36
- зрелости организации-разработчика;
- квалификации лаборатории;
- ограничений по органу по валидации;
- зрелости продукта;
- соответствия в сравнении с оцениванием.
B.2.8 Поддержка инструментальными средствами
Коммерчески доступны лишь несколько инструментов. Вспомогательная документация и инструментарий предоставляются НИСТ на сайте http://csrc/nist.gov/criptval.
B.2.9 Сфера действия криптографии
Метод обеспечения доверия определяет, что для криптографических модулей утвержденные функции обеспечения безопасности должны проходить валидацию и сертифицироваться для правильной реализации по программе валидации криптографического алгоритма (CAVP), разработанной НИСТ, который обеспечивает алгоритмические инструменты проверки для испытательных лабораторий, аккредитованных NVLAP.
B.2.10 Оценка и сертификация
Североамериканская схема аккредитации CMVP существует и поддерживается совместно с НИСТ и CSE.
B.2.11 Убедительность и признание
ИСО/МЭК 19790 является производным от FIPS 140-2, признанной спецификации США, опубликованной НИСТ. Соответствие спецификации требуется администрацией США для продуктов безопасности, содержащих криптографическое устройство для защиты уязвимых несекретных данных. Сертификаты выдаются для криптографических модулей, прошедших проверку на соответствие и соответствующих другим программным требованиям.
B.3 ИСО/МЭК 21827
B.3.1 Цель обеспечения безопасности
Назначением ИСО/МЭК 21827 является обеспечение доверия, относящегося к процессам проектирования безопасности системы организации пользователя.
B.3.2 Целевая аудитория
Данный метод обеспечения доверия включает в себя, в первую очередь, доверие к разработке и доверие к интеграции и, таким образом, предназначен как для разработчиков, так и для интеграторов системы.
B.3.3 Характеристики
Метод обеспечения доверия использует подход доверия к процессу.
B.3.4 Разносторонность
В ИСО/МЭК 21827 рассматриваются требования на пяти уровнях возможностей, связанных со зрелостью процесса, определенных организацией на основе ее доминирующих целей.
B.3.5 Своевременность
В основу ИСО/МЭК 21827 была положена более ранняя работа, проведенная ISSEA в период с 1994 по 2001 г. Данный стандарт был опубликован ИСО/МЭК в 2001 г. и основан на представлении общедоступной спецификации от ISSEA. Пересмотр ИСО/МЭК 21827 был начат в 2005 г. и завершен в 2007 г.
B.3.6 Завершенность
В ИСО/МЭК 21827 подробно рассматриваются пять уровней требований к функциональным возможностям, включающим в себя все аспекты дисциплины проектирования безопасности. Организация базовых практик, участвующих в процессе, обеспечивает организации потребителя гибкость для комбинирования процессов способом, соответствующим ее организационной структуре.
B.3.7 Стоимость реализации/объем работ по реализации
Основная часть стоимости оценивания по ИСО/МЭК 21827 приходится на первый проект. Стоимость дополнительных проектов, использующих аналогичную методологию, представляет собой только малую часть этой начальной стоимости. Начальная стоимость уменьшается посредством привлечения внутренних оценщиков. Обычно никакая специальная документация не прилагается.
При наличии необходимого персонала процесс оценивания может быть недолгим и длиться от двух до трех недель.
B.3.8 Поддержка инструментальными средствами
Существуют несколько общедоступных основанных на электронных таблицах инструментальных средств, поддерживающих прослеживание результатов оценки, суммирующих и представляющих эти результаты.
B.3.9 Сфера действия криптографии
Специфические требования отсутствуют.
B.3.10 Оценка и сертификация
В отношении данного метода существуют система подготовки и квалификационная система.
B.3.11 Убедительность и признание
Схема, представленная в ИСО/МЭК 21827, обеспечивает оценивание группой оценки.
Организация поддержки SSE-CMM (SSO) предоставляет опытных методистов и группы по оценке по ИСО/МЭК 21827 для оказания помощи организациям при оценке их возможностей проектирования безопасности. Ниже приведены следующие предоставляемые услуги:
содействие в оценке по ИСО/МЭК 21827;