А.4 Зависимости

В общем случае выполнение требуемых видов и подвидов деятельности и действий по оценке возможно в произвольном порядке или параллельно. Тем не менее, имеются различные виды зависимостей, которые необходимо учитывать оценщику. Настоящий подраздел представляет общее руководство по учету зависимостей между различными видами и подвидами деятельности и действиями по оценке.

А.4.1 Зависимости между видами деятельности

В некоторых случаях для различных классов доверия может быть рекомендована или даже потребована определенная последовательность выполнения связанных с ними видов деятельности по оценке. Конкретный пример — вид деятельности по оценке ЗБ. Вид деятельности по оценке ЗБ начинается до выполнения каких-либо видов деятельности по оценке ОО, так как ЗБ обеспечивает основу и контекст их выполнения. Однако сделать итоговое заключение по оценке ЗБ до завершения оценки ОО может оказаться невозможным, так как результаты деятельности по оценке ОО могут привести к изменениям в ЗБ.

А.4.2 Зависимости между подвидами деятельности

Оценщику необходимо учитывать зависимости между компонентами, указанные в ИСО/МЭК 15408-3. Пример такого вида зависимости — AVA_VLA.1 «Анализ уязвимостей разработчиком». В этом компоненте заявлены зависимости от ADV_FSP.1 «Неформальная функциональная спецификация», ADV_HLD.1 «Описательный проект верхнего уровня», AGD_ADM.1 «Руководство администратора» и AGD_USR.1 «Руководство пользователя».

Обычно положительный вердикт по подвиду деятельности можно принять только при успешном завершении всех тех подвидов деятельности, от которых зависит данный подвид деятельности. Например, как правило, положительный вердикт по AVA_VLA.1 может быть принят, если только по подвидам деятельности, относящимся к ADV_FSP.1, ADV_HLD.1, AGD_ADM.1 и AGD_USR.1, также принят положительный вердикт.

Поэтому при определении, будет ли некоторый подвид деятельности влиять на другой подвид деятельности, оценщику следует выяснить, зависит ли этот подвид деятельности от потенциальных результатов оценки любых зависимых подвидов деятельности. Действительно, возможно, что зависимый подвид деятельности сам станет влиять на этот подвид деятельности, требуя выполнить заново ранее завершенные действия.

Существенное влияние приобретают зависимости при обнаружении оценщиком недостатков. Если недостаток идентифицирован в результате проведения одного из подвидов деятельности, положительный вердикт по зависимому подвиду деятельности может оказаться невынесенным до устранения всех недостатков, относящихся к подвиду деятельности, от которого он зависит.

Необходимо отметить, что некоторые компоненты из ИСО/МЭК 15408, например компоненты семейств ASE_INT и ASE_DES, зависимы друг от друга, и поэтому такая ситуация имеет место для каждой последовательности выполнения соответствующих подвидов деятельности.

А.4.3 Зависимости между действиями

Возможно, что результаты, полученные оценщиком во время одного действия, будут использованы при выполнении другого действия. Например, действия по анализу полноты и непротиворечивости не могут быть завершены, пока не завершена проверке содержания и представления свидетельств. Это означает, например, что оценщику рекомендуется оценивать обоснование ПЗ/ЗБ после оценки составляющих частей ПЗ/ЗБ.

Далее >>>