19. Оценочные уровни доверия.

Пакет компонентов доверия из части 3 общих критериев, представляющий некоторое положение на предопределенной в общих критериях шкале доверия

(ОУД1) – предусматривающий функциональное тестирование

(ОУД2) – предусматривающий структурное тестирование

(ОУД3) – предусматривающий методическое тестирование и проверку

(ОУД4) – === методическое проектирование, тестирование и углубленную проверку

(ОУД5) – === полуформальное проектирование и тестирование

(ОУД6) – === полуформальную верификацию проекта и тестирование

(ОУД7) – === формальную верификацию проекта и тестирование

Каждый следующий ОУД = предыдущий ОУД+дополнительные компоненты и/или ужесточение старых из предыдущего ОУДа

20. Структура функциональных требований.

Класс – семейство – компонент – элемент

Классы представляют собой наиболее общее группирование требований безопасности, и все составляющие класса имеют общую направленность. Каждый класс включает ряд семейств. Требования в пределах каждого семейства направлены на достижение одних и тех же целей безопасности, но отличаются акцентами или строгостью. Каждое семейство содержит один или несколько компонентов, которые могут находиться в иерархической связи либо быть неиерархическими по отношению друг к другу.

21. Различия между «ок» и рд гостехкомиссии россии.

(имеется в иду руководящий документ безопасность информационных технологий - Критерии оценки безопасности информационных технологий): Это один и тот же документ. 

Система сертификации Гостехкомиссии/ФСТЭК имеет право проводить сертификацию только на соответствие руководящим документам Гостехкомиссии/ФСТЭК. Поэтому одновременно с принятием ГОСТ 15408 в качестве национального стандарта, он был утвержден в качестве руковолящего документа Гостехкомиссии. Поэтому в документе, опубликованном на сайте ФСТЭК у него двойной титульный лист.

22. Классы функциональных требований.

Первая группа определяет элементарные сервисы безопасности:

1. FAU — аудит, безопасность (требования к сервису, протоколирование и аудит);

2. FIA — идентификация и аутентификация;

3. FRU — использование ресурсов (для обеспечения отказоустойчивости).

Вторая группа описывает производные сервисы, реализованные на базе элементарных:

4. FCO — связь (безопасность коммуникаций отправитель-получатель);

5. FPR — приватность;

6. FDP — защита данных пользователя;

7. FPT — защита функций безопасности объекта оценки.

Третья группа классов связана с инфраструктурой объекта оценки:

8. FCS — криптографическая поддержка (обслуживает управление криптоключами и крипто-операциями);

9. FMT — управление безопасностью;

10. FTA — доступ к объекту оценки (управление сеансами работы пользователей);

11. FTP — доверенный маршрут/канал;

23. Классы требований доверия.

Первая группа содержит классы требований, предшествующих разработке и оценки объекта:

1. APE — оценка профиля защиты;

2. ASE — оценка задания по безопасности.

Вторая группа связана с этапами жизненного цикла объекта аттестации:

3. ADV — разработка, проектирование объекта;

4. ALC — поддержка жизненного цикла;

5. ACM — управление конфигурацией;

6. AGD — руководство администратора и пользователя;

7. ATE — тестирование;

8. AVA — оценка уязвимостей;

9. ADO — требования к поставке и эксплуатации;

10. АMA — поддержка доверия-требования, применяется после сертификации объекта на соответствие общим критериям.