ГОСТ Р ИСО/МЭК 15408-3-2013
Предполагается, что критерии будет постепенно применимы и в более широком смысле
(например, когда составной 00 , состоящий из зависимого и базового компонента, сам становится
базовым компонентом другого составного 00), в более сложных взаимоотношениях, но это может
потребовать дальнейшего анализа трактовок. Для проведения оценки ОО необходимо оценить
каждый компонент независимо, так как оценка составного ОО основывается на результатах оценки
каждого из компонентов по отдельности. Оценка зависимых компонентов может продолжаться и
после начала оценки составного 00 . Однако эта оценка должна быть закончена до завершения
оценки 00.
Действия по оценке составного 0 0 могут проходить вместе с оценкой зависимых компонентов
по двум причинам:
a)Экономический/деловой фактор - разработчик независимых компонентов будет или
спонсировать действия по оценке составного 0 0 или поддерживать эти действия, так как
такая оценка комплектуется оценкой зависимых компонентов, требуемой для действий по
оценке составного ОО.
b
) Технический фактор-в компонентах рассматривается, предоставляется ли
требуемое доверие базовым компонентом (например, с учетом изменений базового
компонента после завершения оценки) с учетом того, что зависимый компонент недавно
прошел оценку (или проходит в настоящее время) и имеются в наличии все комплектующие,
необходимые для проведения оценки. Таким образом, никакие действия при объединении
компонентов не требуютпересмотра и повторного утверждения результатов оценки
зависимыхкомпонентов.Крометого,подтверждается,чтобазовымкомпонентом
формируется (одна из) тестовых конфигураций зависимого компонента во время проведения
оценки этого зависимого компонента, благодаря чему в семействе АСО_СТТ рассматривается
базовый компонент в данной конфигурации.
Свидетельство оценки зависимого компонента, предоставляемое оценщиком, является
необходимым для проведения действий по оценке составного 0 0 . Единственный материал по оценке
базового компонента, требуемый для проведения оценки составного ОО. это:
а)остаточные уязвимости базового компонента, выявленные во время его оценки. Это
требуется для действий семейства ACO_VUL.
Никаких других свидетельств оценки базового компонента для проведения оценки составного
ОО не требуется, так как результаты оценки базового компонента следует использовать повторно.
Дополнительная информация по базовому компоненту может потребоваться в случае, если ФБО
составного ОО включает больше базовых компонентов, чем было учтено в ФБО во время проведения
оценки базового компонента.
Предполагается, что оценка базового и зависимого компонента будет завершена ко времени
получения заключительного решения по компонентам АСО.
В компонентах семейства ACO_VUL рассматривается противостояние нарушителям с
потенциалом атаки до Усиленного базового включительно. Объясняется это тем. какой уровень
информации по проекту может быть представлен о том, как базовый компонент предоставляет
248