ГОСТ Р ИСО/МЭК 18045— 2008
Оценщик должен исследовать информацию, относящуюся к автоматизированным инструменталь
ным средствам, представленным в плане УК. чтобы сделать заключение, что в нем описано, как эти сред
ства используются.
Информация, представленная в планеУК. обеспечивает необходимуюдетализацию для пользовате
ля системы УК, чтобы дать возможность правильно использовать автоматизированные инструментальные
средства для сохранения целостности ОО. Например, представленная информация может содержатьопи
сание:
a)функциональности, обеспечиваемой инструментальными средствами:
b
) использованияэтой функциональности разработчиком для управления изменениями в представле
нии реализации;
c) использования этой функциональности разработчикомдля поддержки генерации ОО.
13.4.1.4 Подразумеваемоедействие оценщика
13.4.1.4.1 Шаг оценивания 4:ACM_AUT.1-7
ИСО/МЭК 15408-3 ACM_AUT.1.1D: Разработчик должен использовать систему УК.
Оценщик должен исследовать систему УК. чтобы сделать заключение, что использованы те автома
тизированные инструментальные средства и процедуры, которые описаны в плане УК.
Этот шаг оценивания может быть рассмотрен как процесс, дополнительный по отношению к парал
лельно выполняемому оценщиком исследованию применения системы УК. требуемому АСМ_САР «Воз
можности УК». Оценщик старается получить свидетельство применения инструментальных средств и про
цедур. Для этого рекомендуется посетить объект разработки, чтобы лично убедиться в функционировании
инструментальных средств и процедур, а также провести исследование свидетельств, получаемых при их
применении.
Руководство по посещению объектов см. в А.5 «Посещение объектов» (приложение А).
13.4.2 Оценка возможностей УК (АСМ_САР.4)
13.4.2.1 Цели
Цельданного подвида деятельности— сделать заключение, четколи разработчик идентифицировал
ОО и связанные с ним элементы конфигурации, а также контролируется ли должным образом возможность
изменения этих элементов.
13.4.2.2 Исходные данные
Свидетельства оценки для этого подвида деятельности:
a) ЗБ:
b
) ОО. пригодный для тестирования;
c) документация управления конфигурацией.
13.4.2.3 Действие АСМ_САР.4.1Е
13.4.2.3.1 Шагоценивания 4;АСМ_САР.4-1
ИСО/МЭК 15408-3 АСМ_САР.4.1С: Маркировка ОО должна быть уникальна длякаждой версии ОО.
Оценщикдолжен проверить, что версия ОО. представленная для оценки, уникально маркирована.
Оценщику следует использовать систему УК. применяемую разработчиком,для подтверждения уни
кальности маркировки, проверяя список конфигурации с целью удостовериться, что элементы конфигура
ции уникально идентифицированы. Свидетельство уникальной маркировки версии ОО. представленной для
оценки, может оказаться неполным, если во время оценки была исследована только одна версия; поэтому
оценщику необходимо выяснить систему маркирования, которая может поддерживать уникальную марки
ровку (например, используя цифры, буквы или даты). Тем не менее, отсутствие какой-либо маркировки
обычно будет приводить к отрицательному вердикту по этому требованию, пока оценщик не будет уверен в
возможности уникальной идентификации ОО.
Оценщику следует стремиться исследовать несколько версий ОО (например, полученных в ходе
доработки после обнаружения уязвимости) для проверки того, что любые две версии маркированы по-
разному.
13.4.2.3.2 Шагоценивания 4:АСМ_САР.4-2
ИСО/МЭК 15408-3 АСМ_САР.4.2С: ОО должен быть помечен маркировкой.
Оценщикдолжен проверить, что ОО. представленный для оценки, имеет собственную маркировку.
Оценщику следует удостовериться, что ОО содержит уникальную маркировку, позволяющую разли
чать разные версии ОО. Этого можно достичь, используя помеченную упаковку или носители, или же
метку, отображаемую ОО при функционировании, что предоставляет потребителю возможность идентифи
кации ОО (например, в месте приобретения или использования).
141