ГОСТ Р ИСО/МЭК 15408-3-2013
Приложение В
(справочное)
Композиция (АСО)
Целью данного приложения является объяснение принципов оценки композиции и критериев
класса АСО. В данном приложении не определяются критерии класса ASE; данное определение
приведено в разделе 10.
В.1 Необходимость оценки составных 00
В целом рынок ИТ составляют производители, предлагающие отдельные продукты/технологии.
Хотя бывают и случаи, когда производители аппаратного обеспечения ПК могут также предлагать
прикладное программное обеспечение и/или операционные системы, а производитель микросхем
(чипов) может также разработать специализированную ОС под свой чипсет, но в основном имеет
место ситуация, когда ИТ-решения реализуются несколькими производителями.
Иногда существует потребность в доверии к объединению (композиции) компонентов в
дополнение к доверию, полученному для каждого отдельного компонента. И хотя между
производителями существует кооперация (сотрудничество), тем не менее в рамках распространения
материала,необходимогодлятехническойинтеграциикомпонентов,соглашениямежду
производителями редко распространяются вплоть до предоставления информации о деталях
проектирования и свидетельствах процессоа’процедур разработки. Недостаточность информации,
предоставленной разработчиком компонента, на который полагается другой компонент, приводит к
тому, что разработчик зависимого компонента не имеет доступа к информации, необходимой для
оценки базового и зависимого компонентов по ОУД2 и выше. Таким образом, хотя оценка зависимого
компонента может быть проведена на любом уровне доверия, для объединения нескольких
компонентов с ОУД2 и выше необходимо повторно использовать свидетельства и результаты оценки,
проведенной разработчиком.
Предполагается, что критерии класса АСО применимы в случае, если одна сущность ИТ
зависит от другой для предоставления сервисов безопасности. Сущность, предоставляющая такие
сервисы, называется «базовым компонентом», получающая сервисы - «зависимым компонентом».
Такие взаимоотношения могут существовать в различных условиях. Например, приложение
(зависимый компонент) может использовать сервисы, предоставляемые операционной системой
(базовый компонент).Взаимоотношения могут быть и пиринговыми (равноправными), когда два
связанных приложения могут быть запущены в общей операционной среде или на различных
аппаратных платформах. Если один из равноправных пользователей/узлов сети предоставляет
сервисы другому узлу/пользователю. то он считается базовым компонентом, тогда как получатель
сервисов - зависимым. Если же пользователи/узлы сети взаимно предоставляют друг другу сервисы,
они будут считаться базовыми компонентами для предоставляемых сервисов и зависимыми - для
получаемых. Это потребует повтора компонентов АСО. причем к каждому из таких компонентов будут
предъявляться требования как к базовому, и одновременно как к зависимому компоненту.
247