ГОСТ Р ИСО/МЭКТО 15446 — 2008
Если семейство ПЗ относится к конкретному типу 0 0 . важно, чтобы было четкое различие между
различными членами семейства. Другими словами, должны быть четкие различия в требованиях безо
пасности ОО. Это связано с тем. что ПЗ должен, по крайней мере, отличаться целями безопасности, кото
рые определяют выбор требований безопасности ИТ. В качестве примера можно рассмотреть случай,
когда два ПЗ специфицируют одну и ту же совокупность ФТБ. но разные ТДБ. Допускается мотивировать
более низкое требование безопасности возрастанием безопасности среды 0 0 . Такие различия должны
быть отражены в целях безопасности. Там же. где семейство ПЗ применяется к различным компонентам
системы ИТ (в конкретной или предполагаемой среде), должны быть четко определены ПЗ. включенные в
семейство (см. также раздел 14. в котором рассматриваются вопросы разработки ПЗ для компонентов
системы ИТ).
7 Описательные разделы профилей защиты и заданий по безопасности
7.1 Введение
Настоящий раздел содержит рекомендации по формированию следующих описательных разделов
ПЗ и ЗБ:
a) «Введение ПЗ и ЗБ»;
b
) «Описание ОО» в ПЗ и ЗБ:
c) «Замечания по применению в ПЗ».
7.2 Описательные части профиля защиты и задания по безопасности
7.2.1 Раздел «Введение»
7.2.1.1 Подраздел «Идентификация»
Назначениеданного подраздела состоит в предоставлении информациидля идентификации ПЗ. на
пример. в целях последующей регистрации ПЗ. Идентификация, как минимум, должна включать в себя
название ПЗ и идентификатор, который является уникальнымдля данной версии ПЗ. В подраздел «Иденти
фикация ПЗ» также целесообразно включитьследующую информацию:
a) ключевые слова;
b
) оценочный уровеньдоверия (ОУД), если применяется в ПЗ;
c) утверждение о соответствии версии конкретному стандарту серии ИСО/МЭК15408;
d) состояние оценки ПЗ.
7.2.1.2 Подраздел «Аннотация»
В соответствии со стандартами серии ИСО/МЭК 15408 подраздел «Аннотация ПЗ» должен быть пред
ставлен в форме резюме, используемого также в реестрах и каталогах ПЗ. В данный раздел необходимо
включить высокоуровневый обзор проблемы безопасности, которая подлежит решению в ПЗ. Также жела
телен краткий обзор того, как ПЗ способствует решению проблемы безопасности. Этот обзор должен соот
ветствовать техническому содержанию ПЗ. В случае необходимости «Аннотация ПЗ» может быть расши
рена до «Резюме для руководителя» или «Резюме для менеджера». Однако если предполагается, что ПЗ
будет включен в реестр ПЗ. то соответствующий краткий обзор (обычно один-два параграфа)должен быть
сформирован так. чтобы его можно было перенести в реестр.
При формировании раздела ЗБ «Введение» целесообразно руководствоваться рекомендациями по
формированию раздела ПЗ «Введение», за исключением того, что:
a) утверхедение о соответствии ИСО/МЭК 15408 является необязательным для ЗБ;
b
) к ЗБ неприменимы процедуры регистрации ПЗ:
c) может потребоваться идентификация ЗБ. связанных с рассматриваемым ЗБ. если ОО представля
ет собой составной ОО либо является частью составного ОО.
7.2.2 Раздел «Описание объекта оценки»
В раздел «Описание ОО» ПЗ включают информацию о следующих видах (первые два вида информа
ции — предписаны ИСО/МЭК 15408. два последних — являются необязательными);
a) тип продукта ИТ;
b
) основные функциональные возможности ОО;
c) границы ОО (необязательная информация);
d) среда функционирования ОО (необязательная информация).
Описание «основных функциональных возможностей ОО» включает в себя описание функциональ
ных возможностей ОО. а не только характеристик безопасности (в случае, если обеспечение безопасности
не является единственным предназначением ОО).
7