ГОСТ Р ИСО/МЭК18045— 2008
12.4 Вид деятельности «Управление конфигурацией»
Цель вида деятельности «Управление конфигурацией» состоит в том. чтобы помочь потребителю в
идентификации оцененного ОО и удостовериться втом. что элементы конфигурации уникально идентифи
цированы. а также удостовериться в адекватности процедур, используемых разработчиком для управле
ния и отслеживания изменений, вносимых в ОО. При этом детальнодолжнобыть рассмотрено, какие изме
нения отслеживают и каким образом вносят потенциальные изменения.
12.4.1 Оценка возможностей УК (АСМ_САР.З)
12.4.1.1 Цели
Цельданного подвида деятельности— сделать заключение, четколи разработчик идентифицировал
ОО и связанные с ним элементы конфигурации, а также контролируется ли должным образом возможность
изменения этих элементов.
12.4.1.2 Исходные данные
Свидетельства оценки для этого подвида деятельности:
a) ЗБ;
b
) ОО. пригодный для тестирования;
c)документация управления конфигурацией.
12.4.1.3Действие АСМ_САР.3.1Е
12.4.1.3.1 Шагоценивания 3:АСМ_САР.З-1
ИСО/МЭК 15408-3 АСМ_САР.3.1С: Маркировка ОО должна быть уникальна для каждой версии ОО.
Оценщикдолжен проверить, что версия ОО. представленная для оценки, уникально маркирована.
Оценщику следует использовать систему УК. применяемую разработчиком, для подтверждения уни
кальности маркировки, проверяя список конфигурации с целью удостовериться, что элементы конфигура
ции уникально идентифицированы. Свидетельство уникальной маркировки версии ОО. представленной для
оценки, может оказаться неполным, если во время оценки была исследована толькоодна версия; поэтому
оценщику необходимо выяснить систему маркирования, которая может поддерживать уникальную марки
ровку (например, используя цифры, буквы или даты). Тем не менее, отсутствие какой-либо маркировки
обычно будет приводить к отрицательному вердикту по этому требованию, пока оценщик небудет уверен в
возможности уникальной идентификации ОО.
Оценщику следует стремиться исследовать несколько версий ОО (например, полученных в ходе
доработки после обнаружения уязвимости) для проверки того, что любые две версии маркированы по-
разному.
12.4.1.3.2 Шагоценивания 3;АСМ_САР.З-2
ИСО/МЭК 15408-3 АСМ__САР.3.2С: ОО должен быть помечен маркировкой.
Оценщикдолжен проверить, что ОО, представленный для оценки, имеет собственную маркировку.
Оценщику следует удостовериться, что ОО содержит уникальную маркировку, позволяющую разли
чать разные версии ОО. Этого можно достичь, используя помеченную упаковку или носители, или же
метку, отображаемую ОО при функционировании, что обеспечивает потребителю возможность идентифика
ции ОО (например, в месте приобретения или использования).
ОО может предоставитьспособ, посредством которого он может бытьлегко идентифицирован. Напри
мер. программный ОО может отображать свое наименование и номер версии при запуске программы или в
ответ на запросчерез командную строку.Аппаратный или программно-аппаратный ОО может быть
иденти фицирован путем физического нанесения на нем соответствующего номера.
12.4.1.3.3 Шагоценивания 3:АСМ_САР,3-3
Оценщикдолжен проверить непротиворечивость используемой маркировки ОО.
Если ОО помечен несколько раз. то необходима согласованность меток. Например, должна быть
возможность связать любое помеченное руководство, поставляемое в составе ОО. с оцененным функцио
нирующим ОО. Таким образом обеспечивается уверенность потребителя втом. что он приобрел оцененную
версию ОО. установил эту же версию и располагает надлежащей версией руководства, необходимой для
функционированияданного ОО в соответствии с его ЗБ. Оценщик может использовать список конфигура
ции. который является частью представленной документации УК. чтобы верифицировать согласованное
использование идентификаторов.
Оценщик также верифицирует, что маркировка ОО согласована с ЗБ.
Руководство по анализу непротиворечивости см. вА.З «Анализ непротиворечивости» (приложе
ние А).
98