Новые требования ФСТЭК России: что требуется от разработчика СЗИ?
Привожу небольшую таблицу — сравнительный анализа требований доверия, предъявляемых в соответствии с новыми нормативными документами ФСТЭК России в области сертификации (требования к САВЗ, требования к СОВ). Приведены требования как к составу и содержанию разрабатываемых документов, так и к наличию реализованных процедур при проектировании и реализации объекта сертификации. Представлены результаты анализа для классов защиты 4-6. Напомню, что требования к классам защиты 1-3 являются информацией ограниченного доступа. Отмечу, что в таблице не учитываются требования доверия, сформулированные в явном виде (например, требования к процедурам обновления базы решающих правил).
Таблица доступна по ссылке.
|
Класс доверия |
Семейство |
Документ/процедура |
Класс защиты |
||
|
4 |
5 |
6 |
|||
|
Оценка задания по безопасности |
ASE_*** |
Задание по безопасности |
+ |
+ |
+ |
|
Управление конфигурацией |
ACM_CAP |
Система управления конфигурацией |
+ |
+ |
|
|
Маркировка |
+ |
+ |
+ |
||
|
План управления конфигурацией |
+ |
|
|
||
|
Список конфигурации |
+ |
+ |
|
||
|
Контроль доступа к элементам конфигурации |
+ |
|
|
||
|
Эксплуатационная документация системы управления конфигурацией |
+ |
+ |
|
||
|
ACM_SCP |
Элементы конфигурации: исходные тексты ПО, документация, дистрибутив |
+ |
|
|
|
|
Поставка и эксплуатация |
ADO_DEL |
Процедура поставки |
+ |
+ |
|
|
Описание процедуры поставки |
+ |
+ |
|
||
|
ADO_IGS |
Руководство по безопасной установке |
+ |
+ |
|
|
|
Разработка |
ADV_FSP |
Функциональная спецификация |
+ |
+ |
+ |
|
ADV_HLD |
Проект верхнего уровня |
+ |
+ |
|
|
|
ADV_IMP |
Исходные тексты ПО |
+ |
|
|
|
|
ADV_LLD |
Проект нижнего уровня |
+ |
|
|
|
|
ADV_RCR |
Демонстрация соответствия: «исходные тексты ПО»↔«проект нижнего уровня» |
+ |
|
|
|
|
Демонстрация соответствия: «проект нижнего уровня»↔«проект верхнего уровня» |
+ |
|
|
||
|
Демонстрация соответствия: «проект верхнего уровня»↔ «функциональная спецификация» |
+ |
+ |
|
||
|
Демонстрация соответствия: «исходные тексты ПО»↔ «исполняемые модули» |
+ |
|
|
||
|
Руководства |
AGD_ADM |
Руководство администратора |
+ |
+ |
+ |
|
AGD_USR |
Руководство пользователя |
+ |
+ |
+ |
|
|
Поддержка жизненного цикла |
ALC_DVS |
Описание процедур безопасной разработки (физические, организационные) |
+ |
|
|
|
Процедуры безопасной разработки |
+ |
|
|
||
|
ALC_FLR |
Процедуры устранения недостатков |
+ |
+ |
|
|
|
Описание процедур устранения недостатков |
+ |
+ |
|
||
|
ALC_TAT |
Процедура идентификации инструментальных средств разработки (компиляторы, упаковщики и т.п.) |
+ |
|
|
|
|
Список инструментальных средств, применяемых при разработке |
+ |
|
|
||
|
Документация инструментальных средств, применяемых при разработке |
+ |
|
|
||
|
Тестирование |
ATE_COV |
Анализ покрытия тестами: «тестовая процедура»↔ «функциональная спецификация» |
+ |
+ |
|
|
ATE_DPT |
Анализ глубины тестирования: «тестовая процедура»↔ «проект верхнего уровня» |
+ |
|
|
|
|
ATE_FUN |
Процедура функционально тестирования |
+ |
+ |
|
|
|
Результаты функционального тестирования |
+ |
+ |
|
||
|
ATE_IND |
Испытательный стенд |
+ |
+ |
|
|
|
Оценка уязвимостей |
AVA_MSU |
Руководства по применению |
+ |
|
|
|
AVA_SOF |
Результаты анализа стойкости функций безопасности |
+ |
+ |
+ |
|
|
AVA_VLA |
Результаты анализа уязвимостей |
+ |
+ |
|
|
Possibly Related Posts:
- Журнал «Вопросы кибербезопасности» за прошедший год признан лучшим в РИНЦ по тематике!
- Эксперты АО НПО «Эшелон» провели секцию по защите критической информационной инфраструктуры в рамках Всероссийского форума «ПРОФ-IT.2019»
- СВФУ подписал соглашение об обучении специалистов по ИБ
- Особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу
- ГК «Эшелон» в очередной раз вошла в список крупнейших компаний в области информационных и коммуникационных технологий!
Эксперт сообщества Александр Барабанов
Выпускник МГТУ им. Н.Э.Баумана по специальности "Комплексное обеспечение информационной безопасности автоматизированных систем". Доцент кафедры "Информационная безопасность" МГТУ им. Н.Э. Баумана, кандидат технических наук, CISSP, CSSLP.
Рубрика: Новости. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.