ГОСТ Р ИСО МЭК 15408-3 2007 (1027766), страница 15
Текст из файла (страница 15)
Обозначение ОО соответствующей маркировкой дает пользователям ООвозможность знать, какой экземпляр ОО они используют.Уникальная идентификация элементов конфигурации ведет к лучшему пониманию составаОО, что, в свою очередь, способствует определению тех элементов, на которые направлены требования оценки для ОО.Поддержанию целостности ОО способствуют применение средств контроля, предупреждающих выполнение несанкционированных модификаций ОО, а также обеспечение надлежащихфункциональных возможностей и использование системы УК.Предназначение процедур приемки – подтвердить, что любое создание или модификацияэлементов конфигурации санкционировано.Процедуры компоновки способствуют правильному выполнению генерации ОО из управляемого набора элементов конфигурации санкционированным способом.Требование, чтобы система УК была способна идентифицировать оригинал материала, используемый для генерации ОО, способствует сохранению целостности этого материала путемприменением приемлемых технических, физических и процедурных мер защиты.12.2.8.2 Элементы действий разработчика12.2.8.2.1ACM_CAP.5.1DРазработчик должен предоставить маркировку для ОО.12.2.8.2.2ACM_CAP.5.2DРазработчик должен использовать систему УК.12.2.8.2.3ACM_CAP.5.3DРазработчик должен представить документацию УК.12.2.8.3 Элементы содержания и представления свидетельств12.2.8.3.1ACM_CAP.5.1CМаркировка ОО должна быть уникальна для каждой версии ОО.12.2.8.3.2ACM_CAP.5.2CОО должен быть помечен маркировкой.12.2.8.3.360ACM_CAP.5.3CГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)Документация УК должна включать в себя список конфигурации, план УК, план приемки подУК и процедуры компоновки.12.2.8.3.4ACM_CAP.5.4CСписок конфигурации должен уникально идентифицировать все элементы конфигурации,входящие в ОО.12.2.8.3.5ACM_CAP.5.5CСписок конфигурации должен содержать описание элементов конфигурации, входящих вОО.12.2.8.3.6ACM_CAP.5.6CДокументация УК должна содержать описание метода, используемого для уникальной идентификации элементов конфигурации, входящих в ОО.12.2.8.3.7ACM_CAP.5.7CСистема УК должна уникально идентифицировать все элементы конфигурации, входящие вОО.12.2.8.3.8ACM_CAP.5.8СПлан УК должен содержать описание, как используется система УК.12.2.8.3.9ACM_CAP.5.9ССвидетельство должно демонстрировать, что система УК действует в соответствии с планомУК.12.2.8.3.10ACM_CAP.5.10СДокументация УК должна содержать свидетельство, что система УК действительно сопровождала и продолжает эффективно сопровождать все элементы конфигурации.12.2.8.3.11ACM_CAP.5.11ССистема УК должна предусмотреть такие меры, при которых в элементах конфигурации могут быть сделаны только санкционированные изменения.12.2.8.3.12ACM_CAP.5.12CСистема УК должна поддерживать генерацию ОО.12.2.8.3.13ACM_CAP.5.13CПлан приемки должен содержать описание процедур, используемых для приемки модифицированных или вновь созданных элементов конфигурации как части ОО.12.2.8.3.14ACM_CAP.5.14СПроцедуры компоновки должны описать, как систему УК применяют в процессе изготовления ОО.12.2.8.3.15ACM_CAP.5.15ССистема УК должна содержать требование, чтобы лицо, ответственное за включениеэлемента конфигурации под УК, не являлось его разработчиком.12.2.8.3.16ACM_CAP.5.16ССистема УК должна четко идентифицировать элементы конфигурации, которые составляют ФБО.12.2.8.3.17ACM_CAP.5.17С61ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)Система УК должна поддерживать аудит всех модификаций ОО с регистрацией, какминимум, инициатора, даты и времени модификации в журнале аудита.12.2.8.3.18ACM_CAP.5.18ССистема УК должна быть способна идентифицировать оригиналы всех материалов,используемые для генерации ОО.12.2.8.3.19ACM_CAP.5.19СДокументация УК должна демонстрировать, что использование системы УК совместнос мерами безопасности разработки сделает возможными только санкционированные изменения в ОО.12.2.8.3.20ACM_CAP.5.20СДокументация УК должна демонстрировать, что использование процедур компоновкиобеспечивает выполнение генерации ОО правильно и санкционированным способом.12.2.8.3.21ACM_CAP.5.21СДокументация УК должна демонстрировать, что система УК достаточна для обеспечения того, чтобы лицо, ответственное за включение элемента конфигурации под УК, не былоего разработчиком.12.2.8.3.22ACM_CAP.5.22СДокументация УК должна содержать логическое обоснование, что процедуры приемкиобеспечивают адекватный и удобный просмотр изменений всех элементов конфигурации.12.2.8.4 Элементы действий оценщика12.2.8.4.1ACM_CAP.5.1ЕОценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.12.3 Область УК (ACM_SCP)12.3.1ЦелиЦель этого семейства – требовать, чтобы были определены элементы в качестве элементовконфигурации и, следовательно, помещены под УК в соответствии с требованиями семействаACM_CAP «Возможности УК».
Применение управления конфигурацией по отношению к элементамобеспечивает дополнительное доверие к поддержанию целостности ОО.12.3.2Ранжирование компонентовКомпоненты в этом семействе ранжированы на основе того, что именно из перечисленногониже требуется определить в качестве элементов конфигурации: представление реализации, свидетельства оценки, требуемые компонентами доверия из ЗБ, недостатки безопасности, инструментальные средства разработки и связанная с ними информация.12.3.3Замечания по применениюТребования семейства ACM_CAP «Возможности УК» определяют необходимость спискаэлементов конфигурации (помимо самого ОО) и чтобы каждый элемент из этого списка находилсяпод УК; при этом содержание списка элементов конфигурации остается на усмотрение разработчика.
Требования семейства ACM_SCP «Область УК» ограничивают эту возможность разработчика, идентифицируя элементы, которые должны быть включены в список элементов конфигурациии, следовательно, находиться под УК в соответствии с требованиями семейства ACM_CAP «Возможности УК».ACM_SCP.1.1C содержит требование, чтобы представление реализации ОО было включенов список элементов конфигурации. Представление реализации ОО относится ко всем аппаратным,программным и программно-аппаратным средствам, которые составляют ОО.
В случае, когда ОО62ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)состоит только из программных средств, представление реализации может состоять исключительно из исходного и объектного кода.ACM_SCP.1.1C также содержит требование, чтобы свидетельства оценки, требуемые компонентами доверия из ЗБ, были включены в список элементов конфигурации.ACM_SCP.2.1C содержит требование, чтобы системой УК отслеживались недостатки безопасности, т.е. сопровождалась информация об имевших место недостатках безопасности и их устранении, а также подробные сведения о существующих недостатках безопасности.ACM_SCP.3.1С содержит требование, чтобы системой УК отслеживались инструментальныесредства разработки и информация, относящаяся к ним.
Примеры инструментальных средств разработки – языки программирования и компиляторы. Информация, имеющая отношение к элементам генерации ОО (типа опций компилятора, опций инсталляции/генерации и опций компоновки) –пример информации, относящейся к инструментальным средствам разработки.12.3.4ACM_SCP.1Охват УК объекта оценкиЗависимости: ACM_CAP.3 Средства контроля авторизации12.3.4.1 ЦелиСистема УК может контролировать изменения только тех элементов, которые были включены под УК (например, элементов конфигурации, идентифицированных в списке элементов конфигурации).
Включение под УК представления реализации ОО, свидетельств оценки, требуемых другими компонентами доверия из ЗБ, обеспечивает доверие, что они могут быть модифицированытолько контролируемым способом при наличии соответствующих полномочий.12.3.4.2 Элементы действий разработчика12.3.4.2.1ACM_SCP.1.1DРазработчик должен представить список элементов конфигурации для ОО.12.3.4.3 Элементы содержания и представления свидетельств12.3.4.3.1ACM_SCP.1.1CСписок элементов конфигурации должен включать следующее: представление реализации и свидетельства оценки, требуемые компонентами доверия из ЗБ.12.3.4.4 Элементы действий оценщика12.3.4.4.1ACM_SCP.1.1EОценщик должен подтвердить, что представленная информация удовлетворяет всемтребованиям к содержанию и представлению свидетельств.12.3.5ACM_SCP.2Охват УК отслеживания проблемЗависимости: ACM_CAP.3 Средства контроля авторизации12.3.5.1 ЦелиСистема УК может контролировать изменения только тех элементов, которые были включены под УК (т.е.
элементов конфигурации, идентифицированных в списке элементов конфигурации). Включение под УК представления реализации ОО и свидетельств оценки, требуемых другими компонентами доверия из ЗБ, обеспечивает доверие, что они могут быть модифицированытолько контролируемым способом при наличии соответствующих полномочий.Включение недостатков безопасности под УК не позволяет утратить или игнорировать сообщения о недостатках безопасности, давая возможность разработчику контролировать недостатки безопасности вплоть до их устранения.12.3.5.2 Элементы действий разработчика12.3.5.2.1ACM_SCP.2.1D63ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)Разработчик должен представить список элементов конфигурации для ОО.12.3.5.3 Элементы содержания и представления свидетельств12.3.5.3.1ACM_SCP.2.1CСписок элементов конфигурации должен включать следующее: представление реализации,недостатки безопасности и свидетельства оценки, требуемые компонентами доверия из ЗБ.12.3.5.4 Элементы действий оценщика12.3.5.4.1ACM_SCP.2.1EОценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.12.3.6ACM_SCP.3Охват УК инструментальных средств разработкиЗависимости: ACM_CAP.3 Средства контроля авторизации12.3.6.1 ЦелиСистема УК может контролировать изменения только тех элементов, которые были включены под УК (т.е.
элементов конфигурации, идентифицированных в списке элементов конфигурации). Включение под УК представления реализации ОО и свидетельств оценки, требуемых другими компонентами доверия из ЗБ, обеспечивает доверие, что они могут быть модифицированытолько контролируемым способом при наличии соответствующих полномочий.Включение недостатков безопасности под УК не позволяет утратить или игнорировать сообщения о недостатках безопасности, давая возможность разработчику контролировать недостатки безопасности вплоть до их устранения.Инструментальные средства разработки играют важную роль в обеспечении изготовлениякачественной версии ОО.












