Затверджую

Вид материала

Документы

Содержание 6.2 Заходи щодо забезпечення гарантій безпеки об’єкта експертизи 6.2.1.3 Співставлення заходу з вимогами гарантій 6.2.2 Середовище розробки 6.2.2.1.2 Керування конфігурацією 6.2.2.3 Співставлення заходу з вимогами гаратнтій 6.2.3 Послідовність розробки 6.2.3.1.2 Функціональна специфікація (модель політики безпеки) 6.2.3.1.3 Проект архітектури 6.2.3.1.4 Детальний проект 6.2.3.3 Співставлення заходу з вимогами гарантій 2-пср_прд_2.1 2-пср_прд_2.2 6.2.4 Середовище функціонування 6.2.5.1 Опис заходу 6.2.5.3 Співставлення заходу з вимогами гарантій 2-дкм_ххх_1.6 2-дкм_ххх_1.7 6.2.6 Випробування КЗЗ 6.2.6.1.2 Усунення „слабких місць” 6.2.6.3 Співставлення заходу з вимогами гарантій

Подобный материал:

• Затверджую затверджую голова Кримського Голова Державної податкової Республіканського, 117.84kb.
• “Затверджую”, 639.38kb.
• Юрія Федьковича «затверджую», 585.95kb.
• Володимира Даля "затверджую", 183.23kb.
• Затверджую: Проректор з навчальної роботи, 59.36kb.
• «Затверджую», 21.74kb.
• Юрія Федьковича " затверджую, 825.92kb.
• Юрія Федьковича " затверджую, 245.34kb.
• Юрія Федьковича " затверджую, 501.24kb.
• Затверджую прийнятий на засіданні, 1283.44kb.

6.2 Заходи щодо забезпечення гарантій безпеки об’єкта експертизи

Даний розділ містить опис заходів Розробника щодо забезпечення вимог гарантій безпеки ОЕ. Заходи структуровані відповідно до вимог гарантій НК [3] (підрозділ 5.3) та містять опис:

1. архітектури;
   
2. середовища розробки;
   
3. послідовності розробки;
   
4. середовища функціонування;
   
5. документації;
   
6. випробування КЗЗ.
   

Специфікація кожного окремого заходу включає наступне:

• опис заходу;
  
• список свідоцтв, які надані Замовником для підтвердження застосування заходу;
  
• співставлення заходу з вимогами гарантій, які визначені в ТВ (підрозділ 5.3).
  

В межах специфікації кожного окремого заходу застосовуються локальні посилання до свідоцтв, які перелічені у списку свідоцтв даного заходу. Ці посилання надаються у тексті в фігурних дужках, наприклад, {3}.

Співставлення заходів щодо забезпечення гарантій з визначеними вимогам гарантій в матричному вигляді надано у додатку 6.

6.2.1 Архітектура

6.2.1.1 Опис заходу

Розробник надає у свідоцтвах проекти архітектур ОЕ та КЗЗ ОЕ {1,2}, які містять опис:

• основних компонентів ОЕ;
  
• взаємодії компонентів ОЕ;
  
• основних компонентів КЗЗ;
  
• взаємодії компонентів КЗЗ.
  

Опис включає схеми та неформальний пояснювальний текст, який дає уявлення щодо основних компонентів КЗЗ ОЕ, їх зв’язку з архітектурними компонентами ОЕ та ролі у реалізації політики безпеки.

6.2.1.2 Свідоцтва

1. Microsoft® Windows® Internals, Fourth Edition: Microsoft Windows Server™ 2003, Windows XP, and Windows 2000 / David A. Solomon, Mark Russinovich. Microsoft Press A Division of Microsoft Corporation One Microsoft Way Redmond, Washington, - 2004.
   
2. Операционная система Microsoft Windows XP Professional Service Pack 1A. Задание по безопасности MS.Win_XP_SP1A.ЗБ. Версия 1.0.
   

6.2.1.3 Співставлення заходу з вимогами гарантій

Реалізація вимог заходом	Посилання	Позначення елемента вимоги	Зміст елемента вимоги
Політика безпеки ОЕ реалізується, зокрема, завдяки визначеної архітектури КЗЗ (підпункт 6.2.1.1)	{1,2}	2-АРХ_ХХХ_1.1	КЗЗ повинен реалізовувати політику безпеки
Архітектура ОЕ дозволяє чітко визначити всі базові компоненти (підсистеми) КЗЗ (підпункт 6.2.1.1)	{1,2}	2-АРХ_ХХХ_1.2	Всі компоненти КЗЗ повинні бути чітко визначені

6.2.2 Середовище розробки

6.2.2.1 Опис заходу

6.2.2.1.1 Процес розробки

Розробник використовує при розробці ОЕ задокументовані методології, які відображають організацію ІТ-проектів (Microsoft Solution Framework, MSF) та ІТ-процесів (операцій) на підприємстві (Microsoft Operations Framework, MOF).

MSF {1} визначає моделі керування проектом та ризиками реалізації проекту. MSF передбачає визначення стадій життєвого циклу проекту щодо їх результатів, контрольних точок та задіяних структур персоналу.

MOF {2} регламентує діяльність персоналу та реалізацію процесів, технологій і стратегій керування розробкою та супроводження ПЗ в складних розподілених гетерогенних ІТ-середовищах.

Розробник надає опис архітектури керування підприємством {3}, який визначає:

• принципи керування персоналом, процесами розробки та супроводження;
  
• підходи щодо вибору інструментів розробки та супроводження
  
• фази життєвого циклу ІТ-продуктів та їх характеристики.
  

6.2.2.1.2 Керування конфігурацією

Заходи щодо керування конфігурацією, які застосовуються Розробником, забезпечують унікальну ідентифікацію версій ОЕ. Розробник здійснює унікальне маркування ОЕ, що дозволяє відрізняти різні його версії. Це досягається маркуванням упаковці та носіїв {4}. Крім того, ОЕ може відображати свою назву і номер версії при запуску або у відповідь на запит через командний рядок або графічний інтерфейс {5} .

Розробник здійснює унікальне багаторазове маркування ОЕ - до назви та номеру версії додаються номера пакетів виправлень і пакетів оновлення. Розробник використовує маркування документації, яке гарантує її відповідність поточної версії ОЕ {4}.

Зміни, які вносяться до ПЗ ОЕ та документації, підтримуються і контролюються системою керування конфігурацією за допомогою автоматизованих засобів {5-7}. Засоби конфігурування ОЕ забезпечують кероване автоматизоване внесення змін в ПЗ ОЕ.

Розробник запровадив систему керування конфігурацією, яка дозволяє контролювати поточну конфігурацію ОЕ та змінювати її шляхом додавання видалення та налагодження компонентів ПЗ і документації {6-8}. ОЕ забезпечує відстеження змін в апаратному забезпеченні з використанням технології Plug & Play {5, 7}. Розробник підтримує систему контрольованого автоматизованого оновлення ОЕ в режимах on-line та off-line {5, 7}. ОЕ також підтримує засоби автоматизованої верифікації ПЗ {5}.


6.2.2.2 Свідоцтва

1. Microsoft Solutions Framework (soft.com/rus/msf).
   
2. Microsoft Operation Framework (ссылка скрыта).
   
3. Microsoft System Architecture v 2.0. Microsoft Corporation, 2003.
   
4. MICROSOFT для партнеров. Руководство для продавцов персональных компьютеров. Что Вы должны знать, продавая программные продукты Microsoft. Часть 3. Правила продажи OEM – версий программного обеспечения Microsoft.- Корпорация Microsoft, 2003.
   
5. Microsoft® Windows® XP Professional Resource Kit Documentation. Microsoft Corporation. Copyright © 2001. – 1744 p. ISBN 0-7356-1485-7.
   
6. Microsoft Solutions for Security. Windows XP Security Guide.- Patterns & practices. Microsoft Corporation, 2004.
   
7. Центр довідки та підтримки Windows XP.
   
8. Microsoft. Microsoft Solutions for Security. Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP - Patterns & practices. Microsoft Corporation, 2003.
   

6.2.2.3 Співставлення заходу з вимогами гаратнтій

Реалізація вимог заходом	Посилання	Позначення елемента вимоги	Зміст елемента вимоги
Розробником визначаються всі стадії життєвого циклу ОЕ, запровадженні та використовуються задокументовані методики діяльності, в яких визначаються гранічні характеристики кожної стадії життєвого циклу (підпункт 6.2.2.1.1)	{1,2,3}	2-СРР_ПРР_1.1 2-СРР_ПРР_1.2	Розробник повинен визначити всі стадії життєвого циклу ОЕ, розробити, запровадити і підтримувати в робочому стані документально оформлені методики своєї діяльності на кожній стадії. Мають бути документовані всі етапи кожної стадії життєвого циклу і їх граничні вимоги
Розробником запроваджені та підтримуються документовані методики щодо керування конфігурацією (підпункт 6.2.2.1.1)	{4-8}	2-СРР_КРК_1.1	Розробник повинен розробити, запровадити і підтримувати в робочому стані документовані методики щодо керування конфігурацією ОЕ на всіх стадіях її життєвого циклу
Зміни, які вносяться в апаратне забезпечення, настройки BIOS, ПЗ, систему довідки та електронної документації керуються та контролюються за допомогою системи конфігурування ОЕ (підпункт 6.2.2.1.2)	{5-8}	2-СРР_КРК_1.2	Система керування конфігурацією повинна забезпечувати керування внесенням змін в апаратне забезпечення, програми ПЗП, вихідні тексти, об'єктні коди, тестове покриття і документацію
Наявність унікального маркування ОЕ дозволяє відслідковувати актуальність документації, що гарантує відповідність між нею та поточною версією ОЕ (підпункт 6.2.2.1.1)	{4,8}	2-СРР_КРК_1.3	Система керування конфігурацією повинна гарантувати постійну відповідність між всією документацією і реалізацією поточної версії КЗ

6.2.3 Послідовність розробки

6.2.3.1 Опис заходу

6.2.3.1.1 Функціональна специфікація (політика безпеки)

Замовник надає у свідоцтвах неформалізовану функціональну специфікацію політики безпеки , яка містить набір правил, обмежень та рекомендацій, що регламентують порядок безпечної обробки інформації в типових умовах використання АС {1} .

6.2.3.1.2 Функціональна специфікація (модель політики безпеки)

Неформалізований опис політики безпеки включає моделі {1-3}:

• контролю доступу до об’єктів ОЕ;
  
• формування ідентифікаторів безпеки суб’єктів ОЕ;
  
• формування дескрипторів безпеки суб’єктів та об’єктів ОЕ та списків доступу;
  
• ідентифікації та автентифікації користувачів.
  

6.2.3.1.3 Проект архітектури

Розробник надає документацію щодо проекту архітектури КЗЗ ОЕ у вигляді схем і пояснювального тексту, які відображають основні підсистеми КЗЗ, їх функціональне призначення та взаємозв’язки {4}. Проект архітектури КЗЗ використовується Розробником для визначення моделей політики безпеки ОЕ та зовнішніх послуг безпеки (наприклад, зовнішніх пакетів автентифікації).

6.2.3.1.4 Детальний проект

Розробником надано опис проекту КЗЗ ОЕ, який містить неформалізовані специфікації базових функцій безпеки ОЕ, компонентів, що їх реалізують, та механізмів захисту {4, 5}. Зовнішні інтерфейси компонентів КЗЗ описані у вигляді функцій та параметрів {6}.

6.2.3.2 Свідоцтва

1. Операционная система Microsoft Windows XPProfessional Service Pack 1A. Задание по безопасности MS.Win_XP_SP1A.ЗБ. Версия 1.0.
   
2. Microsoft. Microsoft Solutions for Security. Windows XP Security Guide. v 2.0. Microsoft Corporation, 2004.
   
3. Microsoft. Microsoft Solutions for Security. Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP - Patterns & practices. Microsoft Corporation, 2003
   
4. Microsoft® Windows® Internals, Fourth Edition: Microsoft Windows Server™ 2003, Windows XP, and Windows 2000 / David A. Solomon, Mark Russinovich. Microsoft Press A Division of Microsoft Corporation One Microsoft Way Redmond, Washington, - 2004.
   
5. Microsoft® Windows® XP Professional Resource Kit Documentation. Microsoft Corporation. Copyright © 2001. – 1744 p. ISBN 0-7356-1485-7.
   
6. Інтерфейс Security Support Provider Interface - (SSPI) msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthn/security/sspi.asp.
   

6.2.3.3 Співставлення заходу з вимогами гарантій

Реалізація вимог заходом	Посилання	Позначення елемента вимоги	Зміст елемента вимоги
Неформалізовані функціональні специфікації ОЕ визначаються Розробником при започаткуванні проекту (підпункт 6.2.3.1.1)	{1-3}	2-ПСР_ФСП_1.1	На стадії розробки технічного завдання Розробник повинен розробити функціональні специфікації ОЕ
Неформалізований опис політики безпеки, що реалізується КЗЗ, надається Розробником як елемент функціональної специфікації ОЕ (підпункт 6.2.3.1.1)	{1-3}	2-ПСР_ФСП_1.1	Представлені функціональні специфікації повинні включати неформалізований опис політики безпеки, що реалізується КЗЗ
Перелік і опис послуг безпеки, що надається КЗЗ ОЕ, визначаються політикою безпеки (підпункт 6.2.3.1.1)	{1-4}	2-ПСР_ФСП_1.1	Політика безпеки повинна містити перелік і опис послуг безпеки, що надаються КЗЗ
Моделі політики безпеки співставляються з політикою безпеки ОЕ (підпункт 6.2.3.1.2)	{1, 4}	2-ПСР_ФСМ_1.1	Повинна бути показана відповідність моделі політики безпеки політиці безпеки
Неформалізований опис моделі політики безпеки, що реалізується КЗЗ, надається Розробником як елемент функціональної специфікації ОЕ (підпункт 6.2.3.1.2)	{1, 4}	2-ПСР_ФСМ_2.1 2-ПСР_ФСМ_3.1	Функціональні специфікації повинні включати модель політики безпеки. Стиль специфікації моделі політики безпеки повинен бути неформалізованим
Неформалізований проект архітектури ОЕ співставляється з моделлю політики безпеки (підпункт 6.2.3.1.3)	{1, 4}	2-ПСР_ПРА_1.1 2-ПСР_ПРА_2.1	Повинна бути показана відповідність проекту архітектури моделі політики безпеки. Стиль специфікації проекту архітектури повинен неформалізованим
Розробником надається проект архітектури ОЕ, який містить перелік основних компонентів КЗЗ і функцій, що реалізуються ними (підпункт 6.2.3.1.3)	{4}	2-ПСР_ПРА_1.2 2-ПСР_ПРА_1.3	На стадії розробки ескізного проекту Розробник повинен розробити проект архітектури КЗЗ. Представлений проект повинен містити перелік і опис компонентів КЗЗ і функцій, що реалізуються ними
В проекті архітектури ОЕ описані можливості використання зовнішніх послуг безпеки (підпункт 6.2.3.1.3)	{2-4}	2-ПСР_ПРА_1.4	Повинні бути описані будь-які використовувані зовнішні послуги безпеки
В проекті архітектури ОЕ надається детальний опис зовнішніх інтерфейсів КЗЗ (підпункт 6.2.3.1.3)	{4}	2-ПСР_ПРА_1.5	Зовнішні інтерфейси КЗЗ повинні бути описані в термінах винятків, повідомлень про помилки і кодів повернення
Розробником надано неформалізована специфікація детального проект КЗЗ ОЕ, яка співставляється з неформалізованою специфікацією проекту архітектури і містить перелік компонентів КЗЗ та опис їх функціонування (підпункт 6.2.3.1.4)	{4,5}	2-ПСР_ПРД_1.1 2-ПСР_ПРД_2.1 2-ПСР_ПРД_2.2 2-ПСР_ПРД_3.1	Повинна бути показана відповідність детального проекту проекту архітектури. На стадіях розробки технічного проекту або робочого проекту Розробник повинен розробити детальний проект КЗЗ. Представлений детальний проект повинен містити перелік всіх компонентів КЗЗ і точний опис функціонування кожного механізму. Стиль специфікації детального проекту повинен бути неформалізованим
У неформалізованій специфікації детального проект КЗЗ ОЕ описані призначення і параметри програмних інтерфейсів компонентів КЗЗ (підпункт 6.2.3.1.4)	{6}	2-ПСР_ПРД_2.3	Повинні бути описані призначення і параметри інтерфейсів компонентів КЗЗ

6.2.4 Середовище функціонування

6.2.4.1 Опис заходу

Розробник постачає у складі ОЕ необхідні засоби інсталяції і запуску ОЕ. Керівництва, які постачаються разом з ОЕ, містять детальні рекомендації щодо вибору метода інсталяції, відомості про автоматизацію процесу інсталяції, усунення можливих проблем та інші відомості, які адресовані, в першу чергу, адміністраторам {1-5}. В процедурах інсталяції та запуску описані кроки, які необхідні для отримання безпечної конфігурації ОЕ. Параметри, які використовуються в процесі інсталяції та запуску ОЕ, коментуються системою контекстної довідки. При інсталяції ОЕ користувачу пропонуються напередвстановлені безпечні значення параметрів конфігурації.

Розробник надає користувачам послугу автоматичного оновлення ПЗ ОЕ та електронної документації в режимах on-line або off-line під час експлуатації ОЕ без переривання функціонування КЗЗ {6,7}.

6.2.4.2 Свідоцтва

1. Файл \Support\Tools\Readme.phpl на компакт - диску з Windows XP.
   
2. Керівництво користувача по засобах розгортання Microsoft Windows на підприємстві (файл Deploy.chm, який входить у файл Deploy.cab на компакт- диску з Windows XP).
   
3. Microsoft Windows Preinstallation Reference (файл ref.chm, який входить у файл Deploy.cab на компакт - диску з Windows XP).
   
4. Microsoft. Microsoft Solutions for Security. Windows XP Security Guide. Version 2.0. Microsoft Corporation, 2004.
   
5. Microsoft. Microsoft Official Course. Implementing and Supporting Microsoft Windows XP Professional.
   
6. How to configure and use Automatic Updates in Windows XP ссылка скрыта.
   
7. Microsoft® Windows® XP Professional Resource Kit Documentation. Microsoft Corporation. Copyright © 2001. – 1744 p. ISBN 0-7356-1485-7.
   

3. Співставлення заходу з вимогами гарантій
   

Реалізація вимог заходом	Посилання	Позначення елемента вимоги	Зміст елемента вимоги
Розробник надає розвинуті засоби інсталяції та запуску ОЕ та відповідну документацію, які започатковують експлуатації ОЕ з безпечного стану (підпункт 6.2.4.1)	{1-3}	2-СРФ_ХХХ_1.1	Розробник повинен представити засоби інсталяції, генерації і запуску ОЕ, які гарантують, що експлуатація ОЕ починається з безпечного стану
Всі можливі варіанти конфігурування параметрів ОЕ в процесі інсталяції та запуску описані в документації та в оперативній контекстній довідці засобів інсталяції (підпункт 6.2.4.1)	{4-7}	2-СРФ_ХХХ_1.2	Розробник повинен представити перелік усіх можливих параметрів конфігурації, які можуть використовуватися в процесі інсталяції, генерації і запуску

6.2.5 Документація

6.2.5.1 Опис заходу

Розробник ОЕ надає доступ до своєї технічної документації на паперових носіях, електронної документації на СD та DVD носіях та документації, яка розміщена на Web-вузлах корпорації Microsoft {1-3}. В дистрибутиві ОЕ постачається інтегрований в ОС центр довідки та підтримки {4}, який забезпечує доступ до фірмової документації в режимах off-line та on-line. Документація враховує розподіл функціональних ролей адміністраторів та звичайних користувачів і містить опис принципів політики безпеки та послуг безпеки, що реалізуються КЗЗ ОЕ.

Розробник має поширену мережу сертифікованих навчальних центрів (в тому числі й в Україні), які проводять навчання користувачів та адміністраторів ОС і забезпечуються комплектами фірмової навчально-методичної документації на паперових та електронних носіях {5-7}.

6.2.5.2 Свідоцтва

1. Microsoft Solutions for Security. Windows XP Security Guide. Version 2.0. Microsoft Corporation, 2004.
   
2. Microsoft® Windows® XP Professional Resource Kit Documentation. Microsoft Corporation. Copyright © 2001. – 1744 p. ISBN 0-7356-1485-7.
   
3. ссылка скрыта
   
4. Центр довідки та підтримки Windows XP.
   
5. 2272B: Implementing and Supporting Microsoft Windows XP Professional. Microsoft Official Course. Microsoft, 2004.
   
6. ссылка скрыта Microsoft Official Course. Microsoft, 2004.
   
7. 2823A: Implemeting and Administering Security in a Microsoft Windows Server 2003 Network. Microsoft Official Course. Microsoft, 2004.
   

6.2.5.3 Співставлення заходу з вимогами гарантій

Реалізація вимог заходом	Посилання	Позначення елемента вимоги	Зміст елемента вимоги
Документація ОЕ, забезпечує адміністраторів та користувачів ОС описом послуг безпеки, що реалізуються КЗЗ ОЕ (підпункт 6.2.5.1)	{1, 4}	2-ДКМ_ХХХ_1.1	У вигляді окремих документів або розділів (підрозділів) інших документів Розробник повинен подати опис послуг безпеки, що реалізуються КЗЗ, настанови адміністратору щодо послуг безпеки, настанови користувача щодо послуг безпеки
Документація ОЕ містить основні принципи політики безпеки, що пов’язані з використанням функцій безпеки ОЕ в межах визначених функціональних послуг безпеки (підпункт 6.2.5.1)	{1,4-7}	2-ДКМ_ХХХ_1.2	В описі функцій безпеки повинні бути викладені основні, необхідні для правильного використання послуг безпеки, принципи політики безпеки, що реалізується КЗЗ оцінюваної ОЕ, а також самі послуги
Документація адміністратора щодо послуг безпеки ОЕ містить (підпункт 6.2.5.1): опис засобів інсталяції і запуску ОЕ; опис всіх можливих параметрів конфігурації, які використовуються в процесі інсталяції і запуску ОЕ; опис властивостей ОЕ, що використовуються для періодичної оцінки правильності функціонування КЗЗ; інструкції адміністратору, щодо використання послуг безпеки для підтримки політики безпеки	{1,2,5}	2-ДКМ_ХХХ_1.3 2-ДКМ_ХХХ_1.5	Настанови адміністратору щодо послуг безпеки мають містити опис засобів інсталяції, генерації і запуску ОЕ, опис всіх можливих параметрів конфігурації, які можуть використовуватися в процесі інсталяції, генерації і запуску ОЕ, опис властивостей ОЕ, які можуть бути використані для періодичної оцінки правильності функціонування КЗЗ, а також інструкції щодо використання адміністратором послуг безпеки для підтримки політики безпеки, прийнятої в організації, що експлуатує ОЕ. Назва документів (розділів) не регламентується
Документація звичайного користувача містить інструкції щодо використання функцій безпеки (підпункт 6.2.5.1)	{3, 4}	2-ДКМ_ХХХ_1.4	Настанови користувачу щодо послуг безпеки мають містити інструкції щодо використання функцій безпеки звичайним користувачем (не адміністратором)
В документації ОЕ наведено опис послуг безпеки з урахуванням функціональних ролей адміністраторів та звичайних користувачів (підпункт 6.2.5.1)	{1-7}	2-ДКМ_ХХХ_1.6 2-ДКМ_ХХХ_1.7	Опис послуг безпеки може відрізнятися для користувача і адміністратора. Настанови адміністратору і настанови користувачу можуть бути об'єднані в настанови з установлення і експлуатації

6.2.6 Випробування КЗЗ

6.2.6.1 Опис заходу

6.2.6.1.1 Тестування

Тестова документація ОЕ описує стратегію тестування КЗЗ, тестові сценарії, набори тестів та результати тестування, які дозволяють виконати повторне незалежне тестування КЗЗ та зробити висновок чи виконуються функції КЗЗ відповідно до специфікацій {1-3}.

Експерт має можливість перевірити результати тестування, що описані в документації, шляхом його повторення.

6.2.6.1.2 Усунення „слабких місць”

Розробник реалізує технологію, яка дозволяє, знаходити та нейтралізувати „слабкі місця” в процесі експлуатації та супроводження ОЕ {4-7}. Підтримується технологія швидкого повідомлення про вразливості безпеки ОЕ (Report a Security Vulnerability). Користувачу, якій вважає, що він знайшов нове „слабке місце” в ОЕ, пропонується заповнити on-line - анкету на https://s.microsoft.com/technet/security/bulletin/alertus.aspx та надіслати її Розробнику. За результатами зібраної інформації формується загальній бюлетень безпеки (Security Bulletins) з повідомленнями про знайдені „слабкі місця” та шляхи їх усунення, який публікується на веб-вузлі корпорації Microsoft. Розробник забезпечує нейтралізацію та усунення „слабких місць” шляхом розробки та публікації оновлень безпеки для ПЗ ОЕ або/і рекомендацій щодо відповідних організаційних та конфігураційних обмежень використання ОЕ.

6.2.6.2 Свідоцтва

1. Testing the Windows XP Security Guide v. 2.0. Microsoft Corporation
   
2. Windows XP - Test Cases for Desktops and Laptops in the Enterprise and High Security environments.
   
3. Windows XP - Test Cases for Standalone machines in the Enterprise and High Security environments.
   
4. Microsoft Security Bulletin Summary for December, 2004.
   
5. ссылка скрыта.
   
6. Microsoft TechNet. Report a Security Vulnerability.
   
7. ссылка скрыта
   

6.2.6.3 Співставлення заходу з вимогами гарантій

Реалізація вимог заходом	Посилання	Позначення елемента вимоги	Зміст елемента вимоги
Розробник надає програму та методику випробувань, в яких вказано умови та режим проведення випробувань, порядок проведення тестів та очікувані результати, що дозволяє перевірити результати тестування шляхом повторення (підпункт 6.2.6.1.1)	{1,2,3}	2-ВПР_ХХХ_1.1 2-ВПР_ХХХ_2.1	Розробник повинен подати для перевірки програму і методику випробувань, процедури випробувань усіх механізмів, що реалізують послуги безпеки. Розробник повинен подати докази тестування у вигляді детального переліку результатів тестів і відповідних процедур тестування, з тим, щоб отримані результати могли бути перевірені шляхом повторення тестування
Розробник надає обмежений перелік тестів КЗЗ, які можуть бути перевірені та доповнені експертами в процесі незалежного тестування (підпункт 6.2.6.1.1)	{2,3}	2-ВПР_ХХХ_1.2	Мають бути представлені аргументи для підтвердження достатності тестового покриття
Розробник використовує розвинуту технологію пошуку, аналізу та усунення ”слабких місць” ОЕ, яка передбачає публікацію бюлетенів безпеки та оперативне оновлення ПЗ (підпункт 6.2.6.1.2)	{4-7}	2-ВПР_ХХХ_2.2	Розробник повинен усунути або нейтралізувати всі знайдені “слабкі місця” і виконати повторне тестування КЗЗ для підтвердження того, що виявлені недоліки були усунені і не з'явилися нові “слабкі місця”