Вопрос 1: Описание функциональных требований на примере класса FCO "Связь" в ГОСТ Р ИСО/МЭК 15408

Вопрос 14: Оценочные уровни доверия безопасности в ГОСТ Р ИСО/МЭК 15408

В общих критериях определено 7 упорядоченных по возрастанию ОУД

Предполагается, что в ПЗ и ЗБ будут фигурировать или сами ОУД, или их усиления, полученные путём расширения требований

В ОУД не включены требования классов OPE, OSE, OMA

ОУД.1, предусматривающий функциональное тестирование применим, когда требуется некоторая уверенность, что объект оценки работает безукоризненно, а угрозы безопасности не считаются серьёзными.

ОУД.2, предусматривающий структурное тестированием и доступ к части проектной документации и результатам тестирования разработчиков

В дополнение к ОУД.1 предписывается анализ проекта верхнего уровня.

ОУД.3 предусматривающий систематическое тестирование и проверку позволяет достичь максимально возможного доверия при использовании обычных методов разработки. ОУД.4 предусматривающий систематическое проектирование, тестирование и просмотр позволяет достичь доверия максимально возможного при следовании общепринятой практики коммерческой разработки

ОУД.4 характеризуется анализом функциональной спецификации, полной спецификацией интерфейсов, эксплуатационной документацией, проектами верхнего и нижнего уровней, а также подмножеством реализаций применения неформальной модели политики безопасности объекта оценки.

ОУД.5 востребован, когда нужен высокий уровень доверия и строгий подход к разработке, не влекущий излишних затрат. Для достижения ОУД.5 требуется формальная модель политики безопасности объекта оценки, полуформальное представление функциональной спецификации и проект верхнего уровня, полуформальная демонстрация соответствия между ними, а также модульная структура объекта оценки.

ОУД.6 характеризующийся полуформальной верификацией проекта, позволяет получить высокое доверие путём применения специальных методов проектирования в строго контролируемой среде разработки при производстве высококачественных продуктов ИТ и при защите ценных активов от значительных рисков.

Особенности ОУД.6:

структурированное представление реализации;

полуформальное представление проекта нижнего уровня;

иерархическая структура проекта объекта оценки;

устойчивость к попыткам проникновения нарушителей с высоким потенциалом нападения;

проверка правильности систематического анализа разработчиком скрытых каналов;

использование структурированного процесса разработки;

полная автоматизация управления конфигурацией объекта оценки.

ОУД.7 предусматривающий формальную верификацию проекта применим к разработке продуктов ИТ для использования в ситуациях чрезвычайно высокого риска или там, где высокая ценность активов оправдывает повышенные затраты. На 7 уровне дополнительно требуется:

формальное представление функциональной спецификации проекта верхнего уровня и формальная демонстрация соответствия между ними;

модульная, иерархическая и простая структура проект объекта оценки, добавление представления реализации как основы акта об испытаниях проекта;