ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности
8.5 Составной уровень доверия С (СоПД-С), предусматривающий методическую композицию, тестирование и проверку
8.5.1 Цели
СоПД-С позволяет разработчику достигнуть максимального доверия на основе точного анализа взаимосвязей между компонентами составного ОО, который несмотря на строгость не требует полного доступа ко всем свидетельствам базового компонента.
Поэтому СоПД-С применим, когда разработчикам или пользователям требуется независимо подтвержденный уровень доверия к безопасности от умеренного до высокого для ОО общего назначения и они готовы нести дополнительные затраты на проектирование, связанные с обеспечением безопасности.
8.5.2 Компоненты доверия
СоПД-С обеспечивает доверие путем анализа ЗБ с полным содержанием для составного ОО. Для понимания режима безопасного функционирования ФТБ в ЗБ составного ОО анализируются с использованием выходных данных оценки ОО-компонентов (например, ЗБ, руководств), спецификации интерфейсов между ОО-компонентами и проекта ОО (описывающего модули ФБО), содержащегося в информации по разработке композиции.
Анализ поддержан независимым тестированием интерфейсов базового компонента, на которые полагаются зависимые компоненты, как описано в информации о зависимостях (которая для данного СоПД также включает проект ОО), свидетельстве тестирования разработчиком, базирующемся на информации о зависимостях, информации по разработке и обосновании композиции ОО, а также выборочным независимым подтверждением результатов тестирования, выполненного разработчиком. Данный анализ также поддержан проводимым оценщиком анализом уязвимостей составного ОО, демонстрирующим противостояние нарушителю с усиленным базовым потенциалом нападения.
Этот СоПД дает значительное увеличение уровня доверия по сравнению с СоПД-В, требуя большего описания проекта и демонстрацию противостояния нарушителям с более высоким потенциалом нападения.
Таблица 12 - СоПД-С
Класс доверия | Компоненты доверия |
АСО: Композиция | ACO_COR.1 Обоснование композиции |
АСО_СТТ.2 Строгое тестирование интерфейсов | |
ACO_DEV.3 Детализированное свидетельство по проекту | |
ACO_REL.2 Информация о зависимостях | |
ACO_VUL.3 Усиленный базовый анализ уязвимостей композиции | |
AGD: Руководства | AGD_OPE.1 Руководство пользователя по эксплуатации |
AGD_PRE.1 Подготовительные процедуры | |
ALC: Поддержка жизненного цикла | ALC_CMC.1 Маркировка ОО |
ALC_CMS.2 Охват УК частей ОО | |
ASE: Оценка задания по безопасности | ASE_CCL.1 Утверждения о соответствии |
ASE_ECD.1 Определение расширенных компонентов | |
ASE_INT.1 Введение ЗБ | |
ASE_OBJ.2 Цели безопасности | |
ASE_REQ.2 Производные требования безопасности | |
ASE_SPD.1 Определение проблемы безопасности | |
ASE_TTS.1 Краткая спецификация ОО |