Файловый архив студентов. Файловый архив студентов.
1284 вуза, 4921 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича
Предмет:
Основы проектирования защищенных инфокоммуникационных систем
Файл:
ЛР15.docx
Скачиваний:
10
Добавлен:
10.04.2023
Размер:
43.03 Кб
Скачать
►Содержание►

Оценка.

По стандарту ИСО/МЭК 15408 признают два типа оценки: оценка ЗБ/ОО, которая описывается ниже, и оценка ПЗ, которая определяется в ИСО/МЭК 15408-3. Много раз в ИСО/МЭК 15408 использо­ван термин «оценка» (без уточнений) для ссылки на оценку ЗБ/ОО.

По ИСО/МЭК 15408 оценка ЗБ/ОО проходит в два этапа:

a) оценка ЗБ: на этом этапе определяют достаточность ОО и среды функционирования;

b) оценка ОО: на этом этапе определяют корректность ОО; как отмечалось ранее, оценка ОО не включает оценку корректности среды функционирования.

Оценку ЗБ выполняют путем применения критериев оценки заданий по безопасности (которые определены в разделе ASE ИСО/МЭК 15408-3). Конкретный способ применения критериев ASE опре­деляется используемой методологией оценки.

Оценка ОО является более комплексной. Основные исходные данные для оценки ОО: свидетель­ства оценки, которые включают ОО и ЗБ, а также, как правило, исходные данные, получаемые из среды разработки, такие как проектная документация или результаты тестирования разработчиком.

Оценка ОО заключается в применении ТДБ (из задания по безопасности) к свидетельствам оцен­ки. Конкретный способ применения конкретного ТДБ определяется используемой методологией оценки.

Как документировать результаты применения ТДБ, какие отчеты необходимо генерировать и в ка­кой степени детализации — определяется в соответствии с используемой методологией оценки и в со­ответствии с требованиями системы оценки, в рамках которой выполняется оценка.

Результатом процесса оценки ОО будет:

- либо утверждение, что не все ТДБ удовлетворены, и поэтому не достигнут заданный уровень доверия к тому, что ОО удовлетворяет ФТБ, которые изложены в ЗБ;

- либо утверждение, что все ТДБ удовлетворены, и поэтому достигнут заданный уровень доверия к тому, что ОО удовлетворяет ФТБ, которые изложены в ЗБ.

Оценка ОО может быть выполнена после завершения разработки ОО или параллельно с разра­боткой ОО.

Доработка требований безопасности для конкретного применения.

Операция «итерация».

Операция «итерация» может быть выполнена по отношению к любому компоненту. Разработчик ПЗ/ЗБ выполняет операцию «итерация» путем включения в ПЗ/ЗБ нескольких требований, основанных на одном и том же компоненте. Каждая итерация компонента должна отличаться от всех других ите­раций этого компонента, что реализуется завершением по-другому операций «назначение» и «выбор»

или применением по-другому операции «уточнение».

Различные итерации следует уникально идентифицировать, чтобы обеспечить четкое обоснова­ние и прослеживаемость от или к этим требованиям.

В ряде случаев операция «итерация» может быть выполнена по отношению к компоненту, для ко­торого вместо его итерации можно было бы выполнить операцию «назначение», указав диапазон или список значений. В этом случае разработчик ПЗ/ЗБ может выбрать наиболее подходящую альтер­нативу, решив с учетом всех обстоятельств, есть ли потребность предоставления единого обоснования

для всего диапазона значений или необходимо иметь отдельное обоснование для каждого из значений.

Разработчику также следует обратить внимание на то, требуется ли отдельное прослеживание для этих значений.

Соседние файлы в предмете Основы проектирования защищенных инфокоммуникационных систем
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности