Вопрос 14: Оценочные
уровни доверия безопасности в ГОСТ Р ИСО/МЭК 15408
В общих критериях определено 7 упорядоченных по возрастанию
ОУД
Предполагается, что в ПЗ и ЗБ будут фигурировать или сами ОУД, или их усиления, полученные путём расширения требований
В ОУД не включены требования классов OPE, OSE, OMA
ОУД.1, предусматривающий функциональное тестирование применим, когда требуется некоторая уверенность, что объект оценки работает безукоризненно, а угрозы безопасности не считаются серьёзными.
ОУД.2, предусматривающий структурное тестированием и доступ к части проектной документации и результатам тестирования разработчиков
В дополнение к ОУД.1 предписывается анализ проекта верхнего
уровня.
ОУД.3 предусматривающий систематическое тестирование и проверку позволяет достичь максимально возможного доверия при использовании обычных методов разработки. ОУД.4 предусматривающий систематическое проектирование, тестирование и просмотр позволяет достичь доверия максимально возможного при следовании общепринятой практики коммерческой разработки
ОУД.4 характеризуется анализом функциональной спецификации,
полной спецификацией интерфейсов, эксплуатационной документацией, проектами
верхнего и нижнего уровней, а также подмножеством реализаций применения
неформальной модели политики безопасности объекта оценки.
ОУД.5 востребован, когда нужен высокий уровень доверия и
строгий подход к разработке, не влекущий излишних затрат. Для достижения ОУД.5
требуется формальная модель политики безопасности объекта оценки, полуформальное представление функциональной спецификации и
проект верхнего уровня, полуформальная демонстрация
соответствия между ними, а также модульная структура объекта оценки.
ОУД.6 характеризующийся полуформальной верификацией проекта, позволяет получить высокое доверие путём применения специальных методов проектирования в строго контролируемой среде разработки при производстве высококачественных продуктов ИТ и при защите ценных активов от значительных рисков.
Особенности ОУД.6:
структурированное представление реализации;
полуформальное представление проекта нижнего уровня;
иерархическая структура проекта объекта оценки;
устойчивость к попыткам проникновения нарушителей с высоким потенциалом нападения;
проверка правильности систематического анализа разработчиком скрытых каналов;
использование структурированного процесса разработки;
полная автоматизация управления конфигурацией объекта
оценки.
ОУД.7 предусматривающий формальную верификацию проекта применим к разработке продуктов ИТ для использования в ситуациях чрезвычайно высокого риска или там, где высокая ценность активов оправдывает повышенные затраты. На 7 уровне дополнительно требуется:
формальное представление функциональной спецификации проекта верхнего уровня и формальная демонстрация соответствия между ними;
модульная, иерархическая и простая структура проект объекта оценки, добавление представления реализации как основы акта об испытаниях проекта;