ГОСТ Р ИСО/МЭК 18045— 2008
Требования конфиденциальности затрагивают многие процедуры проведения оценки, включая полу
чение. обработку, хранение и последующее использование свидетельств оценки.
7.3 Задача оформления результатов оценки
7.3.1 Цели
Цель этого подраздела состоит в описании сообщения о проблеме (СП) и технического отчета об
оценке (ТОО). Системы оценки могут потребовать дополнительные сообщения (отчеты) оценщика типа со
общений (отчетов) об отдельных шагах оценивания или же представление дополнительной информации в
СП и ТОО. Настоящий стандарт не препятствует включениюдополнительной информации в эти сообщения
(отчеты), поскольку он определяет лишь содержание минимально необходимой информации.
Непротиворечивое представление результатов оценки облегчаетдостижение универсального принци
па повторяемости и воспроизводимости результатов. Непротиворечивость охватывает тип и объем инфор
мации. приводимой вТОО и СП. Ответственность за согласованность ТОО и СП, относящихся к различным
оценкам, возложена на орган оценки.
Для удовлетворения требований настоящего стандарта к содержанию информации в сообщениях
(отчетах)оценщик выполняетдве следующие подзадачи.
a) подготовку СП (если это необходимо при выполнении оценки);
b
) подготовку ТОО.
7.3.2 Замечания по применению
В настоящем стандарте требования обеспечения оценщика свидетельствами для поддержки пере
оценки и повторного использования вявном виде не сформулированы. Пока еще не определена информа
ция, являющаяся результатом работы оценщика и способствующая проведению переоценки или повторно го
использования. Когда заявителю потребуется информация для переоценки или повторного использова ния.
следует проконсультироваться в системе оценки, в которой была проведена оценка.
7.3.3 Подзадача подготовки СП
СП предоставляют оценщику механизм для запроса разъяснений (например, оторгана оценки о при
менении требований) или для определения проблемы по одному из вопросов оценки.
При отрицательном вердикте оценщик должен представить СП для отражения результата оценки.
Оценщик может также использовать СП как один из способов выражения потребности в разъяснении.
В любом СП оценщик должен привести следующее:
a) идентификатор оцениваемого ПЗ или ОО;
b
) задачу/подвид деятельности по оценке, при выполнении которой/которого проблема была
выявлена;
c) суть проблемы;
d) оценку ее серьезности (например, приводит котрицательному вердикту, задерживает выполнение
оценки или требует решения до завершения оценки);
e) наименование организации, ответственной за решение вопроса;
0 рекомендуемые сроки решения;
д) влияние на оценкуотрицательного результата решения проблемы.
Адресаты рассылки СП и процедуры обработки сообщения зависят от характера содержания сооб
щения и от конкретной системы оценки. Система оценки может различать типы СП или определятьдопол
нительные. различающиеся по требуемой информации и рассылке (например. СП органу оценки и
заявителю).
7.3.4 Подзадача подготовки ТОО
7.3.4.1 Цели
Оценщикдолжен подготовить ТОО. чтобы представить техническое логическое обоснование вер
диктов.
ТОО может содержать информацию, являющуюся собственностью разработчика или заявителя.
Настоящий стандартопределяеттребованияк минимальному содержаниюТОО.однакосистема оценки
может задатьдополнительные требования к содержанию, конкретному представлению и структуре инфор
мации. Например, в системе оценки может требоваться, чтобы конкретный вводный материал (например,
налагаемые ограничения и заявление авторских прав) всегда был включен вТОО.
Предполагается, что пользователь ТОО знаком с общими концепциями информационной безопаснос
ти. ИСО/МЭК 15408. настоящим стандартом, подходами к оценке и ИТ.
ТОО помогаеторгану оценки вынести свой вердикт, но. предположительно, может не содержать всей
необходимой для этого информации, а задокументированные результаты оценки могут не содержать необ
ходимых в данной системе оценки свидетельств для подтверждения правильности выполненной оценки.
7