Компоненты доверия

Цели

ОУД4 позволяет разработчику достичь максимального доверия путем применения точного проектирования безопасности, основанного на хорошей технической практике разработки, которая, даже будучи строгой, не требует глубоких профессиональных знаний, навыков и других ресурсов. ОУД4 – самый высокий уровень, на который, вероятно, экономически целесообразно ориентироваться при оценке существующих продуктов.

Поэтому ОУД4 применим, когда разработчикам или пользователям требуется независимо подтвержденный уровень доверия от умеренного до высокого в ОО общего назначения и имеется готовность нести дополнительные, связанные с обеспечением безопасности, затраты на проектирование.

ОУД4(см. таблицу 5) обеспечивает доверие с помощью полного ЗБ и анализа ФТБ в этом ЗБ с использованием для понимания режима функционирования безопасности функциональной спецификации, полной спецификации интерфейсов, руководств, описания базового модульного проекта ОО, а также подмножества реализации.

Анализ подкрепляется независимым тестированием ФБО, свидетельством разработчика о тестировании, основанном на функциональной спецификации и проекте ОО, выборочным независимым подтверждением результатов тестирования разработчиком и анализом уязвимостей (основанным на представленных свидетельствах по функциональной спецификации, проекту ОО, представлению реализации, описанию архитектуры безопасности и руководствам), показывающим противодействие проникновению нарушителей с усиленным базовым потенциалом нападения.

ОУД4 также обеспечивает доверие посредством использования мер управления средой разработки и дополнительного управления конфигурацией ОО, включая автоматизацию, и свидетельства безопасных процедур поставки.

Этот ОУД представляет значимое увеличение доверия по сравнению с ОУД3, требуя более детальное описание проекта, представление реализации для всех ФБО и улучшенные механизмы и/или то дает уверенность в том, что в ОО не будут внесены искажения во время разработки.

Классы требований доверия   Компоненты требований доверия
  ADV: Разработка ADV_ARC.1 Описание архитектуры безопасности
ADV_FSP.4 Полная функциональная спецификация
ADV_IMP.1 Представление реализации ФБО
ADV_TDS.3 Базовый модульный проект
  AGD: Руководства AGD_OPE.1 Эксплуатационное руководство пользователя
AGD_PRE.1 Подготовительные процедуры
    ALC: Поддержка жизненного цикла ALC_CMC.4 Поддержка производства, процедуры приемки и автоматизация
ALC_CMS.4 Охват УК отслеживания проблем
ALC_DEL.1 Процедуры поставки
ALC_DVS.1 Определение мер безопасности
ALC_LCD.1 Определенная разработчиком модель жизненного цикла
ALC_TAT.1 Хорошо зарекомендовавшие себя инструментальные средства разработки
  ASE: Оценка ЗБ ASE_CCL.1 Утверждения о соответствии
ASE_ECD.1 Определение расширенных компонентов
ASE_INT.1 Введение в ЗБ
ASE_OBJ.2 Цели безопасности
ASE_REQ.2 Полученные требования безопасности
ASE_SPD.1 Определение проблемы безопасности
ASE_TSS.1 Краткая спецификация ОО
  ATE: Тестирование ATE_COV.2 Анализ покрытия
ATE_DPT.1 Тестирование: базовый проект
ATE_FUN.1 Функциональное тестирование
ATE_IND.2 Выборочное независимое тестирование
AVA: Оценка уязвимости AVA_VAN.3 Направленный анализ уязвимостей

Таблица 5 – ОУД4

4.7 Оценочный уровень доверия 5 (ОУД5) – предусматривающий полуформальное проектирование и проверку