Сертификация по новым
правилам ФСТЭК России:
что требуется от разработчика?
Александр Барабанов, CISSP, CSSLP
Директор департамента сертификации и
тестирования

2
Что такое
ИФБО?
Где взять
проект
нижнего
уровня?
Что они от
меня
хотят?
Что такое
«ИФБО» и
«ФТБ»?
Что они от
меня
хотят?
Зачем им
мой
исходный
текст?
Где взять
проект
нижнего
уровня?
Как измерить
глубину
тестирования?Когда же
это
кончится!?

Новые правила ФСТЭК России в области
сертификации
3

Новые правила ФСТЭК России в области
сертификации
4

Предъявляемые требования безопасности
5
Функциональные
требования безопасности
Требования доверия к
безопасности

ASE:
«Задание по безопасности»
6
Объект оценки
Содержит краткую
спецификацию
объекта оценки
Содержит описание
того, как объект
оценки удовлетворяет
требованиям
безопасности

ADV_FSP:
«Функциональная спецификация»
7
Объект оценки
ИФБО#1
ИФБО#n
Как работать с
объектом оценки?
.
.
.

ADV_HLD:
«Проект верхнего уровня»
8
Объект оценки
ИФБО#1
ИФБО#n
Подсистема#1
Подсистема#k
Как подсистемы
объекта оценки
выполняют
требования
безопасности?
.
.
.

ADV_LLD:
«Проект нижнего уровня»
9
Объект оценки
ИФБО#1
ИФБО#n
Модуль#1
Модуль#2
Модуль#p
Как модули объекта
оценки выполняют
требования
безопасности?
.
.
.

ADV_IMP:
«Представление реализации»
10
Объект оценки
ИФБО#1
ИФБО#n
Как исходные тексты
объекта оценки
выполняют
требования
безопасности?
SRC#1
SRC#2
SRC#w
.
.
.

ATE_FUN:
«Функциональное тестирование»
11
 план тестирования
 тестовые процедуры
 фактические результаты
тестирования

Тест#m
Тест#2
ATE_COV:
«Анализ покрытия»
12
ИФБО#1
ИФБО#2
ИФБО#k
Тест#1

Тест#m
Тест#2
ATE_COV:
«Анализ покрытия»
13
ИФБО#1
ИФБО#2
ИФБО#k
Тест#1

ATE_DPT:
«Анализ глубины»
14
Подсистема#1
Подсистема#2
Подсистема#k
Тест#m
Тест#2
Тест#1

ATE_DPT:
«Анализ глубины»
15
Подсистема#1
Подсистема#2
Подсистема#k
Тест#m
Тест#2
Тест#1

AVA:
«Оценка уязвимостей»
16
 анализ уязвимостей и
документирование результатов
 демонстрация того, что ни одна из
уязвимостей не может быть
использована в предполагаемой
среде объекта оценки

ACM:
«Управление конфигурацией»
17
 маркировка элементов объекта оценки
 эксплуатационная документация на
систему управления конфигурацией
 описание методов идентификации
элементов конфигурации
 план управления конфигурацией и план
приемки
 список элементов конфигурации

ALC:
«Поддержка жизненного цикла»
18
 физический и логический
контроль доступа
 политика безопасности в
отношении посетителей
 резервное копирование
 защита от утечек информации
 обучение персонала
 процедуры найма/увольнения

ADO:
«Поставка и эксплуатация»
19
 процедуры поставки объекта оценки
или его частей пользователю
 процедуры, необходимые для
безопасной установки, генерации и
запуска объекта оценки

AGD:
«Руководства»
20
 описание функций администрирования
и интерфейсов, доступных
администратору (пользователю) объекту
оценки
 описание всех параметров
безопасности, контролируемых
администратором

 организация инфраструктуры
распространения обновлений
 анализ влияния обновлений
на безопасность
AMA:
«Анализ влияния обновлений»
21

Полезные ресурсы
22

Александр Барабанов
E-mail: a.barabanov@npo-echelon.ru
Тел.: +7(495) 645-38-09