ГОСТ Р ИСО/МЭК 15408-1-2002
мости, ответственные за определение и выполнение политики и требований безопасности органи
зации в области ИТ;
б) аудиторы как внутренние, так и внешние, ответственные за оценку адекватности безопас
ности системы;
в) проектировщики систем безопасности, ответственные за спецификацию основного содер
жания безопасности систем и продуктов ИТ;
г) аттестующие, ответственные за приемку системы ИТ в эксплуатацию в конкретной среде;
д) заявители, заказывающие оценку и обеспечивающие ее проведение;
е) органы оценки, ответственные за руководство и надзор за программами проведения оценок
безопасности ИТ.
3.3 Контекст оценки
Для достижения большей сравнимости результатов оценок их следует проводить в рамках
полномочной системы оценки, которая устанавливает стандарты, контролирует качество оценок и
определяет нормы, которыми необходимо руководствоваться организациям, проводящим оценку, и
самим оценщикам.
В ОК не излагаются требования к правовой базе. Однако согласованность правовой базы
различных органов оценки является необходимым условием достижения взаимного признания
результатов оценок. На рисунке 3.1 показаны основные элементы формирования контекста для
оценок.
Использование общей методологии оценки позволяетдостичь повторяемости и объективности
результатов, но только этого недостаточно. Многие из критериев оценки требуют привлечения
экспертных решений и базовых знаний, добиться согласованности которых бывает нелегко. Для
повышения согласованности выводов, полученных при оценке, ее конечные результаты могут быть
представлены на сертификацию. Процедура сертификации представляет собой независимую инспек
цию результатов оценки, которая завершается их утверждением или выдачей сертификата. Сведения
о сертификатах обычно публикуются и являются общедоступными. Отметим, что сертификация
япляется средством обеспечения большей согласованности в применении критериев безопасности ИТ.
Система оценки, методология и процедуры сертификации находятся введении органов оценки,
управляющих системами оценки, и не входят в область действия ОК.
Рисунок 3.1 — Контекст оценки
3.4 Структура ОК
ОК состоит из нескольких отдельных, но взаимосвязанных частей, перечисленных ниже.
Термины, используемые при описании отдельных частей ОК. приведены в разделе 4.
а)Часть 1 «Введение и общая модель» является введением в ОК. В ней определяются общие
принципы и концепции оценки безопасности ИТ и приводится общая модельоценки. Представлены
7