ГОСТ Р ИСО/МЭК 18045—2013
8 КлассАРЕ: Оценка профиля защиты
8.1 Введение
Этот раздел описывает оценку ПЗ. Требования и методология оценки ПЗ идентичны для каж
дой оценки ПЗ. независимо от ОУД (или другой совокупности требований доверия), заявленного в ПЗ.
Методология оценки в этом разделе основана на требованиях к ПЗ, определенных в классе АРЕ из
ИСО/МЭК 15408-3.
Данный разделследует использовать вместе с приложениями А. Ви С в ИСО/МЭК 15408-1.поскольку
в этих приложениях разъясняются приведенные здесь понятия и приводятся многочисленные примеры.
8.2 Замечания по применению
8.2.1 Повторное использование результатов оценки сертифицированных ПЗ
При осуществлении оценки ПЗ, который основан на одном или нескольких сертифицированных
ПЗ. есть возможность использовать тот факт, что данные ПЗ уже прошли сертификацию. Возможность
повторного использования результата оценки сертифицированных ПЗ больше, если оцениваемый ПЗ
не добавляет угроз. ПБОр. целей безопасности и/или требований безопасности к тем ПЗ, с
которыми утверходается соответствие. Если в оцениваемом ПЗ содержится намного больше угроз.
ПБОр. целей безопасности и/или требований безопасности, чем в сертифицированном ПЗ,
повторное использова ние результатов сертификации может быть бесполезным.
Оценщику разрешается повторно использовать результаты оценки ПЗ, проводя определенные ис
следования только частично или вовсе не выполняя их. если эти исследования или их части были про
ведены в рамках оценки ПЗ. Делая это, оценщику следует предположить, что анализ ПЗ был проведен
правильно.
Примером может служить следующая ситуация: анализируется соответствие некоторому ПЗ,
содержащему ряд требований безопасности. Эти требования в процессе оценки ПЗ были признаны
внутренне непротиворечивыми. Если в оцениваемом ПЗ используются эти же требования, анализ не
противоречивости не обязательно повторно проводить во время оценки ПЗ. Если же оцениваемый ПЗ
добавляет одно или более требований или выполняет над ними операции, анализ необходимо повто
рить. Однако есть возможность сократить объем работ при анализе непротиворечивости, используя тот
факт, что исходные требования внутренне непротиворечивы. Если исходные требования внутренне
непротиворечивы, оценщик только должен определить, что:
a) ряд новых и/или измененных требований внутренне непротиворечив, и
b
) все новые и/или измененные требования совместимы с исходными требованиями.
Оценщик отмечает в ТОО каждый случай, где исследования не сделаны или только частично сде
ланы по этой причине.
8.3 «Введение ПЗ» (APE_INT)
8.3.1 Подвид деятельности по оценке (APEJNT.1)
8.3.1.1 Цели
Цель этого подвида деятельности — сделать заключение о том. что ПЗ правильно идентифициро
ван и что «Ссылка на ПЗ» и «Аннотация ОО» не противоречат друг другу.
8.3.1.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
8.3.1.3 Действие APEJNT.1.1E
ИСО/МЭК 15408-3APEJNT.1.1C: «Введение ПЗ» должно содержать «Ссылкуна ПЗ» и «Аннота
цию ОО».
8.3.1.3.1 Шаг оценивания APEJNT.1-1
Оценщик должен проверить, представлены ли в разделе «Введение ПЗ» «Ссылка на ПЗ» и «Ан
нотация ОО».
ИСО/МЭК 15408-3 APEJNT.1.2C: «Ссылка на ПЗ» должна уникально идентифицировать ПЗ.
8.3.1.3.2 Шаг оценивания APEJNT.1-2
Оценщикдолжен исследовать «Ссылку на ПЗ» в целях определения того, чтоона уникально иден
тифицирует ПЗ.
Оценщик выносит заключение о том. что «Ссылка на ПЗ» идентифицирует ПЗ так. чтобы его мож
но было легко отличить от другого ПЗ, и что она уникально идентифицирует каждую версию ПЗ, напри
мер благодаря включению номера версии и/или даты публикации.
13