ГОСТ Р ИСО/МЭК 15408-1—2012
- «соответствие ИСО/МЭК 15408-2» — ПЗ или ЗБ соответствует ИСО/МЭК 15408-2. если все ФТБ
в данном ПЗ или ЗБ основаны только на функциональных компонентах из ИСО/МЭК 15408-2;
- «расширение ИСО/МЭК 15408-2» — ПЗ или ЗБ является расширенным по отношению
к ИСО/МЭК 15408-2. если как минимум одно ФТБ в данном ПЗ или ЗБ не основано на функциональных
компонентах из ИСО/МЭК 15408-2;
с)описывает соответствие ИСО/МЭК 15408-3 (требования доверия к безопасности), включающее
одно из следующего;
- «соответствие ИСО/МЭК 15408-3» — ПЗ или ЗБ соответствует ИСО/МЭК 15408-3, если все ТДБ
в данном ПЗ или ЗБ основаны только на компонентах доверия из ИСО/МЭК 15408-3;
- «расширение ИСО/МЭК 15408-3» — ПЗ или ЗБ является расширенным по отношению
к ИСО/МЭК 15408-3. если как минимум одно ТДБ в данном ПЗ или ЗБ не основано на компонентах до
верия из ИСО/МЭК 15408-3.
Кроме того, утверждение о соответствии может включать утверждение, сделанное относительно
пакетов требований; в данном случае оно включает одно из следующего;
- «соответствие именованному пакету» — ПЗ или ЗБ соответствует предопределенному имено
ванному пакету (например. ОУД). если:
ФТБ в ПЗ или ЗБ идентичны ФТБ в пакете или ТДБ в ПЗ или ЗБ идентичны ТДБ в пакете;
- «усиление именованного пакета» — ПЗ или ЗБ является усилением предопределенного имено
ванного пакета, если:
ФТБ в ПЗ или ЗБ включают все ФТБ из пакета, а также содержат как минимум одно допол
нительное ФТБ или ФТБ. которое является иерархичным по отношению к некоторому ФТБ из
пакета;
ТДБ в ПЗ или ЗБ включают все ТДБ из пакета, а также содержат как минимум одно допол
нительное ТДБ или ТДБ. которое является иерархичным по отношению к некоторому ТДБ из
пакета.
При успешном прохождении ОО оценки на соответствие ЗБ, любые утверждения о соответствии
задания по безопасности также относятся и к ОО. Таким образом. ОО также, например, может соот
ветствовать ИСО/МЭК 15408-2.
И наконец, утверждение о соответствии может также включать два утверждения относительно
профилей защиты:
a) «соответствие ПЗ» — ПЗ или ОО удовлетворяет конкретному(ым) профилю (ям) защиты,
который(ые) перечислон(ы) как часть утверждения о соответствии;
b
) «изложение соответствия» (только для профилей защиты) — В данном изложении описывает
ся способ, которым должно быть обеспечено соответствие профилей защиты или заданий по безопас
ности рассматриваемому ПЗ: строгое или демонстрируемое. Более подробная информация по вопросу
«изложения соответствия» приведена в приложении В.
9.5 Использование результатов оценки ЗБ/ОО
После оценки ЗБ и ОО у владельцев активов имеется доверие (как определено в ЗБ) к тому,
что ОО вместе со средой функционирования противостоят конкретным угрозам. Результаты оценки
могут быть использованы владельцем активов при принятии решения о принятии риска, связанного с
подверженностью активов воздействию конкретных угроз.
При этом владелец активов должен тщательно проверить следующее:
- соответствует ли определение проблемы безопасности в ЗБ конкретной проблеме безопасности
владельца активов;
- соответствует ли среда функционирования у владельца активов (или может ли быть обеспечено
ее соответствие) целям безопасности для среды функционирования, описанным в ЗБ.
Если что-либо из перечисленного не выполняется, то ОО может оказаться непригодным с точки
зрения целей владельца активов.
После ввода оцененного ОО в эксплуатацию сохраняется возможность проявления в ОО ранее
неизвестных ошибок или уязвимостей. В этом случае разработчик может внести изменения в ОО (что бы
устранить уязвимости) или изменить ЗБ, чтобы исключить уязвимости из области оценки. В любом
случае прежние результаты оценки могут оказаться уже недействительными.
Если окажется необходимым восстановить уверенность, то потребуется переоценка. Для пере
оценки может быть использован ИСО/МЭК 15408. однако подробные процедуры переоценки находятся
вне области данной части ИСО/МЭК 15408.
29