ГОСТ Р ИСО/МЭК 18045—2013
9 Класс ASE: Оценка задания по безопасности
9.1 Введение
Этот раздел описывает оценку ЗБ. Оценку ЗБ следует начинать до начала каких-либо других под
видов деятельности по оценке ОО. так как ЗБ является основой и определяет условия выполнения
данных подвидов деятельности.
Методология оценки в этом разделе основана на требованиях к ЗБ. определенных в классе ASE
«Оценка ЗБ» из ИСО/МЭК 15408-3.
Данный разделследует использовать вместе с приложениями А. В и С в ИСО/МЭК 15408-1. поскольку
в этих приложениях разъясняются приведенные здесь понятия и приводятся многочисленные примеры.
9.2 Замечания по применению
9.2.1 Использование результатов оценки сертифицированных ПЗ
При осуществлении оценки ЗБ. которое основано на одном или нескольких сертифицированных
ПЗ. есть возможность использовать тот факт, что данные ПЗ были сертифицированы. Возможность
повторного использования результата оценки сертифицированных ПЗ больше, если оцениваемое ЗБ
не добавляет угроз. ПБОр, предположений, целей и/или требований безопасности этим ПЗ. Если в ЗБ
содержится намного больше угроз, ПБОр. предположений, целей и/или требований безопасности,
чем в сертифицированном ПЗ. повторное использование результатов сертификации может вообще
быть бесполезным.
Оценщику разрешается повторно использовать результаты оценки ПЗ. выполняя определенные
исследования только частично или вовсе не выполняя их. если эти исследования или их части были
проведены в рамках оценки ПЗ. Делая это. оценщику следует предположить, что анализ ПЗ был про
веден правильно.
Примером может служить случай, когда ПЗ содержит набор требований безопасности, и по ним
в процессе оценки ПЗ было получено заключение, что они являются внутренне непротиворечивыми.
Если в ЗБ используются эти же требования, анализ непротиворечивости не обязательно повторно про
водить во время оценки ЗБ. Если же ЗБ добавляет одно или более требований или выполняет операции
над этими требованиями, анализ необходимо повторить. Однако есть возможность сократить объем
работ при анализе непротиворечивости, используя тот факт, что исходные требования внутренне не
противоречивы. Если исходные требования внутренне непротиворечивы, оценщикдолжен только сде
лать заключение о том. что:
a) набор новых и/или измененных требований внутренне непротиворечив, и
b
) набор всех новых и/или измененных требований не противоречит исходным требованиям.
Оценщик отмечает в ТОО каждый случай, где исследования не сделаны или сделаны только ча
стично по этой причине.
9.3 Введение ЗБ (ASEJNT)
9.3.1 Подвид деятельности по оценке (ASEJNT.1)
9.3.1.1 Цели
Цель этого подвида деятельности — сделать заключение о том. правильно ли идентифицированы
ЗБ и ОО. правильно ли описан ОО по трем уровням представления («Ссылка на ОО». «Аннотация ОО»
и «Описание ОО») и согласованы ли данные описания друг с другом.
9.3.1.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ЗБ.
9.3.1.3 Действие ASEJNT.1.1E
ИСО/МЭК 15408-3 ASEJNT.1.1C: «Введение ЗБ» должно содержать «Ссылку на ЗБ», «Ссылку
на ОО». <vАннотацию ОО» и «Описание ОО».
9.3.1.3.1 Шаг оценивания ASEJNT.1-1
Оценщик должен проверить, содержит ли «Введение ЗБ» «Ссылку на ЗБ». «Ссылку на ОО». «Ан
нотацию ОО» и «Описание ОО».
ИСО/МЭК 15408-3ASEJNT.1.2C: «Ссылка на ЗБ» должна однозначно идентифицировать ЗБ.
9.3.1.3.2 Шаг оценивания ASEJNT.1-2
Оценщик должен исследовать «Ссылку на ЗБ», чтобы сделать заключение о том. уникально ли
в ней идентифицировано ЗБ.
30