ГОСТ Р ИСО/МЭК18045— 2008
Оценщику следует учесть, что составляющие поставки для оценки могут быть представлены в нескольких
документах (например, процедуры безопасной установки, генерации и запуска могут быть описаны в трех различ
ных документах).
b
) Оценщику необходимо проанализировать, согласована ли поставка для оценки с одной или нескольки
ми другими поставками. Примеры:
- AGO_ADM.1,7С: «Руководство администратора должно быть согласовано со всей другой документацией,
представленной для оценки»:
- AGD_USR.1.5C: «Руководство пользователя должно быть согласовано со всей другой документацией,
представленной для оценки».
При анализе непротиворечивости от оценщика требуется верифицировать согласованность описания фун
кций, параметров безопасности, процедур и событий, относящихся к безопасности, в одном документе с их описа
нием в других документах, представленных для оценки. Это означает, что оценщику следует учесть возможные
противоречия с другими источниками информации. Примерами являются:
- противоречия с другими руководствами по использованию функций безопасности:
- противоречия с ЗБ (например, в части угроз, предположений безопасного использования, не-ИТ-целей
безопасности или функций безопасности ИТ);
- применение параметров безопасности, противоречащее их описанию в функциональной спецификации
или в проекте нижнего уровня;
- описание событий, относящихся к безопасности, противоречащее информации, содержащейся в проектах
верхнего или нижнего уровня;
- несоответствие функций, осуществляющих безопасность, неформальной модели ПБО.
c) Оценщику необходимо проанализировать и то. что поставка для оценки внутренне непротиворечива, и то,
что поставка для оценки согласована с другими поставками. Пример:
- AVA WSU.1.2C: «Руководства должны быть полны, понятны, непротиворечивы и обоснованны».
В этом случае требуется, чтобы руководство в целом удовлетворяло требованию непротиворечивости.
Поскольку руководство может содержаться в одном документе или в нескольких отдельных документах, требова
ние относится к непротиворечивости всего руководства как в пределах отдельных документов, так и между ними.
d) Оценщику необходимо проверить результаты анализа, представленные разработчиком и требуемые для
демонстрации непротиворечивости. Примеры:
- ADV_SPM.1.3C: «Модель ПБО должна включать в себя обоснование, которое демонстрирует, что она
согласована и полна относительно всех политик ПБО. которые могут быть смоделированы»;
- ADV SPM.1.4C: «Демонстрация соответствия между моделью ПБО и функциональной спецификацией
должна показать, что все функции безопасности в функциональной спецификации являются непротиворечивыми и
полными относительно модели ПБО».
В указанных случаях свидетельство непротиворечивости представляется разработчиком. Тем не менее,
оценщику необходимо уяснить этот анализ и подтвердить его. возможно, даже выполнив, при необходимости,
независимый анализ.
Анализ непротиворечивости может быть выполнен исследованием поставки (поставок) для оценки. Оцен
щику следует принять разумный и структурированный подход к анализу непротиворечивости документов и. воз
можно. объединить его с другими видами деятельности типа отображения или прослеживания, выполняемых
как часть других шагов оценивания. Оценщик может разрешить любые найденные противоречия, обращаясь к
формальному описанию при его наличии. Аналогично для уменьшения неоднозначности в поставках
возможно использование полуформальной нотации, даже если она не настолько точная, как формальная
нотация.
Неоднозначность может возникать явно, например из-за противоречивых формулировок, или неявно, ког
да формулировки недостаточно точны. При этом пространная формулировка не является, сама по себе, доста
точным основанием для принятия отрицательного вердикта по критерию непротиворечивости.
Проверка непротиворечивости поставок для оценки гложет выявить упущения, из-за которых может потре
боваться повторное выполнение завершенных ранее шагов оценивания. Например, проверка непротиворечиво сти
целей безопасности может выявить пропуск одного или нескольких требований безопасности. В этом случав
оценщику следует проверить соответствие между целями безопасности и ФБО.
А.4 Зависимости
В общем случае выполнение требуемых видов и подвидов деятельности и действий по оценке возможно
в произвольном порядке или параллельно. Тем не менее, имеются различные виды зависимостей, которые
необходимо учитывать оценщику. Настоящий подраздел представляет общее руководство по учету зависимостей
между различными видами и подвидами деятельности и действиями по оценке.
А.4.1 Зависимости между видами деятельности
В некоторых случаях для различных классов доверия может быть рекомендована или даже потребована
определенная последовательность выполнения связанных с ними видов деятельности по оценке. Конкретный
пример — вид деятельности по оценке ЗБ. Вид деятельности по оценке ЗБ начинается до выполнения каких-либо
видов деятельности по оценке ОО, так как ЗБ обеспечивает основу и контекст их выполнения. Однако сделать
итоговое заключение по оценке ЗБ до завершения оценки ОО может оказаться невозможным, так как результаты
деятельности по оценке ОО могут привести к изменениям в ЗБ.
213