Целью испытаний является установление соответствия изделия заданным в Решении Федерального органа по сертификации СЗИ МО РФ требованиями защищенности от несанкционированного доступа к информации.
При испытаниях данного типа различают изделия, которые относятся к классу автоматизированных систем или комплексов средств автоматизации (в этом случае требования защищенности от НСД к информации формулируются в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», Гостехкомиссия России, 1992 г., далее по тексту РД АС) и изделия, которые рассматриваются Заявителем как относящиеся к классу средств вычислительной техники (в этом случае требования защищенности от НСД формулируются в соответствии с руководящим документом «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», Гостехкомиссия России, 1992г., далее по тексту РД СВТ).
Оценке в процессе сертификационных испытаний подлежат показатели защищенности и совокупность описывающих их требований, устанавливаемых для заданного класса защищенности (качественная характеристика).
Испытания должны с определенной степенью достоверности подтвердить факт того, что механизмы, атрибуты и функции безопасности способны обеспечивать выполнение политики безопасности, принятой в сертифицируемом изделии. Степень достоверности может быть установлена в отношении операций (действий), систем, операционных сред, компонентов или механизмов. Степень достоверности относится к требованиям и фактам, подтверждающим корректную работу и качество сервиса или механизма безопасности. Описание принятой в сертифицируемом изделии политики безопасности приводится в официальной эксплуатационной документации, входящей в комплект поставки изделия. Верификация соответствия политики безопасности заданным в ТТЗ на выполнения ОКР требованиям безопасности должна проводиться на этапе технического проектирования изделия.
Трудоемкость испытаний зависит от следующих факторов:
Процесс испытаний по согласованию с Заявителем сертификационных испытаний и Федеральным органом по сертификации СЗИ МО РФ дополнительно может включать специальные мероприятия, проводимые с целью устранения недостатков средств защиты и уменьшения либо уничтожения известных и выявленных уязвимостей объекта сертификации.
Задача сертификационных испытаний изделия на соответствие требованиям защищенности от несанкционированного доступа к информации включает:
Подготовка к проведению испытаний объекта сертификации включает сбор и анализ необходимых технологических и вспомогательных материалов, технических требований к объекту сертификации, конструкторской, программной и эксплуатационной документации, содержащей сведения о реализации средств (сервисов, механизмов) защиты, и результатах государственных испытаний объекта сертификации. Подготовка также включает выбор, а при необходимости разработку специальных методов и процедур испытаний, и определение требований к стенду испытаний.
Испытания проводятся в соответствии с утвержденными Федеральным органом по сертификации СЗИ МО РФ Программой и Методикой испытаний.
Результаты испытаний оформляются соответствующим протоколом, содержащим следующие сведения: