perl или python), для анализа уязвимостей — сканеры безопасности,
для документирования — программы типа Doxygen, для проведения
анализа исходных текстов — анализаторы безопасности кода [7].
Таблица 2
Методические рекомендации по оптимизации оценки соответствия
Наименование метода
Семейство требований доверия
Совмещение отдельных ви-
дов испытаний
Независимое тестирование (ATE_IND)
Метод выборочного контроля Представление реализации (ADV_IMP)
Внутренняя структура ФБО (ADV_INT)
Возможности управления конфигурацией
(ALC_CMC)
Функциональное тестирование (ATE_FUN)
Независимое тестирование (ATE_IND)
Анализ уязвимостей (AVA_VAN)
Использование программных
средств при проведении
функционального тестирова-
ния
Независимое тестирование (ATE_IND)
Анализ уязвимостей (AVA_VAN)
Метод комбинаторного по-
крытия
Независимое тестирование (ATE_IND)
Использование систем доку-
ментирования исходных тек-
стов
Представление реализации (ADV_IMP)
Использование средства ана-
лиза исходных текстов про-
граммного обеспечения
Представление реализации (ADV_IMP)
Средства поиска уязвимостей Анализ уязвимостей (AVA_VAN)
При инспекционном контроле сертифицированного ОО повторно-
му анализу (например, в ходе выполнения независимого тестирования
ATE_IND или анализа представления реализации ADV_IMP) могут
подвергаться программные модули, измененные в ходе доработок. Не-
изменность программных модулей ОО может контролироваться испы-
тательной лабораторией при использовании механизма электронно-
цифровой подписи.
Следует отметить, что все рассмотренные методические приемы
прошли апробацию в аккредитованной испытательной лаборатории,
подтвердившую их эффективность [6, 8, 9].
Заключение.
Рассмотренные в работе особенности процедуры
оценки соответствия СЗИ требованиям высших ОУД показали, что,
несмотря на все достоинства методологии ОК, очевидна сложность
внедрения данного подхода как для разработчиков, так и для испы-
тательных лабораторий. В целях повышения эффективности решения
задачи оценки соответствия СЗИ разработаны формальное описание
и критерии оценочных действий.
ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2013. № 2 55
