ГОСТ Р ИСО/МЭК 18045— 2008
Оценщикдолжен исследовать руководство пользователя, чтобы сделать заключение, приведены ли
в нем всеобязанности пользователя, необходимые для безопасной эксплуатации ОО, включая обязаннос
ти. связанные с предположениями относительнодействий пользователя, содержащимися вописании сре
ды безопасности ОО.
Предположения относительнодействий пользователя могут быть описаны более подробно при изло
жении среды безопасности ОО в ЗБ. Однако в руководство пользователя должна быть включена только та
информация, которая относится к безопасной эксплуатации ОО.
В руководстве пользователя должны быть приведены рекомендации по эффективному использова
нию функций безопасности (например, описание практических приемов формирования паролей, рекомен
дуемая периодичность резервного копирования файлов пользователей, предполагаемые последствия из
менений привилегий доступа для пользователя).
Примером обязанности пользователей, необходимой для безопасной эксплуатации ОО. является со
хранение ими в тайне своих паролей.
В руководстве пользователя должно быть указано, может ли пользователь вызвать функцию, или же
для этого ему потребуется помощь администратора.
12.7.3.4.5 Шагоценивания 3:AGD_USR.1-5
ИСО/МЭК 15408-3 AGD_USR.1.5С: Руководство пользователя должно быть согласовано со всей
другойдокументацией, представленной для оценки.
Оценщикдолжен исследовать руководство пользователя, чтобы сделать заключение о его согласо
ванности со всейдругой документацией, представленной для оценки.
Оценщик должен удостовериться, что руководство пользователя и остальная документация, пред
ставленная для оценки, не противоречатдругдругу. Это особенно актуально, если ЗБ содержит подробную
информацию о любых предупреждающих сообщениях пользователям ОО. относящихся к среде безопас
ности и целям безопасности ОО.
Руководство по анализу непротиворечивости см.вА.З «Анализ непротиворечивости» (приложе
ние А).
12.7.3.4.6 Шаг оценивания 3:AGD_USR.1-6
ИСО/МЭК 15408-3 AGD_USR.1.6C: Руководство пользователя должно содержать описание всех
требований безопасности к среде ИТ. которые имеют отношение к пользователю.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описаны ли в
нем все требования безопасности ИТдля среды ИТобъекта оценки, которые имеют отношение к пользова
телю.
Если ЗБ не содержит требования безопасности ИТ для среды ИТ, то данный шаг оценивания не
применяют и поэтому считают удовлетворенным.
Этот шагоценивания относится только к требованиям безопасности ИТ. а не к каким-либо политикам
безопасности организации.
Оценщику следует проанализировать требования безопасности для среды ИТ объекта оценки (явля
ющиеся необязательной частью ЗБ) и сравнить их с руководством пользователя с целью удостовериться,
что все требования безопасности из ЗБ. которыеотносятся к пользователю, надлежащим образом описаны в
руководстве пользователя.
12.8 Вид деятельности «Поддержка жизненного цикла»
Вид деятельности «Поддержка жизненного цикла» предназначен для определения достаточности
процедур, применяемых разработчиком во время разработки и сопровождения ОО. Такие процедуры пред
назначены для защиты ОО и связанной с ним информации о проекте от вмешательства или раскрытия.
Вмешательство в процесс разработки может позволить преднамеренно внести уязвимости в ОО. Раскры тие
информации о проекте может облегчить использование уязвимостей. Адекватность рассматриваемых
процедур будет зависетьот свойств ОО и процесса его разработки.
12.8.1 Оценка безопасности разработки (ALC_DVS.1)
12.8.1.1 Цели
Цельданного подвида деятельности — сделать заключение, являются ли меры и средства контроля
безопасности в среде разработки достаточнымидля обеспечения конфиденциальности и целостности про
екта и реализации ОО. Это необходимо для обеспечения того, чтобы безопасная эксплуатация ОО не была
скомпрометирована.
12.8.1.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
a) ЗБ;
b
)документация по безопасности разработки.
115