 |
Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | |
Рівні гарантій безпеки
|
|
Визначення рівнів гарантій
Рівні гарантій [Evaluation Assurance Level (EAL)] — в "Загальних критеріях" — це сім стандартизованих наборів вимог гарантій безпеки, що регламентують застосування різноманітних методів і технологій розробки, тестування, контролю та верифікації ІТ-продукту:
• функціональне тестування;
• структурне тестування;
• методичне тестування та перевірка;
• методична розробка, тестування та аналіз;
• напівформальні методи розробки та тестування;
• напівформальні методи верифікації розробки та тестування;
• формальні методи верифікації розробки та тестування.
| ВИМОГИ ГАРАНТІЙ | Номери рівнів гарантій | ||||||
| 1. Керування проектом | |||||||
| Засоби керування проектом | |||||||
| Керування версіями | |||||||
| Конфігурація проекту | |||||||
| 2. Дистрибуція | |||||||
| Поставка | |||||||
| Установка, настройка, запуск | |||||||
| 3. Розробка | |||||||
| Загальні функціональні специфікації | |||||||
| Архітектура захисту | |||||||
| Форма подання продукту на сертифікацію | |||||||
| Структура засобів захисту | |||||||
| Часткові специфікації засобів захисту | |||||||
| Відповідність описів різного рівня | |||||||
| Політика безпеки | |||||||
| 4. Документація | |||||||
| Керівництво адміністратора | |||||||
| Керівництво користувача | |||||||
| 5. Процес розробки | |||||||
| Безпека середовища розробки | |||||||
| Виправлення помилок та ліквідація вразливостей | |||||||
| Технологія розробки | |||||||
| Засоби розробки | |||||||
| 6. Тестування | |||||||
| Повнота тестування | |||||||
| Глибина тестування | |||||||
| Методика тестування | |||||||
| Незалежне тестування | |||||||
| 7. Аналіз захисту | |||||||
| Аналіз прихованих каналів | |||||||
| Аналіз можливостей неправильного використання засобів захисту | |||||||
| Аналіз стійкості засобів захисту | |||||||
| Аналіз продукту на наявність вразливостей |
Частина, II Основи безпеки інформаційних технологій
Функціональне тестування
Рівень функціонального тестування [EAL1 — functionally tested] - перший рівень гарантій для випадків, коли загрозам безпеці не надається великого значення. Пропонується використати його в тих ситуаціях, коли все, що необхідно — це незалежна гарантія того, що до складу ІТ-продукту входять засоби захисту персональної або подібної інформації.
Відповідає наступним вимогам гарантій безпеки.
У класі ВГБ: керування проектом у розділі ВГБ: керування версіями — нумерація версій.
У класі ВГБ: дистрибуція в розділі ВГБ: установка, настройка, запуск — регламентовані процедури установки, настройки, запуску.
У класі ВГБ: розробка:
• у розділі ВГБ: загальні функціональні специфікації — неформальні специфікації для засобів захисту;
• у розділі ВГБ: відповідність описів різного рівня — неформальне підтвердження відповідності.
У класі ВГБ: документація:
• у розділі ВГБ: керівництво адміністратора — адміністрування засобів захисту;
• у розділі ВГБ: керівництво користувача — використання засобів захисту.
У класі ВГБ: тестування в розділі ВГБ: незалежне тестування — готовність продукту до незалежного тестування.
Аналіз ІТ-продукту на відповідність даному рівню гарантій забезпечується дослідженням функцій захисту та перевіркою функціональних специфікацій, інтерфейсів та документації.
Результати аналізу підтверджуються незалежним тестуванням засобів захисту ІТ-продукту на відповідність специфікаціям і документації.
Сертифікація ІТ-продукту на даний рівень гарантій є підтвердженням відповідності властивостей ІТ-продукту його документації та специфікаціям, а також наявності працездатності захисту проти загроз безпеці.
Структурне тестування
Рівень структурного тестування [EAL2 — structurally tested] - другий рівень гарантій, призначений для використання при об-
Дата публикования: 2015-09-18; Прочитано: 437 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!
