Помощничек
Главная | Обратная связь


Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Методика перевірки виконання вимог до рівня гарантій



4.1 Перевірка дотримання вимог рівня Г-2 гарантій відповідності реалізації об’єкта експертизи здійснюється експертно-документальним методом та методом функціональної перевірки.

4.2 Метою перевірки є здійснення експертного оцінювання відповідності КЗЗ АРМ ОКІ вимогам до ТЗІ в частині оцінювання рівня гарантій відповідності реалізації функціональних послуг безпеки з подальшим підтвердженням або спростуванням вказаного в документах рівня гарантій.

4.3 Якщо оцінка відповідності реалізації КЗЗ АРМ ОКІ, що виконана відповідно до положень розділу 3 даної Методики, дала позитивний результат, то мета оцінки рівня гарантій зводиться до підтвердження або спростування заявленого ступеня впевненості до отриманого висновку про коректність реалізації КЗЗ АРМ ОКІ.

4.4 Завданням експерта в процесі оцінки КЗЗ АРМ ОКІ є:

4.4.1 Попередній аналіз наданих матеріалів з метою попереднього визначення рівня гарантій, який може бути призначено КЗЗ АРМ ОКІ за результатами експертизи, та, відповідно, визначення наявності необхідних для виконання оцінювання матеріалів (документів), зміст яких визначається вимогами до цього рівня гарантій в НД ТЗІ 2.5-004-99.

4.4.2 Доопрацювання, за необхідності, одержаних матеріалів (або одержання та аналіз додатково запитаних Експертом матеріалів) з метою задоволення вимог відповідного рівня гарантій, встановленого НД ТЗІ 2.5-004-99.

4.4.3 Документування отриманих результатів та прийняття рішення щодо проведення подальших етапів робіт;

4.5 Процес одержання довірчої оцінки КЗЗ АРМ ОКІ полягає у послідовному перегляді та перевірці ще раз результатів і умов виконання наданих у НД ТЗІ 2.5-004-99 критеріїв гарантій щодо вимог до:

– архітектури об’єкта експертизи;

– середовища розробки об’єкта експертизи;

– послідовності розробки об’єкта експертизи;

– середовища функціонування об’єкта експертизи;

– документації об’єкта експертизи;

– випробувань об’єкта експертизи.

4.6 Перевірка виконання вимог рівня Г-2 гарантій щодо архітектури КЗЗ АРМ ОКІ.

4.6.1 Метою перевірки є:

– дослідження документованого у техноробочому проекті опису архітектури КЗЗ АРМ ОКІ з метою формулювання обґрунтованого висновку про те, що у ньому чітко визначені всі структурні компоненти (модулі) КЗЗ, визначені у ТЗ;

– перевірку факту наявності у складі КЗЗ АРМ ОКІ всіх визначених у техноробочому проекті структурних компонентів (модулів) КЗЗ, визначені у ТЗ.

4.6.2 Перевірка факту наявності у складі КЗЗ всіх модулів, визначених у техноробочому проекті.

Необхідно встановити факт наявності структурних компонентів КЗЗ, які реалізують усі функціональні послуги безпеки, визначені у ТЗ.

Послідовність дослідження:

– перевірка факту встановлення та засобів КЗІ;

– перевірка факту встановлення та налагодження ОС;

– перевірка факту встановлення та налагодження обладнання.

4.7 Перевірка виконання вимог рівня Г-2 гарантій відповідності реалізації КЗЗ щодо середовища розробки у частині, яка стосується організації процесу розробки КЗЗ АРМ ОКІ.

4.8. Метою перевірки є визначення можливості забезпечення керування внесенням змін в апаратне забезпечення, програми, вихідні тексти, об'єктні коди і документацію та гарантувати постійну відповідність між всією документацією і реалізацією поточної версії КЗЗ.

Перевірка змісту:

- технічного завдання;

- техноробочого проекту;

- документації керування конфігурацією;

- опису процедур безпечної інсталяції, генерації та запуску;

- опису послуг безпеки, що реалізуються КЗЗ;

- настанови адміністратору безпеки;

- настанови оператору;

- програми та методики випробувань ФПБ, з метою визначення наявності унікального марковання, яке відповідає описаним правилам унікальної ідентифікації елементів конфігурації.

4.9. Перевірка виконання вимог рівня Г-2 гарантій відповідності реалізації КЗЗ щодо послідовності розробки у частині функціональних специфікацій КЗЗ АРМ ОКІ.

4.9.1 Метою перевірки є:

- перевірка наявності в ТЗ функціональних специфікацій КЗЗ;

- перевірка функціональних специфікацій на наявність неформалізованого опису моделі політики безпеки;

- дослідження опису результатів аналізу відповідності між політикою безпеки та моделлю політики безпеки КЗЗ.

4.9.2 Перевірка функціональних специфікацій на наявність неформалізованого опису моделі політики безпеки.

4.9.3 Дослідження опису результатів аналізу відповідності між політикою безпеки та моделлю політики безпеки КЗЗ.

4.10 Перевірка виконання вимог рівня Г-2 гарантій відповідності реалізації КЗЗ щодо послідовності розробки у частині проекту архітектури КЗЗ АРМ ОКІ.

4.10.1 Метою перевірки є дослідження техноробочого проекту щодо наявності в ньому переліку і опису функціональних компонентів (підсистем) КЗЗ і функцій, що реалізуються ними та опису будь-яких використовуваних зовнішніх послуг безпеки та інтерфейсів КЗЗ.

Послідовність перевірки:

1. Дослідження документованого у техноробочому проекті:

- опису КЗЗ у термінах основних функціональних компонентів (підсистем);

- опису призначення та функціональних можливостей кожного функціонального компонента (підсистеми) КЗЗ у частині, що стосується реалізації ФПБ;

- опису усіх функцій, підтримуваних механізмами захисту, реалізованими базовими апаратними, програмно-апаратними та/ або програмними засобами.

2. Перевірка документованого у техноробочому проекті:

- опису всіх базових апаратних, програмно-апаратних та/або програмних засобів, необхідних для реалізації КЗЗ;

- опису всіх інтерфейсів функціональних компонентів (підсистем) КЗЗ;

- опису всіх інтерфейсів функціональних компонентів (підсистем) КЗЗ, які є видимими ззовні КЗЗ;

- опису порядку захищеного функціонування кожного функціонального компонента (підсистеми) КЗЗ.

3. Дослідження документованого у опису результатів аналізу відповідності між моделлю політики безпеки КЗЗ та проектом архітектури:

- описів результатів аналізу відповідності між моделлю політики безпеки КЗЗ та проектом архітектури КЗЗ, з метою формулювання обґрунтованого висновку про те, що в цих матеріалах неформальним чином показана наявність відповідності між переліком промодельованих ФПБ та переліком ФПБ, реалізованих функціональними компонентами (підсистемами) КЗЗ;

- результатів аналізу відповідності між моделлю політики безпеки КЗЗ та проектом архітектури КЗЗ, з метою формулювання обґрунтованого висновку про те, що в цих матеріалах для усіх ФПБ неформальним чином показана наявність відповідності між переліком об'єктів КЗЗ, на які поширюється політика певних ФПБ, правилами реалізації ФПБ (порядком захищеного функціонування підсистем КЗЗ) та використовуваними при цьому основними (такими, що мають безпосереднє відношення до розглянутих ФПБ) атрибутами об'єктів КЗЗ різного типу.

4.11 Перевірка детального проекту на наявність опису призначення і параметрів інтерфейсів всіх структурних компонентів

Послідовність перевірки:

1. Перевірка документованого у техноробочому проекті, опису детального проекту КЗЗ, з метою формулювання висновку про те, що в ньому на рівні зовнішніх інтерфейсів модулів, потоків даних, керування і т.п. однозначно визначені взаємозв'язки між усіма структурними компонентами (модулями), що входять до складу КЗЗ.

2. Перевірка документованого у техноробочому проекті, опису детального проекту КЗЗ, з метою формулювання висновку про те, що в ньому визначені всі інтерфейси структурних компонентів (модулів) КЗЗ.

3. Перевірка документованого у техноробочому проекті, опису детального проекту КЗЗ, з метою формулювання висновку про те, що в ньому зазначені всі інтерфейси структурних компонентів (модулів) КЗЗ, які є видимими ззовні КЗЗ.

4. Дослідження документованого у техноробоочму проекті, опису детального проекту КЗЗ, з метою формулювання обґрунтованого висновку про те, що в ньому для кожного інтерфейсу структурного компонента (модуля) наведені призначення, імена точок входу, методи використання та параметри інтерфейсу, результати виконання, повідомлення про помилки, коди повернення.

5. Дослідження документованого у техноробочому проекті, опису детального проекту КЗЗ, з метою формулювання обґрунтованого висновку про те, що в ньому, в термінах послідовностей дій, які виконуються в кожному структурному компоненті (модулі) КЗЗ у відповідь на ініціюючий вплив з боку інших модулів на відповідний інтерфейс, наведено опис порядку захищеного функціонування кожного структурного компонента (модуля) КЗЗ, який містить алгоритми реалізації механізмів захисту, а також необхідні для розуміння їх реалізації внутрішні структури даних та інтерфейси.

4.12 Перевірка відповідності між проектом архітектури та детальним проектом КЗЗ

Послідовність перевірки:

1. Дослідження документованих описів результатів аналізу відповідності між проектом архітектури КЗЗ та детальним проектом КЗЗ, з метою формулювання обґрунтованого висновку про те, що в цих матеріалах неформальним чином показана наявність відповідності між переліком ФПБ, реалізованих функціональними компонентами (підсистемами) КЗЗ та переліком ФПБ, реалізованих структурними компонентами (модулями) КЗЗ, які функціонують у складі відповідних підсистем.

2. Дослідження документованих описів результатів аналізу відповідності між проектом архітектури КЗЗ та детальним проектом КЗЗ, з метою формулювання обґрунтованого висновку про те, що в цих матеріалах для усіх ФПБ неформальним чином показана наявність відповідності між переліком об'єктів КЗЗ, на які поширюється політика реалізованих підсистемою/ модулем ФПБ, правилами реалізації підсистемою/ модулем ФПБ (порядком захищеного функціонування модулів КЗЗ) та використовуваними при цьому основними (такими, що мають безпосереднє відношення до розглянутих ФПБ) атрибутами об'єктів КЗЗ різного типу.

4.13 Перевірка засобів інсталяції, генерації і запуску КЗЗ.

Послідовність перевірки:

1. Перевірка опису процедур безпечної інсталяції, генерації та запуску КЗЗ та “Настанови адміністратору безпеки” на наявність описів процедур безпечної інсталяції, генерації та запуску, з метою формулювання висновку про те, що в складі КЗЗ наявні засоби, які реалізують ці процедури.

2. Перевірка факту працездатності засобів, які реалізують процедури безпечної інсталяції, генерації та запуску шляхом виконання дій, що описані в описі процедур безпечної інсталяції, генерації та запуску КЗЗ та “Настанові адміністратору безпеки”.

4.14 Перевірка та дослідження документації щодо опису ФПБ, принципів політики безпеки та послуг безпеки.

4.15 Перевірка виконання вимог рівня Г-2 гарантій відповідності реалізації КЗЗ щодо документації у частині настанов адміністратору КЗЗ АРМ ОКІ.

4.15.1 Мета перевірки – переконатись в тому, що в “Настанові адміністратору безпеки” наведено опис засобів інсталяції, генерації і запуску КЗЗ, опис всіх можливих параметрів конфігурації, які можуть використовуватися в процесі інсталяції, генерації і запуску КЗЗ, опис властивостей КЗЗ, які можуть бути використані для періодичної оцінки правильності функціонування КЗЗ, а також інструкції щодо використання адміністратором ФПБ для підтримки політики безпеки, прийнятої в організації, що експлуатує КЗЗ.

4.15.2 КЗЗ АРМ ОКІ щодо документації у частині настанов адміністратору, реалізована коректно з рівнем Г-2 гарантій, якщо дослідження дали позитивний результат.

4.16 Перевірка виконання вимог рівня Г-2 гарантій відповідності реалізації КЗЗ щодо документації у частині настанов оператору КЗЗ АРМ ОКІ.

4.16.1 Мета перевірки – переконатись в тому, що в “Настанові оператора АРМ ОКІ” наведено настанови оператору щодо послуг безпеки, у яких, зокрема, містяться інструкції щодо використання функцій безпеки оператором (не адміністратором).

4.17 Перевірка виконання вимог рівня Г-2 гарантій відповідності реалізації КЗЗ щодо випробувань КЗЗ АРМ ОКІ.

4.17.1 Метою перевірки є:

- перевірка програми та методики випробувань, а також процедури випробувань усіх механізмів, що реалізують ФПБ;

- перевірка доказів тестування у вигляді детального переліку результатів тестів і відповідних процедур тестування, які можуть бути перевірені шляхом повторення тестування.

4.17.2 Перевірка доказів тестування у вигляді детального переліку результатів тестів і відповідних процедур тестування, які можуть бути перевірені шляхом повторення тестування.

 

 




Поиск по сайту:

©2015-2020 studopedya.ru Все права принадлежат авторам размещенных материалов.