ГОСТ Р ИСО/МЭК 15408-1—2012
Окончание
таблицы
1
Часть
ИСО/МЭК
15408
Потребители
Разработчики
Оцемшики
2
Используют в качестве руко
водства и справочника при
формулировании требований
для ОО
Должны использовать в
качестве справочника при
интерпретации изложения
функциональных требований
и формулировании функцио
нальных спецификаций для
объектов оценки
Должны использовать в каче
стве справочного руководства
при интерпретации изложения
функциональных требований
3
Используют в качестве ру
ководства при определении
требуемых уровней доверия
Используют в качестве спра
вочника при интерпретации
изложения требований дове
рия и определении подходов
к установлению доверия к
объектам оценки
Используют в качестве
справочного руководства при
интерпретации изложения
требований доверия
5.5 Контекст оценки
Для достижения большей сравнимости результатов оценок их следует проводить в рамках офи
циальной системы оценки, которая устанавливает стандарты, контролирует качество оценок и опре
деляет нормы, которыми необходимо руководствоваться организациям, проводящим оценку, и самим
оценщикам.
В ИСО/МЭК 15408 (во всех частях) не излагаются требования к правовой базе. Однако согла
сованность правовой базы различных органов оценки является необходимым условием достижения
взаимного признания результатов оценок.
Второе направление достижения большей сравнимости результатов оценок заключается в ис
пользовании общей методологии получения этих результатов. Для всех частей ИСО/МЭК 15408 такая
методология приведена в ИСО/МЭК 18045.
Использование общей методологии оценки позволяет достичь повторяемости и объективности
результатов, но только этого недостаточно. Многие из критериев оценки требуют привлечения эксперт
ных решений и базовых знаний, добиться согласованности которых бывает нелегко. Для повышения
согласованности выводов, полученных при оценке, ее конечные результаты могут быть представлены
на сертификацию.
Процесс сертификации представляет собой независимую экспертизу результатов оценки, которая
завершается их утверждением или выдачей сертификата. Сведения о сертификатах обычно публику
ются и являются общедоступными. Сертификация является средством обеспечения большей согласо
ванности в применении критериев безопасности ИТ.
Системы оценки и процессы сертификации находятся в ведении органов оценки, управляющих
системами и процессами оценки, и не входят в область действия ИСО/МЭК 15408 (всех частей).
6 Общая модель
6.1 Введение к общей модели
В этом разделе представлены общие понятия, используемые во всех частях ИСО/МЭК 15408,
включая контекст использования этих понятий, и подход ИСО/МЭК 15408 к их применению. ИСО/МЭК
15408-2 и ИСО/МЭК 15408-3. к которым должны обращаться пользователи ИСО/МЭК 15408-1. раз
вивают эти понятия в рамках описанного подхода. Кроме того, тем пользователям ИСО/МЭК 15408-1,
которые собираются выполнять виды деятельности по оценке, необходим ИСО/МЭК 18045. Данный
раздел предполагает наличие определенных знаний по безопасности ИТ и не предназначен для ис
пользования в качестве учебного пособия в этой области.
Безопасность 8 ИСО/МЭК 15408 (во всех частях) рассмотрена с использованием совокупности
понятий безопасности и терминологии. Их понимание является предпосылкой эффективного исполь
зования ИСО/МЭК 15408 (всех частей). Однако сами по себе эти понятия имеют самый общий ха
рактер и не предназначены для ограничения класса проблем безопасности ИТ. к которым применим
ИСО/МЭК 15408.
17