ГОСТ Р ИСО/МЭКТО 15446 — 2008
Как упоминалось выше, в приложении А руководство вкратце представлено в виде инструкции.
Примеры угроз, политики безопасности организации, предположений и целей безопасности представ
лены в приложении В. которое также устанавливает соответствие между общими функциональными требо
ваниями и соответствующимифункциональными компонентами изстандартов серии ИСО/МЭК15408. Пред
полагается. что эти примеры являютсядостаточно широкомасштабными, но не исчерпывающими.
Приложение С представляет собой руководство, имеющее отношение к ПЗ и ЗБ для ОО. которые
реализуют криптографические функциональные возможности.
Возможности применения настоящего стандарта при разработке ПЗ и ЗБ для различных типов ОО
представлены в приложениях D — F. Так. в приложении D рассмотрена возможность использования насто
ящего стандарта при разработке ПЗ и ЗБ для межсетевых экранов, в приложении Е— для СУБД, в котором
подчеркивается особая важность решения вопросов, связанных с ИТ-средой. В приложении F рассматри
ваются вопросы, связанные с разработкой ПЗдля третьей доверенной стороны (ТДС).
6 Краткий обзор профилей защиты и заданий по безопасности
6.1 Вводение
В настоящем разделе приводится краткий обзор и содержание ПЗ и ЗБ. Рассматриваются взаимо
связи между ПЗ и ЗБ и процесс их разработки (см. также ИСО/МЭК 15408-1. приложения В и С).
6.2 Содержание профилей защиты и заданий по безопасности
Требуемое содержание ПЗ и ЗБ приведено в ИСО/МЭК 15408-1. приложение В. Пример содержания
ПЗ представлен ниже:
1 Введение ПЗ
1.1 Идентификация ПЗ
1.2Аннотация ПЗ
2 Описание ОО
3 Среда безопасности ОО
3.1 Предположения безопасности
3.2 Угрозы
3.3 Политика безопасности организации
4 Цели безопасности
4.1 Цели безопасности для ОО
4.2 Цели безопасности для среды
5 Требования безопасности ИТ
5.1 Функциональные требования безопасности ОО
5.2 Требования доверия к безопасности ОО
5.3 Требования безопасности для ИТ-среды
6 Замечания по применению
7 Обоснование
7.1 Обоснование целей безопасности
7.2 Обоснование требований безопасности.
В разделе «Введение ПЗ» идентифицируется ПЗ и приводится его аннотация в форме, наиболее
подходящей для включения в каталоги и реестры ПЗ. Данный раздел ПЗ более подробно рассматривается в
разделе 7 настоящего стандарта.
В раздел «Описание ОО» включают сопроводительную информацию об ОО (или типе ОО). предназ
наченную для пояснения его назначения и требований безопасности.
В раздел ПЗ «Среда безопасности ОО» включают описание аспектов среды безопасности ОО, кото
рые должны учитываться для объекта оценки, вчастности— детальное описание предположений безопас
ности. определяющих границы среды безопасности, угроз активам, требующим защиты (включая описа
ние этих активов), и ПБОр. которой должен соответствовать ОО. Этот раздел ПЗ более подробно рассмот
рен в разделе 8.
В раздел ПЗ «Цели безопасности» включают краткое изложение предполагаемой реакции на аспекты
среды безопасности как с точки зрения целей безопасности, которые должны быть удовлетворены ОО. так и
с точки зрения целей безопасности, которые должны быть удовлетворены ИТ- и не ИТ-мерами в пределах
среды ОО. Данный раздел ПЗ более подробно рассмотрен в разделе 9.
В раздел ПЗ «Требования безопасности ИТ» включают функциональные требования безопасности
ОО. требования доверия к безопасности, а также требования безопасности программного, программно-
3