7.2.3. Поддержка жизненного цикла (ALC)
ALC_CMC.4
|
Поддержка генерации, процедуры приемки и автоматизация
|
Зависимости:
|
ALC_CMS.1 Охват УК ОО;
ALC_DVS.1 Идентификация мер безопасности;
ALC_LCD.1 Определенная разработчиком модель жизненного цикла.
|
Элементы действий заявителя (разработчика, производителя)
|
|
ALC_CMC.4.1D
|
Заявитель (разработчик, производитель) должен предоставить ОО и маркировку для ОО.
|
ALC_CMC.4.2D
|
Заявитель (разработчик, производитель) должен предоставить документацию УК.
|
ALC_CMC.4.3D
|
Заявитель (разработчик, производитель) должен использовать систему УК.
|
Элементы содержания и представления документированных материалов
|
|
ALC_CMC.4.1C
|
ОО должен быть помечен уникальной маркировкой.
|
ALC_CMC.4.2C
|
В документации УК должно содержаться описание метода, используемого для уникальной идентификации элементов конфигурации.
|
ALC_CMC.4.3C
|
В системе УК должны быть уникальным образом идентифицированы все элементы конфигурации.
|
ALC_CMC.4.4C
|
В системе УК должны быть предусмотрены такие автоматизированные меры, при применении которых в элементы конфигурации могут быть внесены только санкционированные изменения.
|
ALC_CMC.4.5C
|
Система УК должна поддерживать производство ОО автоматизированными средствами.
|
ALC_CMC.4.6C
|
Документация УК должна включать в себя план УК.
|
ALC_CMC.4.7C
|
В плане УК должно быть описание того, каким образом система УК используется для разработки ОО.
|
ALC_CMC.4.8C
|
План УК должен содержать описание процедур, используемых для приемки модифицированных или вновь созданных элементов конфигурации как части ОО.
|
ALC_CMC.4.9C
|
В свидетельствах должно быть продемонстрировано, что все элементы конфигурации сопровождаются системой УК.
|
ALC_CMC.4.10C
|
В свидетельствах должно быть продемонстрировано, что система УК функционирует в соответствии с планом УК.
|
Элементы действий испытательной лаборатории
|
|
ALC_CMC.4.1E
|
Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_CMC.4.1C - ALC_CMC.4.10C.
|
Замечания по применению: испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 12.2.4 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
ALC_CMS.3
|
Охват УК представления реализации
|
Зависимости:
|
отсутствуют.
|
Элементы действий заявителя (разработчика, производителя)
|
|
ALC_CMS.3.1D
|
Заявитель (разработчик, производитель) должен представить список элементов конфигурации для ОО.
|
Элементы содержания и представления документированных материалов
|
|
ALC_CMS.3.1C
|
Список элементов конфигурации должен включать следующее: сам ОО и свидетельства оценки, необходимые по требованиям доверия к безопасности, части, которые входят в состав ОО, а также представление реализации.
|
ALC_CMS.3.2C
|
Элементы конфигурации должны быть уникально идентифицированы в списке элементов конфигурации.
|
ALC_CMS.3.3C
|
Для каждого значимого для ФБО элемента конфигурации в списке элементов конфигурации должен быть указан разработчик.
|
Элементы действий испытательной лаборатории
|
|
ALC_CMS.3.1E
|
Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_CMS.3.1C - ALC_CMS.3.3C.
|
Замечания по применению: испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 12.3.3 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
ALC_DEL.1
|
Процедуры поставки
|
Зависимости:
|
отсутствуют.
|
Элементы действий заявителя (разработчика, производителя)
|
|
ALC_DEL.1.1D
|
Заявитель (разработчик, производитель) должен задокументировать процедуры поставки ОО или его частей потребителю.
|
ALC_DEL.1.2D
|
Заявитель (разработчик, производитель) должен использовать процедуры поставки.
|
Элементы содержания и представления документированных материалов
|
|
ALC_DEL.1.1C
|
Документация поставки должна содержать описание всех процедур, необходимых для поддержания безопасности при распространении версий ОО потребителю.
|
Элементы действий испытательной лаборатории
|
|
ALC_DEL.1.1E
|
Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_DEL.1.1C.
|
Замечания по применению: испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 12.4.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
ALC_DVS.1
|
Идентификация мер безопасности
|
Зависимости:
|
отсутствуют.
|
Элементы действий заявителя (разработчика, производителя)
|
|
ALC_DVS.1.1D
|
Заявитель (разработчик, производитель) должен представить документацию по безопасности разработки.
|
Элементы содержания и представления документированных материалов
|
|
ALC_DVS.1.1C
|
Документация по безопасности разработки должна содержать описание всех физических, процедурных, организационных и других мер безопасности, которые необходимы для защиты конфиденциальности и целостности проекта ОО и его реализации в среде разработки.
|
Элементы действий испытательной лаборатории
|
|
ALC_DVS.1.1E
|
Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_DVS.1.1C.
|
ALC_DVS.1.2E
|
Испытательная лаборатория должна подтвердить, что меры безопасности применяются и направлены на снижение вероятности возникновения в ОО уязвимостей и других недостатков.
|
Замечания по применению: испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 12.5.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
ALC_FLR.1
|
Базовое устранение недостатков
|
Зависимости:
|
отсутствуют.
|
Элементы действий заявителя (разработчика, производителя)
|
|
ALC_FLR.1.1D
|
Заявитель (разработчик, производитель) должен предоставить процедуры устранения недостатков, предназначенные для разработчиков ОО.
|
Элементы содержания и представления документированных материалов
|
|
ALC_FLR.1.1C
|
Документация процедур устранения недостатков должна содержать описание процедур по отслеживанию всех ставших известными недостатков безопасности в каждом релизе ОО.
|
ALC_FLR.1.2C
|
Процедуры устранения недостатков должны содержать требование представления описания сути и последствий каждого недостатка безопасности, а также состояния процесса исправления этого недостатка.
|
ALC_FLR.1.3C
|
Процедуры устранения недостатков должны содержать требование к тому, что для каждого недостатка безопасности должны быть идентифицированы корректирующие действия.
|
ALC_FLR.1.4C
|
Документация процедур устранения недостатков должна содержать описание методов, используемых для предоставления пользователям ОО информации о недостатках, материалов исправлений и руководства по внесению исправлений.
|
Элементы действий испытательной лаборатории
|
|
ALC_FLR.1.1E
|
Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_FLR.1.1C - ALC_FLR.1.4C.
|
Замечания по применению: для выполнения данных требований заявитель (разработчик, производитель) должен осуществлять постоянный поиск и устранение уязвимостей и других недостатков в ОС и выпуск соответствующих обновлений программной части ОС.
Испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 12.6.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
ALC_LCD.1
|
Определенная разработчиком модель жизненного цикла
|
Зависимости:
|
отсутствуют.
|
Элементы действий (разработчика, производителя)
|
|
ALC_LCD.1.1D
|
Заявитель (разработчик, производитель) должен установить модель жизненного цикла, используемую при разработке и сопровождении ОО.
|
ALC_LCD.1.2D
|
Заявитель (разработчик, производитель) должен представить документацию по определению жизненного цикла.
|
Элементы содержания и представления документированных материалов
|
|
ALC_LCD.1.1C
|
Документация по определению жизненного цикла должна содержать описание модели, применяемой при разработке и сопровождении ОО.
|
ALC_LCD.1.2C
|
Модель жизненного цикла должна обеспечить необходимый контроль над разработкой и сопровождением ОО.
|
Элементы действий испытательной лаборатории
|
|
ALC_LCD.1.1E
|
Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_LCD.1.1C и ALC_LCD.1.2C.
|
Замечания по применению: испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 12.7.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
ALC_FPU_EXT.1
|
Процедуры обновления программного обеспечения операционной системы
|
Зависимости:
|
отсутствуют.
|
Элементы действий заявителя (разработчика, производителя)
|
|
ALC_FPU_EXT.1.1D
|
Заявитель (разработчик, производитель) должен разработать и реализовать технологию обновления ОС для [выбор: обновление, направленное на устранение уязвимостей ОС; иное обновление, оказывающее влияние на безопасность ОС; обновление, не оказывающее влияния на безопасность ОС].
|
ALC_FPU_EXT.1.2D
|
Заявитель (разработчик, производитель) должен разработать и поддерживать регламент обновления программного обеспечения ОС.
|
ALC_FPU_EXT.1.3D
|
Заявитель (разработчик, производитель) должен разработать и реализовать процедуру уведомления потребителей о выпуске обновлений ОС, основанную на [назначение: способы уведомления].
|
ALC_FPU_EXT.1.4D
|
Заявитель (разработчик, производитель) должен разработать и реализовать процедуру предоставления обновлений потребителям ОС, основанную на [назначение: способы предоставления обновлений].
|
ALC_FPU_EXT.1.5D
|
Заявитель (разработчик, производитель) должен разработать и реализовать процедуру представления обновлений в испытательную лабораторию для проведения внешнего контроля, основанную на [назначение: способы предоставления обновлений для контроля].
|
Элементы содержания и представления документированных материалов
|
|
ALC_FPU_EXT.1.1C
|
Документация ОС должна содержать описание технологии выпуска обновлений ОС.
|
ALC_FPU_EXT.1.2C
|
Документация ОС должна содержать регламент обновления ОС, включающий:
а) идентификацию типов выпускаемых обновлений;
б) описание процедуры уведомления потребителей о выпуске обновлений;
в) описание процедуры предоставления обновлений потребителям;
г) описание содержания эксплуатационной документации на выпускаемые обновления;
д) [назначение: иная информация].
|
ALC_FPU_EXT.1.3C
|
Регламент обновления ОС должен предусматривать включение в эксплуатационную документацию на выпускаемые обновление описания следующих процедур:
а) процедуры получения обновления;
б) процедуры контроля целостности обновления;
в) типовой процедуры тестирования обновления;
г) процедуры установки и применения обновления;
д) процедуры контроля установки обновления;
е) процедуры верификации (проверки) применения обновления.
|
ALC_FPU_EXT.1.4C
|
Документация процедуры представления обновлений для проведения внешнего контроля должна содержать:
а) описание процедуры предоставления обновлений для внешнего контроля;
б) требования к предоставлению и содержанию методики тестирования обновления заявителем;
в) требования к оформлению и предоставлению результатов тестирования обновления заявителем;
г) [назначение: иная информация].
|
Элементы действий испытательной лаборатории
|
|
ALC_FPU_EXT.1.1E
|
Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированных материалов, изложенным в ALC_FPU_EXT.1.1C - ALC_FPU_EXT.1.4C.
|
ALC_FPU_EXT.1.2E
|
Испытательная лаборатория должна проверить, что процедура представления обновлений для проведения внешнего контроля позволяет организовать и проводить их внешний контроль.
|
Замечания по применению: в качестве типов обновлений рассматриваются: обновления, направленные на устранение уязвимостей ОО; иные обновления, оказывающие влияние на безопасность ОО; обновления, не оказывающие влияния на безопасность ОО.
|
|
ALC_LCD_EXT.3
|
Определенные разработчиком сроки поддержки
|
Зависимости:
|
отсутствуют.
|
Элементы действий (разработчика, производителя)
|
|
ALC_LCD_EXT.3.1D
|
Заявитель, разработчик, производитель должны установить в совместной декларации срок [назначение: срок], в течение которого они обязуются выполнять все необходимые действия по поддержке ОО, направленные на обеспечение поддержания сертификата соответствия ОО требованиям безопасности информации.
|
ALC_LCD_EXT.3.2D
|
Заявитель, разработчик, производитель должны обеспечить представление совместной декларации о сроке поддержки ОО вместе с заявкой на сертификацию ОО.
|
Элементы содержания и представления документированных материалов
|
|
ALC_LCD_EXT.3.1C
|
Декларация о сроке поддержки ОО должна содержать план поддержки ОО на весь задекларированный срок, включающий описание всех предпринимаемых действий по обеспечению поддержания сертификата соответствия ОО требованиям безопасности информации.
|
ALC_LCD_EXT.3.2C
|
Декларация о сроке поддержки ОО должна содержать сведения о поддерживаемой версии ОО.
|
Элементы действий испытательной лаборатории
|
|
ALC_LCD_EXT.3.1E
|
Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_LCD_EXT.3.1C и ALC_LCD_EXT.3.2C.
|
ALC_TAT.1
|
Полностью определенные инструментальные средства разработки
|
Зависимости:
|
ADV_IMP.1 Подмножество реализации ФБО.
|
Элементы действий заявителя (разработчика, производителя)
|
|
ALC_TAT.1.1D
|
Заявитель (разработчик, производитель) должен идентифицировать каждое инструментальное средство, используемое для разработки (производства) ОО.
|
ALC_TAT.1.2D
|
Заявитель (разработчик, производитель) должен задокументировать выбранные опции инструментальных средств разработки (производства), обусловленные реализацией.
|
Элементы содержания и представления документированных материалов
|
|
ALC_TAT.1.1C
|
Все инструментальные средства разработки (производства), используемые для реализации, должны быть полностью определены.
|
ALC_TAT.1.2C
|
В документации по инструментальным средствам разработки (производства) должны быть однозначно определены значения всех языковых конструкций, используемых в реализации.
|
ALC_TAT.1.3C
|
В документации по инструментальным средствам разработки (производства) должны быть однозначно определены значения всех опций, обусловленных реализацией, методов, приемов и правил эксплуатации средств разработки (производства) при создании (производстве) ОО.
|
Элементы действий испытательной лаборатории
|
|
ALC_TAT.1.1E
|
Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ALC_TAT.1.1C - ALC_TAT.1.3C.
|
Замечания по применению: испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 12.8.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|