ГОСТ Р ИСО/МЭК 18045—2013
Следует отметить, что процедуры управления конфигурацией способствуют защите целостности
ОО. иоценщику следует избегать частичного перекрытия с шагами оценивания, проводимыми в рамках
подвида деятельности ALC_CMC «Возможности УК». Например, документация УК может описывать
процедуры безопасности, необходимые для контроля ролей или лиц. которым следует предоставить
доступ к среде разработки и которые могут модифицировать ОО.
Тогда как требования ALC_CMC «Возможности УК» зафиксированы, требования для ALC_DVS
«Безопасность разработки», предписывающие только необходимые меры, зависят от типа ОО и от ин
формации. которая может быть представлена в разделе ЗБ «Среда безопасности». Например. ЗБ мо
жет идентифицировать политику безопасности организации, в которой требуется наличие формыдопу
ска у персонала разработчиков ОО. Тогда оценщику в ходе выполнения данного подвида деятельности
необходимо сделать заключение, применялась ли такая политика.
12.5.1.4 Действие ALC_DVS.1.2E
12.5.1.4.1 Шаг оценивания ALC_DVS.1-3
Оценщик должен исследовать документацию по безопасности разработки и связанные с ней сви
детельства. чтобы сделать заключение, применяются ли меры безопасности.
На этом шаге оценивания от оценщика требуется сделать заключение, применяются ли меры
безопасности, описанные в документации по безопасности разработки, таким образом, при котором це
лостность ОО и конфиденциальность связанной с нимдокументации защищены вдостаточной степени.
Например, данное заключение могло бы быть сделано по результатам исследования представленных
документальных свидетельств. Документальные свидетельства следует дополнить непосредственным
ознакомлением со средой разработки. Непосредственное ознакомление со средой разработки при по
сещении предоставит оценщику возможность:
a) наблюдать применение мер безопасности (например физических мер);
b
) исследовать документальные свидетельства применения процедур;
c) посредством интервью с персоналом разработчиков проверить знание ими политик и процедур
безопасности разработки, а также своих обязанностей.
Посещение объекта разработки является полезным способом приобретения уверенности в при
меняемых мерах. Решение отказаться от такого посещения следует принимать после консультации с
органом оценки.
Руководство по посещению объектов см. в приложении А.4 «Посещение объектов».
12.5.2Подвид деятельности по оценке (ALC_DVS.2)
12.5.2.1 Цели
Цель данного подвида деятельности — сделать заключение, являются ли меры и средства контро
ля безопасности в среде разработки достаточными для обеспечения конфиденциальности и целостности
проекта и реализации ОО. Это необходимо для обеспечения того, чтобы безопасная эксплуатация ОО
не была скомпрометирована. Кроме того,достаточность применяемых мер должна быть обоснована.
12.5.2.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
a) ЗБ;
b
) документация по безопасности разработки.
Кроме того, оценщику может понадобиться исследование других поставок, чтобы сделать за
ключение о том. что меры и средства контроля безопасности полностью определены и применяются. В
частности, оценщику может понадобиться исследование документации разработчика по управлению
конфигурацией (исходные данные подвидов деятельности АСМ_САР.4 «Поддержка производства, про
цедуры приемки» и ACM_SCP.2 «Охват УК отслеживания проблем»). Также требуется свидетельство
применения процедур.
12.5.2.3 Действие ALC_DVS.2.1E
ИСО/МЭК 15408-3 ALC_DVS.2.1C: Документация по безопасности разработки должна содер
жать описание всех физических, процедурных, организационных и других мер безопасности, которые
необходимы для защиты конфиденциальности и целостности проекта ОО и его реализации в среде
разработки.
12.5.2.3.1 Шаг оценивания ALC_DVS.2-1
Оценщик должен исследовать документацию по безопасности разработки, чтобы сделать заклю
чение. содержит ли она подробное описание всех используемых в среде разработки мер безопасности,
которые необходимы для защиты конфиденциальности и целостности проекта и реализации ОО.
131