ГОСТ Р ИСО/МЭК 15408-3-2013
Требования к поставке предусматривают такие средства и процедуры системы
контроля и распространения, которые конкретизируют меры, необходимые для
обеспечения доверия к тому, что безопасность ОО поддерживается во время
передачиООпользователю.ДляправильнойпоставкиООпроцедуры,
используемые для поставки, должны учитывать идентифицированные в ПЗ/ЗБ цели,
относящиеся к безопасности ОО во время поставки.
13.3.2 Ранжирование компонентов
Семейство содержит только один компонент. Усиление уровня защиты
достигается путем предъявления требований к соизмеримости процедур поставки с
потенциалом нападения предполагаемого нарушителя, определяемым в семействе
«Анализ уязвимостей» (AVA VAN).
13.3.3 Замечания по применению
Вопросы транспортировки от субподрядчиков к разработчику или между
различными местами разработки рассматриваются не в этом семействе, а в
семействе «Безопасность разработки» (ALC DVS).
Окончанием фазы поставки считается факт передачи ОО под ответственность
пользователя.
Следует, чтобы в процедурах поставки затрагивались следующие вопросы:
a) обеспечение точного соответствия между ОО, полученного потребителем, и
прошедшим оценку ОО;
b
) избежание/обнаружение какой-либо подделки актуальной версии ОО;
c) предотвращение поставки фальсифицированной версии ОО;
d) избежание нежелательной утечки информации о распространении ОО
потребителю; возможны случаи, при которых потенциальным нарушителям не
следует знать о том, когда и каким образом поставляется ОО;
e) избежание/обнаружение перехвата ОО во время поставки; и
f) избежание задержки поставки или невыполнения поставки ОО.
К процедурам поставки следует относить также и действия получателя,
подразумеваемые по рассмотренным выше вопросам. Согласованное описание
таких действий рассматривается в соответствии с требованиями семейства
«Подготовительные процедуры» (AGD PRE), при наличии такого описания.
154