ГОСТ Р 54582—2011
Поддержание классификации при оценивании является фазой оценки, следующей за фазой
оценивания. Под этим термином понимается совокупность действий по поддержанию классифи-
кации, с помощью которых оценивают соответствие применяемых требований обновленных вер-
сий продукта, и позволяется составить перечень этих версий. При ЕRM поставщик осуществляет
большую часть работы по определению поддержания ранее достигнутого рейтинга измененного
продукта.
В схеме ЕRM имеются различные сущности с соответствующими обязанностями (поставщик,
пользователь, орган по сертификации). По отношению к схеме доверия это означает сильную зависи-
мость метода обеспечения доверия, называемого «поддержание классификации при оценивании», от
обеих фаз доверия — проектирования/разработки и эксплуатации.
Схемы поддержания классификации при оценивании существуют в различных формах и обычно
состоят из следующих компонентов:
- применяемые требования: требования, по которым продукт должен оцениваться;
- аудит ЕRM: анализ доказательства RAMP, основанный на подходящем типичном образце
и предназначенный для обеспечения реализации только утвержденных изменений и удовлетво-
рительного проведения анализа безопасности. В дополнение к необходимым аудитам RAMP,
проводимым VSA, группой анализа безопасности могут выполняться апериодические аудиты
RAMP;
- план ЕRM: документ поставщика, в котором дается описание механизмов, процедур и инстру-
ментария, используемых для выполнения требований RAMP. Процедуры этого плана выполняются на
фазе поддержания классификации. План поддержания классификации предлагается поставщиком и
утверждается как часть процесса оценивания. Этот план может изменяться во время применения
RAMP для продукта, особенно при идентификации назначенного персонала;
- анализ безопасности: проверка того, сохраняет ли предложенное изменение или совокупность
изменений характеристики безопасности и доверие к исходному продукту и его последующим версиям,
которые ранее поддерживались по RAMP в соответствии с приемлемыми требованиями.
Операторами RAMP обычно являются:
- группа анализа безопасности: отдельные лица (например, VSA, дополнительные оценщики), от-
ветственные за проведение анализа, а также за представление и защиту доказательства RAMP перед
комитетом по техническому надзору;
- комитет по техническому надзору: проводит главный технический анализ результатов работы,
выводов и рекомендаций отдельных групп оценивания. Комитет по техническому надзору служит орга-
ном проверки качества, единообразия и последовательности оценивания.
В США ЕRM было формализовано как RAMP и применялось для классификации в ТРЕР и
ИСО/МЭК 21827 (SSE-CMM).
В Великобритании ЕRM было формализовано как схема поддержания сертификатов и основано
на ранжировании ITSEC.
Критерии оценивания ИСО/МЭК 15408 признают ЕRM, но предоставляют поддержание на долж-
ном уровне оценивания национальным органам, надзирающим за схемами оценивания.
6.7.3 Источники
Программу поддержания на должном уровне оценивания США см. в 6.6.
Программу поддержания на должном уровне оценивания Великобритании см. в [44].
Примечание — Системаподдержаниясертификатовявляетсярезультатомразработки Senior Executive,
UK IT Security Evaluation and Certifi cation Scheme, Certifi cation Body, PO Box 152, Cheltenham Glos GL 52 5UF.
6.8 ТТАР — программа оценки доверенных технологий
D
I
14
6.8.1 Цель
Создание, утверждение коммерческих средств оценивания и контроль за ними.
6.8.2 Описание
Программа оценки доверенных технологий (ТТАР) является совместной разработкой Агентства
национальной безопасности (АНБ) и Национального института стандартов и технологий (НИСТ) по соз-
данию коммерческих предприятий для оценивания доверенных продуктов. ТТАР формирует, утверж-
дает коммерческие предприятия по оцениванию и надзирает за ними. В начальной стадии программа