ГОСТ Р ИСО/МЭК 18045— 2008
При наличии документального свидетельства оценщик просматривает его. чтобы удостовериться в
егосоответствии процедурам. Примерами подготовленных свидетельств могутслужитьжурналы регистра
ции входа и журналы аудита. Оценщик может остановиться на выборочной проверке свидетельства.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
13.8.1.4 Действие ALC_DVS.1,2Е
13.8.1.4.1 Шагоценивания 4:ALC_DVS.1 -4
Оценщикдолжен исследоватьдокументацию по безопасности разработки и связанные с ней свиде
тельства. чтобы сделатьзаключение, применены ли меры безопасности.
На этом шаге оценивания от оценщика требуется сделать заключение, применены ли меры безопас
ности. описанные в документации по безопасности разработки, таким образом, при котором целостность
ОО и конфиденциальность связанной с ним документации адекватно защищены. Например, данное
заключение могло бы быть сделано по результатам исследования представленных документальных
свидетельств. Документальные свидетельства следует дополнить непосредственным ознакомлением со
средой разработки. Непосредственное ознакомление со средой разработки предоставит оценщику воз
можность:
a) наблюдать применение мер безопасности (например, физических мер);
b
) исследоватьдокументальные свидетельства применения процедур;
c) посредством интервью с персоналом разработчиков проверить знание ими политик и процедур
безопасности разработки, а такжесвоих обязанностей.
Посещение объекта разработки является полезным способом приобретения уверенности в применя
емых мерах. Решение отказаться от такого посещения следует принимать после консультации с органом
оценки.
Руководство по посещению объектов см. в А.5 «Посещение объектов» (приложение А).
13.8.2 Оценка определения жизненного цикла (ALCJ.CD.1)
13.8.2.1 Цели
Цельданного подвида деятельности — сделать заключение, использовал ли разработчик задокумен
тированную модель жизненного цикла ОО.
13.8.2.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
a) ЗБ:
b
)документация определения жизненного цикла.
13.8.2.3Действие ALC_LCD.1.1E
13.8.2.3.1 Шагоценивания 4:ALC_LCD.1-1
ИСО/МЭК 15408-3ALCJ.CD.1.1C: Документацияпо определению жизненного цикла должна содер
жать описание модели, применяемойприразработке и сопровождении ОО.
Оценщик должен исследовать документированное описание используемой модели жизненного
цикла, чтобы сделать заключение, распространяется ли она на процессы разработки и сопровожде ния
ОО.
Модель жизненного цикла должна распространяться на процедуры, инструментальные средства и
методы, используемые при разработке и сопровождении ОО. Описание модели жизненного цикла должно
включать в себя информацию о процедурах, инструментальных средствах и методах, используемых раз
работчиком (например, при проектировании, кодировании, тестировании, исправлении ошибок). В нейдол
жно содержаться описание общей структуры управления применением процедур (например, идентифика
ция и описание персональной ответственности за каждую из процедур, требуемых в процессе разработки и
сопровождения ОО согласно модели жизненного цикла). ALC_LCD.1 «Определение модели жизненного
цикла разработчиком» не содержит требования соответствия используемой модели какой-либо стандарти
зованной модели жизненного цикла.
13.8.2.3.2 Шаг оценивания 4:ALC_LCD.1-2
ИСО/МЭК 15408-3ALCJLCD.1,2С: Модельжизненного цикладолжна обеспечить необходимый конт
роль за разработкой и сопровождением ОО.
Оценщик должен исследовать модель жизненного цикла, чтобы сделать заключение, будет ли ис
пользование процедур, инструментальных средств и методов, описанных в модели жизненного цикла, ока
зывать необходимое положительное влияние на разработку и сопровождение ОО.
Информация, представленная в модели жизненного цикла, дает оценщику определенную уверен
ность в том. что принятые процедуры разработки и сопровождения минимизируют вероятность недостатков
безопасности. Например, если в модели жизненного цикла содержится описание процесса проверки, но не
171