Компоненты доверия
Цели
ОУД3 позволяет добросовестному разработчику достичь максимального доверия путем применения точного проектирования безопасности на стадии разработки проекта без значительного изменения существующей практики качественной разработки.
ОУД3 применим в тех случаях, когда разработчикам или пользователям требуется независимо подтвержденный умеренный уровень доверия на основе всестороннего исследования ОО и процесса его разработки без существенного пересмотра концепции построения ОО.
ОУД3 (см. таблицу 4) обеспечивает доверие с помощью полного ЗБ и анализа ФТБ в этом ЗБ с использованием для понимания режима функционирования безопасности функциональной спецификации, спецификации интерфейсов, руководств и архитектурного описания проекта ОО.
Анализ подкрепляется независимым тестированием ФБО, свидетельством разработчика о тестировании, основанном на функциональной спецификации и проекте ОО, выборочным независимым подтверждением результатов тестирования разработчиком и анализом уязвимостей (основанным на предоставленных свидетельствах по функциональной спецификации, проекту ОО, описанию архитектуры безопасности и руководствам), показывающим противодействие проникновению нарушителей с базовым потенциалом нападения.
ОУД3 также обеспечивает доверие посредством использования мер управления средой разработки, управления конфигурацией ОО и свидетельства безопасных процедур поставки.
Этот ОУД представляет значимое увеличение доверия по сравнению с ОУД2, требуя более полного покрытия тестированием функций и механизмов безопасности и/или процедур безопасности, что дает некоторую уверенность в том, что вООне будут внесены искажения во время разработки.
| Классы требований доверия | Компоненты требований доверия |
| ADV: Разработка | ADV_ARC.1 Описание архитектуры безопасности |
| ADV_FSP.3 Функциональная спецификация с полным кратким описанием | |
| ADV_TDS.2 Архитектурный проект | |
| AGD: Руководства | AGD_OPE.1 Эксплуатационное руководство пользователя |
| AGD_PRE.1 Подготовительные процедуры | |
| ALC: Поддержка жизненного цикла | ALC_CMC.3 Меры управления авторизацией |
| ALC_CMS.3 Охват УК представления реализации | |
| ALC_DEL.1 Процедуры поставки | |
| ALC_DVS.1 Определение мер безопасности | |
| ALC_LCD.1 Определенная разработчиком модель жизненного цикла | |
| ASE: Оценка ЗБ | ASE_CCL.1 Утверждения о соответствии |
| ASE_ECD.1 Определение расширенных компонентов | |
| ASE_INT.1 Введение в ЗБ | |
| ASE_OBJ.2 Цели безопасности | |
| ASE_REQ.2 Полученные требования безопасности | |
| ASE_SPD.1 Определение проблемы безопасности | |
| ASE_TSS.1 Краткая спецификация ОО | |
| ATE: Тестирование | ATE_COV.2 Анализ покрытия |
| ATE_DPT.1 Тестирование: базовый проект | |
| ATE_FUN.1 Функциональное тестирование | |
| ATE_IND.2 Выборочное независимое тестирование | |
| AVA: Оценка уязвимости | AVA_VAN.2 Анализ уязвимостей |
Таблица 4 – ОУД3
4.6 Оценочный уровень доверия 4 (ОУД4) – предусматривающий методическое проектирование, тестирование и углубленную проверку