ГОСТ Р ИСО/МЭК 18045—2013
за изменение, идентификацию всех затронутых элементов конфигурации, статус изменения (например
«не завершено» или «завершено»), а также дату и время внесения изменения. Эта информация может
быть занесена в журнал аудита произведенных изменений или в протокол контроля изменений;
к)подход к контролю версий и уникальной маркировке версий ОО (охватывающий, например вы
пуск исправлений («патчей») для операционных систем и последующее обнаружение их применения).
ИСО/МЭК 15408-3 ALC_CMC.3.7C: S свидетельствахдолжнобыть продемонстрировано, что всо
элементы конфигурации сопровождаются системой УК.
12.2.3.3.8 Шаг оценивания ALC_CMC.3-8
Оценщик должен проверить, что элементы конфигурации, идентифицированные в списке конфи
гурации. сопровождаются системой УК.
Следует, чтобы система УК. используемая разработчиком, поддерживала целостность ОО. Оцен
щику следует проверить, что для каждого типа элементов конфигурации (например проектная доку
ментация или модули исходного кода), содержащихся в списке элементов конфигурации, есть примеры
свидетельств, которые являются результатами производимых процедур, описанных в плане УК. В этом
случае подход к осуществлению выборки будет зависеть от степени детализации, используемой в
си стеме УК для управления элементами УК. Там, где. например в списке элементов конфигурации
иден тифицировано 10 000 модулей исходного кода, должна быть применена иная стратегия
осуществления выборки по сравнению с тем случаем, где идентифицировано только пять таких
модулей или вовсе один. Деятельность в рамках данного шага оценивания следует в первую очередь
направить на оценку того, правильно ли функционирует система УК. а не на обнаружение любой
незначительной ошибки.
Руководство по выборке см. в приложении А.2 «Выборка».
ИСО/МЭК 15408-3 ALC_CMC.3.8C; В свидетельствах должно быть продемонстрировано, что си
стема УКфункционирует в соответствии с планом УК
12.2.3.3.9 Шаг оценивания ALC_CMC.3-9
Оценщик должен проверить документацию УК. чтобы удостовериться, что она включает записи
системы УК, определенные планом УК.
Следует, чтобы выходные материалы системы УК обеспечили свидетельство, необходимое оцен
щику для уверенности, что план УК применяется, а все элементы конфигурации поддерживаются си
стемой УК, как это требуется в ALC_CMC.3.7C. Пример выходных материалов может включать формы
контроля изменений или формы разрешения доступа к элементам конфигурации.
12.2.3.3.10 Шаг оценивания А1_С_СМС.З-10
Оценщикдолжен исследовать свидетельство, чтобы сделать заключение, что система УК исполь
зуется в соответствии с планом УК.
Оценщику следует осуществить и исследовать выборку из свидетельства, охватывающую каждый
тип операций по УК, выполняемых над элементами конфигурации (например создание, модификация,
удаление, возврат к более ранней версии), чтобы подтвердить, что все операции системы УК выполня
лись в соответствии с документированными процедурами. Оценщик подтверждает, что свидетельство
включает всю информацию, идентифицированную для этой операции в плане УК. При исследовании
свидетельства может потребоваться доступ к используемым инструментальным средствам УК. Оцен
щику разрешается остановиться на выборочной проверке свидетельства.
Руководство по выборке см. в приложении А.2 «Выборка».
Дополнительное доверие правильному функционированию системы УК и эффективному сопро
вождению элементов конфигурации может быть приобретено посредством проведения интервью с вы
бранными для этого участниками разработки. При проведении подобных интервью оценщику следует
стремиться получить более глубокое понимание практического применения системы УК. а также удо
стовериться, что процедуры УК применяются в соответствии с документацией УК. Отметим, что такие
интервью следует проводить скорее в дополнение, а не вместо исследования документального свиде
тельства; при этом они могут и не потребоваться, если документальное свидетельство само по себе
удовлетворяет требованиям. Тем не менее, учитывая широкую область применения плана УК, воз
можно. что некоторые аспекты (например роли и обязанности) могут быть непонятны из одного только
плана и протоколов УК. Это один из случаев, когда для разъяснения понадобится интервью.
Предполагается, что для поддержки этих действий оценщик посетит объект разработки.
Руководство по посещению объектов см. в приложении А.4 «Посещение объектов».
12.2.4 Подвид деятельности по оценке (ALC_CMC.4)
12.2.4.1 Цели
Цели этого подвидадеятельности состоят в том. чтобы сделать заключение, идентифицировал ли
разработчик ОО и связанные с ним элементы конфигурации однозначно и четко, а также организова но
ли управление возможностями изменения этих элементов правильно с использованием автомати-
115