ISE GRANSKNINGSINSTRUKTION ISD 3.0

Relevanta dokument
SYSTGL GRANSKNINGSINSTRUKTION ISD 3.0

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(15) <SYSTEM> <VERSION> IT-SÄKERHETSSPECIFIKATION VIDMAKTHÅLLA (ITSS-V)

<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION REALISERA (ISD-R) Inklusive 3 bilagor

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(9) <SYSTEM> <VERSION> ANALYSUNDERLAG VIDMAKTHÅLLA (AU-V)

<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION DEFINIERA (ISD-D) Inklusive 3 bilagor

<SYSTEM> <VERSION> ISD-PLAN

BEGREPP OCH FÖRKORTNINGAR ISD 3.0

<SYSTEMOMRÅDE> ISD-STRATEGI

Metodbeskrivning för framtagning av ITSS 2: IT-säkerhetsarkitektur. Framtagning av ITSS 2

<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION IDENTIFIERA (ISD-I) Inklusive 2 bilagor

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(12) <SYSTEM> <VERSION> ANALYSUNDERLAG IDENTIFIERA (AU-I)

Metodstöd för ISD-processen. Övergripande beskrivning

Öppen/Unclassified ISD-Processen 3.0

ISD. Etablering av ISD inom FMV. Dan Olofsson PrL ISD

Metodstöd för ISD-processen Övergripande beskrivning. Kundnyttan med ISD-processens metodstöd

FMV Vägledning för ISD och SE. ISD och SE

Oberoende granskning i ISD-processen

Metodbeskrivning för genomförande av Oberoende granskning i ISD-processens faser Produktion och Leverans till FM. Oberoende granskning i ISDprocessen

ISD - IT-säkerhetsdeklaration. Information till SESAME Dan Olofsson PrL ISD

FMV Instruktion för verifiering system av system på nivå 4. System av system på nivå 4

Metodbeskrivning för framtagning av. ISD/ISU-plan. ISD/ISU-plan

Designregel Härdning av IT-system, utgåva 1.0

Harmonisering mellan FMV ISD-process och FM KSF 3.1. Kravreducering och arkitektur

FMV Instruktion för verifiering system av system på nivå 4. System av system på nivå 4

FMV Vägledning för ISD och SE. ISD och SE

Metodbeskrivning för genomförande av Oberoende värdering i ISD-processens faser Produktion och Leverans till FM. Oberoende värdering i ISD-processen

BILAGA 3 Tillitsramverk Version: 2.1

BILAGA 3 Tillitsramverk

BILAGA 3 Tillitsramverk Version: 2.02

EAs krav vid ackreditering av flexibel omfattning

Bilaga 3 Säkerhet Dnr: /

Riktlinjer för informationssäkerhet

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Konsoliderad version av

BILAGA 3 Tillitsramverk Version: 1.3

Sid 1 (5) KONTROLLMOMENT. Typkontrollintyg Kvalitets- och identitetsintyg Kontrolldokumentation (S)

Metodbeskrivning för framtagning av. Användningsfall. Användningsfall

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Upprättande av säkerhetsskyddsavtal i Nivå 1

RISKHANTERING FÖR SCADA

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Granskning av generella IT-kontroller för PLSsystemet

BILAGA 3 Tillitsramverk Version: 1.2

WEBBSERVERPROGRAMMERING

Finansinspektionens författningssamling

Riktlinjer för IT-säkerhet i Halmstads kommun

Process 8 Skyddsstrategi

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

STYRNING AV DOKUMENT OCH DATA 1. SYFTE 2. OMFATTNING 3. ANSVAR / AKTUELLTHÅLLANDE 4. BESKRIVNING (5) Tore Magnusson

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

FÖRHINDRA DATORINTRÅNG!

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Värderingsaspekter inom Försvarsmaktens IT-säkerhetsarbete

Bilaga 3c Informationssäkerhet

Produktstöd - Vägledning till dokumentationskraven i SS-EN ISO 9001:2000

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Icke funktionella krav

Bilaga A Checklista vid leverantörsbedömning SIDA 1AV 11

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Vägledning för certifieringsorgan vid ackreditering Produktcertifiering för korrosionsskyddssystem i form av beläggning enl.

Frågor och svar. Programvaror och tjänster Systemutveckling. Statens inköpscentral vid Kammarkollegiet

Agenda. Kort om CC. Utvecklingen nu och framöver. Hur använda CC vid upphandling? CSEC roll CCRA. Internationellt Sverige. Konkurrens på lika villkor

0. ALLMÄNT INNEHÅLL. Bilaga 1.Referensförteckning över angivna referenser i Verksamhetsåtagande. Handbok KRAVDOK Verksamhetsåtagande

TPFD - TestPlan Före Design BESKRIVNING AV AKTIVITETER

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Sjunet standardregelverk för informationssäkerhet

REGELVERK & HANDBÖCKER

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Webbserverprogrammering

Granskning av förrådsverksamheten

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Punkt 15: Riktlinje för internrevision

KAPITEL 6 SÄKERHETSPLAN OCH SÄKERHETSBEVISNING

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

GTP Info KP P-O Risberg Jaan Haabma GTP Info KP Inforum 1

Arkitekturella beslut Infektionsverktyget. Beslut som påverkar arkitekturens utformning

Riktlinjer för informationssäkerhet

Vägledning för krav på dokumenterad information enligt ISO 9001:2015

System Safety Management Plan (SSMP) för [SiF] [Materielgrupp]

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

Upphandlingsplan Tekniska konsulter

Håbo kommuns förtroendevalda revisorer

1 Risk- och sårbarhetsanalys

Krav på systematiskt kvalitetsarbete - Underhållsentreprenad

HSA Schemauppdateringsprocess. Version 1.2.1

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Checklista för kontroll av groddanläggning Stödjande instruktion för kommuner och länsstyrelser

Förklarande text till revisionsrapport Sid 1 (5)

Luftfartsstyrelsens författningssamling

EBITS Energibranschens IT-säkerhetsforum

Agenda SWEDISH CERTIFICATION BODY FOR IT SECURITY

Presentation av H ProgSäk 2018

Vägledning för innovativ applikations- och tjänsteutveckling

Säkerhetsstandarder: Säkerhetsinriktning

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Attestreglemente med tillämpningsanvisningar

Regler i Sverige för lekplatser och lekredskap

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Transkript:

18FMV6730-8:1.2 1(14) ISE GRANSKNINGSINSTRUKTION ISD 3.0

18FMV6730-8:1.2 2(14) Innehåll 1 Basfakta... 3 1.1 Giltighet och syfte... 3 1.2 Revisionshistorik... 3 1.3 Terminologi och begrepp... 3 1.4 Bilageförteckning... 3 1.5 Referenser... 3 2 Inledning... 4 2.1 Syfte med evaluering... 4 2.2 ISE uppgifter... 4 2.3 Redovisning av granskningsaktiviteter... 5 3 Granskningsaktiviteter... 6 3.1 Kravnivå Grund... 6 3.1.1 Dokumentgranskning... 6 3.1.2 Utvecklingssäkerhet... 7 3.1.3 Analys... 7 3.1.4 Test... 7 3.1.5 Kontroll... 7 3.1.6 Egenkontroll... 7 3.2 Kravnivå Utökad... 8 3.2.1 Dokumentgranskning... 8 3.2.2 Utvecklingssäkerhet... 9 3.2.3 Analys... 10 3.2.4 Test... 10 3.2.5 Kontroll... 10 3.2.6 Egenkontroll... 10 3.3 Kravnivå Hög... 11 3.3.1 Dokumentgranskning... 11 3.3.2 Utvecklingssäkerhet... 12 3.3.3 Analys... 13 3.3.4 Test... 13 3.3.5 Kontroll... 13 3.3.6 Egenkontroll... 13

18FMV6730-8:1.2 3(14) 1 Basfakta 1.1 Giltighet och syfte Detta dokument är en generell granskningsinstruktion för ISD-rollen ISE (Information Security Evaluator). Syftet med granskningsinstruktionen är att vara ett stöd till ISE i samband med anskaffningsprojektets granskning av leverantörerna underlag inför framtagning av ITSS-R. ITSS-R tas fram av anskaffningsprojektet inför FMV VHL S4-beslut. 1.2 Revisionshistorik Datum Utgåva Version Beskrivning 2018-11-08 1.0 Generell granskningsinstruktion ISE baserad på MUST KSF evalueringsaktiviteter Tabell 1 - Revisionshistorik Ansvarig DAOLO 1.3 Terminologi och begrepp En över begrepp och förkortningar lista återfinns i referens [1]. 1.4 Bilageförteckning Detta dokument har inga bilagor. 1.5 Referenser Dokumenttitel Dokumentbeteckning, datum Utgåva nr [1] ISD 3.0 Begrepp och förkortningar 18FMV6730-8:1.1 1 [2] Krav på IT-säkerhetsförmågor hos IT-system v3.1 FM skr 2014-06-13, FM2014-5302:1 n/a Tabell 2 - Referenser

2 Inledning Öppen/Unclassified Bilaga 2 till ISD-Processen 3.0 18FMV6730-8:1.2 4(14) 2.1 Syfte med evaluering Syftet med evaluering är att få förtroende för att systemet uppfyller de IT-säkerhetsförmågor som definierats i ITSS-D. Detta uppnås genom att försäkra sig om: förtroende för systemutvecklaren och dennes utvecklingsprocesser förtroende för arkitekturen, designen och implementation av säkerhetsfunktionerna förtroende för att drift- och förvaltningsdokumentation är korrekt och fullständig genom sårbarhetsanalys och riskanalys påvisa att systemet, för den tänkta användningen, har tillräckliga IT-säkerhetsförmågor. Evalueringen har två moment: Först krävs underlag från systemutvecklaren som beskriver design, verifieringsaktiviteter, tester och administrativa rutiner, samt underlag som visar att dessa rutiner tillämpas och att tester har utförts. Därefter granskas detta underlag av ISE som kontrollerar om underlaget är fullständigt, tydligt och icke motsägelsefullt. Systemet analyseras genom bl.a. verifieringsaktiviteter och testning, för att hitta eventuella sårbarheter. Eventuella kvarstående risker identifieras och beskrivs, så att de vid en ackreditering kan bedömas vara acceptabla eller ej. 2.2 ISE uppgifter ISD-rollen ISE, Information Security Evaluator, har sin huvudsakliga uppgift i R-fasen. Uppgiften består bland annat av att granska leverantörens (leverantörernas) system- och assuransunderlag och med hjälp av dessa verifiera kravuppfyllnaden samt genomföra olika analyser. Följande uppgifter ingår i detta arbete, där omfattningen beror på vald kravnivå: Granska leverantörens underlag (innehåll och kvalité) Verifiera att regler och rutiner är implementerade och efterföljs. Analysera säkerhetsarkitekturen Upprepa, vid behov, leverantörens tester Genomföra egna kompletterande tester Genomföra oberoende sårbarhetsanalyser Genomföra restriskanalys Samtliga ISE-aktiviteter ska dokumenteras i AU-R. Samtliga krav i ITSS-D ska granskas, dvs både de krav som härstammar från KSF v3.1 (referens [2]) och de tillkommande säkerhetskraven som kommer från övriga källor. Granskningsaktiviteterna grundar sig på de assuranskrav som ställs på evalueraren i KSF 3.1, vilket innebär att de listade aktiviteterna är en generisk förteckning. Den faktiska omfattningen kan dels styras via ISD-Strategi och ISD-plan, dels via tolkning av KSF krav i ITSS-D.

18FMV6730-8:1.2 5(14) De tillkommande säkerhetskraven, som härrör från andra källor (t ex verksamhetsanalys och riskoch sårbarhetsanalys), kan innebära att andra typer av ISE-aktiviteter behöver genomföras. 2.3 Redovisning av granskningsaktiviteter Dokumentation av granskningsaktiviteterna redovisas i AU-R och ITSS-R. I AU-R redovisas kravuppfyllnad av assuranskrav och i ITSS-R redovisas IT-systemets kravuppfyllnad.

3 Granskningsaktiviteter Öppen/Unclassified Bilaga 2 till ISD-Processen 3.0 3.1 Kravnivå Grund ISE ska för kravnivå Grund minst genomföra följande aktiviteter (referens [2]). 3.1.1 Dokumentgranskning 18FMV6730-8:1.2 6(14) D.1 ISE ska verifiera att informationen i dokumentation som beskriver rutiner SALC_LEV.E1 och mekanismer för IT system- och komponentleveranser möter alla krav på innehåll och Krav på innehåll framgår av SALC_LEV.C1-C2 D.2 ISE ska verifiera att dokumenterade procedurer för hantering av SALC_BRK.E1 säkerhetsrelevanta brister i systemet möter alla krav på innehåll och Krav på innehåll framgår av SALC_BRK.C1-C10 D.3 ISE ska verifiera att erforderliga avtal och processer för att få information SALC_BRK.E1 kring säkerhetsrelevanta brister i systemet och ingående komponenter finns och används. Krav på innehåll framgår av SALC_BRK.C1-C10 D.4 ISE ska verifiera att installationsdokumentation som beskriver SAOP_INS.E1 förberedande åtgärder möter alla krav på innehåll och Krav på innehåll framgår av SAOP_INS.C1-C3 D.5 ISE ska verifiera att drift- och förvaltningsdokumentation möter alla krav SAOP_DOK.E1 på innehåll och Krav på innehåll framgår av SAOP_DOK.C1-C8 D.6 ISE ska verifiera att instruktioner som möjliggör för drift- och SAOP_BRK.E1 förvaltningsorganisationen att utföra bevakning av brister samt bristkorrigering möter alla krav på innehåll och Krav på innehåll framgår av SAOP_BRK.C1-C8 D.7 ISE ska verifiera att dokumenterade administrativa rutiner för tilldelning SARU_ÅTK.E1 och återkallning av åtkomsträttigheter möter alla krav på innehåll och Krav på innehåll framgår av SARU_ÅTK.C1-C5 D.8 ISE ska verifiera att dokumenterade administrativa rutiner för kontroll SARU_ATT.E1 av kvaliteten på säkerhetsattribut som används för autentisering möter alla krav på innehåll och Krav på innehåll framgår av SARU_ATT.C1-C7 D.9 ISE ska verifiera att dokumenterade administrativa rutiner för att SARU_INT.E1 upptäcka och spåra intrång och missbruk i systemet möter alla krav på innehåll och Krav på innehåll framgår av SARU_INT.C1-C7 och C10 D.10 ISE ska verifiera att dokumenterade administrativa rutiner för att utföra SARU_UPD.E1 regelbundna säkerhetsuppdateringar av systemet möter alla krav på innehåll och Krav på innehåll framgår av SARU_UPD.C1-C7 D.11 ISE ska verifiera att dokumenterade administrativa rutiner för att genomföra konfigurationsstyrning av systemet möter alla krav på innehåll och Krav på innehåll framgår av SARU_KFG.C1-C3 SARU_KFG.E1

18FMV6730-8:1.2 7(14) D.12 ISE ska verifiera att underlag för utbildning möter alla krav på innehåll och SARU_UTB.E1 Krav på innehåll framgår av SARU_UTB.C1-C5 D.13 ISE ska verifiera att analys av testtäckningen för funktionella- och SATS_TTK.E1 angripartester möter alla krav på innehåll och Krav på innehåll framgår av SATS_TTK.C1 D.14 ISE ska verifiera att testdokumentationen avseende funktionella tester möter alla krav på innehåll och Krav på innehåll framgår av SATS_FUN.C1-C5 och SATS_EVL.C1 SATS_FUN.E1 SATS_EVL.E1 D.15 ISE ska verifiera att testdokumentationen avseende utvecklarens angreppstester möter alla krav på innehåll och Krav på innehåll framgår av SATS_ANG.C1-C5 och SATS_EVL.C1 D.16 ISE ska verifiera att avvikelseanalysen möter alla krav på innehåll och Krav på innehåll framgår av SARA_AVV.C1-C5 D.17 ISE ska verifiera att informationen i leverantörens dokumentation är tillräcklig för att utföra en grundlig sårbarhetsanalys av hela systemet. Krav på innehåll framgår av SARA_SBH.C1 Tabell 3 ISE aktiviteter för kravnivå Grund Dokumentgranskning SATS_ANG.E1 SATS_EVL.E1 SARA_AVV.E1 SARA_SBH.E1 3.1.2 Utvecklingssäkerhet Ingen granskning av leverantörens utvecklingssäkerhet är nödvändig för kravnivå Grund. 3.1.3 Analys A.1 ISE ska använda tillgängliga källor för att komplettera leverantörens SARA_SBH.E2 dokumentation, t.ex. publik sårbarhetsinformation. A.2 ISE ska analysera, med hjälp av leverantörens dokumentation och övrig SARA_SBH.E3 tillgänglig information, systemets komponenter och gränsytor och kartlägga deras beroenden i syfte att identifiera attackytor och eventuella svagpunkter i arkitekturen. A.3 ISE ska genomföra en oberoende sårbarhetsanalys av systemet baserad på SARA_SBH.E4 arkitektur- och designinformationen, drift- och förvaltningsdokumentation och avvikelseanalysen för att identifiera potentiella sårbarheter i systemet. A.4 ISE ska genomföra restriskanalys för att identifiera kvarvarande osäkerheter kring systemets IT-säkerhetsförmågor. SARA_RRA.E2 Tabell 4 ISE aktiviteter för kravnivå Grund Analys 3.1.4 Test T.1 ISE ska, om denne finner det nödvändigt, upprepa ett representativt antal av systemutvecklarens tester och bekräfta att systemutvecklarens testresultat för dessa testfall överensstämmer med testspecifikationen. SATS_EVL.E2 Tabell 5 ISE aktiviteter för kravnivå Grund - Test 3.1.5 Kontroll Ingen kontrollaktivitet än normalt nödvändig för kravnivå Grund. 3.1.6 Egenkontroll

18FMV6730-8:1.2 8(14) E.1 ISE ska verifiera att alla andra evalueringsaktiviteter är genomförda med SARA_RRA.E1 godkänt resultat. E.2 ISE ska dokumentera resultatet av restriskanalysen i en form och med ett språkbruk som är tydligt och ger den avsedda mottagaren rätt underlag inför beslut om ackreditering. SARA_RRA.E3 Tabell 6 ISE aktiviteter för kravnivå Grund - Egenkontroll 3.2 Kravnivå Utökad ISE ska för kravnivå Utökad minst genomföra följande aktiviteter (referens [2]). 3.2.1 Dokumentgranskning D.1 ISE ska verifiera att informationen i Systemutvecklingsdokumentationen SALC_UTV.E1 möter alla krav på innehåll och Krav på innehåll framgår av SALC_UTV.C1-C4 D.2 ISE ska verifiera att informationen i dokumentation som beskriver SALC_KFG.E1 konfigurationsledningssystemet möter alla krav på innehåll och Krav på innehåll framgår av SALC_KFG.C1-C9 D.3 ISE ska verifiera att informationen i dokumentation som beskriver rutiner SALC_LEV.E1 och mekanismer för IT system- och komponentleveranser möter alla krav på innehåll och Krav på innehåll framgår av SALC_LEV.C1-C3 D.4 ISE ska verifiera att informationen i dokumentation som beskriver SALC_LCM.E1 livscykelmodellen möter alla krav på innehåll och Krav på innehåll framgår av SALC_LCM.C1.C8 D.5 ISE ska verifiera att dokumenterade procedurer för hantering av SALC_BRK.E1 säkerhetsrelevanta brister i systemet möter alla krav på innehåll och Krav på innehåll framgår av SALC_BRK.C1-C10 D.6 ISE ska verifiera att erforderliga avtal och processer för att få information SALC_BRK.E1 kring säkerhetsrelevanta brister i systemet och ingående komponenter finns och används. Krav på innehåll framgår av SALC_BRK.C1-C10 D.7 ISE ska verifiera att beskrivningen av systemets gränsytor möter alla krav SADE_GRÄ.E1 på innehåll och Krav på innehåll framgår av SADE_GRÄ.C1-C4 D.8 ISE ska verifiera att beskrivning av systemets säkerhetsarkitektur möter SADE_ARK.E1 alla krav på innehåll och Krav på innehåll framgår av SADE_ARK.C1-C3 D.9 ISE ska verifiera att dataflödesanalysen möter alla krav på innehåll och SADE_DFA.E1 Krav på innehåll framgår av SADE_DFA.C1-C4 D.10 ISE ska verifiera att designdokumentation för systemet möter alla krav på SADE_DES.E1 innehåll och Krav på innehåll framgår av SADE_DES.C1-C1-C5 D.11 ISE ska verifiera att installationsdokumentation som beskriver förberedande åtgärder möter alla krav på innehåll och Krav på innehåll framgår av SAOP_INS.C1-C4 SAOP_INS.E1

18FMV6730-8:1.2 9(14) D.12 ISE ska verifiera att drift- och förvaltningsdokumentation möter alla krav SAOP_DOK.E1 på innehåll och Krav på innehåll framgår av SAOP_DOK.C1-C8 D.13 ISE ska verifiera att instruktioner som möjliggör för drift- och SAOP_BRK.E1 förvaltningsorganisationen att utföra bevakning av brister samt bristkorrigering möter alla krav på innehåll och Krav på innehåll framgår av SAOP_BRK.C1-C8 D.14 ISE ska verifiera att dokumenterade administrativa rutiner för tilldelning SARU_ÅTK.E1 och återkallning av åtkomsträttigheter möter alla krav på innehåll och Krav på innehåll framgår av SARU_ÅTK.C1-C7 D.15 ISE ska verifiera att dokumenterade administrativa rutiner för kontroll av SARU_ATT.E1 kvaliteten på säkerhetsattribut som används för autentisering möter alla krav på innehåll och Krav på innehåll framgår av SARU_ATT.C1-C7 D.16 ISE ska verifiera att dokumenterade administrativa rutiner för att upptäcka SARU_INT.E1 och spåra intrång och missbruk i systemet möter alla krav på innehåll och Krav på innehåll framgår av SARU_INT.C1-C10 D.17 ISE ska verifiera att dokumenterade administrativa rutiner för att utföra SARU_UPD.E1 regelbundna säkerhetsuppdateringar av systemet möter alla krav på innehåll och Krav på innehåll framgår av SARU_UPD.C1-C8 D.18 ISE ska verifiera att dokumenterade administrativa rutiner för att SARU_KFG.E1 genomföra konfigurationsstyrning av systemet möter alla krav på innehåll och Krav på innehåll framgår av SARU_KFG.C1-C5 D.19 ISE ska verifiera att underlag för utbildning möter alla krav på innehåll och SARU_UTB.E1 Krav på innehåll framgår av SARU_UTB.C1-C5 D.20 ISE ska verifiera att analys av testtäckningen för funktionella- och SATS_TTK.E1 angripartester möter alla krav på innehåll och Krav på innehåll framgår av SATS_TTK.C1-C3 D.21 ISE ska verifiera att testdokumentationen avseende funktionella tester möter alla krav på innehåll och Krav på innehåll framgår av SATS_FUN.C1-C5 och SATS_EVL.C1 SATS_FUN.E1 SATS_EVL.E1 D.22 ISE ska verifiera att testdokumentationen avseende utvecklarens angreppstester möter alla krav på innehåll och Krav på innehåll framgår av SATS_ANG.C1-C5 och SATS_EVL.C1 D.23 ISE ska verifiera att avvikelseanalysen möter alla krav på innehåll och Krav på innehåll framgår av SARA_AVV.C1-C5 D.24 ISE ska verifiera att informationen i leverantörens dokumentation är tillräcklig för att utföra en grundlig sårbarhetsanalys av hela systemet. Krav på innehåll framgår av SARA_SBH.C1 Tabell 7 - ISE aktiviteter för kravnivå Utökad - Dokumentgranskning 3.2.2 Utvecklingssäkerhet SATS_ANG.E1 SATS_EVL.E1 SARA_AVV.E1 SARA_SBH.E1

18FMV6730-8:1.2 10(14) S.1 ISE ska verifiera om systemutvecklingsdokumentationens SALC_UTV.E2 säkerhetsåtgärder tillämpas. S.2 ISE ska verifiera om konfigurationsledningssystemets säkerhetsåtgärder SALC_KFG.E2 tillämpas. S.3 ISE ska verifiera om livscykelmodellen tillämpas. SALC_LCM.E2 Tabell 8 - ISE aktiviteter för kravnivå Utökad Utvecklingssäkerhet 3.2.3 Analys A.1 ISE ska analysera beskrivningen av systemets säkerhetsarkitektur och SADE_ARK.E2 verifiera att det inte går att kringgå systemets säkerhetsfunktioner. A.2 ISE ska använda tillgängliga källor för att komplettera leverantörens SARA_SBH.E2 dokumentation, t.ex. publik sårbarhetsinformation. A.3 ISE ska analysera, med hjälp av leverantörens dokumentation och övrig SARA_SBH.E3 tillgänglig information, systemets komponenter och gränsytor och kartlägga deras beroenden i syfte att identifiera attackytor och eventuella svagpunkter i arkitekturen. A.4 ISE ska genomföra en oberoende och metodisk sårbarhetsanalys av SARA_SBH.E5 systemet baserad på all tillgänglig information och erfarenhet för att identifiera potentiella sårbarheter i systemet. A.5 ISE ska genomföra restriskanalys för att identifiera kvarvarande osäkerheter kring systemets IT-säkerhetsförmågor. SARA_RRA.E2 Tabell 9 - ISE aktiviteter för kravnivå Utökad - Analys 3.2.4 Test T.1 ISE ska, om denne finner det nödvändigt, upprepa ett representativt antal SATS_EVL.E2 av systemutvecklarens tester och bekräfta att systemutvecklarens testresultat för dessa testfall överensstämmer med testspecifikationen. T.2 ISE ska analysera systemutvecklarens testfall och komplettera dessa SATS_EVL.E3 testfall med egna testfall. T.3 ISE ska genomföra de egna testfallen, dokumentera resultatet och bekräfta SATS_EVL.E4 att systemet fungerar enligt specifikation. T.4 ISE ska genomföra praktiska tester av systemet för att avgöra om de potentiella sårbarheterna kan utnyttjas i den tänkta användningen av systemet. SARA_SBH.E7 Tabell 10 - ISE aktiviteter för kravnivå Utökad - Test 3.2.5 Kontroll K.1 ISE ska tillämpa åtgärderna i installationsdokumentation för att verifiera att systemet kan mottagas och installeras på ett säkert sätt genom att följa beskrivningen av dem. SAOP_INS.E2 Tabell 11 - ISE aktiviteter för kravnivå Utökad Kontroll 3.2.6 Egenkontroll E.1 ISE ska verifiera att alla andra evalueringsaktiviteter är genomförda med SARA_RRA.E1 godkänt resultat.

18FMV6730-8:1.2 11(14) E.2 ISE ska dokumentera resultatet av restriskanalysen i en form och med ett språkbruk som är tydligt och ger den avsedda mottagaren rätt underlag inför beslut om ackreditering. SARA_RRA.E3 Tabell 12 - ISE aktiviteter för kravnivå Utökad - Egenkontroll 3.3 Kravnivå Hög ISE ska för kravnivå Hög minst genomföra följande aktiviteter (referens [2]). 3.3.1 Dokumentgranskning D.1 ISE ska verifiera att informationen i Systemutvecklingsdokumentationen SALC_UTV.E1 möter alla krav på innehåll och Krav på innehåll framgår av SALC_UTV.C1-C2 och C5-C6 D.2 ISE ska verifiera att informationen i dokumentation som beskriver SALC_KFG.E1 konfigurationsledningssystemet möter alla krav på innehåll och Krav på innehåll framgår av SALC_KFG.C1-C10 D.3 ISE ska verifiera att informationen i dokumentation som beskriver rutiner SALC_LEV.E1 och mekanismer för IT system- och komponentleveranser möter alla krav på innehåll och Krav på innehåll framgår av SALC_LEV.C1-C3 D.4 ISE ska verifiera att informationen i dokumentation som beskriver SALC_LCM.E1 livscykelmodellen möter alla krav på innehåll och Krav på innehåll framgår av SALC_LCM.C1-C10 D.5 ISE ska verifiera att dokumenterade procedurer för hantering av SALC_BRK.E1 säkerhetsrelevanta brister i systemet möter alla krav på innehåll och Krav på innehåll framgår av SALC_BRK.C1-C10 D.6 ISE ska verifiera att erforderliga avtal och processer för att få information SALC_BRK.E1 kring säkerhetsrelevanta brister i systemet och ingående komponenter finns och används. Krav på innehåll framgår av SALC_BRK.C1-C10 D.7 ISE ska verifiera att beskrivningen av systemets gränsytor möter alla krav SADE_GRÄ.E1 på innehåll och Krav på innehåll framgår av SADE_GRÄ.C1-C4 D.8 ISE ska verifiera att beskrivning av systemets säkerhetsarkitektur möter SADE_ARK.E1 alla krav på innehåll och Krav på innehåll framgår av SADE_ARK.C1-C3 D.9 ISE ska verifiera att dataflödesanalysen möter alla krav på innehåll och SADE_DFA.E1 Krav på innehåll framgår av SADE_DFA.C1-C5 D.10 ISE ska verifiera att designdokumentation för systemet möter alla krav på SADE_DES.E1 innehåll och Krav på innehåll framgår av SADE_DES.C1-C6 D.11 ISE ska verifiera att installationsdokumentation som beskriver förberedande åtgärder möter alla krav på innehåll och Krav på innehåll framgår av SAOP_INS.C1-C4 SAOP_INS.E1

18FMV6730-8:1.2 12(14) D.12 ISE ska verifiera att drift- och förvaltningsdokumentation möter alla krav SAOP_DOK.E1 på innehåll och Krav på innehåll framgår av SAOP_DOK.C1-C8 D.13 ISE ska verifiera att instruktioner som möjliggör för drift- och SAOP_BRK.E1 förvaltningsorganisationen att utföra bevakning av brister samt bristkorrigering möter alla krav på innehåll och Krav på innehåll framgår av SAOP_BRK.C1-C8 D.14 ISE ska verifiera att dokumenterade administrativa rutiner för tilldelning SARU_ÅTK.E1 och återkallning av åtkomsträttigheter möter alla krav på innehåll och Krav på innehåll framgår av SARU_ÅTK.C1-C9 D.15 ISE ska verifiera att dokumenterade administrativa rutiner för kontroll av SARU_ATT.E1 kvaliteten på säkerhetsattribut som används för autentisering möter alla krav på innehåll och Krav på innehåll framgår av SARU_ATT.C1-C7 D.16 ISE ska verifiera att dokumenterade administrativa rutiner för att upptäcka SARU_INT.E1 och spåra intrång och missbruk i systemet möter alla krav på innehåll och Krav på innehåll framgår av SARU_INT.C1-C10 D.17 ISE ska verifiera att dokumenterade administrativa rutiner för att utföra SARU_UPD.E1 regelbundna säkerhetsuppdateringar av systemet möter alla krav på innehåll och Krav på innehåll framgår av SARU_UPD.C1-C8 D.18 ISE ska verifiera att dokumenterade administrativa rutiner för att SARU_KFG.E1 genomföra konfigurationsstyrning av systemet möter alla krav på innehåll och Krav på innehåll framgår av SARU_KFG.C1-C5 D.19 ISE ska verifiera att underlag för utbildning möter alla krav på innehåll och SARU_UTB.E1 Krav på innehåll framgår av SARU_UTB.C1-C5 D.20 ISE ska verifiera att analys av testtäckningen för funktionella- och SATS_TTK.E1 angripartester möter alla krav på innehåll och Krav på innehåll framgår av SATS_TTK.C1-C5 D.21 ISE ska verifiera att testdokumentationen avseende funktionella tester möter alla krav på innehåll och Krav på innehåll framgår av SATS_FUN.C1-C5 och SATS_EVL.C1 SATS_FUN.E1 SATS_EVL.E1 D.22 ISE ska verifiera att testdokumentationen avseende utvecklarens angreppstester möter alla krav på innehåll och Krav på innehåll framgår av SATS_ANG.C1-C5 och SATS_EVL.C1 D.23 ISE ska verifiera att avvikelseanalysen möter alla krav på innehåll och Krav på innehåll framgår av SARA_AVV.C1-C5 D.24 ISE ska verifiera att informationen i leverantörens dokumentation är tillräcklig för att utföra en grundlig sårbarhetsanalys av hela systemet. Krav på innehåll framgår av SARA_SBH.C1 Tabell 13 - ISE aktiviteter för kravnivå Utökad - Dokumentgranskning 3.3.2 Utvecklingssäkerhet SATS_ANG.E1 SATS_EVL.E1 SARA_AVV.E1 SARA_SBH.E1

18FMV6730-8:1.2 13(14) S.1 ISE ska verifiera om systemutvecklingsdokumentationens SALC_UTV.E2 säkerhetsåtgärder tillämpas. S.2 ISE ska verifiera om konfigurationsledningssystemets säkerhetsåtgärder SALC_KFG.E2 tillämpas. S.3 ISE ska verifiera om livscykelmodellen tillämpas. SALC_LCM.E2 Tabell 14 - ISE aktiviteter för kravnivå Utökad Utvecklingssäkerhet 3.3.3 Analys A.1 ISE ska analysera beskrivningen av systemets säkerhetsarkitektur och SADE_ARK.E2 verifiera att det inte går att kringgå systemets säkerhetsfunktioner. A.2 ISE ska använda tillgängliga källor för att komplettera leverantörens SARA_SBH.E2 dokumentation, t.ex. publik sårbarhetsinformation. A.3 ISE ska analysera, med hjälp av leverantörens dokumentation och övrig SARA_SBH.E3 tillgänglig information, systemets komponenter och gränsytor och kartlägga deras beroenden i syfte att identifiera attackytor och eventuella svagpunkter i arkitekturen. A.4 ISE ska genomföra en oberoende, metodisk och semiformell SARA_SBH.E6 sårbarhetsanalys av systemet baserad på all tillgänglig information och erfarenhet för att identifiera potentiella sårbarheter i systemet. A.5 ISE ska genomföra restriskanalys för att identifiera kvarvarande osäkerheter kring systemets IT-säkerhetsförmågor. SARA_RRA.E2 Tabell 15 - ISE aktiviteter för kravnivå Utökad - Analys 3.3.4 Test T.1 ISE ska, om denne finner det nödvändigt, upprepa ett representativt antal SATS_EVL.E2 av systemutvecklarens tester och bekräfta att systemutvecklarens testresultat för dessa testfall överensstämmer med testspecifikationen. T.2 ISE ska analysera systemutvecklarens testfall och komplettera dessa SATS_EVL.E3 testfall med egna testfall. T.3 ISE ska genomföra de egna testfallen, dokumentera resultatet och bekräfta SATS_EVL.E4 att systemet fungerar enligt specifikation. T.4 ISE ska genomföra praktiska tester av systemet för att avgöra om de potentiella sårbarheterna kan utnyttjas i den tänkta användningen av systemet. SARA_SBH.E7 Tabell 16 - ISE aktiviteter för kravnivå Utökad - Test 3.3.5 Kontroll K.1 ISE ska tillämpa åtgärderna i installationsdokumentation för att verifiera att systemet kan mottagas och installeras på ett säkert sätt genom att följa beskrivningen av dem. SAOP_INS.E2 Tabell 17 - ISE aktiviteter för kravnivå Utökad Kontroll 3.3.6 Egenkontroll E.1 ISE ska verifiera att alla evalueringsaktiviteter är genomförda med godkänt SARA_RRA.E1 resultat.

18FMV6730-8:1.2 14(14) E.2 ISE ska dokumentera resultatet av restriskanalysen i en form och med ett språkbruk som är tydligt och ger den avsedda mottagaren rätt underlag inför beslut om ackreditering. SARA_RRA.E3 Tabell 18 - ISE aktiviteter för kravnivå Utökad - Egenkontroll

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss