Этот ОУД представляет значимое увеличение доверия по сравнению с ОУД1, требуя тестирование и анализ уязвимостей разработчиком, а также независимое тестирование, основанное на более детализированных спецификациях ОО.
6.2.3 Оценочный уровень доверия 3 (ОУД3), предусматривающий методическое тестирование и проверку
Цели
ОУД3 позволяет добросовестному разработчику достичь максимального доверия путем применения надлежащего проектирования безопасности без значительного изменения существующей практики качественной разработки.
ОУД3 применим в тех случаях, когда разработчикам или пользователям требуется независимо подтверждаемый умеренный уровень доверия на основе всестороннего исследования ОО и процесса его разработки без существенных затрат на изменение технологии проектирования.
Компоненты доверия
ОУД3 (см. таблицу 6.4) обеспечивает доверие путем анализа функций безопасности с использованием для понимания режима безопасности функциональной спецификации, спецификации интерфейсов, руководства и проекта ОО верхнего уровня.
Таблица 6.4 - Оценочный уровень доверия 3
Класс доверия | Компоненты доверия |
Управление конфигурацией | АСМ_САР.3 Средства контроля авторизации |
ACM SCP.1 Охват УК объекта оценки | |
Поставка и эксплуатация | ADO_DEL.1 Процедуры поставки |
ADO_IGS.1 Процедуры установки, генерации и запуска | |
Разработка | ADV_FSP.1 Неформальная функциональная спецификация |
ADV_HLD.2 Детализация вопросов безопасности в проекте верхнего уровня | |
ADV_RCR.1 Неформальная демонстрация соответствия | |
Руководства | AGD_ADM.1 Руководство администратора |
AGD_USR.1 Руководство пользователя | |
Поддержка жизненного цикла | ALC_DVS.1 Идентификация мер безопасности |
Тестирование | ATE_COV.2 Анализ покрытия |
ATE_DPT.1 Тестирование: проект верхнего уровня | |
ATE_FUN.1 Функциональное тестирование | |
ATE_IND2 Выборочное независимое тестирование | |
Оценка уязвимостей | AVA_MSU.1 Экспертиза руководств |
AVA_SOF.1 Оценка стойкости функции безопасности ОО | |
AVA_VLA.1 Анализ уязвимостей разработчиком |
Анализ поддержан независимым тестированием ФБО, свидетельством разработчика об испытаниях, основанных на функциональной спецификации и проекте верхнего уровня, выборочным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций и свидетельством поиска разработчиком явных уязвимостей (например, из общедоступных источников).
ОУД3 также обеспечивает доверие посредством использования контроля среды разработки, управления конфигурацией ОО и свидетельства безопасных процедур поставки.
Этот ОУД представляет значимое увеличение доверия по сравнению с ОУД2, требуя более полного покрытия тестированием функций и механизмов безопасности и/или процедур безопасности, что дает некоторую уверенность в том, что в ОО не будут внесены искажения во время разработки.
6.2.4 Оценочный уровень доверия 4 (ОУД4), предусматривающий методическое проектирование, тестирование и углубленную проверку
Цели
ОУД4 позволяет разработчику достичь максимального доверия путем применения надлежащего проектирования безопасности, основанного на обычной коммерческой практике разработки, которая, даже будучи строгой, не требует глубоких специальных знаний, навыков и других ресурсов. ОУД4 - самый высокий уровень, на который, вероятно, экономически целесообразно ориентироваться при оценке уже существующих продуктов.
Поэтому ОУД4 применим, когда разработчикам или пользователям требуется независимо подтверждаемый уровень доверия от умеренного до высокого в ОО общего назначения и имеется готовность нести дополнительные, связанные с обеспечением безопасности, производственные затраты.
Компоненты доверия
ОУД4 (см. таблицу 6.5) обеспечивает доверие посредством анализа функций безопасности с использованием для понимания режима безопасности функциональной спецификации, полной спецификации интерфейсов, руководств, проекта ОО верхнего уровня и нижнего уровня, а также подмножества реализации. Доверие дополнительно достигается применением неформальной модели политики безопасности ОО.
Таблица 6.5 - Оценочный уровень доверия 4
Класс доверия | Компоненты доверия |
Управление конфигурацией | ACM_AUT.1 Частичная автоматизация УК |
АСМ_САР.4 Поддержка генерации, процедуры приемки | |
ACM_SCP.2 Охват УК отслеживания проблем | |
Поставка и эксплуатация | ADO_DEL.2 Обнаружение модификации |
ADO_IGS.1 Процедуры установки, генерации и запуска | |
Разработка | ADV_FSP.2 Полностью определенные внешние интерфейсы |
ADV_HLD.2 Детализация вопросов безопасности в проекте верхнего уровня | |
ADV_IMP.1 Подмножество реализации ФБО | |
ADV_LLD.1 Описательный проект нижнего уровня | |
ADV_RCR.1 Неформальная демонстрация соответствия | |
ADV_SPM.1 Неформальная модель политики безопасности ОО | |
Руководства | AGD_ADM.1 Руководство администратора |
AGD_USR.1 Руководство пользователя | |
Поддержка жизненного цикла | ALC_DVS.1 Идентификация мер безопасности |
ALC_LCD.1 Модель жизненного цикла, определенная разработчиком | |
ALC_TAT.1 Полностью определенные инструментальные средства разработки | |
Тестирование | ATE_COV.2 Анализ покрытия |
ATE_DPT.1 Тестирование: проект верхнего уровня | |
ATE_FUN.1 Функциональное тестирование | |
ATE_IND.2 Выборочное независимое тестирование | |
Оценка уязвимостей | AVA_MSU.2 Подтверждение правильности анализа |
AVA_SOF.1 Оценка стойкости функции безопасности ОО | |
AVA_VLA.2 Независимый анализ уязвимостей |
Анализ поддержан независимым тестированием ФБО, свидетельством разработчика об испытаниях, основанных на функциональной спецификации и проекте верхнего уровня, выборочным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с низким потенциалом нападения.
ОУД4 также обеспечивает доверие посредством использования контроля среды разработки и дополнительного управления конфигурацией ОО, включая автоматизацию, и свидетельства безопасных процедур поставки.
Этот ОУД представляет значимое увеличение доверия по сравнению с ОУД3, требуя более детальное описание проекта, подмножество реализации и улучшенные механизмы и/или процедуры, что дает уверенность в том, что в ОО не будут внесены искажения во время разработки или поставки.
6.2.5 Оценочный уровень доверия 5 (ОУД5), предусматривающий полуформальное проектирование и тестирование
Цели
ОУД5 позволяет разработчику достичь максимального доверия путем проектирования безопасности, основанного на строгой коммерческой практике разработки, поддержанного умеренным применением узко специализированных методов проектирования безопасности. Такие ОО будут, вероятно, проектироваться и разрабатываться с намерением достичь ОУД5. Скорее всего, дополнительные затраты, сопутствующие требованиям ОУД5 в части строгости разработки, не будут большими без учета применения специализированных методов.
Поэтому ОУД5 применим, когда разработчикам или пользователям требуется независимо получаемый высокий уровень доверия для запланированной разработки со строгим подходом к разработке, не влекущим излишних затрат на применение узко специализированных методов проектирования безопасности.
Компоненты доверия
ОУД5 (см. таблицу 6.6) обеспечивает доверие посредством анализа функций безопасности с использованием для понимания режима безопасности функциональной спецификации, полной спецификации интерфейсов, руководств, проекта ОО верхнего уровня и нижнего уровня, а также всей реализации. Доверие дополнительно достигается применением формальной модели политики безопасности ОО и полуформального представления функциональной спецификации и проекта верхнего уровня, а также полуформальной демонстрации соответствия между ними. Кроме этого, требуется модульное проектирование ОО.
Таблица 6.6 - Оценочный уровень доверия 5
Класс доверия | Компоненты доверия |
Управление конфигурацией | ACM_AUT.1 Частичная автоматизация УК |
АСМ_САР.4 Поддержка генерации, процедуры приемки | |
ACM_SCP.3 Охват УК инструментальных средств разработки | |
Поставка и эксплуатация | ADO_DEL.2 Обнаружение модификации |
ADO_IGS.1 Процедуры установки, генерации и запуска | |
Разработка | ADV_FSP.3 Полуформальная функциональная спецификация |
ADV_HLD.3 Полуформальный проект верхнего уровня | |
ADV_IMP.2 Реализации ФБО | |
ADV_INT.1 Модульность | |
ADV_LLD.1 Описательный проект нижнего уровня | |
ADV_RCR.2 Полуформальная демонстрация соответствия | |
ADV_SPM.3 Формальная модель политики безопасности ОО | |
Руководства | AGD_ADM.1 Руководство администратора |
AGD_USR.1 Руководство пользователя | |
Поддержка жизненного цикла | ALC_DVS.1 Идентификация мер безопасности |
ALC_LCD.2 Стандартизованная модель жизненного цикла | |
ALC_TAT.2 Соответствие стандартам реализации | |
Тестирование | ATE_COV.2 Анализ покрытия |
ATE_DPT.2 Тестирование: проект нижнего уровня | |
ATE_FUN.1 Функциональное тестирование | |
ATE_IND.2 Выборочное независимое тестирование | |
Оценка уязвимостей | AVA_CCA.1 Анализ скрытых каналов |
AVA_MSU.2 Подтверждение правильности анализа | |
AVA_SOF. 1 Оценка стойкости функции безопасности ОО | |
AVA_VLA.3 Умеренно стойкий |
Анализ поддержан независимым тестированием ФБО, свидетельством разработчика об испытаниях, основанных на функциональной спецификации, проекте верхнего уровня и проекте нижнего уровня, выборочным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с умеренным потенциалом нападения. Анализ также включает в себя проверку правильности анализа разработчиком скрытых каналов.
ОУД5 также обеспечивает доверие посредством использования контроля среды разработки и всестороннего управления конфигурацией ОО, включая автоматизацию, и свидетельства безопасных процедур поставки.
Этот ОУД представляет значимое увеличение доверия по сравнению с ОУД4, требуя полуформальное описание проекта, полную реализацию, более структурированную (и, следовательно, лучше анализируемую) архитектуру, анализ скрытых каналов и улучшенные механизмы и/или процедуры, что дает уверенность в том, что в ОО не будут внесены искажения во время разработки.
6.2.6 Оценочный уровень доверия 6 (ОУД6), предусматривающий полуформальную верификацию проекта и тестирование
Цели
ОУД6 позволяет разработчикам достичь высокого доверия путем применения специальных методов проектирования безопасности в строго контролируемой среде разработки с целью получения высококачественного ОО для защиты высоко оцениваемых активов от значительных рисков.
Поэтому ОУД6 применим для разработки безопасных ОО с целью применения в ситуациях высокого риска, где ценность защищаемых активов оправдывает дополнительные затраты.
Компоненты доверия
ОУД6 (см таблицу 6.7) обеспечивает доверие посредством анализа функций безопасности с использованием для понимания режима безопасности функциональной спецификации, полной спецификации интерфейсов, руководств, проекта ОО верхнего уровня и нижнего уровня, а также структурированного представления реализации. Доверие дополнительно достигается применением формальной модели политики безопасности ОО и полуформального представления функциональной спецификации, проекта верхнего уровня, и проекта нижнего уровня, а также полуформальной демонстрации соответствия между ними. Кроме этого, требуется модульное и иерархическое (по уровням) проектирование ОО.
Таблица 6.7 - Оценочный уровень доверия 6
Класс доверия | Компоненты доверия |
Управление конфигурацией | ACM_AUT.2 Полная автоматизация УК |
АСМ_САР.5 Расширенная поддержка | |
ACM_SCP.3 Охват УК инструментальных средств разработки | |
Поставка и эксплуатация | ADO_DEL.2 Обнаружение модификации |
ADO_IGS.1 Процедуры установки, генерации и запуска | |
Разработка | ADV_FSP.3 Полуформальная функциональная спецификация |
ADV_HLD.4 Пояснения в полуформальном проекте верхнего уровня | |
ADV_IMP.3 Структурированная реализация ФБО | |
ADV_INT.2 Уменьшение сложности | |
ADV_LLD.2 Полуформальный проект нижнего уровня | |
ADV_RCR 2 Полуформальная демонстрация соответствия | |
ADV_SPM 3 Формальная модель политики безопасности ОО | |
Руководства | AGD_ADM.1 Руководство администратора |
AGD_USR.1 Руководство пользователя | |
Поддержка жизненного цикла | ALC_DVS.2 Достаточность мер безопасности |
ALC_LCD.2 Стандартизованная модель жизненного цикла | |
ALC_ТАТ.3 Соответствие всех частей объекта оценки стандартам реализации | |
Тестирование | ATE_COV.3 Строгий анализ покрытия |
ATE_DPT.2 Тестирование: проект нижнего уровня | |
ATE_FUN.2 Упорядоченное функциональное тестирование | |
ATE_IND.2 Выборочное независимое тестирование | |
Оценка уязвимостей | AVA_CCA.2 Систематический анализ скрытых каналов |
AVA_MSU.3 Анализ и тестирование опасных состояний | |
AVA_SOF.1 Оценка стойкости функции безопасности ОО | |
AVA_VLA.4 Высокостойкий |
Анализ поддержан независимым тестированием ФБО, свидетельством разработчика об испытаниях, основанных на функциональной спецификации, проекте верхнего уровня и проекте нижнего уровня, выборочным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с высоким потенциалом нападения. Анализ также включает в себя проверку правильности систематического анализа разработчиком скрытых каналов.
ОУД6 также обеспечивает доверие посредством использования структурированного процесса разработки, контроля среды разработки и всестороннего управления конфигурацией ОО, включая полную автоматизацию, и свидетельства безопасных процедур поставки.
Этот ОУД представляет значимое увеличение доверия по сравнению с ОУД5, требуя всесторонний анализ, структурированное представление реализации, более стройную структуру (например, с разбиением на уровни), всесторонний независимый анализ уязвимостей, систематическую идентификацию скрытых каналов, улучшенное управление конфигурацией и улучшенный контроль среды разработки.
6.2.7 Оценочный уровень доверия 7 (ОУД7), предусматривающий формальную верификацию проекта и тестирование
Цели
ОУД7 применим при разработке безопасных ОО для использования в ситуациях чрезвычайно высокого риска и/или там, где высокая ценность активов оправдывает максимальные затраты. Практическое применение ОУД7 в настоящее время ограничено ОО, которые строго ориентированы на реализацию функциональных возможностей безопасности и для которых возможен подробный формальный анализ.
Компоненты доверия
ОУД7 ( см. таблицу 6.8) обеспечивает доверие посредством анализа функций безопасности с использованием для понимания режима безопасности функциональной спецификации, полной спецификации интерфейсов, руководств, проекта ОО верхнего уровня и нижнего уровня, а также структурированного представления реализации. Доверие дополнительно достигается применением формальной модели политики безопасности ОО, формального представления функциональной спецификации и проекта верхнего уровня, полуформального представления проекта нижнего уровня, а также формальной (где это требуется) и полуформальной демонстрации соответствия между ними. Кроме этого, требуется модульное, иерархическое (по уровням) и простое проектирование ОО.
Таблица 6.8 - Оценочный уровень доверия 7
Класс доверия | Компоненты доверия |
Управление конфигурацией | ACM_AUT.2 Полная автоматизация УК |
АСМ_САР.5 Расширенная поддержка | |
ACM_SCP.3 Охват УК инструментальных средств разработки | |
Поставка и эксплуатация | ADO_DEL.3 Предотвращение модификации |
ADO_IGS.1 Процедуры установки, генерации и запуска | |
Разработка | ADV_FSP.4 Формальная функциональная спецификация |
ADV_HLD.5 Формальный проект верхнего уровня | |
ADV_IMP.3 Структурированная реализация ФБО | |
ADV_INT.3 Минимизация сложности | |
ADV_LLD.2 Полуформальный проект нижнего уровня | |
ADV_RCR.3 Формальная демонстрация соответствия | |
ADV_SPM.3 Формальная модель политики безопасности ОО | |
Руководства | AGD_ADM.1 Руководство администратора |
AGD_USR.1 Руководство пользователя | |
Поддержка жизненного цикла | ALC_DVS.2 Достаточность мер безопасности |
ALC_LCD.3 Измеримая модель жизненного цикла | |
ALC_TAT.3 Соответствие всех частей объекта оценки стандартам реализации | |
Тестирование | ATE_COV.3 Строгий анализ покрытия |
ATE_DPT.3 Тестирование на уровне реализации | |
ATE_FUN.2 Упорядоченное функциональное тестирование | |
ATE_IND.3 Полное независимое тестирование | |
Оценка уязвимостей | AVA_CCA.2 Систематический анализ скрытых каналов |
AVA_MSU.3 Анализ и тестирование опасных состояний | |
AVA_SOF.1 Оценка стойкости функции безопасности ОО | |
AVA_VLA.4 Высокостойкий |
Анализ поддержан независимым тестированием ФБО, свидетельством разработчика об испытаниях, основанных на функциональной спецификации, проекте верхнего уровня, проекте нижнего уровня и представлении реализации, полным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с высоким потенциалом нападения. Анализ также включает в себя проверку правильности систематического анализа разработчиком скрытых каналов.
ОУД7 также обеспечивает доверие посредством использования структурированного процесса разработки, средств контроля среды разработки и всестороннего управления конфигурацией ОО, включая полную автоматизацию, и свидетельства безопасных процедур поставки.
Этот ОУД представляет значимое увеличение доверия по сравнению с ОУД6, требуя всесторонний анализ, использующий формальные представления и формальное соответствие, а также всестороннее тестирование.