Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Приказ ФСТЭК России № 76 от 02.06.2020

Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (выписка)

4. Требования к проведению испытаний средства

Для проведения оценки соответствия по документу войдите в систему.

Список требований

4. Требования к проведению испытаний средства
17. В отношении средства должны быть проведены испытания, предусматривающие:
тестирование средства;
испытания по выявлению уязвимостей и недекларированных возможностей средства;
проведение анализа скрытых каналов в средстве.
Тестирование и анализ скрытых каналов проводятся только для средств защиты информации.
Тестирование, испытания по выявлению уязвимостей и недекларированных возможностей, а также анализ скрытых каналов проводятся изготовителем в ходе приемочных испытаний средства и испытательной лабораторией в ходе сертификационных испытаний средства.
18. К тестированию средства предъявляются следующие требования:
18.1. Тестовая документация на средство, соответствующее 6 уровню доверия, должна включать:
план тестирования, содержащий тесты, которые необходимо выполнить, описание сценариев проведения каждого теста, учитывающее зависимости последовательности выполнения тестов от результатов других тестов, описание ресурсов, необходимых для проведения тестирования;
описание сопоставления тестов с интерфейсами функций безопасности средства, описанными в функциональной спецификации, демонстрирующее их полное покрытие тестами;
описание ожидаемых результатов тестирования, свидетельствующих об успешности выполнения тестов;
описание фактических результатов тестирования, их сопоставление с ожидаемыми результатами тестирования и на его основе – выводы об успешности тестов.
18.2. Тестовая документация на средство, соответствующее 5 уровню доверия, наряду с требованиями, установленными пунктом 18.1 настоящих Требований, должна включать описание сопоставления тестов с подсистемами средства, описанными в эскизном проекте, демонстрирующее их полное покрытие тестами.
При проведении тестирования средства проводится оценка влияния на подсистемы средства, реализующие функции безопасности, иных подсистем средства.
18.3. Тестовая документация на средство, соответствующее 4 уровню доверия, наряду с требованиями, установленными пунктами 18.1 и 18.2 настоящих Требований, должна включать описание сопоставления тестов с модулями средства, реализующими функции безопасности и описанными в техническом проекте, демонстрирующее полное покрытие тестами функций безопасности.
При проведении тестирования средства проводится оценка влияния на модули средства, реализующие функции безопасности, иных модулей средства.
19. К испытаниям по выявлению уязвимостей и недекларированных возможностей средства предъявляются следующие требования:
19.1. Испытания программного обеспечения средства, соответствующего 6 уровню доверия, должны быть проведены по 6 уровню контроля.
Для аппаратной платформы программно-технического средства должна быть выполнена проверка перечня аппаратных устройств (микросхем), которые влияют на выполнение функций безопасности и (или) могут быть использованы для реализации угроз безопасности информации.
19.2. Испытания программного обеспечения средства, соответствующего 5 уровню доверия, должны быть проведены по 5 уровню контроля.
Для аппаратной платформы программно-технического средства наряду с требованиями, установленными пунктом 19.1 настоящих Требований, должна быть выполнена проверка соответствия аппаратной платформы её структурной и функциональной схемам, а также сведениям, приведенным в формуляре средства.
19.3. Испытания программного обеспечения средства, соответствующего 4 уровню доверия, должны быть проведены по 4 уровню контроля.
Для аппаратной платформы программно-технического средства наряду с требованиями, установленными пунктами 19.1 и 19.2 настоящих Требований, должна быть выполнена проверка:
- соответствия элементов (компонентов) аппаратной платформы структурной и функциональной схеме элементов (компонентов) аппаратной платформы средства;
- потенциально опасных элементов (компонентов), входящих в состав аппаратной платформы, которые влияют на выполнение функций безопасности и (или) могут быть использованы для реализации угроз безопасности информации.
20. К проведению анализа скрытых каналов в средстве предъявляются следующие требования:
20.1. Требования к проведению анализа скрытых каналов в средстве, соответствующем 6 и 5 уровню доверия, не предъявляются.
20.2. В средстве, соответствующем 4 уровню доверия, должны быть проведены идентификация и анализ скрытых каналов по памяти, основанных на использовании ресурсов памяти, в которые записывается защищаемая информация (сокрытие информации в структурированных и неструктурированных данных) и которые не учитываются разработчиками системы защиты информации информационной (автоматизированной) системы и не выявляются применяемыми средствами защиты информации.
Анализ идентифицированных типов скрытых каналов должен включать:
оценку потенциальной пропускной способности идентифицированных скрытых каналов с использованием формальных (математических), технических методов и (или) методов моделирования;
разработку требований для среды функционирования средства с целью ограничения, мониторинга, полного или частичного устранения идентифицированных скрытых каналов, которые могут возникнуть в информационных (автоматизированных) системах вследствие использования в них средства.
Документация анализа скрытых каналов должна включать:
идентификацию скрытых каналов (если скрытые каналы выявлены);
оценку пропускной способности идентифицированных скрытых каналов (если скрытые каналы выявлены);
описание процедур, использованных для вынесения заключения о существовании и (или) отсутствии скрытых каналов, и информацию, использованную при анализе скрытых каналов;
описание предположений (быстродействие процессора, системная конфигурация, объем памяти и (или) иных), сделанных при анализе скрытых каналов;
описание способа, использованного для оценки пропускной способности канала для наиболее опасного сценария (если скрытые каналы выявлены);
описание наиболее опасного сценария использования каждого идентифицированного скрытого канала (если скрытые каналы выявлены);
сведения о включении в функциональную спецификацию и эскизный проект описания механизмов средства, направленных на ограничение, мониторинг, полное или частичное устранение идентифицированных скрытых каналов, которые могут возникнуть в информационных (автоматизированных) системах вследствие использования в них средства (если скрытые каналы выявлены и требуются соответствующие механизмы средства);
сведения о включении в руководство администратора и (или) руководство пользователя требований для среды функционирования средства с целью ограничения, мониторинга, полного или частичного устранения идентифицированных скрытых каналов, которые могут возникнуть в информационных (автоматизированных) системах вследствие использования в них средства (если скрытые каналы выявлены).

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.