ГОСТ Р ИСО/МЭКТО 15446 — 2008
Основное назначение раздела ЗБ «Краткая спецификация ОО» состоит в том. чтобы показать, как
конкретным объектом оценки обеспечивается выполнение функций безопасности и мер доверия к безопас
ностидля удовлетворения требований безопасности ИТ. Исходя из этого, должна быть сформирована крат
кая спецификация ОО. определяющая, каким образом ОО обеспечивает выполнение требований безопас
ности.
В разделе ЗБ «Краткая спецификация ОО» целесообразно формулировать функции безопасности ИТ
так. чтобы представитьфункциональные возможности безопасности ОО в более понятном для пользовате
ля ЗБ виде по сравнению с ФТБ. В частности:
a) функции безопасности ИТ могут быть изложены так. чтобы показать, что ОО предпринимаетдля
обеспечения безопасности:
b
)функции безопасности ИТ могут быть специфицированы так, чтобы более точно отражатьдокумен
тацию ОО. например, путем использования специфической для ОО терминологии. Данное обстоятельство
может повысить рентабельность оценки ОО, облегчая верификацию уровней представления ФБО (ЗБ. про
ектная документация). Один из возможных методов заключается в спецификации одной функции безопас
ности ИТ. удовлетворяющей нескольким ФТБ, если известно, что эти ФТБ выполняются теми же основны ми
механизмами при проектировании и реализации (разработке) ОО. Данный подход выгоден для сокра
щения числа доказательств соответствия представления, которое должен обеспечить разработчик;
c) специфическая для конкретного ОО терминология может быть учтена для того, чтобы описания,
например, функций безопасности ИТлучше соотносились с терминологией проекта руководства пользова
теля или администратора. Может потребоваться введение характерных терминов — таких как «субъект»,
«объект» или «роль администратора». Поэтому раздел «Краткая спецификация ОО» может быть охаракте
ризован как развитие требований, которым должен соответствовать конкретный ОО. При этом отсутствует
необходимость в описаниидеталей реализации ОО. его архитектуры или принципов проектирования, или в
подробном описании того, как, например, разработчик проводит функциональное тестирование безопасно
сти ОО.
11.2 Спецификация функций безопасности информационных технологий
Как проиллюстрировано в рисунке 5. раздел ЗБ «Краткая спецификация ОО» должен включать в себя
спецификацию функций безопасности ОО. Задание побезопасности должно демонстрировать, что функции
безопасности ИТ включают в себя все ФТБ. а также то. что каждая функция безопасности ИТ отображается, по
крайней мере, на одном ФТБ.
Функции безопасности ИТ. которые определяют основное назначение ОО с точки зрения обеспечения
безопасности информации, должны быть рассмотрены более детально. При рассмотрении функций безо
пасности. соответствующих поддерживаемым ФТБ. функция безопасности ИТ могла бы быть изложена
аналогично соответствующему ФТБ. Тем не менее, там. где необходимо, целесообразно пояснить функци
ональную возможность, например, используя специфическую для ОО терминологию.
При необходимости, функции безопасности могут быть организованы иначе, чем соответствующие
ФТБ. и иметь обозначение, отличное от данных ФТБ. что может быть направлено на то. чтобы упростить
спецификацию функциональной возможности и облегчить соответствующую оценку, например:
a) функция безопасности ИТ может отображаться более чем на одно ФТБ (например, в случае с под
держивающими функциями) или
b
) ФТБ может отображаться более чем на одну функцию безопасности ИТ (например, в случае с
функциями, которые определяют основное назначение ОО с точки зрения обеспечения безопасности ин
формации).
При выполнении таких преобразований необходимо:
a) не потерятьдетали, содержащиеся в ФТБ;
b
) не допустить слишком сложного отображения ФТБ на функции безопасности ИТ. увеличения сто
имости рассмотрения и оценки ЗБ, а также увеличения вероятности ошибок.
11.3 Спецификация механизмов безопасности
В разделе ЗБ «Краткая спецификация ОО» должно быть показано соответствие функций безопаснос
ти ИТ механизмам или методам безопасности, упоминаемым в ЗБ. Типичные механизмы и методы безопас
ности. упоминаемые в ЗБ. включают в себя алгоритмы шифрования и генерации паролей или заявления
соответствиядействующему международному или отечественному стандарту.
Необходимо отметить, что ссылки на механизмы безопасности в ЗБ необязательны.
На механизмы безопасности целесообразно ссылаться в следующих случаях:
а)для системы ИТ существуеттребование использования конкретного механизма безопасности;
31