ГОСТ Р ИСО/МЭК18045— 2008
13.4.1 Оценка автоматизации УК (ACM_AUT.1)
13.4.1.1 Цели
Цельданного подвидадеятельности - сделать заключение, контролируется ли при поддержке авто
матизированных инструментальных средств внесение изменений в представление реализации в целяхдо
стижения меньшей восприимчивости системы УК кчеловеческой ошибке или небрежности.
13.4.1.2 Исходные данные
Свидетельством оценки для этого подвида деятельности являетсядокументация управления конфи
гурацией.
13.4.1.3 Действие ACM_AUT.1.1E
13.4.1.3.1 Шагоценивания 4:ACM_AUT.1-1
ИСО/МЭК 15408-3 АСМ_А1)Т. 1.1С: Система УКдолжна предоставить автоматизированные сред
ства, с использованиемкоторых в представленииреализации 0 0 проводитсятолько санкционирован
ные изменения.
Оценщикдолжен проверить план УК в части описания автоматизированных средств контроля досту
па к представлению реализации ОО.
13.4.1.3.2 Шагоценивания 4:ACM_AUT.1-2
Оценщик должен исследовать автоматизированные средства контроля доступа, чтобы сделать за
ключение об их эффективностидля предотвращения несанкционированной модификации представления
реализации ОО.
Оценщик изучаетдокументацию УК, чтобы идентифицировать тех лиц или те роли, которые уполномо
чены изменять представление реализации ОО. Например, если представление реализации находится под
управлением конфигурацией, тодоступ к его элементу может быть разрешен только лицу, исполняющему
роль интегратора программного обеспечения.
Оценщику следует опробовать автоматизированные средства контроля доступа, чтобы сделать за
ключение. может ли неуполномоченный пользователь или роль их обойти. Для заключения потребуется
лишь несколько базовых тестов.
13.4.1.3.3 Шаг оценивания 4:ACM_AUT.1-3
ИСО/МЭК 15408-3 ACM_AUT.1.2С: Система УКдолжна предоставить автоматизированные сред
ства для поддержкигенерации ОО.
Оценщикдолжен проверить документацию УК в части автоматизированных средств поддержки гене
рации ОО изего представления реализации.
На этом шагеоценивания термин «генерация» применяют к процессам, принятым разработчиком для
преобразования ОО из его реализации всостояние готовности кпоставке конечному потребителю.
Оценщику следует верифицировать наличие автоматизированных процедур поддержки генерации в
документации УК.
13.4.1.3.4 Шагоценивания 4:ACM_AUT.1-4
Оценщикдолжен исследовать автоматизированные процедуры генерации, чтобы сделать заключе
ние. могут ли они быть использованы для поддержки генерации ОО.
Оценщик делает заключение, что при следовании процедурам генерации будет сгенерирован ОО.
отражающий его представление реализации. Потребитель тогда может быть уверен, что версия ОО. постав
леннаядля установки, реализует ПБО всоответствии с описанием в ЗБ. Например, в случае программного
ОО это может предусматривать проверку того, что автоматизированные процедуры генерации помогают
обеспечить включение воткомпилированный объектный ксщвсех исходных файлов и связанных библиотек,
направленных на осуществление ПБО.
Следует отметить, что это требование является только требованием предоставления поддержки. На
пример. подход, при котором исполняемые файлы Unix помещаются подуправление конфигурацией, сле
дует считать достаточным для достижения данной цели, учитывая, что такой подход к автоматизации су
щественносодействовал бы точной генерации ОО. Автоматизированные процедуры могут способствовать
определению надлежащихэлементов конфигурации, которые необходимо использовать при генерации ОО.
13.4.1.3.5 Шагоценивания 4:ACM_AUT.1-5
ИСО/МЭК 15408-3 ACM_AUT.1 .ЗС: План УКдолжен содержать описание автоматизированных ин
струментальных средств, используемых в системе УК.
Оценщикдолжен проверить, что план УКсодержит информацию относительно автоматизированных
инструментальных средств, используемых в системе УК.
13.4.1.3.6 Шагоценивания 4:ACM_AUT.1-6
ИСО/МЭК 15408-3 ACM_AUT.1.4C: План УКдолженсодержать описание, как автоматизированные
инструментальные средства используются в системе УК.
140