7.2. Требования доверия к безопасности ОО

Требования доверия к безопасности ОО взяты из национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности" и образуют ОУД4, усиленный компонентами ADV_IMP.2 "Полное отображение представления реализации ФБО", ALC_FLR.2 "Процедуры сообщений о недостатках", AVA_VAN.5 "Усиленный методический анализ", расширенный компонентами ADV_IMP_EXT.3 "Реализация ОО", ALC_FPU_EXT.1 "Процедуры обновления программного обеспечения", ALC_LCD_EXT.3 "Определенные разработчиком сроки поддержки", AMA_SIA_EXT.3 "Анализ влияния обновлений на безопасность" и AVA_CCA_EXT.1 "Анализ скрытых каналов" (см. таблицу 7.3).

Таблица 7.3 - Требования доверия к безопасности ОО

Классы доверия	Идентификаторы компонентов доверия	Названия компонентов доверия
Разработка	ADV_ARC.1	Описание архитектуры безопасности
	ADV_FSP.4	Полная функциональная спецификация
	ADV_IMP.2 <*>	Полное отображение представления реализации ФБО
	ADV_IMP_EXT.3 <*>	Реализация ОО
	ADV_TDS.3	Базовый модульный проект
Руководства	AGD_OPE.1	Руководство пользователя по эксплуатации
Руководства	AGD_PRE.1	Подготовительные процедуры
Поддержка жизненного цикла	ALC_CMC.4 <**>	Поддержка генерации, процедуры приемки и автоматизация
	ALC_CMS.4	Охват УК отслеживания проблем
	ALC_DEL.1	Процедуры поставки
	ALC_DVS.1	Идентификация мер безопасности
	ALC_FLR.2	Процедуры сообщений о недостатках
	ALC_FPU_EXT.1	Процедуры обновления программного обеспечения
	ALC_LCD.1	Определенная заявителем модель жизненного цикла
	ALC_LCD_EXT.3	Определенные разработчиком сроки поддержки
	ALC_TAT.1	Полностью определенные инструментальные средства разработки
Оценка задания по безопасности	ASE_CCL.1	Утверждения о соответствии
	ASE_ECD.1	Определение расширенных компонентов
	ASE_INT.1	Введение ЗБ
	ASE_OBJ.2	Цели безопасности
	ASE_REQ.2	Производные требования безопасности
	ASE_SPD.1	Определение проблемы безопасности
	ASE_TSS.1	Краткая спецификация ОО
Тестирование	ATE_COV.2	Анализ покрытия
	ATE_DPT.2	Тестирование: модули обеспечения безопасности
	ATE_FUN.1	Функциональное тестирование
	ATE_IND.2	Выборочное независимое тестирование
Оценка уязвимостей	AVA_VAN.5	Усиленный методический анализ
Оценка уязвимостей	AVA_CCA_EXT.1	Анализ скрытых каналов
Обновление ОО	AMA_SIA_EXT.3	Анализ влияния обновлений на безопасность ОО
Примечания:
<*> Отмечены компоненты, конкретизированные в настоящем ПЗ для обеспечения унификации с действующими ПЗ ФСТЭК России и преемственности требований по контролю отсутствия недекларированных возможностей руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации: Классификация по уровню контроля отсутствия не декларированных возможностей" (Гостехкомиссия России, 1999).
<**> Требования доверия настоящего ПЗ основаны на ОУД4, усиленном, с учетом предыдущего примечания, компонентом ADV_IMP.2, для которого по зависимости требуется компонент ALC_CMC.5. Однако для исключения чрезмерного завышения требований в настоящем ПЗ сохранен компонент ALC_CVC.4, который входит в состав ОУД4.

7.1.8. Доверенный маршрут/канал (FTP) 7.2.1. Оценка задания по безопасности (ASE)