ГОСТ Р ИСО/МЭК 18045—2013
ИСО/МЭК 15408-3 ALC_FLR.3.11C: В руководстве по устранению недостатков должна быть
идентифицирована контактная информация для всех сообщений и запросов по вопросам безопас
ности. связанных с ОО.
12.6.3.3.14 Шаг оценивания ALC_FLR.3-14
Оценщик должен исследовать руководство по устранению недостатков, чтобы сделать заключе
ние. идентифицированы ли в нем конкретные контактныеданные для всех сообщений и запросов поль
зователя относительно проблем безопасности, относящихся к ОО.
Руководство включает способ, посредством которого зарегистрированные пользователи ОО мо
гут взаимодействовать с разработчиком, чтобы сообщать ему об обнаруженных недостатках безопас
ности в ОО или делать запросы относительно обнаруженных недостатков безопасности в ОО.
12.7 Определение жизненного цикла (ALCJ.CD)
12.7.1 Подвид деятельности по оценке (ALC_LCD.1)
12.7.1.1 Цели
Цель данного подвида деятельности — сделать заключение, использовал ли разработчик задо
кументированную модель жизненного цикла ОО.
12.7.1.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
a) ЗБ;
b
) документация определения жизненного цикла.
12.7.1.3 Действие ALCJ.CD.1.1E
ИСО/МЭК 15408-3 ALCJ.CD.1.1C: Документация по определению жизненного цикла должна со
держать описание модели, применяемой при разработке и сопровождении ОО.
12.7.1.3.1 Шаг оценивания ALC_LCD.1-1
Оценщикдолжен исследоватьдокументированное описание используемой модели жизненного цик
ла, чтобы сделать заключение, распространяется ли она на процессы разработки и сопровождения ОО.
В описание модели жизненного цикла следует включать:
a) информацию о фазах жизненного цикла ОО и границах между последовательными фазами;
b
) информацию о процедурах, инструментальных средствах и методах, используемых разработ
чиком (например при проектировании, кодировании, тестировании, исправлении ошибок);
c) информацию об общей структуре управления применением процедур (например идентифика
цию и описание персональной ответственности за каждую из процедур, требуемых в процессе разра
ботки и сопровождения ОО согласно модели жизненного цикла):
d) информацию о том. какие части ОО поставляются субподрядчиками, если субподрядчики во
влечены в процесс разработки и сопровождения.
Оценка подвида деятельности ALCJ.CD.1 не содержит утверждение о соответствии используе
мой модели какой-либо стандартизованной модели жизненного цикла.
ИСО/МЭК 15408-3 ALC_LCD.1.2C: Модель жизненного цикла должна обеспечить необходимый
контроль за разработкой и сопровождением ОО.
12.7.1.3.2 Шаг оценивания ALCJ.CD.1-2
Оценщикдолжен исследовать модель жизненного цикла, чтобы сделать заключение, будет ли ис
пользование процедур, инструментальных средств и методов, описанных в модели жизненного цикла,
оказывать необходимое положительное влияние на разработку и сопровождение ОО.
Информация, представленная в модели жизненного цикла, дает оценщику определенную уве
ренность в том. что принятые процедуры разработки и сопровождения минимизируют вероятность не
достатков безопасности. Например, если в модели жизненного цикла содержится описание процесса
проверки, но не предусмотрено протоколирование внесения изменений в компоненты, то оценщик бу
дет менее уверен, что в ОО не будут внесены ошибки. Оценщик может достичь большей уверенности,
сравнивая описание модели со своим пониманием процесса разработки, полученным при выполнении
других своих действий, относящихся к анализу процесса разработки ОО (например тех действий, на ко
торые распространяется деятельность по оценке «Возможности УК» ALC_CMC). Выявленным недо
статкам в модели жизненного цикла следует уделить особое внимание, если можно ожидать, что они
приведут к случайному или преднамеренному внесению ошибок в ОО.
ИСО/МЭК 15408 не предписывает какого-либо конкретного подхода к разработке; следует оцени
вать каждый подход по существу. Например, такие подходы к проектированию, как спиральный, быстро
го макетирования или каскадный, могут быть использованы для создания качественного ОО, если они
применяются в контролируемой среде.
143