Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности

     12.3 Область УК (ACM_SCP)

12.3.1 Цели

Цель этого семейства - требовать, чтобы были определены элементы в качестве элементов конфигурации и, следовательно, помещены под УК в соответствии с требованиями семейства АСМ_САР "Возможности УК". Применение управления конфигурацией по отношению к элементам обеспечивает дополнительное доверие к поддержанию целостности OO.

12.3.2 Ранжирование компонентов

Компоненты в этом семействе ранжированы на основе того, что именно из перечисленного ниже требуется определить в качестве элементов конфигурации: представление реализации, свидетельства оценки, требуемые компонентами доверия из ЗБ, недостатки безопасности, инструментальные средства разработки и связанная с ними информация.

12.3.3 Замечания по применению

Требования семейства АСМ_САР "Возможности УК" определяют необходимость списка элементов конфигурации (помимо самого ОО) и то, чтобы каждый элемент из этого списка находился под УК; при этом содержание списка элементов конфигурации оставляют на усмотрение разработчика. Требования семейства ACM_SCP "Область УК" ограничивают эту возможность разработчика, идентифицируя элементы, которые должны быть включены в список элементов конфигурации и, следовательно, находиться под УК в соответствии с требованиями семейства АСМ_САР "Возможности УК".

ACM_SCP.1.1С содержит требование, чтобы представление реализации ОО было включено в список элементов конфигурации. Представление реализации ОО относится ко всем аппаратным, программным и программно-аппаратным средствам, которые составляют OO. В случае, если ОО состоит только из программных средств, представление реализации может состоять исключительно из исходного и объектного кода.

ACM_SCP.1.1С также содержит требование, чтобы свидетельства оценки, требуемые компонентами доверия из ЗБ, были включены в список элементов конфигурации.

ACM_SCP.2.1С содержит требование, чтобы системой УК отслеживались недостатки безопасности, то есть сопровождалась информация об имевших место недостатках безопасности и их устранении, а также подробные сведения о существующих недостатках безопасности.

ACM_SCP.3.1С содержит требование, чтобы системой УК отслеживались инструментальные средства разработки и относящаяся к ним информация. Примеры инструментальных средств разработки - это языки программирования и компиляторы. Информация, имеющая отношение к элементам генерации ОО (например, опции компилятора, опции инсталляции/генерации и опции компоновки) - пример информации, относящейся к инструментальным средствам разработки.

12.3.4 ACM_SCP.1 Охват УК объекта оценки

Зависимости: АСМ_САР.3 Средства контроля авторизации

12.3.4.1 Цели

Система УК может контролировать изменения только тех элементов, которые были включены под УК (например, элементов конфигурации, идентифицированных в списке элементов конфигурации). Включение под УК представления реализации OO, свидетельств оценки, требуемых другими компонентами доверия из ЗБ, обеспечивает доверие, что они могут быть модифицированы только контролируемым способом при наличии соответствующих полномочий.

12.3.4.2 Элементы действий разработчика

12.3.4.2.1 ACM_SCP.1.1D

Разработчик должен представить список элементов конфигурации для OO.

12.3.4.3 Элементы содержания и представления свидетельств

12.3.4.3.1 ACM_SCP.1.1С

Список элементов конфигурации должен включать в себя: представление реализации и свидетельства оценки, требуемые компонентами доверия из ЗБ.

12.3.4.4 Элементы действий оценщика

12.3.4.4.1 ACM_SCP.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

12.3.5 ACM_SCP.2 Охват УК отслеживания проблем

Зависимости: АСМ_САР.3 Средства контроля авторизации

12.3.5.1 Цели

Система УК может контролировать изменения только тех элементов, которые включены под УК (то есть элементов конфигурации, идентифицированных в списке элементов конфигурации). Включение под УК представления реализации ОО и свидетельств оценки, требуемых другими компонентами доверия из ЗБ, обеспечивает доверие к тому, что они могут быть модифицированы только контролируемым способом при наличии соответствующих полномочий.

Включение недостатков безопасности под УК не позволяет утратить или игнорировать сообщения о недостатках безопасности, позволяя разработчику контролировать недостатки безопасности вплоть до их устранения.