Стандарты информационной безопасности

       

Общие требования доверия безопасности


Требования доверия безопасности, по сравнению с функциональными, представляются более проработанными, поскольку для них определены оценочные уровни доверия (ОУД).

Для большинства областей применения достаточно третьего уровня доверия, но поскольку он достижим при разумных затратах на разработку, его можно считать типовым.

В число требований доверия третьего оценочного уровня входят:

  • анализ функциональной спецификации, спецификации интерфейсов, эксплуатационной документации;
  • независимое тестирование;
  • наличие проекта верхнего уровня;
  • анализ стойкости функций безопасности;
  • поиск разработчиком явных уязвимостей;
  • контроль среды разработки;
  • управление конфигурацией.

В принципе реален и четвертый оценочный уровень, который можно рекомендовать для конфигураций повышенной защищенности. К числу дополнительных требований этого уровня относятся:

  • полная спецификация интерфейсов;
  • наличие проекта нижнего уровня;
  • анализ подмножества реализации;
  • применение неформальной модели политики безопасности;
  • независимый анализ уязвимостей;
  • автоматизация управления конфигурацией.

Вероятно, это самый высокий уровень, который можно достичь при существующей технологии программирования и разумных затратах материальных и временных ресурсов.

Мы завершаем изложение общих требований к сервисам безопасности. На наш взгляд, знакомство с ними необходимо для усвоения и последующего практического использования "Общих критериев".

<

Содержание раздела