ГОСТ Р ИСО/МЭК 15408-1—2008
2) все ссылки на механизмы безопасности,включенные в ЗБ.должны бытьсопоставлены ссоотеетствующи-
ми функциями безопасности так. чтобы было видно, какие механизмы безопасности используются при реализации
каждой функции.
3) если в состав требований доверия к 0 0 включен компонент AVA_SOF.1. то должны быть идентифициро
ваны все функции безопасности ИТ. реализованные с помощью вероятностного или перестановочного механизма
(например, пароля или хэш-функции). Возможностьнарушения механизмов такихфункций посредством преднаме
ренного или случайного воздействия имеет непосредственноеотношение кбезопасности ОО. Должен быть прове
ден анализ стойкости всех этих функций. Стойкость каждой идентифицированной функции должна быть
определена и заявлена как базовая СФБ, средняя СФ6 или высокая СФБ либо с применением дополнительно
вве денной метрики стойкости. Свидетельство, приводимое в отношении стойкости функции безопасности,
должно быть достаточным, чтобы позволить оценщикам провести свою независимую оценку и подтвердить, что
утвержде ния остойкости адекватны и корректны;
Ь)Изложение мердоверия, котороедолжноспецифицировать меры доверия кОО. заявленныедля удовлет
ворения изложенных требований доверия. Меры доверия должны быть сопоставлены с требованиями так. чтобы
было понятно, какие меры в удовлетворении каких требований участвуют.
Там. где это возможно, меры доверия разрешается определять ссылкой на соответствующие планы обеспе
чения качества, жизненного цикла или управления.
В.2.8 Утверждения о соответствии ПЗ
36 может содержать утверждения о соответствии требованиям одного или нескольких ПЗ. Для каждого из
имеющихсяутверждений ЗБдолжно включать в себя изложение утверждения осоответствии ПЗ. содержащее объ
яснение, логическое обоснование идругие вспомогательные материалы, необходимыедля подкрепления данного
утверждения.
Содержание и представление в ЗБ целей и требований для ОО может зависеть от того, делаются ли для ОО
утверждения о соответствии ПЗ. Влияние на содержание ЗБ утверждения осоответствии ПЗ может быть сведено в
итоге к одному из следующих вариантов:
a) если утверждений осоответствии ПЗ нет. то приводят полное описание целей итребований безопасности
ОО в соответствии с настоящим приложением. При этом данный раздел ЗБ опускается;
b
) если ЗБ содержит утверждение о соответствии требованиям какого-либо ЛЗ без необходимости ихдаль
нейшего уточнения, то ссылки на ПЗ достаточно для определения и логического обоснования целей и требований
безопасности ОО. Повторное изложение содержания ПЗ не является обязательным;
c) если ЗБ содержит утверждение о соответствии требованиям какого-либо ПЗ итребования этого ПЗ нужда
ются в дальнейшем уточнении, то в ЗБ должно быть показано, что требования по уточнению Г13 удовлетворены.
Такая ситуация обычно возникает, если ПЗ содержит незавершенные операции. В этом случае в ЗБ допускается
ссылка на эти требования, но при этом следует завершить операции в пределах ЗБ. В некоторых случаях, если
завершение операций приводит к существенным изменениям, может быть предпочтительным повторно изложить
содержание Г13 в составе ЗБ;
d) если 36 содержит утверждение осоответствии требованиям какого-либо ПЗ. но последний расширяется
добавлением дополнительныхцелей итребований,то вЗБдолжны быть определены этидополненияс учетом того,
что ссылки на ПЗ может быть достаточно для определения целей и требований безопасности ПЗ. В случаях, если
дополнения к ПЗ существенны, может быть предпочтительным повторно изложить содержание ПЗ в составе ЗБ.
e) вариант, когда в ЗБ утверждается о частичном соответствии ПЗ. неприемлем для оценки по
ИСО/МЭК 1S408.
ИСО/МЭК 15408 не предписывает выбор ссылки на ПЗ или повторение изложения его целей и требований.
Основным является требование, чтобы содержание ЗБ было полным, ясным и однозначным настолько, чтобы
оценка ЗБ была возможной, асамо ЗБ являлось приемлемой основойдля оценки ОО и четкопрослеживалось соот
ветствие каждому заявленному ПЗ.
Если сделано утверждение о соответствии какому-либо ПЗ. то изложение утверждений о соответствии дол
жно содержать для каждого ПЗ:
a) ссылку на ПЗ. идентифицирующую ПЗ. соответствие которому утверждается, и любые дополнительные
материалы, которые необходимы для данного утверждения. Обоснованное утверждение о соответствии подразу
мевает, что ОО удовлетворяет всем требованиям ПЗ;
b
) конкретизацию ПЗ. идентифицирующую требования безопасности ИТ. в которых выполняются операции,
разрешенные в ПЗ. или дополнительно уточняются требования ПЗ;
c) дополнение ПЗ. идентифицирующее цели итребования безопасности ОО. которыедополняют цели итре
бования ПЗ.
В.2.9 Замечания по применению
Данная частьЗБне являетсяобязательной иможетсодержатьдополнительную информацию, которая счита
ется необходимой или полезной для понимания ЗБ. Необходимо отметить, что если ЗБ содержит утверждение о
соответствии требованиям ПЗ, то может быть уместным, чтобы определенная информация, содержащаяся в
потенциальном подразделе ПЗ «Замечания по применению*, была отражена в других подразделах ЗБ. Например,
информацию о конструкции ОО более уместно представить в краткой спецификации ОО или в разделе ЗБ «Обосно
вание». чем в подразделе 36 «Замечания по применению». Для упрощения оценки ЗБ замечания по применению.
31