SASO - Wymagania dotyczące zgodności w obszarze S


Opis certyfikatu

Certyfikat zgodności S wydawany jest dla obszaru bezpieczeństwa rozumianego zarówno jako bezpieczeństwo użycia (w tym: życia, zdrowia, aktywów i środowiska naturalnego) jak i poufność użycia (bezpieczeństwo informacji). Obejmuje on charakterystyki modelu SQuaRE „Safety in use” oraz „Security in use”. Certyfikat wydawany jest dla określonych w Deklaracji Zgodności obszarów zastosowania.

Symbol certyfikatu

Nadanie certyfikatu wiąże się z przyznaniem prawa do stosowania dla konkretnego numeru wersji znaku towarowego S, który zaprezentowany jest na rysunku poniżej.

Znak potwierdzający zgodność w obszarze Bezpieczeństwa

Przy znaku podaje się poziom certyfikacji, dokładny numer wersji oraz informacje o miejscu w którym można zapoznać się z deklaracją zgodności.

Poziomy certyfikacji

Przyznanie produktowi jedynego poziomu certyfikatu wiąże się z poświadczeniem przez Jednostkę Certyfikującą spełnienia wszystkich wymogów dla tego poziomu (w sytuacji kiedy wynik choćby jednego pomiaru nie spełnia wymagań minimalnych określony poziom certyfikacji nie może być przyznany). Pod pojęciem wymogów rozumie się Listę profili bezpieczeństwa przypisaną do odpowiedniego obszaru.

Lista obszarów dla Znaku jakości S:

  1. Bezpieczeństwo użycia (Safety in use)

    • Zagrożenia dla zdrowie i życia (Heath and life)
    • Zagrożenia dla aktywów (Assets)
    • Zagrożenia dla środowiska naturalnego (Life environment)
  2. Poufnosc użycia (Security in use)
    • Poufnosc (Confidentiality)
    • Integralnosc (Integrity)
    • Dostepnosc (Availability)
    • Identyfikacja i autektykacja (Identyfication and authentication)
    • Rozliczalność (Accountability)
    • Autentyczność (Autenticity)
    • Niezaprzeczalność (Undeniability)
    • Niezawodność (Reliability)

Wymagania szczegółowe

W niniejszym rozdziale opisano podstawowe wymogi dla wszystkich obszarów zastosowań. W przypadku określenia w deklaracji kontekstów użycia, należy uzupełnić zestaw mierzonych parametrów.

Poziom podstawowy

Wymaganie

Wymagana cecha (miara)

Odniesienie do modelu

Oprogramowanie zapewnia poufność informacji

Oprogramowanie uniemożliwia dostęp (celowy i przypadkowy) do zgromadzonych w nim informacji osobom/programom nieupoważnionym do uzyskania dostępu.

Security in use / Confidentiality

Oprogramowanie zapewnia spójność informacji

Oprogramowanie uniemożliwia modyfikacje danych zgromadzonych w oprogramowaniu (w sposób celowy i przypadkowy) przez osobę/program nieupoważniony do wykonania modyfikacji. Oprogramowanie uniemożliwia zniszczenie informacji w nim zgromadzonych.

Security in use / Integrity

Oprogramowanie zapewnia dostępność informacji

Oprogramowanie zapewnia możliwość uzyskania dostępu osobom/programom upoważnionym do otrzymania dostępu w czasie wynikającym z deklaracji zgodności.

Security in use / Availability

Oprogramowanie nie zagraża życiu i zdrowiu

W przypadku wpływu na bezpieczeństwo i zdrowie ludzi oprogramowanie posiada zabezpieczenia przed błędami mogącymi skutkować zagrożeniem życia i zdrowia.

Safety in use /Risks to the operator, risks to the public

Oprogramowanie nie zagraża mieniu

W przypadku wpływu na bezpieczeństwo mienia oprogramowanie posiada zabezpieczenia przed błędami mogącymi skutkować zagrożeniem dla mienia. Przez mienie rozumie się również wartości niematerialne takie jak reputacja firmy, jej własności niematerialne i prawne etc.

Safety in use / Commercial risks

Oprogramowanie nie zagraża srodowisku

W przypadku wpływu na bezpieczeństwo środowiska oprogramowanie posiada zabezpieczenia przed błędami mogącymi skutkować zagrożeniem środowiska.

Safety in use / Risks to the environment

Oprogramowanie jest zgodne z wymaganiami formalnymi dla bezpieczeństwa

W przypadku oddziaływania na sferę bezpieczeństwa operatora, innych osób, mienia lub środowiska, lub w przypadku przechowywania informacji objętych ochrona (w tym tajemnica przedsiębiorstwa użytkownika) oprogramowanie zapewnia poziom bezpieczeństwa zgodny z wymogami formalnymi dla tych obszarów.

Security in use, Safety in use / Compliance

Wymagania szczegółowe dla certyfikacji S

Wymagania szczegółowe dotyczące ewaluacji

Ewaluacja przeprowadzana jest przez Jednostkę Certyfikującą w systemie skonfigurowanym zgodnie z tymi wytycznymi oraz o ile to możliwe z pozostałymi parametrami systemu (nie objętymi wytycznymi) ustawionymi w sposób przypadkowy.