7 Методичні вказівки з розроблення та документування програми перевірки дотримання вимог до рівня гарантій коректності реалізації функціональних послуг безпеки

7.1 Оскільки основний зміст програми перевірки дотримання вимог до рівня гарантій коректності реалізації ФПБ має складати опис того відповідність яким саме вимогам критеріїв гарантій, встановлених НД ТЗІ 2.5-004-99, а також вимогам діючих НД ТЗІ має бути перевірено з метою підтвердження або спростування їх дотримання в процесі розроблення, виробництва та постачання ОЕ, основні зусилля повинні бути спрямовані на те, щоб максимально повно відобразити в ній перелік тих вимог (без наведення конкретних методів виконання їх перевірки), успішне виконання перевірки яких дозволить дійти обґрунтованого висновку про факт дотримання або недотримання вимог до заявленого рівня гарантій. Для цього розроблювана програма має передбачати перевірку:

• усіх вимог НД ТЗІ 2.5-004-99 до певного рівня гарантій коректності реалізації ФПБ, які мають бути дотримані в процесі розроблення, виробництва та постачання замовнику оцінюваного ОЕ, з урахуванням складу та змісту матеріалів (документів), наданих експерту розробником (заявником);

• усіх вимог НД ТЗІ 3.6-001-2000, які стосуються порядку взаємодії розробника ОЕ з уповноваженим державним органом на різних етапах створення ОЕ.

7.2 При розробленні програми перевірки дотримання вимог до рівня гарантій коректності реалізації ФПБ, залежно від заявленого (уточненого) рівня гарантій та варіанта подання ОЕ на експертизу, експерт має використовувати:

• проектну документацію на оцінюваний ОЕ, зазначену в пп. А.2.1-А.2.4 або аналогічну за змістом;

• супровідну документацію на оцінюваний ОЕ , зазначену в пп. А.2.5-А.2.12, А.2.14, А.2.18-А.2.20 або аналогічну за змістом;

• експлуатаційну документацію на оцінюваний ОЕ, зазначену в пп. А.2.13, А.2.15-А.2.17 або аналогічну за змістом;

• функціональні специфікації ОЕ та опис порядку їх реалізації, розроблені на етапі збирання та аналізу матеріалів або в процесі проведення робіт з оцінювання ФПБ.

Крім цього, при формулюванні вимог програми перевірки дотримання вимог до рівня гарантій коректності реалізації ФПБ рекомендується користуватися Додатком Б, в якому викладено вимоги щодо змісту програм перевірки дотримання вимог до різних рівнів гарантій. Викладені вимоги сформульовані з урахуванням вимог НД ТЗІ 2.5-004-99, НД ТЗІ 3.6-001-2000, а також результатів виконаного з використанням рекомендацій, наведених у розділі 6, аналізу матеріалів (документів), наданих експерту розробником (заявником).

7.3 При документуванні програми перевірки дотримання вимог до рівня гарантій коректності реалізації ФПБ, розробленої з урахуванням наведених вище та викладених у Додатку Б вимог, необхідно керуватися також вимогами Положення про державну експертизу в сфері технічного захисту інформації, ГОСТ 19.301-79, ДСТУ 2853-94, інших стандартів та нормативних документів у галузі інформаційних технологій та захисту інформації, що стосуються підготовки та проведення випробувань.

8 Методичні вказівки з розроблення та документування методики перевірки дотримання вимог до рівня гарантій коректності реалізації функціональних послуг безпеки

8.1 Основний зміст методики перевірки дотримання вимог до рівня гарантій коректності реалізації ФПБ має складати виконаний з урахуванням вимог програми перевірки опис послідовності, порядку та методів виконання певних дій, метою яких є підтвердження або спростування факту дотримання вимог певного рівня гарантій у процесі розроблення, виробництва та постачання ОЕ. При цьому основні зусилля повинні бути спрямовані на те, щоб максимально повно відобразити в ній суть дій, виконуваних при перевірці окремих вимог, успішне виконання яких дозволить дійти обґрунтованого висновку про факт дотримання або недотримання вимог до заявленого рівня гарантій.

8.2 При розробленні методики перевірки дотримання вимог до рівня гарантій коректності реалізації ФПБ, залежно від заявленого (уточненого) рівня гарантій та варіанта подання ОЕ на експертизу, експерт має використовувати:

• проектну документацію на оцінюваний ОЕ, зазначену в пп. А.2.1-А.2.4 або аналогічну за змістом;

• супровідну документацію на оцінюваний ОЕ , зазначену в пп. А.2.5-А.2.12, А.2.14, А.2.18-А.2.20 або аналогічну за змістом;

• експлуатаційну документацію на оцінюваний ОЕ, зазначену в пп. А.2.13, А.2.15-А.2.17 або аналогічну за змістом;

• функціональні специфікації ОЕ та опис порядку їх реалізації, розроблені на етапі збирання та аналізу матеріалів або в процесі робіт з оцінювання ФПБ;

• розроблену програму перевірки дотримання вимог до рівня гарантій коректності реалізації ФПБ.

Крім цього, при розробленні методики перевірки дотримання вимог до рівня гарантій коректності реалізації ФПБ рекомендується користуватися Додатком В, в якому викладено вимоги до змісту методик перевірки дотримання вимог до різних рівнів гарантій. Викладені вимоги сформульовані з урахуванням вимог НД ТЗІ 2.5-004-99, НД ТЗІ 3.6-001-2000, результатів виконаного з використанням рекомендацій, наведених у розділі 6, аналізу матеріалів (документів), наданих експерту розробником (заявником), а також вимог щодо змісту програм перевірки дотримання вимог до рівня гарантій коректності реалізації ФПБ, викладених у Додатку Б. Вимоги викладено з урахуванням необхідності забезпечення максимальної незалежності процедур перевірки окремих вимог критеріїв гарантій щодо архітектури, середовища розробки, послідовності розробки, середовища функціонування, документації та випробувань ОЕ.

8.3 При документуванні методики перевірки дотримання вимог до рівня гарантій коректності реалізації ФПБ, розробленої з урахуванням наведених вище та викладених у Додатку В вимог, необхідно керуватися також вимогами Положення про державну експертизу в сфері технічного захисту інформації, ГОСТ 19.301-79, ДСТУ 2853-94, інших стандартів та нормативних документів у галузі інформаційних технологій та захисту інформації, що стосуються підготовки та проведення випробувань.