LINEBURG


<< Пред. стр.

страница 15
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>

Оценщик должен исследовать документацию инструментальных средств, чтобы
ALC_TAT.1-4
сделать заключение, поддерживают ли инструментальные средства разработки
корректную реализацию ОО.
На этом шаге оценивания от оценщика не требуется проведения непосредственного
591

исследования самого инструментального средства. Оценщик может провести анализ
представления реализации в сочетании с подвидом деятельности ADV_IMP.*. При анализе
правильности представления реализации этот шаг оценивания может быть выполнен в
сочетании с видом деятельности ATE.
7.6.2 Подвид деятельности ALC_TAT.2
7.6.2.1 Цели


98
Цель данного подвида деятельности – сделать заключение, использовал ли разработчик для
592

разработки, анализа и реализации ОО полностью определенные инструментальные
средства, которые дают непротиворечивые и предсказуемые результаты, и использовались
ли стандарты реализации.
7.6.2.2 Исходные данные
Свидетельством оценки для этого подвида деятельности являются:
593

а) документация инструментальных средств;
б) описание стандартов реализации;
в) предоставленное представление реализации ФБО.
7.6.2.3 Замечания по применению
Эта работа может выполняться в сочетании с видом деятельности ADV при условии
594

применения соответствующих требований доверия, в особенности в отношении
определения того, какие свойства инструментальных средств окажут влияние на
предоставленное представление.
7.6.2.4 Действия оценщика
Этот подвид деятельности включает два элемента действий оценщика из части 3 ОК:
595

а) ALC_TAT.2.1E;
б) ALC_TAT.2.2E.
7.6.2.4.1 Действие ALC_TAT.2.1E
ALC_TAT.2.1C
Оценщик должен исследовать документацию инструментальных средств, чтобы
ALC_TAT.2-1
сделать заключение, все ли инструментальные средства, используемые для
разработки, анализа и реализации ОО, полностью определены.
Это требование относится ко всем используемым инструментальным средствам. В их число
596

включены инструментальные средства для разработки проекта верхнего уровня, проекта
нижнего уровня и представления реализации.
Например, полностью определенными могут считаться те языки, компиляторы или САПР,
597

которые соответствуют общепризнанным стандартам, таким как стандарты ИСО.
Полностью определенным языком является тот, для которого имеется четкое и полное
описание его синтаксиса и детальное описание семантики каждой из его конструкций.
ALC_TAT.2.2C
Оценщик должен исследовать документацию инструментальных средств, чтобы
ALC_TAT.2-2
сделать заключение, однозначно ли определены в ней значения всех конструкций,
используемых в представлении реализации.
В документации инструментальных средств разработки (например, в спецификациях языка
598

программирования и в руководствах пользователя) должны быть охвачены все
конструкции, используемые в представлении реализации ОО, и для каждой такой
конструкции должно быть предоставлено четкое и однозначное определение
предназначения и результата выполнения этой конструкции. Эта работа может быть
выполнена в сочетании с исследованием оценщиком представления реализации,
выполняемого в рамках подвида деятельности ADV_IMP.1 (при условии заявления
соответствующих требований доверия). Главные усилия оценщика следует направить на
выяснение того, действительно ли документация достаточно ясна для понимания


99
представления реализации. Например, документация не должна предполагать, что читатель
является экспертом по используемому языку программирования.
В большинстве широко используемых языков программирования, хотя и тщательно
599

спроектированных, не исключено наличие некоторых проблемных конструкций. Если язык
реализаций определен "почти" полностью, но при этом в нем все же имеются некоторые
проблемные конструкции, то до проведения исследования исходного текста следует
сделать лишь предварительное заключение.
ALC_TAT.2.3C
Оценщик должен исследовать документацию инструментальных средств, чтобы
ALC_TAT.2-3
сделать заключение, однозначно ли определены в ней значения всех опций,
обусловленных реализацией.
В документацию инструментальных средств разработки программного обеспечения
600

должны быть включены определения опций, обусловленных реализацией, которые могут
повлиять на выполняемый код, и тех, которые отличаются от стандарта используемого
языка. В случаях, когда оценщику предоставляется исходный текст, ему также должна быть
предоставлена информация по используемым опциям компиляции и сборки.
В документации инструментальных средств проектирования и разработки аппаратных
601

средств должно быть описано использование всех опций, которые влияют на результаты
применения инструментальных средств (например, детальные аппаратные спецификации
или сами аппаратные средства).
Оценщик должен исследовать документацию инструментальных средств, чтобы
ALC_TAT.2-4
сделать заключение, поддерживают ли инструментальные средства разработки и
стандарты реализации корректную реализацию ОО.
На этом шаге оценивания от оценщика не требуется проведения непосредственного
602

исследования самого инструментального средства. Оценщик может провести анализ
представления реализации в сочетании с подвидом деятельности ADV_IMP.*. При анализе
правильности представления реализации этот шаг оценивания может быть выполнен в
сочетании с видом деятельности ATE.
7.6.2.4.2Действие ALC_TAT.2.2E
Оценщик должен исследовать предоставленное представление реализации,
ALC_TAT.2-5
чтобы сделать заключение, применялись ли стандарты реализации.
Оценщик сравнивает предоставленное представление реализации с описанием
603

применявшихся стандартов реализации и верифицирует их использование. На этом уровне
не требуется, чтобы предоставленное представление реализации всех ФБО базировалось на
стандартах реализации. Требуется всего лишь, чтобы те стандарты реализации, на которые
ссылался разработчик, действительно применялись. Если упомянутые стандарты
реализации не применялись, по меньшей мере, к части предоставленного представления
реализации, то по этому шагу оценивания делается отрицательное заключение.
Этот шаг оценивания может быть выполнен в сочетании с подвидами деятельности
604

ADV_IMP.*.
7.6.3 Подвид деятельности ALC_TAT.3
7.6.3.1 Цели



100
Цель данного подвида деятельности – сделать заключение, использовал ли разработчик для
605

разработки, анализа и реализации ОО полностью определенные инструментальные
средства, которые дают непротиворечивые и предсказуемые результаты, и применялись ли
стандарты реализации ко всем ФБО.
7.6.3.2 Исходные данные
Свидетельством оценки для этого подвида деятельности являются:
606

а) документация инструментальных средств;
б) описание стандартов реализации;
в) предоставленное представление реализации ФБО.
7.6.3.3 Замечания по применению
Эта работа может выполняться в сочетании с видом деятельности ADV при условии
607

применения соответствующих требований доверия, в особенности в отношении
определения того, какие свойства инструментальных средств окажут влияние на
предоставленное представление.
7.6.3.4 Действия оценщика
Этот подвид деятельности включает три элемента действий оценщика из части 3 ОК:
608

а) ALC_TAT.3.1E;
б) ALC_TAT.3.2E;
в) Подразумеваемое действие оценщика, основанное на ALC_TAT.3.3Д.
7.6.3.4.1 Действие ALC_TAT.3.1E
ALC_TAT.3.1C
Оценщик должен исследовать документацию инструментальных средств, чтобы
ALC_TAT.3-1
сделать заключение, все ли инструментальные средства, используемые для
разработки, анализа и реализации ОО, полностью определены.
Это требование относится ко всем используемым инструментальным средствам. В их число
609

включены инструментальные средства для разработки проекта верхнего уровня, проекта
нижнего уровня и представления реализации.
Например, полностью определенными могут считаться те языки, компиляторы или САПР,
610

которые соответствуют общепризнанным стандартам, таким как стандарты ИСО.
Полностью определенным языком является тот, для которого имеется четкое и полное
описание его синтаксиса и детальное описание семантики каждой из его конструкций.
ALC_TAT.3.2C
Оценщик должен исследовать документацию инструментальных средств, чтобы
ALC_TAT.3-2
сделать заключение, однозначно ли определены в ней значения всех конструкций,
используемых в представлении реализации.
В документации инструментальных средств разработки (например, в спецификациях языка
611

программирования и в руководствах пользователя) должны быть охвачены все
конструкции, используемые в представлении реализации ОО, и для каждой такой
конструкции должно быть предоставлено четкое и однозначное определение
предназначения и результата выполнения этой конструкции. Эта работа может быть
выполнена в сочетании с исследованием оценщиком представления реализации,
выполняемого в рамках подвида деятельности ADV_IMP.1 (при условии заявления
соответствующих требований доверия). Главные усилия оценщика следует направить на
выяснение того, действительно ли документация достаточно ясна для понимания
101
представления реализации. Например, документация не должна предполагать, что читатель
является экспертом по используемому языку программирования.
В большинстве широко используемых языков программирования, хотя и тщательно
612

спроектированных, не исключено наличие некоторых проблемных конструкций. Если язык
реализаций определен "почти" полностью, но при этом в нем все же имеются некоторые
проблемные конструкции, то до проведения исследования исходного текста следует
сделать лишь предварительное заключение.
ALC_TAT.3.3C
Оценщик должен исследовать документацию инструментальных средств, чтобы
ALC_TAT.3-3
сделать заключение, однозначно ли определены в ней значения всех опций,
обусловленных реализацией.
В документацию инструментальных средств разработки программного обеспечения
613

должны быть включены определения опций, обусловленных реализацией, которые могут
повлиять на выполняемый код, и тех, которые отличаются от стандарта используемого
языка. В случаях, когда оценщику предоставляется исходный текст, ему также должна быть
предоставлена информация по используемым опциям компиляции и сборки.
В документации инструментальных средств проектирования и разработки аппаратных
614

средств должно быть описано использование всех опций, которые влияют на результаты
применения инструментальных средств (например, детальные аппаратные спецификации
или сами аппаратные средства).
Оценщик должен исследовать документацию инструментальных средств, чтобы
ALC_TAT.3-4
сделать заключение, поддерживают ли инструментальные средства разработки и
стандарты реализации корректную реализацию ОО.
На этом шаге оценивания от оценщика не требуется проведения непосредственного
615

исследования самого инструментального средства. Оценщик может провести анализ
представления реализации в сочетании с подвидом деятельности ADV_IMP.*. При анализе
правильности представления реализации этот шаг оценивания может быть выполнен в
сочетании с видом деятельности ATE.
7.6.3.4.2Действие ALC_TAT.3.2E
Оценщик должен исследовать предоставленное представление реализации,
ALC_TAT.3-5
чтобы сделать заключение, применялись ли стандарты реализации.
Оценщик сравнивает предоставленное представление реализации с описанием
616

применявшихся стандартов реализации и верифицирует их использование. На этом уровне
не требуется, чтобы предоставленное представление реализации всех ФБО базировалось на
стандартах реализации. Требуется всего лишь, чтобы те стандарты реализации, на которые
ссылался разработчик, действительно применялись. Если упомянутые стандарты
реализации не применялись, по меньшей мере, к части предоставленного представления
реализации, то по этому шагу оценивания делается отрицательное заключение.
Этот шаг оценивания может быть выполнен в сочетании с подвидами деятельности
617

ADV_IMP.*.




102
7.6.3.4.3 Подразумеваемое действие оценщика
7.6.3.4.4ALC_TAT.3.3Д
Оценщик должен исследовать представление реализации, чтобы сделать
ALC_TAT.3-6
заключение, применялись ли стандарты реализации к полной совокупности ФБО.
Оценщик сравнивает представление реализации с описанием применявшихся стандартов
618

реализации и верифицирует их использование. На этом уровне требуется, чтобы полное
представление реализации ФБО базировалось на тех стандартах реализации, на которые
сослался разработчик.
Оценщику следует удостовериться, что конструкции, запрещенные указанными
619

стандартами, не используются. Любые отклонения от стандартов приводят к
отрицательному заключению по этому шагу оценивания.
Этот шаг оценивания может быть выполнен в сочетании с подвидами деятельности
620

ADV_IMP.*.




103
8 Вид деятельности ATE
8.1 Введение
Вид деятельности «Тестирование» позволяет сделать заключение, функционирует ли ОО в
621

соответствии с тем, как определено в проектной документации, и в соответствии с
функциональными требованиями безопасности ОО, определенными в ЗБ.

8.2 Цели
Вид деятельности «Тестирование» предназначен для того, чтобы сделать заключение,
622

функционирует ли ОО в соответствии с тем, как определено в проектной документации и в
соответствии с функциональными требованиями безопасности ОО, определенными в ЗБ.
Данная цель достигается путем вынесения заключения о проведении разработчиком
тестирования ФБО на их соответствие функциональной спецификации, проекту верхнего
уровня и проекту нижнего уровня, повышая уверенность в результатах тестирования путем
выборочного выполнения тестов разработчика, а также путем проведения независимого
тестирования некоторого подмножества ФБО.
8.2.1 Замечания по применению
Объем и состав подмножества тестов оценщика зависят от нескольких факторов,
623

рассматриваемых в подвидах деятельности, связанных с независимым тестированием.
Один из таких факторов, оказывающих влияние на состав подмножества тестов, – это
известные из общедоступных источников слабые места, к информации о которых
оценщику необходимо получить доступ (например, в рамках системы сертификации).
Для повышения гибкости применения компонентов семейств в ОК вопросы покрытия
624

тестами и глубины тестирования рассмотрены отдельно от функциональных тестов. Тем не
менее, требования соответствующих семейств предназначены для совместного применения
в целях подтверждения, что ФБО выполняются согласно их спецификации. Такая тесная
связь семейств привела к некоторому дублированию работы оценщика по подвидам
деятельности. Настоящие замечания по применению используются для минимизации
повторения текста при описании подвидов деятельности одного и того же вида
деятельности.
8.2.1.1 Понимание ожидаемого режима функционирования ОО
Прежде, чем адекватность тестовой документации может быть надлежащим образом
625

оценена, и прежде, чем могут быть созданы новые тесты, оценщику необходимо понять
желательный ожидаемый режим выполнения функций безопасности в контексте
требований, которым они должны удовлетворять.
В какой то момент времени оценщик может сосредоточиться на одной функции ФБО. Для
626

каждой функции безопасности оценщик исследует конкретное требование ЗБ и
соответствующие части функциональной спецификации, проекта верхнего уровня и
руководств для понимания ожидаемого режима функционирования ОО.
Понимая ожидаемый режим функционирования ОО, оценщик исследует план
627

тестирования, чтобы понять подход к тестированию. В большинстве случаев подход к
тестированию будет предусматривать инициирование выполнения некоторой функции
безопасности через внешние или внутренние интерфейсы и наблюдение ее реакции. Тем не
менее, могут быть случаи, когда функция безопасности не может быть адекватно

104
протестирована через интерфейс (как, например, в случае с тестированием
функциональных возможностей защиты остаточной информации); в подобных случаях
необходимо использовать другой способ.
8.2.1.2 Альтернативные тестированию подходы к верификации ожидаемого режима
выполнения функции безопасности
В тех случаях, когда практически нецелесообразно или несоразмерно осуществлять
628

тестирование через интерфейс, в плане тестирования должен быть определен
альтернативный подход к верификации ожидаемого режима выполнения. Сделать
заключение о пригодности альтернативного подхода – обязанность оценщика. Оценивая
пригодность альтернативных подходов, следует учесть, что:
a) приемлемым альтернативным подходом является анализ представления реализации, для
заключения, что требуемый режим функционирования будет демонстрироваться ОО. Это
может означать экспертизу кода для программного ОО или возможно экспертизу
фотошаблона (маски) микросхем для аппаратного ОО.
б) приемлемым является использование свидетельства помодульного или интегрированного
тестирования разработчиком, даже если это не соизмеримо с представленными на оценку
проектом нижнего уровня или реализацией. Если при верификации ожидаемого режима
выполнения функции безопасности используется свидетельство помодульного или
интегрированного тестирования разработчиком, следует внимательно отнестись к
подтверждению того, что данное свидетельство тестирования отражает текущую
реализацию ОО. Если конкретная подсистема или модули подверглись изменению после
проведения тестирования, то обычно потребуется свидетельство, что изменения были
отслежены и учтены в ходе анализа или проведения последующего тестирования.
Следует подчеркнуть, что дополнительные по отношению к тестированию усилия с
629

использованием альтернативных подходов следует предпринять только тогда, когда и
разработчик, и оценщик сделают заключение, что не существует других практичных
способов проведения тестирование ожидаемого режима выполнения некоторой функции
безопасности. Такая альтернатива дает возможность разработчику минимизировать затраты
(времени и/или денег) на тестирование при описанных выше обстоятельствах; она не
предназначена для того, чтобы дать оценщику большую свободу требовать произвольную
дополнительную информацию относительно ОО, а также для того, чтобы вообще заменить
тестирование.
8.2.1.3 Верификация адекватности тестов
Для тестов необходимо заранее установить требуемые начальные условия их выполнения.
630

Они могут быть определены через параметры, которые должны быть установлены, или
через упорядочение тестов в тех случаях, когда завершение одного теста устанавливает
необходимые предварительные условия выполнения другого теста. Оценщик должен
сделать заключение о полноте предварительных условий выполнения тестов и их
приемлемости, с точки зрения того, что они не приведут к смещению наблюдаемых
результатов тестирования по отношению ожидаемым результатам тестирования.
Шаги тестирования и ожидаемые результаты тестирования определяют действия и
631

параметры, относящиеся к интерфейсам, а также способ верификации ожидаемых
результатов, и что они из себя представляют. Оценщик должен сделать заключение о
согласованности шагов тестирования и ожидаемых результатов тестирования с

105
функциональной спецификацией и проектом верхнего уровня. Тесты должны
верифицировать задокументированный в этих спецификациях режим выполнения. Это

<< Пред. стр.

страница 15
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign