Embed Size (px)
DESCRIPTION
Доклад с Infosecurity Russia-2013 "Сертификация по новым парвилам ФСТЭК России: что требуется от разработчика?"
Citation preview
Сертификация по новым правилам ФСТЭК России: что требуется от разработчика?
Александр Барабанов, CISSP, CSSLPДиректор департамента сертификации и тестирования
2
Что такое ИФБО?
Где взять проект
нижнего уровня?
Что они от меня
хотят?
Что такое «ИФБО» и
«ФТБ»?
Что они от меня
хотят?
Зачем им мой
исходный текст?
Где взять проект
нижнего уровня?
Как измерить глубину
тестирования?Когда же это
кончится!?
Новые правила ФСТЭК России в области сертификации
3
Новые правила ФСТЭК России в области сертификации
4
Предъявляемые требования безопасности
5
Функциональные требования безопасности
Требования доверия к безопасности
ASE: «Задание по безопасности»
6
Объект оценки
Содержит краткую спецификацию объекта оценки
Содержит описание того, как объект
оценки удовлетворяет требованиям безопасности
ADV_FSP: «Функциональная спецификация»
7
Объект оценки
ИФБО#1
ИФБО#n
Как работать с объектом оценки?.
.
.
ADV_HLD: «Проект верхнего уровня»
8
Объект оценки
ИФБО#1
ИФБО#n
Подсистема#1
Подсистема#k
Как подсистемы объекта оценки
выполняют требования
безопасности?
.
.
.
ADV_LLD: «Проект нижнего уровня»
9
Объект оценки
ИФБО#1
ИФБО#n
Модуль#1
Модуль#2
Модуль#p
Как модули объекта оценки выполняют
требования безопасности?
.
.
.
ADV_IMP: «Представление реализации»
10
Объект оценки
ИФБО#1
ИФБО#n
Как исходные тексты объекта оценки
выполняют требования
безопасности?
SRC#1
SRC#2
SRC#w
.
.
.
ATE_FUN: «Функциональное тестирование»
11
план тестирования тестовые процедуры фактические результаты
тестирования
Тест#m
Тест#2
ATE_COV: «Анализ покрытия»
12
ИФБО#1
ИФБО#2
ИФБО#k
Тест#1
Тест#m
Тест#2
ATE_COV: «Анализ покрытия»
13
ИФБО#1
ИФБО#2
ИФБО#k
Тест#1
ATE_DPT: «Анализ глубины»
14
Подсистема#1
Подсистема#2
Подсистема#k
Тест#m
Тест#2
Тест#1
ATE_DPT: «Анализ глубины»
15
Подсистема#1
Подсистема#2
Подсистема#k
Тест#m
Тест#2
Тест#1
AVA: «Оценка уязвимостей»
16
анализ уязвимостей и документирование результатов
демонстрация того, что ни одна из уязвимостей не может быть использована в предполагаемой среде объекта оценки
ACM: «Управление конфигурацией»
17
маркировка элементов объекта оценки эксплуатационная документация на
систему управления конфигурацией описание методов идентификации
элементов конфигурации план управления конфигурацией и план
приемки список элементов конфигурации
ALC: «Поддержка жизненного цикла»
18
физический и логический контроль доступа
политика безопасности в отношении посетителей
резервное копирование защита от утечек информации обучение персонала процедуры найма/увольнения
ADO: «Поставка и эксплуатация»
19
процедуры поставки объекта оценки или его частей пользователю
процедуры, необходимые для безопасной установки, генерации и запуска объекта оценки
AGD: «Руководства»
20
описание функций администрирования и интерфейсов, доступных администратору (пользователю) объекту оценки
описание всех параметров безопасности, контролируемых администратором
организация инфраструктуры распространения обновлений
анализ влияния обновлений на безопасность
AMA:«Анализ влияния обновлений»
21
Полезные ресурсы
22
