Новые требования ФСТЭК России: что требуется от разработчика СЗИ?
Привожу небольшую таблицу — сравнительный анализа требований доверия, предъявляемых в соответствии с новыми нормативными документами ФСТЭК России в области сертификации (требования к САВЗ, требования к СОВ). Приведены требования как к составу и содержанию разрабатываемых документов, так и к наличию реализованных процедур при проектировании и реализации объекта сертификации. Представлены результаты анализа для классов защиты 4-6. Напомню, что требования к классам защиты 1-3 являются информацией ограниченного доступа. Отмечу, что в таблице не учитываются требования доверия, сформулированные в явном виде (например, требования к процедурам обновления базы решающих правил).
Таблица доступна по ссылке.
|
Класс доверия |
Семейство |
Документ/процедура |
Класс защиты |
||
|
4 |
5 |
6 |
|||
|
Оценка задания по безопасности |
ASE_*** |
Задание по безопасности |
+ |
+ |
+ |
|
Управление конфигурацией |
ACM_CAP |
Система управления конфигурацией |
+ |
+ |
|
|
Маркировка |
+ |
+ |
+ |
||
|
План управления конфигурацией |
+ |
|
|
||
|
Список конфигурации |
+ |
+ |
|
||
|
Контроль доступа к элементам конфигурации |
+ |
|
|
||
|
Эксплуатационная документация системы управления конфигурацией |
+ |
+ |
|
||
|
ACM_SCP |
Элементы конфигурации: исходные тексты ПО, документация, дистрибутив |
+ |
|
|
|
|
Поставка и эксплуатация |
ADO_DEL |
Процедура поставки |
+ |
+ |
|
|
Описание процедуры поставки |
+ |
+ |
|
||
|
ADO_IGS |
Руководство по безопасной установке |
+ |
+ |
|
|
|
Разработка |
ADV_FSP |
Функциональная спецификация |
+ |
+ |
+ |
|
ADV_HLD |
Проект верхнего уровня |
+ |
+ |
|
|
|
ADV_IMP |
Исходные тексты ПО |
+ |
|
|
|
|
ADV_LLD |
Проект нижнего уровня |
+ |
|
|
|
|
ADV_RCR |
Демонстрация соответствия: «исходные тексты ПО»↔«проект нижнего уровня» |
+ |
|
|
|
|
Демонстрация соответствия: «проект нижнего уровня»↔«проект верхнего уровня» |
+ |
|
|
||
|
Демонстрация соответствия: «проект верхнего уровня»↔ «функциональная спецификация» |
+ |
+ |
|
||
|
Демонстрация соответствия: «исходные тексты ПО»↔ «исполняемые модули» |
+ |
|
|
||
|
Руководства |
AGD_ADM |
Руководство администратора |
+ |
+ |
+ |
|
AGD_USR |
Руководство пользователя |
+ |
+ |
+ |
|
|
Поддержка жизненного цикла |
ALC_DVS |
Описание процедур безопасной разработки (физические, организационные) |
+ |
|
|
|
Процедуры безопасной разработки |
+ |
|
|
||
|
ALC_FLR |
Процедуры устранения недостатков |
+ |
+ |
|
|
|
Описание процедур устранения недостатков |
+ |
+ |
|
||
|
ALC_TAT |
Процедура идентификации инструментальных средств разработки (компиляторы, упаковщики и т.п.) |
+ |
|
|
|
|
Список инструментальных средств, применяемых при разработке |
+ |
|
|
||
|
Документация инструментальных средств, применяемых при разработке |
+ |
|
|
||
|
Тестирование |
ATE_COV |
Анализ покрытия тестами: «тестовая процедура»↔ «функциональная спецификация» |
+ |
+ |
|
|
ATE_DPT |
Анализ глубины тестирования: «тестовая процедура»↔ «проект верхнего уровня» |
+ |
|
|
|
|
ATE_FUN |
Процедура функционально тестирования |
+ |
+ |
|
|
|
Результаты функционального тестирования |
+ |
+ |
|
||
|
ATE_IND |
Испытательный стенд |
+ |
+ |
|
|
|
Оценка уязвимостей |
AVA_MSU |
Руководства по применению |
+ |
|
|
|
AVA_SOF |
Результаты анализа стойкости функций безопасности |
+ |
+ |
+ |
|
|
AVA_VLA |
Результаты анализа уязвимостей |
+ |
+ |
|
|
Possibly Related Posts:
- Вебинар по реализации требований по обеспечению безопасности объектов информатизации от НПО «Эшелон»
- Информационная безопасность в условиях пандемии COVID-19
- Лицензирование в период «повышенной готовности». ПРОДОЛЖЕНИЕ.
- ОС Astra Linux подтвердила соответствие требованиям ФСТЭК России по первому уровню доверия
- Лицензирование в период «повышенной готовности»
Эксперт сообщества Александр Барабанов
Выпускник МГТУ им. Н.Э.Баумана по специальности "Комплексное обеспечение информационной безопасности автоматизированных систем". Доцент кафедры "Информационная безопасность" МГТУ им. Н.Э. Баумана, кандидат технических наук, CISSP, CSSLP.
Рубрика: Новости. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.