ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности
7.5 Оценочный уровень доверия 3 (ОУД3), предусматривающий методическое тестирование и проверку
7.5.1 Цели
ОУД3 позволяет добросовестному разработчику достичь максимального доверия путем применения надлежащего проектирования безопасности на стадии разработки проекта без значительного изменения существующей практики качественной разработки.
ОУД3 применим, когда разработчикам или пользователям требуется независимо подтвержденный умеренный уровень доверия на основе всестороннего исследования ОО и процесса его разработки без существенных затрат на изменение технологии проектирования.
7.5.2 Компоненты доверия
ОУД3 (см. таблицу 4) обеспечивает доверие посредством ЗБ с полным содержанием и посредством анализа выполнения ФТБ из данного ЗБ с использованием функциональной спецификации, спецификации интерфейсов, руководств и архитектурного описания проекта ОО для понимания режима безопасности.
Таблица 4 - ОЦЕНОЧНЫЙ УРОВЕНЬ ДОВЕРИЯ 3
Класс доверия | Компоненты доверия |
ADV: Разработка | ADV_ARC.1 Описание архитектуры безопасности |
ADV_FSP.3 Функциональная спецификация с полной аннотацией | |
ADV_TDS.2 Архитектурный проект | |
AGD: Руководства | AGD_OPE.1 Руководство пользователя по эксплуатации |
AGD_PRE.1 Подготовительные процедуры | |
ALC: Поддержка жизненного цикла | ALC_CMC.3 Средства управления авторизацией |
ALC_CMS.3 Охват УК представления реализации | |
ALC_DEL.1 Процедуры поставки | |
ALC_DVS.1 Идентификация мер безопасности | |
ALC_LCD.1 Определенная разработчиком модель жизненного цикла | |
ASE: Оценка задания по безопасности | ASE_CCL.1 Утверждения о соответствии |
ASE_ECD.1 Определение расширенных компонентов | |
ASE_INT.1 Введение ЗБ | |
ASE_OBJ.2 Цели безопасности | |
ASE_REQ.2 Производные требования безопасности | |
ASE_SPD.1 Определение проблемы безопасности | |
ASE_TSS.1 Краткая спецификация ОО | |
ATE: Тестирование | ATE_COV.2 Анализ покрытия |
ATE_DPT.1 Тестирование: базовый проект | |
ATE_FUN.1 Функциональное тестирование | |
ATE_IND.2 Выборочное независимое тестирование | |
AVA: Оценка уязвимостей | AVA_VAN.2 Анализ уязвимостей |
Анализ поддержан независимым тестированием ФБО, свидетельством разработчика о тестировании, основанном на функциональной спецификации и проекте ОО, выборочным независимым подтверждением результатов тестирования разработчиком и анализом уязвимостей (основанным на представленных свидетельствах по функциональной спецификации, проекту ОО, описанию архитектуры безопасности и руководствам), демонстрирующим противостояние попыткам проникновения нарушителей, обладающим Базовым потенциалом нападения.
ОУД3 также обеспечивает доверие посредством использования мер управления средой разработки, управления конфигурацией ОО и свидетельства безопасных процедур поставки.
ОУД3 представляет значимое увеличение доверия по сравнению с ОУД2, требуя более полного покрытия тестированием функциональных возможностей и механизмов безопасности и/или процедур безопасности, что дает некоторую уверенность в том, что в ОО не будут внесены искажения во время разработки.