ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности
7.3 Оценочный уровень доверия 1 (ОУД1), предусматривающий функциональное тестирование
7.3.1 Цели
ОУД1 применим, когда требуется некоторая уверенность в правильном функционировании ОО, а угрозы безопасности не рассматривают как серьезные. Он будет полезен там, где требуется независимо полученное доверие утверждению, что было уделено должное внимание защите информации с низким уровнем значимости.
Для ОУД1 требуется только ЗБ с сокращенным содержанием. Можно не определять функциональные требования путем изучения угроз, ПБОр и предположений о целях безопасности; достаточно просто изложить, каким функциональным требованиям должен отвечать ОО.
ОУД1 обеспечивает оценку ОО в том виде, в каком он доступен потребителю, путем независимого тестирования на соответствие спецификации и экспертизы представленной документации руководств. Предполагается, что оценка по ОУД1 может успешно проводиться без помощи разработчика ОО и с минимальными затратами.
При оценке на этом уровне следует предоставить свидетельство, что ОО функционирует в соответствии с его документацией.
7.3.2 Компоненты доверия
ОУД1 (см. таблицу 2) предоставляет базовый уровень доверия посредством ЗБ с сокращенным содержанием и анализ ФТБ в этом ЗБ с использованием функциональной спецификации, спецификации интерфейсов и руководств для понимания режима безопасности.
Таблица 2 - ОЦЕНОЧНЫЙ УРОВЕНЬ ДОВЕРИЯ 1
Класс доверия | Компоненты доверия |
ADV: Разработка | ADV_FSP.1 Базовая функциональная спецификация |
AGD: Руководства | AGD_OPE.1 Руководство пользователя по эксплуатации |
AGD_PRE.1 Подготовительные процедуры | |
ALC: Поддержка жизненного цикла | ALC_CMC.1 Маркировка ОО |
ALC_CMS.1 Охват УК объекта оценки | |
ASE: Оценка задания по безопасности | ASE_CCL.1 Утверждения о соответствии |
ASE_ECD.1 Определение расширенных компонентов | |
ASE_INT.1 Введение ЗБ | |
ASE_OBJ.1 Цели безопасности для среды функционирования | |
ASE_REQ.1 Установленные требования безопасности | |
ASE_TSS.1 Краткая спецификация ОО | |
ATE: Тестирование | ATE_IND.1 Независимое тестирование на соответствие |
AVA: Оценка уязвимостей | AVA_VAN.1 Обзор уязвимостей |
Анализ поддержан поиском потенциальных уязвимостей (путем изучения общедоступной информации) с проведением независимого тестирования (функционального и тестирования проникновения) ФБО.
Также ОУД1 обеспечивает доверие благодаря уникальной идентификации ОО и документации по оценке.
Этот ОУД обеспечивает значимое увеличение доверия по сравнению с продуктом ИТ, не подвергавшимся оценке.