ГОСТ Р ИСО/МЭК 15408-1—2012
5.3.3 Оценщики
В ИСО/МЭК 15408 содержатся критерии, предназначенные для использования оценщиками ОО
при формировании заключения о соответствии объектов оценки предъявленным к ним требованиям
безопасности. В ИСО/МЭК 15408 дается описание совокупности основных действий, выполняемых
оценщиком. При этом в ИСО/МЭК 15408 не определены процедуры, которых следует придерживаться
при выполнении этих действий. Дальнейшая информация по этим процедурам приведена в 5.5.
5.3.4 Прочие
Хотя ИСО/МЭК 15408 ориентирован на определение и оценку характеристик безопасности ИТ
для объектов оценки, он также может служить справочным материалом для всех, кто интересуется
вопросами безопасности ИТ или несет ответственность за них. Среди них можно выделить, напри
мер. следующие группы, представители которых смогут извлечь пользу из информации, приведенной в
ИСО/МЭК 15408:
a) лица, ответственные за техническое состояние оборудования, и сотрудники служб безопас
ности. ответственные за определение и выполнение политики и требований безопасности организации в
области ИТ;
b
) аудиторы как внутренние, так и внешние, ответственные за оценку адекватности безопасности
ИТ-решения (которое может состоять из ОО или включать ОО);
c) проектировщики систем безопасности, ответственные захарактеристики безопасности продуктов ИТ;
d) аттестующие, ответственные за приемку ИТ-решения в эксплуатацию в конкретной среде;
e) заявители, заказывающие оценку и обеспечивающие ее проведение;
f) органы оценки, ответственные за руководство и надзор за программами проведения оценок
безопасности ИТ.
5.4 Части ИСО/МЭК 15408
ИСО/МЭК 15408 состоит из нескольких отдельных, но взаимосвязанных частей, перечисленных
ниже. Термины, используемые при описании отдельных частей ИСО/МЭК 15408. приведены в разделе 6.
a) Часть 1 «Введение и общая модель» является введением в ИСО/МЭК 15408. В ней опреде
ляются общие понятия и принципы оценки безопасности ИТ и приводится общая модель оценки.
b
) Часть 2 «Функциональные компоненты безопасности» устанавливает совокупность функ
циональных компонентов, предназначенных для использования в качестве стандартных шаблонов, на
основе которых следует устанавливать функциональные требования к ОО. ИСО/МЭК 15408-2 со
держит каталог функциональных компонентов, систематизированных по семействам и классам.
c) Часть 3 «Компоненты доверия к безопасности» устанавливает совокупность компонентов
доверия, предназначенных для использования в качестве стандартных шаблонов, на основе которых
следует устанавливать требования доверия к ОО. ИСО/МЭК 15408-3 содержит каталог компонентов
доверия, систематизированных по семействам и классам. Кроме того, в ИСО/МЭК 15408-3 определены
критерии оценки профилей защиты и заданий по безопасности и представлены семь предопределен ных
пакетов доверия, которые названы оценочными уровнями доверия (ОУД).
В поддержку трех частей ИСО/МЭК 15408, перечисленных выше, опубликованы и другое доку
менты. Например. ИСО/МЭК 18045 предоставляет методологию оценки безопасности ИТ. используя
ИСО/МЭК 15408 как основу. Предполагается, что будут опубликованы и другие документы, включая
нормативно-методические материалы и руководства.
В таблице 1 показано, в каком качестве различные части ИСО/МЭК 15408 будут представлять
интерес для каждой из трех основных групп пользователей ИСО/МЭК 15408.
Т а б л и ц а 1— Использование частей ИСО/МЭК 15408 основными группами пользователей
Часть
ИСО/МЭК
15408
Потребители
Разработчики
Оценщики
1
Используют для получения
общих сведений идолжны
использовать в качестве
справочного руководства и
руководства по структуре про
филей защиты
Используют для получения
общих сведений и в качестве
справочного руководства.
Должны использовать при
разработке спецификаций
безопасности для объектов
оценки
Должны использовать в каче
стве справочного руководства
и руководства по структуре
профилей защиты и заданий
по безопасности
16