ГОСТ Р ИСО/МЭК 18045—2013
Оценщику в процессе исследования исходных кодов следует верифицировать, что любое исполь
зование проблемных конструкций не вносит уязвимостей. Оценщику следует также удостовериться,
что конструкции, не предусмотренные соответствующим стандартом, не используются.
В документации по инструментальным средствам разработки следует определять все формули
ровки, условности, директивы, использованные в представлении реализации.
На этом уровне доверия документация инструментальных средств разработки, используемых суб
подрядчиками ОО. должна быть также исследована оценщиком.
ИСО/МЭК 15408-3 А1_С_ТАТ.З.ЗС: В документации по инструментальным средствам разработ
ки должны быть однозначно определены значения всех опций, обусловленных реализацией.
12.8.4.4.3 Шаг оценивания ALC_TAT.3-3
Оценщик должен исследоватьдокументацию инструментальных средств, чтобы сделать заключе
ние. однозначно ли определены в ней значения всех опций, обусловленных реализацией.
В документацию инструментальных средств разработки программного обеспечения следует
включать определения опций, обусловленных реализацией, которые могут повлиять на содержание
выполняемого кода, и тех, которые отличаются от стандарта используемого языка. В случаях, когда
оценщику предоставляется исходный код. ему также следует предоставить информацию по используе
мым опциям компиляции и сборки.
В документации инструментальных средств проектирования и разработки аппаратных средств
следует описать использование всех опций, которые влияют на результаты применения инструменталь
ных средств (например детальные аппаратные спецификации или сами аппаратные средства).
На этом уровне доверия документация инструментальных средств разработки, используемых суб
подрядчиками ОО. должна быть также исследована оценщиком.
12.8.4.5 Действие ALC_TAT.3.2E
12.8.4.5.1 Шаг оценивания ALC_TAT.3-4
Оценщик должен исследовать аспекты процесса реализации, чтобы сделать заключение о том.
что были применены документированные стандарты реализации.
Этот шаг оценивания требует, чтобы оценщик проанализировал предоставленное ему представ
ление реализации ОО для вынесения заключения о том. были ли применены документированные стан
дарты реализации.
Оценщику следует верифицировать, что конструкции, исключенные из документированного стан
дарта. не используются.
Кроме того, оценщику следует проверить процедуры разработчика, которые обеспечивают при
менение определенных стандартов в пределах процесса проектирования и реализации ОО. Поэтому,
помимо получения письменного свидетельства, оценщику следует посетить среду проектирования. По
сещение среды проектирования позволит оценщику:
a) наблюдать за применением определенных стандартов:
b
) исследовать письменное свидетельство применения процедур, описывающих использование
определенных стандартов:
c) провести интервью с сотрудниками, ответственными за разработку, чтобы проверить наличие
у них понимания относительно применения определенных стандартов и процедур.
Посещение участка разработки — полезное средство для приобретения доверия к используемым
процедурам. Решение не совершать такой визитследует принимать только после консультации с органом
оценки.
Оценщик сравнивает предоставленное ему представление реализации с описанием применяе
мых стандартов реализации и верифицирует их использование.
На этом уровне доверия требуется, чтобы всё представление реализации ФБО было целиком
основано на стандартах реализации, включая части, разработанные субподрядчиками и сторонними
разработчиками. Из-за этого оценщику может потребоваться посетить заявителей. Оценщик может све
ряться со списком конфигурации, требуемым в семействе «Область УК» (ALC_CMS). для получения
информации о том. какие именно части разработаны какими разработчиками.
Следует отметить, что части ОО. которые не относятся к ФБО. не должны исследоваться.
Этот шаг оценивания может быть выполнен в сочетании с действиями оценивания поADVJMP.
150