Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     10.5.1 Оценка установки, генерации и запуска (ADO_IGS.1)

10.5.1.1 Цели

Цель данного подвида деятельности - сделать заключение, были ли задокументированы процедуры и шаги для безопасной установки, генерации и запуска ОО и приводят ли они к безопасной конфигурации.

10.5.1.2 Исходные данные

Свидетельства оценки для этого подвида деятельности:

a) руководство администратора;

b) процедуры безопасной установки, генерации и запуска;

c) ОО, пригодный для тестирования.

10.5.1.3 Замечания по применению

К рассматриваемым процедурам установки, генерации и запуска относятся все процедуры установки, генерации и запуска, которые необходимы для получения безопасной конфигурации ОО, описанной в ЗБ, независимо от того, выполняются ли они на объекте использования или на объекте разработки.

10.5.1.4 Действие ADO_IGS.1.1E

10.5.1.4.1 Шаг оценивания 1:ADO_IGS.1-1

ИСО/МЭК 15408-3 ADO_IGS.1.1C: Документация установки, генерации и запуска должна содержать описание последовательности всех действий, необходимых для безопасной установки, генерации и запуска ОО.

Оценщик должен проверить, чтобы были предоставлены процедуры, необходимые для безопасной установки, генерации и запуска ОО.

Если не ожидается, что процедуры установки, генерации и запуска будут или могут быть повторно применены (например, если ОО поставлен в рабочем состоянии), то данный шаг оценивания (или отдельные его части) не применяют и поэтому считают удовлетворенным.

10.5.1.5 Действие ADO_IGS.1.2Е

10.5.1.5.1 Шаг оценивания 1:ADO_IGS.1-2

Оценщик должен исследовать предоставленные процедуры установки, генерации и запуска, чтобы сделать заключение, что они описывают шаги, необходимые для безопасной установки, генерации и запуска ОО.

Если не ожидается, что процедуры установки, генерации и запуска будут или могут быть повторно применены (например, если ОО поставлен в рабочем состоянии), то данный шаг оценивания (или отдельные его части) не применяют и поэтому считают удовлетворенным.

Процедуры установки, генерации и запуска могут предоставлять подробную информацию относительно следующего:

a) изменения задаваемых при инсталляции характеристик безопасности сущностей, находящихся под управлением ФБО;

b) обработки исключительных ситуаций и проблем;

c) минимально необходимых системных требований, если они имеются, для безопасной установки ОО.

С целью подтвердить, что процедуры установки, генерации и запуска приводят к безопасной конфигурации, оценщик может следовать процедурам разработчика или же выполнить те действия, которые, предположительно, выполнит потребитель для установки, генерации и запуска ОО (если они применимы для данного ОО), используя только поставленные руководства. Этот шаг оценивания может быть выполнен совместно с шагом оценивания ATE_IND.1-2.