Как построить защищенную информационную систему. КнигаРефераты >> Программирование и компьютеры >> Как построить защищенную информационную систему. Книга
Управление конфигурацией в процессе разработки
В ходе создания системы разработчик должен использовать средства управления конфигурацией.
Средства управления конфигурацией должны контролировать вес изменения, вносимые в ходе разработки в аппаратное и специальное обеспечение, в исходные тексты и объектный код программ, а также в документацию.
Средства управления конфигурацией должны обеспечивать полное соответствие между комплектом документации и текущей версией ТСВ.
3. Контроль процесса разработки
Разработка спецификаций.
Разработчик обязан описать все функциональные возможности компьютерной системы в виде функциональных спецификаций.
Функциональные спецификации должны содержать неформальное описание реализуемой политики безопасности включающее описание всех функций защиты, реализованных в ТСВ.
Разработка архитектуры
Разработчик обязан составить неформальное описание архитектуру компьютерной системы.
Описание архитектуры компьютерной системы должно включать описание всех компонентов ТСВ.
Описание архитектуры должно включать интерфейс взаимодействия ТСВ с остальными компонентами компьютерной системы.
Описание архитектуры должно включать описание всех функций защиты, реализованных аппаратными, программными и специальными компонентами ТСВ.
Разработчик должен обеспечить полное соответствие между архитектурой системы и политикой безопасности.
Создание рабочего проекта.
Разработчик обязан составить неформальное описание рабочего проекта ТСВ.
Рабочий проект должен содержать описание всех компонентов ТСВ и подробно описывать механизмы функционирования всех функций, критичных с точки зрения безопасности.
Должны быть описаны назначение и параметры интерфейсов компонентов ТСВ, критичных с точки зрения безопасности.
Реализация.
Для данного уровня требования этою раздела не предъявляются.
4. Поставка и сопровождение
Разработчик в комплекте с системой должен предоставлять средства ее инсталляции, генерации и запуска.
Разработчик должен определить и документировать все параметры компьютерной системы, используемые для ее настройки системы в ходе инсталляции, генерации и запуска.
5. Документация
Руководство по безопасности для пользованная.
Разработчик должен включить в состав документации на компьютерную систему руководство по безопасности для пользователя в виде обзора или раздела в общей документации либо отдельного руководства. Руководство по безопасности для пользователя должно содержать описание возможностей компьютерной системы по обеспечению безопасности и принципов работы рядового пользователя со средствами защиты.
В руководстве пользователя также должно быть описано взаимодействие между отдельными подсистемами обеспечения безопасности.
Руководство администратора безопасности.
Разработчик должен включить в состав документации на компьютерную систему руководство администратора безопасности в виде обзора или раздела в общей документации либо отдельного руководства. Руководство администратора безопасности должно содержать описание возможное! ей администрирования средств защиты.
Руководство администратора безопасности должно содержать описание взаимодействия отдельных средств защиты с точки зрения их администрирования.
Руководство администратора безопасности должно содержать описание процесса инсталляции, генерации и запуска системы с точки зрения обеспечения безопасности.
Руководство администратора безопасности должно содержать описание всех параметров компьютерной системы, используемых для ее настройки в ходе инсталляции, генерации и запуска, с точки зрения обеспечения безопасности.
6. Тестирование безопасности
Разработчик должен предоставить методику тестирования безопасности системы, сценарий проведения испытаний и средства тестирования. Полно га набора тестов безопасности системы должна быть обоснована.
Разработчик должен представить доказательства проведения тестирования безопасности системы в виде подробного описания результатов проведенных тестов в соответствии с методикой тестирования.
• Уровень Т-2.
1. Архитектура
Без изменений
2. Среда разработки
Процесс разработки. Без изменений.
Управление конфигурацией в процессе разработки. Без изменений.
3. Контроль процесса разработки
Разработка спецификации.
Дополнение. Функциональные спецификации должны включать неформальное описание модели безопасности.
Дополнение. Разработчик должен обеспечить полное соответствие между моделью безопасности и реализованной политикой безопасности и показать, что модель безопасности полностью обеспечивает политику безопасности
Разработка архитектуры.
Изменение. Разработчик должен обеспечить полное соответствие между архитектурой системы и моделью безопасности.
Создание рабочего проекта.
Изменение. Рабочий проект должен содержать описание всех компонентов ТСВ и подробно описывать механизмы функционирования всех функций ТСВ.
Изменение. Должны быть описаны назначение и параметры интерфейсов всех компонентов ТСВ.
Дополнение. Разработчик должен обеспечить полное соответствие между архитектурой системы и рабочим проектом. Реализация. Для данного уровня требования этого раздела не предъявляются.
4. Поставка и сопровождение
Без изменений.
5. Документация
Руководство но безопасности для пользователя. Без изменений.
Руководство администратора безопасности. Без изменений.
6. Тестирование безопасности
Дополнение. Разработчик должен исправить или нейтрализовать все обнаруженные в ходе тестирования ошибки, после чего провести повторное тестирование ТСВ для подтверждения того, что обнаруженные ошибки ликвидированы и при этом не внесены новые.
•Уровень Т-3.
1. Архитектура
Дополнение. ТСВ должна быть структурирована в виде набора независимых компонентов.
2. Среда разработки
Процесс разработки.
Дополнение. Разработчик должен указать использованные в ходе разработки стандарты программирования и показать, что исходные тексты программного обеспечения соответствуют этим стандартам.
Дополнение. Разработчик должен указать использованные в ходе разработки языки программирования, и внести в документацию все зависимости программного обеспечения от реализации языков программирования и используемых компиляторов.
Управление конфигурацией в процессе разработки.
Изменение. Средства управления конфигурацией должны контролирован» вес изменения, вносимые в ходе разработки в аппаратное и специальное обеспечение, в исходные тексты и объектный код программ, а также в документацию и в компиляторы, используемые для трансляции исходных текстов.
3. Контроль процесса разработки
Разработка спецификаций.
Изменение. Функциональные спецификации должны включать полуформальное описание модели безопасности.
Разработка архитектуры.
Изменение. Разработчик обязан составить полуформальное описание архитектуры компьютерной системы.
