Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     10.4.1 Оценка возможностей УК (АСМ_САР.1)

10.4.1.1 Цели

Цель данного подвида деятельности - сделать заключение, четко ли разработчик идентифицировал ОО.

10.4.1.2 Исходные данные

Свидетельства оценки для этого подвида деятельности:

а) ЗБ;

Ь) ОО, пригодный для тестирования;

10.4.1.3 Действие АСМ_САР.1.1Е

10.4.1.3.1 Шаг оценивания 1:АСМ_САР.1-1

ИСО/МЭК 15408-3 АСМ_САР.1.1С: Маркировка ОО должна быть уникальна для каждой версии ОО.

Оценщик должен проверить, что версия ОО, представленная для оценки, уникально маркирована.

В этом компоненте доверия отсутствуют какие-либо другие требования к разработчику по использованию системы УК, кроме требования уникальной маркировки. В результате оценщик способен верифицировать уникальность версии ОО только путем проверки, что другие доступные для приобретения версии ОО не маркированы так же. При оценке, когда система УК представлена сверх требований ИСО/МЭК 15408, оценщик мог бы подтвердить уникальность маркировки путем проверки списка конфигурации. Свидетельство уникальной маркировки версии ОО, представленной для оценки, может оказаться неполным, если во время оценки была исследована только одна версия; поэтому оценщику необходимо выяснить систему маркирования, которая способна поддерживать уникальные маркировки (например, используя цифры, буквы или даты). Тем не менее, отсутствие какой-либо маркировки обычно будет приводить к отрицательному заключению по этому требованию, пока оценщик не будет уверен в возможности уникальной идентификации ОО.

Оценщику следует стремиться исследовать несколько версий ОО (например, полученных в ходе доработки после обнаружения уязвимости) для проверки того, что любые две версии маркированы по-разному.

10.4.1.3.2 Шаг оценивания 1:АСМ_САР.1-2

ИСО/МЭК 15408-3 АСМ_САР.1.2С: ОО должен быть помечен маркировкой.

Оценщик должен проверить, что ОО, представленный для оценки, имеет собственную маркировку.

Оценщику следует удостовериться, что ОО содержит уникальную маркировку, позволяющую различать разные версии ОО. Этого можно достичь, используя помеченную упаковку или носители, или же метку, отображаемую ОО при функционировании, что обеспечивает потребителю возможность идентификации ОО (например, в месте приобретения или использования).

ОО может предоставить способ, посредством которого он может быть легко идентифицирован. Например, программный ОО может отображать свое наименование и номер версии при запуске программы или в ответ на запрос через командную строку. Аппаратный или программно-аппаратный ОО может быть идентифицирован путем физического нанесения на нем соответствующего номера.

10.4.1.3.3 Шаг оценивания 1:АСМ_САР.1-3

Оценщик должен проверить непротиворечивость используемой маркировки ОО.

Если ОО помечен несколько раз, то необходима согласованность меток. Например, следует предусмотреть возможность связать любое помеченное руководство, поставляемое в составе ОО, с оцененным функционирующим ОО. Таким образом обеспечивается уверенность потребителя в том, что он приобрел оцененную версию ОО, установил эту же версию и располагает надлежащей версией руководства, необходимой для эксплуатации данного ОО в соответствии с его ЗБ.

Оценщик также верифицирует, что маркировка ОО согласована с ЗБ.

Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).