Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     8.3 "Введение ПЗ" (APE_INT)

8.3.1 Подвид деятельности по оценке (APE_INT.1)

8.3.1.1 Цели

Цель этого подвида деятельности - сделать заключение о том, что ПЗ правильно идентифицирован и что "Ссылка на ПЗ" и "Аннотация ОО" не противоречат друг другу.

8.3.1.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ПЗ.

8.3.1.3 Действие APE_INT.1.1E

ИСО/МЭК 15408-3 APE_INT.1.1С: "Введение ПЗ" должно содержать "Ссылку на ПЗ" и "Аннотацию ОО".

8.3.1.3.1 Шаг оценивания APE_INT.1-1

Оценщик должен проверить, представлены ли в разделе "Введение ПЗ" "Ссылка на ПЗ" и "Аннотация ОО".

ИСО/МЭК 15408-3 APE_INT.1.2С: "Ссылка на ПЗ" должна уникально идентифицировать ПЗ.

8.3.1.3.2 Шаг оценивания APE_INT.1-2

Оценщик должен исследовать "Ссылку на ПЗ" в целях определения того, что она уникально идентифицирует ПЗ.

Оценщик выносит заключение о том, что "Ссылка на ПЗ" идентифицирует ПЗ так, чтобы его можно было легко отличить от другого ПЗ, и что она уникально идентифицирует каждую версию ПЗ, например благодаря включению номера версии и/или даты публикации.

Рекомендуется наличие в ПЗ некоторой системы ссылок с поддержкой уникальных ссылок (например, с использованием номеров, букв или даты публикации для обозначения ссылки на конкретную версию).

ИСО/МЭК 15408-3 APE_INT.1.3С: В "Аннотации ОО" должна быть предоставлена краткая информация об использовании и основных функциональных возможностях безопасности ОО.

8.3.1.3.3 Шаг оценивания APE_INT.1-3

Оценщик должен исследовать "Аннотацию ОО", чтобы сделать заключение о том, что она описывает использование и основные характеристики безопасности ОО.

В "Аннотации ОО" следует приводить краткое (несколько параграфов) описание использования ОО и основные характеристики безопасности, ожидаемые от ОО. Рекомендуется, чтобы "Аннотация ОО" предоставляла потенциальным пользователям и разработчикам ОО возможность быстро сделать заключение, представляет ли для них интерес данный ПЗ.

Оценщик делает заключение о том, является ли "Аннотация ОО" достаточно ясной для разработчиков и пользователей ОО и достаточной для получения ими общего понимания назначения ОО и его основных характеристик безопасности.

ИСО/МЭК 15408-3 APE_INT.1.4C: В "Аннотации ОО" должен быть идентифицирован тип ОО.

8.3.1.3.4 Шаг оценивания APE_INT.1-4

Оценщик должен проверить, идентифицирован ли в "Аннотации ОО" тип ОО.

ИСО/МЭК 15408-3 APE_INT.1.5C: В "Аннотации ОО" должны быть идентифицированы любые не входящие в ОО аппаратные, программные, а также программно-аппаратные средства, доступные для ОО.

8.3.1.3.5 Шаг оценивания APE_INT.1-5

Оценщик должен исследовать "Аннотацию ОО", чтобы сделать заключение о том, что в ней идентифицированы любые не входящие в ОО аппаратные, программные, а также программно-аппаратные средства, доступные для ОО.

В то время как некоторые ОО являются автономными, другим ОО (особенно если ОО является программным средством) для работы необходимы дополнительные аппаратные, программные или программно-аппаратные средства. В этом подразделе ПЗ автор ПЗ перечисляет все доступные аппаратные, программные или программно-аппаратные средства, которые могут быть запущены на ОО.

Рекомендуется, чтобы это перечисление было достаточно подробным для того, чтобы потенциальные пользователи и разработчики ОО могли определить, может ли их ОО функционировать с перечисленными аппаратными, программными или программно-аппаратными средствами.