ГОСТ Р ИСО/МЭК 18045—2013
В качестве руководства о том. что считать «эквивалентным или более ограничительным» изложе
нием. см. ИСО/МЭК 15408-1 приложение D «Соответствие ПЗ».
ИСО/МЭК 15408-3 APE_CCL.1.11C: «Изложение соответствия» должно содержать описание
соответствия, требуемого любыми ПЗ/ЗБ данному профилю защиты в виде строгого или демон
стрируемого соответствия.
8.4.1.3.13 Шаг оценивания APE_CCL.1-13
Оценщик должен проверить, что изложение соответствия ПЗ содержит утверждение о строгом
или демонстрируемом соответствии ПЗ.
8.5 Определение проблемы безопасности (APE_SPD)
8.5.1 Подвид деятельности по оценке (APE_SPD.1)
8.5.1.1 Цели
Цель этого подвида деятельности состоит в том, чтобы сделать заключение о том. что проблема без
опасности. которая должна решаться применением ОО и егосредойфункционирования, четко определена.
8.5.1.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
8.5.1.3 Действие APE_SPD.1.1E
ИСО/МЭК 15408-3APE_SPD. 1.1С: «Определение проблемы безопасности» должно включать в себя
описание угроз.
8.5.1.3.1 Шаг оценивания APE_SPD.1-1
Оценщикдолжен проверить, что «Определение проблемы безопасности» описывает угрозы.
Если все цели безопасности получены из предположений и/или только из ПБОр. изложение угроз
не обязательнодолжно присутствовать в ПЗ. В этом случае этот шаг оценивания не применим и счита
ется удовлетворенным.
Оценщик делает заключение о том. что «Определение проблемы безопасности» описывает угро
зы. которым должен противостоять ОО и/или его среда функционирования.
ИСО/МЭК 15408-3APE_SPD.1 2С: Описание всех угроз должно проводиться в терминах источ
ника угрозы, активов и негативного воздействия.
8.5.1.3.2 Шаг оценивания APE_SPD.1-2
Оценщик должен исследовать «Определение проблемы безопасности», чтобы сделать заключе
ние о том. что все угрозы описаны с указанием источника угрозы, негативного воздействия и активов.
Если все цели безопасности получены из предположений и/или только из ПБОр. изложение угроз
не обязательнодолжно присутствовать в ПЗ. В этом случае этот шаг оценивания не применим и счита
ется удовлетворенным.
Источники угрозы могут быть описаны более подробно с указанием таких аспектов, как уровень
навыков и способностей нарушителя, доступные ему ресурсы, возможности и мотивация.
ИСО/МЭК 15408-3 APE_SPD.1.3C: В «Определение проблемы безопасности» должно быть
включено описание ПБОр.
8.5.1.3.3 Шаг оценивания APE_SPD.1-3
Оценщик должен проверить, что «Определение проблемы безопасности» описывает ПБОр.
Если все цели безопасности получены из предположений и/или только из ПБОр. изложение угроз
не обязательнодолжно присутствовать в ПЗ. В этом случае этот шаг оценивания не применим и счита
ется удовлетворенным.
Оценщик делает заключение о том. что изложения ПБОр сформулированы в терминах правил
или руководств, которые должны выполняться ОО и/или его средой функционирования.
Оценщик делает заключение о том. что каждая ПБОр объясняется и/или интерпретируется до
статочно подробно для ее однозначного и ясного понимания; ясное представление изложений политик
безопасности необходимо для возможности сопоставления их с целями безопасности.
ИСО/МЭК 15408-3 APE_SPD.1.4C: «Определение проблемы безопасности» долж
1
Ю содержать
описание предположений относительно среды функционирования ОО.
8.5.1.3.4 Шаг оценивания APE_SPD.1-4
Оценщик должен исследовать «Определение проблемы безопасности», чтобы сделать заключение
о том. что оно включает в себя описание предположений относительно среды функционирования ОО.
Если нет никаких предположений,тоэтотшаг оценивания не применим и считается удовлетворенным.
Оценщик делает заключение о том. что каждое предположение относительно среды функциониро вания
ОО объясняется достаточно подробно для того, чтобы пользователи могли сделать заключение
18