ГОСТРИСО/МЭК ТО 15446— 2008
Описание «границ ОО» (необязательное)— это описание того, что включает и чего не включает
в себя ОО. При этом ПЗ может оставлять возможность разработчику соответствующего ЗБ установить
окончательные границы между ОО и средой ОО. Тем не менее диапазон допустимого выбора таких
границ должен быть в явном воде установлен в ПЗ.
Описание «среды функционирования ОО» (необязательное)— это описание того, где функционирует
ОО. включая важные предположения, ограничения, накладываемые процессами деятельности, и другие
ключевые параметры, важные с точки зрения пользователей ПЗ.
При формировании раздела «Описание ОО» необходимо стремиться к тому, чтобы максимально ис
ключить возможность неправильного понимания пользователями ПЗ и ЗБ предназначения ОО и его воз
можностей по обеспечению безопасности информации (то есть необходимо исключить те детали описания
ОО, которые не представляют интереса в свете предполагаемой оценки ОО).
При формировании раздела ЗБ «Описание ОО» целесообразно руководствоваться рекомендациями
по формированию раздела ПЗ «Описание ОО». за исключением того, что «границы ОО» должны быть
определены как в части аппаратных и программных компонентов (физические границы), таки в части
функ циональныххарактеристик безопасности ОО.
7.2.3 Раздел «Замечания по применению»
Раздел «Замечания по применению» является необязательным. Замечания по применению могут
быть оформлены как отдельный раздел ПЗ либо сопровождать различные части ПЗ. например, отдельные
требования безопасности ОО. В замечания по применению целесообразно включать сопроводительную
информацию, которая может оказаться полезной при проектировании, оценке и эксплуатации ОО. Основ
ное назначение раздела «Замечания по применению» — пояснить, как конкретные требования безопасно
сти необходимо интерпретировать для рассматриваемого ОО, а также предоставить разработчикам ЗБ
рекомендации по выполнению операций (выбор, назначение, уточнение) над функциональными компо
нентами.
Если замечания по применению распределены по всему тексту ПЗ, то в этих случаях их необходимо
однозначно идентифицировать как таковые, чтобы пользователь ПЗ интерпретировал их именно как «Заме
чания по применению», а не как. например, уточнения для ФТБ и ТДБ.
8 Среда безопасности объекта оценки
8.1 Введение
В данном разделе представлены рекомендации по спецификации раздела ПЗ и ЗБ «Среда безопас
ности ОО». Требования к содержанию этого раздела ПЗ и ЗБ определены в ИСО/МЭК15408-1, приложе
ние В. подраздел В.2.4 и приложение С. подраздел С.2.4.
Содержание разделов «Среда безопасности ОО» в ПЗ и «Среда безопасности ОО» в ЗБ не имеют
серьезных различий.
Цель раздела «Среда безопасности ОО» состоит в определении аспектов безопасности среды ОО
(см. рисунок 1).
Леюты (репы ВвЛпвсноСтг сбдеггвоценки
Рисунок 1 — Определение аспектов среды безопасности объекта оценки
В данном разделе предметом рассмотрения становятся следующие аспекты:
a) предположения относительно среды безопасности ОО;
b
) активы, требующие защиты (обычно информация или ресурсы в пределах ИТ-среды или непосред
ственно ОО). идентифицированные источники угроз и сами угрозы, которые они порождают для активов;
c) ПБОр или правила, которымдолжен соответствовать ОО.
8