ГОСТ Р ИСО /М ЭК 15408-1-2002
Рисунок 4.4 — Процесс оценки СЮ
Кроме того, в качестве исходных материалов для оценки возможно также использование
вспомогательных материалов (таких, как замечания по применению ОК) и специальных знаний в
области безопасности И’Г, которыми располагают оценщик и сообщество участников оценок.
Ожидаемым результатом опенки является подтверждение удовлетворения объектом оценки
требований безопасности, изложенных в его ЗБ. а также один или несколько отчетов, документи
рующих выводы оценщика относительно ОО, сделанные всоответствии с критериями оценки. Такие
отчеты, помимо разработчика, будут полезны также реальным и потенциальным потребителям
продукта или системы, представленным как объект оценки.
Степень уверенности, получаемая в результате оценки, зависит от удовлетворенных при оценке
требований доверия (например, от оценочного уровня доверия).
Оценка может способствовать созданию более безопасных продуктов ИТ по двум направлени
ях». Оценка предназначена для выявления ошибок или уязвимостей в ОО, устраняя которые разра
ботчик снижает вероятность нарушения безопасности ОО при его последующей эксплуатации.
Кроме того, готовясь к строгой оценке, разработчик, возможно, более внимательно отнесется к
проектированию и разработке ОО. Поэтому процесс оценки может оказывать значительное, хотя и
косвенное, положительное алияние на начальные требования, процесс разработки, конечный про
дукт и условия его эксплуатации.
4.2.3 Эксплуатация ОО
Потребители могут выбрать оцененный продукт для использования в своих конкретных усло
виях. Не исключено, что при эксплуатации ОО могут проявиться не обнаруженные до этого ошибки
или уязвимости, а также может возникнуть необходимость пересмотра предположений относительно
среды функционирования. Тогда по результатам эксплуатации потребуется внесение разработчиком
исправлений вООлибо переопределение требований безопасности или предположений относитель
но среды эксплуатации. Такие изменения, в свою очередь, могут привести к необходимости прове
дения новой оценки СХ) или повышения безопасности среды его эксплуатации. В некоторых
случаях для восстановления доверия к ОО достаточно оценить только требующиеся обновления.
Хотя ОК содержат критерии, предусматривающие поддержку доверия, детальное описание
процедур пере оценки, включая использование результатов ранее проведенных опенок, выходит
за рамки ОК.
4.3 Понятия безопасности
Критерии оценки наиболее полезны в контексте процессов проектирования и правовой базы,
поддерживающих безопасную разработку и оценку ОО. Этот подраздел включен исключительно в
12