Потенциал нападения определяется путем экспертизы возможностей, ресурсов и побуждений нападавшего. В ОК определено семь уровней гарантии оценки (УГО). Увеличение гарантированности обеспечивается увеличением строгости и/или глубины оценки путем включения соответствующих компонентов гарантии (не более одного компонента из каждого семейства гарантии) с учетом зависимостей. Ниже дана характеристика УГО, где различия между уровнями гарантии подчеркнуты путем выделения жирным шрифтом новых требований. Уровень Гарантии Оценки 1 (УГО1) - функционально проверенный проект. УГО1 - самый низкий уровень гарантии, для которого оценка является значащей и экономически оправданной. УГО1 предназначен для обнаружения очевидных ошибок при минимальных издержках. Компоненты УГО1 обеспечивают минимальный уровень гарантии путем анализа функциональной и интерфейсной спецификаций ОО и результатов независимого тестирования каждой из функций безопасности. Уровень Гарантии Оценки 2 (УГО2) - структурно проверенный проект. УГО2 применим, когда разработчики или пользователи требуют умеренно низкий уровень независимо гарантированной безопасности при отсутствии полного отчета о разработке. Компоненты УГО2 обеспечивают гарантию путем анализа функций безопасности и проекта высокого уровня подсистем ОО. Анализ поддержан независимым тестированием каждой из функций безопасности, актом испытаний разработчиком "черного ящика" и свидетельством поиска разработчиком явных уязвимых мест. Уровень Гарантии Оценки 3 (УГО3) - методически проверенный и протестированный проект. УГО3 позволяет добросовестному разработчику получить максимальную гарантию безопасности на стадии разработки проекта без существенного изменения обычных методов разработки. Поэтому УГО3 применим, когда разработчики или пользователи требуют умеренного уровня независимо гарантированной безопасности и полного исследования продукта и процесса разработки без существенных технических затрат. Компоненты УГО3 обеспечивают гарантию путем анализа функций безопасности и проекта высокого уровня подсистем ОО. Анализ поддержан независимым тестированием функций безопасности, актом испытаний разработчиком "серого ящика", независимым подтверждением выборочных результатов испытания разработчиком и свидетельством поиска разработчиком явных уязвимых мест. УГО3 обеспечивает также дополнительную гарантию путем включения средств контроля среды разработки и управления конфигурацией ОО. Уровень Гарантии Оценки 4 (УГО4) - методически проработанный и проверенный проект. УГО4 позволяет разработчику получить максимальную гарантию безопасности при проектировании, основанном на хороших коммерческих методах разработки. УГО4 - самый высокий уровень, который, вероятно, будет экономически целесообразен для ориентировки на существующие типы продуктов. Поэтому УГО4 применим, когда разработчики или пользователи требуют умеренно-высокий уровень независимо гарантированной безопасности в обычных продуктах ИТ и готовы нести определенные технические затраты для дополнительной безопасности. Компоненты УГО4 обеспечивает гарантию путем анализа функций безопасности, проекта высокого уровня подсистем, проекта низкого уровня модулей ОО и поднабора реализации. Анализ поддержан независимым тестированием функций безопасности, актом испытаний разработчиком "серого ящика", независимым подтверждением выборочных результатов испытания разработчиком, свидетельством поиска разработчиком явных уязвимых мест и независимым поиском явных уязвимых мест. УГО4 также обеспечивает гарантию путем использования средств контроля среды разработки и дополнительных средств управления конфигурацией ОО, включая средства автоматизации этого процесса. Уровень Гарантии Оценки 5 (УГО5) - полуформально разработанный и проверенный проект. Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |
