ГОСТ Р ИСО МЭК 15408-3 2007 (1027766), страница 9
Текст из файла (страница 9)
Оценка описания ООтребуется, чтобы показать, что оно является логически последовательным, внутренне непротиворечивым и согласованным со всеми другими частями ЗБ.9.1.2ASE_DES.1Задание по безопасности, описание ОО, требования оценкиЗависимости: ASE_ENV.1 Задание по безопасности, среда безопасности, требования оценкиASE_INT.1 Задание по безопасности, введение ЗБ, требования оценки30ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)ASE_OBJ.1 Задание по безопасности, цели безопасности, требования оценкиASE_PPC.1 Задание по безопасности, утверждения о соответствии ПЗ, требования оценкиASE_REQ.1 Задание по безопасности, требования безопасности ИТ, требования оценкиASE_TSS.1 Задание по безопасности, краткая спецификация ОО, требованияоценки9.1.2.19.1.2.1.1Элементы действий разработчикаASE_DES.1.1DРазработчик должен представить описание ОО как часть ЗБ.9.1.2.29.1.2.2.1Элементы содержания и представления свидетельствASE_DES.1.1CОписание ОО должно включать в себя тип продукта или системы, область применения ОО, а также физические и логические границы ОО.9.1.2.39.1.2.3.1Элементы действий оценщикаASE_DES.1.1EОценщик должен подтвердить, что представленная информация удовлетворяет всемтребованиям к содержанию и представлению свидетельств.9.1.2.3.2ASE_DES.1.2EОценщик должен подтвердить, что описание ОО является логически последовательным и внутренне непротиворечивым.9.1.2.3.3ASE_DES.1.3EОценщик должен подтвердить, что описание ОО согласуется с другими частями ЗБ.9.2Среда безопасности (ASE_ENV)9.2.1ЦелиДля принятия решения о достаточности требований безопасности ИТ в ЗБ важно, чтобы решаемая задача безопасности ясно понималась всеми участниками оценки.9.2.2оценкиASE_ENV.1Задание по безопасности, среда безопасности, требованияЗависимости отсутствуют.9.2.2.19.2.2.1.1Элементы действий разработчикаASE_ENV.1.1DРазработчик должен представить изложение среды безопасности ОО как часть ЗБ.9.2.2.29.2.2.2.1Элементы содержания и представления свидетельствASE_ENV.1.1CИзложение среды безопасности ОО должно идентифицировать и объяснить каждоепредположение о предполагаемом применении ОО и среде использования ОО.9.2.2.2.2ASE_ENV.1.2C31ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)Изложение среды безопасности ОО должно идентифицировать и объяснить каждуюизвестную или предполагаемую угрозу активам, от которой будет требоваться защита посредством ОО или его среды.9.2.2.2.3ASE_ENV.1.3CИзложение среды безопасности ОО должно идентифицировать и объяснить каждуюполитику безопасности организации, соответствие которой для ОО необходимо.9.2.2.39.2.2.3.1Элементы действий оценщикаASE_ENV.1.1EОценщик должен подтвердить, что представленная информация удовлетворяет всемтребованиям к содержанию и представлению свидетельств.9.2.2.3.2ASE_ENV.1.2EОценщик должен подтвердить, что описание среды безопасности ОО является логически последовательным и внутренне непротиворечивым.9.3Введение ЗБ (ASE_INT)9.3.1ЦелиВведение ЗБ содержит материалы по идентификации и индексации материалов.
Оценкавведения ЗБ требуется для демонстрации, что ЗБ правильно идентифицировано, и введение согласуется со всеми другими частями ЗБ.9.3.2ASE_INT.1Задание по безопасности, введение ЗБ, требования оценкиЗависимости: ASE_DES.1 Задание по безопасности, описание ОО, требования оценкиASE_ENV.1 Задание по безопасности, среда безопасности, требования оценкиASE_OBJ.1 Задание по безопасности, цели безопасности, требования оценкиASE_PPC.1 Задание по безопасности, утверждения о соответствии ПЗ, требования оценкиASE_REQ.1 Задание по безопасности, требования безопасности ИТ, требования оценкиASE_TSS.1 Задание по безопасности, краткая спецификация ОО, требованияоценки9.3.2.19.3.2.1.1Элементы действий разработчикаASE_INT.1.1DРазработчик должен представить введение ЗБ как часть ЗБ.9.3.2.29.3.2.2.1Элементы содержания и представления свидетельствASE_INT.1.1CВведение ЗБ должно содержать данные идентификации ЗБ, которые предоставляютмаркировку и описательную информацию, необходимые для идентификации и примененияЗБ и ОО, к которому оно относится.9.3.2.2.2ASE_INT.1.2CВведение ЗБ должно содержать аннотацию ЗБ с общей характеристикой ЗБ в описательной форме.9.3.2.2.3ASE_INT.1.3CВведение ЗБ должно содержать утверждение о соответствии ГОСТ Р ИСО/МЭК 15408,излагающее все оцениваемые утверждения о соответствии ОО ГОСТ Р ИСО/МЭК 15408.32ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)9.3.2.39.3.2.3.1Элементы действия оценщика:ASE_INT.1.1EОценщик должен подтвердить, что представленная информация удовлетворяет всемтребованиям к содержанию и представлению свидетельств.9.3.2.3.2ASE_INT.1.2EОценщик должен подтвердить, что введение ЗБ является логически последовательным и внутренне непротиворечивым.9.3.2.3.3ASE_INT.1.3EОценщик должен подтвердить, что введение ЗБ согласуется с другими частями ЗБ.9.4Цели безопасности (ASE_OBJ)9.4.1ЦелиЦели безопасности – краткое изложение предполагаемой реакции на проблему безопасности.
Оценка целей безопасности требуется для демонстрации, что установленные цели адекватныпроблеме безопасности. Существуют цели безопасности для ОО и цели безопасности для среды.Необходимо сопоставить цели безопасности для ОО и среды с идентифицированными угрозами,которым они противостоят, и/или с политикой и предположениями, которым они соответствуют.9.4.2оценкиASE_OBJ.1Задание по безопасности, цели безопасности, требованияЗависимости: ASE_ENV.1 Задание по безопасности, среда безопасности, требования оценки9.4.2.19.4.2.1.1Элементы действий разработчикаASE_OBJ.1.1DРазработчик должен представить изложение целей безопасности как часть ЗБ.9.4.2.1.2ASE_OBJ.1.2DРазработчик должен представить обоснование целей безопасности.9.4.2.29.4.2.2.1Элементы содержания и представления свидетельствASE_OBJ.1.1CИзложение целей безопасности должно определить цели безопасности для ОО и егосреды.9.4.2.2.2ASE_OBJ.1.2CЦели безопасности для ОО должны быть сопоставлены с теми аспектами идентифицированных угроз, которым будет противостоять ОО, и/или с политикой безопасности организации, которая будет выполняться ОО.9.4.2.2.3ASE_OBJ.1.3CЦели безопасности для среды должны быть сопоставлены с теми аспектами идентифицированных угроз, которым ОО противостоит не полностью, и/или с политикой безопасности организации или предположениями, не полностью выполняемыми ОО.9.4.2.2.4ASE_OBJ.1.4CОбоснование целей безопасности должно демонстрировать, что изложенные целибезопасности пригодны для противостояния всем идентифицированным угрозам безопасности.9.4.2.2.5ASE_OBJ.1.5C33ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)Обоснование целей безопасности должно демонстрировать, что изложенные целибезопасности пригодны для охвата всех установленных положений политики безопасностиорганизации и предположений.9.4.2.39.4.2.3.1Элементы действий оценщикаASE_OBJ.1.1EОценщик должен подтвердить, что представленная информация удовлетворяет всемтребованиям к содержанию и представлению свидетельств.9.4.2.3.2ASE_OBJ.1.2EОценщик должен подтвердить, что описание целей безопасности является полным,логически последовательным и внутренне непротиворечивым.9.5Утверждения о соответствии ПЗ (ASE_PPC)9.5.1ЦелиЦель оценки утверждений о соответствии ПЗ состоит в том, чтобы решить, является ли ЗБкорректным отображением ПЗ.9.5.2Замечания по применениюСемейство применяют только при наличии утверждений о соответствии ПЗ.
В противномслучае не требуется никаких действий разработчика и оценщика.Хотя при наличии утверждений о соответствии ПЗ необходимы дополнительные действия пооценке, затраты на оценку ЗБ обычно все-таки меньше, чем в случае, когда никакой ПЗ не применяется, потому что при оценке ЗБ можно использовать результаты оценки этого ПЗ.9.5.3ASE_PPC.1бования оценкиЗадание по безопасности, утверждения о соответствии ПЗ, тре-Зависимости: ASE_OBJ.1 Задание по безопасности, цели безопасности, требования оценкиASE_REQ.1 Задание по безопасности, требования безопасности ИТ, требования оценки9.5.3.19.5.3.1.1Элементы действий разработчикаASE_PPC.1.1DРазработчик должен представить каждое утверждение о соответствии ПЗ как частьЗБ.9.5.3.1.2ASE_PPC.1.2DРазработчик должен представить обоснование утверждений о соответствии ПЗ длякаждого представленного утверждения о соответствии ПЗ.9.5.3.29.5.3.2.1Элементы содержания и представления свидетельствASE_PPC.1.1CКаждое утверждение о соответствии ПЗ должно идентифицировать ПЗ, соответствиекоторому утверждается, включая необходимые уточнения, связанные с этим утверждением.9.5.3.2.2ASE_PPC.1.2CКаждое утверждение о соответствии ПЗ должно идентифицировать формулировкитребований безопасности ИТ, в которых завершены разрешенные операции или иначе выполнено дальнейшее уточнение требований ПЗ.9.5.3.2.334ASE_PPC.1.3CГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)Каждое утверждение о соответствии ПЗ должно идентифицировать формулировкисодержащихся в ЗБ целей безопасности и требований безопасности ИТ, которые дополняют имеющиеся в ПЗ.9.5.3.39.5.3.3.1Элементы действий оценщикаASE_PPC.1.1EОценщик должен подтвердить, что представленная информация удовлетворяет всемтребованиям к содержанию и представлению свидетельств.9.5.3.3.2ASE_PPC.1.2EОценщик должен подтвердить, что утверждения о соответствии профилям защитыявляются корректным отображением соответствующих ПЗ.9.6Требования безопасности ИТ (ASE_REQ)9.6.1ЦелиТребования безопасности ИТ, выбранные для ОО и представленные или указанные в ЗБ,необходимо оценить для подтверждения их внутренней непротиворечивости и пригодности дляразработки ОО, отвечающего его целям безопасности.Это семейство представляет требования оценки, которые позволяют оценщику принять решение, что ЗБ пригодно для использования в качестве изложения требований к соответствующемуОО.
Дополнительные критерии, необходимые для оценки требований, сформулированных в явномвиде, приведены в семействе ASE_SRE «Требования безопасности ИТ, сформулированные в явном виде».9.6.2Замечания по применениюТермин "требования безопасности ИТ" подразумевает "требования безопасности ОО" с возможным включением "требований безопасности для среды ИТ".Термин "требования безопасности ОО" подразумевает "функциональные требования безопасности ОО" и/или "требования доверия к ОО".В компоненте ASE_REQ.1 «Задание по безопасности, требования безопасности ИТ, сформулированные в явном виде, требования оценки» использованы несколько значений близких посмыслу прилагательных («соответствующий», «необходимый», «приемлемый», «целесообразный») для указания, что данные элементы допускают выбор в определенных случаях.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
