ACM_CAP.3.1C Маркировка ОО должна быть уникальна для каждой версии ОО.
ACM_CAP.3.2C ОО должен быть помечен маркировкой.
ACM_CAP.3.3C Документация УК должна включать в себя список конфигурации и план УК.
ACM_CAP.3.4C Список конфигурации должен содержать описание элементов конфигурации, входящих в ОО.
ACM_CAP.3.5C Документация УК должна содержать описание метода, используемого для уникальной идентификации элементов конфигурации.
ACM_CAP.3.6C Система УК должна уникально идентифицировать все элементы конфигурации.
ACM_CAP.3.7С План УК должен содержать описание, как используется система УК.
ACM_CAP.3.8С Свидетельство должно демонстрировать, что система УК действует в соответствии с планом УК.
ACM_CAP.3.9С Документация УК должна содержать свидетельство, что система УК действительно сопровождала и продолжает эффективно сопровождать все элементы конфигурации.
ACM_CAP.3.10С Система УК должна предусмотреть такие меры, при которых в элементах конфигурации могут быть сделаны только санкционированные изменения.
Элементы действий оценщика
ACM_CAP.3.1Е Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
ACM_CAP.4 Поддержка генерации, процедуры приемки
Цели
Требуется уникальная маркировка для обеспечения однозначности в определении оцениваемого экземпляра ОО. Обозначение ОО соответствующей маркировкой дает пользователям ОО возможность знать, какой экземпляр ОО они используют.
Уникальная идентификация элементов конфигурации ведет к лучшему пониманию состава ОО, что, в свою очередь, способствует определению тех элементов, на которые направлены требования оценки для ОО.
Поддержанию целостности ОО способствуют применение средств контроля, предупреждающих выполнение несанкционированных модификаций ОО, а также обеспечение надлежащих функциональных возможностей и использование системы УК.
Предназначение процедур приемки – подтвердить, что любое создание или модификация элементов конфигурации санкционировано.
Зависимости
ACM_SCP.1 Охват УК объекта оценки
ALC_DVS.1 Идентификация мер безопасности
Элементы действий разработчика
ACM_CAP.4.1D Разработчик должен предоставить маркировку для ОО.
ACM_CAP.4.2D Разработчик должен использовать систему УК.
ACM_CAP.4.3D Разработчик должен представить документацию УК.
Элементы содержания и представления свидетельств
ACM_CAP.4.1C Маркировка ОО должна быть уникальна для каждой версии ОО.
ACM_CAP.4.2C ОО должен быть помечен маркировкой.
ACM_CAP.4.3C Документация УК должна включать в себя список конфигурации, план УК и план приемки.
ACM_CAP.4.4C Список конфигурации должен содержать описание элементов конфигурации, входящих в ОО.
ACM_CAP.4.5C Документация УК должна содержать описание метода, используемого для уникальной идентификации элементов конфигурации.
ACM_CAP.4.6C Система УК должна уникально идентифицировать все элементы конфигурации.
ACM_CAP.4.7С План УК должен содержать описание, как используется система УК.
ACM_CAP.4.8С Свидетельство должно демонстрировать, что система УК действует в соответствии с планом УК.
ACM_CAP.4.9С Документация УК должна содержать свидетельство, что система УК действительно сопровождала и продолжает эффективно сопровождать все элементы конфигурации.
ACM_CAP.4.10С Система УК должна предусмотреть такие меры, при которых в элементах конфигурации могут быть сделаны только санкционированные изменения.
ACM_CAP.4.11C Система УК должна поддерживать генерацию ОО.
ACM_CAP.4.12C План приемки должен содержать описание процедур, используемых для приемки модифицированного или вновь созданного элемента конфигурации как части ОО.
Элементы действий оценщика
ACM_CAP.4.1E Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
ACM_CAP.5 Расширенная поддержка
Цели
Требуется уникальная маркировка для обеспечения однозначности в определении оцениваемого экземпляра ОО. Обозначение ОО соответствующей маркировкой дает пользователям ОО возможность знать, какой экземпляр ОО они используют.
Уникальная идентификация элементов конфигурации ведет к лучшему пониманию состава ОО, что, в свою очередь, способствует определению тех элементов, на которые направлены требования оценки для ОО.
Поддержанию целостности ОО способствуют применение средств контроля, предупреждающих выполнение несанкционированных модификаций ОО, а также обеспечение надлежащих функциональных возможностей и использование системы УК.
Предназначение процедур приемки – подтвердить, что любое создание или модификация элементов конфигурации санкционировано.
Процедуры компоновки способствуют правильному выполнению генерации ОО из управляемого набора элементов конфигурации санкционированным способом.
Требование, чтобы система УК была способна идентифицировать оригинал материала, используемый для генерации ОО, способствует сохранению целостности этого материала путем применением приемлемых технических, физических и процедурных мер защиты.
Зависимости
ACM_SCP.1 Охват УК объекта оценки
ALC_DVS.2 Достаточность мер безопасности
Элементы действий разработчика
ACM_CAP.5.1D Разработчик должен предоставить маркировку для ОО.
ACM_CAP.5.2D Разработчик должен использовать систему УК.
ACM_CAP.5.3D Разработчик должен представить документацию УК.
Элементы содержания и представления свидетельств
ACM_CAP.5.1C Маркировка ОО должна быть уникальна для каждой версии ОО.
ACM_CAP.5.2C ОО должен быть помечен маркировкой.
ACM_CAP.5.3C Документация УК должна включать в себя список конфигурации, план УК, план приемки и процедуры компоновки.
ACM_CAP.5.4C Список конфигурации должен содержать описание элементов конфигурации, входящих в ОО.
ACM_CAP.5.5C Документация УК должна содержать описание метода, используемого для уникальной идентификации элементов конфигурации.
ACM_CAP.5.6C Система УК должна уникально идентифицировать все элементы конфигурации.
ACM_CAP.5.7С План УК должен содержать описание, как используется система УК.
ACM_CAP.5.8С Свидетельство должно демонстрировать, что система УК действует в соответствии с планом УК.
ACM_CAP.5.9С Документация УК должна содержать свидетельство, что система УК действительно сопровождала и продолжает эффективно сопровождать все элементы конфигурации.
ACM_CAP.5.10С Система УК должна предусмотреть такие меры, при которых в элементах конфигурации могут быть сделаны только санкционированные изменения.
ACM_CAP.5.11C Система УК должна поддерживать генерацию ОО.
ACM_CAP.5.12C План приемки должен содержать описание процедур, используемых для приемки модифицированного или вновь созданного элемента конфигурации как части ОО.
ACM_CAP.5.13С Процедуры компоновки должны описать, как систему УК применяют в процессе изготовления ОО.
ACM_CAP.5.14С Система УК должна содержать требование, чтобы лицо, ответственное за включение элемента конфигурации под УК, не являлось его разработчиком.
ACM_CAP.5.15С Система УК должна четко идентифицировать элементы конфигурации, которые составляют ФБО.
ACM_CAP.5.16С Система УК должна поддерживать аудит всех модификаций ОО с регистрацией, как минимум, инициатора, даты и времени модификации в журнале аудита.
ACM_CAP.5.17С Система УК должна быть способна идентифицировать оригиналы всех материалов, используемые для генерации ОО.
ACM_CAP.5.18С Документация УК должна демонстрировать, что использование системы УК совместно с мерами безопасности разработки сделает возможными только санкционированные изменения в ОО.
ACM_CAP.5.19С Документация УК должна демонстрировать, что использование процедур компоновки обеспечивает выполнение генерации ОО правильно и санкционированным способом.
ACM_CAP.5.20С Документация УК должна демонстрировать, что система УК достаточна для обеспечения того , чтобы лицо, ответственное за включение элемента конфигурации под УК, не было его разработчиком.
ACM_CAP.5.21С Документация УК должна содержать строгое обоснование, что процедуры приемки обеспечивают адекватный и удобный просмотр изменений всех элементов конфигурации.
Элементы действий оценщика
ACM_CAP.5.1Е Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
9.3Область УК (ACM_SCP)
Цели
Цель этого семейства – обеспечить, чтобы все необходимые элементы конфигурации ОО отслеживались системой УК. Это способствует обеспечению защиты целостности элементов конфигурации с использованием возможностей системы УК.
Компонентами семейства может обеспечиваться отслеживание:
а) представления реализации ОО;
б) всей необходимой документации, включая сообщения о проблемах, возникающих во время разработки и эксплуатации;
в) опций конфигурации (например, ключей компилятора);
г) инструментальных средств разработки.
Ранжирование компонентов
Компоненты семейства ранжированы на основе того, что из перечисленного ниже отслеживается системой УК: представление реализации ОО, проектная документация, тестовая документация, документация пользователя, документация администратора, документация УК, недостатки безопасности, инструментальные средства разработки.
Замечания по применению
ACM_SCP.1.1C содержит требование, чтобы системой УК отслеживалось представление реализации ОО. Представление реализации ОО включает в себя все аппаратные, программные и программно-аппаратные средства, которые составляют ОО по существу. В случае, когда ОО состоит только из программных средств, представление реализации может состоять исключительно из исходного и объектного кода.
ACM_SCP.1.1C содержит также требование, чтобы системой УК отслеживалась документация УК. Документация включает в себя план УК, а также информацию относительно актуальных версий любых инструментальных средств, которые входят в состав системы УК.
ACM_SCP.2.1C содержит требование, чтобы системой УК отслеживались недостатки безопасности, т.е. сопровождалась информация об имевших место недостатках безопасности и их устранении, а также сведения о существующих недостатках безопасности.
ACM_SCP.3.1С содержит требование, чтобы системой УК отслеживались инструментальные средства разработки и информация, относящаяся к ним. Примеры инструментальных средств разработки – языки программирования и компиляторы. Информация, имеющая отношение к элементам генерации ОО (типа опций компилятора, опций инсталляции/генерации и опций компоновки) – пример информации, относящейся к инструментальным средствам разработки.
ACM_SCP.1 Охват УК объекта оценки
Цели
Система УК может контролировать изменения только тех элементов, которые были включены под УК. Включение под УК представления реализации ОО, проектной и тестовой документации, документации администратора и пользователя и документации УК обеспечивает доверие, что они могут быть модифицированы только под контролем в соответствии с полномочиями.
Зависимости
ACM_CAP.3 Средства контроля авторизации
Элементы действий разработчика
ACM_SCP.1.1D Разработчик должен представить документацию УК.
Элементы содержания и представления свидетельств
ACM_SCP.1.1C Документация УК должна показать, что система УК, как минимум, отслеживает: представление реализации ОО, проектную документацию, тестовую документацию, документацию пользователя, документацию администратора и документацию УК.
ACM_SCP.1.2C Документация УК должна содержать описание, как элементы конфигурации отслеживаются системой УК.
Элементы действий оценщика
ACM_SCP.1.1E Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
ACM_SCP.2 Охват УК отслеживания проблем
Цели
Система УК может контролировать изменения только тех элементов, которые были включены под УК. Включение под УК представления реализации ОО, проектной и тестовой документации, документации администратора и пользователя и документации УК обеспечивает доверие, что они могут быть модифицированы только под контролем в соответствии с полномочиями.
Отслеживание недостатков безопасности под УК не позволяет утратить или игнорировать сообщения о недостатках безопасности, давая возможность разработчику контролировать недостатки безопасности вплоть до их устранения.
Зависимости
ACM_CAP.3 Средства контроля авторизации
Элементы действий разработчика
ACM_SCP.2.1D Разработчик должен представить документацию УК.
Элементы содержания и представления свидетельств
ACM_SCP.2.1C Документация УК должна показать, что система УК, как минимум, отслеживает: представление реализации ОО, проектную документацию, тестовую документацию, документацию пользователя, документацию администратора, документацию УК и недостатки безопасности.
ACM_SCP.2.2C Документация УК должна содержать описание, как элементы конфигурации отслеживаются системой УК.
Элементы действий оценщика
ACM_SCP.2.1E Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
ACM_SCP.3 Охват УК инструментальных средств разработки
Цели
Система УК может контролировать изменения только тех элементов, которые были включены под УК. Включение под УК представления реализации ОО, проектной и тестовой документации, документации администратора и пользователя и документации УК обеспечивает доверие к тому, что они могут быть модифицированы только под контролем в соответствии с полномочиями.
Отслеживание недостатков безопасности под УК не позволяет утратить или игнорировать сообщения о недостатках безопасности, давая возможность разработчику контролировать недостатки безопасности вплоть до их устранения.
Инструментальные средства разработки играют важную роль в обеспечении изготовления качественной версии ОО. Следовательно, важно контролировать модификацию этих средств.
Зависимости
ACM_CAP.3 Средства контроля авторизации
Элементы действий разработчика
ACM_SCP.3.1D Разработчик должен представить документацию УК.
Элементы содержания и представления свидетельств
ACM_SCP.3.1С Документация УК должна показать, что система УК, как минимум, отслеживает: представление реализации ОО, проектную документацию, тестовую документацию, документацию пользователя, документацию администратора, документацию УК, недостатки безопасности и инструментальные средства разработки и связанную с ними информацию.
ACM_SCP.3.2С Документация УК должна содержать описание, как элементы конфигурации отслеживаются системой УК.
Элементы действий оценщика
ACM_SCP.3.1Е Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
10Класс ADO. Поставка и эксплуатация
Класс "Поставка и эксплуатация" содержит требования правильной поставки, установки, генерации и запуска ОО.
На рисунке 9.1 показаны семейства этого класса и иерархия компонентов в семействах.
Класс ADO. Поставка и эксплуатация
|
|
|
|
|
ADO_DEL Поставка
|
|
1
|
|
2
|
|
3
|
|
|
|
|
|
|
ADO_IGS Установка, генерация и запуск
|
|
1
|
|
2
|
|
|
|
|
|
|
