Обеспечение поддержки доверия к безопасности изделия ИТ при эксплуатации
Большим недостатком существующей системы сертификации является формальная необходимость «пересертификации» изделия при внесении в него изменений. Вместе с тем такие изменении могут вноситься достаточно часто, в зависимости от предназначения изделия.
В Положении приведена принципиально новая процедура под-шсрждения результатов оценки при изменениях в сертифициро-илнпой версии изделия. Подтверждение при изменениях может Выть осуществлено двумя путями:
• посредством оценки новой версии изделия ИТ;
• посредством реализации процедур поддержки доверия безопасности к изделию ИТ, определенных в требованиях поддержки доверия в «Критериях...».
Выбор разработчиком стратегии поддержки зависит от него самого. В последнем случае в ЗБ должны быть внесены соответствующие требования поддержки доверия к безопасности из «Критериев...».
От разработчика требуется наличие двух документов:
|
|
• план поддержки доверия, определяющий процедуры, которые должен выполнять разработчик;
• отчет о категорировании компонентов изделия ИТ по их отношению к безопасности.
Содержание этих документов описано в Положении.
В плане указываются контрольные точки, когда разработчик должен выдавать владельцу изделия ИТ свидетельство поддержания доверия. К документации поддержки доверия также относятся:
• список конфигурации изделия ИТ;
• список идентифицированных уязвимостеи в изделии ИТ;
• свидетельство следования процедурам поддержки доверия, определенным в плане ПД.
Указывается также график проведения аудита поддержки доверия. Этот аудит выполняет испытательная лаборатория, необязательно та же, что проводила сертификацию.
В цикле поддержки доверия должны предусматриваться четыре типа процедур:
• управление конфигурацией;
• поддержка свидетельств, в которых отражены вопросы функционального тестирования;
• анализ влияния изменений в изделии ИТ на безопасность;
• устранение недостатков безопасности.
Порядок подтверждения соответствия приведен в разд. 8 Положения. Начинается этот раздел с требования обязательной сертификации изделий ИТ, предназначенных для обработки информации с ограниченным доступом. Таким образом, впервые не делается различия между, например, служебной информацией государственных органов власти и коммерческой информацией частных фирм.
Заявителем может быть разработчик или другое заинтересованное лицо, которое обязано в этом случае оформить договорные отношения с разработчиком.
Работы, выполняемые при сертификации:
|
|
• подготовка к оценке изделия ИТ (работы разработчика + предварительное рассмотрение ЗБ лабораторией);
• оценка изделия ИТ (выполняет испытательная лаборатория);
• подтверждение соответствия изделия ИТ требованиям по безопасности информации (независимая экспертиза результатов работы лаборатории органом по сертификации).
Перечень документов, представляемых разработчиком для проведения сертификации, приведен в Приложении Г [39]. Этот список впечатляет. Требуется представлять не только конечные материалы, но и материалы эскизного, технического и рабочего проекта. Всего имеется 27 категорий документов, разработка которых потребует от разработчика значительных усилий.
Несколько изменен порядок проведения сертификации. Вначале разработчик обращается в испытательную лабораторию, которая должна выполнить предварительное рассмотрение ЗБ (но пока еще не его оценку). При положительном результате рассмотрения лаборатория разрабатывает программу проведения оценки и календарный план проведения оценки. Разработчик представляет в орган по сертификации заявку, ЗБ и разработанные лабораторией документы.
Оценка безопасности изделия ИТ включает оценку ЗБ на соответствие «Критериям...» и оценку изделия на соответствие требованиям безопасности информации на основании «Методологии...».
Инструментальные средства оценки должны быть сертифицированы. Орган по сертификации выполняет независимую экспертизу результатов, приведенных в техническом отчете лаборатории, утверждает их и выдает сертификат. В случае проведения| унификации изделия, находящегося на поддержке доверия к бесполюсности, в орган по сертификации подается заявка с приложением отчета поддержки доверия, разработанного испытательной траекторией, включающего оценку анализа разработчиком влияния изменений на безопасность и результаты своих аудитов ПД.