1.5. Требования к технологии разработки ит-продукта
Основное назначение требований к технологии разработки ИТ-продукта — обеспечить адекватность условий разработки функциональным требованиям, выдвинутым в соответствующем разделе Профиля защиты, и установить ответственность разработчика за корректность реализации этих требований. Данный раздел регламентирует процесс создания, тестирования, документирования и сопровождения ИТ-продукта. Таксономия требований к технологии разработки ИТ-продукта приведена на рис. 2.6.
Требования к технологии разработки ИТ-продуктов включают четыре раздела: требования к процессу разработки, к среде разработки, документированию и сопровождению.
Требования к процессу разработки содержат подразделы, относящиеся к проектированию, реализации, тестированию и анализу ИТ-продукта. Особую роль играют требования адекватности реализации функций ТСВ, обеспечивающие корректность
выполнения функциональных требований Профиля защиты.
Требования к среде разработки позволяют обеспечить качество процесса создания ИТ-продукта с помощью применения современных технологий проектирования, программирования и тестирования, а также регламентируют управление процессом разработки и дистрибуцию конечного продукта.
Требования к документированию определяют состав и содержание технологической документации, позволяющей производителю ИТ-продукта доказать соответствие самого продукта и технологии его изготовления выдвинутым требованиям.
Требования к сопровождению ИТ-продукта содержат обязательства производителя перед пользователями, выполнение которых позволяет обеспечить эффективную и надежную эксплуатацию ИТ-продукта. Данные требования регламентируют состав пользовательской и административной документации, процедуру обновления версий и исправления ошибок, а также инсталляцию продукта.
"Федеральные критерии" содержат ранжированный перечень типовых требований к технологии разработки ИТ-продуктов. Выполнение требований к технологии разработки является необходимым условием для проведения процедуры квалификационного анализа.
1.6. Требования к процессу квалификационного анализа ит-продукта
Требования к процессу квалификационного анализа ИТ-продукта призваны обеспечить надежность и корректность этого процесса. Раздел содержит три группы требований, регламентирующих анализ, контроль и тестирование ИТ-продукта. Таксономия требований этого раздела приведена на рис. 2.7.
Раздел требований к анализу ИТ-продукта содержит требования к проведению независимого анализа предложенного решения (архитектуры), и его реализации как конкретного средства.
Раздел требований к контролю регламентирует проверку соответствия среды разработки ИТ-продукта и обеспечиваемого производителем сопровождения требованиям к технологии разработки.
Требования к тестированию описывают процедуру проведения тестирования функций ТСВ как самим разработчиком ИТ-продукта, так и независимыми экспертами.
Нетрудно заметить, что эти требования регламентируют процесс квалификационного анализа только в общих чертах и, по замыслу разработчиков стандарта, должны послужить основой для разработки специализированных методик квалификации уровня безопасности, ориентированных на различные области применения и классы ИТ-продуктов.
