ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности
8.4 Составной уровень доверия В (СоПД-В), предусматривающий методическую композицию
8.4.1 Цели
СоПД-В позволяет добросовестному разработчику достигнуть максимального доверия на основе понимания на уровне подсистем влияния взаимосвязей между ОО-компонентами, включаемыми в составной ОО, при минимальной зависимости от привлечения разработчика базового компонента.
СоПД-В применим в тех случаях, когда разработчикам или пользователям требуется независимо подтвержденный умеренный уровень доверия к безопасности на основе всестороннего исследования составного ОО и процесса его разработки без существенного реинжиниринга (восстановления процесса проектирования).
8.4.2 Компоненты доверия
СоПД-В обеспечивает доверие путем анализа ЗБ с полным содержанием для составного ОО. Для понимания режима безопасного функционирования ФТБ в ЗБ для составного ОО анализируются с использованием выходных данных оценки ОО-компонентов (например, ЗБ, руководств), спецификации интерфейсов между ОО-компонентами и проекта ОО (описывающего подсистемы ФБО), содержащегося в информации по разработке композиции.
Анализ поддержан независимым тестированием интерфейсов базового компонента, на которые полагаются зависимые компоненты, как описано в информации о зависимостях (которая для данного СоПД также включает проект ОО), свидетельстве тестирования разработчиком, базирующемся на информации о зависимостях, информации по разработке и обосновании композиции ОО, а также выборочным независимым подтверждением результатов тестирования, выполненного разработчиком. Данный анализ также поддержан проводимым оценщиком анализом уязвимостей составного ОО, демонстрирующим противостояние нарушителю с Базовым потенциалом нападения.
Этот СоПД демонстрирует значительное увеличение уровня доверия по сравнению с СоПД-А, требуя более полного охвата тестированием функциональных возможностей безопасности.
Таблица 11 - СоПД-В
Класс доверия | Компоненты доверия |
АСО: Композиция | ACO_COR.1 Обоснование композиции |
АСО_СТТ.2 Строгое тестирование интерфейсов | |
ACO_DEV.2 Базовое свидетельство по проекту | |
ACO_REL.1 Базовая информация о зависимостях | |
ACO_VUL.2 Анализ уязвимостей композиции | |
AGD: Руководства | AGD_OPE.1 Руководство пользователя по эксплуатации |
AGD_PRE.1 Подготовительные процедуры | |
ALC: Поддержка жизненного цикла | ALC_CMC.1 Маркировка ОО |
ALC_CMS.2 Охват УК частей ОО | |
ASE: Оценка задания по безопасности | ASE_Утверждения о соответствии |
ASE_ECD.1 Определение расширенных компонентов | |
ASE_INT.1 Введение ЗБ | |
ASE_OBJ.2 Цели безопасности | |
ASE_REQ.2 Производные требования безопасности | |
ASE_SPD.1 Определение проблемы безопасности | |
ASE_TSS.1 Краткая спецификация ОО |