Раздел требований к процессу квалификационного анализа ИТ-продукта регламентирует порядок проведения квалификационного анализа в виде методики исследований и тестирования ИТ-продукта. Объем и глубина требуемых исследований зависят от наиболее вероятных типов угроз, среды применения и планируемой технологии эксплуатации. Функциональные требования "Федеральных критериев" разделены на восемь классов и определяют все аспекты функционирования ядра безопасности (Trusted Computing Base, TCB). Под ядром безопасности понимается совокупность аппаратных, программных и специальных компонент вычислительной системы, реализующих функции защиты и обеспечения безопасности. Таксономия классов функциональных требований приведена на рис.1.
Рис.1. Таксономия функциональных требований "Федеральных критериев". Состав и содержание включенных в профиль защиты функциональных требований определяются средой эксплуатации ИТ-продукта. Чтобы обосновать выбор тех или иных требований и не вступать в противоречие с существующими стандартами в области безопасности ИТ-продуктов, функциональные требования, приведенные в "Федеральных критериях", ранжируются по уровням с помощью следующих четырех критериев: широта сферы применения, степень детализации, функциональный состав средств защиты, обеспечиваемый уровень безопасности. Ранжирование всегда предполагает установление некоторого отношения порядка. Однако независимое ранжирование функциональных требований по каждому из приведенных критериев, хотя и дает некоторое представление о различиях между функциональными возможностями средств защиты, не позволяет установить четкую, линейную шкалу уровней безопасности. Однозначного отношения порядка, определенного на множестве функциональных требований, не существует, так как значение требований и уровень обеспечиваемой ими защиты зависят не только от их содержания, но и от назначения ИТ-продукта и среды его эксплуатации. Для одних систем наиболее важными будут идентификация и аутентификация пользователей, а для других - реализация политики управления доступом или обеспечение работоспособности. Поэтому в "Федеральных критериях" отсутствуют рекомендации как по выбору и применению тех или иных функциональных требований, так и по определению их роли в системе обеспечения безопасности. Вместо жестких указаний этот документ содержит согласованный с предшествующими ему стандартами ("Оранжевая книга", "Европейские критерии") ранжированный перечень функциональных требований и предоставляет разработчикам профиля защиты возможность самостоятельно сделать выбор необходимых методов и средств обеспечения безопасности, основанный на назначении и специфике среды эксплуатации ИТ-продукта. 6.4 Требования к технологии разработки ИТ-продукта Основное назначение требований к технологии разработки ИТ-продукта - обеспечить адекватность условий разработки функциональным требованиям, выдвинутым в соответствующем разделе профиля защиты, и установить ответственность разработчика за корректность реализации этих требований. Данный раздел регламентирует процесс создания, тестирования, документирования и сопровождения ИТ-продукта. Таксономия требований к технологии разработки ИТ-продукта приведена на рис.2. Рис.2. Таксономия требований "Федеральных критериев" к технологии разработки ИТ-продукта. "Федеральные критерии" содержат ранжированный перечень типовых требований к технологии разработки ИТ-продуктов. Выполнение требований к технологии разработки является необходимым условием для проведения процедуры квалификационного анализа. 6.5 Требования к процессу квалификационного анализа ИТ-продукта Требования к процессу квалификационного анализа ИТ-продукта призваны обеспечить надежность и корректность этого процесса. Раздел содержит три группы требований, регламентирующих анализ, контроль и тестирование ИТ-продукта. Таксономия требований этого раздела приведена на рис.3. Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |
