Новые требования ФСТЭК России: что требуется от разработчика СЗИ?
Привожу небольшую таблицу — сравнительный анализа требований доверия, предъявляемых в соответствии с новыми нормативными документами ФСТЭК России в области сертификации (требования к САВЗ, требования к СОВ). Приведены требования как к составу и содержанию разрабатываемых документов, так и к наличию реализованных процедур при проектировании и реализации объекта сертификации. Представлены результаты анализа для классов защиты 4-6. Напомню, что требования к классам защиты 1-3 являются информацией ограниченного доступа. Отмечу, что в таблице не учитываются требования доверия, сформулированные в явном виде (например, требования к процедурам обновления базы решающих правил).
Таблица доступна по ссылке.
Класс доверия |
Семейство |
Документ/процедура |
Класс защиты |
||
4 |
5 |
6 |
|||
Оценка задания по безопасности |
ASE_*** |
Задание по безопасности |
+ |
+ |
+ |
Управление конфигурацией |
ACM_CAP |
Система управления конфигурацией |
+ |
+ |
|
Маркировка |
+ |
+ |
+ |
||
План управления конфигурацией |
+ |
|
|
||
Список конфигурации |
+ |
+ |
|
||
Контроль доступа к элементам конфигурации |
+ |
|
|
||
Эксплуатационная документация системы управления конфигурацией |
+ |
+ |
|
||
ACM_SCP |
Элементы конфигурации: исходные тексты ПО, документация, дистрибутив |
+ |
|
|
|
Поставка и эксплуатация |
ADO_DEL |
Процедура поставки |
+ |
+ |
|
Описание процедуры поставки |
+ |
+ |
|
||
ADO_IGS |
Руководство по безопасной установке |
+ |
+ |
|
|
Разработка |
ADV_FSP |
Функциональная спецификация |
+ |
+ |
+ |
ADV_HLD |
Проект верхнего уровня |
+ |
+ |
|
|
ADV_IMP |
Исходные тексты ПО |
+ |
|
|
|
ADV_LLD |
Проект нижнего уровня |
+ |
|
|
|
ADV_RCR |
Демонстрация соответствия: «исходные тексты ПО»↔«проект нижнего уровня» |
+ |
|
|
|
Демонстрация соответствия: «проект нижнего уровня»↔«проект верхнего уровня» |
+ |
|
|
||
Демонстрация соответствия: «проект верхнего уровня»↔ «функциональная спецификация» |
+ |
+ |
|
||
Демонстрация соответствия: «исходные тексты ПО»↔ «исполняемые модули» |
+ |
|
|
||
Руководства |
AGD_ADM |
Руководство администратора |
+ |
+ |
+ |
AGD_USR |
Руководство пользователя |
+ |
+ |
+ |
|
Поддержка жизненного цикла |
ALC_DVS |
Описание процедур безопасной разработки (физические, организационные) |
+ |
|
|
Процедуры безопасной разработки |
+ |
|
|
||
ALC_FLR |
Процедуры устранения недостатков |
+ |
+ |
|
|
Описание процедур устранения недостатков |
+ |
+ |
|
||
ALC_TAT |
Процедура идентификации инструментальных средств разработки (компиляторы, упаковщики и т.п.) |
+ |
|
|
|
Список инструментальных средств, применяемых при разработке |
+ |
|
|
||
Документация инструментальных средств, применяемых при разработке |
+ |
|
|
||
Тестирование |
ATE_COV |
Анализ покрытия тестами: «тестовая процедура»↔ «функциональная спецификация» |
+ |
+ |
|
ATE_DPT |
Анализ глубины тестирования: «тестовая процедура»↔ «проект верхнего уровня» |
+ |
|
|
|
ATE_FUN |
Процедура функционально тестирования |
+ |
+ |
|
|
Результаты функционального тестирования |
+ |
+ |
|
||
ATE_IND |
Испытательный стенд |
+ |
+ |
|
|
Оценка уязвимостей |
AVA_MSU |
Руководства по применению |
+ |
|
|
AVA_SOF |
Результаты анализа стойкости функций безопасности |
+ |
+ |
+ |
|
AVA_VLA |
Результаты анализа уязвимостей |
+ |
+ |
|