ГОСТ Р ИСО/МЭК 18045—2013
фикацию корректирующих действий по их исправлению и доведение информации об этих действиях
до пользователей ОО.
12.6.1.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является документация процедур устра
нения недостатков.
12.6.1.3 Действие ALC_FLR.1.1E
ИСО/МЭК 15408-3 ALC_FLR.1.1C: Документация процедур устранения недостатков должна
содержать описание процедур по отслеживанию всех ставших известными недостатков безопас
ности в каждом релизе ОО.
12.6.1.3.1 Шаг оценивания ALC_FLR.1-1
Оценщик должен исследовать документацию процедур устранения недостатков, чтобы сделать
заключение, описывает ли она процедуры отслеживания всех ставших известными недостатков безо
пасности в каждом релизе ОО.
Эти процедуры описывают действия, которые предпринимаются разработчиком с момента при
ведения в отчете каждого предполагаемого недостатка безопасности до момента реализации решения
по нему. Это включает временные рамки всей деятельности, связанной с отдельным недостатком, на
чиная от его обнаружения, включая выяснение, что недостаток является недостатком безопасности, и
заканчивая реализацией решения по нему.
Если выявленный недостаток не влияет на безопасность, то не понадобится выполнять (согласно
требованиям ALC_FLR «Устранение недостатков») процедуры устранения недостатков для его даль
нейшего отслеживания; только при этом необходимо объяснение, почему недостаток не влияет на безо
пасность.
Хотя эти требования не обязательно определяют способ широкого оповещения пользователей
ОО о недостатках безопасности, они обязывают, чтобы все недостатки безопасности, которые уже при
ведены в отчете, отслеживались. То есть недостаток безопасности, о котором имеется информация
в отчете, не может игнорироваться просто потому, что отчет поступил не из организации разработчика.
ИСО/МЭК 15408-3 ALC_FLR.1.2C: Процедуры устранения недостатков должны содержать тре
бование представления описания сути и последствий каждого недостатка безопасности, а также
состояния процесса исправления этого недостатка.
12.6.1.3.2 Шаг оценивания ALC_FLR.1-2
Оценщик должен исследовать процедуры устранения недостатков, чтобы сделать заключение,
сопровождается ли применение этих процедур описанием каждого недостатка безопасности с точки
зрения его сути и последствий.
Процедуры идентифицируют конкретные действия, которые приняты разработчиком для до
статочно детального описания сути и последствий каждого недостатка безопасности, дающего воз
можность его воспроизведения. Описание сути недостатка безопасности раскрывает, является ли он
ошибкой в документации, недостатком в проекте ФБО. недостатком в реализации ФБО и т.д. Описание
последствий недостатка безопасности идентифицирует фрагменты реализации ФБО, подвергаемые
воздействию, и результаты воздействия на эти фрагменты. Например, недостаток безопасности в реа
лизации может быть в том. что он влияет на идентификацию и аутентификацию, осуществляемую ФБО,
разрешая аутентификацию с паролем «ТАЙНЫЙ ВХОД».
12.6.1.3.3 Шаг оценивания ALC_FLR.1-3
Оценщик должен исследовать процедуры устранения недостатков, чтобы сделать заключение,
будет ли идентифицировано при применении этих процедур состояние процесса исправления каждого
недостатка безопасности.
Процедуры устранения недостатков идентифицируют различные стадии недостатков безопас
ности. Эта дифференциация, по крайней мере, включает; предполагаемые недостатки безопасности,
которые приводятся в отчете; предполагаемые недостатки безопасности, для которых подтверждено,
что они на самом деле являются недостатками безопасности; недостатки безопасности, решение по
которым реализовано. Допустимо включение дополнительных стадий (например; недостатки, ко
торые приведены в отчете, но которые еще не подвергались исследованию; недостатки, которые
исследуются в настоящее время; недостатки безопасности, для которых решение найдено, но пока не
реализовано).
ИСО/МЭК 15408-3 ALC_FLR.1.3C: Процедуры устранения недостатков должны содержать тре
бование. что для каждого недостатка безопасности должны быть идентифицированы корректиру
ющие действия.
134