Компоненты доверия

Цели

ОУД3 позволяет добросовестному разработчику достичь максимального доверия путем применения точного проектирования безопасности на стадии разработки проекта без значительного изменения существующей практики качественной разработки.

ОУД3 применим в тех случаях, когда разработчикам или пользователям требуется независимо подтвержденный умеренный уровень доверия на основе всестороннего исследования ОО и процесса его разработки без существенного пересмотра концепции построения ОО.

ОУД3 (см. таблицу 4) обеспечивает доверие с помощью полного ЗБ и анализа ФТБ в этом ЗБ с использованием для понимания режима функционирования безопасности функциональной спецификации, спецификации интерфейсов, руководств и архитектурного описания проекта ОО.

Анализ подкрепляется независимым тестированием ФБО, свидетельством разработчика о тестировании, основанном на функциональной спецификации и проекте ОО, выборочным независимым подтверждением результатов тестирования разработчиком и анализом уязвимостей (основанным на предоставленных свидетельствах по функциональной спецификации, проекту ОО, описанию архитектуры безопасности и руководствам), показывающим противодействие проникновению нарушителей с базовым потенциалом нападения.

ОУД3 также обеспечивает доверие посредством использования мер управления средой разработки, управления конфигурацией ОО и свидетельства безопасных процедур поставки.

Этот ОУД представляет значимое увеличение доверия по сравнению с ОУД2, требуя более полного покрытия тестированием функций и механизмов безопасности и/или процедур безопасности, что дает некоторую уверенность в том, что вООне будут внесены искажения во время разработки.

 

Классы требований доверия   Компоненты требований доверия
  ADV: Разработка ADV_ARC.1 Описание архитектуры безопасности
ADV_FSP.3 Функциональная спецификация с полным кратким описанием
ADV_TDS.2 Архитектурный проект
  AGD: Руководства AGD_OPE.1 Эксплуатационное руководство пользователя
AGD_PRE.1 Подготовительные процедуры
  ALC: Поддержка жизненного цикла ALC_CMC.3 Меры управления авторизацией
ALC_CMS.3 Охват УК представления реализации
ALC_DEL.1 Процедуры поставки
ALC_DVS.1 Определение мер безопасности
ALC_LCD.1 Определенная разработчиком модель жизненного цикла
  ASE: Оценка ЗБ ASE_CCL.1 Утверждения о соответствии
ASE_ECD.1 Определение расширенных компонентов
ASE_INT.1 Введение в ЗБ
ASE_OBJ.2 Цели безопасности
ASE_REQ.2 Полученные требования безопасности
ASE_SPD.1 Определение проблемы безопасности
ASE_TSS.1 Краткая спецификация ОО
  ATE: Тестирование ATE_COV.2 Анализ покрытия
ATE_DPT.1 Тестирование: базовый проект
ATE_FUN.1 Функциональное тестирование
ATE_IND.2 Выборочное независимое тестирование
AVA: Оценка уязвимости AVA_VAN.2 Анализ уязвимостей

Таблица 4 – ОУД3

4.6 Оценочный уровень доверия 4 (ОУД4) – предусматривающий методическое проектирование, тестирование и углубленную проверку