2015-10-13
542
Класс АМА содержит требования, предназначенные для применения после того, как ОО был сертифицирован на основе ГОСТ Р ИСО/МЭК 15408. Эти требования имеют целью сохранить уверенность в том, что ОО продолжит отвечать своему заданию по безопасности после изменений в ОО или его среде. К таким изменениям относятся обнаружение новых угроз или уязвимостей, изменения в требованиях пользователя, а также исправление ошибок, найденных в сертифицированном ОО.
Класс включает в себя четыре семейства с иерархией компонентов в семействах, показанной на рисунке 16.1:
Рисунок 16.1 - Декомпозиция класса "Поддержка доверия"
План поддержки доверия (АМА_АМР)
Цели
План поддержки доверия (ПД) идентифицирует процедуры, которые необходимо выполнять разработчику по мере изменений в ОО или его среде для обеспечения поддержки доверия, которое было установлено к сертифицированному ОО. План ПД специфичен для конкретного ОО и зависит от личного опыта и навыков разработчика.
Ранжирование компонентов
|
|
|
Это семейство содержит только один компонент.
Замечания по применению
План ПД распространяется на один цикл поддержки доверия, который представляет собой период от завершения последней выполненной оценки ОО до завершения следующей запланированной переоценки.
Требования АМА_АМР.1.2С и АМА_АМР.1.3С помогают обеспечить четкую идентификацию основания для поддержки доверия в терминах результатов оценки и определения категорирования компонентов ОО. Отчет о категорировании компонентов ОО формируют в соответствии с требованиями семейства АМА_САТ, и он предоставляет основу для анализа влияния на безопасность, выполняемого аналитиком безопасности от разработчика.
Пределы изменений, предусмотренные планом в соответствии с АМА_АМР.1.4С, следует определять в терминах категории компонентов ОО, которые могут подвергнуться изменениям, и уровня представления, на котором могут происходить изменения (со ссылкой, где это необходимо, на отчет о категорировании компонентов ОО).
АМА_АМР.1.5С содержит требование описания текущих планов разработчика для любых новых выпусков ОО. Эти планы, естественно, могут изменяться и, следовательно, вызывать обновления в плане ПД. Однако следует отметить, что в данном контексте термин новый выпуск не включает в себя, например, второстепенные ("внеплановые") выпуски ОО, обусловленные исправлением незначительных ошибок.
АМА_АМР.1.6С содержит требование определить плановый график аудита ПД (см. семейство AMA_EVD) и намеченную переоценку ОО вместе со строгим обоснованием предложенных графиков. В основу планирования может быть положен определенный период времени (например, ежегодный аудит ПД) или же планирование может быть связано с ожидаемыми новыми выпусками ОО. В графике следует учесть ожидаемые изменения ОО в течение указанного, а также прошедшего между оценкой ОО и составлением плана ПД периодов. В частности, любые изменения, выходящие за рамки плана ПД, могут привести к переоценке.
АМА_АМР.1 План поддержки доверия
Зависимости
