2015-05-15
595
Как уже было сказано в предыдущем разделе, одна из форм трассировочных таблиц подразумевает указание идентификаторов якорей в строках и столбцах и типа связи в ячейках на их пересечении. Такая таблица будет выглядеть следующим образом:
| SYS_01_0001 | SYS_01_0002 | SYS_01_0003 | SYS_01_0003 | |
| SRD_01_0001 | cross-ref | variant | ||
| SRD_01_0002 | based on | variant | ||
| SRD_01_0003 | based on | variant | ||
| SRD_01_0004 | cross-ref | variant |
В первом столбце перечислены якоря требований к программному обеспечению, в первой строке – якоря системных требований. На пересечении указаны типы ссылок – cross-ref – обычная информационная перекрестная ссылка, based on – требование к ПО основано на данном системном требовании, variant – может использоваться либо одно, либо другое требование к ПО в зависимости от варианта системы.
Также часто используется более простая форма трассировочных таблиц. В первом столбце перечисляются якоря или номера разделов документа, который ссылается на другие. В строке – названия документов, на которые идет ссылка, а в ячейках – якоря или номера разделов, на которые идет ссылка. Трассировочная таблица в этом случае будет выглядеть следующим образом:
| РД СВТ | Protection Profile | Protection Profile глава 6 | Protection Profile главы 1-4 | Комментарии |
| 2.2.2 КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ. | 5.2.2.4 FIA_UID.1.2 | 286, 288 | 82 O.USER_AUTHENTICATION, O.USER_IDENTIFICATION, 57 Identification&Authentication, 80 P.I_AND_A, 58 Non-bypassability | |
| 2.2.2 КСЗ должен подвергать проверке подлинность идентификации - осуществлять аутентификацию. | 5.2.2.3 FAI_UAU.1.2 | 277, 280 | В названии трассировочного тега опечатка. Правильно - FIA_UAU.1.2 | |
| 2.2.2 КСЗ должен препятствовать доступу к защищаемым ресурсам неидентифицированных пользователей и пользователей, подлинность идентификации которых при аутентификации не подтвердилась. | 5.1.3.1 | 286, 287 | 5.1.3.1 - необходимые данные для аутентификации - атрибуты учетной записи пользователя |
Здесь РД СВТ – документ Гостехкомиссии РФ, включающий в себя требования по защищенности средств вычислительной техники [5], Protection Profile – один из аналогичных документов, используемых в США. Таблица представляет собой трассировку требований РД СВТ на требования различных глав Protection Profile. В первой строке указаны главы, а в ячейчах – конкретные разделы.
ТЕМА 5. Формальные инспекции (лекции 9-10)
