ГОСТ Р ИСО/МЭК 18045—2013
В части «Тестирование составного ОО» (АСО_СТТ) оценщик выполняет тестирование ФТБ состав
ного ОО для интерфейсов составного ОО и интерфейсов базового компонента, на функционирование
которого полагается зависимый компонент, чтобы подтвердить, что эти интерфейсы работают опреде
ленным образом. В выборке рассматриваются возможные эффекты от изменения конфигурации/исполь-
зования базового компонента таким же образом, как в составном ОО. Эти изменения идентифицируются
на основе конфигурации базового компонента, определенного во время оценки базового компонента. Раз
работчик предоставит тестовые свидетельства для каждого интерфейса базовых компонентов (требова
ния охвата согласуются с теми, которые применяются для оценки базового компонента).
Семейством «Обоснование композиции» (ACO_COR) требуется, чтобы оценщик сделал заключе
ние о том. были ли соответствующие меры доверия применены к базовому компоненту и использует
ся ли базовый компонент в его оцененной конфигурации. Это включает определение того, включены
ли все функции безопасности, требуемые зависимыми компонентами, в ФБО базового компонента.
Тре бование семейства «Обоснование композиции» (ACO_COR) может быть удовлетворено
посредством производства свидетельств, где для каждой функции демонстрируется, что функция
поддерживает ся. Такие свидетельства могут быть представлены в виде целей безопасности или
открытого отчета об оценке компонента (например отчет о сертификации).
Если, с другой стороны, что-то из вышеупомянутого не поддерживается, то существует вероят
ность возникновения разногласий по поводу того, почему на доверие, полученное во время проведения
исходной оценки, не было оказано влияние впоследствии. Если это не представляется возможным,
тогда может потребоваться предоставление дополнительных свидетельств оценки для неохваченных
аспектов базового компонента. В этом случае такие материалы оцениваются в рамках семейства «Сви
детельство разработки» (ACO_DEV).
Например, может иметь место случай, описанный в подразделе «Взаимодействия между объеди
ненными сущностями ИТ» (см. приложение В.З «Взаимодействия между объединенными сущностями
ИТ» в ИСО/МЭК 15408-3), когда зависимому компоненту требуется, чтобы базовый компонент обеспе чил
больше функций безопасности в составном ОО, чем включено в оценку базового компонента. Это
возможно определить во время применения семейств «Зависимости зависимых компонентов» (АСО_
REL) и «Свидетельство разработки» (ACO_DEV). В этом случав свидетельства обоснования компо
зиции. предоставленные для семейства «Обоснование композиции» (ACO_COR). продемонстрируют,
что доверие, приобретенное при оценке базового компонента, не было затронуто тем или иным обра
зом. Это может быть достигнуто различными средствами, включая:
a) выполнение повторной оценки базового компонента, направленной на исследование свиде
тельств. касающихся расширенной части ФБО;
b
) демонстрацию того, что расширенная часть ФБО не затрагивает другие части ФБО. и пред
ставление свидетельств того, что расширенная часть ФБО обеспечивает выполнение необходимых
функций безопасности.
15.3 Обоснование композиции (ACO_COR)
15.3.1 Подвид деятельности по оценке (ACO_COR.1)
15.3.1.1 Исходные данные
Свидетельства оценки этого подвида деятельности;
a) составное ЗБ;
b
) обоснование композиции;
c) информация о зависимостях;
d) информация о разработке;
e) уникальный идентификатор.
15.3.1.2 Действие ACO_COR.1.1E
ИСО/МЭК 15408-3ACO_COR.1.1C: Обоснование композиции должнопродемонстрировать, что уро
вень доверия, приобретенный для поддержки функциональных возможностей базового компонента,
является таким же высоким или выше, чем уровень доверия к зависимому компоненту, при условии,
что конфигурация базового компонента соответствует требованиям для поддержки ФБО зависимого
компонента.
15.3.1.2.1 Шаг оценивания ACO_COR.1-1
Оценщик должен исследовать анализ соответствия информации о разработке и информации
о зависимостях для идентификации интерфейсов, на которые полагается зависимый компонент и кото
рые не детализированы в информации о разработке.
193