ГОСТ Р ИСО МЭК 15408-1 2007 (1027762), страница 12
Текст из файла (страница 12)
В некоторых случаях, когда дополнения к ПЗ существенны,может оказаться предпочтительным для ясности повторно изложить содержание ПЗ в составе ЗБ.e) Случай, когда в ЗБ утверждается о частичном соответствии ПЗ, не приемлем для оценки врамках ГОСТ Р ИСО/МЭК 15408.ГОСТ Р ИСО/МЭК 15408 не содержит жестких правил предпочтения ссылки на ПЗ повторению изложения его целей и требований. Основным является требование, чтобы содержание ЗБбыло полным, ясным и однозначным настолько, чтобы оценка ЗБ была возможной, а само ЗБ яв-41ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)лялось приемлемой основой для оценки ОО, и четко прослеживалось соответствие каждому заявленному ПЗ.Если сделано утверждение о соответствии какому-либо ПЗ, то изложение утверждений о соответствии должно содержать следующий материал для каждого ПЗ.a) Ссылку на ПЗ, идентифицирующую ПЗ, соответствие которому утверждается, плюс любые дополнительные материалы, которые могут потребоваться в соответствии с этим утверждением.
Обоснованное утверждение о соответствии подразумевает, что ОО отвечает всем требованиям ПЗ.b) Конкретизацию ПЗ, идентифицирующую те требования безопасности ИТ, в которых выполняются операции, разрешенные в ПЗ, или дополнительно уточняются требования ПЗ.c) Дополнение ПЗ, идентифицирующее цели и требования безопасности ОО, которые дополняют цели и требования ПЗ.В.2.9 Замечания по применениюЭта часть ЗБ не является обязательной и может содержать дополнительную информацию,которая считается уместной или полезной для понимания ЗБ. Необходимо отметить, что если в ЗБутверждается о соответствии требованиям ПЗ, это может быть уместным, чтобы определеннаяинформация, содержащаяся в потенциальном подразделе ПЗ «Замечания по применению», былаотражена в других подразделах ЗБ.
Например, информацию, касающуюся конструкции ОО, вероятно более уместно представить в краткой спецификации ОО или в разделе ЗБ «Обоснование»,чем в отдельном подразделе ЗБ «Замечания по применению». Для упрощения оценки ЗБ и принимая во внимание, что структура представления ЗБ, изложенная в этом приложении, не являетсянормативной, замечания по применению, содержащие необходимый для оценки материал, должны быть частью подраздела ЗБ, который предоставляет свидетельство для данного аспекта оценки.В.2.10 ОбоснованиеВ этой части ЗБ представляется свидетельство, используемое при оценке ЗБ. Это свидетельство поддерживает утверждения, что ЗБ является полной и взаимосвязанной совокупностьютребований, и что соответствующий ему ОО обеспечит эффективный набор контрмер безопасности ИТ в определенной среде безопасности, а краткая спецификация ОО согласуется с требованиями.
Обоснование также демонстрирует, что все утверждения о соответствии ПЗ справедливы.Обоснование должно включать следующее.a) Обоснование целей безопасности, демонстрирующее, что изложенные цели безопасности сопоставимы со всеми идентифицированными аспектами среды безопасности ОО и пригодныдля их охвата.b) Обоснование требований безопасности, демонстрирующее, что совокупность требований безопасности (ОО и его среды) пригодна для достижения целей безопасности и сопоставленас ними. Должно быть продемонстрировано следующее:1) сочетание отдельных компонентов функциональных требований и требований доверия для ОО и его среды ИТ в совокупности отвечает изложенным целям безопасности;2) данный набор требований безопасности образует единое и внутренне непротиворечивое целое;3) выбор требований безопасности логически обоснован.
При этом должны быть логически обоснованы:-выбор требований, не содержащихся в ГОСТ Р ИСО/МЭК 15408-2 или ГОСТ РИСО/МЭК 15408-3,-выбор требований доверия, не включенных в какой-либо ОУД,-случаи неудовлетворения зависимостей;4) выбранный для ЗБ уровень стойкости функций и заявленная в явном виде стойкостьфункций согласуются с целями безопасности для ОО.42ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)c) Обоснование краткой спецификации ОО, показывающее, что функции безопасности имеры доверия к ОО пригодны, чтобы отвечать требованиям безопасности ОО.
Должно быть продемонстрировано следующее:1) сочетание специфицированных для ОО функций безопасности ИТ при совместном использовании удовлетворяет функциональным требованиям безопасности ОО;2) справедливы сделанные утверждения о стойкости функций безопасности ОО либо заявление, что в таких утверждениях нет необходимости;3) логически обосновано утверждение, что изложенные меры доверия соответствуюттребованиям доверия.Уровень детализации обоснования должен соответствовать уровню детализации определения функций безопасности.d) Обоснование утверждений о соответствии ПЗ, объясняющее любые различия междуцелями и требованиями безопасности ЗБ и любого ПЗ, соответствие которому утверждается. Этачасть ЗБ может быть опущена, если не сделано утверждений о соответствии ПЗ, или если цели итребования безопасности ЗБ и каждого ПЗ, соответствие которому утверждается, полностью совпадают.Этот потенциально объемный материал разрешается распространять отдельно, посколькуон необходим или полезен не для всех пользователей ЗБ.43ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)Библиография[1] Bell, D.
E. and LaPadula, L. J., Secure Computer Systems: Unified Exposition and MULTICSInterpretation, Revision 1, US Air Force ESD-TR-75-306, MITRE Corporation MTR-2997, Bedford MA,March1976.[2] Biba, K. J., Integrity Considerations for Secure Computer Systems, ESD-TR-372, ESD/ AFSC,Hanscom AFB, Bedford MA., April 1977.[3] Canadian Trusted Computer Product Evaluation Criteria, Version 3.0, Canadian System Security Centre, Communications Security Establishment, Government of Canada, January 1993.[4] Federal Criteria for Information Technology Security, Draft Version 1.0, (Volumes I and II),jointly published by the National Institute of Standards and Technology and the National Security Agency,US Government, January 1993.[5] Goguen, J. A. and Meseguer, J., "Security Policies and Security Models," 1982 Symposium onSecurity and Privacy, pp.11-20, IEEE, April 1982.[6] Goguen, J.
A. and Meseguer, J., "Unwinding and Inference Control," 1984 Symposium on Security and Privacy, pp.75-85, IEEE, May 1984.[7] Information Technology Security Evaluation Criteria, Version 1.2, Office for Official Publications of the European Communities, June 1991.[8] ISO/IEC 7498-2:1989, Information processing systems – Open Systems Interconnection –Basic Reference Model, Part 2: Security Architecture.[9] ISO/IEC 15292:2001, Information technology – Security techniques – Protection Profile registration procedures.[10] Trusted Computer Systems Evaluation Criteria, US DoD 5200.28-STD, December 1985.[11] ISO/IEC Directives, Part 2 Rules for the structure and drafting of International Standards,http://www.iec.ch/tiss/iec/Directives-Part2-Ed5.pdf44ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)УДК 681.324:006.354ОКС 35.040П85ОКСТУ 4002Ключевые слова: информационная технология, задание по безопасности, профиль защиты, объектоценки, критерии оценки безопасности, функция безопасностиПредседатель ТК 362начальник ГНИИИ ПТЗИ ФСТЭК РоссииВ.Г.ГерасименкоОтветственный секретарь ТК 362начальник отделаГНИИИ ПТЗИ ФСТЭК РоссииЮ.Г.КирсановРуководитель разработкиведущий научный сотрудникООО «Центр безопасности информации»М.Т.Кобзарь45.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
