ГОСТ Р ИСО/МЭК 18045—2013
на изолированной системе, где установлено только программное обеспечение, необходимое для под
держания её функционирования, и где впоследствии не устанавливается никакое дополнительное про
граммное обеспечение.
- данные, вносимые в данную систему, должны быть тщательно рассмотрены в целях предотвра
щения установки в систему неких скрытых функциональных возможностей. Эффективность этих мер
должна быть протестирована, например попыткой независимо получить доступ к машине, установить
некоторые дополнительные выполняемые программы, макросы и т.д. или получить из машины некото
рую информацию, используя логические атаки.
- соответствующиеорганизационные(процедурныеиорганизационные) мерыбезусловноосуществлены.
12.5.2.3.3 Шаг оценивания ALC_DVS.2-3
Оценщикдолжен исследовать политики обеспечения конфиденциальности ицелостности при раз
работке. чтобы сделать заключение о достаточности применявшихся мер безопасности.
Оценщику следует исследовать, включается ли в политики управления следующее:
a) какая информация, относящаяся к разработке 00. нуждается в сохранении конфиденциаль
ности и кому из персонала разработчиков разрешен доступ к таким материалам;
b
) какие материалы должны бытьзащищены от несанкционированной модификации для сохранения
целостности ОО и кому из персонала разработчиков разрешено вносить изменения в такие материалы.
Оценщику следует сделать заключение, описаны ли эти политики в документации по безопас
ности разработки, совместимы ли применяемые меры безопасности с политиками, являются ли они
достаточно полными.
Следует отметить, что процедуры управления конфигурацией способствуют защите целостности
00, иоценщику следует избегать частичного перекрытия с шагами оценивания, проводимыми в рамках
подвида деятельности ALC_CMC «Возможности УК». Например, документация УК может описывать
процедуры безопасности, необходимые для контроля ролей или лиц. которым следует предоставить
доступ к среде разработки и которые могут модифицировать ОО.
Тогда как требования АСМ_САР зафиксированы, требования для ALC_DVS «Безопасность раз
работки», предписывающие только необходимые меры, зависят от типа 0 0 и от информации, которая
может быть представлена в ЗБ. Например, ЗБ может идентифицировать политику безопасности орга
низации. в которой требуется наличие формы допуска у персонала разработчиков ОО. Тогда оценщику в
ходе выполнения данного подвида деятельности необходимо сделать заключение, применялась ли
такая политика.
12.5.2.4 Действие ALC_DVS.2.2E
12.5.2.4.1 Шаг оценивания ALC_DVS.2-4
Оценщик должен исследовать документацию по безопасности разработки и связанные с ней сви
детельства. чтобы сделать заключение, применяются ли меры безопасности.
На этом шаге оценивания от оценщика требуется сделать заключение, применяются ли меры
безопасности, описанные в документации по безопасности разработки, таким образом, при котором
целостность ОО и конфиденциальность связанной с ним документации адекватно защищены. Напри
мер. данное заключение могло бы быть сделано по результатам исследования представленных до
кументальных свидетельств. Документальные свидетельства следует дополнить непосредственным
ознакомлением со средой разработки. Непосредственное ознакомление со средой разработки предо
ставит оценщику возможность:
a) наблюдать применение мер безопасности (например физических мер);
b
) исследовать документальные свидетельства применения процедур;
c) посредством интервью с персоналом разработчиков проверить знание ими политик и процедур
безопасности разработки, а также своих обязанностей.
Посещение объекта разработки является полезным способом приобретения уверенности в при
меняемых мерах. Решение отказаться от такого посещения следует принимать после консультации с
органом оценки.
Руководство по посещению объектов см. в приложении А.4 «Посещение объектов».
12.6 Устранение недостатков (ALC_FLR)
12.6.1Подвид деятельности по оценке (ALC_FLR.1)
12.6.1.1 Цели
Цель данного подвида деятельности — сделать заключение, установил ли разработчик проце дуры
устранения недостатков, которые описывают отслеживание недостатков безопасности, иденти-
133