Законодательная база Российской Федерации

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

12.1.1 Цели

Цель привлечения инструментальных средств автоматизации УК - повышение эффективности системы УК. Несмотря на то. что как автоматизированные, так и ручные системы УК могут быть обойдены, проигнорированы или оказаться недостаточными для предотвращения несанкционированной модификации. автоматизированные системы менее восприимчивы к человеческому фактору - ошибке или небрежности.

12.1.2 Ранжирование компонентов

Компоненты в этом семействе ранжированы на основе набора элементов конфигурации, которые управляются с применением автоматизированных средств.

12.1.3 Замечания по применению

ACM_AUT.1.1С содержит требование, которое связано с представлением реализации ОО. Представление реализации ОО включает в себя все аппаратные, программные и программно-аппаратные средства, которые фактически составляют ОО. В случае, когда ОО состоит только из программных средств, представление реализации может состоять исключительно из исходного и объектного кода.

ACM_AUT.1.2C содержит требование, чтобы система УК предоставила автоматизированные средства для поддержки генерации ОО. При этом требуется, чтобы система УК предоставила автоматизированные средства, содействующие принятию заключения, что при генерации ОО использованы правильные элементы конфигурации.

ACM_AUT.2.5C содержит требование, чтобы система УК предоставила автоматизированные средства, позволяющие установить различия между ОО и его предыдущей версией. Если предыдущей версии ОО не существует, разработчик все равно нуждается в предоставлении автоматизированных средств, чтобы установить различия между ОО и последующей версией ОО.

12.1.4 АСM_АUT.1 Частичная автоматизация УК

Зависимости: АСМ_САР.З Средства контроля авторизации

12.1 4.1 Цели

В тех средах разработки, где представление реализации является сложным или создается - многими разработчиками, трудно контролировать изменения без использования автоматизированных инструментальных средств. В частности, от этих автоматизированных инструментальных: средств требуется способность поддерживать многочисленные изменения, которые возникают в процессе разработки, и обеспечить санкционированность этим изменений. Целью данного компонента является обеспечение контроля представления реализации с использованием автоматизированные средств.

12.1.4.2 Элементы действий разработчика

12.1.4.2.1 ACM_AUT.1.1D

Разработчик должен использовать систему УК.

12.1.4.2.2 ACM_AUT.1.2D

Разработчик должен представить план УК.

12.1.4.3 Элементы содержания и представления свидетельств

12.1.4.3.1 ACM_AUT.1.1С

Система УК должна предоставить автоматизированные средства, с использованием которых в представлении реализации ОО проводятся только санкционированные изменения.

12.1.4.3.2 ACM_AUT.1.2C

Система УК должна предоставить автоматизированные средства для поддержки генерации ОО.

12.1.4.3.3 ACM_AUT.1.3C

План УК должен содержать описание автоматизированных инструментальных средств, используемых в системе УК.

12.1.4.3.4 ACM_AUT.1.4C

План УК должен содержать описание, как автоматизированные инструментальные средства используются в системе УК.

12.1.4.4 Элементы действий оценщика

12.1.4.4.1 ACM_AUT.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

12.1.5 ACM_AUT.2 Полная автоматизация УК

Зависимости: АСМ_САР.3 Средства контроля авторизации

12.1.5.1 Цели

В тех средах разработки, где элементы конфигурации являются сложными или создаются многими разработчиками, трудно контролировать изменения без использования автоматизированный инструментальных средств. В частности, требуется, чтобы эти автоматизированные инструментальные средства были способны поддерживать многочисленные изменения, которые возникают в процессе разработки, и обеспечить санкционированность этих изменений. Целью данного компонента является обеспечение контроля всех элементов конфигурации с использованием автоматизированных средств.

Применение автоматизированных средств для выявления различий между версиями ОО и определение, на какие элементы конфигурации воздействует модификация других элементов конфигурации, содействуют определений воздействия изменений на последовательные версии ОО. Последнее, в свою очередь, может предоставить ценную информацию, позволяющую определить, реализованы ли изменения ОО во всех элементах конфигурации, требующих согласования между собой.

12.1.5.2 Элементы действий разработчика

12.1.5.2.1 ACM_AUT.2.1D

Разработчик должен использовать систему УК.

12.1.5.2.2 ACM_AUT.2.2D

Разработчик должен представить план УК.

12.1.5.3 Элементы содержания и представления свидетельств

12.1.5.3.1 ACM_AUT.2.1С

Система УК должна предоставить автоматизированные средства, с использованием которых в представлении реализации ОО и во всех остальных элементах конфигурации производятся только санкционированные изменения.

12.1.5.3.2 ACM_AUT.2.2C

Система УК должна предоставить автоматизированные средства для поддержки генерации ОО.

12.1.5.3.3 ACM_AUT.2.3C

План УК должен содержать описание автоматизированных инструментальных средств, используемых в системе УК.

12.1.5.3.4 ACM_AUT.2.4C

План УК должен содержать описание, как автоматизированные инструментальные средства используются в системе УК.

12.1.5.3.5 ACM_AUT.2.5C

Система УК должна предоставить автоматизированные средства для выявления различий между ОО и его предшествующей версией.

12.1.5.3.6 ACM_AUT.2.6C

Система УК должна предоставить автоматизированные средства для определения всех других элементов конфигурации, на которые воздействует модификация данного элемента конфигурации.

12.1.5.4 Элементы действий оценщика

12.1.5.4.1 ACM_AUT.2.1Е

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.