*в сторону*
По линии МО все зависит от: кривизна первичного ТЗ -> кривизна его согласования -> кривизна его правок на основе прошлых кривых ТЗ -> дебилизм вышестоящих по отношению к нижестоящим == как правило вовсе не то, что хотелось, зато проверяться должно от и до, увы. Но в некоторых случаях удается продавить позицию, что "используя компоненты по Х классу НДВ, не следует их повторно проверять в рамках результирующего продукта на тот же самый Х класс НДВ"...
По линии ФСТЭК все зависит всецело от сертификационной лаборатории и кривизные первичного ТЗ (Задания по безопасности / Технических условий). Но в общем случае, если модификаций в юзаемых либах из состава дистрибутива нет, + эти либы также проходили сертификацию по ОУД == не требуется проверка этих компонент. А если разрабатываемый софт для выполнения функций безопасности тупо дергает системные проверенные тулзы, то вообще красота...
По линии ФСБ... Ну, там своя атмосфера, ага...
Поэтому, imho, запрашиваем у Астры официальное письмо с перечнем интересующих нас компонент, которые планируем юзать, на предмет: распространяется ли на них в полной мере условия сертификата соответствия по требуемому уровню ОУД или НДВ (этот уровень уже должны сами знать). Если ответ устраивает - прикрываемся им в период последующей разработки и сертификации. Если не устраивает, то пытаемся договориться и выснить полноту картины в нужно сертификационной лаборатории. Третьего, боюсь, не дано...
И это простой случай, когда мы не разрабатываем непосредственно новое СЗИ (тем более СКЗИ), а делаем тупо "доверенный софт" под "доверенную ОС"...
