ГОСТ Р ИСО/МЭК 18045—2013
детально описаны в плане УК или по всей документации УК. В эту информацию следует включать опи
сание:
a) метода уникальной идентификации элементов, такой, что есть возможность отследить версии
конкретного элемента конфигурации:
b
) метода назначения уникальных идентификаторов элементам конфигурации и метода их вве
дения в систему УК;
c) метода, который будет использоваться для идентификации новых версий элементов конфигу
рации. замещающих старые.
ИСО/МЭК 15408-3 ALC_CMC.5.3C: В документации по УК должно быть обоснование того,
что процедуры приемки предоставляют рациональный и приемлемый обзор изменений всех элемен
тов конфигурации.
12.2.5.3.4 Шаг оценивания ALC_CMC.5-4
Оценщикдолжен исследовать документацию УК. чтобы сделать заключение о том. что в ней есть
обоснование того, что процедуры приемки предоставляют рациональный и приемлемый обзор изме
нений всех элементов конфигурации.
Документация по УК должна сделать достаточно ясным тот факт, что при выполнении процедур
приемки только части соответствующего качества включаются в состав ОО.
ИСО/МЭК 15408-3 А1_С_СМС.5.4С: В системе УК должны быть уникально идентифицированы
все элементы конфигурации.
12.2.5.3.5 Шаг оценивания ALC_CMC.5-5
Оценщикдолжен исследовать элементы конфигурации, чтобы сделать заключение о том, что они
идентифицированы способом, который не противоречит документации УК.
Доверие тому, что система УК уникально идентифицирует все элементы конфигурации, получа
ется путем исследования идентификаторов для элементов конфигурации. И для элементов конфи
гурации. которые включены в ОО. и для проектов элементов конфигурации, которые предоставлены
разработчиком как свидетельства оценки, оценщик подтверждает, что каждый элемент конфигурации
обладает уникальным идентификатором, присвоенным ему способом, совместимым с методом уни
кальной идентификации, описанным в документации по УК.
ИСО/МЭК 15408-3 ALC_CMC.5.5C: В системе УКдолжны быть предусмотрены такие автомати
зированные меры, при применении которых в элементах конфигурации могут быть сделаны только
санкционированные изменения.
12.2.5.3.6 Шаг оценивания ALC_CMC.5-6
Оценщик должен исследовать меры контроля доступа в УК. описанные в плане УК (см.
ALC_CMC.5.12C). чтобы сделать заключение, что они автоматизированы и эффективны для предот
вращения несанкционированного доступа к элементам конфигурации.
Оценщик может использовать несколько методов для вынесения заключения об эффективности
мер контроля доступа в УК. Например, оценщик может опробовать меры контроля доступа, чтобы удо
стовериться. что процедуры нельзя обойти. Оценщик может использовать выходные материалы, сге
нерированные процедурами системы УК. требуемые на шаге оценивания ALC_CMC.5-16С. Оценщику
может быть также продемонстрирована система УК, чтобы он убедился, что используемые меры кон
троля доступа выполняются эффективно.
ИСО/МЭК 15408-3 ALC_CMC.5.6C: Система УКдолжна поддерживать производство ОО автома
тизированными средствами.
12.2.5.3.7 Шаг оценивания ALC_CMC.5-7
Оценщик должен проверить план УК (см. А1_С_СМС.5.12С) для оценки автоматизированных про
цедур. предназначенных для поддержки производства ОО.
Термин «производство» применяется по отношению к процессам, принятым разработчиком для пе
ревода ОО от представления реализации до состояния, приемлемого для поставки конечному потреби
телю.
Оценщик проверяет существование автоматизированных процедур поддержки производства ОО
в рамках плана УК.
Примеры автоматизированных средств поддержки производства ОО:
- инструмент «создать» (предусмотренный во многих средствах разработки программного обе
спечения) для случая ОО. являющегося программным продуктом;
- инструмент, автоматически обеспечивающий (например посредством штрих-кодов) комбиниро
вание только тех частей, которые должны быть интегрированы для случая аппаратного ОО.
121