ГОСТ Р МЭК 62279—2016
6.4.4 Требования
6.4.4.1 Оценка программного обеспечения должна быть выполнена независимым оценщиком, как
описано в 5.1.2.6 и 5.1.2.7.
6.4.4.2 Программное обеспечение с отчетом о результатах его оценки от другого оценщика не
должно быть объектом новой оценки. Оценщик должен проверить, что программное обеспечение при
годно для его надлежащего использования в намеченном окружении, и что прежняя оценка установила,
что программное обеспечение достигло уровня полноты безопасности, по крайней мере, равного тре
буемому уровню.
6.4.4.3 У оценщика должен быть доступ ко всей проектной документации процесса разработки.
6.4.4.4 План оценки программного обеспечения должен быть подготовлен в письменном виде под
руководством оценщика на основе входныхдокументов, перечисленных в 6.4.2. Где это уместно, может
использоваться существующий документально оформленный общий план или процедура оценки про
граммного обеспечения. Требования 6.4 4.5 относятся к плану оценки программного обеспечения.
6.4.4.5 План оценки программного обеспечения должен включать следующее:
a) аспекты, с которыми имеет дело оценивание;
b
)действия в течение процесса оценки и их последовательные ссылки к техническим действиям;
c) документы, которые должны быть учтены;
d) описание критериев прошеп/не прошел оценку идействия в случае, если оценка не удовлетво
ряет критерию;
e) требования к содержанию и форме отчета по результатам оценки программного обеспечения.
6.4.4.6
Л
ицо, ответственное за оценку, должно выполнить анализ оценки на основе входных до
кументов. перечисленных в 6.4.2.
Требование 6.4.4.7 относится к внутренней проверке или независимой экспертизе оценки.
6.4.4.7 После того, как сформирован план оценки программного обеспечения, должна быть вы
полнена его проверка для того, чтобы:
a) план оценки программного обеспечения отвечал общим требованиям удобочитаемости и про
слеживаемости. представленным в 5.3.2.7—5.3.2.10 и 6.5.4.14—6.5.4.17, а также требованиям, опреде
ленным в 6.4.4.5;
b
) обеспечить внутреннюю согласованность плана оценки программного обеспечения.
6.4.4.8 Оценщикдолжен оценить, что программное обеспечение системы соответствует его пред
назначенной цели и корректно отрабатывает угрозы безопасности, полученные из спецификации тре
бований безопасности к системе.
6.4.4.9 Оценщик должен оценить, правильно ли надлежащий набор методов из приложения А.
подходящий для намеченной разработки, был выбран и применен согласно требуемому уровню полно ты
безопасности.
Кроме того, оценщик должен рассмотреть степень применения каждого метода из приложения А.
т. е. применен ли он ко всему или только к части программного обеспечения, и также найти доказатель
ство. что метод применен должным образом.
6.4.4.10 Оценщик должен оценить систему управления конфигурацией и управления изменения
ми и доказательства на ее использование и применение.
6.4.4.11 Оценщик должен рассмотреть доказательство компетентности проектной группы соглас
но приложению В и должен оценить организацию разработки программного обеспечения согласно 5.1.
6.4.4.12 Для любого программного обеспечения, использующегося в связанных с безопасностью
применениях, оценщик должен проверить замеченные отклонения, несоблюдения требованиям и заре
гистрированные несоответствия, если они оказывают влияние на безопасность, и обосновать, прием
лемо ли их устранение из проекта. Результат должен быть утвержден в отчете по результатам оценки.
6.4.4.13 Оценщик должен оценить действия по проверке и подтверждению соответствия и под
тверждающие их доказательства.
6.4.4.14 Оценщик должен согласовать объем и содержание плана подтверждения соответствия
программного обеспечения. Это соглашение должно также содержать положение о присутствии оцен
щика во время тестирования.
6.4.4.15 Оценщик может выполнять аудиты и контроль (например, наблюдение за выполнением
тестов) в течение всего процесса разработки. Оценщик может попросить выполнить дополнительные
работы по проверке и подтверждению соответствия.
П р и м е ч ан и е — Раннее включение оценщика в проект имеет преимущество.
19