Законодательная база Российской Федерации

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

16.3.1 Цели

Плохо управляемые разработка и сопровождение ОО могут приводить к неправильной реализации ОО (или к ОО, который отвечает не всем требованиям безопасности). Это, в свою очередь, приводит к нарушениям безопасности. Поэтому важно, чтобы в жизненном цикле ОО была как можно раньше установлена модель разработки и сопровождения ОО.

Использование модели разработки и сопровождения ОО не гарантирует, что ОО не будет содержать недостатки и будет отвечать всем функциональным требованиям безопасности. Может оказаться, что выбранная модель будет недостаточной или неадекватной, и поэтому выигрыш в качестве ОО не будет заметен. Использование модели жизненного цикла, одобренной некоторой группой экспертов (например, специалистами - теоретиками, органами стандартизации), повышает вероятность, что модель разработки и сопровождения будет содействовать достижению требуемого качества ОО.

16.3.2 Ранжирование компонентов

Компоненты в данном семействе ранжированы на основе повышения требований к стандартности и измеримости модели жизненного цикла, а также к согласованности с этой моделью.

16.3.3 Замечания по применению

Модель жизненного цикла объединяет процедуры, инструментальные средства и методы, используемые для разработки и сопровождения ОО. Аспекты процесса, которые могут быть охвачены такой моделью, включают в себя методы проектирования, процедуры проверки, средства управления проектом, процедуры контроля изменений, методы тестирования и процедуры приемки. Эффективная модель жизненного цикла позволяет включить аспекты процесса разработки и сопровождения в общую структуру управления, которая устанавливает обязанности и контролирует развитие.

Оценка аспектов сопровождения ОО повышает доверие к ОО за счет анализа информации о жизненном цикле ОО, представленной во время оценки до начала сопровождения.

Стандартизованная модель жизненного цикла - это модель, которая была одобрена некоторой группой экспертов (например, специалистами-теоретиками, органами стандартизации).

Измеримая модель жизненного цикла - это модель с количественными параметрами и/или метриками, используемыми для измерение характеристик разработки ОО (например, метрикой сложности исходного текста).

Модель жизненного цикла обеспечивает необходимый контроль за разработкой и сопровождением ОО, если разработчик может предоставить информацию, которая показала бы, что модель приемлемым образом минимизирует риск нарушений безопасности в ОО. При определении модели: для части жизненного цикла после поставки ОО может быть полезна информация о предполагаемой среде ОО и целях безопасности ОО, приведенная в ЗБ.

16.3.4 ALC_LCD.1 Определение модели жизненного цикла разработчиком

Зависимости: нет зависимостей.

16.3.4.1 Элементы действий разработчика

16.3.4.1.1 ALC_LCD.1.1D

Разработчик должен установить модель жизненного цикла, используемую при разработке и сопровождении ОО.

16.3.4.1.2 ALC_LCD.1.2D

Разработчик должен представить документацию по определению жизненного цикла.

16.3.4.2 Элементы содержания и представления свидетельств

16.3.4.2.1 ALC_LCD.1.1С

Документация по определению жизненного цикла должна содержать, описание модели, применяемой при разработке и сопровождении ОО.

16.3.4.2.2 ALC_LCD.1.2С

Модель жизненного цикла должна обеспечить необходимый контроль за разработкой и сопровождением ОО.

16.3.4.3 Элементы действий оценщика

16.3.4.3.1 ALC_LCD.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

16.3.5 ALC_LCD.2 Стандартизованная модель жизненного цикла

Зависимости: нет зависимостей.

16.3.5.1 Элементы действий разработчика

16.3.5.1.1 ALC_LCD 2.1D

Разработчик должен установить модель жизненного цикла, используемую при разработке и сопровождении ОО.

16.3.5 1.2 ALC_LCD.2.2D

Разработчик должен представить документацию по определению жизненного цикла.

16.3.5.1.3 ALC_LCD 2.3D

Разработчик должен использовать стандартизованную модель жизненного цикла для разработки и сопровождения ОО.

16.3.5.2 Элементы содержания и представления свидетельств

16.3.5.2.1 ALC_LCD.2.1С

Документация по определению жизненного цикла должна содержать описание модели, применяемой при разработке и сопровождении ОО.

16.3.5.2.2ALC_LCD2.2C

Модель жизненного цикла должна обеспечить необходимый контроль за разработкой и сопровождением ОО.

16.3.5.2.3 ALC_LCD.2.3C

Документация по определению жизненного цикла должна объяснить выбор модели.

16.3.5.2.4 ALC_LCD.2.4C

Документация по определению жизненного цикла должна объяснить, как модель используется при разработке и сопровождении ОO.

16.3.5.2.5 ALC_LCD.2.5C

Документация по определению жизненного цикла должна демонстрировать согласованность со стандартизованной моделью жизненного цикла.

16.3.5.3 Элементы действий оценщика

16.3.5.3.1 ALC_LCD.2.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

16.3.6 ALC_LCD.3 Измеримая модель жизненного цикла

Зависимости: нет зависимостей.

16.3.6.1 Элементы действий разработчика

16.3.6.1 1 ALC_LCD.3.1D

Разработчик должен установить модель жизненного цикла, используемую при разработке и сопровождении ОО.

16.3.6.12. ALC_LCD.3.2D

Разработчик должен представить документацию по определению жизненного цикла.

16.3.6.1.3 ALC_LCD.3.3D

Разработчик должен использовать стандартизованную и измеримую модель жизненного цикла для разработки и сопровождения ОО.

16.3.6.1.4 ALC_LCD.3.4D

Разработчик должен количественно оценить, процесс разработки ОО, используя стандартизованную и измеримую модель жизненного цикла.

16.3.6.2 Элементы содержания и представления свидетельств

16.3.6.2.1 ALC_LCD.3.1С

Документации по определению жизненного цикла должна содержать описание модели, применяемой при разработке и сопровождении ОО, включая детализацию ее количественных параметров и/или метрик, используемых для оценки соответствия процесса разработки ОО принятой модели.

16.3.6.2.2 ALC_LCD.3.2C

Модель жизненного цикла должна обеспечить необходимый контроль за разработкой и сопровождением ОО.

16.3.6.2.3 ALC_LCD.3.3С

Документация по определению жизненного цикла должна объяснить выбор модели.

16.3.6.2.3 ALC_LCD.3.4С

Документация по определению жизненного цикла должна объяснить, как модель используется при разработке и сопровождение ОО.

16.3.6.2.5 ALC_LCD.3.5C

Документация по определению жизненного цикла должна демонстрировать согласованность со стандартизованной и измеримой моделью жизненного цикла.

16.3.6.2.6 ALC_LCD.3.6C

Документация по жизненному циклу должна представить результаты количественной оценки процесса разработки ОО с использованием стандартизованной и измеримой модели жизненного цикла.

16.3.6.3 Элементы действий оценщика

16.3.6.3.1 ALC_LCD.3.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.