ГОСТ Р ИСО/МЭК 15408-1—2012
Приложение D
(справочное)
Соответствие ПЗ
D.1 Введение
ПЗ предназначен для использования в качестве «шаблона» для ЗБ. То есть ПЗ описывает совокупность
потребностей пользователя, в то время как ЗБ. который соответствует этому ПЗ. описывает ОО, который удовлет
воряет данные потребности.
Также возможно использовать один ПЗ в качестве «шаблона» для другого ПЗ. То есть ПЗ может требовать
соответствие другому ПЗ. Этот случай полностью аналогичен утверждению о соответствии ПЗ в ЗБ. Для ясности в
данном приложении описывается только случай ЗБ/ПЗ, но приложение применимо и для случая ПЗ/ПЗ.
ИСО/МЭК 15408 не допускает любой формы частичного соответствия, таким образом, если в ПЗ или ЗБ
заявлено о соответствии ПЗ. то данные ПЗ или ЗБ должны полностью соответствовать указанному (указанным) ПЗ,
на которое (которые) имеется ссылка. Однако существуют два типа соответствия («строгое» и «демонстриру емое»).
при этом допустимый тип соответствия определяется в ПЗ. Таким образом в ПЗ (в утверждении о соответ ствии ПЗ.
см. 8.5) устанавливаются допустимые типы соответствия для ЗБ. Данное отличие между строгим и де
монстрируемым соответствием применимо на индивидуальной основе для каждого ПЗ, по отношению к которому в
ЗБ утверждается о соответствии. Это может означать, что ЗБ «строго» соответствует одним ПЗ. а тип соответ ствия
другим ПЗ — «демонстрируемое» соответствие. «Демонстрируемый» тип соответствия ПЗ допустим для ЗБ, только
если в ПЗ это явно разрешено, в то же время ЗБ может «строго» соответствовать любому ПЗ.
Другими словами, для ЗБ является допустимым «демонстрируемое» соответствие ПЗ только, если ПЗ явно
разрешает это.
Соответствие ПЗ означает, что ПЗ или ЗБ (а если для ЗБ имеется оцененный продукт, то и продукт также)
отвечают всем требованиям данного ПЗ.
Выпущенные ПЗ обычно будут требовать «демонстрируемого» соответствия. Это означает, что ЗБ. в котором
утверждается о соответствии подобному ПЗ. должно предлагать решение общей проблемы безопасности, описан
ной в ПЗ. но может это сделать любым способом, который является эквивалентным или более ограничительным, по
отношению к описанному в ПЗ. «Эквивалентный или более ограничительный» способ подробно определен в
рамках ИСО/МЭК 15408, но в принципе это означает, что ПЗ и ЗБ могут содержать полностью различные утверж дения.
в которых рассматриваются различные сущности, используются различные понятия и т. д „ при условии, что в
целом ЗБ налагает идентичные ПЗ или большие ограничения по отношению к ОО. а также — идентичные ПЗ или
меньшие ограничения по отношению к среде функционирования ОО.
D.2 Строгое соответствие
Строгое соответствие ориентировано на разработчиков ПЗ. которым требуются свидетельства, что требова
ния ПЗ удовлетворены, что ЗБ является примером реализации ПЗ. хотя при этом ЗБ может быть более широким,
чем ПЗ. По существу ЗБ определяет ОО. который выполняет, по крайней мере, что определено в ПЗ. и среду
функ ционирования. которая выполняет как максимум что определено в ПЗ.
Типичный пример использования строгого соответствия заключается в выборе для приобретения продукта,
для которого ожидается точное соответствие требований безопасности требованиям, определенным в ПЗ.
ЗБ. подтверждающее строгое соответствие некоторому ПЗ. может вводить дополнительные ограничения
по отношению к ПЗ.
D.3 Демонстрируемое соответствие
Демонстрируемое соответствие ориентировано на разработчиков ПЗ, которым требуются свидетельства,
что ЗБ является надлежащим для решения характерной проблемы безопасности, описанной в ПЗ.
Если в случае строго соответствия между ПЗ и ЗБ имеется четкое соотношение типа «подмножество — над
множество». то в случае демонстрируемого соответствия это соотношение менее четко определено. ЗБ. в которых
утверждается о соответствии ПЗ. должны предлагать решение характерной проблемы безопасности, описанной в ПЗ.
Однако утверждение о соответствии допустимо только в случав, когда ЗБ налагает идентичные ПЗ или боль
шие ограничения по отношению к ОО. а также — идентичные ПЗ или меньшие ограничения по отношению к среде
функционирования ОО.
47