Новые требования ФСТЭК России: что требуется от разработчика СЗИ?
Привожу небольшую таблицу — сравнительный анализа требований доверия, предъявляемых в соответствии с новыми нормативными документами ФСТЭК России в области сертификации (требования к САВЗ, требования к СОВ). Приведены требования как к составу и содержанию разрабатываемых документов, так и к наличию реализованных процедур при проектировании и реализации объекта сертификации. Представлены результаты анализа для классов защиты 4-6. Напомню, что требования к классам защиты 1-3 являются информацией ограниченного доступа. Отмечу, что в таблице не учитываются требования доверия, сформулированные в явном виде (например, требования к процедурам обновления базы решающих правил).
Таблица доступна по ссылке.
|
Класс доверия |
Семейство |
Документ/процедура |
Класс защиты |
||
|
4 |
5 |
6 |
|||
|
Оценка задания по безопасности |
ASE_*** |
Задание по безопасности |
+ |
+ |
+ |
|
Управление конфигурацией |
ACM_CAP |
Система управления конфигурацией |
+ |
+ |
|
|
Маркировка |
+ |
+ |
+ |
||
|
План управления конфигурацией |
+ |
|
|
||
|
Список конфигурации |
+ |
+ |
|
||
|
Контроль доступа к элементам конфигурации |
+ |
|
|
||
|
Эксплуатационная документация системы управления конфигурацией |
+ |
+ |
|
||
|
ACM_SCP |
Элементы конфигурации: исходные тексты ПО, документация, дистрибутив |
+ |
|
|
|
|
Поставка и эксплуатация |
ADO_DEL |
Процедура поставки |
+ |
+ |
|
|
Описание процедуры поставки |
+ |
+ |
|
||
|
ADO_IGS |
Руководство по безопасной установке |
+ |
+ |
|
|
|
Разработка |
ADV_FSP |
Функциональная спецификация |
+ |
+ |
+ |
|
ADV_HLD |
Проект верхнего уровня |
+ |
+ |
|
|
|
ADV_IMP |
Исходные тексты ПО |
+ |
|
|
|
|
ADV_LLD |
Проект нижнего уровня |
+ |
|
|
|
|
ADV_RCR |
Демонстрация соответствия: «исходные тексты ПО»↔«проект нижнего уровня» |
+ |
|
|
|
|
Демонстрация соответствия: «проект нижнего уровня»↔«проект верхнего уровня» |
+ |
|
|
||
|
Демонстрация соответствия: «проект верхнего уровня»↔ «функциональная спецификация» |
+ |
+ |
|
||
|
Демонстрация соответствия: «исходные тексты ПО»↔ «исполняемые модули» |
+ |
|
|
||
|
Руководства |
AGD_ADM |
Руководство администратора |
+ |
+ |
+ |
|
AGD_USR |
Руководство пользователя |
+ |
+ |
+ |
|
|
Поддержка жизненного цикла |
ALC_DVS |
Описание процедур безопасной разработки (физические, организационные) |
+ |
|
|
|
Процедуры безопасной разработки |
+ |
|
|
||
|
ALC_FLR |
Процедуры устранения недостатков |
+ |
+ |
|
|
|
Описание процедур устранения недостатков |
+ |
+ |
|
||
|
ALC_TAT |
Процедура идентификации инструментальных средств разработки (компиляторы, упаковщики и т.п.) |
+ |
|
|
|
|
Список инструментальных средств, применяемых при разработке |
+ |
|
|
||
|
Документация инструментальных средств, применяемых при разработке |
+ |
|
|
||
|
Тестирование |
ATE_COV |
Анализ покрытия тестами: «тестовая процедура»↔ «функциональная спецификация» |
+ |
+ |
|
|
ATE_DPT |
Анализ глубины тестирования: «тестовая процедура»↔ «проект верхнего уровня» |
+ |
|
|
|
|
ATE_FUN |
Процедура функционально тестирования |
+ |
+ |
|
|
|
Результаты функционального тестирования |
+ |
+ |
|
||
|
ATE_IND |
Испытательный стенд |
+ |
+ |
|
|
|
Оценка уязвимостей |
AVA_MSU |
Руководства по применению |
+ |
|
|
|
AVA_SOF |
Результаты анализа стойкости функций безопасности |
+ |
+ |
+ |
|
|
AVA_VLA |
Результаты анализа уязвимостей |
+ |
+ |
|
|
Possibly Related Posts:
- AppChecker’ом по Бляйхенбахеру
- Группа компаний «Эшелон» приглашает на InfoSecurity Russia 2018!
- Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность
- Минкомсвязи: доля отечественного ПО будет повышаться на 10% в год
- GDPR: Новые правила обработки персональных данных в EU
Эксперт сообщества Александр Барабанов
Выпускник МГТУ им. Н.Э.Баумана по специальности "Комплексное обеспечение информационной безопасности автоматизированных систем". Доцент кафедры "Информационная безопасность" МГТУ им. Н.Э. Баумана, кандидат технических наук, CISSP, CSSLP.
Рубрика: Новости. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.