ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности
7.6 Оценочный уровень доверия 4 (ОУД4), предусматривающий методическое проектирование, тестирование и углубленную проверку
7.6.1 Цели
ОУД4 позволяет разработчику достичь максимального доверия путем применения надлежащего проектирования безопасности, основанного на хороших коммерческих практиках разработки, которые, даже будучи строгими, не требуют глубоких профессиональных знаний, навыков и других ресурсов. ОУД4 - самый высокий уровень, на который, вероятно, экономически целесообразно ориентироваться при оценке уже существующих продуктов.
Поэтому ОУД4 применим, когда разработчикам или пользователям требуется независимо подтвержденный уровень доверия от умеренного до высокого в ОО общего назначения и имеется готовность нести дополнительные, связанные с обеспечением безопасности, производственные затраты.
7.6.2 Компоненты доверия
ОУД4 (см. таблицу 5) обеспечивает доверие посредством ЗБ с полным содержанием и посредством анализа выполнения ФТБ из данного ЗБ с использованием функциональной спецификации, полной спецификации интерфейсов, руководств, описания базового модульного проекта ОО, а также подмножества реализации для понимания режима безопасности.
Таблица 5 - ОЦЕНОЧНЫЙ УРОВЕНЬ ДОВЕРИЯ 4
Класс доверия | Компоненты доверия |
ADV: Разработка | ADV_ARC.1 Описание архитектуры безопасности |
ADV_FSP.4 Полная функциональная спецификация | |
ADV_IMP.1 Представление реализации ФБО | |
ADV_TDS.3 Базовый модульный проект | |
AGD: Руководства | AGD_OPE.1 Руководство пользователя по эксплуатации |
AGD_PRE.1 Подготовительные процедуры | |
ALC: Поддержка жизненного цикла | ALC_CMC.4 Поддержка производства, процедуры приемки и автоматизации |
ALC_CMS.4 Охват УК отслеживания проблем | |
ALC_DEL.1 Процедуры поставки | |
ALC_DVS.1 Идентификация мер безопасности | |
ALC_LCD.1 Определенная разработчиком модель жизненного цикла | |
ALC_TAT.1 Полностью определенные инструментальные средства разработки | |
ASE: Оценка задания по безопасности | ASE_CCL.1 Утверждения о соответствии |
ASE_ECD.1 Определение расширенных компонентов | |
ASE_INT.1 Введение ЗБ | |
ASE_OBJ.2 Цели безопасности | |
ASE_REQ.2 Производные требования безопасности | |
ASE_SPD.1 Определение проблемы безопасности | |
ASE_TSS.1 Краткая спецификация ОО | |
ATE: Тестирование | ATE_COV.2 Анализ покрытия |
ATE_DPT.2 Тестирование: модули обеспечения безопасности | |
ATE_FUN.1 Функциональное тестирование | |
ATE_IND.2 Выборочное независимое тестирование | |
AVA: Оценка уязвимостей | AVA_VAN.3 Сосредоточенный анализ уязвимостей |
Анализ поддержан независимым тестированием ФБО, свидетельством разработчика о тестировании, основанном на функциональной спецификации и проекте ОО, выборочным независимым подтверждением результатов тестирования разработчиком и анализом уязвимостей (основанным на представленных свидетельствах по функциональной спецификации, проекту ОО, представлению реализации, описанию архитектуры безопасности и руководствам), демонстрирующим противостояние попыткам проникновения нарушителей, обладающим усиленным Базовым потенциалом нападения.
ОУД4 также обеспечивает доверие посредством использования мер управления средой разработки и дополнительного управления конфигурацией ОО, включая автоматизацию, и свидетельства безопасных процедур поставки.
ОУД4 представляет значимое увеличение доверия по сравнению с ОУД3, требуя более детальное описание проекта, представление реализации для всех ФБО и улучшенные механизмы и/или процедуры, что дает уверенность в том, что в ОО не будут внесены искажения во время разработки.