ГОСТРИСО/МЭК ТО 15446— 2008
b)для продукта ИТ есть необходимость в реализации конкретных механизмов безопасности (напри
мер. с учетом рыночного спроса на такие механизмы и методы).
11.4 Спецификация мер доверия к безопасности
В разделе ЗБ «Краткая спецификация ОО» должно быть показано соответствие мер доверия кбезо
пасности и требований доверия к безопасности. При этом должно быть показано, что все требования дове
рия кбезопасности удовлетворены.
Там. где это возможно, меры доверия к безопасности следует определять путем ссылки на соответ
ствующие планы обеспечения качества, жизненного цикла или управления.
На практике, вероятно, для более низких уровней доверия кбезопасности раздел ЗБ «Краткая специ
фикация ОО» не будет содержать значительного объема дополнительной информации, кроме общих утвер
ждений о том. что используются (или будут использоваться) необходимые для удовлетворения требований
доверия к безопасности меры доверия. Один из рекомендуемых подходов заключается в демонстрации
отображениядокументации или свидетельств разработчика на соответствующие требования доверия к бе
зопасности.
На более высоких уровняхдоверия к безопасности (ОУД 5 и выше) возможно более подробное изло
жение. например, ссылками на конкретные инструментальные средства, методы или подходы, используе
мые разработчиком для удовлетворения требований доверия кбезопасности, такие как:
a) обозначения, которые необходимо использовать в требуемых формальных спецификациях;
b
) методики разработки и модели жизненного цикла;
c) инструментальные средства управления конфигурацией.
d) инструментальные средства анализа покрытия тестами:
e) методы анализа скрытых каналов.
12 Утверждения о соответствии профилей защиты
12.1 Введение
Данный раздел представляетсобой руководство по формированию раздела ЗБ «Утверждения о соот
ветствии ПЗ».
В соответствии с приложением С. подраздел С.2.8. ИСО/МЭК15408-1 требуется включение в каждое
ПЗ, о соответствии которому сделано утверждение, следующей информации:
a) ссылки, идентифицирующая ПЗ. о соответствии которому сделано утверждение:
b
) конкретизации, выполненной по отношению к ПЗ;
c)дополнения в ЗБ в составе целей и требований безопасности ОО. определенных в ПЗ.
П р и м е ч а н и е — частичное соответствие ПЗ неприемлемо: в ЗБ необходимо удовлетворение всех
требований ПЗ. Конечно, довольно часто бывает для некоторых целей и требований безопасности из ПЗ. что они
удовлетворяются аппаратным обеспечением или другими продуктами безопасности, которые находятся за рам
ками области оценки в ЗБ. В этом случае необходимо отразить в разделе ЗБ «Обоснование», что сочетанием
характеристик безопасности ОО и его среды достигается полное покрытие ПЗ. а также четко отразить эту зависи
мость в утверждении о соответствии.
Если утверждений о соответствии ПЗ нет, то утверждение об этом — это все. что требуется для
данного раздела ЗБ.
12.2 Ссылка на профили защиты
Каждый ПЗ должен быть идентифицирован так. чтобы позволить пользователям ЗБ найти соответ
ствующую спецификацию ПЗ. Рекомендованный способ сделать это — ссылка на запись в реестре паке
тов и профилей защиты ИСО (см. [1]): однако, этот реестр не является широко распространенным и исполь
зуемым. Различные национальные системы оценки ведут реестры ПЗ, что. несомненно, удобнее. Необхо
димо обеспечить идентификацию конкретной версии и источника ссылки для каждого ПЗ. на которыйдает ся
ссылка.
12.3 Конкретизация профилей защиты
Если в ПЗ в формулировкахтребований безопасности ИТ содержат разрешенные операции, которые
требуютдальнейшей конкретизации, в этом подразделе ЗБ необходимо поместить результаты конкретиза
ции (замен). Если требуется существенная конкретизация, лучше полностью изложить в ЗБ определенное
содержание ПЗ.
32