Новые требования ФСТЭК России: что требуется от разработчика СЗИ?
Привожу небольшую таблицу — сравнительный анализа требований доверия, предъявляемых в соответствии с новыми нормативными документами ФСТЭК России в области сертификации (требования к САВЗ, требования к СОВ). Приведены требования как к составу и содержанию разрабатываемых документов, так и к наличию реализованных процедур при проектировании и реализации объекта сертификации. Представлены результаты анализа для классов защиты 4-6. Напомню, что требования к классам защиты 1-3 являются информацией ограниченного доступа. Отмечу, что в таблице не учитываются требования доверия, сформулированные в явном виде (например, требования к процедурам обновления базы решающих правил).
Таблица доступна по ссылке.
|
Класс доверия |
Семейство |
Документ/процедура |
Класс защиты |
||
|
4 |
5 |
6 |
|||
|
Оценка задания по безопасности |
ASE_*** |
Задание по безопасности |
+ |
+ |
+ |
|
Управление конфигурацией |
ACM_CAP |
Система управления конфигурацией |
+ |
+ |
|
|
Маркировка |
+ |
+ |
+ |
||
|
План управления конфигурацией |
+ |
|
|
||
|
Список конфигурации |
+ |
+ |
|
||
|
Контроль доступа к элементам конфигурации |
+ |
|
|
||
|
Эксплуатационная документация системы управления конфигурацией |
+ |
+ |
|
||
|
ACM_SCP |
Элементы конфигурации: исходные тексты ПО, документация, дистрибутив |
+ |
|
|
|
|
Поставка и эксплуатация |
ADO_DEL |
Процедура поставки |
+ |
+ |
|
|
Описание процедуры поставки |
+ |
+ |
|
||
|
ADO_IGS |
Руководство по безопасной установке |
+ |
+ |
|
|
|
Разработка |
ADV_FSP |
Функциональная спецификация |
+ |
+ |
+ |
|
ADV_HLD |
Проект верхнего уровня |
+ |
+ |
|
|
|
ADV_IMP |
Исходные тексты ПО |
+ |
|
|
|
|
ADV_LLD |
Проект нижнего уровня |
+ |
|
|
|
|
ADV_RCR |
Демонстрация соответствия: «исходные тексты ПО»↔«проект нижнего уровня» |
+ |
|
|
|
|
Демонстрация соответствия: «проект нижнего уровня»↔«проект верхнего уровня» |
+ |
|
|
||
|
Демонстрация соответствия: «проект верхнего уровня»↔ «функциональная спецификация» |
+ |
+ |
|
||
|
Демонстрация соответствия: «исходные тексты ПО»↔ «исполняемые модули» |
+ |
|
|
||
|
Руководства |
AGD_ADM |
Руководство администратора |
+ |
+ |
+ |
|
AGD_USR |
Руководство пользователя |
+ |
+ |
+ |
|
|
Поддержка жизненного цикла |
ALC_DVS |
Описание процедур безопасной разработки (физические, организационные) |
+ |
|
|
|
Процедуры безопасной разработки |
+ |
|
|
||
|
ALC_FLR |
Процедуры устранения недостатков |
+ |
+ |
|
|
|
Описание процедур устранения недостатков |
+ |
+ |
|
||
|
ALC_TAT |
Процедура идентификации инструментальных средств разработки (компиляторы, упаковщики и т.п.) |
+ |
|
|
|
|
Список инструментальных средств, применяемых при разработке |
+ |
|
|
||
|
Документация инструментальных средств, применяемых при разработке |
+ |
|
|
||
|
Тестирование |
ATE_COV |
Анализ покрытия тестами: «тестовая процедура»↔ «функциональная спецификация» |
+ |
+ |
|
|
ATE_DPT |
Анализ глубины тестирования: «тестовая процедура»↔ «проект верхнего уровня» |
+ |
|
|
|
|
ATE_FUN |
Процедура функционально тестирования |
+ |
+ |
|
|
|
Результаты функционального тестирования |
+ |
+ |
|
||
|
ATE_IND |
Испытательный стенд |
+ |
+ |
|
|
|
Оценка уязвимостей |
AVA_MSU |
Руководства по применению |
+ |
|
|
|
AVA_SOF |
Результаты анализа стойкости функций безопасности |
+ |
+ |
+ |
|
|
AVA_VLA |
Результаты анализа уязвимостей |
+ |
+ |
|
|
Possibly Related Posts:
- Группа компаний «Эшелон» приглашает на InfoSecurity Russia 2018!
- Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность
- Минкомсвязи: доля отечественного ПО будет повышаться на 10% в год
- GDPR: Новые правила обработки персональных данных в EU
- Цископад: Cisco ASA в России проверили на CVE-2018-0101
Эксперт сообщества Александр Барабанов
Выпускник МГТУ им. Н.Э.Баумана по специальности "Комплексное обеспечение информационной безопасности автоматизированных систем". Доцент кафедры "Информационная безопасность" МГТУ им. Н.Э. Баумана, кандидат технических наук, CISSP, CSSLP.
Рубрика: Новости. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.