ГОСТ Р ИСО/МЭК 18045—2013
на категорию осуществляющих выполнение ФТБ, хотя проведенный оценщиком анализ может привести к
заключению, что некоторые из них — поддерживающие или не влияющие на выполнение ФТБ. Те, для
которых приводится только описание назначения и взаимодействия сдругими модулями, например
«неявно категорируются» как поддерживающие или не влияющие на выполнение ФТБ.
В этих случаях усилия оценщика направлены на попытку сделать заключение на основе сви
детельств, предусмотренных для каждого модуля, неявно категорированного как поддерживающий
или не влияющий на выполнение ФТБ, и информации об оценке других модулей (в проекте ОО, функ
циональной спецификации, описании архитектуры безопасности и руководстве пользователя по экс
плуатации). является ли модуль действительно поддерживающим или не влияющим на выполнение
ФТБ. На этом уровне доверия может быть допущена некоторая ошибка, оценщик не обязан быть аб
солютно уверен, что данный модуль — поддерживающий или не влияющий на выполнение ФТБ, даже
если он маркирован как таковой. Однако, если предоставленные свидетельства указывают, что под
держивающие или не влияющие на выполнение ФТБ модули являются на самом деле осуществляю
щими выполнение ФТБ, оценщик запрашивает дополнительную информацию от разработчика, чтобы
сделать заключение о явной несогласованности. Например, предположим, что вдокументациидля Мо
дуля А (который является осуществляющим выполнение ФТБ) указано, что он вызывает Модуль В
для проверки доступа некой конструкции. Когда оценщик исследует информацию, связанную с Моду
лем В. он обнаруживает, что разработчик предоставил только назначение и ряд взаимодействий (таким
образом неявно категорируя Модуль В как поддерживающий или не влияющий на выполнение ФТБ).
При исследовании назначения и взаимодействий Модуля А оценщик не находит упоминания о Модуле В.
выполняющем проверку доступа, а Модуль А не отмечен как модуль, с которым взаимодействует Модуль
В. В этом пункте оценщику следует обратиться к разработчику, чтобы сделать заключение о не
соответствии между информацией, предоставленной в Модуле А йв Модуле В.
Другой пример, когда оценщик исследует прослеживание ИФБО к модулям в соответствии
с ADV_ TDS.3.2D. Этот анализ показывает, что Модуль С связан с требуемой по ФТБ идентификацией
пользователя. Опять же. когда оценщик исследует информацию, связанную с Модулем С, он обнару
живает. что разработчик предоставил только назначение и ряд взаимодействий (таким образом неявно
категорируя Модуль С как поддерживающий или не влияющий на выполнение ФТБ). Исследуя назна
чение и ряд Модуля С. оценщик не способен определить, почему Модуль С, перечисленный в просле
живании к ИФБО, касающемуся пользовательской идентификации, не классифицирован как осущест
вляющий выполнение требований ФТБ. И в этом случае оценщику следует обратиться к разработчику
для того, чтобы сделать заключение о том. что это несоответствие.
Последний пример касается обратного случая. Допустим, разработчик предоставил информа
цию. связанную с Модулем D. по назначению и ряду взаимодействий (таким образом неявно катего
рируя Модуль В как поддерживающий или не влияющий на выполнение ФТБ). Оценщик исследует все
свидетельства, включая назначение и взаимодействия для Модуля D. В назначении дается значимое
описание функции Модуля D в ОО: взаимодействия совместимы с этим описанном, и нет
ничего, указывающего на возможную принадлежность Модуля D к осуществляющим выполнение
ФТБ. В этом случае оценщику не следует требовать дополнительную информацию о Модуле D
«просто для уве ренности», что он правильно категорирован. Разработчик выполнил свои
обязательства, и приоб ретенного оценщиком доверия от неявной классификации Модуля D (по
определению) достаточно для этого уровня доверия.
10.8.3.4.11 Шаг оценивания ADV_TDS.3-11
Оценщик должен исследовать проект ОО. чтобы сделать заключение о том, что описание назначе
ния каждого поддерживающего или не влияющего на выполнение ФТБ модуля выполнено полно и точно.
Описание назначения модуля указывает на то, какие функции выполняет модуль. Из описания
оценщику следует быть в состоянии получить общее представление о роли модуля. Чтобы удостове
риться. что описаниедостаточно полно, оценщик использует информацию, предоставленную о взаимо
действиях модуля с другими модулями для оценки совместимости причин вызовов модуля с назначе
нием модуля. Если описание взаимодействия содержит функции, которые не очевидны из назначения
модуля или являются конфликтующими с ним. оценщик должен сделать заключение, является ли это
несоответствие проблемой точности или полноты описания. Оценщику следует с подозрением отно
ситься к слишком коротким описаниям назначения, так как значимый анализ, основанный на назначе
нии только с одним предложением, вероятно, будет провести невозможно.
В этих случаях усилия оценщика направлены на попытку сделать заключение на основе сви
детельств. предусмотренных для каждого модуля, неявно категорированного как поддерживающий
95