ГОСТ Р ИСО/МЭК 18045—2013
А.5 Сфера ответственности системы оценки
l
Настоящий стандарт описывает минимальный объем технической работы, которую необходимо выполнить
при оценках, проводимых под контролем органов оценки. Тем не менее в нем также указаны (как явно, так и не
явно) виды деятельности или методы, на которые не распространяется взаимное признание результатов оценки.
Для внесения здесь ясности и в цепях уточнения границ, показывающих, где заканчивается настоящий
стандарт и где начинается методология конкретной системы оценки, ниже перечислены вопросы, оставленные на
усмотре ние систем. В конкретной системе оценки возможно как решение всех указанных вопросов, так и
оставление не которых из них неопределенными. (Было сделано все возможное для обеспечения полноты
приведенного списка; оценщикам, столкнувшимся с вопросом, не приведенным ниже и не рассмотренным в
настоящем стандарте, сле дует проконсультироваться в своей системе оценки, чтобы выяснить, к чьей
компетенции относится решение этого вопроса.)
К вопросам, которые могут определяться в конкретной системе оценки, относятся:
a) требуемое для обеспечения достаточности оценки — каждая система имеет способ (средства) верифи
кации технической компетенции, понимания работы и собственно работы ее оценщиков, либо требуя от оценщи ков
представления их результатов органу оценки, либо требуя от органа оценки повторения работы оценщика, или
ещё каким-либо способом, обеспечивающим, что все органы оценки выполняют работу приемлемым образом и
выдают сопоставимые результаты;
b
) процесс распоряжения свидетельствами оценки после завершения оценки:
c) требования по конфиденциальности (как со стороны оценщика, так и относительно неразглашения ин
формации. полученной в процессе оценки):
d) действия, предпринимаемые при возникновении проблем в процессе оценки (после решения проблемы
процесс оценки либо возобновляется, либо немедленно прекращается и исправленный продукт необходимо за
ново представить для оценки);
e) конкретный (естественный) язык, на котором необходимо представить документацию;
f) документальные свидетельства, которые необходимо представить в составе ТОО: настоящий стандарт
определяет минимум, который следует привести в ТОО. а в конкретных системах оценки возможно требование
включения дополнительной информации;
д) дополнительные отчеты (помимо ТОО), требуемые от оценщиков, например отчеты о тестировании;
h) любые специфические СП. которые могут потребоваться в соответствии с системой, включая структуру,
получателей и т.д. для таких СП;
i) структура конкретного содержания документальных сообщений (отчетов), разрабатываемых при оценке
ЗБ. — система оценки может иметь установленный формат для всех сообщений (отчетов), детализирующих ре
зультаты оценки, будь это оценка ОО или ЗБ:
j) любая требуемая дополнительно информация по идентификации ПЗ/ЗБ;
k) любые виды деятельности по принятию решения о пригодности сформулированных в явном виде требо
ваний в ЗБ;
) любые требования по подготовке свидетельства оценщика для поддержки переоценки и повторного при
менения свидетельств:
т ) любые конкретные способы применения идентификаторов, эмблем, торговых марок и т.д. системы оценки;
п) любые конкретные указания по применению криптографии;
о) способы трактовки и применения системы оценки, национальных и международных интерпретаций;
р) перечень или описание приемлемых альтернатив тестированию там. где тестирование неосуществимо:
q)механизм, посредством которого орган оценки может определить, какие шаги оценщик предпринял при те
стировании;
г)предпочтительный подход при тестировании (если таковой имеется): на внутреннем интерфейсе
или на внешнем интерфейсе:
s) перечень или характеристика приемлемых способов (средств) проведения оценщиком анализа уязвимо
стей (например методология гипотез о недостатках);
t) информация относительно любых уязвимостей инедостатков, которые необходимо принимать во внимание.
225