ГОСТ Р ИСО/МЭК 18045—2013
11.4.1.5 Действие AGD_PRE.1.2E
11.4.1.5.1 Шаг оценивания AGD_PRE.1-3
Оценщик должен выполнить все пользовательские процедуры, необходимые для подготовки ОО,
чтобы сделать заключение, могут ли ОО и среда его функционирования быть защищенным образом
подготовлены с использованием только предоставленного руководства пользователя по подготови
тельным процедурам.
По подготовительным процедурам требуется, чтобы оценщик перевел ОО от состояния, в котором
он находился на момент поставки, до состояния функционирования, включая приемку и установку ОО
и осуществление выполнения ФТБ, совместимых с целями безопасности для ОО. определенными в ЗБ.
Оценщику можно следовать только процедурам разработчика и выполнять действия, которые
ожидаются от заказчика (пользователя ОО) для приемки и установки ОО. используя только предостав
ленное ему руководство пользователя по подготовительным процедурам. Любые трудности, с которы
ми сталкивается оценщик во время осуществления этих действий, могут быть признаками неполного,
неясного или необоснованного руководства.
Этот шаг оценивания может быть выполнен вместе с действиями по оценке семейства «Незави
симое тестирование» (ATEJND).
Если известно, что ОО будет использоваться в качестве зависимого компонента для оценки со
ставного ОО. то оценщику следует удостовериться, что базовый компонент составного ОО удовлетво
ряет требованиям к среде функционирования ОО.
12 КлассALC: Поддержка жизненного цикла
12.1Введение
Вид деятельности «Поддержка жизненного цикла» предназначен для определения достаточности
процедур, применяемых разработчиком во время разработки и сопровождения ОО. Эти процедуры вклю
чают в себя модель жизненного цикла, применяемую разработчиком, управление конфигурацией, меры
безопасности вовремя разработки ОО. инструментальные средства, используемые разработчиком напро
тяжении жизненного цикла ОО. обработка недостатков безопасности и деятельность по поставке ОО.
Плохое управление разработкой и сопровождением ОО могут привести к уязвимостям в реализа
ции. Соответствие определенной модели жизненного цикла может помочь улучшить меры управления
в этих областях. Используемая для ОО измеримая модель жизненного цикла может снизить неодно
значность при оценивании процесса разработки ОО.
Вид деятельности «Управление конфигурацией» предназначен для помощи потребителю в иден
тификации оцениваемого ОО. чтобы удостовериться, что элементы конфигурации уникально иденти
фицированы. а также что процедуры, которые используются разработчиком для выявления и управ
ления изменениями ОО. являются достаточными и обоснованными. Сюда же относится и детальная
информация о том. какие изменения отслеживаются, каким образом комбинируются потенциальные
изменения, и до какой степени используется автоматизация для уменьшения диапазона ошибки.
Процедуры безопасности, применяемые разработчиком, предназначены для защиты ОО и свя
занной с ним проектной информации от вмешательства или раскрытия. Вмешательство в процесс раз
работки может позволить преднамеренно внести уязвимости в ОО. Раскрытие информации о проекте
может облегчить использование уязвимостей. Адекватность рассматриваемых процедур будет зави
сеть от свойств ОО и процесса его разработки.
Использование полностью определенных инструментальных средств разработки помогает удо
стовериться в том, что уязвимости не были непреднамеренно внесены в процессе уточнения ФБО.
Деятельность по исправлению недостатков предназначена для того, чтобы выявить недостатки
защиты, сделать заключение о необходимых корректирующих действиях идонести информацию о кор
ректирующих действиях до пользователей.
Цель деятельности по поставке состоит в том, чтобы оценить достаточность документации проце
дур. используемых для обеспечения того, что ОО поставлен потребителю без внесения изменений.
12.2 Возможности УК (ALC_CMC)
12.2.1 Подвид деятельности по оценке (ALC_CMC.1)
12.2.1.1 Цели
Цель данного подвида деятельности — сделать заключение, четко ли разработчик идентифици
ровал ОО.
110