ГОСТ Р ИСО/МЭКТО 15446 — 2008
14.2.7 Обоснование задания по безопасности
Рекомендации по формированию раздела ЗБ «Обоснование» во многом подобны рекомендациям по
формированию раздела «Обоснование» ПЗ составного ОО. В частности:
a)для демонстрации того, что функции безопасности ИТ и меры доверия подходятдля удовлетворе
ния требований безопасности ОО. можно просто использовать ссылку на разделы «Обоснование» ЗБ для
ОО-компонентов;
b
)для демонстрации взаимной поддержки функций безопасности ИТ можно использовать результаты
анализа взаимной поддержки функций безопасности ИТ в рамках каждого ОО-компонента, представлен
ные в разделах «Обоснование» ЗБдля ОО-комлонентов. При этом в разделе «Обоснование» ЗБ составно го
ОО необходимо рассмотреть взаимосвязи и зависимости между функциями безопасности ИТ различных ОО-
компонентов.
14.3 Объект оценки — компонент
14.3.1 Описательные части профиля защиты и задания по безопасности
Если ОО представляет собой компонент составного ОО. то на этодолжно быть ясно указано в описа
тельных частях ПЗ и ЗБ (в частности, в разделе «Описание ОО»), Если ОО представляет собой компонент
конкретного составного ОО. другие компоненты которого также известны, то в «Описании ОО» следует
идентифицировать те ОО-компоненты, с которыми взаимодействует рассматриваемый ОО-компонент (и
которые представляютсобой всю ИТ-средудля рассматриваемого ОО-компонента или ее часть). Вдругих
случаях «Описание ОО» должно описывать типы составных ОО. которые могли бы использовать данный
ОО-компомент.
14.3.2 Среда безопасности объекта оценки
Раздел ПЗ и ЗБ «Среда безопасности ОО» предназначен для определения границы среды безопас
ности ОО-компонента и. с точки зрения оценщика, границы оценки ОО-компонента. Например, среда безо
пасности ИТ для ОО-компонента может включать в себя в том числе другие ИТ-компоненты. с которыми
предполагается взаимодействие ОО-компонента. В таких случаях наличие зависимостей ОО-компонента
от ИТ-среды следует трактовать как предположение о среде безопасности ОО. При формулировании такого
предположения следует избегать включения деталей реализации, которые специфицируются в ПЗ и ЗБ.
ОО-компоненту может быть предписана необходимость взаимодействия с другими устройствами в
рамках ИТ-среды. В этом случае в ПЗ и ЗБ должно быть включено соответствующее положение ПБОр.
14.3.3 Цели безопасности
Любые зависимости от ИТ-среды следует трактовать как цели безопасности для ИТ-среды.
Следует отметить, чтосоответствующий профилю защиты ОО-компонент может сам по себе удовлет
ворять одной или более целям безопасности, ответственность за достижение которых возлагается в ПЗ на
ИТ-среду. Например. СУБД может удовлетворять цели безопасности, связанной с идентификацией и аутен
тификацией. в то время как в ПЗдостижениеданной цели безопасности возложено на операционную систе
му. под управлением которой работает СУБД.
Если ПБОр содержит предписание ОО взаимодействовать с другими устройствами ИТ-среды, то
необходимо сформулировать соответствующую цель безопасности для ОО.
14.3.4 Требования безопасности
Требования безопасности для ИТ-среды ОО-компонента должны, где это возможно, идентифици
ровать конкретные ОО-компоненты, на которые возлагается удовлетворение данных требований
безопасности.
П р и м е ч а н и е — Требования безопасности для среды могут быть определены путем заявления о
соответствиидругим ПЗ.
14.3.5 Краткая спецификация объекта оценки
В виде подэтапа спецификации функций безопасности ИТ может потребоваться уточнение ряда тре
бований безопасностидля ИТ-среды. Например. ОО может использовать определенный интерфейс с опе
рационной системойдля регистрации генерируемыхданных аудита безопасности. Таким образом, если ОО
предполагаетфункционировать в составе конкретногосоставного ОО. то все уточненные требования долж
ны отображаться на конкретные компоненты составного ОО.
14.3.6 Обоснование профиля защиты
Если в ПЗ определяются требования безопасности для ИТ-среды. то они должны быть рассмотрены в
разделе ПЗ «Обоснование». В частности необходимо:
а) продемонстрировать, каким образом требования безопасности для ИТ-среды способствуют удов
летворению целей безопасности для ОО;
41