Законодательная база Российской Федерации

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

Управление конфигурацией (УК) - один из способов установить, что в созданном ОО реализованы функциональные требования и спецификации. УК отвечает этим целям, предъявляя требования дисциплины и контроля в процессе уточнения и модификации ОО и связанной с ним информации. Системы УК используют для обеспечения целостности частей ОО, которые они контролируют, предоставляя метод отслеживания любых изменений, и для того, чтобы все изменения были санкционированы.

Декомпозиция класса АСМ "Управление конфигурацией" на составляющие его семейства и иерархия компонентов этих семейств показаны на рисунке 8.

12.1.1 Цели

Цель привлечения инструментальных средств автоматизации УК - повышение эффективности системы УК. Несмотря на то. что как автоматизированные, так и ручные системы УК могут быть обойдены, проигнорированы или оказаться недостаточными для предотвращения несанкционированной модификации. автоматизированные системы менее восприимчивы к человеческому фактору - ошибке или небрежности.

12.1.2 Ранжирование компонентов

Компоненты в этом семействе ранжированы на основе набора элементов конфигурации, которые управляются с применением автоматизированных средств.

12.1.3 Замечания по применению

ACM_AUT.1.1С содержит требование, которое связано с представлением реализации ОО. Представление реализации ОО включает в себя все аппаратные, программные и программно-аппаратные средства, которые фактически составляют ОО. В случае, когда ОО состоит только из программных средств, представление реализации может состоять исключительно из исходного и объектного кода.

ACM_AUT.1.2C содержит требование, чтобы система УК предоставила автоматизированные средства для поддержки генерации ОО. При этом требуется, чтобы система УК предоставила автоматизированные средства, содействующие принятию заключения, что при генерации ОО использованы правильные элементы конфигурации.

ACM_AUT.2.5C содержит требование, чтобы система УК предоставила автоматизированные средства, позволяющие установить различия между ОО и его предыдущей версией. Если предыдущей версии ОО не существует, разработчик все равно нуждается в предоставлении автоматизированных средств, чтобы установить различия между ОО и последующей версией ОО.

12.1.4 АСM_АUT.1 Частичная автоматизация УК

Зависимости: АСМ_САР.З Средства контроля авторизации

12.1 4.1 Цели

В тех средах разработки, где представление реализации является сложным или создается - многими разработчиками, трудно контролировать изменения без использования автоматизированных инструментальных средств. В частности, от этих автоматизированных инструментальных: средств требуется способность поддерживать многочисленные изменения, которые возникают в процессе разработки, и обеспечить санкционированность этим изменений. Целью данного компонента является обеспечение контроля представления реализации с использованием автоматизированные средств.

12.1.4.2 Элементы действий разработчика

12.1.4.2.1 ACM_AUT.1.1D

Разработчик должен использовать систему УК.

12.1.4.2.2 ACM_AUT.1.2D

Разработчик должен представить план УК.

12.1.4.3 Элементы содержания и представления свидетельств

12.1.4.3.1 ACM_AUT.1.1С

Система УК должна предоставить автоматизированные средства, с использованием которых в представлении реализации ОО проводятся только санкционированные изменения.

12.1.4.3.2 ACM_AUT.1.2C

Система УК должна предоставить автоматизированные средства для поддержки генерации ОО.

12.1.4.3.3 ACM_AUT.1.3C

План УК должен содержать описание автоматизированных инструментальных средств, используемых в системе УК.

12.1.4.3.4 ACM_AUT.1.4C

План УК должен содержать описание, как автоматизированные инструментальные средства используются в системе УК.

12.1.4.4 Элементы действий оценщика

12.1.4.4.1 ACM_AUT.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

12.1.5 ACM_AUT.2 Полная автоматизация УК

Зависимости: АСМ_САР.3 Средства контроля авторизации

12.1.5.1 Цели

В тех средах разработки, где элементы конфигурации являются сложными или создаются многими разработчиками, трудно контролировать изменения без использования автоматизированный инструментальных средств. В частности, требуется, чтобы эти автоматизированные инструментальные средства были способны поддерживать многочисленные изменения, которые возникают в процессе разработки, и обеспечить санкционированность этих изменений. Целью данного компонента является обеспечение контроля всех элементов конфигурации с использованием автоматизированных средств.

Применение автоматизированных средств для выявления различий между версиями ОО и определение, на какие элементы конфигурации воздействует модификация других элементов конфигурации, содействуют определений воздействия изменений на последовательные версии ОО. Последнее, в свою очередь, может предоставить ценную информацию, позволяющую определить, реализованы ли изменения ОО во всех элементах конфигурации, требующих согласования между собой.

12.1.5.2 Элементы действий разработчика

12.1.5.2.1 ACM_AUT.2.1D

Разработчик должен использовать систему УК.

12.1.5.2.2 ACM_AUT.2.2D

Разработчик должен представить план УК.

12.1.5.3 Элементы содержания и представления свидетельств

12.1.5.3.1 ACM_AUT.2.1С

Система УК должна предоставить автоматизированные средства, с использованием которых в представлении реализации ОО и во всех остальных элементах конфигурации производятся только санкционированные изменения.

12.1.5.3.2 ACM_AUT.2.2C

Система УК должна предоставить автоматизированные средства для поддержки генерации ОО.

12.1.5.3.3 ACM_AUT.2.3C

План УК должен содержать описание автоматизированных инструментальных средств, используемых в системе УК.

12.1.5.3.4 ACM_AUT.2.4C

План УК должен содержать описание, как автоматизированные инструментальные средства используются в системе УК.

12.1.5.3.5 ACM_AUT.2.5C

Система УК должна предоставить автоматизированные средства для выявления различий между ОО и его предшествующей версией.

12.1.5.3.6 ACM_AUT.2.6C

Система УК должна предоставить автоматизированные средства для определения всех других элементов конфигурации, на которые воздействует модификация данного элемента конфигурации.

12.1.5.4 Элементы действий оценщика

12.1.5.4.1 ACM_AUT.2.1Е

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

12.2.1 Цели

Возможности системы УК связаны с вероятностью того, что могут произойти случайные или несанкционированные модификации элементов конфигурации. Необходимо, чтобы система УК обеспечивала целостность ОО. начиная с ранних этапов проектирования и на протяжении всей последующей деятельности по сопровождению.

Цепи этого семейства состоят в:

а) обеспечении корректности и полноты ОО к моменту представления его потребителю;

b) обеспечении того, чтобы никакие элементы конфигурации не были пропущены в процессе оценки;

c) предотвращении несанкционированной модификации, добавления или удаления элементов конфигурации ОО.

В случае, если ОО является подмножеством некоторого продукта, требования класса АСМ применяют только к элементам конфигурации ОО, а не к продукту в целом. Хотя желательно, чтобы управление конфигурацией применялось уже на ранних стадиях проектирования и продолжалось в дальнейшем, класс АСМ содержит только требования, чтобы управление конфигурацией имелось и использовалось к моменту окончания оценки.

12.2.2 Ранжирование компонентов

Компоненты в этом семействе ранжированы на основе возможностей системы УК, объема документации УК. представленной разработчиком, и того, представлено ли разработчиком логическое обоснование соответствия системы УК требованиям безопасности.

12.2.3 Замечания по применению

АСМ_САР.2 "Элементы конфигурации" содержит отдельные требования, которые относятся к элементам конфигурации. Семейство ACM _SCP содержит требования по составу элементов конфигурации, отслеживаемых системой УК.

АСМ_САР.2.3С содержит требование, чтобы был представлен список конфигурации. Список конфигурации содержит все элементы конфигурации, которые сопровождаются системой УК.

АСМ_САР.2.7С содержит требование, чтобы система УК уникально идентифицировала все элементы конфигурации. Также требуется, чтобы модификация элемента конфигурации приводила к назначению нового уникального идентификатора.

АСМ_САР.З.9С содержит требование, чтобы свидетельство демонстрировало функционирование системы УК в соответствии с планом УК. Примерами такого свидетельства являются как документация типа образов экрана или журнала аудита для систем и УК, так и подробная демонстрация системы УК разработчиком. Оценщик является ответственным за заключение, что это свидетельство является достаточным для демонстрации того, что система УK функционирует е соответствии с планом УК.

АСМ_САР.3.10С содержит требование представления свидетельства, показывающего, что все элементы конфигурации поддерживаются системой УК. Так как элементом конфигурации считается элемент, включенный в список конфигурации, данное требование устанавливает, что все элементы списка конфигурации поддерживаются системой УК.

АСМ_САР.4.12С содержит требование, чтобы система УК поддерживала генерацию ОО. Для этого требуется, чтобы система УК предоставила информационные и/или электронные средства, содействующие принятию заключения, что при генерации ОО использованы правильные элементы конфигурации.

В семейства АСМ_САР "Возможности УК" определяются требования УК, предъявляемые ко всем элементам, идентифицированным в списке элементов конфигурации. Кроме самого ОО, АСМ_САР "Возможности УК" оставляет содержание списка элементов конфигурации на усмотрение разработчика (семейство АСМ_С АР "Возможности УК" может использоваться для идентификации конкретных элементов, которые должны быть включены в список элементов конфигурации и. следовательно, охвачены УК).

12.2.4 АСМ_СДР.1 Номера версий

Зависимости: нет зависимостей.

12.2.4.1 Цели

Требуется уникальная маркировка для обеспечения однозначности в определении оцениваемого экземпляра ОО. Обозначение ОО соответствующей маркировкой дает пользователям ОО возможность знать о том, какой экземпляр ОО они используют.

12.2.4.2 Элементы действий разработчика

12.2.42.1 ACM_CAP.1.1D

Разработчик должен предоставить маркировку для ОО.

12.2.4.3 Элементы содержания и представления свидетельств

Маркировка ОО должна быть уникальна для каждой версии ОО.

12.2.4.3.2 АСМ_САР.1.2С

ОО должен быть помечен маркировкой.

12.2.4.4 Элементы действий оценщика

12.2.4.4.1 АСМ_САР.1.1Е

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

12.2.5 АСМ_САР.2 Элементы конфигурации

Зависимости: нет зависимостей.

12.2.5.1 Цели

Требуется уникальная маркировка для обеспечения однозначности в определении оцениваемого экземпляра ОО. Обозначение ОО соответствующей маркировкой дает пользователям ОО возможность знать о том, какой экземпляр ОО они используют.

Уникальная идентификация элементов конфигурации ведет к лучшему пониманию состава ОО, что, в свою очередь, способствует определению элементов, на которые направлены требования оценки для ОО.

12.2.5.2 Элементы действий разработчика

12.2.5.2.1 АСМ_САР.2.1D

Разработчик должен предоставить маркировку для ОО.

12.2.5.2.2 ACM_CAP.2.2D

Разработчик должен использовать систему УК.

12.2.5.2.3 ACM_CAP.2.3D

Разработчик должен представить документацию УК.

12.2.5.3 Элементы содержания и представления свидетельств

Маркировка ОО должна быть уникальна для каждой версии ОО.

12.2.5.3.2 АСМ_САР.2.2С

ОО должен быть помечен маркировкой.

12.2.5.3.3 АСМ_САР.2.3С

Документация УК должна включать в себя список конфигурации,

12.2.5.3.4 АСМ_САР.2.4С

Список конфигурации должен уникально идентифицировать все элементы конфигурации, входящие в ОО.

12.2.5.3.5 АСМ_САР.2.5С

Список конфигурации должен содержать описание элементов конфигурации, входящий в ОО.

12.2.5.3.6 АСМ._САР.2.6С

Документация УК должна содержать описание метода, используемого для уникальной идентификации элементов конфигурации, входящих в ОО.

12.2.5.3.7 АСМ_САР.2.7С

Система УК должна уникально идентифицировать все элементы конфигурации, входящие в ОО.

12.2.5.4 Элементы действий оценщика

12.2.5.4.1 АСМ_САР.2.1Е

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

12.2.6 АСМ_САР.3 Средства контроля авторизации

Зависимости: ALC_DVS.1 Идентификация мер безопасности

12.2.6.1 Цели

Требуется уникальная маркировка для обеспечения однозначности е определении оцениваемого экземпляра ОО. Обозначение ОО соответствующей маркировкой дает пользователям ОО возможность знать о том, какой экземпляр ОО они используют.

Уникальная идентификация элементов конфигурации ведет к лучшему пониманию состава ОО, что, в свою очередь, способствует определению элементов, на которые направлены требования оценки для ОО.

Поддержанию целостности ОО способствуют применение- средств контроля, предупреждающие выполнение несанкционированные модификаций ОО, а также обеспечение надлежащих функциональные возможностей и использование системы УК.

12.2.6.2 Элементы действий разработчика

12.2.6.2.1 ACM_CAP.3.1D

Разработчик должен предоставить маркировку для ОО.

12.2.6.2.2 ACM_CAP.3.2D

Разработчик должен использовать систему УК.

12.2.6.2.3 AGM_CAP.3.3D

Разработчик должен представить документацию УК.

12.2.6.3. Элементы содержания и представления свидетельств

12.2.6.3.1 АСМ_САР.3.1С

Маркировка ОО должна быть уникальна для каждой версии ОО.

12.2.6.3.2 АСМ_САР.3.2С

ОО должен быть помечен маркировкой.

12.2.6.3.3 АСМ_САР.3.3С

Документация УК должна включать в себя список конфигурации и план УК.

12.2.6.3.4 АСМ_САР.3.4С

Список конфигурации должен уникально идентифицировать все элементы конфигурации, входящие в ОО.

12.2.6.3.5 АСМ_САР.3.5С

Список конфигурации должен содержать описание элементов конфигурации, входящих в ОО.

12.2.6.3.6 АСМ_САР.3.6С

Документация УК должна содержать описание метода, используемого для уникальной идентификации элементов конфигурации, входящих в ОО.

12.2.6.3.7 АСМ_САР.3.7С

Система УК должна уникально идентифицировать все элементы конфигурации, входящие в ОО.

12.2.6.3.8 АСМ_САР.3.8С

План УК должен содержать описание, как используется система УК,

12.2.6.3.9 АСМ_САР.3.9С

Свидетельства должно демонстрировать, что система УК действует в соответствии с планом УК.

12.2.6.3.10 АСМ_ CAP.3.10C

Документация УК должна содержать свидетельство, что система УК действительно сопровождала и продолжает эффективно сопровождать все элементы конфигурации.

12.2.6.3.11 АСМ_САР.3.11С

Система УК должна предусмотреть такие меры, при которых а элементах конфигурации могут быть сделаны только санкционированные изменения.

12.2.6.4 Элементы действий оценщика

12.2.6.4.1 АСМ_САР.3.1Е

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

12.2.7 АСМ_САР.4 Поддержка генерации, процедуры приемки

Зависимости: ALC_DVS.1 Идентификация мер безопасности

12.2.7.1 Цели

Требуется уникальная маркировка для обеспечения однозначности е определении оцениваемого экземпляра ОО. Обозначение ОО соответствующей маркировкой дает пользователям ОО возможность знать, какой экземпляр ОО они используют.

Уникальная идентификация элементов конфигурации ведет к лучшему пониманию состава ОО, что, в свою очередь, способствует определению тех элементов, на которые направлены требования оценки для ОО.

Поддержанию целостности ОО способствуют применение средств контроля, предупреждающих выполнение несанкционированных модификаций ОО, а также обеспечение надлежащих функциональных возможностей и использование системы УК.

Предназначение процедур приемки - подтвердить, что любое создание "ли модификация элементов конфигурации санкционировано.

12.2.7.2 Элементы действии разработчика

12.2.7.2.1 ACM_CAP.4.1D

Разработчик должен предоставить маркировку для ОО.

12.2.7.2.2 ACM_CAP.4.2D

Разработчик должен использовать систему УК.

12.2.7.2.3 AСM_CAP.4.3D

Разработчик должен представить документацию УК.

12.2.7.3 Элементы содержания и представления свидетельств

12.2.7.3.1 АСМ_САР.4.1С

Маркировка ОО должна быть уникальна для каждой версии ОО.

12.2.7.3.2 АСМ_СДР.4.2С

ОО должен быть помечен маркировкой.

12.2 7 3.3 АСМ_САР.4.3С

Документация УК должна включать в себя список конфигурации, план УК и план приемки под УК (подпункт 12.2.7.3.13).

12.2.7.3.4 АСМ_САР.4.4С

Описок, конфигурации должен уникально идентифицировать все элементы конфигурации, входящие в ОО

12.2.7.3.5 АСМ_САР.4.5С

Описок конфигурации должен содержать описание элементов конфигурации, входящих в ОО.

12.2.7.3.6 АСМ_САР.4.6С

Документация УК должна содержать описание метода, используемого для уникальной идентификации элементов конфигурации, входящих в ОО.

12.2.7.3.7 АСМ_САР.4.7С

Система УК должна уникально идентифицировать все элементы конфигурации, входящие в ОО.

12.2.7.3.8 АСМ_САР.4.8С

План УК должен содержать описание, как используется система УК.

12.2.7.3.9 АСМ_САР.4.9С

Свидетельство должно демонстрировать, что система УК действует в соответствии с планом УК.

12.2.7.3.10 АСМ_ САР.4.10С

Документация УК должна содержать свидетельство, что система УК действительно сопровождала и продолжает эффективно сопровождать все элементы конфигурации.

12.2.7.3.11 АСМ_САР.4.11С

Система УК должна предусмотреть такие меры, при который в элементам конфигурации могут быть сделаны только санкционированные изменения.

12.2.7.3.12 АС М_САР.4.12С

Система УК должна поддерживать генерацию ОО.

12.2.7.3.13 АСМ_САР.4.13С

План приемки должен содержать описание процедур, используемых для приемки модифицированных или вновь созданных элементов конфигурации как части ОО.

12.2.7.4 Элементы действий оценщика

12.2.7.4.1 АСМ_САР.4.1Е

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

12.2.8 АСМ_САР.5 Расширенная поддержка

Зависимости: ALC_DVS.2 Достаточность мер безопасности

12.2 8 1 Цели

Требуется уникальная маркировка для обеспечения однозначности в определении оцениваемого экземпляра ОО. Обозначение ОО соответствующей маркировкой дает пользователям ОО возможность знать, какой экземпляр ОО они используют.

Уникальная идентификация элементов конфигурации ведет к лучшему пониманию состава ОО, что, в свою очередь, способствует определению тех элементов, на которые направлены требования оценки для ОО.

Поддержанию целостности ОO способствуют применение средств контроля, предупреждающие выполнение несанкционированных модификаций ОО, а также обеспечение надлежащих функциональные возможностей и использование системы УК.

Предназначение процедур приемки - подтвердить, что любое создание или модификация элементов конфигурации санкционировано.

Процедуры компоновки способствуют правильному выполнению генерации ОО из управляемого набора элементов конфигурации санкционированным способом.

Требование, чтобы система УК была способна идентифицировать оригинал материала, используемый для генерации ОО, способствует сохранению целостности этого материала путем применения приемлемых технических, физических и процедурных мер защиты.

12.2.8.2 Элементы действий разработчика

12.2.8.2.1 ACM_CAP.5.1D

Разработчик должен предоставить маркировку для ОО.

12.2.8.2.2 ACM_CAP.5.2D

Разработчик должен использовать систему УК.

12.2.8.2.3 ACM_CAP.5.3D

Разработчик должен представить документацию УК.

12.2.8.3 Элементы содержания и представления свидетельств

12.2.8.3.1 АСМ_САР.5.1С

Маркировка ОО должна быть уникальна для каждой версии ОО.

12.2.8.3.2 АСМ_САР.5.2С

ОО должен быть помечен маркировкой.

12.2.8.3.3. АСМ_САР.5.3С

Документация УК должна включать в себя список конфигурации, план УК. план приемки под УК и процедуры компоновки.

12.2.8.3.4 АСМ_САР.5.4С

Список конфигурации должен уникально идентифицировать все элементы конфигурации, входящие в ОО.

12.2.8.3.5 АСМ_САР.5.5С

Список конфигурации должен содержать описание элементов конфигурации, входящих в ОО.

12.2.5.3.6 АСМ_САР.5.6С

Документация УК должна содержать описание метода, используемого для уникальной идентификации элементов конфигурации, вводящих в ОО.

12.2.8.3.7 АСМ_САР.5.7С

Система УК должна уникально идентифицировать все элементы конфигурации, входящие в ОО.

12.2.8.3.8 АСМ_САР.5.8С

План УК должен содержать описание, как используется система УК

12.2.8.З.9. АСМ_САР.5.9С

Свидетельство должно демонстрировать, что система УК действует в соответствии с планом УК.

12.2.8.3.10 АСМ_САР.5.10С

Документация УК должна содержать свидетельство, что система УК действительно сопровождала и продолжает эффективно сопровождать ee элементы конфигурации.

12.2.8.3.11 АСМ_САР.5.11С

Система УК должна предусмотреть такие меры, при которых в элементах конфигурации могут быть сделаны только санкционированные изменения.

12.2.8.3.12 АСМ_САР.5.12С

Система УК должна поддерживать генерацию ОО.

12.2.8.313 АСМ_ САР.5.13С

План приемки должен содержать описание процедур, используемых для приемки модифицированных или вновь созданных элементов конфигурации как части ОО.

12.2.8.3.14 АСМ_САР.5.14С

Процедуры компоновки должны описать, как систему УК применяют в процессе изготовления ОО.

12.2.8.3.15 АСМ_САР.5.15С

Система УК должна содержать требование, чтобы ли до, ответственное за включение элемента конфигурации под УК, не являлось его разработчиком.

12.2.8.3.16 АСМ_САР.5.16С

Система УК должна четко идентифицировать элементы конфигурации, которые составляют ФБО.

12.2.8.3.17 АСМ_САР.5.17С

Система УК должна поддерживать аудит всех модификаций 00 с регистрацией, как минимум, инициатора, даты и времени модификации в журнале аудита.

12.2.8.3.18 АСМ_САР.5.18С

Система УК должна быть способна идентифицировать оригиналы всех материалов, используемые для генерации ОО.

12.2.8.3.19 АСМ_САР.5.19С

Документация УК должна демонстрировать, что использование системы УК совместно с мерами безопасности разработки сделает возможными только санкционированные изменения а ОО.

12.2.8.3.20 АСМ_САР.5.20С

Документация УК должна демонстрировать, что использование процедур компоновки обеспечивает выполнение генерации ОО правильно и санкционированным способом.

12.2.8.3.21 АСМ_САР.5.21С

Документация УК должна демонстрировать, что система УК достаточна для обеспечения того, чтобы лицо, ответственное за включение элемента конфигурации под УК, не было его разработчиком.

12.2.8.3.22 АСМ_САР.5.22С

Документация УК должна содержать логическое обоснование, что процедуры приемки обеспечивают адекватный и удобный просмотр изменений всех элементов конфигурации.

12.2.3.4 Элементы действий оценщика

12.2.8.4.1 АСМ_САР.5.1Е

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

12,3 Область УК (АСМ_CAР)

12.3.1 Цели

Цель этого семейства - требовать, чтобы были определены элементы в качестве элементов конфигурации и. следовательно, помещены под УК в соответствии с требованиями семейства АСМ_САР "Возможности УК". Применение управления конфигурацией по отношению к элементам обеспечивает дополнительное доверие к поддержанию целостности ОО.

12.3.2 Ранжирование компонентов

Компоненты в этом семействе ранжированы на основе того, что именно из перечисленного ниже требуется определить в качестве элементов конфигурации: представление реализации, свидетельства оценки, требуемые компонентами доверия из ЗБ, недостатки безопасности, инструментальные средства разработки и связанная сними информация.

12.3.3- Замечания по применению

Требования семейства АСМ_САР "Возможности УК" определяют необходимость списка элементов конфигурации (помимо самого ОО) того, чтобы каждый элемент из этого списка находится под УК; при этом содержание списка элементов конфигурации оставляют на усмотрение разработчика. Требования семейства ACM_SCP "Область УК" ограничивают эту возможность разработчика, идентифицируя элементы, которые должны быть включены в список элементов конфигурации м, следовательно, находиться под УК в соответствии с требованиями семейства АСМ_САР "Возможности УК".

ACM_SCP.1.1С содержит требование, чтобы представление реализации ОО было включено в список элементов конфигурации. Представление реализации ОО относится ко всем аппаратным, программным и программно-аппаратным средствам, которые составляют ОО. В случае, если ОО состоит только из программных средств, представление реализации может состоять исключительно из исходного и объектного кода.

ACM_SCP.1.1С также содержит требование, чтобы свидетельства оценки, требуемые компонентами доверия из ЗБ, были включены в список элементов конфигурации.

ACM_SCP.2.1C содержит требование, чтобы системой УК отслеживались недостатки безопасности. то есть сопровождалась информация об имевших место недостатках безопасности и их устранении, а также подробные сведения о существующих недостатках безопасности.

ACM_SCP.3.1 С содержит требование, чтобы системой УК отслеживались инструментальные средства разработки и относящаяся к ним информация. Примеры инструментальных средств разработки - это языки программирования и компиляторы. Информация, имеющая отношение к элементам генерации ОО (например, опции компилятора, опции инсталляции/генерации и опции компоновки) - пример информации, относящейся к инструментальным средствам разработки.

12.3.4 ACM_SCP.1 Охват УК объекта оценки

Зависимости: АСМ_САР.3 Средства контроля авторизации

12.3.4.1 Цели

Система УК может контролировать изменения только тех элементов, которые были включены под УК (например, элементов конфигурации, идентифицированных в списке элементов конфигурации). Включение под УК представления реализации ОО, свидетельств оценки, требуемых другими компонентами доверия из ЗБ, обеспечивает доверие, что они могут быть модифицированы только контролируемым способом при наличии соответствующих полномочий.

12.3.4.2 Элементы действий разработчика

12.3.4.2.1 ACM_SCP.1.1D

Разработчик должен представить список элементов конфигурации для ОО,

12.3.4.3 Элементы содержания и представления свидетельств

12.3.4.3.1 ACM_SCP.1.1С

Список элементов конфигурации должен включать в себя: представление реализации и свидетельства оценки, требуемые компонентами доверия из ЗБ.

12.3.4.4 Элементы действий оценщика

12.3.4.4.1 АСМ_SСР.1.1Е

Оценщик должен подтвердить, что представленная информация, соответствует всем требованиям к содержанию и представлению свидетельств.

12.3.5 ACM_SCP.2 Охват УК отслеживания проблем

Зависимости: АСМ_САР.3 Средства контроля авторизации

12.3.5.1 Цели

Система УК может контролировать изменения только тех элементов, которые включены под УК (то есть элементов конфигурации, идентифицированных в списке элементов конфигурации). Включение под УК представления реализации ОО и свидетельств оценки, требуемых другими компонентами доверия из ЗБ, обеспечивает доверие к тому, что они могут быть модифицированы только контролируемым способом при наличии соответствующих полномочий.

Включение недостатков безопасности под УК не позволяет утратить или игнорировать сообщения о недостатках безопасности, позволяя разработчику контролировать недостатки безопасности вплоть до их устранения.

12.3.5.2 Элементы действий разработчика

12.3.5.2.1 ACM_SC Р.2.1D

Разработчик должен представить список элементов конфигурации для ОО.

12.3.5.3 Элементы содержания и представления свидетельств

12.3.5.3.1 АСМ_SСР.2.1С

Список элементов конфигурации должен включать следующее: представление реализации. недостатки безопасности и свидетельства оценки, требуемые компонентами доверия из ЗБ.

12.3.5.4 Элементы действий оценщика

12.3.5.4.1 ACM_SCP.2.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

12.3.6. ACM_SCP.3 Охват УК инструментальных средств разработки

Зависимости: АСМ_САР.3 Средства контроля авторизации

12.3.6.1 Цели

Система УК может контролировать изменения только тех элементов, которые включены под УК (то есть элементов конфигурации, идентифицированных в списке элементов конфигурации). Включение под УК представления реализации ОО и свидетельств оценки, требуемых другими компонентами доверия из ЗБ. обеспечивает доверие к тому, что они могут быть модифицированы только контролируемым способом при наличии соответствующих полномочий.

Включение недостатков безопасности под УК не позволяет утратить или игнорировать сообщения о недостатках безопасности, позволяя разработчику контролировать недостатки безопасности вплоть до их устранения.

Инструментальные средства разработки играют важную роль а обеспечении изготовления качественной версии ОО. Следовательно важно контролировать модификацию этих средств.

12.3.6.2 Элементы действий разработчика

12.3.6.2.1 ACM_SCP.3.1D

Разработчик должен представить список элементов конфигурации для ОО.

12.3.6.3 Элементы содержания и представления свидетельств

12.3.6.3.1 ACM_SCP.3.1С

Список элементов конфигурации должен включать в себя: представление реализации, недостатки безопасности, инструментальные средства разработки и связанную с ними информацию, а также свидетельства оценки, требуемые компонентами доверия из ЗБ.

12.3.6.4 Элементы действий оценщика

12.3.6.4.1 ACM_SCP.3.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.