SASO - Wymagania dotyczące zgodności w obszarze S
Opis certyfikatu
Certyfikat zgodności S wydawany jest dla obszaru bezpieczeństwa rozumianego zarówno jako bezpieczeństwo użycia (w tym: życia, zdrowia, aktywów i środowiska naturalnego) jak i poufność użycia (bezpieczeństwo informacji). Obejmuje on charakterystyki modelu SQuaRE „Safety in use” oraz „Security in use”. Certyfikat wydawany jest dla określonych w Deklaracji Zgodności obszarów zastosowania.
Symbol certyfikatu
Nadanie certyfikatu wiąże się z przyznaniem prawa do stosowania dla konkretnego numeru wersji znaku towarowego S, który zaprezentowany jest na rysunku poniżej.
Znak potwierdzający zgodność w obszarze Bezpieczeństwa
Przy znaku podaje się poziom certyfikacji, dokładny numer wersji oraz informacje o miejscu w którym można zapoznać się z deklaracją zgodności.
Poziomy certyfikacji
Przyznanie produktowi jedynego poziomu certyfikatu wiąże się z poświadczeniem przez Jednostkę Certyfikującą spełnienia wszystkich wymogów dla tego poziomu (w sytuacji kiedy wynik choćby jednego pomiaru nie spełnia wymagań minimalnych określony poziom certyfikacji nie może być przyznany). Pod pojęciem wymogów rozumie się Listę profili bezpieczeństwa przypisaną do odpowiedniego obszaru.
Lista obszarów dla Znaku jakości S:
-
Bezpieczeństwo użycia (Safety in use)
- Zagrożenia dla zdrowie i życia (Heath and life)
- Zagrożenia dla aktywów (Assets)
- Zagrożenia dla środowiska naturalnego (Life environment)
- Poufnosc użycia (Security in use)
- Poufnosc (Confidentiality)
- Integralnosc (Integrity)
- Dostepnosc (Availability)
- Identyfikacja i autektykacja (Identyfication and authentication)
- Rozliczalność (Accountability)
- Autentyczność (Autenticity)
- Niezaprzeczalność (Undeniability)
- Niezawodność (Reliability)
Wymagania szczegółowe
W niniejszym rozdziale opisano podstawowe wymogi dla wszystkich obszarów zastosowań. W przypadku określenia w deklaracji kontekstów użycia, należy uzupełnić zestaw mierzonych parametrów.
Poziom podstawowy
Wymaganie |
Wymagana cecha (miara) |
Odniesienie do modelu |
Oprogramowanie zapewnia poufność informacji |
Oprogramowanie uniemożliwia dostęp (celowy i przypadkowy) do zgromadzonych w nim informacji osobom/programom nieupoważnionym do uzyskania dostępu. |
Security in use / Confidentiality |
Oprogramowanie zapewnia spójność informacji |
Oprogramowanie uniemożliwia modyfikacje danych zgromadzonych w oprogramowaniu (w sposób celowy i przypadkowy) przez osobę/program nieupoważniony do wykonania modyfikacji. Oprogramowanie uniemożliwia zniszczenie informacji w nim zgromadzonych. |
Security in use / Integrity |
Oprogramowanie zapewnia dostępność informacji |
Oprogramowanie zapewnia możliwość uzyskania dostępu osobom/programom upoważnionym do otrzymania dostępu w czasie wynikającym z deklaracji zgodności. |
Security in use / Availability |
Oprogramowanie nie zagraża życiu i zdrowiu |
W przypadku wpływu na bezpieczeństwo i zdrowie ludzi oprogramowanie posiada zabezpieczenia przed błędami mogącymi skutkować zagrożeniem życia i zdrowia. |
Safety in use /Risks to the operator, risks to the public |
Oprogramowanie nie zagraża mieniu |
W przypadku wpływu na bezpieczeństwo mienia oprogramowanie posiada zabezpieczenia przed błędami mogącymi skutkować zagrożeniem dla mienia. Przez mienie rozumie się również wartości niematerialne takie jak reputacja firmy, jej własności niematerialne i prawne etc. |
Safety in use / Commercial risks |
Oprogramowanie nie zagraża srodowisku |
W przypadku wpływu na bezpieczeństwo środowiska oprogramowanie posiada zabezpieczenia przed błędami mogącymi skutkować zagrożeniem środowiska. |
Safety in use / Risks to the environment |
Oprogramowanie jest zgodne z wymaganiami formalnymi dla bezpieczeństwa |
W przypadku oddziaływania na sferę bezpieczeństwa operatora, innych osób, mienia lub środowiska, lub w przypadku przechowywania informacji objętych ochrona (w tym tajemnica przedsiębiorstwa użytkownika) oprogramowanie zapewnia poziom bezpieczeństwa zgodny z wymogami formalnymi dla tych obszarów. |
Security in use, Safety in use / Compliance |
Wymagania szczegółowe dla certyfikacji S
Wymagania szczegółowe dotyczące ewaluacji
Ewaluacja przeprowadzana jest przez Jednostkę Certyfikującą w systemie skonfigurowanym zgodnie z tymi wytycznymi oraz o ile to możliwe z pozostałymi parametrami systemu (nie objętymi wytycznymi) ustawionymi w sposób przypadkowy.