком, например такие, как различные тестовые режимы. Используемая выборка должна быть достаточной для обнаружения любой систематически возникающей проблемы в функциональном процессе тестирования, проводимого разработчиком. Вклад оценщика, складывающийся из повторения тестов, проведенных разработчиком, и выполнения независимых тестов, должен быть достаточным для обращения к основным важным характеристикам ОО.

d) Когда выборка осуществляется для получения свидетельства выполнения некоторого процесса (например, контроля посетителей или анализа проекта), оценщику следует выбрать объем информации, достаточный для получения приемлемой уверенности в выполнении процесса.

e) Заявителя и разработчика не следует заблаговременно информировать о точном составе выборки. При этом следует учитывать необходимость обеспечения своевременности поставки выборки и вспомогательных материалов, например комплексов тестовых программ и оборудования оценщику в соответствии с графиком проведения оценки.

f) Следует, чтобы отбор при выборке по возможности был непредвзятым (не стоит выбирать всегда только первый или последний номер в списке). В идеале отбор следует поручить не оценщику, а кому-то другому.

Ошибки, найденные в выборке, могут быть отнесены к двум категориям - систематические или случайные. Если ошибка систематическая, следует устранить ее причину и полностью выполнить новую выборку. При надлежащем объяснении разработчика вопрос о случайных ошибках может быть решен без проведения новой выборки, хотя такое объяснение следует подтвердить. Оценщику следует руководствоваться здравым смыслом при определении, увеличить ли объем выборки или использовать другую выборку.

А.3 Зависимости

В общем случае выполнение требуемых видов и подвидов деятельности и действий по оценке возможно в произвольном порядке или параллельно. Тем не менее имеются различные виды зависимостей, которые необходимо учитывать оценщику. Этот подраздел представляет общее руководство по учету зависимостей между различными видами и подвидами деятельности и действиями по оценке.

А.3.1 Зависимости между видами деятельности

В некоторых случаях для различных классов доверия может быть рекомендована или даже потребована определенная последовательность выполнения связанных с ними видов деятельности по оценке. Конкретный пример - вид деятельности по оценке ЗБ. Вид деятельности по оценке ЗБ начинается прежде каких-либо видов деятельности по оценке ОО, так как ЗБ предоставляет основу и контекст их выполнения. Однако сделать итоговое заключение по оценке ЗБ до завершения оценки ОО может оказаться невозможным, т.к. результаты деятельности по оценке ОО могут привести к изменениям в ЗБ.

А.3.2 Зависимости между подвидами деятельности

Оценщику необходимо учитывать зависимости между компонентами, указанные в ИСО/МЭК 15408-3. Большинство таких зависимостей являются односторонними, например Подвид деятельности по оценке AVA_VAN.1 зависит от Подвидов деятельности по оценке ADV_FSP.1 и AGD_OPE.1. Есть и примеры взаимной зависимости, когда оба компонента зависят друг от друга, например Подвид деятельности по оценке ATE_FUN.1 и Подвид деятельности по оценке ATE_COV.1.