Глава 2. Открытые системы и информационный менеджмент 61
отражены специфические требования конкретного стандарта FIPS.
Порядок тестирования определяет:
• требования, выполнение которых должно проверяться при те-
стировании;
• набор необходимых тестовых комплектов, процедуры, кото-
рым необходимо следовать;
• способ трактовки безуспешных результатов тестирования,
Национальная добровольная лаборатория аккредитации про-
грамм (NVLAP)
—
организация в рамках института NIST
—
акк-
редшует лаборатории на выполнение тестирования по различным
программам. Требования к аккредитации строго определены и
различны для каждого стандарта. В общем случае повторная ак-
кредитация происходит каждые два года.
Результатом тестирования является Перечень проверенных изде-
лий
(VPL).
В
него включены изделия, протестированные на соответ-
ствие требованиям конкретных федеральных стандартов по обра-
ботке информации (FIPS). В Перечень входят два типа изделий:
• сертификаты, указывающие, что изделия тестировались на
соответствие стандартам FIPS, что результаты тестов не вы-
являют ошибок и что тестировались они аккредитованными
лабораториями в присутствии представителя, аккредитован-
ного правительством;
• номера регистрации изделий, указывающие, что изготови-
тели или другие участники подтверждают факт тестирования
изделия с использованием одобренного лабораторией тестово-
го комплекта на соответствие применяемым стандартам FIPS.
По существу, регистрация изделий — это подтверждение са-
мими изготовителями соответствия изделия стандартам FIPS.
Перечень VPL обновляется и публикуется через лабораторию
вычислительных систем (CSL) в виде отчетов NISTIR несколько раз
в
году.
На Перечень можно подписаться через Национальную служ-
бу
технической информации (NTIS PB94-937304/AS). Он также дос-
тупен в электронном виде в каталоге WordPerfect 5.1 через FTP
speckle,ncsi.nist.gov (IP адрес 129.6.59.2), в каталоге vpl или в тексто-
вом
файле
World Wide Web
URL:
http://spe-ckle.nc-sl.nist.gov/~ka-iley/
in-tro,htm. Заметим, что изделия, проверенные на соответствие как
реализации, не могут быть перечислены в Перечне VPL из-за ог-
раниченности этой информации у поставщиков.
Оценивая в целом спецификации профиля АРР, пользователи
должны учитывать стратегическую значимость каждой из них, В