ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     12.7 Определение жизненного цикла (ALC_LCD)

12.7.1 Подвид деятельности по оценке (ALC_LCD.1)

12.7.1.1 Цели

Цель данного подвида деятельности - сделать заключение, использовал ли разработчик задокументированную модель жизненного цикла ОО.

12.7.1.2 Исходные данные

Свидетельствами оценки для этого подвида деятельности являются:

a) ЗБ;

b) документация определения жизненного цикла.

12.7.1.3 Действие ALC_LCD.1.1E

ИСО/МЭК 15408-3 ALC_LCD.1.1C: Документация по определению жизненного цикла должна содержать описание модели, применяемой при разработке и сопровождении ОО.

12.7.1.3.1 Шаг оценивания ALC_LCD.1-1

Оценщик должен исследовать документированное описание используемой модели жизненного цикла, чтобы сделать заключение, распространяется ли она на процессы разработки и сопровождения ОО.

В описание модели жизненного цикла следует включать:

a) информацию о фазах жизненного цикла ОО и границах между последовательными фазами;

b) информацию о процедурах, инструментальных средствах и методах, используемых разработчиком (например, при проектировании, кодировании, тестировании, исправлении ошибок);

c) информацию об общей структуре управления применением процедур (например, идентификацию и описание персональной ответственности за каждую из процедур, требуемых в процессе разработки и сопровождения ОО согласно модели жизненного цикла);

d) информацию о том, какие части ОО поставляются субподрядчиками, если субподрядчики вовлечены в процесс разработки и сопровождения.

Оценка подвида деятельности ALC_LCD.1 не содержит утверждение о соответствии используемой модели какой-либо стандартизованной модели жизненного цикла.

ИСО/МЭК 15408-3 ALC_LCD.1.2C: Модель жизненного цикла должна обеспечить необходимый контроль за разработкой и сопровождением ОО.

12.7.1.3.2 Шаг оценивания ALC_LCD.1-2

Оценщик должен исследовать модель жизненного цикла, чтобы сделать заключение, будет ли использование процедур, инструментальных средств и методов, описанных в модели жизненного цикла, оказывать необходимое положительное влияние на разработку и сопровождение ОО.

Информация, представленная в модели жизненного цикла, дает оценщику определенную уверенность в том, что принятые процедуры разработки и сопровождения минимизируют вероятность недостатков безопасности. Например, если в модели жизненного цикла содержится описание процесса проверки, но не предусмотрено протоколирование внесения изменений в компоненты, то оценщик будет менее уверен, что в ОО не будут внесены ошибки. Оценщик может достичь большей уверенности, сравнивая описание модели со своим пониманием процесса разработки, полученным при выполнении других своих действий, относящихся к анализу процесса разработки ОО (например, тех действий, на которые распространяется деятельность по оценке "Возможности УК" ALC_CMC). Выявленным недостаткам в модели жизненного цикла следует уделить особое внимание, если можно ожидать, что они приведут к случайному или преднамеренному внесению ошибок в ОО.

ИСО/МЭК 15408 не предписывает какого-либо конкретного подхода к разработке; следует оценивать каждый подход по существу. Например, такие подходы к проектированию, как спиральный, быстрого макетирования или каскадный, могут быть использованы для создания качественного ОО, если они применяются в контролируемой среде.

12.7.2 Подвид деятельности по оценке (ALC_LCD.2)

12.7.2.1 Цели

Цель данного подвида деятельности - сделать заключение, использовал ли разработчик задокументированную и измеримую модель жизненного цикла ОО.

12.7.2.2 Исходные данные

Свидетельствами оценки для этого подвида деятельности являются:

a) ЗБ;