Новая нормативная база ФСТЭК России VS «классические» требования
Новые нормативные и методические документы ФСТЭК России в области сертификации (требования к СОВ, САВЗ) требуют от заявителей разработки большого количества документов для подтверждения необходимого уровня доверия к объекту сертификации. Приведу результаты небольшого сравнительного анализа документов, необходимых при сертификации на соответствие 4 классу защиты, и документов, требуемых от заявителя (разработчика) при сертификации по требованиям РД СВТ (5 класс)+РД НДВ (4 уровень контроля).
Результаты анализа доступны по ссылке: pdf.
Анализ показал, что относительно новыми документами, требуемыми от разработчика (заявителя) являются:
- задание по безопасности;
- документы по управлению конфигурацией (план, списки и т.д.);
- различные демонстрации соответствия между различными представлениями объекта сертификации (исходные тексты, проект верхнего уровня и т.д.);
- результаты анализа уязвимостей.
Стоит добавить, автор руководит Центром компетенции по линии Common Criteria (ISO 15408):
http://s3r.ru/13/11/2012/novosti/tsentr-kompetentsii-po-standartu-obshhie-kriterii/
http://commoncriteria.ru/