ГОСТ Р ИСО/МЭК 18045—2013
15.5.2Подвид деятельности по оценке (ACO_REL.2)
15.5.2.1 Цели
Цель этого подвида деятельности — сделать заключение о том. предоставлена ли в полученных
от разработчика свидетельствах доверия достаточная информация для того, чтобы определить, что не
обходимые функции доступны в базовом компоненте, а также определить средства и способы вызова
этих функций. Это обеспечивается в терминах взаимодействий между зависимым и основным компо
нентом. а также возвращаемых значений от интерфейсов, вызываемых зависимым компонентом.
15.5.2.2 Исходные данные
Свидетельствами оценки этого подвида деятельности являются:
a) составное ЗБ:
b
) функциональная спецификация зависимого компонента;
c) проект зависимого компонента;
d) представление реализации зависимого компонента;
e) проект архитектуры зависимого компонента:
0 информация о зависимостях.
15.5.2.3 Замечания по применению
Для зависимого компонента. ФБО которого взаимодействуют с базовым компонентом, требуются
функции, обеспеченные этим базовым компонентом {например удаленная аутентификация, удаленное
хранение данных аудита). Втаких случаях вызываемые сервисы должны быть описаны вместе с теми,
которые требуются для формирования составного ОО конечными пользователями. Обоснование необ
ходимости такой документации заключается в том. что эти сведения должны помочь интеграторам со
ставного ОО определить, какие сервисы базового компонента могут оказывать отрицательное воздей
ствие на зависимый компонент, а также они предоставляют информацию, на основании которой можно
сделать заключение о совместимости компонентов при применении требований семейства «Свиде
тельство разработки» (ACO_DEV).
15.5.2.4 Действие ACO_REL.2.1E
ИСО/МЭК 15408-3 ACO_REL.2.1C: В информации о зависимостях должны быть описаны функции
аппаратного, программного и программно-аппаратного обеспечения базового компонента, на которые
полагаются ФБО зависимого компонента.
15.5.2.4.1 Шаг оценивания ACO_REL.2-1
Оценщик должен проверить информацию о зависимостях, чтобы сделать заключение о том,
что в ней описаны функции аппаратного, программного и программно-аппаратного обеспечения базо
вого компонента, на которые полагаются ФБО зависимого компонента.
Оценщик оценивает описание функций безопасности аппаратного, программного и программно-
аппаратного обеспечения базового компонента, которые требуются ФБО зависимого компонента. Осо
бое внимание при выполнении данного шага оценивания уделяется уровню детализации этого опи
сания. а не оценке точности информации (оценка точности информации проводится при выполнении
следующего шага оценивания).
Описание функциональных возможностей базового компонента должно быть выполнено с уров
нем детализации не выше, чем при описании компонента ФБО. предоставленного в проекте ОО (семей
ство ADV_TDS «Проект ОО»).
15.5.2.4.2 Шаг оценивания ACO_REL.2-2
Оценщик должен исследоватьинформациюо зависимостях, чтобы сделатьзаключениео том. чтов ней
точно отражены цели безопасности, определенные для среды функционирования зависимого компонента.
Информация о зависимостях содержит описание функций безопасности базового компонента,
на которые полагается зависимый компонент. Чтобы удостовериться, что информация о зависимостях
согласуется с ожиданиями, предъявляемыми к среде функционирования зависимого компонента, оцен
щик сравнивает информацию о зависимостях с заявленными в ЗБ целями безопасности среды функци
онирования для зависимого компонента.
Например, если в информации о зависимостях утверждается, что ФБО зависимого компонента по
лагаются на базовый компонентдля хранения и защиты контрольных данных, а из других свидетельств
оценки (например из проекта зависимого компонента) следовало бы, что ФБО зависимого компонента
самостоятельно хранят и защищают контрольные данные, это указывало бы на несоответствие.
Следует отметить, что цели среды функционирования могут включать в себя цели, достигающи
еся без применения средств ИТ. Хотя сервисы, которые предположительно должны быть обеспечены
средой функционирования, могут быть описаны в рамках описания в ЗБ целей ИТ для среды функцио-
205