ГОСТ Р ИСО/МЭК 15408-1-2002
4.5.2 Оценка ЗБ
Оценка ЗБ для ОО выполняется согласно критериям оценки ЗБ. содержащимся в части 3 ОК.
Такая оценка имеет две цели: во-первых, продемонстрировать, что ЗБ является полным, непроти
воречивым. технически правильным и, следовательно, пригодным для использования в качестве
основы для оценки соответствующего ОО; во-вторых, в случае, когда в ЗБ имеется утверждение о
соответствии некоторому ПЗ, —продемонстрировать, что ЗБ должным образом отвечает требова
ниям этого ПЗ.
4.5.3 Оценка ОО
Оценка ОО производится согласно критериям оценки, содержащимся в части 3 ОК, с исполь
зованием в качестве основы ЗБ. прошедшего оценку. Цель такой оценки — продемонстрировать,
что ОО отвечает требованиям безопасности, содержащимся в ЗБ.
4.6 Поддержка доверия
Поддержка доверия к ОО осуществляется в соответствии с критериями опенки из части 3 ОК
с использованием предварительно оцененного ОО в качестве основы. Цель состоит в том. чтобы
убедиться, что доверие к ОО. установленное ранее, поддерживается и что ОО будет продолжать
отвечать требованиям безопасности после внесения изменений в него или в его среду.
5 Требования общих критериев и результаты оценки
5.1 Введение
В этом разделе представлены ожидаемые результаты оценки ПЗ и ОО. Оценки профилей
защиты или объектов оценки позволяют создавать соответственно каталоги ПЗ или ОО, прошедших
оценку. Однако ЗБ дает промежуточные результаты, которые затем используются при оценке ОО.
Рисунок 5.1 — Результаты опенки
Необходимо, чтобы опенка приводила к объективным и повторяемым результатам, на которые
затем можно ссылаться как на свидетельство даже при отсутствии абсолютно объективной шкалы
для представления результатов опенки безопасности ИТ. Наличие совокупности критериев оценки
является необходимым предварительным условием для того, чтобы оценка приводила к значимому
результату, предоставляя техническую основу для взаимного признания результатов оценки различ
ными органами оценки. Но практическое применение критериев включает как объективные, так и
субъективные элементы, поэтому невозможно получение абсолютно точных и универсальных рей
тингов безопасности ИТ.
Рейтинг, полученный в соответствии с ОК. представляет итоговые данные специфического
типа исследования характеристик безопасности ОО. Такой рейтинг не гарантирует пригодность к
использованию в какой-либо конкретной среде применения. Решение о приемке ОО к использова
нию в конкретной среде применения основывается на учете многих аспектов безопасности, включая и
выводы оценки.
19