LINEBURG


<< Пред. стр.

страница 17
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>

8.5.1.1 Цели
Цель данного подвида деятельности – сделать заключение, является ли документация
669

функциональных тестов разработчика достаточной для демонстрации того, что функции
безопасности выполняются в соответствии со спецификациями.
8.5.1.2 Замечания по применению


115
Степень требуемого покрытия ФБО тестовой документацией зависит от соответствующего
670

компонента доверия, связанного с покрытием тестами.
Для представленных тестов разработчика оценщик делает заключение, являются ли тесты
671

повторимыми, и определяет степень возможности использования тестов разработчика при
проведении оценщиком независимого тестирования. Любую функцию безопасности, для
которой результаты тестирования разработчиком указывают, что она может не
выполняться в соответствии со спецификациями, оценщику следует подвергнуть
независимому тестированию, чтобы сделать заключение, выполняется ли она в
соответствии со спецификациями или нет.
8.5.1.3 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
672

a) ЗБ;
б) функциональная спецификация;
в) тестовая документация;
г) процедуры тестирования.
8.5.1.4 Действия оценщика
Этот подвид деятельности включает один элемент действий оценщика из части 3 ОК:
673

а) ATE_FUN.1.1E.
8.5.1.4.1 Действие ATE_FUN.1.1E
ATE_FUN.1.1C
ATE_FUN.1-1 Оценщик должен проверить, что тестовая документация включает планы
тестирования, описание процедур тестирования, ожидаемые результаты
тестирования и фактические результаты тестирования.
ATE_FUN.1.2C
ATE_FUN.1-2 Оценщик должен проверить, что в плане тестирования идентифицированы
подлежащие тестированию функции безопасности.
Одним из методов, который может быть использован для идентификации проверяемой
674

функции безопасности, является ссылка на соответствующую часть (части)
функциональной спецификации, в которой определена конкретная функция безопасности.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
675

Руководство по выборке см. в подразделе 10.2.
676

ATE_FUN.1-3 Оценщик должен исследовать план тестирования, чтобы сделать заключение,
содержит ли он описание целей выполняемых тестов.
План тестирования предоставляет информацию о том, каким образом тестируются функции
677

безопасности, а также информацию о тестируемой конфигурации ОО, используемой при
проведении тестирования.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
678

Руководство по выборке см. в подразделе 10.2.
679

ATE_FUN.1-4 Оценщик должен исследовать план тестирования, чтобы сделать заключение,
согласована ли тестируемая конфигурация ОО с той конфигурацией, которая
идентифицирована для оценки в ЗБ.
ОО, упомянутый в плане тестирования разработчика, должен иметь ту же самую
680

уникальную маркировку, которая установлена системой УК.


116
В ЗБ может быть определено несколько подлежащих оценке конфигураций. ОО может
681

состоять из ряда различных аппаратных и программных реализаций, которые подлежат
тестированию на соответствие ЗБ. Оценщик верифицирует, что в тестовой документации
разработчика определены тестируемые конфигурации, и они согласованы соответственно с
каждой из оцениваемых конфигураций, описанных в ЗБ.
Оценщику следует рассмотреть описанные в ЗБ предположения относительно аспектов
682

безопасности среды ОО, которые могут касаться среды тестирования. В ЗБ могут быть и
другие предположения, которые не касаются среды тестирования. Например,
предположение относительно допусков пользователей может не касаться среды
тестирования, однако, предположение относительно единой точки подключения к сети, как
правило, касается среды тестирования.
ATE_FUN.1-5 Оценщик должен исследовать план тестирования, чтобы сделать заключение,
согласован ли он с описанием процедур тестирования.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
683

Руководство по выборке см. в подразделе 10.2.
684

Руководство по анализу непротиворечивости см. в подразделе 10.3.
685

ATE_FUN.1.3C
ATE_FUN.1-6 Оценщик должен проверить, что в описании процедур тестирования
идентифицирован каждый из подлежащих тестированию режимов выполнения
функций безопасности.
Одним из методов, который может использоваться для идентификации подлежащего
686

тестированию режима выполнения функции безопасности, является ссылка на
соответствующую часть (части) спецификации проекта, которая определяет конкретный
подлежащий тестированию режим выполнения функции безопасности.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
687

Руководство по выборке см. в подразделе 10.2.
688

ATE_FUN.1-7 Оценщик должен исследовать описание процедур тестирования, чтобы сделать
заключение, представлены ли достаточные инструкции для того, чтобы
установить воспроизводимые начальные условия выполнения тестов, включая
зависимости, связанные с порядком следования, при их наличии.
Для того чтобы установить начальные условия выполнения тестов, возможно, потребуется
689

выполнить некоторые шаги. Например, необходимо добавить учетные записи
пользователей прежде, чем их можно будет удалить. Пример зависимостей, связанных с
порядком следования тестов, от результатов других тестов – необходимость тестирования
функции аудита прежде, чем полагаться на нее при создании записей аудита для другого
механизма безопасности, такого как управления доступом. Другой пример зависимости,
связанной с порядком следования тестов, – при выполнении одного теста генерируется
файл данных, используемых в качестве исходных данных для набора других тестов.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
690

Руководство по выборке см. в подразделе 10.2.
691

ATE_FUN.1-8 Оценщик должен исследовать описание процедур тестирования, чтобы сделать
заключение, представлены ли достаточные инструкции для того, чтобы иметь
воспроизводимый способ инициирования выполнения функций безопасности и
наблюдения за режимом их выполнения.


117
Инициирующее воздействие обычно обеспечивается внешним по отношению к функции
692

безопасности способом через ИФБО. После того, как входные данные (инициирующее
воздействие) предоставлены ИФБО, через ИФБО можно наблюдать режим выполнения
функции безопасности. Воспроизводимость не обеспечивается, если процедуры
тестирования не содержат достаточных подробностей для однозначного описания
инициирующего воздействия и режима выполнения, ожидаемого в результате
инициирующего воздействия.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
693

Руководство по выборке см. в подразделе 10.2.
694

ATE_FUN.1-9 Оценщик должен исследовать описание процедур тестирования, чтобы сделать
заключение об их согласованности с процедурами тестирования.
Если описание процедур тестирования – это собственно процедуры тестирования, то
695

рассматриваемый шаг оценивания не применяется.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
696

Руководство по выборке см. в подразделе 10.2. Руководство по анализу
697

непротиворечивости см. в подразделе 10.3.
ATE_FUN.1.4C
ATE_FUN.1-10 Оценщик должен исследовать тестовую документацию, чтобы сделать
заключение о достаточности включенных в нее ожидаемых результатов
выполнения тестов.
Ожидаемые результаты тестирования необходимы, чтобы сделать заключение,
698

действительно ли тест был успешно выполнен. Описание ожидаемых результатов
тестирования достаточно, если оно однозначно и согласуется с ожидаемым режимом
выполнения ФБО, обусловленным подходом к тестированию.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
699

Руководство по выборке см. в подразделе 10.2.
700

ATE_FUN.1.5C
ATE_FUN.1-11 Оценщик должен проверить, что ожидаемые результаты тестирования в
тестовой документации согласуются с представленными фактическими
результатами тестирования.
Сравнение представленных разработчиком фактических и ожидаемых результатов
701

тестирования выявит какие бы то ни было несоответствия результатов.
Может оказаться, что непосредственное сравнение фактических результатов не может быть
702

сделано до того, как сначала будет выполнено некоторое преобразование или синтез
данных. В подобных случаях в тестовой документации разработчика должен быть описан
процесс преобразования или синтеза фактических данных.
Например, разработчику может потребоваться проверить содержимое буфера сообщений
703

после того, как имело место сетевое соединение, чтобы определить содержимое буфера.
Буфер сообщения будет содержать бинарную последовательность. Эта бинарная
последовательность, как правило, преобразуется в другую форму представления данных,
чтобы сделать тест более содержательным. Преобразование этого бинарного представления
данных в представление более высокого уровня должно быть достаточно подробно описано
разработчиком, чтобы позволить оценщику выполнить процесс преобразования (то есть,



118
необходимо описать, используется синхронный или асинхронный метод передачи данных,
число стоповых битов, битов четности и т.д.).
Следует отметить, что описание процесса, использовавшегося для преобразования или
704

синтеза фактических данных, используется оценщиком не для того, чтобы фактически
исполнить необходимую модификацию, а для того, чтобы оценить корректность этого
процесса. Преобразование ожидаемых результатов тестирования в формат, позволяющий
их легко сравнивать с фактическими результатами тестов, возлагается на разработчика.
Для выполнения данного шага оценивания оценщик может избрать стратегию выборки.
705

Руководство по выборке см. в подразделе 10.2.
706

Если ожидаемые и фактические результаты тестирования для любого теста не совпадают,
707

то правильность выполнения функции безопасности не продемонстрирована. Такая
ситуация окажет влияние на усилия оценщика по независимому тестированию,
выражающееся в необходимости тестирования соответствующей функции безопасности.
Оценщику также следует рассмотреть вопрос об увеличении выборки свидетельств, на
основе которых выполняется рассматриваемый шаг оценивания.
ATE_FUN.1-12 Оценщик должен привести в отчете информацию об усилиях разработчика по
тестированию, выделив подход к тестированию, конфигурацию, глубину
тестирования, покрытие тестами и результаты тестирования.
Информация о тестировании разработчиком, зафиксированная в ТОО, позволяет оценщику
708

передать общий подход к тестированию и усилия, затраченные разработчиком на
тестирование ОО. Смысл предоставления этой информации состоит в том, чтобы дать
содержательный краткий обзор усилий разработчика по тестированию. Не имеет смысла,
чтобы информация о тестировании разработчиком в ТОО была точной копией конкретных
шагов тестирования или результатов отдельных тестов. Целью является предоставить
достаточные подробности, что позволит другим оценщикам и сотрудникам органа по
сертификации получить некоторое понимание относительно подхода разработчика к
тестированию, объема выполненного тестирования, тестируемых конфигураций ОО и
общих результатов тестирования разработчиком.
Информация об усилиях разработчика по тестированию, которую обычно можно найти в
709

соответствующем разделе ТОО, включает:
а) тестируемые конфигурации ОО. Конкретные конфигурации ОО, которые тестировались;
б) подход к тестированию. Описание общей стратегии тестирования, которую применил
разработчик;
в) объем тестирования, выполненного разработчиком. Описание степени покрытия тестами
и глубины тестирования разработчиком;
г) результаты тестирования. Описание общих результатов тестирования разработчиком.
Данный перечень ни в коем случае не является исчерпывающим и предназначен только для
710

того, чтобы дать некоторое представление о типе информации, связанной с усилиями
разработчика по тестированию, которую следует представить в ТОО.

8.6 Оценка путем независимого тестирования
8.6.1 Подвид деятельности ATE_IND.1
8.6.1.1 Цели


119
Цель данного подвида деятельности состоит в том, чтобы путем независимого
711

тестирования подмножества ФБО сделать заключение, выполняются ли ФБО в
соответствии со спецификациями.
8.6.1.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
712

а) ЗБ;
б) функциональная спецификация;
в) руководство пользователя;
г) руководство администратора;
д) процедуры безопасной установки, генерации и запуска;
е) ОО, пригодный для тестирования.
8.6.1.3 Действия оценщика
Этот подвид деятельности включает два элемента действий оценщика из части 3 ОК:
713

а) ATE_IND.1.1E;
б) ATE_IND.1.2E.
8.6.1.3.1 Действие ATE_IND.1.1E
ATE_IND.1.1C
ATE_IND.1-1 Оценщик должен исследовать ОО, чтобы сделать заключение, согласуется ли
тестируемая конфигурация с оцениваемой конфигурацией, определенной в ЗБ.
ОО, используемый оценщиком для тестирования, должен иметь ту же самую уникальную
714

маркировку, которая установлена системой УК.
В ЗБ может быть определено более одной подлежащих оценке конфигураций. ОО может
715

состоять из ряда различных аппаратных и программных реализаций, которые подлежат
тестированию в соответствии с ЗБ. Тестируемые оценщиком конфигурации ОО должны
быть согласованы соответственно с каждой из оцениваемых конфигураций, описанных в
ЗБ.
Оценщику следует рассмотреть описанные в ЗБ предположения относительно аспектов
716

безопасности среды ОО, которые могут относиться к среде тестирования. В ЗБ могут быть
и другие предположения, которые не относятся к среде тестирования. Например,
предположение относительно допусков пользователей может не относиться к среде
тестирования, однако, предположение относительно единой точки подключения к сети, как
правило, относится к среде тестирования.
При использовании каких бы то ни было средств тестирования (например, измерителей,
717

анализаторов) обеспечить правильную калибровку этих средств будет обязанностью
оценщика.
ATE_IND.1-2 Оценщик должен исследовать ОО, чтобы сделать заключение, правильно ли он
установлен и находится ли в состоянии, которое известно.
Оценщик имеет возможность сделать заключение о состоянии ОО несколькими способами.
718

Например, предшествующее успешное завершение подвида деятельности ADO_IGS.1
позволит считать выполненным данный шаг оценивания, если оценщик все еще уверен, что
тестируемый ОО был должным образом установлен и находится в известном состоянии.
Если это не так, то оценщику рекомендуется следовать процедурам разработчика, чтобы
установить, сгенерировать и запустить ОО, используя только поставляемое руководство.


120
Если оценщику приходится выполнить процедуры установки вследствие того, что ОО
719

находится в неизвестном состоянии, то при успешном завершении данный шаг оценивания
мог бы удовлетворить шаг оценивания ADO_IGS.1-2.
8.6.1.3.2 Действие ATE_IND.1.2E
ATE_IND.1-3 Оценщик должен продумать тестируемое подмножество ФБО.
Оценщик выбирает тестируемое подмножество и стратегию тестирования, которая является
720

приемлемой для ОО. Одна, крайняя, стратегия тестирования предусматривает наличие
тестируемого подмножества ФБО, содержащего как можно большее количество функций
безопасности, тестируемых с небольшой строгостью. Другая стратегия тестирования
предусматривает наличие тестируемого подмножества, содержащего небольшое
количество функций безопасности, исходя из их осознанной значимости, и строгое
тестирование этих функций.
Как правило, подход к тестированию, принятый оценщиком, должен находиться где-то
721

между этими двумя крайностями. Оценщику следует проверить выполнение большинства
определенных в ЗБ функциональных требований безопасности, используя, по крайней
мере, один тест для каждого требования, но при этом нет необходимости, чтобы
тестирование продемонстрировало исчерпывающую проверку спецификаций.
При выборе подмножества тестируемых ФБО оценщику следует рассмотреть следующие
722

факторы:
а) число функций безопасности, из которых необходимо сформировать тестируемое
подмножество. В тех случаях, когда у ОО только небольшое число функций безопасности,
может быть практичным строгое тестирование всех функций безопасности. Для ОО с
большим числом функций безопасности это будет нерентабельно и потребуется
осуществление выборки;
б) поддержание некоторого баланса между видами деятельности по оценке. Тестирование,
как правило, занимает 20-30 % усилий оценщика в течение оценки.
Оценщик выбирает определенные функции безопасности для формирования
723

соответствующего подмножества. Этот выбор будет зависеть от ряда факторов, и
рассмотрение этих факторов также может влиять на выбор размера тестируемого
подмножества ФБО:
а) известные из общедоступных источников слабые места безопасности, обычно
ассоциируемые с конкретным типом ОО (например, с операционной системой, межсетевым
экраном). Известные из общедоступных источников слабые места, ассоциируемые с
конкретным типом ОО, будут влиять на процесс выбора тестируемого подмножества.
Оценщику следует включить в тестируемое подмножество те функции безопасности,
которые связаны с известными из общедоступных источников слабыми местами для
данного типа ОО (известные из общедоступных источников слабые места в данном случае
относятся не к уязвимостям как таковым, а к несоответствиям или проблемным вопросам,
которые были обнаружены для данного конкретного типа ОО). Если такие слабые места не
известны, то может быть более приемлемым более общий подход, связанный с выбором
широкого диапазона функций безопасности;




121
б) значимость функций безопасности. Те функции безопасности, которые более значимы,
чем другие, с точки зрения целей безопасности для ОО, следует включить в тестируемое
подмножество;
в) сложность функции безопасности. Для сложных функций безопасности может

<< Пред. стр.

страница 17
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign