ГОСТ Р ИСО/МЭК 18045— 2008
на достижение идентифицированной политики безопасности организации и согласованыли онис приведен
ными предположениями.
8.3.4.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
8.3.4.3 Действие APE_OBJ.1.1Е
8.3.4.3.1Шаг оценивания АРЕ_ОВJ. 1-1
ИСО/МЭК 15408-3 АРЕ_ОВJ.1.1С: Изложение целей безопасности должно определить цели безо-
пасности для ОО и ого среды.
Оценщикдолжен проверить, определены ли визложении целей безопасности цели безопасности для
ОО и его среды.
Оценщик делает заключение, ясно ли определено для каждой цели безопасности, относится она к
ОО. к среде или к тому и другому.
8.3.4.3.2 Шаг оценивания АРЕ_ОВJ. 1-2
ИСО/МЭК 15408-3 АРЕ_ОВJ. 1.2С: Цели безопасности для ОО должны быть сопоставлены с теми
аспектами идентифицированных угроз, которым будет противостоять ОО. и/или с политикой безо
пасности организации, которая будет выполняться ОО.
Оценщикдолжен исследовать «Обоснование целей безопасности», чтобы сделать заключение, все
ли цели безопасности для ОО прослежены к аспектам идентифицированных угроз, которым необходимо
противостоять, и/или каспектам политики безопасности организации, которой должен следовать ОО.
Оценщик делает заключение, прослежена ли каждая цель безопасности для ОО, по крайней мере, к
одной угрозе или политике безопасности организации.
Неудача при попытке такого прослеживания свидетельствует о том, что либо обоснование целей бе
зопасности является неполным, либо изложение угроз/политики безопасности организации является непол
ным. либо цельбезопасностидля ОО является бесполезной.
Поэтому угрозе полностью может соответствовать одна или более цель для среды. Крайний
случай — это когда отсутствуют цели безопасности для ОО. Хотя и в этом случае использование конструк
ции ПЗ/ЗБ остается правомерным, определение ОО. для которого все угрозы и политики безопасности
организации учитываются средой, врядли бы имело какой-то практический смысл, таккакдля такого ОО не
было бы никаких функциональных требований безопасности. Решение о сертификации подобных ОО явля
ется прерогативой системы оценки.
8.3.4.3.3 Шаг оценивания APE_OBJ.1-3
ИСО/МЭК 15408-3 APE_OBJ.1.3C: Цели безопасности для среды должны быть сопоставлены с
теми аспектами идентифицированных угроз, которым ОО противостоит не полностью, и/или с поли
тикой безопасности организации или предположениями, не полностью выполняемыми ОО.
Оценщикдолжен исследовать «Обоснование целей безопасности», чтобы сделать заключение, про
слежены ли цели безопасностидля среды к тем идентифицированным угрозам, которымдолжна противо
стоять среда ОО. и/или к аспектам политики безопасности организации, которым должна удовлетворять
среда ОО. и’или к предположениям, которым должна удовлетворять среда ОО.
Оценщикделает заключение, прослежена ли каждая цель безопасности для среды, по крайней мере,
кодному предположению, угрозе или политике безопасности организации.
Неудача при попытке такого прослеживания свидетельствует о том. что либо обоснование целей бе
зопасности является неполным, либо изложение предположений/угроз/политики безопасности организации
является неполным, либо цель безопасности для среды является бесполезной.
8.3.4.3.4 Шаг оценивания APE_OBJ.1-4
ИСО/МЭК 15408-3APE„OBJ.1.4С: Обоснование целей безопасности должно демонстрировать, что
изложенные цели безопасностипригодны для противослюяниявсем идентифицированным угрозам бе
зопасности.
Оценщикдолжен исследовать «Обоснование целей безопасности», чтобы сделать заключение, со
держится ли в нем для каждой угрозы приемлемое логическое обоснование того, что цели безопасности
пригодныдля противостояния данной угрозе.
Если ни одна цель безопасности не прослежена к конкретной угрозе, то результатданного шага оце
нивания отрицательный.
Оценщикделает заключение, демонстрирует ли логическое обоснование для угрозы то. что. если все
цели безопасности, прослеживаемые к угрозе, достигнуты, то угроза либо устранена, либо снижена до
приемлемого уровня, либо последствия ее реализации вдостаточной мере компенсированы.
17