Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     12.2 Возможности УК (ALC_CMC)

12.2.1 Подвид деятельности по оценке (ALC_CMC.1)
     

    12.2.1.1 Цели

Цель данного подвида деятельности - сделать заключение, четко ли разработчик идентифицировал ОО.

12.2.1.2 Исходные данные

Свидетельства оценки для этого подвида деятельности:

a) ЗБ;

b) ОО, пригодный для тестирования.

12.2.1.3 Действие ALC_CMC.1.1Е

ИСО/МЭК 15408-3 ALC_CMC1.1С: ОО должен быть помечен уникальной маркировкой.

12.2.1.3.1 Шаг оценивания ALC_CMC.1-1

Оценщик должен проверить, что ОО, представленный для оценки, имеет собственную маркировку.

Оценщику следует удостовериться, что ОО содержит уникальную маркировку, изложенную в ЗБ. Этого можно достичь, используя маркированную упаковку или носители, или же маркировку, отображаемую ОО при функционировании. Это предоставляет потребителю возможность идентификации ОО (например, при приобретении или использовании).

ОО может предоставить способ, посредством которого он может быть легко идентифицирован. Например, ОО, являющийся программным продуктом, может отображать свое название и номер версии при запуске программы или в ответ на запрос через командную строку. Аппаратный или программно-аппаратный ОО может быть идентифицирован путем нанесения на нем соответствующего номера штампом.

Возможен и альтернативный вариант, когда уникальная маркировка ОО представляет собой комбинацию уникальных маркировок каждого компонента, из которых состоит ОО (например, в случае составного ОО).

12.2.1.3.2 Шаг оценивания ALC_CMC.1-2

Оценщик должен проверить непротиворечивость используемой маркировки ОО.

Если ОО маркирован несколько раз, то необходима согласованность маркировок. Например, следует предусмотреть возможность связать любое маркированное руководство, поставляемое в составе ОО, с оцененным функционирующим ОО. Этим обеспечивается уверенность потребителя в том, что он приобрел оцененную версию ОО, установил эту же версию и располагает надлежащей редакцией руководства, необходимой для эксплуатации данного ОО в соответствии с его ЗБ.

Оценщик также верифицирует, что маркировка ОО согласуется с ЗБ.

Если этот шаг оценивания будет применяться к составному ОО, то применимо следующее. Составной ОО ИТ не будет маркирован уникальной (составной) маркировкой, только отдельные компоненты будут соответственно маркированы. Для этого требуется маркировать дальнейшую разработку ОО ИТ, например во время запуска и/или функционирования составной маркировкой. Если составной ОО будет поставляться как часть целого, состоящего из ОО-компонентов, то ОО-компоненты не будут маркированы составной маркировкой. Однако в ЗБ составного ОО будет включена уникальная маркировка составного ОО, а также будут идентифицированы компоненты, включенные в составной ОО, благодаря чему потребители будут в состоянии сделать заключение о том, имеются ли у них соответствующие компоненты.

12.2.2 Подвид деятельности по оценке (ALC_CMC.2)

12.2.2.1 Цели

Цели этого подвида деятельности состоят в том, чтобы сделать заключение о том, использует ли разработчик систему УК, которая уникально идентифицирует все элементы конфигурации.

12.2.2.2 Исходные данные

Свидетельства оценки для этого подвида деятельности:

a) ЗБ;

b) ОО, пригодный для тестирования;

c) документация по управлению конфигурацией.

12.2.2.3 Замечания по применению