ГОСТ Р ИСО/МЭК 15408-1—2012
летворить зависимости компонентов при включении в ПЗ и ЗБ требований, основанных на компонен
тах. имеющих зависимости. Зависимости следует также учитывать при формировании пакетов.
Другими словами, если компонент А имеет зависимость от компонента Б. это означает, что когда
ПЗ/ЗБ содержит требование безопасности, основанное на компоненте А. ПЗ/ЗБ должен также содер
жать одно из следующего:
a) требование безопасности, основанное на компоненте Б:
b
) требование безопасности, основанное на компоненте, более высоком по иерархии по отноше
нию к Б;
c) обоснование, почему ПЗ/ЗБ не содержит требования безопасности, основанного на компоненте Б.
В случаях а) и Ь), когда требование безопасности включено вследствие наличия зависимости,
может быть необходимым выполнить операции (назначение, итерация, уточнение, выбор) по отноше
нию к этому требованию безопасности таким образом, чтобы обеспечить уверенность в том. что оно
действительно удовлетворяет зависимость.
В случае с) в обосновании невключения требования следует отражать:
- либо почему нет необходимости в зависимости;
- либо, что зависимость учтена средой функционирования 00; вданном случае в обосновании сле
дует описать, каким образом в целях безопасности для среды функционирования учтена эта зависимость;
- либо, что зависимость учтена другими ФТБ некоторым другим способом (расширенные ФТБ,
сочетание ФТБ и др.).
7.3 Расширенные компоненты
Согласно ИСО/МЭК 15408 необходимо, чтобы требования основывались на компонентах
из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3 с двумя исключениями:
a) существуют цели безопасностидля 00. которые не могут быть преобразованы в ФТБ из ИСО/МЭК
15408-2, или существуют требования «третьей стороны» (например, законы, стандарты), которые не мо гут
быть преобразованы в ТДБ из ИСО/МЭК 15408-3 (например, относящиеся к оценке криптографии);
b
) цели безопасности могут быть выражены на основе компонентов из ИСО/МЭК 15408-2
и/или ИСО/МЭК 15408-3, но только с большими трудностями и/или сложностями.
В обоих случаях от разработчика ПЗ/ЗБ требуется определить собственные компоненты. Эти
вновь определенные компоненты называются расширенными компонентами. Точно определенный рас
ширенный компонент необходим для обеспечения контекста и значения расширенных ФТБ или ТДБ,
основанных на этом компоненте.
После корректного определения новых компонентов разработчик ПЗ/ЗБ может затем базировать
одно или более ФТБ или ТДБ на этих вновь определенных расширенных компонентах и использовать
их таким же образом, как и другие ФТБ и ТДБ. С этого момента не существует каких-либо различий меж
ду ФТБ и ТДБ. основанными на ИСО/МЭК 15408. и ФТБ и ТДБ. основанными на расширенных
компо нентах. Дополнительные требования к расширенным компонентам изложены в семействах
«Определе ние расширенных компонентов» (APE_ECD) и «Определение расширенных компонентов»
(ASE_ECD) ИСО/МЭК 15408-3.
8 Профили защиты и пакеты
8.1 Введение
Чтобы дать возможность заинтересованным группам или сообществам потребителей выражать
свои потребности безопасности и облегчить разработку ЗБ. данная часть ИСО/МЭК 15408 предостав
ляет две специальные конструкции: пакеты и профили защиты (ПЗ). В 8.2 и 8.3 эти конструкции
описа ны более подробно. В 8.4 объясняется, как эти конструкции могут быть использованы.
8.2 Пакеты
Пакет — это именованный набор требований безопасности. Пакеты делятся на:
- функциональные пакеты, включающие только ФТБ;
- пакеты доверия, включающие только ТДБ.
Смешанные пакеты, включающие как ФТБ. так и ТДБ. не допустимы.
Пакет может быть определен какой-либо стороной и предназначен для многократного исполь
зования. Для этой цели он должен включать требования, которые в сочетании являются полезными
и эффективными.
24