ГОСТ Р ИСО/МЭК 18045—2013
можмости, чтобы удостовериться в точности и полноте описания назначения. Такому анализу может
помочь анализ, выполняемый для шагов оценивания элемента ADV_TDS.4.10C, при котором просле
живаются ИФБО в функциональной спецификации к модулям ФБО.
ИСО/МЭК 15408-3 ADV_TDS.4.9C: В проекте должен быть описан каждый но влияющий на вы
полнение ФТБ модуль с точки зрения его назначения и взаимодействия с другими модулями.
10.8.4.4.12 Шаг оценивания ADV_TDS.4-12
Оценщик должен исследовать проект ОО. чтобы сделать заключение о том. что не влияющие
на выполнение ФТБ модули правильно категорированы.
Как упоминалось в шаге оценивания ADV_TDS.4-3. меньше информации запрашивается о моду
лях. которые не влияют на выполнение ФТБ. В этих случаях усилия оценщика направлены на попытку
сделать заключение на основе свидетельств, предусмотренных для каждого модуля, неявно категори
рованного как не влияющего на выполнение ФТБ. и информации об оценке других модулей (в проекте
ОО. функциональной спецификации, описании архитектуры безопасности и руководстве пользовате
ля по эксплуатации), является ли модуль действительно не влияющим на выполнение ФТБ. На этом
уровне доверия может быть допущена некоторая ошибка; оценщик не обязан быть абсолютно уверен,
что данный модуль — не влияющий на выполнение ФТБ. даже если он маркирован как таковой. Однако
если предоставленные свидетельства указывают, что не влияющие на выполнение ФТБ модули явля
ются на самом деле осуществляющими или поддерживающими выполнение ФТБ. оценщик запрашива
ет дополнительную информацию от разработчика, чтобы сделать заключение о явной несогласованно
сти. Например, предположим, что в документации для Модуля А (который является осуществляющим
выполнение ФТБ) указано, что он вызывает Модуль В для проверки доступа некой конструкции. Когда
оценщик исследует информацию, связанную с Модулем В. он обнаруживает, что разработчик предо
ставил только назначение и ряд взаимодействий (таким образом неявно категорируя Модуль В как под
держивающий или не влияющий на выполнение ФТБ). При исследовании назначения и взаимодействий
Модуля А. оценщик не находит упоминания о Модуле В. выполняющем проверку доступа, а Модуль А не
отмечен как модуль, с которым взаимодействует Модуль В. В этом пункте оценщику следует обра
титься к разработчику, чтобы сделать заключение о несоответствии между информацией, предостав
ленной в Модуле А и Модуле В.
В случаях, когда разработчик обеспечил различное количество информации для различных моду
лей. была сделана неявная классификация. Таким образом, модули, например с детализацией, пред
ставленной на связанных с ФТБ интерфейсах (см. ADV_TDS.3.10C). являются модулями-кандидатами
на категорию осуществляющих выполнение ФТБ. хотя проведенный оценщиком анализ может приве
сти к заключению, что некоторые из них поддерживающие или не влияющие на выполнение ФТБ. Те,
для которых приводится только описание назначения и взаимодействия сдругими модулями, например
«неявно категорируются» как поддерживающие или не влияющие на выполнение ФТБ.
Другой пример — когда оценщик исследует прослеживание ИФБО к модулям в соответствии
с ADV_TDS.4.2D. Этот анализ показывает, что Модуль С связан с требуемой по ТФБ идентификацией
пользователя. Опять же. когда оценщик исследует информацию, связанную с Модулем С, он обнару
живает. что разработчик предоставил только назначение и ряд взаимодействий (таким образом не
явно категорируя Модуль С как поддерживающий или не влияющий на выполнение ФТБ). Исследуя
назначение и ряд Модуля С. оценщик не способен сделать заключение, почему Модуль С. перечис
ленный в прослеживании к ИФБО. касающемуся пользовательской идентификации, не классифициро
ван как осуществляющий выполнение требований ФТБ. И в этом случае оценщику следует обратиться к
разработчику для того, чтобы сделать заключение о том. что это несоответствие.
Последний пример касается обратного случая. Допустим, разработчик предоставил информацию,
связанную с Модулем D. по назначению и ряду взаимодействий (таким образом неявно категорируя Мо
дуль В как поддерживающий или не влияющий на выполнение ФТБ). Оценщик исследует все свидетель
ства. включая назначение и взаимодействия для Модуля D. В назначении дается значимое описание
функции Модуля D в ОО. взаимодействия совместимы с этим описанием, и нет ничего, указывающего на
возможную принадлежность Модуля D к осуществляющим выполнение ФТБ. В этом случае оценщи ку не
следует требовать дополнительную информацию о Модуле D «просто для уверенности», что он
правильно категорирован. Разработчик выполнил свои обязательства и приобретенного оценщиком до
верия от неявной классификации Модуля D (по определению) достаточно для этого уровня доверия.
10.8.4.4.13 Шаг оценивания ADV_TDS.4-13
Оценщик должен исследовать проект ОО. чтобы сделать заключенно о том. что описание назна
чения каждого не влияющего на выполнение ФТБ модуля выполнено полно и точно.
103