12.8 Вид деятельности «Поддержка жизненного цикла»
Вид деятельности «Поддержка жизненного цикла» предназначен для определения достаточности процедур, применяемых разработчиком во время разработки и сопровождения ОО. Такие процедуры предназначены для защиты ОО и связанной с ним информации о проекте от вмешательства или раскрытия. Вмешательство в процесс разработки может позволить преднамеренно внести уязвимости в ОО. Раскрытие информации о проекте может облегчить использование уязвимостей. Адекватность рассматриваемых процедур будет зависеть от свойств ОО и процесса его разработки.
12.8.1 Оценка безопасности разработки
(ALC_DVS.1)
12.8.1.1 Цели
Цель данного подвида деятельности — сделать заключение, являются ли меры и средства контроля безопасности в среде разработки достаточными для обеспечения конфиденциальности и целостности проекта и реализации ОО. Это необходимо для обеспечения того, чтобы безопасная эксплуатация ОО не была скомпрометирована.
12.8.1.2 Исходные данные
Свидетельствами оценки для этого подвида деятельности являются:
a) ЗБ;
b) документация по безопасности разработки.
Кроме того, оценщику может понадобиться исследование других поставок, чтобы сделать заключение о том, что меры и средства контроля безопасности полностью определены и их применяют.
В частности, оценщику может понадобиться исследование документации разработчика по управлению конфигурацией (исходные данные подвидов деятельности
ACM_CAP.4 «Поддержка генерации, процедуры приемки» и ACM_SCP.2 «Охват УК отслеживания проблем»). Также требуется свидетельство применения процедур.
12.8.1.3 Действие ALC_DVS.1.1E
12.8.1.3.1 Шаг оценивания 3:ALC_DVS.1-1
ИСО/МЭК 15408-3 ALC_DVS.1.1C: Документация по безопасности разработки должна содержать описание всех физических, процедурных, относящихся к персоналу и других мер безопасности, которые необходимы для защиты конфиденциальности и целостности проекта ОО и его реализации
в среде разработки.
Оценщик должен исследовать документацию по безопасности разработки, чтобы сделать заключение, содержит ли она подробное описание всех используемых в среде разработки мер безопасности, которые необходимы для защиты конфиденциальности и целостности проекта и реализации ОО.
Оценщик определяет, какая информация из ЗБ требуется в первую очередь при вынесении заключения о необходимой защите, особенно из разделов ЗБ об угрозах, политике безопасности организации и предположениях, хотя такая информация может и не быть представлена в явном виде. Изложение в ЗБ целей безопасности для среды также может быть полезно в этом отношении.
Если в ЗБ не имеется такой информации в явном виде, оценщик должен принять решение о необходимых мерах, основываясь на рассмотрении предполагаемой среды для ОО. В тех случаях, когда меры разработчика признаны недостаточными, необходимо, чтобы было представлено четкое и логическое обоснование для оценки уязвимостей, потенциально пригодных для использования.
При исследовании документации оценщик рассматривает следующие типы мер безопасности:
a) физические, например, средства управления физическим доступом, применяемые для предотвращения несанкционированного доступа к среде разработки ОО (в рабочие часы и в другое время);
b) процедурные, например распространяющиеся:
- на предоставление доступа к среде разработки или к конкретным объектам среды, таким как оборудование разработки,
- на отмену прав доступа лиц при их исключении из состава разработчиков,
- на передачу защищаемого материала из среды разработки,
- на встречу и сопровождение посетителей среды разработки,
- на роли и обязанности по обеспечению непрерывного применения мер безопасности и обнаружения
нарушений безопасности;
c) относящиеся к персоналу разработчиков, например средства контроля или проверки, позволяющие установить, заслуживают ли доверия принимаемые на работу;
d) прочие меры безопасности, например средства логической защиты оборудования разработки.
В документации по безопасности разработки должны быть указаны места разработки и описаны виды выполняемых работ вместе с мерами безопасности, применяемыми в каждом из мест разработки. Например, разработка могла бы происходить в нескольких производственных помещениях внутри одного здания, в нескольких зданиях, расположенных на одной территории, или в нескольких различных местах. К разработке относят такую задачу, как тиражирование ОО, когда это применимо. Не следует, чтобы этот шаг оценивания частично перекрывал шаги оценивания из
ADO_DEL «Поставка», но оценщик должен удостовериться, что все аспекты охвачены тем или другим подвидом деятельности.
Кроме того, документация по безопасности разработки может содержать описание различных мер безопасности, которые могут быть применены к различным аспектам разработки с точки зрения их выполнения, требуемых исходных данных и выходных результатов. Например, различные процедуры могут быть применимы к разработке различных частей ОО или к различным стадиям процесса разработки.
12.8.1.3.2 Шаг оценивания 3:ALC_DVS.1-2
Оценщик должен исследовать политики обеспечения конфиденциальности и целостности при разработке, чтобы сделать заключение о достаточности применяемых мер безопасности.
При рассмотрении политик учитывают следующее:
a) какая информация, относящаяся к разработке ОО, нуждается
в сохранении конфиденциальности и кому из персонала разработчиков разрешен доступ
к таким материалам;
b) какие материалы должны быть защищены от несанкционированной модификации для сохранения целостности ОО и кому из персонала разработчиков разрешено модифицировать такие материалы.
Оценщику следует сделать заключение, описаны ли эти политики в документации по безопасности разработки, совместимы ли применяемые меры безопасности с политиками, являются ли они достаточно полными.
Необходимо отметить, что процедуры управления конфигурацией способствуют защите целостности ОО, и оценщику следует избегать частичного перекрытия с шагами оценивания, проводимыми в рамках подвида деятельности
ACM_CAP «Возможности УК». Например, документация УК может описывать процедуры безопасности, необходимые для контроля ролей или лиц, которым следует предоставить доступ к среде разработки и которые могут модифицировать ОО.
Тогда как требования АСМ_САР зафиксированы, требования для
ALC_DVS «Безопасность разработки», предписывающие только необходимые меры, зависят от типа ОО и от информации, которая может быть представлена в разделе ЗБ «Среда безопасности». Например, ЗБ может идентифицировать политику безопасности организации, в которой требуется наличие формы допуска у персонала разработчиков ОО. Тогда оценщику в ходе выполнения данного подвида деятельности необходимо сделать заключение, была
ли применена такая политика.
12.8.1.3.3 Шаг оценивания 3:ALC_DVS.1-3
ИСО/МЭК 15408-3 ALC_DVS.1.2C: Документация по
безопасности разработки должна предоставить
свидетельство, что необходимые меры безопасности
соблюдаются во время разработки и сопровождения ОО.
Оценщик должен проверить документацию по безопасности разработки, чтобы сделать заключение, формируют
ли документальное свидетельство в результате применения процедур.
При наличии документального свидетельства оценщик просматривает его, чтобы удостовериться в его соответствии процедурам. Примерами подготовленных свидетельств могут служить журналы регистрации входа и журналы аудита. Оценщик может остановиться на выборочной проверке свидетельства.
Руководство по выборке см. в А.2 «Выборка» (приложение А).
12.8.1.4 Действие ALC_DVS.1.2E
12.8.1.4.1 Шаг оценивания 3:ALC_DVS.1-4
Оценщик должен исследовать документацию по безопасности разработки и связанные с
ней свидетельства, чтобы сделать заключение, применены ли меры безопасности.
На этом шаге оценивания от оценщика требуется сделать заключение, применены ли меры безопасности, описанные в документации по безопасности разработки, таким образом, при котором целостность ОО и конфиденциальность связанной с ним документации адекватно защищены. Например, данное заключение могло бы быть сделано по результатам исследования представленных документальных свидетельств. Документальные свидетельства следует дополнить непосредственным ознакомлением со средой разработки. Непосредственное ознакомление со средой разработки предоставит оценщику возможность:
a) наблюдать применение мер безопасности (например, физических мер);
b) исследовать документальные свидетельства применения процедур;
c) посредством интервью с персоналом разработчиков проверить знание ими политик и процедур
безопасности разработки, а также своих обязанностей.
Посещение объекта разработки является полезным способом приобретения уверенности в применяемых мерах. Решение отказаться от такого посещения следует принимать после консультации с органом оценки.
Руководство по посещению объектов см. в А.5 «Посещение объектов» (приложение А).
Далее
>>> |