ГОСТ Р ИСО/МЭК 18045—2013
a) ЗБ;
b
) документация по безопасности разработки.
Кроме того, оценщику может понадобиться исследование других поставок, чтобы сделать за
ключение о том. что меры и средства контроля безопасности полностью определены и применяются. В
частности, оценщику может понадобиться исследованиедокументации разработчика по управлению
конфигурацией (исходные данные подвидов деятельности АСМ_САР.4 «Поддержка производства, про
цедуры приемки» и ACM_SCP.2 «Охват УК отслеживания проблем»). Также требуется свидетельство
применения процедур.
12.5.1.3 Действие ALC_DVS.1.1E
ИСО/МЭК 15408-3 ALC_DVS.1.1C: Документация по безопасности разработки должна содержать
описание всех физических, процедурных, организационныхи другихмер безопасности, которые необходи
мы для защиты конфиденциальности и целостности проекта ОО и его реализации в среде разработки.
12.5.1.3.1 Шаг оценивания ALC_DVS.1-1
Оценщик должен исследовать документацию по безопасности разработки, чтобы сделать заклю
чение. содержит ли она подробное описание всех используемых в среде разработки мер безопасности,
которые необходимы для защиты конфиденциальности и целостности проекта и реализации ОО.
Оценщик определяет, какая информация из ЗБ нужна в первую очередь при вынесении заключе
ния о необходимой защите.
Если в ЗБ не имеется такой информации в явном виде, оценщику нужно будет принять решение
о необходимых мерах, основываясь на рассмотрении предполагаемой среды для ОО. В тех случаях,
когда меры разработчика признаются недостаточными, рекомендуется, чтобы было представлено чет
кое и логическое обоснование для оценки уязвимостей, потенциально пригодных для использования.
При исследовании документации оценщиком рассматриваются следующие типы мер безопасности:
a) физические, например средства управления физическим доступом, применяемые для предот
вращения несанкционированного доступа к среде разработки ОО (в рабочие часы и в другое время);
b
) процедурные, например распространяющиеся на:
- предоставление доступа к среде разработки или к конкретным объектам среды, таким как обо
рудование разработки;
- отмену прав доступа лиц при их исключении из состава разработчиков:
- передачу защищаемого материала из среды разработки;
- встречу и сопровождение посетителей среды разработки;
- роли и обязанности по обеспечению непрерывного применения мер безопасности и обнаруже
ния нарушений безопасности:
c) относящиеся к персоналу разработчиков или организационные меры, например средства кон
троля или проверки, позволяющие установить, заслуживают ли доверия принимаемые на работу:
d) прочие меры безопасности, например средства логической защиты оборудования разработки.
В документации по безопасности разработки следует идентифицировать участки разработки
и описать виды выполняемых работ вместе с мерами безопасности, применяемыми в каждом из участ
ков разработки и на транспортных средствах при перевозках между различными участками. Напри
мер. разработка может происходить в нескольких производственных помещениях внутри одного зда
ния. в нескольких зданиях, расположенных на одной территории, или в нескольких различных местах.
Транспортировка частей ОО или незаконченного ОО между различными участками разработки долж на
быть охвачена требованиями компонентов семейств «Безопасность разработки» (ALC_DVS). тогда как
транспортировка готового ОО пользователю рассматривается в семействе «Поставка» (ALC_DEL).
К разработке относят и производство ОО.
12.5.1.3.2 Шаг оценивания ALC_DVS.1-2
Оценщик должен исследовать политики обеспечения конфиденциальности и целостности при раз
работке. чтобы сделать заключение о достаточности применявшихся мер безопасности.
Оценщику следует исследовать, включаются ли следующие аспекты в политики:
a) какая информация, относящаяся к разработке ОО. нуждается в сохранении конфиденциаль
ности и кому из персонала разработчиков разрешен доступ к таким материалам:
b
) какие материалыдолжны быть защищены от несанкционированной модификации для сохранения
целостности ОО и кому из персонала разработчиков разрешено вносить изменения в такие материалы.
Оценщику следует сделать заключение, описаны ли эти политики в документации по безопас
ности разработки, совместимы ли применяемые меры безопасности с политиками, являются ли они
достаточно полными.
130