ГОСТ Р ИСО/МЭК 18045—2013
ляемой данным описанием, зависит от сложности интерфейса. Относящиеся к ФТБ действия — те,
которые являются видимыми в любом внешнем интерфейсе (например следует предоставитьописание
деятельности по аудиту, которая требуется при вызове интерфейса (предполагаем, что требования ау
дита включены в ЗБ), даже если результат этого действия вообще не наблюдается через вызываемый
интерфейс). В зависимости от параметров интерфейса может быть много различныхдействий, которые
вызываются через интерфейс (например у интерфейса программирования приложений первый пара
метр может быть «подкомандой», а последующие параметры могут быть специфическими для этой
подкоманды. Пример подобного интерфейса — интерфейс программирования приложений IOCTL в не
которых системах Unix).
Для вынесения заключения о том. что действия ИФБО описаны полностью, оценщику следует
рассмотреть остальные части описания интерфейса (описания параметров, сообщений об ошибках и
т.д.) и сделать заключение, перечислены ли в них описанные действия. Оценщику следует также про
анализировать другие свидетельства, предоставленные для оценки (например проект ОО. описание
архитектуры безопасности, руководство пользователя по эксплуатации, представление реализации),
чтобы определить, есть ли там свидетельства действий интерфейса, отсутствующие в функциональной
спецификации.
ИСО/МЭК 15408-3 ADV_FSP.5.6C: Функциональная спецификация должна содержать описание со
общений обо всех непосредственных ошибках, которые могут возникнуть при вызове каждого ИФБО.
10.4.5.3.9 Шаг оценивания ADV_FSP.5-9
Оценщик должен исследовать представление ИФБО, чтобы сделать заключение о том. что в нем
полно и точно описаны все сообщения об ошибках, возникающих при вызове ИФБО.
Ошибки могут принимать различные формы в зависимости от описываемого интерфейса. В слу
чае интерфейса программирования приложений интерфейс сам может вернуть код ошибки, установить
состояние глобальной ошибки или определенный параметр с кодом ошибки. В случае файла конфигу
рации неправильно настроенный параметр может привести к появлению в системном журнале сообще
ния об ошибке. В случав аппаратных средств, например шины ввода/вывода. возникновение ошибки
может подать на шину сигнал или вызвать особое состояние центрального процессора.
Ошибки (и связанные с ними сообщения об ошибках) появляются через запрос интерфейса. Обра
ботка. которая происходит в ответ на запрос интерфейса, может столкнуться с некоторыми условиями,
вызывающими ошибку и сообщение об этой ошибке (путем определенного механизма, специфического
для данной реализации). В некоторых случаях это может быть возвращаемое самим интерфейсом
значение: в других случаях глобальное значение может быть назначено и проверено после запроса
интерфейса. Скорее всего, у ОО будет много сообщений об ошибках низкого уровня, которые явля
ются результатом фундаментальных условий для ресурсов, например «недостаточно места на диске»
или «ресурс заблокирован». Несмотря на то, что эти сообщения об ошибках могут быть прослежены к
большому количеству ИФБО. их можно использовать для выявления тех случаев, когда часть описа ния
интерфейса была опущена. Например, если есть ИФБО. который выдает сообщение «недостаточ но
места надиске», нодля которого не представлено ясное описание того, почему этому ИФБО следует
позволять получение доступа к диску, оценщику может потребоваться исследовать другие свидетель
ства (семейств ADV_ARC «Архитектура безопасности». ADV_TDS «Проект ОО»), связанные с этим
ИФБО. чтобы сделать заключение о том, является ли его описание полным и точным.
Оценщик делает заключение о том, что для каждого ИФБО определен точный набор сообщений
об ошибках, которые выдаются при вызове этого интерфейса. Оценщик рассматривает свидетельства,
представленные по интерфейсу, чтобы сделать заключение о том. кажется ли приведенный набор оши
бок полным. Он сверяет эту информацию с другими предоставленными для оценки свидетельствами
(например проект ОО. описание архитектуры безопасности, руководство пользователя по эксплуата
ции. представление реализации), чтобы удостовериться, что нет ошибок, возникающих при обработке
вызовов упомянутых интерфейсов, описание которых отсутствует в функциональной спецификации.
10.4.5.3.10 Шаг оценивания ADV_FSP.5-10
Оценщик должен исследовать представление ИФБО. чтобы сделать заключение о том. что в нем
полно и точно описаны значения всех ошибок, связанных с вызовами кахедого ИФБО.
Для определения степени точности описания оценщик должен быть в состоянии понять значение
ошибки. Например, если интерфейс возвращает числовое значение 0.1 или 2. оценщик не в состоянии
понять ошибку, если в функциональной спецификации описано только следующее: «возможные ошиб
ки. возникающие при вызове интерфейса foo () — 0. 1 или 2». Вместо этого оценщик выполняет про
верку. чтобы удостовериться, что ошибки описаны иначе, например: «возможные ошибки, возникающие
74