"Методический документ. Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" (утв. Банком России)

7.2.5. Тестирование (ATE)

ATE_COV.2

Анализ покрытия

Зависимости:

ADV_FSP.2 Детализация вопросов безопасности в функциональной спецификации;

ATE_FUN.1 Функциональное тестирование.

Элементы действий разработчика

ATE_COV.2.1D

Разработчик должен представить анализ покрытия тестами.

Элементы содержания и представления документированных материалов

ATE_COV.2.1C

Анализ покрытия тестами должен демонстрировать соответствие между тестами из тестовой документации и ИФБО из функциональной спецификации.

ATE_COV.2.2C

Анализ покрытия тестами должен демонстрировать, что все ИФБО из функциональной спецификации были подвергнуты тестированию.

Элементы действий оценщика

ATE_COV.2.1E

Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ATE_COV.2.1C и ATE_COV.2.2C.

Работы оценки

Оценщик должен выполнить действия в соответствии с пунктом 13.3.2 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".

ATE_DPT.2

Тестирование: модули, осуществляющие безопасность

Зависимости:

ADV_ARC.1 Описание архитектуры безопасности

ADV_TDS.3 Базовый модульный проект

ATE_FUN.1 Функциональное тестирование

Элементы действий разработчика

ATE_DPT.2.1D

Разработчик должен представить анализ глубины тестирования.

Элементы содержания и представления документированных материалов

ATE_DPT.2.1C

Анализ глубины тестирования должен демонстрировать соответствие между тестами в тестовой документации и подсистемами ФБО, а также осуществляющими выполнение ФТБ модулями из проекта ОО.

Замечания по применению:

Для каждого интерфейса каждой функции обеспечения ИБ должны быть предусмотрены процедуры тестирования, соответствующие этому интерфейсу.

ATE_DPT.2.2C

Анализ глубины тестирования должен демонстрировать, что все подсистемы ФБО из проекта ОО были подвергнуты тестированию.

ATE_DPT.2.3C

Анализ глубины тестирования должен демонстрировать, что осуществляющие выполнение ФТБ модули из проекта ОО были подвергнуты тестированию.

Элементы действий оценщика

ATE_DPT.2.1E

Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ATE_DPT.2.1C - ATE_DPT.2.3C.

Работы оценки

Оценщик должен выполнить действия в соответствии с пунктом 13.4.2 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".

ATE_FUN.1 Функциональное тестирование

Зависимости:

ATE_COV.1 Свидетельство покрытия.

Элементы действий разработчика

ATE_FUN.1.1D

Разработчик должен протестировать ФБО и задокументировать результаты.

ATE_FUN.1.2D

Разработчик должен представить тестовую документацию.

Элементы содержания и представления документированных материалов

ATE_FUN.1.1C

Тестовая документация должна состоять из планов тестирования, а также ожидаемых и фактических результатов тестирования.

ATE_FUN.1.2C

В планах тестирования должны быть идентифицированы тесты, которые необходимо выполнить, а также должны содержаться описания сценариев проведения каждого теста. В эти сценарии должны быть включены также любые зависимости последовательности выполнения тестов от результатов других тестов.

Замечания по применению:

В среде разработки и тестирования не рекомендуется использование реальных данных, полученных в результате реализации банковских технологических процессов, технологических процессов финансовой организации.

В случае если для тестирования необходимы данные, максимально приближенные к реальным, рекомендуется формирование тестовых массивов данных путем необратимого обезличивания, маскирования и (или) искажения сведений, полученных в результате реализации банковских технологических процессов, технологических процессов финансовой организации. Запрещается использование в тестировании каких-либо данных, на которые на основании законодательства Российской Федерации, в том числе нормативных актов Банка России, внутренних документов организации БС Российской Федерации и (или) договоров с клиентами и контрагентами, распространяется требование к обеспечению ИБ.

ATE_FUN.1.3C

Ожидаемые результаты тестирования должны продемонстрировать прогнозируемые данные на выходе успешного выполнения тестов.

ATE_FUN.1.4C

Фактические результаты тестирования должны соответствовать ожидаемым.

Замечания по применению:

Факт выполнения теста должен подтверждаться протоколом тестирования, содержащим дату тестирования, указание на методику тестирования, использованные при выполнении теста исходные данные, полученный результат и решение об успешном или неуспешном выполнении теста.

Элементы действий оценщика

ATE_FUN.1.1E

Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ATE_FUN.1.1C - ATE_FUN.1.4C.

Работы оценки

Оценщик должен выполнить действия в соответствии с пунктом 13.5.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".

ATE_IND.2 Выборочное независимое тестирование

Зависимости:

ADV_FSP.2 Детализация вопросов безопасности в функциональной спецификации;

AGD_OPE.1 Руководство пользователя по эксплуатации;

AGD_PRE.1 Подготовительные процедуры;

ATE_COV.1 Свидетельство покрытия;

ATE_FUN.1 Функциональное тестирование.

Элементы действий разработчика

ATE_IND.2.1D

Разработчик должен представить ОО для тестирования.

Элементы содержания и представления документированных материалов

ATE_IND.2.1C

ОО должен быть пригоден для тестирования.

ATE_IND.2.2C

Разработчик должен представить набор ресурсов, эквивалентных использованным им при функциональном тестировании ФБО.

Элементы действий оценщика

ATE_IND.2.1E

Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ATE_IND.2.1C и ATE_IND.2.2C.

ATE_IND.2.2E

Оценщик должен выполнить выборку тестов из тестовой документации, чтобы верифицировать результаты тестирования, полученные заявителем (разработчиком, производителем).

ATE_IND.2.3E

Оценщик должен протестировать ФБО так, чтобы подтвердить, что все ФБО функционируют в соответствии со спецификациями.

Работы оценки

Оценщик должен выполнить действия в соответствии с пунктом 13.6.2 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".

7.2.4. Поддержка жизненного цикла (ALC) 7.2.6. Оценка уязвимостей (AVA)