ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     11.8.1 Замечания по применению

Оценщик анализирует тесты разработчика, чтобы определить степень их достаточности для демонстрации того, что функции безопасности выполняются в соответствии со спецификацией и чтобы понять подход разработчика к тестированию. Оценщик также выполняет некоторое подмножество документированных тестов разработчика, чтобы получить уверенность в результатах тестов разработчика. Оценщик использует результаты этого анализа в качестве исходных данных для независимого тестирования подмножества ФБО. По отношению к данному подмножеству тесты оценщика реализуют подход к тестированию, отличный от подхода, реализуемого тестами разработчика, в особенности, если тесты разработчика имеют недостатки.

Другие факторы, влияющие на объем и состав подмножества тестов оценщика, должны быть рассмотрены в подвиде деятельности, связанном с независимым тестированием (ATE_IND.2 "Выборочное независимое тестирование"). Один из таких факторов, оказывающих влияние на состав подмножества тестов, - это известные из общедоступных источников слабые места, к информации о которых оценщику необходимо получить доступ (например, в рамках системы оценки).

Для определения адекватности тестовой документации разработчика или разработки новых тестов оценщик должен понять ожидаемый режим выполнения функций безопасности применительно к требованиям, которым они должны удовлетворять. Оценщик может предпочесть анализировать функции безопасности ФБО поочередно, рассматривая конкретное требование ЗБ, а также - соответствующие части функциональной спецификации и документации руководств для понимания ожидаемого режима функционирования OO.