ГОСТ РИСО/МЭКТО 15446— 2008
аппаратного и аппаратного обеспечения ИТ-среды ОО. Требования безопасности ИТ должны быть опреде
лены путем использования, где возможно, функциональных компонентов и компонентовдоверия кбезопас
ности в соответствии с ИСО/МЭК15408-2 и ИСО/МЭК15408-3. Раздел ПЗ «Требования безопасности ИТ»
более подробно рассмотрен в разделе 10.
В раздел ПЗ «Замечания по применению» допускается включать любую дополнительную информа
цию, которую разработчик ПЗ считает полезной. Отметим, что замечания по применению могут быть рас
пределены по соответствующим разделам ПЗ. Раздел ПЗ «Замечания по применению» более подробно
рассмотрен в разделе 7.
В разделе ПЗ «Обоснование» демонстрируется то. что ПЗ специфицирует полную и взаимосвязан
ную совокупность требований безопасности ИТ и соответствующий ОО учитывает идентифицированные
аспекты среды безопасности. Раздел ПЗ «Обоснование» более подробно рассмотрен в разделе 12.
Существует также целый ряд необязательных разделов и подразделов, которые могут включаться в
ПЗ. Возможны разные уровни детализации некоторых подразделов. Раздел «Обоснование» может быть
оформлен в видеотдельногодокумента. На практике дополнительные разделы могут быть необходимы
для предоставления полезной информации, например:
a) раздел «Введение ПЗ» может включать в себя подраздел, описывающий организацию ПЗ. а также
ссылки на другие ПЗ и другие документы:
b
) раздел «Среда безопасности ОО» может включать в себя отдельные подразделы для различных
доменов в ИТ-среде для ОО.
c) раздел «Требования безопасности ИТ» может быть расширен за счет включения, где необходимо,
требований безопасности для не ИТ-среды.
В случае если подраздел не используется (например, политика безопасности организации, требова
ния безопасности ИТ для среды ОО). необходимо включить в ПЗ соответствующее пояснение.
Содержание ЗБ приведено в ИСО/МЭК 15408-1. приложение С. Пример содержания ЗБ представлен
в таблице 2.
В разделе «Введение ЗБ» идентифицируется ЗБ и ОО (включая номер версии) и приводится аннота
ция ЗБ в форме, наиболее подходящей для включения в перечень оцененных (сертифицированных) про
дуктов ИТ. Раздел «Введение ЗБ» более подробно рассмотрен в разделе 7.
В раздел ЗБ «Описание ОО» включают сопроводительную информацию об ОО. предназначенную
для пояснения его назначения и требований безопасности. Раздел ЗБ «Описание ОО» должен также вклю
чать в себя описание конфигурации, в которой ОО подлежит оценке. Раздел ЗБ «Описание ОО» более
подробно рассмотрен в разделе 7.
В раздел ЗБ «Среда безопасности ОО» включают описание аспектов среды безопасности ОО. кото
рые должны учитываться объектом оценки, в частности, предположений безопасности, определяющих гра
ницы среды безопасности, угроз активам, требующим защиты (включая описание этих активов), ПБОр,
которой должен соответствовать ОО. Раздел ЗБ «Среда безопасности ОО» более подробно рассмотрен в
разделе 8.
Пример содержания задания по безопасности представлен ниже:
1.1 Идентификация ЗБ
1.2 Аннотация ЗБ
2 Описание ОО
3 Среда безопасности ОО
3.1 Предположения безопасности
3.2 Угрозы
3.3 Политика безопасности организации
4 Цели безопасности
4.1 Цели безопасностидля ОО
4.2 Цели безопасности для среды ОО
5 Требования безопасности ИТ
5.1 Функциональные требования безопасности ОО
5.2 Требования доверия к безопасности ОО
5.3 Требования безопасности для ИТ-среды
6 Краткая спецификация ОО
6.1 Функции безопасности ОО
6.2 Меры обеспечения доверия к безопасности
4