ГОСТ Р ИСО/МЭК18045— 2008
Кроме того, оценщику может понадобиться исследованиедругих поставок, чтобы сделать заключе
ние о том. что меры и средства контроля безопасности полностью определены и их применяют. В частно
сти, оценщику может понадобиться исследование документации разработчика по управлению конфигура
цией (исходныеданные подвидовдеятельности АСМ_САР.4 «Поддержка генерации, процедуры приемки»
и ACM_SCP.2 «Охват УК отслеживания проблем»). Также требуется свидетельство применения процедур.
12.8.1.3 Действие ALC_DVS.1.1Е
12.8.1.3.1 Шагоценивания 3:ALC_DVS.1-1
ИСО/МЭК 15408-3 ALC_DVS.1.1С: Документация по безопасностиразработки должна содержать
описание всехфизических, процедурных, относящихсяк персоналуи других мер безопасности, которые
необходимы для защиты конфиденциальности и целостности проекта 0 0 и его реализации в среде
разработки.
Оценщикдолжен исследовать документацию по безопасности разработки, чтобы сделать заключе
ние. содержит ли она подробное описание всех используемых в среде разработки мер безопасности, кото
рые необходимыдля защиты конфиденциальности и целостности проекта и реализации ОО.
Оценщик определяет, какая информация из ЗБ требуется в первую очередь при вынесении заключе
ния о необходимой защите, особенно из разделов ЗБ об угрозах, политике безопасности организации и
предположениях, хотя такая информация может и не быть представлена в явном виде. Изложение в ЗБ
целей безопасности для среды также может быть полезно в этом отношении.
Если в ЗБ не имеется такой информации в явном виде, оценщикдолжен принять решение о необхо
димых мерах, основываясь на рассмотрении предполагаемой среды для ОО. В тех случаях, когда меры
разработчика признаны недостаточными, необходимо, чтобы было представлено четкое и логическое обо
снование для оценки уязвимостей, потенциально пригодныхдля использования.
При исследовании документации оценщик рассматривает следующие типы мер безопасности:
a) физические, например, средства управления физическимдоступом, применяемыедля предотвра
щения несанкционированного доступа к среде разработки ОО (в рабочие часы и в другое время);
b
) процедурные, например распространяющиеся:
- на предоставление доступа к среде разработки или к конкретным объектам среды, таким какобору
дование разработки,
- на отмену прав доступа лиц при их исключении из состава разработчиков.
- на передачу защищаемого материала из среды разработки.
- на встречу и сопровождение посетителей среды разработки.
- на роли и обязанности по обеспечению непрерывного применения мер безопасности и обнаружения
нарушений безопасности;
c) относящиеся к персоналу разработчиков, например средства контроля или проверки, позволяю
щие установить, заслуживают ли доверия принимаемые на работу;
d) прочие меры безопасности, например средства логической защиты оборудования разработки.
Вдокументации по безопасности разработкидолжны быть указаны места разработки и описаны виды
выполняемых работ вместе с мерами безопасности, применяемыми в каждом из мест разработки. Напри
мер. разработка могла бы происходить в нескольких производственных помещениях внутри одного зда
ния. в нескольких зданиях, расположенных на одной территории, или в нескольких различных местах. К
разработке относят такую задачу, как тиражирование ОО. когда это применимо. Не следует, чтобы этот шаг
оценивания частично перекрывал шаги оценивания из ADOJDEL «Поставка», но оценщикдолжен удосто
вериться. что все аспекты охвачены тем или другим подвидом деятельности.
Кроме того, документация по безопасности разработки может содержать описание различных мер
безопасности, которые могут быть применены кразличным аспектам разработки с точки зрения их выполне
ния. требуемых исходных данных и выходных результатов. Например, различные процедуры могут быть
применимы к разработке различных частей ОО или к различным стадиям процесса разработки.
12.8.1.3.2 Шаг оценивания 3;ALC_DVS.1-2
Оценщикдолжен исследовать политики обеспечения конфиденциальности и целостности при разра
ботке. чтобы сделатьзаключение о достаточности применяемых мер безопасности.
При рассмотрении политик учитывают следующее:
a) какая информация, относящаяся к разработке ОО. нуждается всохранении конфиденциальности и
кому из персонала разработчиков разрешендоступ ктаким материалам;
b
) какие материалы должны быть защищены от несанкционированной модификации для сохранения
целостности ОО и кому из персонала разработчиков разрешено модифицировать такие материалы.
116