ГОСТ Р ИСО/МЭК 18045— 2008
Если ЗБ не содержит требования безопасности ИТ для среды ИТ, то данный шаг оценивания не
применяют и поэтому считают удовлетворенным.
Этот шагоценивания относится только к требованиям безопасности ИТ, а не к каким-либо политикам
безопасности организации.
Оценщику следует проанализировать требования безопасности для среды ИТ объекта оценки (явля
ющиеся необязательной частью ЗБ) и сравнить их с руководством пользователя с целью удостовериться,
что все требования безопасности из ЗБ. которыеотносятся к пользователю, надлежащим образом описаны в
руководстве пользователя.
13.8 Вид деятельности «Поддержка жизненного цикла»
Вид деятельности «Поддержка жизненного цикла» предназначен для определения достаточности
процедур, применяемых разработчиком во время разработки и сопровождения ОО. Эти процедуры вклю
чают в себя меры безопасности во время разработки ОО, модель жизненного цикла, применяемую
разработчиком, и инструментальные средства, используемые разработчиком на протяжении жизненного
цикла ОО.
Процедуры безопасности разработки предназначены для защиты ОО и связанной с ним информации
о проекте от вмешательства или раскрытия. Вмешательство в процесс разработки может позволить
преднамеренно внести уязвимости в ОО. Раскрытие информации о проекте может облегчить использова
ние уязвимостей. Адекватность рассматриваемых процедур будет зависеть от свойств ОО и процесса его
разработки.
Плохое управление разработкой и сопровождением ОО может привести к уязвимостям вреализации.
Соответствие определенной модели жизненного цикла может способствовать улучшению мер управления в
этих областях.
Использование полностью определенных инструментальных средств разработки помогает удостове
риться в том, что уязвимости не были непреднамеренно внесены в процессе уточнения ФБО.
13.8.1 Оценка безопасности разработки (ALC_DVS.1)
13.8.1.1 Цели
Цельданного подвида деятельности — сделать заключение, являются ли меры и средства контроля
безопасности в среде разработки достаточнымидля обеспечения конфиденциальности и целостности про
екта и реализации ОО. Это необходимо для обеспечения того, чтобы безопасная эксплуатация ОО не была
скомпрометирована.
13.8.1.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
a) ЗБ;
b
)документация по безопасности разработки.
Кроме того, оценщику может понадобиться исследованиедругих поставок, чтобы сделать заключе
ние о том. что меры и средства контроля безопасности полностью определены и их применяют. В частно
сти, оценщику может понадобиться исследование документации разработчика по управлению конфигура
цией (исходные данные подвидов деятельности АСМ_САР.4 «Поддержка генерации, процедуры прием
ки» и ACM_SCP.2 «Охват УК отслеживания проблем»). Также требуется свидетельство применения
процедур.
13.8.1.3 Действие ALC_DVS.1.1Е
13.8.1.3.1 Шагоценивания 4:ALC_DVS.1 -1
ИСО/МЭК 15408-3 ALC_DVS.1.1С: Документация по безопасностиразработки должна содержать
описание всехфизических, процедурных, относящихсяк персоналу и других мер безопасности, которые
необходимы для защиты конфиденциальности и целостности проекта ОО и его реализации в среде
разработки.
Оценщикдолжен исследовать документацию по безопасности разработки, чтобы сделать заключе
ние. содержит ли она подробное описание всех используемых в среде разработки мер безопасности, кото
рые необходимыдля защиты конфиденциальности и целостности проекта и реализации ОО.
Оценщик определяет, какая информация из ЗБ требуется в первую очередь при вынесении заключе
ния о необходимой защите, особенно из разделов ЗБ об угрозах, политике безопасности организации и
предположениях, хотя такая информация может и не быть представлена в явном виде. Изложение в ЗБ
целей безопасности для среды также может быть полезно в этом отношении.
Если в ЗБ не имеется такой информации в явном виде, оценщик должен принять решение о необхо
димых мерах, основываясь на рассмотрении предполагаемой среды для ОО. В тех случаях, когда меры
169