тестирования оценщик играет роль злоумышленника, мотивированно-
го на нарушение информационной безопасности.
Методические рекомендации по оптимизации процедуры
оценки соответствия.
Трудоемкость испытаний СЗИ по линии ОК
связана, в первую очередь, с ростом числа разрабатываемых докумен-
тов и дополнительных действий по оценке, выполняемых испытатель-
ной лабораторией. В данном случае задача оптимизации процедуры
оценки ОО может быть сформулирована следующим образом.
Пусть
τ
:
E
×
Σ
→
N
0
— время, затрачиваемое оценщиками на
выполнение проверки ОО
Σ
с использованием действия оценщика
e
(
i
)
j
.
Будем считать, что отображение вида
G
:
C
×
Σ
→
N
0
представляет
затраты на проведение оценки ОО
Σ
требованиям
C
.
Решение задачи оптимизации может быть определено как получе-
ние минимума времени тестирования при ограничениях на затраты:
P
i
P
j
τ e
(
i
)
j
,
Σ
→
min;
P
i
G
(
c
i
,
Σ)
≤
G
M
,
где
G
M
— ограничения, накладываемые на затраты.
Опыт проведения сертификационных испытаний СЗИ позволил
определить ряд методических рекомендаций, существенно снижаю-
щих затраты на оценку соответствия, например (табл. 2) [8, 9]: совме-
щением проверок; использованием выборочного контроля, комбина-
торного покрытия и средств автоматизации.
При проведении независимого функционального тестирования ре-
комендуется выполнять совмещение некоторых видов испытаний. На-
пример, процедура тестирования подсистемы регистрации событий
может быть совмещена с процедурой тестирования подсистемы раз-
граничения доступа и идентификации/аутентификации [6].
Существенное сокращение работ может быть достигнуто при обо-
сновании возможности проведения выборочного контроля, который
позволяет применить процедуру проверки менее чем к 100%-ной со-
вокупности контролируемых элементов (например, свидетельств раз-
работчика, тестируемых функций безопасности). При использовании
методов выборочного контроля необходимо установить приоритеты
проверяемых требований в целях дальнейшего определения необхо-
димого числа тестируемых объектов [10].
Для сокращения временн ´ых затрат и повышения качества отчетных
материалов при проведении испытаний необходимо использовать про-
граммные средства, позволяющие автоматизировать рутинные проце-
дуры оценки соответствия. Для независимого тестирования можно ис-
пользовать как инструментальные средства, широко представленные
на современном рынке программного обеспечения, так и программы
собственной разработки, написанные на языках сценариев (например,
54 ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2013. № 2
