|
Управление конфигурацией - один из способов увеличения доверия к тому, что ОО соответствует ФТБ. УК устанавливает это посредством предъявления требований к организационному порядку и управлению процессами усовершенствования и модификации ОО и связанной с ним информации. Системы УК реализуются для того, чтобы удостовериться в целостности частей ОО, подвергающихся контролю со стороны этих систем, путем отслеживания любых изменений, а также обеспечения санкционированности всех изменений. |
|
|
ALC_DVS.1 Идентификация мер безопасности; |
|
|
ALC_LCD.1 Определенная разработчиком модель жизненного цикла. |
|
|
Элементы содержания и представления документированных материалов |
|
|
В документации УК должно содержаться описание метода, используемого для уникальной идентификации элементов конфигурации (в том числе файлов исходного кода, ресурсных файлов, файлов документации). |
|
|
В системе УК должны быть уникальным образом идентифицированы все элементы конфигурации. |
|
|
В системе УК должны быть предусмотрены такие автоматизированные меры, при применении которых в элементы конфигурации могут быть внесены только санкционированные изменения. |
|
|
Система УК должна поддерживать производство ОО автоматизированными средствами. |
|
|
В плане УК должно быть описание того, каким образом система УК используется для разработки ОО. |
|
|
План УК должен содержать описание процедур, используемых для приемки модифицированных или вновь созданных элементов конфигурации. |
|
|
В свидетельствах должно быть продемонстрировано, что все элементы конфигурации сопровождаются системой УК. |
|
|
В свидетельствах должно быть продемонстрировано, что система УК функционирует в соответствии с планом УК. |
|
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_CMC.4.1C - ALC_CMC.4.10C. |
|
|
Оценщик должен выполнить действия в соответствии с пунктом 12.2.4 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий". |
|
|
Компонент ALC_CMS.4 содержит требование о том, что недостатки безопасности должны быть включены в список элементов конфигурации и, следовательно, должны находиться под УК в соответствии с требованиями УК семейства ALC_CMC "Возможности УК". Согласно этому требованию должно обеспечиваться сопровождение не только детальной информации о возникавших ранее недостатках и методах их устранения, но и об имеющихся в настоящий момент недостатках безопасности. |
|
|
Включение недостатков безопасности в контроль системы УК не позволяет пропустить или проигнорировать сообщения о недостатках защиты, давая возможность разработчику отслеживать недостатки безопасности вплоть до их устранения. |
|
|
Разработчик должен представить список элементов конфигурации для ОО. |
|
|
Элементы содержания и представления документированных материалов |
|
|
Список элементов конфигурации должен включать следующее: сам ОО; свидетельства оценки, необходимые по требованиям доверия к безопасности; представление реализации; сведения о недостатках безопасности и стадии их устранения. |
|
|
Элементы конфигурации должны быть уникально идентифицированы в списке элементов конфигурации. |
|
|
Для каждого значимого для ФБО элемента конфигурации в списке элементов конфигурации должен быть указан разработчик. |
|
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_CMS.4.1C - ALC_CMS.4.3C. |
|
|
Оценщик должен выполнить действия в соответствии с пунктом 12.3.4 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий". |
|
|
ALC_DEL.1 Процедуры поставки |
|
|
Требования к поставке предусматривают такие средства и процедуры системы контроля и распространения, которые конкретизируют меры, необходимые для обеспечения доверия к тому, что безопасность ОО поддерживается во время передачи ОО пользователю. |
|
|
Разработчик должен задокументировать процедуры поставки ОО или его частей потребителю. |
|
|
Элементы содержания и представления документированных материалов |
|
|
Документация поставки должна содержать описание всех процедур, необходимых для поддержания безопасности при распространении версий ОО потребителю. |
|
|
В процедурах поставки должны затрагиваться следующие вопросы: |
|
|
а) обеспечение точного соответствия между ОО, полученным потребителем, и прошедшим оценку ОО; |
|
|
б) избежание/обнаружение какой-либо подделки актуальной версии ОО; |
|
|
г) избежание нежелательной утечки информации о распространении ОО потребителю; возможны случаи, при которых потенциальным нарушителям не следует знать о том, когда и каким образом поставляется ОО; |
|
|
е) избежание задержки поставки или невыполнения поставки ОО. |
|
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_DEL.1.1C. |
|
|
Оценщик должен выполнить действия в соответствии с пунктом 12.4.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий". |
|
|
ALC_DVS.1 Идентификация мер безопасности |
|
|
Безопасность разработки связана с физическими, процедурными, организационными и другими мерами безопасности, которые могут применяться в среде разработки для защиты ОО и его частей. К этому относится и физическая защита места разработки и любые процедуры, связанные с отбором персонала, занимающегося разработкой. |
|
|
Разработчик должен представить документацию по безопасности разработки. |
|
|
Элементы содержания и представления документированных материалов |
|
|
Документация по безопасности разработки должна содержать описание всех физических, процедурных, организационных и других мер безопасности, которые необходимы для защиты конфиденциальности и целостности проекта ОО и его реализации в среде разработки. |
|
|
Для противодействия угрозам разработчик должен принять и задокументировать меры защиты, включающие: |
|
|
а) обеспечение контроля физического доступа к средствам вычислительной техники, используемым на стадии разработки и тестирования ОО; |
|
|
б) выделение сегментов вычислительных сетей, в которых располагаются средства вычислительной техники, используемые на стадии разработки ОО специализированных банковских приложений (специализированного ПО) финансовых организаций; |
|
|
в) выделение сегментов вычислительных сетей, в которых располагаются средства вычислительной техники, используемые на стадии тестирования ОО специализированных банковских приложений (специализированного ПО) финансовых организаций; |
|
|
г) организацию и контроль изоляции и информационного взаимодействия сегмента разработки, сегмента тестирования и сегментов вычислительных сетей, в которых располагаются средства вычислительной техники, используемые для реализации банковских технологических процессов, технологических процессов финансовой организации; |
|
|
д) управление доступом к ресурсам, средствам разработки и тестирования ОО специализированных банковских приложений (специализированного ПО) финансовых организаций, в том числе исходным файлам; |
|
|
е) регистрацию и контроль действий с исходными файлами ОО специализированных банковских приложений (специализированного ПО) финансовых организаций; |
|
|
з) контроль использования коммуникационных портов средств вычислительной техники. |
|
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_DVS.1.1C. |
|
|
Оценщик должен подтвердить, что меры безопасности применяются и направлены на снижение вероятности возникновения в ОО уязвимостей и других недостатков. |
|
|
Оценщик должен выполнить действия в соответствии с пунктом 12.5.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий". |
|
|
В процедурах устранения недостатков следует описать методы реагирования на все типы выявленных недостатков. Об этих недостатках могут сообщить разработчик ОО, пользователи ОО, другие стороны, знакомые с ОО. Некоторые недостатки не могут быть исправлены немедленно. Не исключено, что недостаток вообще не может быть исправлен, и необходимо применить другие (например, процедурные) меры. В представленной документации следует охватывать процедуры по обеспечению исправлений в местах эксплуатации, а также предоставлять информацию о недостатках, для которых исправление отложено или невозможно (с описанием того, что следует делать в этой ситуации). |
|
|
Разработчик должен предоставить процедуры устранения недостатков, предназначенные для заявителей (разработчиков, производителей) ОО. |
|
|
Разработчик должен установить процедуру получения и отработки всех сообщений пользователей о недостатках безопасности и запросов на исправление этих недостатков. |
|
|
Разработчик должен предоставить руководство по устранению недостатков, предназначенное для пользователей ОО. |
|
|
Элементы содержания и представления документированных материалов |
|
|
Документация процедур устранения недостатков должна содержать описание процедур по отслеживанию всех ставших известными недостатков безопасности в каждом релизе ОО. |
|
|
Процедуры устранения недостатков должны содержать требование представления описания сути и последствий каждого недостатка безопасности, а также состояния процесса исправления этого недостатка. |
|
|
Процедуры устранения недостатков должны содержать требование к тому, что для каждого недостатка безопасности должны быть идентифицированы корректирующие действия. |
|
|
Документация процедур устранения недостатков должна содержать описание методов, используемых для предоставления пользователям ОО информации о недостатках, материалов исправлений и руководства по внесению исправлений. |
|
|
Процедуры устранения недостатков должны описывать средства, посредством которых разработчик получает от пользователей ОО сообщения и запросы о предполагаемых недостатках безопасности в ОО. |
|
|
Процедуры обработки ставших известными недостатков безопасности должны обеспечить, чтобы любые ставшие известными недостатки были исправлены, а для пользователей ОО выпущены процедуры по исправлению. |
|
|
Процедуры обработки ставших известными недостатков безопасности должны обеспечить такие защитные меры, чтобы любые исправления этих недостатков не приводили к появлению новых недостатков. |
|
|
Руководство по устранению недостатков должно описывать средства, посредством которых пользователи ОО могут сообщать разработчикам о любых предполагаемых недостатках безопасности в ОО. |
|
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_FLR.2.1C - ALC_FLR.2.8C. |
|
|
Оценщик должен выполнить действия в соответствии с пунктом 12.6.2 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий". |
|
|
Разработчик должен разработать и реализовать технологию обновления ОО для [выбор: |
|
|
обновление, направленное на устранение уязвимостей ОО; иное обновление, оказывающее влияние на безопасность ОО; обновление, не оказывающее влияния на безопасность ОО |
|
|
Разработчик должен разработать и поддерживать регламент обновления программного обеспечения. |
|
|
Разработчик должен разработать и реализовать процедуру уведомления потребителей о выпуске обновлений ОО, основанную на [назначение: способы уведомления]. |
|
|
Разработчик должен разработать и реализовать процедуру предоставления обновлений потребителям ОО, основанную на [назначение: способы предоставления обновлений]. |
|
|
Разработчик должен разработать и реализовать процедуру предоставления обновлений оценщику для проведения внешнего контроля, основанную на [назначение: способы предоставления обновлений для контроля]. |
|
|
Элементы содержания и представления документированных материалов |
|
|
Документация ОО должна содержать описание технологии выпуска обновлений ОО. |
|
|
Документация ОО должна содержать регламент обновления ОО, включающий: |
|
|
б) описание процедуры уведомления потребителей о выпуске обновлений; |
|
|
в) описание процедуры предоставления обновлений потребителям; |
|
|
г) описание содержания эксплуатационной документации на выпускаемые обновления; |
|
|
Регламент обновления ОО должен предусматривать включение в эксплуатационную документацию на выпускаемые обновления описания следующих процедур: |
|
|
Документация процедуры предоставления обновлений для проведения внешнего контроля должна содержать: |
|
|
а) описание процедуры предоставления обновлений для внешнего контроля; |
|
|
б) требования к предоставлению и содержанию методики тестирования обновления разработчиком; |
|
|
в) требования к оформлению и предоставлению результатов тестирования обновления разработчиком; |
|
|
Оценщик должен подтвердить, что информация, предоставленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированных материалов, изложенным в ALC_FPU_EXT.1.1C - ALC_FPU_EXT.1.4C. |
|
|
Оценщик должен проверить, что процедура предоставления обновлений для проведения внешнего контроля позволяет организовать и проводить их внешний контроль. |
|
|
В качестве типов обновлений рассматриваются: обновления, направленные на устранение уязвимостей ОО; иные обновления, оказывающие влияние на безопасность ОО; обновления, не оказывающие влияния на безопасность ОО. |
|
|
ALC_LCD.1 Определенная разработчиком модель жизненного цикла |
|
|
Модель жизненного цикла объединяет в себе процедуры, инструментальные средства и методы, используемые для разработки и сопровождения ОО. Аспекты процесса, которые могут быть охвачены такой моделью, включают методы проектирования, процедуры просмотра, средства управления проектом, процедуры управления изменениями, методы тестирования и процедуры приемки. Эффективная модель жизненного цикла позволит включить аспекты процесса разработки и сопровождения в общую структуру управления, которая устанавливает обязанности и контролирует ход процессов. |
|
|
Важно, чтобы модель разработки и сопровождения ОО была установлена как можно раньше в жизненном цикле ОО. |
|
|
Разработчик должен установить модель жизненного цикла, используемую при разработке и сопровождении ОО. |
|
|
Разработчик должен представить документацию по определению жизненного цикла. |
|
|
Элементы содержания и представления документированных материалов |
|
|
Документация по определению жизненного цикла должна содержать описание модели, применяемой при разработке и сопровождении ОО. |
|
|
Модель жизненного цикла ОО должна содержать следующие стадии: |
|
|
Модель жизненного цикла должна обеспечить необходимый контроль за разработкой и сопровождением ОО. |
|
|
На каждой стадии жизненного цикла формируется собственный набор свидетельств доверия, по результатам оценки которых может быть принято решение о полноте и корректности реализации требований к обеспечению ИБ, предъявляемых к ОО. |
|
|
В качестве документированных материалов рекомендуется рассматривать: |
|
|
а) регламенты, используемые для организации деятельности по обеспечению ИБ на этапах жизненного цикла ОО; |
|
|
б) документированные результаты выполнения деятельности по обеспечению ИБ на этапах жизненного цикла ОО. |
|
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_LCD.1.1C и ALC_LCD.1.2C. |
|
|
Оценщик должен выполнить действия в соответствии с пунктом 12.7.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий". |
|
|
Заявитель, разработчик, производитель должны установить в совместной декларации срок [назначение: срок], в течение которого они обязуются выполнять все необходимые действия по поддержке ОО, направленные на обеспечение поддержания сертификата соответствия ОО требованиям безопасности информации. |
|
|
Заявитель, разработчик, производитель должны обеспечить представление совместной декларации о сроке поддержки ОО вместе с заявкой на сертификацию ОО. |
|
|
Элементы содержания и представления документированных материалов |
|
|
Декларация о сроке поддержки ОО должна содержать план поддержки ОО на весь задекларированный срок, включающий описание всех предпринимаемых действий по обеспечению поддержания сертификата соответствия ОО требованиям безопасности информации. |
|
|
Декларация о сроке поддержки ОО должна содержать сведения о поддерживаемой версии ОО. |
|
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_LCD_EXT.3.1C и ALC_LCD_EXT.3.2C. |
|
|
Данные требования связаны с выбором инструментальных средств, используемых для разработки, анализа и реализации ОО. Они направлены на предотвращение использования плохо определенных, несогласованных или неверных инструментальных средств для разработки ОО. Это относится, в частности, к языкам программирования, документации, стандартам реализации и некоторым другим частям ОО, например, вспомогательным динамическим библиотекам. |
|
|
Полностью определенными называют инструментальные средства, которые полно и четко описаны. Например, принято считать полностью определенными языки программирования и системы автоматизации проектирования (САПР), которые основаны на стандартах, изданных органами по стандартизации. Для средств, разработанных самими разработчиками ОО, потребуется проведение дополнительных исследований для установления того, являются ли они полностью определенными. |
|
|
Разработчик должен идентифицировать каждое инструментальное средство, используемое для разработки (производства) ОО. |
|
|
Разработчик должен задокументировать выбранные опции инструментальных средств разработки (производства), обусловленные реализацией. |
|
|
Элементы содержания и представления документированных материалов |
|
|
Все инструментальные средства разработки (производства), используемые для реализации, должны быть полностью определены. |
|
|
В документации по инструментальным средствам разработки (производства) должны быть однозначно определены значения всех языковых конструкций, используемых в реализации. |
|
|
В документации по инструментальным средствам разработки (производства) должны быть однозначно определены значения всех опций, обусловленных реализацией, методы, приемы и правила эксплуатации средств разработки (производства) при создании (производстве) ОО. |
|
|
Должны иметься и поддерживаться лицензии (права) на все инструментальные средства разработки. |
|
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_TAT.1.1C - ALC_TAT.1.4C. |
|
|
1. Оценщик должен выполнить действия в соответствии с пунктом 12.8.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий". |
|
|
2. Оценщик должен исследовать представленную документацию инструментальных средств разработки, чтобы сделать заключение о том, что для представления реализации представлено четкое и полное описание синтаксиса и детальное описание семантики каждой из языковых конструкций. В документации инструментальных средств разработки (например, в спецификациях языка программирования и в руководствах пользователя) должны быть охвачены все конструкции, используемые в представлении реализации ОО, и для каждой такой конструкции должно быть предоставлено четкое и однозначное определение предназначения и результата выполнения этой конструкции. |
|
|
3. Оценщик должен исследовать представленную документацию инструментальных средств разработки, чтобы сделать заключение о том, что в ней описаны языковые конструкции, определяющие связи функциональных объектов по управлению. В качестве таких языковых конструкций могут выступать прямые вызовы функций с передачей фактических параметров, а также косвенные вызовы функций по указателю, по значениям полей записей, массивов и т.п. |
|
|
4. Оценщик должен исследовать представленную документацию инструментальных средств разработки, чтобы сделать заключение о том, имеются ли в определении языка программирования проблемные конструкции, которые могут быть применены к информационным объектам. В качестве таких проблемных конструкций могут выступать, например, преобразование информационного объекта из одного типа данных в другой, использование псевдонимов (альтернативных имен, которые позволяют ссылаться на одну и ту же часть памяти различными способами), указателей (ссылок) на произвольные области памяти, использование стека для передачи фактических параметров между функциональными объектами, динамическое выделение памяти информационным объектам и т.п. |
|
|
Оценщик должен исследовать представленную документацию инструментальных средств разработки, с тем чтобы определить проблемные конструкции, которые могут вносить уязвимости в ОО или в среду функционирования ОО. |
|
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей