ГОСТ 1*ИСО/МЭК 15408-1-2002
следует интерпретировать как демонстрацию преимущества одной методологии разработки (напри
мер. каскадной) перед другой (например, по прототипу).
Существенно, чтобы требования безопасности, налагаемые на разработку ИТ, эффективно
содействовали достижению целей безопасности, установленных потребителями. Если соответствую
щие требования не установлены до начала процесса разработки, то даже хорошо спроектированный
конечный продукт может не отвечать целям предполагаемых потребителей.
Этот процесс основан на уточнении требований безопасности, отображенных в краткой спе
цификации в составе задания по безопасности. Каждый последующий уровень уточнения представ
ляет декомпозицию проекта с его дополнительной детализацией. Наименее абстрактным
представлением является непосредственно реализация ОО.
ОК не предписывают конкретную совокупность представлений проекта. В ОК требуется, чтобы
имелось достаточное число представлений с достаточным уровнем детализации для демонстрации,
если потребуется, того, что:
а) каждый уровень уточнения полностью отображает более высокие уровни (все функции,
характеристики и режимы безопасности ОО. которые определены на более высоком уровне абстрак
ции. необходимо наглядно представить на более низком уровне);
б) каждый уровень уточнения точно отображает более высокие уровни (не следует иметь
функций, характеристик и режимов безопасности ОО, которые были бы определены на более низком
уровне абстракции, но при этом не требовались на более высоком уровне).
Критерии доверия из ОК идентифицируют следующие уровни абстракции проекта: функцио
нальная спецификация, проект верхнего уровня, проект нижнего уровня и реализация. В зависи
мости ог выбранного уровня доверия может потребоваться, чтобы разработчики показали, насколько
методология разработки отвечает требованиям доверия из ОК.
4.2.2 Оценка ОО
Процесс оценки ОО, как показано на рисунке 4.4. может проводиться параллельно с разработ
кой или следом за ней. Основными исходными материалами для оценки ОО являются:
а) совокупность свидетельств, характеризующих ОО, включая прошедшее оценку ЗБ вкачестве
основы оценки ОО:
б) ОО. безопасность которого требуется оценить;
в) критерии, методология и система оценки.
II