ГОСТ Р ИСО/МЭК18045— 2008
10.4.1 Оценка возможностей УК (АСМ_САР.1)
10.4.1.1 Цели
Цельданного подвида деятельности — сделать заключение, четко ли разработчик идентифициро
вал ОО.
10.4.1.2 Исходные данные
Свидетельства оценки для этого подвида деятельности:
a) ЗБ:
b
) ОО. пригодный для тестирования;
10.4.1.3 Действие АСМ_САР.1.1Е
10.4.1.3.1 Шагоценивания 1:АСМ_САР.1-1
ИСО/МЭК 15408-3 АСМ_САР.1.1С: Маркировка ОО должна быть уникальна для каждой версии ОО.
Оценщикдолжен проверить, что версия ОО. представленная для оценки, уникально маркирована.
В этом компонентедоверия отсутствуют какие-либодрутие требования к разработчику по использова
нию системы УК, кроме требования уникальной маркировки. В результате оценщикспособен верифициро
вать уникальность версии ОО только путем проверки, что другие доступныедля приобретения версии ОО не
маркированы так же. При оценке, когда система УК представлена сверх требований ИСО/МЭК 15408,
оценщик мог бы подтвердить уникальность маркировки путем проверки списка конфигурации. Свидетель
ство уникальной маркировки версии ОО. представленнойдля оценки, может оказаться неполным, если во
время оценки была исследована только одна версия: поэтому оценщику необходимо выяснить систему
маркирования, которая способна поддерживать уникальные маркировки (например, используя цифры, бук вы
илидаты). Тем не менее, отсутствие какой-либо маркировки обычно будет приводить к отрицательному
заключению по этому требованию, пока оценщик не будет уверен в возможности уникальной идентифика
ции ОО.
Оценщику следует стремиться исследовать несколько версий ОО (например, полученных в ходе
доработки после обнаружения уязвимости) для проверки того, что любые две версии маркированы по-
разному.
10.4.1.3.2 Шагоценивания 1:АСМ_САР.1-2
ИСО/МЭК 15408-3 АСМ_САР. 1.2С: ОО должен быть помечен маркировкой.
Оценщикдолжен проверить, что ОО, представленный для оценки, имеет собственную маркировку.
Оценщику следует удостовериться, что ОО содержит уникальную маркировку, позволяющую разли
чать разные версии ОО. Этого можно достичь, используя помеченную упаковку или носители, или же
метку, отображаемую ОО при функционировании, что обеспечивает потребителю возможность идентифика
ции ОО (например, в месте приобретения или использования).
ОО может предоставитьспособ, посредством которого он может бытьлегко идентифицирован. Напри
мер. программный ОО может отображать свое наименование и номер версии при запуске программы или в
ответ назапрос через командную строку.Аппаратный или программно-аппаратный ОО может быть
иденти фицирован путем физического нанесения на нем соответствующего номера.
10.4.1.3.3 Шагоценивания 1:АСМ_САР.1-3
Оценщикдолжен проверить непротиворечивость используемой маркировки ОО.
Если ОО помочен несколько раз. то необходима согласованность меток. Например, следует преду
смотреть возможность связать любое помеченное руководство, поставляемое в составе ОО. с оцененным
функционирующим ОО. Таким образом обеспечивается уверенность потребителя в том. что он приобрел
оцененную версию ОО. установил эту же версию и располагает надлежащей версией руководства, необ
ходимой для эксплуатации данного ОО в соответствии с его ЗБ.
Оценщик также верифицирует, что маркировка ОО согласована с ЗБ.
Руководство по анализу непротиворечивости см.вА.З «Анализ непротиворечивости» (приложе
ние А).
10.5 Вид деятельности «Поставка и эксплуатация»
Вид деятельности «Поставка и эксплуатация» предназначен для определения достаточности доку
ментации по процедурам, используемым для обеспечения установки, генерации и запуска ОО способом,
предусмотренным разработчиком.
10.5.1 Оценка установки, генерации и запуска (ADOJGS.1)
10.5.1.1 Цели
Цельданного подвида деятельности — сделать заключение, были ли задокументированы процедуры
и шаги для безопасной установки, генерации и запуска ОО и приводят ли они к безопасной конфигурации.
52