Рівень методичної розробки, тестування та аналізу

[EAL4 — methodically designed, tested and reviewed] — четвертий рівень гарантій, призначений для використання при обставинах, коли розробники або користувачі вимагають помірного або ви­сокого ступеню незалежного підтвердження гарантій захисту ІТ-продукту і готові нести певні додаткові витрати.

Відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: управління проектом: • у розділі ВГБ: засоби управління проектом — застосування

автоматизованих засобів управління проектом;

ЧастинаІІ.ОСНОВИ БЕЗПЕКИ ШФОРМАЦІЙНИХТЕХНОЛОГІЙ

■ у розділі ВГБ: управління версіями — авторизація розробни­
ків при поновленні версій;

¹ у розділі ВГБ: конфігурація проекту — включення до складу конфігурації проекту виявлених помилок і уразливостей. У класі ВГБ: дистрибуція:

• у розділі ВГБ: поставка — виявлення спотворень у процесі
поставки;

■ у розділі ВГБ: установка, настройка, запуск — регламентовані
процедури установки, настройки, запуску.

У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — нефор­
мальні специфікації для усіх інтерфейсів засобів захисту;

у розділі ВГБ: архітектура захисту — відповідність архітекту­ри захисту політиці безпеки;

у розділі ВГБ: форма надання продукту на сертифікацію — опис реалізації обмеженої підмножини засобів захисту; у розділі ВГБ: часткові специфікації засобів захисту — не­формальні часткові специфікації засобів захисту; у розділі ВГБ: відповідність описів різного рівня — нефор­мальне підтвердження відповідності;

у розділі ВГБ: політика безпеки —• неформальний опис полі­тики безпеки. У класі ВГБ: документація:

у розділі ВГБ: керівництво адміністратора — адмініструван­ня засобів захисту;

у розділі ВГБ: керівництво користувача — використання за­собів захисту.

У класі ВГБ: процес розробки:

у розділі ВГБ: безпека середовища розробки — застосування заходів безпеки у ході розробки;

у розділі ВГБ: технологія розробки — визначена розробни­ком технологія розробки;

у розділі ВГБ: засоби розробки — використання певного на­бору засобів розробки. У класі ВГБ: тестування:

Розділ 8. Критерії безпеки інформаційних технологій

• у розділі ВГБ: повнота тестування — обґрунтування повноти
тестування;

• у розділі ВГБ: глибина тестування — архітектура;

• у розділі ВГБ: методика тестування — функціональне тесту­
вання й протоколювання результатів тестів;

• у розділі ВГБ: незалежне тестування — вибіркове незалежне
тестування.

У класі ВГБ: оцінка захисту:

• у розділі ВГБ: аналіз можливостей неправильного вико­
ристання засобів захисту — підтвердження повноти керів­
ництв із адміністрування й безпеки їхнього застосування;

• у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій­
кості засобів захисту;

• у розділі ВГБ: аналіз продукту на наявність уразливостей —
незалежний аналіз уразливостей.

Цей рівень, незважаючи на достатньо сильні вимоги, не пот­ребує від розробника спеціальних знань у галузі розробки захи­щених систем та застосування спеціальних методів і технологій, які відрізняються від загальноприйнятих. Це найвищий рівень гарантій, на який можна розраховувати без значних додаткових економічних витрат.

На відміну від попередніх рівнів для сертифікації продукції на четвертий рівень гарантій аналізу піддаються всі інтерфейси без виключення, усі часткові специфікації, а також деталі реалі­зації засобів захисту. Крім того повинна бути представлена не­формальна політика безпеки.

Додатково до попереднього рівня результати аналізу підда­ються незалежним дослідженням уразливостей засобів захисту, які демонструють стійкість системи проти слабких атак. Вимоги до процесу створення продукту розширюються додатковими ви­могами застосування автоматизованих засобів керування конфі­гурацією.

Даний рівень відрізняється від попереднього посиленням ви­мог до процесу проектування та розробки, а також підсиленням заходів, які гарантують, що ІТ-продукт не був підміненим у про­цесі створення.

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Напівформальні методи розробки та тестування

Поиск по сайту: