ГОСТ Р ИСО/МЭК 15408-3-2013
Ь. При этом все взаимодействия следует определить в функциональных спецификациях компонента
Ь;
b
)не-ФБО-а нуждается в сервисах, предоставляемых ФБО-b («В» соединяется с «С»). Это
тоже довольно простой случай (опять же. детализация «С» приводится в функциональных
спецификациях компонента Ь). но имеющий небольшое значение;
c)ие-ФБО-а нуждается в сервисах, предоставляемых не-ФБО-b («В» соединяется «D») - нет
детализации D, но мет и включения безопасности в использование этих интерфейсов, поэтому их
необязательно рассматривать при оценке, хотя они являются результатом интеграции, проведенной
разработчиком;
d)ФБО-а нуждается в сервисах, предоставляемых ие-ФБО-b («А» соединяется с «О») - это
происходит, когда у компонента а и компонента b разные понятия «сервиса безопасности».
Возможно, компонент b предъявляет требования идентификации и аутентификации (которых нет
среди ФТБ класса FIA в его ЗБ), но для компонента а необходима аутентификация, предоставляемая
его средой. Нет доступной детализированной информации об интерфейсах «О» (они не относятся к
ИФБО(Ь). потому и не включаются в функциональную спецификацию компонента Ь).
Замечание: если существует взаимодействие, описанное выше в подпункте d). тогда ФБО
составного ОО будет представлять собой ФБО-а + ФБО-Ь + Не ФБО-b. В иных случаях ФБО
составного ОО будет ФБО-а + ФБО-Ь.
Типы взаимодействий 2 и 4 рисунка В.4 не связаны напрямую с оценкой составного ОО.
Типы взаимодействий 1 и 3 будут рассматриваться при приложении различных семейств:
a)в семействе «Функциональная спецификация» (ADV_FSP) для компонента Ь будут
описываться взаимодействия С;
b
)’Зависимости зависимых компонентов» (ACO_REL) будет описывать взаимодействия А;
c)’Свидетельство разработки» (ACO_DEV) будет описывать взаимодействия С типа 1 и
взаимодействия D типа 3.
Типичный пример использования такой композиции - система управления базой данных
(СУБД), которая зависит от операционной системы (ОС). В процессе оценки компонента СУБД будет
проводиться оценка характеристик безопасности данной СУБД (на уровне строгости, требуемом
компонентами доверия,используемыми при оценке): определение границы ФБО; оценка
функциональной спецификации для определения того, описываются ли в ней должным образом
интерфейсы сервисов и сервисов безопасности, предоставляемые ФБО; возможно приведение
дополнительной информации по ФБО (по проекту, архитектуре, внутренней структуре), затем будет
произведено тестирование ФБО. оценка аспектов жизненного цикла и руководств.
Однако оценка СУБД не требует свидетельств относительно зависимости СУБД от ОС. В ЗБ
для СУБД будут перечислены предположения по ОО в подразделе «Предположения» и установлены
цели безопасности ОС в подразделе «Среда функционирования». ЗБ для СУБД может даже
приписывать эти цели всей среде функционирования в терминах ФТБ для ОС. Однако для ОС не
предусмотрена спецификация, которая отражала бы детали функциональной спецификации.
255