Проект Постановления Правительства Российской Федерации "Об установлении Требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования и порядке сертификации систем" (подготовлен Минэнерго России 20.01.2017)

Проект Постановления Правительства Российской Федерации "Об установлении Требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования и порядке сертификации систем"
(подготовлен Минэнерго России 20.01.2017 г.)

Досье на проект

Пояснительная записка

В соответствии с пунктом 1-2 статьи 16 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", с пунктом 2 статьи 21 и пунктом 1 статьи 28 Федерального закона от 26 марта 2003 года N 35-ФЗ "Об электроэнергетике", пунктом 1 статьи 7 Федерального закона от 21 июля 2011 года N 256-ФЗ "О безопасности объектов топливно-энергетического комплекса" Правительство Российской Федерации

постановляет:

1. Утвердить прилагаемые:

Требования в отношении базовых (обязательных) функций и информационной безопасности при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования;

Методические указания по определению модели угроз безопасности систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования;

Правила обязательной сертификации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования по требованиям к их базовым (обязательным) функциям и информационной безопасности.

2. Установить, что для систем и сегментов систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования применяется требование по обязательной сертификации в части базовых (обязательных) функций и информационной безопасности. Данное требование не распространяется на системы мониторинга субъекта оперативно-диспетчерского управления.

3. Федеральным органам исполнительной власти в 12-ти месячный срок утвердить своими нормативными правовыми актами и технической документацией соответствующие положения о сертификации, перечень критически важного энергетического оборудования, методики оценки базовых (обязательных) функций и информационной безопасности систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования, провести актуализацию и утверждение действующих методических, руководящих документов по определению профилей защиты средств обеспечения информационной безопасности систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования.

Председатель Правительства Российской Федерации

Д. Медведев

Проект

УТВЕРЖДЕНЫ
постановлением Правительства Российской Федерации
от 201 г. N

ТРЕБОВАНИЯ
в отношении базовых (обязательных) функций и информационной безопасности при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования

1 Общие положения

1.1 Настоящие требования включают в себя требования к базовым (обязательным) функциям и информационной безопасности при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования с целью обеспечения реализации мер защиты от угроз безопасности информации.

1.2 Настоящие требования предназначены для практического применения:

- организациям, осуществляющих эксплуатацию, мониторинг и диагностику технического состояния критически важного энергетического оборудования с использованием систем удаленного мониторинга и диагностики;

- производителями программного обеспечения, входящего в состав систем удаленного мониторинга и диагностики;

- организациями, осуществляющими в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации,

- организациями-заявителями на осуществление сертификации продукции в системе сертификации ФСТЭК России.

1.3 Используемые в настоящих требованиях понятия означают следующее:

"автоматизированная система управления технологическим процессом" - комплекс аппаратных и программных средств, предназначенных для контроля и управления технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными таким технологическим и (или) производственным оборудованием технологическими и (или) производственными процессами;

"базовые функции системы удаленного мониторинга и диагностики технического состояния" - выполняемые системой операции в соотвествии с её назначением. Базовые функции системы удаленного мониторинга и диагностики включают в себя:

- технологический мониторинг состояния оборудования/объекта;

- прогнозный мониторинг;

- определение остаточного ресурса оборудования/объекта и его деталей.

"безопасность информации (данных)" - состояние защищенности информации (данных), при котором обеспечивается ее (их) конфиденциальность, доступность и целостность;

"вирус (компьютерный, программный)" - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению;

"вредоносное программное обеспечение" - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на ресурсы и информацию, хранимую на ресурсах, с целью несанционированного использования или причинения вреда (нанесения ущерба) владельцу информации, ресурса, путем копирования, искажения, удаления или подмены информации;

"доверие" - основание для уверенности в том, что изделие отвечает целям безопасности;

"доступ к информации" - возможность санкционированного получения информации и ее использования;

"доступность информации" - состояние информации, при котором субъекты, наделенные правом доступа к информации, могут получать его беспрепятственно;

"защищаемая информация" - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;

"информационная система" - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

"информационные технологии" - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

"критически важное энергетическое оборудование" - оборудование, нарушение (или прекращение) функционирования которого приводит к потере управления экономикой страны, субъекта или административно-территориальной единицы, ее необратимому негативному изменению (или разрушению) или существенному снижению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени;

"контролируемая зона" - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств;

"конфиденциальность информации" - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на это право;

"критичность информации" - качественная характеристика, определяющая ценность информации для пользователя (владельца, собственника информации), для обеспечения функционирования автоматизированной системы, а следовательно, недопустимость ее несанкционированного уничтожения, модификации, блокирования или распространения вне установленной сферы применения;

"несанкционированный доступ к информации" - доступ к информации, осуществляемый с нарушением установленных прав и (или) правил доступа к информации;

"профиль защиты" - независимая от реализации совокупность требований безопасности для некоторой категории изделий, отвечающая специфическим запросам потребителя;

"прикладное программное обеспечение" - программное обеспечение, предназначенное для выполнения прикладных задач, непосредственно направленных на достижение целей создания информационной системы;

"сегменты системы удаленного мониторинга и диагностики технического состояния" - основные составные части системы удаленного мониторинга и диагностики технического состояния, обеспечивающие её полноценное функционирование. Система удаленного мониторинга и диагностики состоит из следующих сегментов: сегмент сбора, хранения и передачи данных (программное и аппаратное обеспечение нижнего уровня, осуществляющее сбор данных с датчиков оборудования, межсетевые экраны, системы хранения данных); сегмент эксплуатации (программное и аппаратное обеспечение среднего уровня, осуществляющее первичную обработку и представление данных, автоматизированные рабочие места эксплуатирующего персонала); сегмент обслуживания (программное и аппаратное обеспечение верхнего уровня, обеспечивающее обработку и представление данных с функциями: прогнозирования, сценарного моделирования, графического представляения технического состояния оборудование, автоматизированны рабочие места эксплуатирующего персонала);

"система удаленного мониторинга и диагностики технического состояния" - программно-аппаратный комплекс, обеспечивающий процесс удаленного наблюдения и контроля за состоянием оборудования/объекта (действующее оборудование), его диагностирование и прогнозирование изменения технического состояния на основе собранных данных (исторические данные о состоянии оборудования) и операционных данных, получаемых от систем сбора данных, установленных на оборудовании;

"системное программное обеспечение" - комплекс программ, которые обеспечивают управление аппаратными компонентами технических средств и функционирование прикладного ПО;

"среда безопасности" - область среды, в пределах которой предусматривается обеспечение необходимых условий для поддержания требуемого режима безопасности изделия;

"угроза информационной безопасности" - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальность, доступности и (или) целостности информации;

"удаленный мониторинг и диагностика" - процесс наблюдения и контроля за состоянием оборудования/объекта путем сбора и хранения данных средствами специального оборудования с последующей их обработкой автоматизированными средствами с целью оценки текущего и прогнозного состояния оборудования/объекта;

"ущерб" - утрата активов, повреждение (утрата свойств) активов и/или инфраструктуры организации или другой вред активам и/или инфраструктуре, наступивший в результате реализации угроз информационной безопасности через уязвимости информационной безопасности;

"функция безопасности" - функциональные возможности части или частей изделия информационных технологий, обеспечивающие выполнение подмножества взаимосвязанных требований безопасности;

"целостность информации" - состояние информации, при котором ее модификация осуществляется преднамеренно и только уполномоченными субъектами доступа.

1.4 В качестве средств защиты информации рассматриваются:

- механизмы защиты штатного программного обеспечения систем удаленного мониторинга и диагностики;

- внешние средства защиты информации.

1.5 Функционирование подсистемы защиты систем удаленного мониторинга и диагностики технического состояния не должно оказывать влияния на штатный режим функционирования систем удаленного мониторинга и диагностики, обеспечивающий поддержку соответствующих технологических процессов.

1.6 В общем случае к программно-аппаратным средствам, входящих в состав систем удаленного мониторинга и диагностики, а также к информационно-телекоммуникационной инфраструктуре функционирования систем удаленного мониторинга и диагностики технического состояния предъявляются следующие требования:

1.6.1. Общие требования к компонентам систем удаленного мониторинга и диагностики:

- реализуемая парольная политика должна обеспечивать соответствие требованиям: по сложности пароля (не менее 10 символов, наличие символов в разном регистре, наличие специальных символов), сроку действия паролей, истории паролей;

- организация доступа обслуживающего персонала предполагает обязательную персонификацию, при этом возможность доступа различных сотрудников под одной учетной записью должна быть запрещена;

- встроенные учетные записи на всех компонентах систем удаленного мониторинга и диагностики технического состояния должны быть отключены;

- функционал систем удаленного мониторинга и диагностики технического состояния, не связанный с поддержкой обеспечиваемых технологических процессов, должен быть отключен;

- применительно ко всем программно-аппаратным средствам, входящих в состав систем удаленного мониторинга и диагностики, должны быть включены и настроены функции регистрации событий безопасности;

- применительно ко всем программно-аппаратным средствам, входящих в состав систем удаленного мониторинга и диагностики, должны быть установлены процедуры обновлений безопасности, а также определен регламент (включая временной интервал) применения обновления безопасности;

- как непосредственно системы удаленного мониторинга и диагностики, так и применяемые в составе систем удаленного мониторинга и диагностики технического состояния программно-аппаратные средства должны иметь актуальную и доступную проектную и эксплуатационную документацию.

1.6.2. Требования к автоматизированным рабочим местам и серверам систем удаленного мониторинга и диагностики:

- на всех автоматизированных рабочих местах и серверах должны быть включены персональные межсетевые экраны с правилами минимально необходимыми для функционирования компонент систем удаленного мониторинга и диагностики, при этом остальной сетевой доступ должен быть заблокирован;

- состав программного обеспечения, устанавливаемого на компонентах систем удаленного мониторинга и диагностики технического состояния (автоматизированные рабочие места и сервера) должен быть согласован и формализован; при наличии возможности со стороны средств безопасности, установленных на автоматизированных рабочих местах и серверах, должна быть реализована политика белых списков в отношении, используемого программного обеспечения;

- должна быть исключена возможность использования внешних устройств беспроводной связи на серверах и автоматизированных рабочих местах систем удаленного мониторинга и диагностики технического состояния (блокировка соответствующих портов как физически, так и логически);

- подключение внешних устройств хранения данных по умолчанию должно быть запрещено;

- должны быть включены пароли на доступ к встроенному программному обеспечению (BIOS и т.п.) серверов и автоматизированных рабочих мест;

- на серверах и автоматизированных рабочих местах систем удаленного мониторинга и диагностики технического состояния в обязательном порядке должны быть установлены средства антивирусной защиты с актуальными обновлениями.

1.6.3. Требования к инфраструктуре функционирования систем удаленного мониторинга и диагностики:

- должен быть организован периметр информационно-телекоммуникационной инфраструктуры функционирования систем удаленного мониторинга и диагностики; организация сетевого периметра должна быть обеспечена посредством межсетевых экранов;

- физическое соединение сегмента информационно-телекоммуникационной инфраструктуры систем удаленного мониторинга и диагностики технического состояния с иными сегментами (в частности, сегментом доступа к ССОП, сегментом автоматизированных систем управления технологическими процессами и др.), должно обеспечиваться только через устройства, реализующее функции межсетевого экранирования;

- выделение сегментов должно обеспечиваться посредством комплексного (взаимодополняемого) применения следующих технологий и методов в порядке эффективности защиты (при наличии такой возможности):

физическое выделение посредством организации сегментов за счет выделенных коммутирующих устройств, подключаемых только к межсетевым экранам (наиболее защищенный вариант); с применением средств криптографической защиты доступа к сети и защиты трафика (VPN); VLAN (минимально необходимый);

- на объектах размещения компонент систем удаленного мониторинга и диагностики технического состояния должны быть выделены следующие сегменты управления: сегмент управления информационно-телекоммуникационной инфраструктурой систем удаленного мониторинга и диагностики технического состояния (имеет доступ персонал, осуществляющий функции управления информационно-телекоммуникационной инфраструктурой систем удаленного мониторинга и диагностики); сегмент управления комплексом технических средств защиты информации (имеет доступ персонал, осуществляющий функции управления информационной безопасностью); сегмент управления техническими средствами систем удаленного мониторинга и диагностики технического состояния (имеет доступ персонал, осуществляющий функции управления компонентами систем удаленного мониторинга и диагностики);

- при функционировании систем удаленного мониторинга и диагностики, взаимодействие сегментов должно ограничиваться следующими правилами: доступ к сегментам управления из других сегментов запрещен, взаимодействие между сегментами должно происходить исключительно через средства межсетевого экранирования;

- правила на специализированных средствах межсетевого экранирования должны быть максимально точными включая указание адресов назначения и источника, портов назначения и источника;

- для взаимодействия с внешними сетями (включая сети связи общего пользования) должны быть созданы "демилитаризованные" зоны - сегменты сети, из которых исключена возможность инициации соединений во внутренние сегменты информационно-телекоммуникационной инфраструктуры объектов размещения компонент систем удаленного мониторинга и диагностики;

- при наличии технической возможности должны быть отключены неиспользуемые и небезопасные (передающие информацию по сети в открытом, незашифрованном виде) протоколы и сервисы на сетевом оборудовании; при отсутствии такой возможности должны быть задействованы специализированные средства защиты (включая средства криптографической защиты информации);

- неиспользуемые порты на активном сетевом оборудовании (как входящем в состав систем удаленного мониторинга и диагностики, так и входящие в состав информационно-телекоммуникационной инфраструктуры объекта размещения систем удаленного мониторинга и диагностики) должны быть отключены логически и физически;

- служебные сервисы оборудования, образующего информационно-телекоммуникационную инфраструктуру систем удаленного мониторинга и диагностики технического состояния (как входящего в состав систем удаленного мониторинга и диагностики, так и входящего в состав информационно-телекоммуникационной инфраструктуры объекта размещения систем удаленного мониторинга и диагностики), должны быть доступны только из сегмента управления информационно-телекоммуникационной инфраструктуры;

- при необходимости взаимодействия систем удаленного мониторинга и диагностики технического состояния с другими автоматизированными системами объекта размещения систем удаленного мониторинга и диагностики технического состояния (автоматизированных систем управления технологическими процессами и иное), взаимодействие должно быть обеспечено методами, исключающими возможность его использования в деструктивных целях для каждой из взаимодействующих систем (реализация принципа "не ухудшения уровня защищенности");

- в случае необходимости применения на объектах размещения систем удаленного мониторинга и диагностики технического состояния устройств беспроводной связи, данные устройства должны находиться физически и логически за организованным периметром информационно-телекоммуникационной инфраструктуры систем удаленного мониторинга и диагностики;

- реализация функций контроля компонент систем удаленного мониторинга и диагностики технического состояния необходима на уровнях: системного программного обеспечения, прикладного программного обеспечения, баз данных;

- прямой доступ к базам данных систем удаленного мониторинга и диагностики технического состояния должен быть исключен;

- активное сетевое оборудование (как входящем в состав систем удаленного мониторинга и диагностики, так и входящие в состав информационно-телекоммуникационной инфраструктуры объекта размещения систем удаленного мониторинга и диагностики) должно располагать активными функциями защиты от подмены сетевых адресов и от внедрения ложной маршрутной информации в протоколы маршрутизации.

2 Требования к встроенным средствам защиты информации и обеспечения безопасности среды функционирования систем удаленного мониторинга и диагностики технического состояния

2.7 Встроенные средства защиты информации систем удаленного мониторинга и диагностики технического состояния должны отвечать целям обеспечения информационной безопасности, представленным в таблице А.1.

Таблица А.1 - Цели обеспечения информационной безопасности

Идентификатор	Название	Описание
O.AUDITING	Аудит событий	Программное обеспечение должно обеспечивать генерацию, запись и хранение событий относящихся к функционированию механизмов информационной безопасности. Программное обеспечение должно обеспечивать защиту данных журналов и предоставлять доступ к ним только авторизованным для этих целей пользователям. Хранимая информация о событиях информационной безопасности должна содержать дату и время произошедшего, идентификационные данные пользователя, от имени которого совершалось действие или был запущен процесс повлекшие события безопасности. Хранимая информация должна содержать достаточно подробное описание предпринимаемых действий для последующего их анализа с целью выявления попыток несанкционированного доступа или несанкционированной модификации компонент программного обеспечения.

O.CRYPTO	Криптографическая защита	Программное обеспечение должно предоставлять авторизованным пользователям возможность доступа с применением криптографических механизмов обеспечения целостности и конфиденциальности, передаваемой в рамках установленной сессии конфигурационной информации. В рамках удаленного соединения взаимная аутентификация взаимодействующих сторон должна быть обеспечена с применением криптографических механизмов. Аналогичные механизмы защиты должны применяться, если программное обеспечение реализовано по двух- и более звенной архитектуре (сервер приложений, база данных и т.д.) и компоненты программного обеспечения физически разнесены по различным серверам (в том числе виртуальным), а также конечным устройствам.
O.DACCESS	Дискретный доступ	Программное обеспечение должно осуществлять контроль доступа субъектов на основе идентификаторов к поименованным объектам. Доступ к объектам авторизованных пользователей должен осуществляться на основании ролевой модели разграничения доступа в соответствии с правилами доступа, прописанными для каждого объекта.
O.NFLOW	Контроль сетевого взаимодействия	Программное обеспечение должно осуществлять контроль взаимодействия и передачи информации между сетевыми интерфейсами (в том числе виртуальными), между субъектами, между внутренними функциями на основании настраиваемой политики безопасности.

O.SUBJECT	Передача атрибутов безопасности	При взаимодействии различных субъектов программного обеспечения должна быть обеспечена передача атрибутов безопасности в соответствии с настраиваемой политикой безопасности.
O.I&A	Идентификация и аутентификация	Программное обеспечение должно обеспечивать идентификацию и аутентификацию субъектов до любых действий на основе сертификата открытого ключа подписи и связанного с ним закрытого ключа подписи, размещенного на отчуждаемом носителе. Доступ к объектам программного обеспечения должен предоставляться только авторизованным субъектам. Должна быть обеспечена строгая многофакторная аутентификация.
O.MANAGE	Конфигурация безопасности	Программное обеспечение должно содержать необходимые механизмы для управления и настройки всех имеющихся функций безопасности. Доступ к этим механизмам должен быть обеспечен только авторизованным субъектам с выделенной ролью администратора информационной безопасности. Программное обеспечение должно иметь возможность указывать на ошибки персонала при конфигурации, а также должно запрещать возможность снижения уровня безопасности.
O.TRUSTCHAN	Установление доверенных соединений	Программное обеспечение должно быть спроектировано и разработано таким образом, чтобы позволять установление доверенного соединения с информационными системами того же класса доверия, гарантируя при этом целостность, доступность и


		конфиденциальность передаваемых в рамках соединения данных, взаимную авторизацию и возможность обмена атрибутами безопасности.
O.AVAIL	Доступность	Должна быть обеспечена доступность функционала программного обеспечения. Программное обеспечение должно продолжать функционировать после выхода из строя каналов связи. Должны быть предусмотрены механизмы обеспечения продолжения функционирования при переполнении баз данных. Должен осуществляться контроль целостности компонентов в процессе их загрузки. Должно быть исключено неконтролируемое, несанкционированное вмешательство в процессы перезагрузки или восстановления после сбоев компонентов программного обеспечения. В процессе функционирования программного обеспечения должны быть предусмотрены на периодической основе проверки на наличие уязвимостей компонентов программного обеспечения. Должны быть предусмотрены возможности восстановления данных и/или параметров конфигураций компонентов программного обеспечения из резервных копий в случае их компрометации или уничтожения. Должны быть предусмотрены возможности создания резервных копий в случае внесения изменений в конфигурации, с заданной периодичностью или комбинации этих вариантов

2.8 В случае невозможности реализации заявленных целей встроенными средствами защиты информации систем удаленного мониторинга и диагностики, соответствующий функционал должен обеспечиваться соответствующими внешними средствами защиты информации.

2.9 В организации, на объектах которой развернуты программно-аппаратные средства систем удаленного мониторинга и диагностики, должен быть реализован комплекс мероприятий, обеспечивающий безопасность среды функционирования систем удаленного мониторинга и диагностики технического состояния (Таблица А.2).

Таблица А.2 - Комплекс мероприятий, обеспечивающий безопасность среды функционирования систем удаленного мониторинга и диагностики

Идентификатор	Название	Описание
OE.SECURE	Контроль физического доступа	Необходимо осуществление контроля физического доступа к местам размещения компонентов программного обеспечения систем удаленного мониторинга и диагностики.
OE.INSTALL	Безопасная установка	Необходимо обеспечить установку, инсталляцию и администрирование компонентов программного обеспечения таким образом, чтобы обеспечить выполнение утвержденных требований информационной безопасности.
OE.TRAIN	Повышение осведомленности	Необходимо, чтобы уполномоченные администраторы были обучены способам администрирования компонентов программного обеспечения, знали и могли реализовывать утвержденные требования информационной безопасности.
OE.LIMEXT	Администратор безопасности	В рамках организационной структуры подразделения, эксплуатирующего программное обеспечение, должна быть предусмотрена выделенная роль администратора информационной безопасности.

3 Требования безопасности

3.10 Функциональные требования безопасности основаны на функциональных компонентах (в соответствии с ГОСТ Р ИСО/МЭК 15408-2), представленных в Таблице А.3.

Таблица А.3 - Функциональные компоненты

Идентификатор	Название компоненты
FAU_ARP.1	Сигналы нарушения безопасности
FAU_GEN.1	Генерация данных аудита
FAU_GEN.2	Ассоциация идентификатора пользователя
FAU_SAA.1	Анализ потенциального нарушения
FAU_SAR.1	Просмотр журналов аудита
FAU_SAR.2	Ограниченный просмотр журналов аудита
FAU_SEL.1	Избирательный аудит
FAU_STG.1	Защищенное хранение журнала аудита
FAU_STG.3	Действия в случае возможной потери данных аудита
FAU_STG.4	Предотвращение потери данных аудита
FCS_COP.1	Криптографические операции
FDP_ACC.1	Ограниченное управления доступом
FDP_ACF.1	Управление доступом, основанное на атрибутах безопасности
FDP_IFC.2	Полное управление информационными потоками
FDP_IFF.1	Простые атрибуты безопасности
FDP_ITC.2	Импорт данных пользователя с атрибутами безопасности
FDP_ITT.1	Базовая защита внутренней передачи
FDP_ROL.2	Расширенный откат к исходному состоянию
FDP_SDI.2	Мониторинг целостности хранимых данных и предпринимаемые действия
FIA_AFL.1	Обработка отказов аутентификации
FIA_ATD.1	Определение атрибутов пользователя
FIA_SOS.1	Верификация секретов
FIA_UAU.2	Аутентификация до любых действий пользователя
FIA_UID.2	Идентификация до любых действий пользователя
FIA_USB.1	Связывание "пользователь-субъект"
FMT_MSA.1	Управление атрибутами безопасности
FMT_MSA.3	Инициализация статических атрибутов

FMT_MTD.1	Управление данными функций безопасности объекта
FMT_REV.1	Отмена атрибутов безопасности
FMT_SMF.1	Спецификация функций управления
FMT_SMR.1	Роли безопасности
FPT_STM.1	Надежные метки времени
FPT_TDC.1	Базовая согласованность данных функций безопасности объекта между функциями безопасности
FTA_SSL.1	Блокирование сеанса, инициированное функциями безопасности
FTA_SSL.2	Блокирование, инициированное пользователем
FTP_ITC.1	Конфиденциальность экспортируемых дынных при передаче

3.10.4. Класс FAU: Аудит безопасности

3.10.5.

Таблица А.4

Идентификатор	Описание	Замечания по применению	Зависимости
FAU_ARP.1	Сигналы нарушения безопасности
FAU_ARP.1.1	Функции безопасности программного обеспечения должны информировать администратора при обнаружении возможного нарушения безопасности.	Разработчик Задания по безопасности для конкретного реализации программного обеспечения систем удаленного мониторинга и диагностики технического состояния или оборудования, входящего в ее состав, помимо непосредственно информирования администратора может перечислить и другие действия при обнаружении возможного нарушения безопасности.	FAU_SAA.1 Анализ потенциального нарушения
FAU_GEN.1	Генерация данных аудита
FAU_GEN.1.1	Функции безопасности программного обеспечения должны генерировать запись аудита для следующих событий, потенциально подвергаемых аудиту:
	a) запуск и завершение выполнения функций аудита;
	b) все события, потенциально подвергаемые аудиту, на базовом уровне аудита;
	c) [другие специально определенные события, подвергаемые аудиту].
FAU_GEN.1.2	Функции безопасности программного обеспечения должны регистрировать в каждой записи аудита, по меньшей мере, следующую информацию:	В пункте b) FAU_GEN.1.1 выбран уровень аудита базовый, с учетом этого разработчик задания по безопасности в рамках сертификации должен следовать инструкциям ГОСТ Р ИСО/МЭК 15408-2 по включению в FAU_GEN.1 событий согласно выбранному уровню аудита, используя пункты в рубрике "Аудит" для каждого	FPT_STM.1 Надежные метки времени.

		функционального компонента из ГОСТ Р ИСО/МЭК 15408-2, включенного в задание по безопасности и каждого компонента функциональных требований безопасности, определенных настоящими требованиями. Разработчик задания по безопасности может дополнительно указать в пункте c) FAU_GEN.1.1 другие события, которые программное обеспечение способно подвергать аудиту.
	a) дата и время события, тип события, идентификатор субъекта, результат события (успешный или неуспешный);
	b) для каждого типа событий, потенциально подвергаемых аудиту, из числа определенных в функциональных компонентах, которые включены в задание по безопасности на конкретное программное обеспечение.

FAU_GEN.2	Ассоциация идентификатора пользователя
FAU_GEN.2.1	Функции безопасности программного обеспечения должны быть способны ассоциировать каждое событие, потенциально подвергаемое аудиту, с идентификатором пользователя, который был инициатором этого события.		FAU_GEN.1 Генерация данных аудита; FIA_UID.1 Выбор момента идентификации.
FAU_SAA.1	Анализ потенциального нарушения
FAU_SAA.1.1	Функции безопасности программного обеспечения должны быть способны применить набор правил мониторинга событий, подвергающихся аудиту и указать на возможное нарушение реализации функциональных требований безопасности, основываясь на этих правилах.		FAU_GEN.1 Генерация данных аудита; FIA_UID.1 Выбор момента идентификации.

FAU_SAA.1.2	Функции безопасности программного обеспечения должны осуществлять следующие правила при мониторинге событий, подвергающихся аудиту: c) накопление или объединение известных [подмножество определенных событий, подвергаемых аудиту], указывающих на возможное нарушение безопасности; d) [другие правила].
FAU_SAR.1	Просмотр журналов аудита
FAU_SAR.1.1	Функции безопасности программного обеспечения должны предоставлять [уполномоченные идентифицированные роли из состава ролей безопасности] возможность читать [список информации аудита] из записей аудита.

FAU_SAR.1.2	Функции безопасности программного обеспечения должны предоставлять записи аудита в виде, позволяющем пользователю воспринимать содержащуюся в них информацию.		FAU_GEN.1 Генерация данных аудита.
FAU_SAR.2	Ограниченный просмотр журналов аудита
FAU_SAR.2.1	Функции безопасности программного обеспечения должны предотвращать доступ к чтению записей аудита всем пользователям, за исключением тех, кому явно предоставлен доступ на чтение.		FAU_SAR.1 Просмотр журналов аудита.
FAU_SEL.1	Избирательный аудит
FAU_SEL.1.1	Функции безопасности программного обеспечения должны обеспечить выбор совокупности событий подвергающихся аудиту из совокупности событий потенциально подверженных аудиту базируясь на следующих атрибутах:		FAU_GEN.1 Генерация данных аудита; FMT_MTD.1 Управление данными функций безопасности.

	e) тип события; f) идентификатор субъекта или пользователя; g) результат (успех или отказ) операции, подверженной аудиту; h)[список дополнительных атрибутов, определяемых в задании по безопасности на конкретное программное обеспечение].
FAU_STG.1	Защищенное хранение журнала аудита
FAU_STG.1.1	Функции безопасности программного обеспечения должны защищать хранимые в журнале аудита записи от несанкционированного удаления.	Программное обеспечение может обеспечивать хранение журналов аудита как локально, так и обеспечивать передачу журналов на удаленные серверы централизованной системы журналирования для дальнейшей обработки. В последнем случае в системе реализуется локальный стек для записей аудита, переде их отправкой на удаленные сервера, при этом к локальному стеку предъявляются все описанные выше требования.

FAU_STG.1.2	Функции безопасности программного обеспечения должны обнаруживать и предотвращать несанкционированную модификацию хранимых записей в журналах аудита.
FAU_STG.3	Действия в случае возможной потери данных аудита
FAU_STG.3.1	Функции безопасности программного обеспечения должны обеспечить резервное копирование на внешние ресурсы журналов аудита в случае, если журналы аудита превышают допустимое ограничение.		FAU_STG.1 Защищенное хранение журналов аудита.
FAU_STG.4	Предотвращение потери данных аудита
FAU_STG.4.1	Функции безопасности программного обеспечения должны обеспечить удаление самой старой (по временному параметру) записи аудита и записи поверх нее новой при переполнении журнала аудита.		FAU_STG.1 Защищенное хранение журналов аудита.

3.10.6. Класс FCS: Криптографическая защита

Таблица А.5

Идентификатор	Описание	Замечания по применению	Зависимости
FСS_COP.1	Криптографические операции
FCS_COP.1.1	Функции безопасности программного обеспечения должны поддерживать шифрование, расшифрование, контроль целостности и	Криптографические механизмы защиты реализуются в случае предоставления доступа к программному обеспечению или при обмене информацией по открытым каналам связи
	аутентификацию сторон в соответствии с одним из перечисленных криптографических алгоритмов:	(каналам операторов связи сети связи общего пользования), а также в целях взаимной аутентификации с иными информационными системами с отличным от текущей уровнем доверия.
	i) SSH с применением ГОСТ 28147 c 256-битным ключом и ГОСТ 34.10 (а также другими действующими на момент применения Требований принятых в качестве государственных стандартов Российской федерации), в качестве цифровой подписи;
	j) TLS с применением ГОСТ 28147 c 256-битным ключом и ГОСТ 34.10 (а также другими действующими на момент применения Требований принятых в качестве государственных стандартов Российской федерации), в качестве цифровой подписи;

	k) IPSEC с IKE позволяющем применять ГОСТ 28147 c 256-битным ключом и ГОСТ 34.10 (а также другими действующими на момент применения Требований принятых в качестве
	государственных стандартов Российской федерации), в качестве цифровой подписи.
FCS_COP.1.2	Функции безопасности программного обеспечения должны поддерживать технологическую подпись данных и защиту целостности данных с применением криптографических алгоритмов: ГОСТ 34.10, в качестве цифровой подписи и ГОСТ 34.11 в качестве выработки хеш-функции (а также другими действующими на момент применения Требований, принятых в качестве государственных стандартов Российской федерации).

3.10.7. Класс FDP: Защита данных пользователя

Таблица А.6

Идентификатор	Описание	Замечания по применению	Зависимости
FDP_ACC.1	Ограниченное управление доступом
FDP_ACC.1.1	Функции безопасности программного обеспечения должны осуществлять ролевой контроль доступа для:
	- субъектов: пользователи системы, процессы;
	- объектов: данные обрабатываемые программным обеспечением;
	- операций: все реализованные программным обеспечением операции.
FDP_ACF.1	Управление доступом, основанное на атрибутах безопасности
FDP_ACF.1.1	Функции безопасности программного обеспечения должны осуществлять ролевой контроль доступа к объектам основываясь на:
	- атрибутах безопасности субъекта: идентификатор пользователя/процесса, роль пользователя/процесса;
	- атрибутах безопасности объекта: идентификатор объекта, разрешения для объекта.

FDP_ACF.1.2	Функции безопасности программного обеспечения должны реализовать следующие правила определения того, разрешена ли операция управляемого субъекта на управляемом объекте: - субъект должен быть связан с правами доступа к объекту в соответствии с назначенной ролью.
FDP_ACF.1.3	Функции безопасности программного обеспечения должны явно разрешать доступ субъектов к объектам, основываясь на следующих дополнительных правилах:
FDP_ACF.1.3	- дополнительных правил нет.
FDP_ACF.1.4	Функции безопасности программного обеспечения должны явно отказывать в доступе субъектов к объектам, основываясь на следующих дополнительных правилах: - если доступ явно не разрешён.		FDP_ACС.1 Ограниченное управление доступом. FMT_MSA.3 Инициализация статических атрибутов.
FDP_ACF.1.4
FDP_IFC.2	Полное управление информационными потоками
FDP_IFC.2.1	Функции безопасности программного обеспечения должны осуществлять контроль информационных потоков для: l) Субъектов: - Неавторизованные внешние по отношению к программному обеспечению сущности (иные информационные системы), которые получают или передают информацию для обработки рассматриваемым программным обеспечением. m) Информации: - [перечень обрабатываемой программным обеспечением информации]. и всеми операциями перемещения управляемой информации к управляемым субъектам, обрабатываемым программным обеспечением, и от них.

FDP_IFC.2.2	Функции безопасности программного обеспечения должны обеспечить, чтобы в программном обеспечении на все операции перемещения информации субъектам и от них распространялась какая-либо функция контроля контроль информационных потоков.		FDP_IFF.1 Простые атрибуты безопасности
FDP_IFF.1	Простые атрибуты безопасности
FDP_IFF.1.1	Функции безопасности программного обеспечения должны осуществлять контроль информационных потоков, основанный на следующих атрибутах безопасности субъектов и информации:
	n) идентификатор пользователя или процесса;
	o) логический или физический сетевой интерфейс, по которому данные загружаются в систему;
	p) атрибуты безопасности стека протоколов TCP/IP:

	- IP адрес источника и назначения
	- порт UDP источника и назначения
	- флаги в заголовках протокола TCP
	q) атрибуты безопасности протокола IEEE 802.1Q VLAN:
	- теги VLAN
FDP_IFF.1.2	Функции безопасности программного обеспечения должны разрешать информационный поток для управляемого субъекта и управляемой информации посредством		FDP_IFC.1 Ограниченное управление информационными потоками FDP_MSA.3 Инициализация статических
	управляемой операции, если заданы правила обмена в следующем формате: [перечень операций - список поддерживаемых отношений, основанный на атрибутах безопасности]		атрибутов
FDP_ITC.2	Импорт данных пользователя с атрибутами безопасности
FDP_ITC.2.1	Функции безопасности программного обеспечения должны осуществлять контроль информационных потоков и управление доступом при импорте данных

	пользователя из иного программного обеспечения.
FDP_ITC.2.2	Функции безопасности программного обеспечения должны использовать атрибуты безопасности, ассоциированные с импортируемыми данными пользователя.
FDP_ITC.2.3	Функции безопасности программного обеспечения должны обеспечить такой протокол интеграции, который предусматривает однозначную ассоциацию между атрибутами безопасности и полученными данными пользователя.
FDP_ITC.2.4	Функции безопасности программного обеспечения должны обеспечить интерпретацию атрибутов безопасности пользователя такой как предусмотрено источником данных пользователя.
FDP_ITT.1	Базовая защита внутренней передачи
FDP_ITT.1.1	Функции безопасности программного обеспечения должны осуществлять контроль информационных потоков и управление доступом, чтобы предотвратить модификацию и недоступность данных при их передаче между физически разделенными компонентами аппаратной платформы, на которой функционирует программное обеспечение.
FDP_ROL.2	Расширенный откат к исходному состоянию
FDP_ROL.2.1	Функции безопасности программного обеспечения должны осуществлять управление доступом для разрешения
	возврата (отката) всех операций к определенному начальному состоянию.
FDP_SDI.2	Мониторинг целостности хранимых данных и предпринимаемые действия
FDP_SDI.2.1	Функции безопасности программного обеспечения должны контролировать данные, хранимые в местах хранения,

	контролируемых программным обеспечением, на наличие ошибок контрольных сумм для всех объектов.
FDP_SDI.2.2	При обнаружении ошибки целостности данных функции безопасности программного обеспечения должны обеспечить загрузку данных по умолчанию (эталонных).

3.10.8. Класс FIA: Идентификация и аутентификация

Таблица А.7

Идентификатор	Описание	Замечания по применению	Зависимости
FIA_AFL.1	Обработка отказов аутентификации
FIA_AFL.1.1	Функции безопасности программного обеспечения должны обнаруживать, когда
	произойдет три неуспешных попыток аутентификации, относящихся к вводу пароля пользователя.
FIA_AFL.1.2	При достижении определенного числа неуспешных попыток		FIA_UAU.1 Выбор момента аутентификации

	аутентификации функции безопасности программного обеспечения должны выполнить блокировку доступа пользователям на 30 минут.
FIA_ATD.1	Определение атрибутов пользователя
FIA_ATD.1.1	Функции безопасности программного обеспечения должны поддерживать для каждого пользователя следующий список атрибутов безопасности:
	- роль пользователя;
	- сертификат пользователя выданный доверенной стороной;
	- иные атрибуты определенные в рамках Задания по безопасности на конкретное программное обеспечение.
FIA_SOS.1	Верификация секретов
FIA_SOS.1.1	Функции безопасности должны предоставить механизм для верификации того, что секреты отвечают следующей метрике:

	- вероятность того, что секрет может быть обнаружен нарушителем в течение существования секрета меньше чем 2^-20.
FIA_UAU.2	Аутентификация до любых действий пользователя
FIA_UAU.2.1	Функции безопасности должны требовать, чтобы каждый пользователь был успешно аутентифицирован до разрешения любого действия, выполняемого при посредничестве Функций безопасности от имени этого пользователя.		FIA_UID.1 Выбор момента идентификации.
FIA_UID.2	Идентификация до любых действий пользователя
FIA_UID.2.1	Функции безопасности программного обеспечения должны требовать, чтобы каждый пользователь был успешно идентифицирован до разрешения любого действия, выполняемого при посредничестве функций безопасности от имени этого пользователя.

FIA_USB.1	Связывание "пользователь-субъект"
FIA_USB.1.1	Функции безопасности программного обеспечения должны ассоциировать соответствующие атрибуты безопасности пользователя с субъектами, действующими от имени этого пользователя.

3.10.9. Класс FMT: Управление безопасностью

Таблица А.8

Идентификатор	Описание	Замечания по применению	Зависимости
FMT_MSA.1	Управление атрибутами безопасности
FMT_MSA.1.1	Функции безопасности программного обеспечения должны осуществлять управление доступом, основанное на ролях, чтобы ограничить возможность модификации, изменения значений по умолчанию атрибутов безопасности объектов программного обеспечения, только владельцам объектов.		FDP_ACC.1 Ограниченное управление доступом или FDP_IFC.1 Ограниченное управление информационными потоками. FMT_SMR.1 Роли безопасности.

FMT_MSA.3	Инициализация статических атрибутов
FMT_MSA.3.1	Функции безопасности должны осуществлять управление доступом, основанное на ролях, чтобы обеспечить ограничительные значения по умолчанию для атрибутов безопасности, которые используются для реализации требований безопасности.
FMT_MSA.3.2	Функции безопасности должны предоставлять возможность уполномоченному пользователю в соответствии с его ролью определять альтернативные начальные значения для отмены значений по умолчанию при создании объекта или информации.		FMT_MSA.1 Управление атрибутами безопасности. FMT_SMR.1 Роли безопасности.
FMT_MTD.1	Управление данными функций безопасности
FMT_MTD.1.1	Функции безопасности программного обеспечения должны ограничивать возможность модификации следующих данных:		FMT_SMR.1 Роли безопасности.

	текущее значение времени, показания счетчиков команд, записи журнала аудита информационной безопасности только администраторам информационной безопасности.
FMT_REV.1	Отмена атрибутов безопасности
FMT_REV.1.1	Функции безопасности программного обеспечения должны предоставлять возможность отмены атрибутов безопасности, ассоциированных с пользователями, субъектами и объектами программного обеспечения для администратора информационной безопасности.
FMT_SMF.1	Спецификация функций управления
FMT_SMF.1.1	Функции безопасности программного обеспечения должны быть способны к выполнению следующих функций управления: резервное копирование конфигурации, загрузка резервной копии конфигурации.

FMT_SMR.1	Роли безопасности
FMT_SMR.1.1	Функции безопасности программного обеспечения должны поддерживать следующие роли по умолчанию:		FIA_UID.1 Выбор момента идентификации.
	- администратор;
	- администратор ИБ;
	- оператор.

3.10.10. Класс FPT: Защита функций безопасности объекта

Таблица А.9

Идентификатор	Описание	Замечания по применению	Зависимости
FPT_STM.1	Надежные метки времени
FPT_STM.1.1	Функции безопасности программного обеспечения должны быть способны предоставлять надежные метки времени для собственного использования.
FPT_ITC.1	Конфиденциальность экспортируемых данных при передаче
FPT_ITC.1.1	Функции безопасности программного обеспечения должны обеспечить конфиденциальность всех данных передаваемых от функций безопасности программного обеспечения другому доверенному программному продукту.

FPT_TDC.1	Базовая согласованность данных функций безопасности объекта между функциями безопасности
FPT_TDC.1.1	Функции безопасности программного обеспечения должны обеспечить способность согласованно интерпретировать типы данных функций безопасности, совместно используемые с другим доверенным программным продуктом.

3.10.11. Класс FTA: Доступ к программному обеспечению

Таблица А.10

Идентификатор	Описание	Замечания по применению	Зависимости
FTA_SSL.1	Блокирование сеанса, инициированное функциями безопасности
FTA_SSL.1.1	Функции безопасности программного обеспечения должны блокировать интерактивный сеанс после 30 минут бездействия пользователя, для чего предпринимаются следующие действия:
	r) очистка или перезапись устройств отображения, придание их текущему содержанию нечитаемого вида;
	s) блокирование любых действий по доступу к данным


	пользователей/устройствам отображения, кроме необходимых для разблокировки сеанса.
FTA_SSL.2	Блокирование сеанса, инициированное пользователем
FTA_SSL.2.1	Функции безопасности программного обеспечения должны допускать инициированное пользователем блокирование своего интерактивного сеанса, для чего предпринимаются следующие действия:
	t) очистка или перезапись устройств отображения, придание их текущему содержанию нечитаемого вида;
	u) блокирование любых действий по доступу к данным пользователей/устройствам отображения, кроме необходимых для разблокировки сеанса.

3.11 Требования доверия к безопасности должны быть основаны на ГОСТ Р ИСО/МЭК 15408-3 и образуют оценочный уровень доверия (ОУД) 4 (усиленный) при этом усиление обеспечивается в рамках разработки заданий по безопасности и профилей защиты.

Таблица А.11

Классы доверия	Идентификаторы компонентов доверия	Названия компонентов доверия
Управление конфигурацией (УК)	ACM_AUT.1	Частичная автоматизация УК
	ACM_CAP.4	Поддержка генерации, процедуры приемки
	ACM_SCP.2	Охват УК отслеживания проблем
Поставка и эксплуатация	ADO_DEL.2	Обнаружение модификации
Поставка и эксплуатация	ADO_IGS.1	Процедуры установки, генерации и запуска
Разработка	ADV_FSP.2	Полностью определенные внешние интерфейсы
	ADV_HLD.2	Детализация вопросов безопасности в проекте верхнего уровня
	ADV_IMP.1	Подмножество реализации ФБО
	ADV_LLD.1	Описательный проект нижнего уровня
	ADV_RCR.1	Неформальная демонстрация соответствия
	ADV_SPM.1	Неформальная модель политики безопасности программного обеспечения
Руководства	AGD_ADM.1	Руководство администратора
Руководства	AGD_USR.1	Руководство пользователя
Поддержка жизненного цикла	ALC_DVS.1	Идентификация мер безопасности
	ALC_LCD.1	Определение модели жизненного цикла разработчиком
	ALC_TAT.1	Полностью определенные инструментальные средства разработки
Тестирование	ATE_COV.2	Анализ покрытия
	ATE_DPT.1	Тестирование: проект верхнего уровня
	ATE_FUN.1	Функциональное тестирование
	ATE_IND.2	Выборочное независимое тестирование
Оценка уязвимостей	AVA_MSU.2	Подтверждение правильности анализа
	AVA_SOF.1	Оценка стойкости функции безопасности программного обеспечения
	AVA_VLA.2	Независимый анализ уязвимостей

3.11.12. Класс АСМ: Управление конфигурацией

Таблица А.12

Идентификатор		Зависимости		Элементы действий разработчика		Элементы содержания и представления свидетельств		Элементы действий оценщика
ACM_AUT.1	Частичная автоматизация УК	ACM_CAP.3	Средства контроля авторизации.	ACM_AUT.1.1D	Разработчик должен использовать систему УК.	ACM_AUT.1.1C	Система УК должна предоставить автоматизированные средства, с использованием которых в представлении реализации программного обеспечения производятся только санкционированные изменения.	ACM_AUT.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
				ACM_AUT.1.2D	Разработчик должен представить план УК.	ACM_AUT.1.2C	Система УК должна предоставить автоматизированные средства для поддержки генерации программного обеспечения.
						ACM_AUT.1.3C	План УК должен содержать описание автоматизированных инструментальных средств, используемых в системе УК.
						ACM_AUT.1.4C	План УК должен содержать описание, как автоматизированные инструментальные средства используются в системе УК.
ACM_CAP.4	Поддержка генерации, процедуры приемки	ACM_SCP.1	Охват УК объекта оценки,	ACM_CAP.4.1D	Разработчик должен предоставить маркировку для программного обеспечения	ACM_CAP.4.1C	Маркировка программного обеспечения должна быть уникальна для каждой версии программного обеспечения.	ACM_CAP.4.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.

		ALC_DVS.1	Идентификация мер безопасности.	ACM_CAP.4.2D	Разработчик должен использовать систему УК.	ACM_CAP.4.2C	Программное обеспечение должно быть помечено маркировкой.
				ACM_CAP.4.3D	Разработчик должен представить документацию УК.	ACM_CAP.4.3C	Документация УК должна включать в себя список конфигурации, план УК и план приемки.
						ACM_CAP.4.4C	Список конфигурации должен содержать описание элементов конфигурации, входящих в программное обеспечение.
						ACM_CAP.4.5C	Документация УК должна содержать описание метода, используемого для уникальной
							идентификации элементов конфигурации.
						ACM_CAP.4.6C	Система УК должна уникально идентифицировать все элементы конфигурации.
						ACM_CAP.4.7С	План УК должен содержать описание, как используется система УК.
						ACM_CAP.4.8С	Свидетельство должно демонстрировать, что система УК действует в соответствии с планом УК.
						ACM_CAP.4.9С	Документация УК должна содержать свидетельство, что система УК
							действительно сопровождала и продолжает эффективно сопровождать все элементы конфигурации.
						ACM_CAP.4.10С	Система УК должна предусмотреть такие меры, при которых в элементах конфигурации могут быть сделаны только санкционированные изменения.
						ACM_CAP.4.11C	Система УК должна поддерживать генерацию программного обеспечения.
						ACM_CAP.4.12C	План приемки должен содержать описание процедур, используемых для приемки модифицированного или вновь созданного элемента конфигурации как части программного обеспечения.
ACM_SCP.2	Охват УК отслеживания проблем	ACM_CAP.3	Средства контроля авторизации.	ACM_SCP.3.1D	Разработчик должен представить документацию УК.	ACM_SCP.2.1C	Документация УК должна показать, что система УК, как минимум, отслеживает: представление реализации программного обеспечения, проектную документацию, тестовую документацию, документацию пользователя,	ACM_SCP.2.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
							документацию администратора, документацию УК и недостатки безопасности.

3.11.13. Класс ADO: Поставка и эксплуатация

Таблица А.13

Идентификатор		Зависимости		Элементы действий разработчика		Элементы содержания и представления свидетельств		Элементы действий оценщика
ADO_DEL.2	Обнаружение модификации	ACM_CAP.3	Средства контроля авторизации.	ADO_DEL.2.1D	Разработчик должен документировать процедуры поставки программного обеспечения или его частей пользователю.	ADO_DEL.2.1C	Документация поставки должна содержать описание всех процедур, необходимых для поддержки безопасности при распространении версий к местам использования.	ADO_DEL.2.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
				ADO_DEL.2.2	Разработчик должен использовать процедуры поставки.	ADO_DEL.2.2C	Документация поставки должна содержать описание, как различные процедуры и технические меры обеспечивают обнаружение модификаций или любого расхождения между оригиналом разработчика и версией, полученной в месте использования.
						ADO_DEL.2.3C	Документация поставки должна содержать описание, как различные процедуры позволяют обнаружить попытку подмены от имени
							разработчика, даже в тех случаях, когда разработчик ничего не отсылал к месту использования.
ADO_IGS.1	Процедуры установки, генерации и запуска	AGD_ADM.1	Руководство администратора.	ADO_IGS.1.1D	Разработчик должен задокументировать процедуры, необходимые для безопасной установки, генерации и запуска программного обеспечения.	ADO_IGS.1.1C	Документация должна содержать описание последовательности действий, необходимых для безопасной установки, генерации и запуска программного обеспечения.	ADO_IGS.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
								ADO_IGS.1.2E	Оценщик должен сделать независимое заключение, что процедуры установки, генерации и запуска приводят к безопасной конфигурации.

3.11.14. Класс ADV: Разработка

Таблица А.14

Идентификатор		Зависимости		Элементы действий разработчика		Элементы содержания и представления свидетельств		Элементы действий оценщика
ADV_FSP.2	Полностью определенные внешние интерфейсы	ADV_RCR.1	Неформальная демонстрация соответствия.	ADV_FSP.2.1D	Разработчик должен представить функциональную спецификацию.	ADV_FSP.2.1C	Функциональная спецификация должна содержать неформальное описание функций	ADV_FSP.2.1E	Оценщик должен подтвердить, что представленная информация
							безопасности программного обеспечения (ФБО) и их внешних интерфейсов.		удовлетворяет всем требованиям к содержанию и представлению свидетельств.
						ADV_FSP.2.2C	Функциональная спецификация должна быть внутренне непротиворечивой.	ADV_FSP.2.2E	Оценщик должен сделать независимое заключение, что функциональная спецификация - точное и полное отображение функциональных требований безопасности программного обеспечения.
						ADV_FSP.2.3C	Функциональная спецификация должна содержать описание назначения и методов использования всех внешних интерфейсов ФБО, обеспечивая полную детализацию всех результатов, нештатных ситуаций и сообщений об ошибках.
						ADV_FSP.2.4C	Функциональная спецификация должна полностью представить ФБО.
						ADV_FSP.2.5C	Функциональная спецификация должна включать в себя
							логическое обоснование, что ФБО полностью представлены.
ADV_HLD.2	Детализация вопросов безопасности в проекте верхнего уровня	ADV_FSP.1	Неформальная функциональная спецификация,	ADV_HLD.3.1D	Разработчик должен представить проект верхнего уровня функций безопасности программного обеспечения.	ADV_HLD.2.1C	Представление проекта верхнего уровня должно быть неформальным.	ADV_HLD.2.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
		ADV_RCR.1	Неформальная демонстрация соответствия.			ADV_HLD.2.2C	Проект верхнего уровня должен быть внутренне непротиворечивым.	ADV_HLD.2.2E	Оценщик должен сделать независимое заключение, что проект верхнего уровня - точное и
									полное отображение функциональных требований безопасности программного обеспечение.
						ADV_HLD.2.3C	Проект верхнего уровня должен содержать описание структуры Функций безопасности в терминах подсистем безопасности.
						ADV_HLD.2.4C	Проект верхнего уровня должен содержать описание функциональных возможностей
							безопасности, предоставленных каждой подсистемой программного обеспечения.
						ADV_HLD.2.5C	Проект верхнего уровня должен идентифицировать все базовые аппаратные, программно-аппаратные и/или программные средства, требуемые для реализации функций безопасности.
						ADV_HLD.2.6C	Проект верхнего уровня должен идентифицировать все
							интерфейсы для подсистем безопасности.
						ADV_HLD.2.7C	Проект верхнего уровня должен идентифицировать, какие из интерфейсов подсистем безопасности являются видимыми извне программного обеспечения.
						ADV_HLD.2.8C	Проект верхнего уровня должен содержать описание назначения и методов использования всех интерфейсов подсистем
							безопасности, обеспечивая, где это необходимо, детализацию результатов, нештатных ситуаций и сообщений об ошибках.
						ADV_HLD.2.9C	Проект верхнего уровня должен содержать описание разделения программного обеспечения на подсистемы, осуществляющие политику безопасности, и прочие.
ADV_IMP.1	Подмножество реализации ФБО	ADV_LLD.1	Описательный проект нижнего уровня,	ADV_IMP.1.1D	Разработчик должен обеспечить представление реализации для выбранного подмножества функций безопасности.	ADV_IMP.1.1C	Представление реализации должно однозначно определить функции безопасности программного обеспечения на таком уровне детализации, что они могут быть созданы без дальнейших проектных решений.	ADV_IMP.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
		ADV_RCR.1	Неформальная демонстрация соответствия,			ADV_IMP.1.2C	Представление реализации должно быть внутренне непротиворечивым.	ADV_IMP.1.2E	Оценщик должен сделать независимое заключение, что наименее абстрактное представление
									функций безопасности - точное и полное отображение функциональных требований безопасности к программному обеспечению.
		ALC_TAT.1	Полностью определенные инструментальные средства разработки.
ADV_LLD.1	Описательный проект нижнего уровня	ADV_HLD.2	Детализация вопросов безопасности в проекте верхнего	ADV_LLD.1.1D	Разработчик должен представить проект нижнего уровня функций	ADV_LLD.1.1C	Представление проекта нижнего уровня должно быть неформальным.	ADV_LLD.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет.
			уровня		безопасности.				всем требованиям к содержанию и представлению свидетельств.
		ADV_RCR.1	Неформальная демонстрация соответствия.			ADV_LLD.1.2C	Проект нижнего уровня должен быть внутренне непротиворечивым.	ADV_LLD.1.2E	Оценщик должен сделать независимое заключение, что проект нижнего
									уровня - точное и полное отображение функциональных требований безопасности к программному обеспечению.
						ADV_LLD.1.3C	Проект нижнего уровня должен содержать описание функций безопасности в терминах модулей.
						ADV_LLD.1.4C	Проект нижнего уровня должен содержать описание назначения каждого модуля.
						ADV_LLD.1.5C	Проект нижнего уровня должен определить взаимосвязи между модулями в терминах предоставляемых функциональных возможностей
							безопасности и зависимостей от других модулей.
						ADV_LLD.1.6C	Проект нижнего уровня должен содержать описание, как предоставляется каждая из функций, осуществляющих политики безопасности.
						ADV_LLD.1.7C	Проект нижнего уровня должен идентифицировать все интерфейсы модулей безопасности.
						ADV_LLD.1.8C	Проект нижнего уровня должен идентифицировать, какие из интерфейсов модулей безопасности являются видимыми извне.
						ADV_LLD.1.9C	Проект нижнего уровня должен содержать описание назначения и методов использования всех интерфейсов модулей безопасности, предоставляя, при необходимости, детализацию
							результатов, нештатных ситуаций и сообщений об ошибках.
						ADV_LLD.1.10C	Проект нижнего уровня должен содержать описание разделения программного обеспечения на модули, осуществляющие политики безопасности, и прочие.

ADV_RCR.1 (1)	Неформальная демонстрация соответствия			ADV_RCR.1.1D	Разработчик должен представить анализ соответствия между всеми смежными парами имеющихся представлений функций безопасности.	ADV_RCR.1.1C	Для каждой смежной пары, имеющихся представлений безопасности, анализ должен демонстрировать, что все функциональные возможности более абстрактного представления функций безопасности, правильно и полностью уточнены в менее абстрактном представлении функций безопасности.	ADV_RCR.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
ADV_RCR.1(2)	Неформальная демонстрация соответствия			ADV_RCR.1.1D	Разработчик должен представить анализ соответствия между исходными текстами программного обеспечения и его объектным (загрузочным) кодом.	ADV_RCR.1.1C	Для смежной пары представлений функций безопасности, указанных в ADV_RCR.1.1D, анализ должен демонстрировать, что все функциональные возможности более абстрактного представления функций безопасности, правильно и полностью уточнены в менее абстрактном представлении функций безопасности	ADV_SPM.1.1Е	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.

								ADV_RCR.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
ADV_SPM.1	Неформальная модель политики безопасности ОО	ADV_FSP.1	Неформальная функциональная спецификация.	ADV_SPM.1.1D	Разработчик должен представить модель политики безопасности.	ADV_SPM.1.1C	Модель политики безопасности должна быть неформальной.
				ADV_SPM.1.2D	Разработчик должен продемонстрировать или доказать, где это требуется, соответствие между функциональной спецификацией и моделью политики безопасности.	ADV_SPM.1.2C	Модель политики безопасности должна содержать описание правил и характеристик всех политик, которые могут быть смоделированы.
						ADV_SPM.1.3C	Модель политики безопасности должна включать в себя логическое обоснование, которое демонстрирует, что она согласована и полна относительно
							всех политик безопасности, которые могут быть смоделированы.
						ADV_SPM.1.4C	Демонстрация соответствия между моделью политики безопасности и функциональной спецификацией должна показать, что все функции безопасности в функциональной спецификации являются непротиворечивыми и полными относительно модели политики безопасности.

3.11.15. Класс AGD: Руководства

Таблица А.15

Идентификатор		Зависимости		Элементы действий разработчика		Элементы содержания и представления свидетельств		Элементы действий оценщика
AGD_ADM.1	Руководство администратора	ADV_FSP.1	Неформальная функциональная спецификация.	AGD_ADM.1.1D	Разработчик должен представить руководство администратора, предназначенное для персонала системного администрирования	AGD_ADM.1.1C	Руководство администратора должно содержать описание функций администрирования и интерфейсов, доступных администратору программного обеспечения.	AGD_ADM.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
						AGD_ADM.1.2C	Руководство администратора должно содержать описание того, как управлять программным обеспечением безопасным способом.
						AGD_ADM.1.3C	Руководство администратора должно содержать предупреждения относительно функций и привилегий, которые следует контролировать в безопасной среде обработки информации.
						AGD_ADM.1.4C	Руководство администратора должно содержать описание всех предположений о поведении пользователя, которые связаны с безопасной эксплуатацией программного обеспечения.
						AGD_ADM.1.5C	Руководство администратора должно содержать описание всех параметров безопасности, контролируемых администратором информационной безопасности, указывая, при необходимости, безопасные значения.
						AGD_ADM.1.6C	Руководство администратора должно содержать описание каждого типа относящихся к безопасности событий, связанных с выполнением обязательных функций администрирования, включая изменение
							характеристик безопасности сущностей, контролируемых функциями безопасности программного обеспечения.
						AGD_ADM.1.7C	Руководство администратора должно быть согласовано со всей другой документацией, представленной для оценки.
						AGD_ADM.1.8C	Руководство администратора должно содержать описание всех требований безопасности к среде ИТ, которые относятся к администратору.
AGD_USR.1	Руководство пользователя	ADV_FSP.1	Неформальная функциональная спецификация.	AGD_USR.1.1D	Разработчик должен представить руководство пользователя.	AGD_USR.1.1C	Руководство пользователя должно содержать описание функций и интерфейсов, которые доступны пользователям программного обеспечения, не связанным с администрированием.	AGD_USR.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
						AGD_USR.1.2C	Руководство пользователя должно содержать описание применения доступных пользователям функций безопасности, предоставляемых программным обеспечением.
						AGD_USR.1.3C	Руководство пользователя должно содержать предупреждения относительно доступных для пользователей функций и привилегий, которые следует контролировать в безопасной среде обработки информации.
						AGD_USR.1.4C	Руководство пользователя должно четко представить все обязанности пользователя, необходимые для безопасной эксплуатации программного обеспечения, включая обязанности, связанные с предположениями относительно действий пользователя, содержащимися в изложении среды безопасности программного обеспечения.
						AGD_USR.1.5C	Руководство пользователя должно быть согласовано со всей другой документацией, представленной для оценки.
						AGD_USR.1.6C	Руководство пользователя должно содержать описание всех требований безопасности к среде ИТ, которые имеют отношение к пользователю.

3.11.16. Класс ALC: Поддержка жизненного цикла

Таблица А.16

Идентификатор		Зависимости		Элементы действий разработчика		Элементы содержания и представления свидетельств		Элементы действий оценщика
ALC_DVS.1	Идентификация мер безопасности			ALC_DVS.1.1D	Разработчик должен иметь документацию по безопасности разработки.	ALC_DVS.1.1C	Документация по безопасности разработки должна содержать описание всех физических, процедурных, относящихся к персоналу и других мер безопасности, которые необходимы для защиты конфиденциальности и целостности проекта программного обеспечения и его реализации в среде разработки.	ALC_DVS.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
						ALC_DVS.1.2C	Документация по безопасности разработки должна предоставить свидетельство, что необходимые меры безопасности соблюдаются во время разработки и сопровождения программного обеспечения.	ALC_DVS.1.2E	Оценщик должен подтвердить применение мер безопасности.
ALC_LCD.1	Определение модели жизненного цикла разработчиком			ALC_LCD.1.1D	Разработчик должен установить модель жизненного цикла, используемую при разработке и сопровождении программного обеспечения.	ALC_LCD.1.1C	Документация по определению жизненного цикла должна содержать описание модели, применяемой при разработке и сопровождении программного обеспечения.	ALC_LCD.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
				ALC_LCD.1.2D	Разработчик должен представить документацию по определению жизненного цикла.	ALC_LCD.1.2C	Модель жизненного цикла должна обеспечить необходимый контроль за разработкой и сопровождением программного обеспечения.
ALC_TAT.1	Полностью определенные инструментальные средства разработки	ADV_IMP.1	Подмножество реализации функций безопасности.	ALC_TAT.1.1D	Разработчик должен идентифицировать инструментальные средства разработки программного обеспечения.	ALC_TAT.1.1C	Все инструментальные средства разработки, используемые для реализации, должны быть полностью определены.	ALC_TAT.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
				ALC_TAT.1.2D	Разработчик должен задокументировать выбранные опции инструментальных средств разработки, зависящие от реализации.	ALC_TAT.1.2C	Документация инструментальных средств разработки должна однозначно определить значения всех конструкций языка, используемых в реализации.
						ALC_TAT.1.3C	Документация инструментальных средств разработки должна однозначно определить значения всех опций, зависящих от реализации.

3.11.17. Класс ATE: Тестирование

Таблица А.17

Идентификатор

Зависимости

Элементы действий разработчика

Элементы содержания и представления свидетельств

Элементы действий оценщика

ATE_COV.2

Анализ покрытия

ADV_FSP.1

Неформальная функциональная спецификация,

ATE_COV.2.1D

Разработчик должен представить анализ покрытия тестами.

ATE_COV.2.1C

Анализ покрытия тестами должен демонстрировать соответствие между тестами, идентифицированными в тестовой документации, и описанием функций безопасности в функциональной спецификации.

ATE_COV.2.1E

Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.

ATE_FUN.1

Функциональное тестирование.

ATE_COV.2.2C

Анализ покрытия тестами должен демонстрировать полное соответствие между описанием функций безопасности в функциональной спецификации и тестами, идентифицированными в тестовой документации.

ATE_DPT.1

Тестирование: проект верхнего уровня

ADV_HLD.1

Описательный проект верхнего уровня,

ATE_DPT.1.1D

Разработчик должен представить анализ глубины тестирования.

ATE_DPT.1.1C

Анализ глубины должен показать достаточность тестов, идентифицированных в тестовой документации, для демонстрации, что функции безопасности выполняются в соответствии с проектом верхнего уровня.

ATE_DPT.1.1E

ATE_FUN.1

Функциональное тестирование.

ATE_FUN.1

Функциональное тестирование

ATE_FUN.1.1D

Разработчик должен протестировать функции безопасности и задокументировать результаты.

ATE_FUN.1.1C

Тестовая документация должна состоять из планов и описаний процедур тестирования, а также ожидаемых и фактических результатов тестирования.

ATE_FUN.1.1E

ATE_FUN.1.2D

Разработчик должен представить тестовую документацию.

ATE_FUN.1.2C

Планы тестирования должны идентифицировать проверяемые функции безопасности и содержать изложение целей тестирования.

ATE_FUN.1.3C

Описания процедур тестирования должны идентифицировать тесты, которые необходимо выполнить, и включать в себя сценарии для тестирования каждой функции безопасности. Эти сценарии должны учитывать любое влияние последовательности выполнения тестов на результаты других тестов.

ATE_FUN.1.4C

Ожидаемые результаты тестирования должны показать прогнозируемые выходные данные успешного выполнения тестов.

ATE_FUN.1.5C

Результаты выполнения тестов разработчиком должны демонстрировать, что каждая проверенная функция безопасности выполнялась в соответствии со спецификациями.

ATE_IND.2

Выборочное независимое тестирование

ADV_FSP.1

Неформальная функциональная спецификация,

ATE_IND.2.1D

Разработчик должен представить программное обеспечение для тестирования.

ATE_IND.2.1C

Программное обеспечение должно быть пригодно для тестирования.

ATE_IND.2.1E

AGD_ADM.1

Руководство администратора,

ATE_IND.2.2C

Разработчик должен представить набор ресурсов, эквивалентных использованным им при функциональном тестировании функций безопасности.

ATE_IND.2.2E

Оценщик должен протестировать подмножество функций безопасности, чтобы подтвердить, что программное обеспечение функционирует в соответствии со спецификациями.

AGD_USR.1

Руководство пользователя,

ATE_IND.2.3E

Оценщик должен выполнить выборку тестов из тестовой документации, чтобы верифицировать результаты тестирования, полученные разработчиком.

ATE_FUN.1

Функциональное тестирование.

3.11.18. Класс AVA: Оценка уязвимостей

Таблица А.18

Идентификатор			Зависимости		Элементы действий разработчика		Элементы содержания и представления свидетельств		Элементы действий оценщика
AVA_MSU.2	Подтверждение правильности анализа		ADO_IGS.1	Процедуры установки, генерации и запуска,	AVA_MSU.2.1	Разработчик должен представить руководства по применению программного обеспечения.	AVA_MSU.2.1C	Руководства должны идентифицировать все возможные режимы эксплуатации программного обеспечения (включая действия после сбоя или ошибки в работе), их последствия и значение для обеспечения безопасной эксплуатации.	AVA_MSU.2.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
			ADV_FSP.1	Неформальная функциональная спецификация,	AVA_MSU.2.2D	Разработчик должен задокументировать анализ полноты и непротиворечивости руководств.	AVA_MSU.2.2C	Руководства должны быть полны, понятны, непротиворечивы и обоснованы.	AVA_MSU.2.2E	Оценщик должен повторить все процедуры конфигурирования и установки и выборочно другие процедуры для подтверждения, что программное обеспечение можно безопасно конфигурировать и использовать, применяя только представленные руководства.
			AGD_ADM.1	Руководство администратора,			AVA_MSU.2.3C	Руководства должны содержать список всех предположений относительно среды эксплуатации.	AVA_MSU.2.3E	Оценщик должен сделать независимое заключение, что использование руководств позволяет выявить все опасные состояния.
			AGD_USR.1	Руководство пользователя.			AVA_MSU.2.4C	Руководства должны содержать список всех требований к внешним мерам безопасности (включая внешний контроль за процедурами, физическими мерами и персоналом).	AVA_MSU.2.4E	Оценщик должен подтвердить, что документация анализа показывает обеспечение руководствами безопасного функционирования во всех режимах эксплуатации программного обеспечения.
							AVA_MSU.2.5C	Документация анализа должна демонстрировать, что руководства полны.
AVA_SOF.1		Оценка стойкости функции безопасности ОО	ADV_FSP.1	Неформальная функциональная спецификация,	AVA_SOF.1.1D	Разработчик должен выполнить анализ стойкости функции безопасности программного обеспечения для каждого механизма, идентифицированного в задании по безопасности как имеющего утверждение относительно стойкости функции безопасности программного обеспечения.	AVA_SOF.1.1C	Для каждого механизма, имеющего утверждение относительно стойкости функции безопасности программного обеспечения, анализ должен показать, что ее стойкость достигает или превышает минимальный уровень стойкости, определенный в настоящих требованиях.	AVA_SOF.1.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
			ADV_HLD.1	Описательный проект верхнего уровня.			AVA_SOF.1.2C	Для каждого механизма, имеющего утверждение относительно конкретной стойкости функции безопасности программного обеспечения, анализ должен показать, что ее стойкость достигает или превышает конкретный показатель, определенный в настоящих требованиях.	AVA_SOF.1.2E	Оценщик должен подтвердить, что утверждения относительно стойкости корректны.
AVA_VLA.2		Независимый анализ уязвимостей	ADV_FSP.1	Неформальная функциональная спецификация,	AVA_VLA.2.1D	Разработчик должен выполнить и задокументировать анализ поставляемых материалов программного обеспечения по поиску путей, которыми пользователь может нарушить политики безопасности.	AVA_VLA.2.1C	Документация должна показать для всех идентифицированных уязвимостей, что ни одна из них не может быть использована в предполагаемой среде функционирования программного обеспечения.	AVA_VLA.2.1E	Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
			ADV_HLD.2	Детализация вопросов безопасности в проекте верхнего уровня	AVA_VLA.2.2D	Разработчик должен задокументировать местоположение идентифицированных уязвимостей.	AVA_VLA.2.2C	Документация должна содержать строгое обоснование, что программное обеспечение с идентифицированными уязвимостями является стойким к явным нападениям проникновения.	AVA_VLA.2.2E	Оценщик должен провести тестирование проникновения, основанное на анализе уязвимостей, выполненном разработчиком, для обеспечения учета идентифицированных уязвимостей.
			ADV_IMP.1	Подмножество реализации функций безопасности					AVA_VLA.2.3E	Оценщик должен выполнить независимый анализ уязвимостей, основываясь, в том числе, на результатах:
			ADV_LLD.1	Описательный проект нижнего уровня						- контроля связей функциональных объектов (модулей, процедур, функций) по управлению и по информации;
			AGD_ADM.1	Руководство администратора						- контроля информационных объектов различных типов,
			AGD_USR.1	Руководство пользователя.						- формирования перечня маршрутов выполнения функциональных объектов (процедур, функций);
										- контроля выполнения функциональных объектов (процедур, функций);
										- сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных при формировании перечня маршрутов выполнения функциональных объектов.
									AVA_VLA.2.4E	Оценщик должен выполнить независимое тестирование проникновения, основанное на независимом анализе уязвимостей, и сделать независимое заключение о возможности использования дополнительно идентифицированных уязвимостей в предполагаемой среде.
									AVA_VLA.2.5E	Оценщик должен сделать независимое заключение, что программное обеспечение является стойким к нападениям проникновения, выполняемым нарушителем, обладающим средним и высоким потенциалом нападения.

3.12 Соответствие функциональных требований безопасности целям безопасности

Таблица А.19

Функциональные требования безопасности	Цели безопасности
FAU_ARP.1	O.AUDITING
FAU_GEN.1	O.AUDITING
FAU_GEN.2	O.AUDITING
FAU_SAA.1	O.AUDITING
FAU_SAR.1	O.AUDITING
FAU_SAR.2	O.AUDITING
FAU_SEL.1	O.AUDITING
FAU_STG.1	O.AUDITING
FAU_STG.3	O.AUDITING
FAU_STG.4	O.AUDITING
FAU_COP.1	O.CRYPTO O.I&A
FDP_ACC.1	O.DACCESS
FDP_ACF.1	O.DACCESS
FDP_IFC.2	O.NFLOW
FDP_IFF.1	O.NFLOW
FDP_ITC.2	O.DACCESS O.SUBJECT O.NFLOW
FDP_ITT.1	O.NFLOW
FDP_RIP.2	O.AUDITING O.CRYPTO O.DACCESS O.SUBJECT O.NFLOW O.I&A
FDP_ROL.2	O.AVAIL
FDP_SDI.1	O.AVAIL

FIA_AFL.1	O.I&A
FIA_ATD.1	O.I&A O.NFLOW
FIA_SOS.1	O.I&A
FIA_UAU.2	O.I&A
FIA_UID.2	O.I&A O.NFLOW
FIA_USB.2	O.I&A
FMT_MSA.1	O.MANAGE
FMT_MSA.3	O.MANAGE
FMT_MTD.1	O.MANAGE
FMT_REV.1	O.MANAGE
FMT_SMF.1	O.MANAGE
FMT_SMR.1	O.MANAGE
FPT_STM.1	O.AUDITING
FPT_TDC.1	O.DACCESS
FPT_ITC.1	O.TRUSTCHAN
FTA_SSL.1	O.I&A
FTA_SSL.2	O.I&A

Контроль достаточности представленных функциональных требований осуществляется применительно для каждой конкретной систем удаленного мониторинга и диагностики технического состояния на жизненном цикле системы.

Проект

УТВЕРЖДЕНЫ
постановлением Правительства Российской Федерации
от 2016 г. N

Методические указания
по определению модели угроз безопасности систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования

1 Общие положения

1.1 Настоящие Методические указания определяют основные критерии, принципы и методологические подходы, в соответствии с которыми выполняется анализ угроз и определение моделей нарушителей в отношении систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования, эксплуатируемого на объектах электроэнергетики, входящих в топливно-энергетический комплекс.

1.2 Определенные с помощью методических указаний виды угроз и и модели нарушителей должны применяться в качестве исходных данных для проведения категорирования объекта, установленных Правительством Российской Федерации, а также в целях прохождения процедуры сертификации систем удаленного мониторинга и диагностики.

1.3 Применение Методических указаний распространяется на:

- технические средства: программное обеспечение, аппаратные средства, программно-аппаратные комплексы, автоматизированные рабочие места, телекоммуникационное оборудование;

- бизнес-процессы (технологические процессы): оказание услуг, техническое обслуживание и ремонт;

- автоматизированные информационные процессы: средства и технологии передачи информации (протоколы сетевого взаимодействия и информационного обмена, линии связи, программные средства информационного обмена и т. д.), средства сбора и обработки информации, планирования ресурсов предприятий, управления активами и др., базы данных;

- процессы и средства информационной безопасности: процессы и системы разграничения и управления доступом, процессы и системы межсетевого экранирования, процессы и системы обеспечения конфиденциальности, процессы и системы защиты от вредоносного ПО, процессы и системы обеспечения целостности, процессы и системы управления потоками информации, процессы и системы реагирования на инциденты информационной безопасности, процессы и системы обеспечения целостности, процессы и системы обеспечения физической безопасности;

- персонал;

- физические свойства компонентов: линии связи, технические средства.

1.4 Методические указания предназначены для применения субъектами электроэнергетики Российской Федерации. Применение Методических указаний для субъектов электроэнергетики ограничено их деятельностью на объектах, расположенных в Российской Федерации, владельцами которых являются организации.

1.5 Используемые в настоящих методических указаниях понятия означают следующее:

"автоматизированная система управления" - группа решений технических и программных средств, предназначенных для автоматизации управления оборудованием на промышленных предприятиях;

- технологический мониторинг состояния оборудования/объекта;

- прогнозный мониторинг;

- определение остаточного ресурса оборудования/объекта и его деталей.

вирус (компьютерный, программный)" - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению;

"демилитаризованная зона" - фрагмент сети, не являющийся полностью доверенным; область в сети, системы в которой отделены от основной части;

"доверие" - основание для уверенности в том, что изделие отвечает целям безопасности;

"доступ к информации" - возможность санкционированного получения информации и ее использования;

"маршрутизатор" - специализированный сетевой компьютер, имеющий два или более сетевых интерфейсов и пересылающий пакеты данных между различными сегментами сети.

"патч" - программное средство, используемое для устранения проблем в программном обеспечении или изменения его функциональности;

"система удаленного мониторинга и диагностики технического состояния" - программно-аппаратный комплекс обеспечивающий процесс удаленного наблюдения и контроля за состоянием объекта (действующее оборудование), его диагностирование и прогнозирование изменения технического состояния на основе собранных данных (исторические данные о состоянии оборудования), и операционных данных, получаемых от систем сбора данных, установленных на оборудовании;

"сегменты системы удаленного мониторинга и диагностики технического состояния" - основные составные части системы, обеспечивающие её полноценное функционирование. Система удаленного мониторинга и диагностики состоит из следующих сегментов: сбора, хранения и передачи данных (программное и аппаратное обеспечение нижнего уровня, осуществляющее сбор данных с датчиков оборудования, межсетевые экраны, системы хранения данных); эксплуатации (программное и аппаратное обеспечение среднего уровня, осуществляющее первичную обработку и представление данных, автоматизированные рабочие места эксплуатирующего персонала); обслуживания (программное и аппаратное обеспечение верхнего уровня, обеспечивающее обработку и представление данных с функциями: прогнозирования, сценарного моделирования, графического представляения технического состояния оборудование, автоматизированны рабочие места эксплуатирующего персонала);

"тонкий клиент в компьютерных технологиях" - компьютер или программа-клиент в сетях с клиент-серверной или терминальной архитектурой, который переносит все или большую часть задач по обработке информации на сервер;

"толстый клиент в компьютерных технологиях" - приложение, обеспечивающее пользователям расширенную функциональность независимо от центрального сервера;

"удаленный мониторинг и диагностика" - процесс наблюдения и контроля за состоянием объекта путем сбора и хранения данных, средствами специального оборудования с последующей их обработкой автоматизированными средствами, с целью оценки текущего и прогнозного состояния объекта;

"целостность информации" - состояние информации, при котором ее модификация осуществляется преднамеренно и только уполномоченными субъектами доступа;

"Data Modification" - модифицирование данных;

"Disaster Recovery Planning" - спланированный, регламентированный и доведенный до сведения потенциальных исполнителей комплекс мер, направленных на восстановление бизнес-процессов при их нарушении вследствие нештатных ситуаций;

"FTP (протокол передачи файлов)" - стандартный протокол, предназначенный для передачи файлов по компьютерным сетям;

"IPSec" - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу;

"OPC технология" - семейство программных технологий, предоставляющих единый интерфейс управления объектами автоматизации и технологическими процессами;

"OPC tunneling" - процесс, в ходе которого создается защищенное логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов;

"OSI" - базовая сетевая модель стека сетевых протоколов;

"Poisoning (заражение)" - разновидность сетевой компьютерной атаки типа "человек посередине";

"Replay" - повторение легальных сессий, атаки повторного воспроизведения;

"SC (System Classification)" - система классификации типов нарушителей;

"SCADA-система (Supervisory Control And Data Acquisition)" - программно-аппаратный комплекс сбора данных и диспетчерского контроля;

"Sniffing (анализатор трафика)" - программа или устройство для перехвата и анализа сетевого трафика (своего и/или чужого);

"Spoofing (подмена)" - ситуация, в которой один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества;

"TCP (протокол управления передачей)" - один из основных протоколов передачи данных интернета, предназначенный для управления передачей данных.

1.6 В качестве показателя актуальности угроз, реализующих идентифицированный риск, применяется качественный подход, основанный на выделении из общего перечня потенциальных угроз безопасности системы, актуальных угроз, с учетом:

- ценности (важности) рассматриваемой системы и ее компонентов;

- существующих уязвимостей системы и их компонентов;

- вероятности их реализации (использования);

- опасности рассматриваемой угрозы с точки зрения потенциальных последствий и деструктивных действий, выполняемых в результате реализации угроз.

1.7 Общая принципиальная схема проведения анализа угроз приведена на рисунке 1.

Рисунок 1 - Общая схема процедуры анализа угроз

1.8 Рассматриваемые угрозы информационной безопасности могут быть реализованы различными источниками угроз. Актуальность потенциальных источников угроз информационной безопасности определяется в рамках выполнения анализа угроз информационной безопасности. Перечень возможных:

- конкуренты;

- зарубежные спецслужбы;

- криминальные элементы (структуры);

- недобросовестные партнеры;

- работники (персонал) предприятий;

- хакеры (злонамеренные высококвалифицированные специалисты информационных технологий, киберпреступники);

- разработчики и производители технических средств и программного обеспечения.

1.9 В рамках Методических указаний не рассматриваются угрозы, связанные с утечкой информации по техническим каналам в силу крайне низкой вероятности возможности их реализации для рассматриваемых объектов защиты. Маловероятность реализации таких угроз обусловлена следующими причинами:

- угрозы утечки акустической (речевой) информации не применимы к рассматриваемым автоматизированным системам ввиду отсутствия голосового ввода информации;

- угрозы утечки видовой информации возможны только с экранов автоматизированных рабочих мест пользователей различных категорий. Так как все автоматизированные рабочие места располагаются в пределах контролируемой зоны, где бесконтрольное пребывание посторонних лиц исключено, то утечка видовой информации не представляется возможной. В связи с чем, угрозы утечки видовой информации не применимы и не рассматриваются;

- угрозы утечки информации по каналам побочных электромагнитных излучений и наводок возможны. Однако, с учетом отсутствия специальных требований по защите конфиденциальной информации перехват информации с использованием специализированных средств маловероятен и нецелесообразен;

- угрозы перехвата и регистрации побочных электромагнитных полей и электрических сигналов, возникающих при обработке и передаче информации техническими средствами, входящими в состав информационно-телекоммуникационной инфраструктуры, также маловероятны в связи с отсутствием специальных требований по защите конфиденциальной информации, для которой было бы целесообразно применять специализированные средства перехвата.

Применение специальных средств электромагнитного воздействия, превышающего устойчивость технических средств к электромагнитным помехам не целесообразно с учетом локальности воздействия (невозможно повлиять таким способом на технологический процесс в целом).

2 Рассматриваемые угрозы информационной безопасности

2.1 Рассматриваемые в рамках Методических указаний деструктивные действия следующие в соответствии с обозначениями в таблице 1:

1. Несанкционированное копирование информации;

2. Уничтожение информации (носителя информации);

3. Модификация информации (навязывание ложной информации);

4. Блокирование информации;

5. Перехват информации (при ее передаче по каналам связи);

6. Разглашение информации персоналом;

7. Хищение носителя информации;

8. Нанесение ущерба здоровью персонала и окружающим людям;

9. Нанесение ущерба окружающей среде;

10. Физическое повреждение объекта защиты;

11. Блокирование контроля над объектом защиты.

Таблица А.20 - Соответствие деструктивных действий угрозам ИБ

Код

Угроза информационной безопасности

Деструктивное действие

УФД1

Физического проникновения на территорию без возможности проникновения в помещения с техническими средствами обработки, носителями информации, энергоустановок

УФД2

Хищения носителя информации, средств обработки информации (процессора, микросхемы, контроллеров, серверов и т.п.), средств коммуникации (маршрутизатора, коммутатора, сетевой карты, модема и т.п.), средств ввода вывода информации (клавиатура и т.п.)

УФД3

Уничтожения носителя информации, средств обработки информации (процессора, микросхемы, контроллеров, серверов и т.п.), средств коммуникации (маршрутизатора, коммутатора, сетевой карты, модема и т.п.), средств ввода вывода информации (клавиатура и т.п.)

УФД4

Потеря носителя информации

УФД5

Чтения информации с устройств отображения

УФД6

Повреждение оборудования и/или линий связи

УФД7

Навязывание ложной информации на уровне конечного оборудования или линий связи (при обмене данными между датчиками и контроллерами, между контроллерами и автоматизированной системы управления)

УФД8

Съем информации с конечного оборудования или линий связи (датчиков, контроллеров)

УФД9

Захват объекта защиты, установление над объектом защиты контроля силой или угрозой применения силы, или путем любой другой формы запугивания

УФД10

Разрушение объекта защиты или нанесение объекту защиты, здоровью персонала и другим лицам повреждений путем взрыва (обстрела)

УФД11

Размещение и(или) совершение действий в целях размещения каким бы то ни было способов на объекте защиты взрывных устройств (взрывчатых веществ)

УФД12

Загрязнение объекта защиты опасными веществами, угрожающих жизни и здоровью персонала и других лиц

УНДА1

Подбора пароля BIOS или системного программного обеспечения контроллера путем перебора вручную на основе предварительно собранных данных о пользователе

УНДА2

Обхода заданного пароля BIOS или системного программного обеспечения контроллера (воздействие на аппаратное обеспечение)

УНДАЗ

Загрузки альтернативной операционной системы с нештатного носителя

УНДБ1

Подбора пароля доступа (администратора) в операционную систему компьютера или к системному программному обеспечению контроллера с использованием заданных по умолчанию значений ("заводских" паролей)

УНДБ 1.2

Подбора пароля доступа (администратора) в операционную систему компьютера или к системному программному обеспечению контроллера посредством перебора различных вариантов

УНДВ

Подбора пароля доступа (администратора) в операционную систему компьютера посредством специализированного программного обеспечения

УНДГ1

Выявления пароля BIOS при загруженной операционной системы, посредством использования программ выявления пароля

УНДГ2

Выявления пароля доступа других пользователей при загруженной операционной системы (декодирование, из оперативной памяти, копирование хранилищ)

УНДГЗ

Создания новой учетной записи с расширенными привилегиями

УНДГ4

Уничтожения системного реестра, обнуление памяти контроллера

УНДГ5

Редактирования системного реестра с целью нарушения работоспособности операционной системы и/или прикладного программного обеспечения

УНДГ6

Использование стороннего программного обеспечения с целью несанкционированного воздействия на объект защиты

УНДГ6.4

Заражение вредоносным программным обеспечением автоматизированных рабочих мест, серверов, контроллеров

УНДГ7

Перезагрузки операционной системы с целью загрузки альтернативной операционной системы с нештатного носителя для расширения привилегий

УНДГ8

Копирования информации на нештатные носители информации

УНДГ9

Модификации информации

УНДГ10

Уничтожения (стирания) информации

УНДГ11

Уничтожения информации путем форматирования носителей информации

УУДА1

Сканирования сегмента сети с целью сбора информации

УУДБ1

Удаленного подбора пароля (администратора) посредством ввода имени и пароля, заданных по умолчанию для используемой операционной системы

УУДБ1.2

Удаленного подбора имени и пароля (администратора) посредством перебора

УУДБ2

Удаленного подбора пароля (пользователя)

УУДБЗ

Получения доступа к программам удаленного администрирования

УУДБ4

Внедрения ложного доверенного объекта

УУДБ5

Угрозы удаленного перехвата внешнесегментного сетевого трафика

УУДБ5.3

Удаленный перехват аутентификационной информации, передаваемой в открытом виде

УУДВ2

Переполнения буфера с запуском исполняемого кода

УУДВ10

Перенаправления сетевого трафика

УУДГ

Атаки на узлы, подключенные к сети Интернет

УУДД

Угрозы отказа в обслуживании (DoS)

УУДЕ1

Обход межсетевого экрана посредством инкапсуляции данных в заголовки пакетов протокола обмена сообщениями

УМУ1

Хищение мобильного устройства

УМУ2

Потеря мобильного устройства

УМУ3

Несанкционированное считывание информации с дисплея мобильного устройства

УМУ4

Внедрение вредоносного программного обеспечения на мобильное устройство

УМУ5

Перехват паролей/хэшей паролей при доступе с мобильного устройства через незащищенные сети, а также использование мобильного устройства в незащищенных сетях

УМУ6

Выявление хранящихся на мобильном устройстве паролей/хэшей паролей

УО 1

Ошибки при проектировании программных средств

УО 2

Ошибки при проектировании технических средств

УО З

Ошибки при изготовлении программных средств

УО 4

Ошибки при изготовлении технических средств

УО 5

Ошибки при эксплуатации технических средств

УО 6

Ошибки при эксплуатации программных средств

УТХ 1

Сбои, отказы технических средств

УТХ 2

Сбои, отказы программных средств

УБИЛ 80

Отказа подсистемы обеспечения температурного режима

УБИЛ 82

Физическое устаревание аппаратных компонентов

3 Определение степени важности информации

3.1 В соответствии с "Методикой определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры", утвержденной ФСТЭК России, степень важности обрабатываемой информации определяется по таблице А.21.

Таблица А.21 - Определение степени важности информации

Свойство безопасности	Степень важности	Определение
Целостность	1 степень	В системе обрабатывается информация, нарушение целостности которой недопустимо, так как исключает возможность выполнения оператором и (или) системой удаленного мониторинга и диагностики в целом своих функциональных и других задач или приводит к некорректной и недопустимой работе сегмента или системы в целом
	2 степень	В системе обрабатывается информация, нарушение целостности которой нежелательно, так как приводит к временной задержке выполнения оператором и (или) системой удаленного мониторинга и диагностики в целом своих функциональных и других задач или нежелательной некорректной работе компонентов системы
	3 степень	В системе обрабатывается информация, нарушение целостности которой не является существенным для оператора, системы удаленного мониторинга и диагностики в целом и(или) для корректного функционирования компонентов системы
Конфиденциальность	1 степень	В системе обрабатывается информация, нарушение конфиденциальности которой приводит к выходу из строя сегмента или системы в целом
Конфиденциальность	2 степень	В системе обрабатывается информация, нарушение конфиденциальности которой может привести к выходу из строя отдельных подсистем, обеспечивающих ее штатное функционирование
	3 степень	В системе обрабатывается информация, нарушение конфиденциальности которой может привести к выходу из строя отдельных подсистем, оказывающих влияние на характеристики ее функционирования
	4 степень	В системе обрабатывается информация, нарушение конфиденциальности которой может привести к отказу отдельных подсистем, обеспечивающих ее штатное функционирование
	5 степень	В системе обрабатывается информация, нарушение конфиденциальности которой может привести к отказу отдельных подсистем, оказывающих влияние на характеристики ее функционирования
Доступность	1 степень	В системе обрабатывается информация, нарушение доступности которой недопустимо, в независимости от времени восстановления, т.к. приводит к недопустимым нарушениям в работе пользователей (операторов), компонент сегмента и (или) системы удаленного мониторинга и диагностики в целом
	2 степень	В системе обрабатывается информация, нарушение доступности которой нежелательно, так как приводит к задержке выполнения пользователем (оператором) и(или) системой удаленного мониторинга и диагностики в целом своих задач
	3 степень	В системе обрабатывается информация, нарушение доступности которой не является существенным для пользователя (оператора) и (или) системы удаленного мониторинга и диагностики в целом

4 Идентификация уязвимостей компонентов

4.1 Идентификация уязвимостей компонентов систем удаленного мониторинга и диагностики технического состояния осуществляется с применением следующих основных подходов:

- оценка существования потенциальных уязвимостей в компонентах систем на основе заполнения общего опросного листа путем интервьюирования и/или анкетирования отвечающего за эксплуатацию системы удаленного мониторинга и диагностики персонала;

- анализ конфигурации компонентов системы удаленного мониторинга и диагностики (операционные системы, средства защиты информации, сетевое оборудование, системы управления базами данных) на предмет соответствия рекомендациям производителей;

- наблюдение экспертами, выполняющих работы по оценке рисков информационной безопасности, за деятельностью по реализации технологических процессов в системе удаленного мониторинга и диагностики и процессов обеспечения информационной безопасности.

4.2 Анализ уязвимостей взаимодействия между компонентами проводится с учетом специфики используемых протоколов.

4.3 Рассматриваются следующие атаки на каналы передачи информации:

- на прикладном уровне (Spoofing, Poisoning): подмена доверенного объекта и подмена сообщения;

- на канальном уровне (Sniffing, Data Modification, Replay): несанкционированное прослушивание (получение доступа к передаваемой информации), модификация передаваемой информации, атаки повторного воспроизведения.

При этом рассматриваются следующие потенциальные объекты атак (каналы передачи информации):

- серверами автоматизированной системы управления и серверами системы удаленного мониторинга и диагностики нижнего уровня;

- взаимодействие между серверами системы удаленного мониторинга и диагностики нижнего уровня и автоматизированным рабочим местом эксплуатационного персонала;

- взаимодействие между серверами системы удаленного мониторинга и диагностики верхнего и нижнего уровней;

- взаимодействие между сервером системы удаленного мониторинга и диагностики верхнего уровня и прикладным программным обеспечением (средства обработки архивных данных и разработки математических моделей);

- взаимодействие между сервером системы удаленного мониторинга и диагностики верхнего уровня, ЭВМ операторов и аналитиков.

4.4 При идентификации и анализе уязвимостей компонентов типовых систем удаленного мониторинга и диагностики технического состояния и моделировании угроз, существенное внимание должно быть уделено уязвимостям, выявленным на транспортном и сетевом уровнях классической модели OSI (протоколы IPSec, TCP и FTP), уязвимостям, характерным для семейства протоколов OPC, отвечающих за управление объектами автоматизации и технологическими процессами, а также уязвимостям операционных систем.

4.5 Классические атаки вследствие использования стека протокола IPSec:

- атаки типа "человек посередине";