ГОСТ Р ИСО/МЭК18045— 2008
разработчика признаны недостаточными, необходимо, чтобы было представлено четкое и логическое обо
снование для оценки уязвимостей, потенциально пригодныхдля использования.
При исследовании документации оценщик рассматривает следующие типы мер безопасности:
a) физические, например средства управления физическим доступом, применяемые для предотвра
щения несанкционированного доступа к среде разработки ОО (в рабочие часы и вдругое время);
b
) процедурные, например распространяющиеся:
- на предоставление доступа ксреде разработки или к конкретным объектам среды, таким как обору
дование разработки.
- на отмену прав доступа лиц при их исключении из состава разработчиков.
- на передачу защищаемого материала из среды разработки.
- на встречу и сопровождение посетителей среды разработки.
- на роли и обязанности по обеспечению непрерывного применения мер безопасности и обнаружения
нарушений безопасности:
c) относящиеся к персоналу разработчиков, например средства контроля или проверки, позволяю
щие установить, заслуживают ли доверия принимаемые на работу;
d) прочие меры безопасности, например средства логической защиты оборудования разработки.
В документации по безопасности разработкидолжны быть указаны места разработки и описаны виды
выполняемых работ вместе с мерами безопасности, применяемыми в каждом из мест разработки. Напри
мер. разработка могла бы происходить в нескольких производственных помещениях внутри одного зда
ния. в нескольких зданиях, расположенных на одной территории, или в нескольких различных местах. К
разработке относят такую задачу, как тиражирование ОО. когда это применимо. Не следует, чтобы этот шаг
оценивания частично перекрывал шаги оценивания из ADO_DEL «Поставка», но оценщикдолжен удосто
вериться. что все аспекты охвачены тем или другим подвидом деятельности.
Кроме того, документация по безопасности разработки может содержать описание различных мер
безопасности, которые могут быть применены кразличным аспектам разработки с точки зрения их выполне
ния. требуемых исходных данных и выходных результатов. Например, различные процедуры могут быть
применимы к разработке различных частей ОО или к различным стадиям процесса разработки.
13.8.1.3.2 Шаг оценивания 4:ALC_DVS.1-2
Оценщикдолжен исследовать политики обеспечения конфиденциальности и целостности при разра
ботке. чтобы сделать заключение одостаточности применяемых мер безопасности.
При рассмотрении политик учитывают следующее:
a) какая информация, относящаяся к разработке ОО. нуждается всохранении конфиденциальности и
кому из персонала разработчиков разрешендоступ ктаким материалам;
b
) какие материалы должны быть защищены от несанкционированной модификации для сохранения
целостности ОО и кому из персонала разработчиков разрешено модифицировать такие материалы.
Оценщику следует сделать заключение, описаны ли эти политики в документации по безопасности
разработки, совместимы ли применяемые меры безопасности с политиками, являются ли онидостаточно
полными.
Необходимо отметить, что процедуры управления конфигурацией способствуют защите целостности
ОО. и оценщику следует избегать частичного перекрытия с шагами оценивания, проводимыми в рамках
подвидадеятельности АСМ_САР «Возможности УК». Например, документация УК может описывать проце
дуры безопасности, необходимые для контроля ролей или лиц. которым следует предоставить доступ
к среде разработки и которые могут модифицировать ОО.
Тогда как требования АСМ_САР зафиксированы, требования для ALC_DVS «Безопасность разработ
ки», предписывающие только необходимые меры, зависят от типа ОО и от информации, которая может
быть представлена в разделе ЗБ «Среда безопасности». Например. ЗБ может идентифицировать политику
безопасности организации, в которой требуется наличие формы допуска у персонала разработчиков ОО.
Тогда оценщику в ходе выполнения данного подвидадеятельности необходимо сделать заключение, была
ли применена такая политика.
13.8.1.3.3 Шаг оценивания 4:ALC_DVS.1-3
ИСО/МЭК 15408-3 ALC_DVS.1 2С: Документация по безопасностиразработки должна предоста
вить свидетельство, что необходимые меры безопасности соблюдаются во время разработки и со
провождения ОО.
Оценщикдолжен проверитьдокументацию по безопасности разработки, чтобы сделать заключение,
сформировано ли документальное свидетельство в результате применения процедур.
170