Законодательная база Российской Федерации

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

16.1.1 Цели

Безопасность разработки связана с физическими, процедурными, относящимися к. персоналу и другими мерами безопасности, которые могут применяться в среде разработки для зашиты ОО. Безопасность разработки включает в себя физическую безопасность места разработки и любые процедуры, связанные с отбором персонала разработчиков.

16.1.2 Ранжирование компонентов

Компоненты в данном семействе ранжированы на основе наличия логического обоснования достаточности мер безопасности.

16.1.3 Замечания по применению

Семейство ALC_DVS связано с мерами по устранению или ослаблению угроз, существующих в месте разработки. Напротив, угрозы, противостоять которым необходимо по месту эксплуатации ОО, обычно учитывают в разделе "Среда безопасности" ПЗ или ЗБ.

Оценщику следует сделать заключение, необходимо ли ему посетить место разработки для подтверждения выполнения требований этого семейства.

Известно, что конфиденциальность не всегда может включаться в задачи защиты ОО в среде его разработки. Использование слова "необходимый" в ALC_DVS.1.1C и ALC_DVS.2.1C предусматривает возможность выбора соответствующих мер защиты.

16.1.4 ALC_DVS.1 Идентификация мер безопасности

Зависимости: нет зависимостей.

16.7.4.1 Элементы действий разработчика

16.1.4.1.1 ALC_DVS.1.1D

Разработчик должен разработать документацию по безопасности разработки.

16.1.4.2 Элементы содержания и представления свидетельств

16.1.4.2.1 ALC_DVS.1.1С

Документация по безопасности разработки должна содержать описание всех физических, процедурных, относящихся к персоналу и другим мер безопасности, которые необходимы для защиты конфиденциальности и целостности проекта ОО и его реализации в среде разработки,

16.1.4.2.2 ALC.DVS.1.2C

Документация по безопасности разработки должна предоставить свидетельство, что необходимые меры безопасности соблюдаются во время разработки и сопровождения ОО.

16.1.4.3 Элементы действий оценщика

16.1.4.3.1 ALC_DVS.1.1 Е

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

16.1.4.3.2 ALC_DVS.1.2E

Оценщик должен подтвердить применение мер безопасности.

16.1.5. ALC_DVS.2 Достаточность мер безопасности

Зависимости: нет зависимостей.

16.1.5.1 Элементы действий разработчика

16.1.5.1.1 ALC_DVS.2.1D

Разработчик должен разработать документацию по безопасности разработки.

16.1.5.2 Элементы содержания и представления свидетельств

16.1.5.2.1 ALC_DVS.2.1С

Документация по безопасности разработки должна содержать описание всех физических, процедурных, относящихся к персоналу и других мер безопасности, которые необходимы для защиты конфиденциальности и целостности проекта ОО и его реализации в среде разработки.

16.1.5.2.2 ALC_DVS.2.2С

Документация по безопасности разработки должна предоставить свидетельство того, что необходимые меры безопасности соблюдаются во время разработки и сопровождения ОО.

16.1.5.2.3 ALC_DVS.2.3С

Свидетельство должно содержать логическое обоснование того, что меры безопасности обеспечивают необходимый уровень защиты конфиденциальности и целостности ОО.

16.1.5.3 Элементы действий оценщика

16.1.5.3.1 ALC_DVS.2.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

16.1.5.3.2 ALC_DVS.2.2E Оценщик должен подтвердить применение мер безопасности.