ГОСТ Р ИСО/МЭК 18045—2013
10.8.4.4.11 Шаг оценивания ADV_TDS.4-11
Оценщик должен исследовать проект ОО. чтобы сделать заключение о том, что олисанио интер
фейсов. представленных каждым осуществляющим и поддерживающим выполнение ФТБ модулем, со
держит точное и полное описание относящихся к ФТБ интерфейсов, значений, предоставляемых этими
интерфейсами в ответ на запросы, взаимодействий с другими модулями и вызываемыми интерфейса ми
этих модулей.
Относящиеся к ФТБ интерфейсы модуля — это интерфейсы, используемые другими модулями
в качестве средства вызова относящихся к ФТБ операций, и для получения исходных или результиру
ющих данных от модуля. Цель спецификации этих интерфейсов состоит в том. чтобы сделать заклю
чение об их осуществлении во время тестирования. Межмодульные интерфейсы, которые не связаны
с ФТБ. не должны определяться и описываться, так как они не рассматриваются в тестировании. Также
и другие внутренние интерфейсы, которые не рассматриваются при пересечении связанных с ФТБ пу
тей выполнения (например фиксированных внутренних путей), не должны определяться и описывать
ся. так как они не рассматриваются в тестировании.
Относящиеся к ФТБ интерфейсы описываются в терминах того, как они вызываются и какие зна
чения возвращают. Это описание включает перечень связанных с ФТБ параметров и описание этих
параметров. Следует отметить, что глобальные данные также считаются параметрами, если исполь
зуются модулем (или как исходные или как данные на выходе) при вызове. Если у параметра есть ряд
значений (например параметр «флажок»), то определяется полный комплект значений параметра, ко
торый будет влиять на обработку модуля. Также и параметры, представляющие структуры данных, опи
сываются таким образом, чтобы каждая область структуры данных была идентифицирована и описана.
Следует отметить, что в различных языках программирования могут бытьдополнительные «интерфей
сы». которые были бы неявными; например олератор/функция перезагрузки в C++. Этот «неявный ин
терфейс» в описании класса должен быть также описан как часть проекта ОО нижнего уровня. Следует
отметить, что. хотя модуль может представлять только один интерфейс, чаще всего он представляет
собой набор связанных интерфейсов.
В терминах оценки параметров (на входе и выходе) модуля нужно также рассмотреть любое ис
пользование глобальных данных. Модуль «использует» глобальные данные, если он читает или за
писывает данные. Чтобы удостовериться, что описание таких параметров (если оно используется)
выполнено полно, оценщик использует иную информацию, предоставленную о модуле в проекте ОО
(интерфейсы, алгоритмическоеописание, и т. д.), атакже описание особого набора глобальныхданных,
оцениваемого в шаге оцениванияADV_TDS.4-10. Например, оценщик может сначала сделать заключе
ние об обработке модуля, исследуя его функцию и представленные интерфейсы (особенно параметры
интерфейсов). Тогда он может проверить, «касается» ли обработка какой-либо из глобальных областей
данных, идентифицированных в проекте ОО. Затем оценщик делает заключение о том. чтодля каждой
глобальной области данных, которая «затронута», глобальная область данных описана как исходные
данные или данные на выходе исследуемого оценщиком модуля.
Запросы — описание программно-справочного типа, которое можно использовать, чтобы правиль
но вызвать интерфейс модуля при написании программы для использования функций модуля через
данный интерфейс. Это включает необходимые данные на входе и выходе, включая любую
настройку глобальных переменных.
Значения, возвращаемые через интерфейс, относятся к значениям, которые передаются через
параметры или сообщения; значениям, которые сам вызов функции возвращает в стиле «С» вызова
функции программы; значениям, которые прошли через глобальные средства (такие как определенные
ошибочные процедуры в ‘ix-подобных операционных системах).
Чтобы удостовериться в полноте описания, оценщик исследует другую доступную информацию
(например функциональную спецификацию, описание архитектуры безопасности, представление ре
ализации), чтобы удостовериться, что все данные, необходимые для того, чтобы выполнить функции
модуля, предоставлены модулю, и что любые значения, которые необходимы другим модулям от оце
ниваемого модуля, идентифицированы как возвращаемые модулем. Оценщик определяет точность
описания, удостоверяясь, что описание обработки соответствует информации, обозначенной как полу
чаемая или передаваемая от интерфейса.
Поскольку модули на таком низком уровне, то может быть трудно сделать заключение о воздей
ствии на полноту и точность на основании анализа другой документации, такой как руководство поль
зователя по эксплуатации, функциональная спецификация, внутренняя структура ФБО или «Описание
архитектуры безопасности». Однако оценщик использует информацию этих документов по мере воз-
102