ГОСТ Р ИСО/МЭК 18045— 2008
В настоящем разделе описаны подвиды деятельности, включенные в оценку ЗБ. Хотя подвиды дея
тельности могут начинаться более или менее случайно, некоторые зависимости между подвидами дея
тельности должны быть учтены оценщиком. Руководство по учету зависимостей см. в А.4 «Зависимости»
(приложениеА).
Необходимость выполнения подвидов деятельности по оценке утверждений о соответствии ПЗ и по
оценке сформулированных в явном виде требований безопасности ИТ не является постоянной: подвид
деятельности по оценке утверждений о соответствии ПЗ выполняют только тогда, когда имеет место утвер
ждение о соответствии ПЗ. а подвид деятельности пооценке сформулированных в явном виде требований
безопасности ИТ выполняют только тогда, когда в изложение требований безопасности ИТ включены требо
вания безопасности, взятые не из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3.
Некоторая информация, подлежащая включению в ЗБ, может быть представлена соответствующей
ссылкой. Например, если в ЗБутверждают о соответствии некоторому ПЗ, то такую информацию из ПЗ, как
описание среды и угроз, можно рассматривать как часть ЗБ и предполагать, что она соответствует критери ям
для ЗБ.
Если в ЗБ утверждают о соответствии оцененному ПЗ и ЗБ в значительной степени основано на
содержании этого ПЗ, то допускается повторное использование результатов оценки ПЗ при выполнении
многих из перечисленных выше подвидовдеятельности. В частности, повторное использование возможно
при оценке изложения среды безопасности, целей безопасности и требований безопасности ИТ. В ЗБ до
пускается утверждение о соответствии нескольким ПЗ.
9.3 Вид деятельности «Оценка задания по безопасности»
9.3.1 Оценка раздела «Описание ОО» (ASE_DES.1)
9.3.1.1 Цели
Цель данного подвидадеятельности — сделать заключение, содержит ли «Описание ОО» соответ
ствующую для понимания назначения ОО и его функциональных возможностей информацию, а также яв
ляется ли описание ОО полным и непротиворечивым.
9.3.1.2 Исходные данные
Свидетельством оценки для этого подвидадеятельности является ЗБ.
9.3.1.3 Замечания по применению
Между ОО и продуктом, который может приобрести потребитель, могут существовать некоторые от
личия. Материалы по данному вопросу представлены вА.6 «Границы ОО» (приложение А).
9.3.1.4 Действие ASE_DES.1.1Е
9.3.1.4.1 Шаг оценивания ASE_DES.1-1
ИСО/МЭК 15408-3 ASE_DES.1.1C: Описание ОО должно включать в себя типпродукта или систе
мы. область применения ОО. а также физические и логические границы ОО.
Оценщикдолжен исследовать раздел «Описание ОО», чтобы сделать заключение, описан ли в нем
тип продукта или системы для ОО.
Оценщикделает заключение, достаточно ли «Описание ОО» для общего понимания предполагаемо
го использования продукта или системы и обеспечивает ли. таким образом, контекст оценки. Примерами
некоторых типов продуктов и систем являются: межсетевой экран, смарт-карта, криптомодем, веб-сервер,
интрасеть.
Существуют ситуации, когда является очевидным, что у ОО ожидается наличие некоторых функцио
нальных возможностей, определяемых типом продукта или системы. Если эти функциональные возможно
сти отсутствуют, тооценщикделает заключение, адекватно ли этоотсутствие рассмотрено в разделе «Опи
сание ОО». Примером этого является ОО типа «межсетевой экран», в «Описании ОО» которого изложено,
что он не может быть подключен к сетям.
9.3.1.4.2 Шаг оценивания ASE_DES.1-2
Оценщик должен исследовать «Описание ОО». чтобы сделать заключение, описаны ли в нем в об
щих чертах физическая область применения и границы ОО.
Оценщикделает заключение, рассмотрены ли в разделе «Описание ОО» аппаратные, программно-
аппаратные и программные компоненты и/или модули, которые составляют ОО, на том уровне детализа
ции. который достаточен для общего понимания этих компонентов и/или модулей.
Если ОО не тождествен продукту, то оценщикделает заключение, описано ли надлежащим образом
в «Описании ОО» физическое соотношение между ОО и продуктом.
9.3.1.4.3 Шаг оценивания ASE_DES.1-3
Оценщик должен исследовать «Описание ОО». чтобы сделать заключение, описаны ли в нем в об
щих чертах логическая область применения и границы ОО.
30