ГОСТ Р ИСО МЭК 15408-3 2007 (1027766), страница 24
Текст из файла (страница 24)
Использование слова "необходимый" в ALC_DVS.1.1C и ALC_DVS.2.1C предусматривает возможность выбора соответствующих мер защиты.104ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)16.1.4ALC_DVS.1 Идентификация мер безопасностиЗависимости отсутствуют.16.1.4.1 Элементы действий разработчика16.1.4.1.1ALC_DVS.1.1DРазработчик должен разработать документацию по безопасности разработки.16.1.4.2 Элементы содержания и представления свидетельств16.1.4.2.1ALC_DVS.1.1CДокументация по безопасности разработки должна содержать описание всех физических, процедурных, относящихся к персоналу и других мер безопасности, которые необходимы для защиты конфиденциальности и целостности проекта ОО и его реализации в среде разработки.16.1.4.2.2ALC_DVS.1.2CДокументация по безопасности разработки должна предоставить свидетельство, чтонеобходимые меры безопасности соблюдаются во время разработки и сопровождения ОО.16.1.4.3 Элементы действий оценщика16.1.4.3.1ALC_DVS.1.1EОценщик должен подтвердить, что представленная информация удовлетворяет всемтребованиям к содержанию и представлению свидетельств.16.1.4.3.2ALC_DVS.1.2EОценщик должен подтвердить применение мер безопасности.16.1.5ALC_DVS.2Достаточность мер безопасностиЗависимости отсутствуют.16.1.5.1 Элементы действий разработчика16.1.5.1.1ALC_DVS.2.1DРазработчик должен разработать документацию по безопасности разработки.16.1.5.2 Элементы содержания и представления свидетельств16.1.5.2.1ALC_DVS.2.1CДокументация по безопасности разработки должна содержать описание всех физических,процедурных, относящихся к персоналу и других мер безопасности, которые необходимы для защиты конфиденциальности и целостности проекта ОО и его реализации в среде разработки.16.1.5.2.2ALC_DVS.2.2CДокументация по безопасности разработки должна предоставить свидетельство, что необходимые меры безопасности соблюдаются во время разработки и сопровождения ОО.16.1.5.2.3ALC_DVS.2.3CСвидетельство должно содержать логическое обоснование, что меры безопасностиобеспечивают необходимый уровень защиты конфиденциальности и целостности ОО.16.1.5.3 Элементы действий оценщика16.1.5.3.1ALC_DVS.2.1EОценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.105ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)16.1.5.3.2ALC_DVS.2.2EОценщик должен подтвердить применение мер безопасности.16.2 Устранение недостатков (ALC_FLR)16.2.1ЦелиСемейство ALC_FLR содержит требование, чтобы обнаруженные недостатки безопасностибыли отслежены и исправлены разработчиком.
Хотя при оценке ОО не может быть сделано заключение о его соответствии процедурам устранения недостатков в будущем, можно оценить политики и процедуры, которые предусмотрены разработчиком для отслеживания и исправления недостатков, а также распространения информации о недостатках и их исправлении.16.2.2Ранжирование компонентовКомпоненты в этом семействе ранжированы на основе расширения области примененияпроцедур устранения недостатков и повышения строгости политик устранения недостатков.16.2.3Замечания по применениюЭто семейство обеспечивает доверие к сопровождению и поддержке ОО в будущем, требуяот разработчика ОО отслеживать и исправлять недостатки в ОО.
Кроме того, имеются требованияпо распространению сведений об исправлениях недостатков. Однако это семейство не налагаеттребований, выходящих за рамки текущей оценки.Пользователь ОО считается основным ответственным лицом в организации за получение иприменение исправлений недостатков безопасности. Таким лицом необязательно должен являться отдельный пользователь, им может быть представитель организации, ответственный за обработку недостатков безопасности.
Использование термина «пользователь ОО» предполагает, что вразличных организациях имеются различные процедуры обработки сообщений о недостатках, которые могут выполняться либо индивидуально пользователями, либо централизовано административным лицом.В процедурах устранения недостатков следует описать методы реагирования на все типывстречающихся недостатков. Некоторые недостатки не могут быть исправлены немедленно.
Обэтих недостатках могут сообщить разработчик ОО, пользователи ОО, другие стороны, знакомые сОО. Не исключено, что недостаток вообще не может быть исправлен, и необходимо применитьдругие (например, процедурные) меры. Представленная документация должна охватывать процедуры по обеспечению исправлений в местах эксплуатации, а также предоставление информации онедостатках, для которых исправление отложено (и что делать в этой ситуации) или невозможно.После того как оценка ОО завершена, он больше не является объектом оценки.
Более того,любые изменения, вносимые в оценённый ОО приводят к тому, что первоначальные результатыоценки не являются больше применимыми к измененной версии. Поэтому термин «релиз ОО», используемый в данном семействе, относится к версии продукта или системы, которая является релизом сертифицированного ОО, в который были внесены изменения.16.2.4ALC_FLR.1 Базовое устранение недостатковЗависимости отсутствуют.16.2.4.1 Элементы действий разработчика16.2.4.1.1ALC_FLR.1.1DРазработчик должен предоставить процедуры устранения недостатков, предназначенные для разработчиков ОО.16.2.4.2 Элементы содержания и представления свидетельств16.2.4.2.1106ALC_FLR.1.1CГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)Документация процедур устранения недостатков должна содержать описание процедур по отслеживанию всех ставших известными недостатков безопасности в каждом релизе ОО.16.2.4.2.2ALC_FLR.1.2CПроцедуры устранения недостатков должны содержать требование представленияописания сути и последствий каждого недостатка безопасности, а также статуса процессаисправления этого недостатка.16.2.4.2.3ALC_FLR.1.3CПроцедуры устранения недостатков должны содержать требование, чтобы действияпо исправлению были идентифицированы для каждого недостатка безопасности.16.2.4.2.4ALC_FLR.1.4CДокументация процедур устранения недостатков должна содержать описание методов, используемых для предоставления пользователям ОО информации о недостатках, материалов исправлений и руководства по внесению исправлений.16.2.4.3 Элементы действий оценщика16.2.4.3.1ALC_FLR.1.1EОценщик должен подтвердить, что представленная информация удовлетворяет всемтребованиям к содержанию и представлению свидетельств.16.2.5ALC_FLR.2 Процедуры сообщений о недостаткахЗависимости отсутствуют.16.2.5.1 ЦелиДля того чтобы разработчик имел возможность соответствующим образом реагировать насообщения пользователей ОО о недостатках безопасности и знал, кому посылать исправления,пользователям ОО необходимо иметь представление о том, каким образом представлять сообщения о недостатках безопасности разработчику.
Руководство по исправлению недостатков, предоставляемое разработчиком пользователям ОО, обеспечивает знание пользователями ОО этойважной информации.16.2.5.2 Элементы действий разработчика16.2.5.2.1ALC_FLR.2.1DРазработчик должен предоставить процедуры устранения недостатков, предназначенные для разработчиков ОО.16.2.5.2.2ALC_FLR.2.2DРазработчик должен установить процедуру приема и отработки всех сообщений пользователей о недостатках безопасности и запросов на их исправление.16.2.5.2.3ALC_FLR.2.3DРазработчик должен предоставить руководство по устранению недостатков, предназначенное для пользователей ОО.16.2.5.3 Элементы содержания и представления свидетельств16.2.5.3.1ALC_FLR.2.1CДокументация процедур устранения недостатков должна содержать описание процедур поотслеживанию всех ставших известными недостатков безопасности в каждом релизе ОО.16.2.5.3.2ALC_FLR.2.2C107ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)Процедуры устранения недостатков должны содержать требование представления описаниясути и последствий каждого недостатка безопасности, а также статуса процесса исправления этогонедостатка.16.2.5.3.3ALC_FLR.2.3CПроцедуры устранения недостатков должны содержать требование, чтобы действия по исправлению были идентифицированы для каждого недостатка безопасности.16.2.5.3.4ALC_FLR.2.4CДокументация процедур устранения недостатков должна содержать описание методов, используемых для предоставления пользователям ОО информации о недостатках, материалов исправлений и руководства по внесению исправлений.16.2.5.3.5ALC_FLR.2.5CПроцедуры устранения недостатков должны описывать средства, с помощью которых разработчик получает от пользователей ОО сообщения и запросы о предполагаемыхнедостатках безопасности в ОО.16.2.5.3.6ALC_FLR.2.6CПроцедуры обработки ставших известными недостатков безопасности должны обеспечить, чтобы любые ставшие известными недостатки были исправлены, а для пользователей ОО выпущены исправления.16.2.5.3.7ALC_FLR.2.7CПроцедуры обработки ставших известными недостатков безопасности должны обеспечить такие защитные меры, чтобы любые исправления этих недостатков не приводили кпоявлению новых.16.2.5.3.8ALC_FLR.2.8CРуководство по устранению недостатков должно описывать средства, с помощью которых пользователи ОО могут сообщать разработчикам о любых предполагаемых недостатках безопасности в ОО.16.2.5.4 Элементы действий оценщика16.2.5.4.1ALC_FLR.2.1EОценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.16.2.6ALC_FLR.3 Систематическое устранение недостатковЗависимости отсутствуют.16.2.6.1 ЦелиДля того чтобы разработчик имел возможность соответствующим образом реагировать насообщения от пользователей ОО о недостатках безопасности и знал, кому посылать исправления,пользователям ОО необходимо иметь представление о том, каким образом представлять сообщения о недостатках безопасности на рассмотрение разработчику и каким образом регистрироватьсяу разработчика для того, чтобы получать исправления.
Руководство по исправлению недостатков,предоставляемое разработчиком пользователям ОО, обеспечивает знание пользователями ООэтой важной информации.16.2.6.2 Элементы действий разработчика16.2.6.2.1ALC_FLR.3.1DРазработчик должен предоставить процедуры устранения недостатков, предназначенные для разработчиков ОО.108ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)16.2.6.2.2ALC_FLR.3.2DРазработчик должен установить процедуру приема и отработки всех сообщений пользователей о недостатках безопасности и запросов на исправление этих недостатков.16.2.6.2.3ALC_FLR.3.3DРазработчик должен предоставить руководство по устранению недостатков, предназначенное для пользователей ОО.16.2.6.3 Элементы содержания и представления свидетельств16.2.6.3.1ALC_FLR.3.1CДокументация процедур устранения недостатков должна содержать описание процедур поотслеживанию всех ставших известными недостатков безопасности в каждом релизе ОО.16.2.6.3.2ALC_FLR.3.2CПроцедуры устранения недостатков должны содержать требование представления описаниясути и последствий каждого недостатка безопасности, а также статуса процесса исправления этогонедостатка.16.2.6.3.3ALC_FLR.3.3CПроцедуры устранения недостатков должны содержать требование, чтобы действия по исправлению были идентифицированы для каждого недостатка безопасности.16.2.6.3.4ALC_FLR.3.4CДокументация процедур устранения недостатков должна содержать описание методов, используемых для предоставления пользователям ОО информации о недостатках, материалов исправлений и руководства по внесению исправлений.16.2.6.3.5ALC_FLR.3.5CПроцедуры устранения недостатков должны описывать средства, с помощью которых разработчик получает от пользователей ОО сообщения и запросы о предполагаемых недостаткахбезопасности в ОО.16.2.6.3.6ALC_FLR.3.6CПроцедуры обработки ставших известными недостатков безопасности должны обеспечить,чтобы любые ставшие известными недостатки были исправлены, а для пользователей ОО выпущены исправления.16.2.6.3.7ALC_FLR.3.7CПроцедуры обработки ставших известными недостатков безопасности должны обеспечитьтакие защитные меры, чтобы любые исправления этих недостатков не приводили к появлению новых.16.2.6.3.8ALC_FLR.3.8CРуководство по устранению недостатков должно описывать средства, с помощью которыхпользователи ОО могут сообщать разработчикам о любых предполагаемых недостатках безопасности в ОО.16.2.6.3.9ALC_FLR.3.9CПроцедуры устранения недостатков должны включать процедуру своевременногореагирования для автоматического распространения сообщений о недостатках безопасности и материалов по их исправлению зарегистрированным пользователям, для которых этинедостатки могут иметь последствия.16.2.6.3.10ALC_FLR.3.10C109ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)Руководство по устранению недостатков должно описывать средства, с помощью которых пользователи ОО могут регистрироваться у уразработчика, чтобы иметь право получать сообщения о недостатках безопасности и исправления.16.2.6.3.11ALC_FLR.3.11CВ руководстве по устранению недостатков должна быть идентифицирована контактная информация для всех сообщений и запросов по вопросам безопасности, связанных сОО.16.2.6.4 Элементы действий оценщика16.2.6.4.1ALC_FLR.3.1EОценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.16.3 Определение жизненного цикла (ALC_LCD)16.3.1ЦелиПлохо управляемые разработка и сопровождение ОО могут приводить к неправильной реализации ОО (или к ОО, который отвечает не всем требованиям безопасности).












