ГОСТ Р ИСО/МЭК 18045—2013
c) Для интерфейсов, идентифицированныхвобосновании композиции, для которыхранее не было
приобретено доверие, требуется дополнительная информация (идентифицированная в ACO_COR. 1-1.)
d) Для интерфейсов, согласованно описанных в информации о зависимостях, обосновании ком
позиции и информации о разработке, не требуется проведение каких-либодальнейших действий оцен
щика, поскольку можно повторно использовать результаты оценки базового компонента.
Интерфейсы базового компонента, о которых оценщиком приводится в отчете, что они требуются
в информации о зависимостях, но не включаются в информацию о разработке, указывают на части
базового компонента, где требуется приобретение большего доверия. Интерфейсы идентифицируют
точки входа в базовый компонент.
Для интерфейсов, включенных в информацию и о разработке и о доверии, оценщик должен сде
лать заключение о том. используются ли интерфейсы составного 0 0 в манере, которая совместима
с оценкой базового компонента. Метод использования интерфейса рассматривается в действиях се
мейства «Свидетельство разработки» (ACO_DEV). чтобы сделать заключение, используется ли ин
терфейс совместимым образом и в базовом компоненте и в составном ОО. Остается только выне
сти заключение, согласованы ли конфигурации базового компонента и составного ОО. Чтобы сделать
об этом заключение, оценщик рассматривает документацию руководств для них. чтобы удостоверить
ся, что они согласованы (см. ниже дальнейшее руководство по оценке согласованности документации
руководств). Любое отклонение в документации будет далее проанализировано при оценке, чтобы сде
лать заключение о возможном влиянии подобной несогласованности.
Для тех интерфейсов, которые согласованно описаны в информации о зависимостях и информа
ции о разработке, и для которых руководства базового компонента и составного ОО являются согласо
ванными. обеспечен необходимый уровень доверия.
Следующие подразделы дают представление о том, как сделать заключение о согласованно
сти между доверием, приобретенным для базового компонента, свидетельствами, предусмотренными
для составного ОО. и анализом, проведенным оценщиком в техслучаях, когда выявлены несоответствия.
15.3.1.2.3.1 Разработка
В информации о зависимостях идентифицируются интерфейсы зависимого компонента, которые
должны соответствовать интерфейсам базового компонента. Если интерфейс, идентифицированный в
информации о зависимостях, не идентифицирован в информации о разработке, то в обосновании
композиции должно быть обеспечено обоснование того, каким образом базовый компонент обеспечи
вает зависимый необходимыми интерфейсами.
Если интерфейс, идентифицированный в информации о зависимостях, идентифицирован в ин
формации о разработке, но между описаниями есть несоответствия, требуется дальнейший анализ.
Оценщик идентифицирует различия в использовании базового компонента в соответствии с тем. как он
рассматривается при оценке базового компонента и при оценке составного ОО. Оценщик разрабаты
вает тестирование, которое будет проведено (во время проведения оценки по семейству АСО_СТТ
«Тестирование составного ОО») для проверки интерфейса.
Следует, чтобы состояние исправлений (патчей) базовых и зависимых компонентов, использую
щихся в составном ОО. было сравнимо с состоянием исправлений компонентов во время проведения их
оценивания. Если какие-либо исправления были применены к компонентам, обоснование компози ции
должно включать детальное описание таких исправлений, включая любое потенциальное влияние на
ФТБ оцениваемого компонента. Оценщику следует рассмотреть предоставленную ему информа цию
по поводу исправлений и проверить точность определения потенциального влияния исправле ния на
составные ФТБ. Затем оценщику следует оценить, должны ли изменения, внесенные данным
исправлением, быть проверены посредством тестирования, и идентифицирует необходимый подход к
тестированию. Тестирование может принять форму повторения применимого тестирования оценщи-
ка/разработчика. выполненного для оценки компонента, или же от оценщика может потребоваться раз
работать новые тесты для подтверждения правильности исправленной версии компонента.
Если над каким-либо из отдельных компонентов проводились действия по обеспечению непре
рывности доверия с момента завершения оценки компонента, оценщик может считать изменения уже
оцененными в рамках данных действий во время осуществления деятельности по независимому ана
лизу уязвимостей составного ОО (в рамках семейства ACO_VUL «Анализ уязвимостей композиции»).
15.3.1.2.3.2 Руководство
Руководство для составного ОО. вороятно, будет в значительной степени ссылаться на руко
водства для отдельных компонентов. Минимальное требуемое руководство — идентификация любых
иерархических зависимостей при применении руководств для зависимых и базовых компонентов, осо
бенно во время подготовки (установки) составного ОО.
195