ГОСТ Р ИСО/МЭК 18045— 2008
13.10.1.4.5 Шаг оценивания 4:AVA_MSU.2-5
ИСО/МЭК 15408-3 AVA_MSU.2.4C: Руководства должны содержать список всех требований к вне
шним мерам безопасности (включая внешнийконтроль за процедурами, физическими мерами и персо
налом).
Оценщик должен исследовать руководства, чтобы сделать заключение, все ли требования для вне
шних мер безопасности четко сформулированы.
Оценщик анализирует руководства, чтобы удостовериться, перечислены ли в нем все внешние про
цедурные меры, меры физической защиты, управления персоналом и связностью. Цели безопасности в ЗБ
для не-ИТ среды указывают на то, что требуется.
13.10.1.4.6 Шаг оценивания 4:AVA_MSU.2-6
ИСО/МЭК 15408-3 AVA_MSU.2.5C: Документация анализа должна демонстрировать, чторуковод
ства полны.
Оценщикдолжен исследовать материалы анализа, выполненного разработчиком, чтобы сделать за
ключение. предпринял ли разработчик соответствующие меры для обеспечения полноты руководств.
Материалы анализа, выполненного разработчиком, могут включать в себя отображения ЗБ или функ
циональной спецификации на руководства, чтобы продемонстрировать, что руководства являются полны
ми. Какие бы ни были предоставлены разработчиком свидетельствадля демонстрации полноты, оценщику
следует оценить материалы анализа, выполненного разработчиком, с учетом любых недостатков, обнару
женных при выполнении шагов оценивания с AVA_MSU.2-1 по AVA_MSU.2-5. а также AVA_MSU.2-7.
13.10.1.5Действие AVA_MSU.2.2E
13.10.1.5.1 Шаг оценивания 4:AVA_MSU.2-7
Оценщикдолжен выполнить все процедуры администратора и пользователя (если применимо), необ
ходимыедля конфигурирования и установки ОО. чтобы сделать заключение, может ли ОО бытьбезопасно
сконфигурирован и использован с применением только представленных руководств.
Конфигурация и инсталляция требуют, чтобы оценщик перевел ОО из состояния при поставке в со
стояние. в котором ОО функционирует и осуществляет ПБО. согласованную с целями безопасности, спе
цифицированными в ЗБ.
Оценщику необходимо следовать только процедурам разработчика, задокументированным в руко
водствах пользователя и администратора, обычно поставляемых потребителю ОО. Любые встретившиеся
трудности в процессе такого применения процедур могут указывать на неполноту, непонятность, противо
речивость или необоснованность руководств.
Работа, выполненная для удовлетворения данного шага оценивания, может также способствовать
удовлетворению действия оценщика ADOJGS.1.2E.
13.10.1.5.2 Шаг оценивания 4:AVA_MSU.2-8
Оценщикдолжен выполнитьдругие относящиеся к безопасности процедуры, специфицированные в
руководствах, чтобы сделать заключение, может ли ОО быть безопасно сконфигурирован и использован с
применением только представленных руководств.
Оценщику необходимо следовать только процедурам разработчика, задокументированным в руко
водствах пользователя и администратора, обычно поставляемых потребителю ОО.
Оценщику следует осуществить выборку при выполнении данного шага оценивания. При осуществ
лении выборки оценщику следует принять во внимание:
a) ясность руководства. Любое потенциально непонятное руководство следует включить в выборку;
b
)руководство, которое будетиспользоваться наиболее часто. Редкоиспользуемое руководствообычно
не следует включать в выборку;
c) сложность руководства. Сложное руководство следует включать в выборку;
d) серьезность ошибки. Процедуры, для которых ошибка влияет очень серьезным образом на безо
пасность, следует включать в выборку;
e) характер ОО. Руководство, связанное с нормальным или наиболее вероятным использованием
ОО. следует включать в выборку.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
13.10.1.6Действие AVA_MSU.2.3E
13.10.1.6.1 Шаг оценивания 4:AVA_MSU.2-9
Оценщикдолжен исследовать руководства, чтобы сделать заключение, предоставлены ли потреби
телю руководства,достаточные, чтобы эффективно администрировать и использовать функции безопасно
сти ОО. а также обнаруживать небезопасные состояния.
188