ГОСТ Р ИСО МЭК 15408-1 2007 (1027762), страница 8
Текст из файла (страница 8)
В основном завершенное ЗБ снижает риск проблем позднее в процессе оценки, в нем все разделы завершены доприемлемой для системы оценки степени и по отношению к нему не предвидится серьезных трудностей, связанных с оценкой. Результаты оценки ОО должны продемонстрировать, что ОО отвечает требованиям безопасности, содержащимся в оцененном ЗБ.26ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)6 Требования ГОСТ Р ИСО/МЭК 15408 и результаты оценки6.1ВведениеВ этом разделе представлены ожидаемые результаты оценки ПЗ и ОО. Оценки профилейзащиты или объектов оценки позволяют создавать соответственно каталоги ПЗ или ОО, прошедших оценку. Оценка ЗБ дает промежуточные результаты, которые затем используются при оценкеОО.ОценитьПЗРезультатыоценки ПЗОценитьЗБРезультатыоценки ЗБОценитьООВнести ПЗв каталогРезультатыоценки ООПЗ,прошедшийоценкуВнести сертификаты вкаталогОО,прошедшийоценкуРисунок 9 – Результаты оценкиНеобходимо, чтобы оценка приводила к объективным и повторяемым результатам, на которые затем можно ссылаться как на свидетельство даже при отсутствии абсолютно объективнойшкалы для представления результатов оценки безопасности ИТ.
Наличие совокупности критериевоценки является необходимым предварительным условием для того, чтобы оценка приводила кзначимому результату, предоставляя техническую основу для взаимного признания результатовоценки различными органами оценки. Но практическое применение критериев включает как объективные, так и субъективные элементы, поэтому невозможно получение абсолютно точных и универсальных рейтингов безопасности ИТ.Рейтинг, полученный в соответствии с ГОСТ Р ИСО/МЭК 15408, представляет итоговые данные специфического типа исследования характеристик безопасности ОО. Такой рейтинг не гарантирует пригодность к использованию в какой-либо конкретной среде применения.
Решение о приемке ОО к использованию в конкретной среде применения основывается на учете многих аспектовбезопасности, включая и выводы оценки.6.2Требования, включаемые в ПЗ и ЗБВ ГОСТ Р ИСО/МЭК 15408 определена совокупность критериев безопасности ИТ, котораяможет отвечать потребностям многих сообществ пользователей. ГОСТ Р ИСО/МЭК 15408 разработан, исходя из того основного принципа, что для формирования требований к ОО в виде профилей защиты и заданий по безопасности предпочтительно использование функциональных компонентов безопасности из ГОСТ Р ИСО/МЭК 15408-2, ОУД и компонентов доверия из ГОСТ РИСО/МЭК 15408-3, поскольку они представляют хорошо известную и понятную сферу применимости.В ГОСТ Р ИСО/МЭК 15408 допускается возможность того, что при формировании полногонабора требований к безопасности ИТ могут понадобиться функциональные требования и требования доверия, не включенные в соответствующие каталоги.
Для включения в ПЗ или ЗБ такихрасширенных требований должны быть выполнены следующие условия:27ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)a) любые расширенные функциональные требования или требования доверия, включенныев ПЗ или ЗБ, должны иметь четкую и недвусмысленную формулировку, выраженную таким образом, что оценка и демонстрация соответствия ОО этим требованиям была бы возможна. В качестве образца должен использоваться уровень детализации и способ выражения существующихфункциональных компонентов и компонентов доверия из ГОСТ Р ИСО/МЭК 15408;b) результаты оценки, полученные с использованием расширенных функциональных требований и требований доверия, должны содержать пояснение этого;c) включение, при необходимости, в состав ПЗ или ЗБ расширенных функциональных требований или требований доверия должно соответствовать требованиям классов APE или ASE изГОСТ Р ИСО/МЭК 15408-3.6.2.1Результаты оценки ПЗГОСТ Р ИСО/МЭК 15408 содержит критерии оценки, позволяющие оценщику установить, является ли ПЗ полным, непротиворечивым, технически правильным и, следовательно, пригоднымдля изложения требований к потенциально оцениваемому ООРезультат оценки ПЗ должен формулироваться как "соответствие/несоответствие".
ПЗ, длякоторого оценка заканчивается положительно, должен получить право включения в реестр.6.3Требования к ООГОСТ Р ИСО/МЭК 15408 содержит критерии оценки, которые позволяют оценщику решить,удовлетворяет ли ОО требованиям безопасности, выраженным в ЗБ. Используя ГОСТ Р ИСО/МЭК15408 при оценке ОО, оценщик сможет прийти к выводам:a) отвечают ли специфицированные функции безопасности ОО функциональным требованиям и, следовательно, эффективны ли они для достижения целей безопасности ОО;b) правильно ли реализованы специфицированные функции безопасности ОО.Требования безопасности, содержащиеся в ГОСТ Р ИСО/МЭК 15408, определяют хорошоотработанную сферу применимости критериев оценки безопасности ИТ. ОО, для которого требования безопасности выражены только в терминах функциональных требований и требований доверия из ГОСТ Р ИСО/МЭК 15408, может быть оценен по ГОСТ Р ИСО/МЭК 15408.
Использованиепакетов требований доверия, не содержащих ОУД, должно быть логически обосновано.Однако может возникнуть потребность, чтобы ОО отвечал требованиям безопасности, непосредственно не выраженным в ГОСТ Р ИСО/МЭК 15408. В ГОСТ Р ИСО/МЭК 15408 признаетсянеобходимость оценки подобных ОО, но, поскольку дополнительные требования лежат вне известной сферы применимости ГОСТ Р ИСО/МЭК 15408, результаты такой оценки должны сопровождаться соответствующим пояснением. Для подобных ОО может быть поставлено под угрозувсеобщее признание результатов оценки заинтересованными органами оценки.Результаты оценки ОО должны включать утверждение о соответствии ГОСТ Р ИСО/МЭК15408.
Описание безопасности ОО в терминах ГОСТ Р ИСО/МЭК 15408 дает возможность сравнения характеристик безопасности различных ОО.6.3.1Результаты оценки ООВ результате оценки ОО должна быть установлена степень доверия тому, что ОО соответствует требованиям.Результат оценки ОО должен формулироваться как "соответствие/несоответствие". ОО, длякоторого оценка заканчивается положительно, должен получить право включения в реестр. Результаты оценки должны также включать «Результаты оценки соответствия»6.4Результаты оценки соответствияРезультаты оценки соответствия указывают источник совокупности требований, которымудовлетворяет ОО или ПЗ, проходящие оценку. Эти результаты оценки соответствия представляются путем соотнесения с ГОСТ Р ИСО/МЭК 15408-2 (функциональные требования), ГОСТ РИСО/МЭК 15408-3 (требования доверия) и, если применимо, с предопределенным набором требований (например, ОУД, профиль защиты).Результаты оценки соответствия включают одно из следующего:28ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)a) «соответствие ГОСТ Р ИСО/МЭК 15408-2» – ПЗ или ОО соответствует ГОСТ Р ИСО/МЭК15408-2, если функциональные требования основаны только на функциональных компонентах изГОСТ Р ИСО/МЭК 15408-2;b) «расширение ГОСТ Р ИСО/МЭК 15408-2» – ПЗ или ОО является расширенным по отношению к ГОСТ Р ИСО/МЭК 15408-2, если функциональные требования включают функциональныекомпоненты, не содержащиеся в ГОСТ Р ИСО/МЭК 15408-2;а также одно из следующего:a) «соответствие ГОСТ Р ИСО/МЭК 15408-3» – ПЗ или ОО соответствует ГОСТ Р ИСО/МЭК15408-3, если требования доверия основаны только на компонентах доверия из ГОСТ Р ИСО/МЭК15408-3;b) «расширение ГОСТ Р ИСО/МЭК 15408-3» – ПЗ или ОО является расширенным по отношению к ГОСТ Р ИСО/МЭК 15408-3, если требования доверия включают требования доверия не изГОСТ Р ИСО/МЭК 15408-3;Кроме того, результат оценки соответствия может включать утверждение, сделанное относительно набора определенных требований; в данном случае результат оценки соответствиявключает одно из следующего:a) «соответствие именованному пакету» – ПЗ или ОО соответствует предопределенномуименованному функциональному пакету и/или пакету доверия (например, ОУД), если требования(функциональные или доверия) включают все компоненты, перечисленные в пакете, как часть результата оценки соответствия;b) «усиление именованного пакета» – ПЗ или ОО является усилением предопределенногоименованного функционального пакета и/или пакета доверия (например, ОУД), если требования(функциональные или доверия) являются надлежащим надмножеством всех компонентов, перечисленных в пакете, как часть результата оценки соответствия;Результат оценки соответствия может также включать утверждение, сделанное относительно профилей защиты; в данном случае результат оценки соответствия включает следующее:a) «соответствие ПЗ» – ОО удовлетворяет конкретному ПЗ (профилям защиты), который(ые) перечислен(ы) как часть результата оценки соответствия.6.5Использование результатов оценки ООПродукты и системы ИТ отличаются в отношении использования результатов оценки.
На рисунке 10 показаны различные пути использования результатов оценки. Продукты можно оцениватьи каталогизировать последовательно на все более высоких уровнях агрегирования вплоть до достижения уровня эксплуатируемых систем, когда продукты могут подлежать оценке в связи с аттестацией системы.29ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)КаталогоцененныхпродуктовКаталогпрофилейзащиты(не обязательно)Требованиябезопасности(не обязательно)Разработать иоценитьООРезультатыоценкиВнестипродуктв каталогОцененныйпродукт(альтернативные варианты)Аттестовать системуАттестованнаясистемаКритерииаттестациисистемыРисунок 10 – Использование результатов оценки ОООО разрабатывается в соответствии с требованиями, в которых могут быть приняты во внимание характеристики безопасности любых ранее оцененных продуктов, входящих в его состав, ипрофилей защиты, на которые делаются ссылки.
Последующая оценка ОО приводит к получениюсовокупности результатов оценки, документирующих данные, полученные при оценке.После завершения оценки продукта ИТ, предназначенного для широкого использования,краткое заключение с данными оценки может быть помещено в каталог оцененных продуктов, чтобы оно было доступно широкому кругу потребителей, нуждающихся в безопасных продуктах ИТ.Если ОО включен или будет включен в состав установленной системы ИТ, которая подвергается оценке, результаты его оценки предоставляются аттестующему систему. Тогда результатыоценки, проведенной согласно ГОСТ Р ИСО/МЭК 15408, могут быть учтены аттестующим при применении принятых в организации критериев аттестации, требующих оценки по ГОСТ Р ИСО/МЭК15408.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
