ГОСТ Р ИСО/МЭК 15408-1-2002
приватной, доступной им по мере необходимости и не сможет быть подвергнута несанкциониро
ванной модификации. При выполнении продуктами или системами ИТ их функций следует осу
ществлять надлежащий контроль информации, что обеспечило бы ее защиту от опасностей типа
нежелательного или неоправданного распространения, изменения или потерн. Термин «безопас
ность ИТ* охватывает предотвращение и уменьшение этих и подобных опасностей.
Многие потребители И’Г из-за недостатка знаний, компетентности или ресурсов не будут
уверены в безопасности применяемых продуктов и систем ИТ и, возможно, не захотят полагаться
исключительно на заверения разработчиков. Чтобы повысить свою уверенность имерах безопаснос ти
продукта или системы ИТ. потребители могут заказать проведение анализа безопасности этого
продукта или системы (т. е. оценку безопасности).
ОК могут использоваться для выбора приемлемых мер безопасности И’Г. В них содержатся
критерии оценки требований безопасности.
3.2 Пользователи ОК
В оценке характеристик безопасности продуктов и систем И’Г заинтересованы в основном
потребители, разработчики и оценщики. Представленные критерии структурированы в интересах
этих трупп, потому что именно они рассматриваются как основные пользователи ОК. Впоследующих
пунктах объясняется, какую пользу могут принести критерии каждой из этих групп.
3.2.1 Потребители
ОК играют важную роль в методической поддержке выбора потребителями требований без
опасности ИТ для выражения своих потребностей. ОК написаны, чтобы обеспечить посредством
оценки удовлетворение запросов потребителей, поскольку это является основной целью и обосно
ванием процесса оценки.
Результаты оценки помогают потребителям решить, вполне ли оцениваемый продукт или
система удовлетворяет их потребности в безопасности. Эти потребности обычно определяются как
следствие анализа рисков, а также направленностиполитики безопасности. Потребители могут также
использовать результаты оценки для сравнения различных продуктов и систем. Иерархическое
представление требований доверия способствует этому.
ОК предоставляют потребителям, особенно входящим в группы и сообщества с едиными
интересами, независимую от реализации структуру, называемую профилем зашиты (ПЗ), для выра
жения их специфических требований к мерам безопасности ИТ в объекте оценки.
3.2.2 Разработчики
ОК предназначены для поддержки разработчиков при подготовке к оценке своих продуктов
или систем и содействии в ее проведении, а также при установлении требований безопасности,
которым должны удовлетворять кажлый их продукт или система. Вполне возможно, что использо
вание совместно с ОК методологии оценки, потенциально сопровождаемой соглашением о взаим
ном признании результатов оценки, позволит к тому же использовать ОК для поддержки иных лиц.
помимо разработчиков 0 0 , при подготовке этого ОО к оценке и содействии в ее проведении.
Конструкции из ОК могут тогда использоваться для формирования утверждения о соответствии
ОО установленным для него требованиям посредством подлежащих оценке специфицированных
функций безопасности и мер доверия. Требования для каждого ОО содержатся в зависимой
от реализации конструкции, называемой заданием по безопасности (ЗБ). Требования широкого
круга
потребителей могут быть представлены в одном шли нескольких ПЗ.
ВОК описаны функции безопасности, которые разработчик мог бы включить в ОО. ОК можно
использовать для определения обязанностей и действий по подготовке свидетельств, необходимых
при проведении оценки СЮ. Они также определяют содержание и представление таких свидетельств.
3.2.3 О ц е нщ ики
В ОК содержатся критерии, предназначенные для использования оценщиками ОО при фор
мировании заключения о соответствии объектов оценки предъявленным к ним требованиям без
опасности. В ОК дается описание совокупности основных действий, выполняемых оценщиком, и
функций безопасности, к которым относятся эти действия. В ОК. однако, не определены процедуры,
которых следует придерживаться при выполнении этих действий.
3.2.4 Прочие
Хотя ОК ориентированы на определение и оценку характеристик безопасности ИТ для объек
тов оценки, они также могут служить справочным материалом для всех, кто интересуется вопросами
безопасности ИТ или несет ответственность за них. Среди них можно выделить, например, следую
щие группы, предсгавители которых смогут извлечь пользу из информации, приведенной в ОК:
а) лица, ответственные за техническое состояние оборудования, и сотрудники служб безопас-
6