ГОСТ Р ИСО/МЭК 15408-1—2012
Приложение В
(справочное)
Спецификация профилей защиты
В.1 Ц ел ь и структура д анн о го прилож ения
Цель данного приложения состоит в изложении концепции профиля защиты (ПЗ). В данном приложении
не определены критерии класса АРЕ; соответствующее определение содержится в ИСО/МЭК 15408-3 и поддержа
но документами. приведенными в разделе «Библиография».
Так как профили защиты и задания по безопасности имеют значительные совпадения, в данном приложении
внимание сосредоточено на отличиях между ПЗ и ЗБ. Материал, который является идентичным для ЗБ и для ПЗ,
изложен в приложении А_
Приложение В состоит из четырех основных частей:
a) Что должно содержать ПЗ. Краткая информация по этому вопросу изложена в В.2. более подробно
в В.4— В.9. В указанных разделах описано обязательное содержание ПЗ. взаимосвязи в рамках содержания ПЗ,
а также представлены примеры.
b
) Как следует использовать ПЗ. Краткая информация по этому вопросу изложена в В.З.
c) ПЗ для низкого уровня доверия (упрощенный ПЗ). Упрощенные ПЗ представляют собой ПЗ с сокращен
ным содержанием. Такие ПЗ описаны в В.11.
d) Утверждение о соответствии стандартам. В разделе В.12 описано, каким образом разработчик ПЗ может
сделать утверждение, что ОО должен удовлетворять некоторому конкретному стандарту.
В .2 О б язател ьн ое сод ерж ан ие ПЗ
На рисунке В.1 представлено содержание ПЗ. установленное в ИСО/МЭК 15408-3. Рисунок В.1 также можно
использовать как структурную схему ПЗ. хотя допустимы и альтернативные структуры. Например, если обоснова
ние требований безопасности является очень объемным, то оно может быть вынесено в приложение к ПЗ вместо
включения в раздел «Требования безопасности». Разделы ПЗ и содержание этих разделов кратко рассмотрены
ниже; в В.4 — В.9 приведены более подробные пояснения. ПЗ содержит;
a) раздел «Введение ПЗ». содержащий описание типа ОО;
b
) раздел «Утверждения о соответствии», указывающий, утверждается ли в ПЗ о соответствии каким-либо
ПЗ и/или пакетам, и если «да», то каким ПЗ и/или пакетам;
c) раздел «Определение проблемы безопасности», в котором указываются угрозы. ПБОр и предположения;
d) раздел «Цели безопасности», показывающий, каким образом решение проблемы безопасности распреде
лено между целями безопасности для ОО и целями безопасности для среды функционирования ОО:
e) раздел «Определение расширенных компонентов» (опционально), в котором могут быть определены новью
компоненты (т. е. компоненты, не содержащиеся в ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3). Эти новые компоненты
необходимы, чтобы определить расширенные функциональные требования и расширенные требования доверия;
f) раздел «Требования безопасности», в котором цели безопасности для ОО преобразованы в изложение
на стандартизованном языке. Этот стандартизированный язык представляет собой форму представления ФТБ.
Кроме того, в рассматриваемом разделе определяют ТДБ.
Существуют также ПЗ для низкого уровня доверия (упрошенные ПЗ). имеющие сокращенное содержание;
подробно такие ПЗ описаны в В.11. За этим исключением все остальные части данного приложения предполагают ПЗ
с полным содержанием.
В .З И спользование ПЗ
В.3.1 Как сл ед ует испол ьзовать ПЗ
ПЗ представляет собой изложение потребностей в безопасности, в котором некоторое сообщество поль
зователей. регулирующий орган или группа разработчиков определяет общую совокупность потребностей в без
опасности. ПЗ дает возможность потребителям ссылаться на эту совокупность и облегчает последующую оценку
удовлетворения этих потребностей.
Поэтому ПЗ обычно используют в качестве:
- части спецификации требований конкретного потребителя или группы потребителей, которые будут рас
сматривать приобретение продукта ИТ некоторого конкретного типа, только если он удовлетворяет ПЗ;
- части нормативного регулирования со стороны регулирующего органа, который разрешает использование
продукта ИТ некоторого конкретного типа, только если он удовлетворяет ПЗ;
- базовой линии некоторой группы разработчиков, которые договариваются, что все продукты ИТ данного
типа, которые они будут производить, будут удовлетворять данной базовой линии.
- хотя это не исключает другого использования.
В .3.2 Как не сл ед ует испол ьзовать П З
Три роли (из многих), для которых не следует использовать ПЗ:
41