ГОСТ Р ИСО /М ЭК 15408-1-2002
5.2 Требования, включаемые в ПЗ и ЗБ
В ОК определена совокупность критериев безопасности ИТ, которая может отвечать потреб
ностям многих сообществ пользователей. ОК разработаны, исходя из того основного принципа, что
для формирования требований к ОО в виде профилей защиты и заданий по безопасности предпо
чтительно использование функциональных компонентов безопасности из части 2 ОК, ОУД и ком
понентов доверия из части 3 ОК, поскольку они представляют хорошо известную и попятную сферу
применимости.
В ОК допускается возможность, что при формировании полного набора требований к безопас
ности ИТ могут понадобиться функциональные требования и требования доверия, не включенные в
соответствующие каталоги. Для включения в ПЗ или ЗБ таких расширенных требований должны
быть выполнены следующие условия:
а) любые расширенные функциональные требования или требования доверия, включенные в
ПЗ или ЗБ. должны иметь четкую и недвусмысленную формулировку, выраженную таким образом,
что оценка и демонстрация соответствия ОО этим требованиям была бы возможна. В
качестве образца должен использоваться уровень детализации и способ выражения
существующих функци ональных компонентов и компонентов доверия из ОК;
б) результаты оценки, полученные с использованием расширенных функциональных требова
ний и требований доверия, должны содержать пояснение этого;
в) включение, при необходимости, в состав ПЗ или ЗБ расширенных функциональных требо ваний
или требований доверия должно соответствовать требованиям классов ЛРЕ или ASE из
части 3 ОК.
5.2.1 Результаты оценки ПЗ
ОК содержат критерии оценки, позволяющие оценщику установить, является ли ПЗ полным,
непротиворечивым, технически правильным и. следовательно, пригодным для ихложения требова
ний к ОО, предполагаемому для оценки.
Результат оценки Г13 должен формулироваться как *соответствие/несоответствие<>. ПЗ. для
которого оценка заканчивается положительно, должен получить право включения в реестр.
5.3 Требования к ОО
ОК содержат критерии оценки, которые позволяют оценщику решить, удовлетворяет ли ОО
требованиям безопасности, выраженным в ЗБ. Используя ОК при оценке ОО, оценщик сможет
прийти к выводам:
а) отвечают ли специфицированные функции безопасности ОО функциональным требованиям
и. следовательно, эффективны ли они для достижения целей безопасности ОО;
б) правильно ли реализованы специфицированные функции безопасности ОО.
Требования безопасности, содержащиеся в ОК. определяют хорошо отработанную с(|теру при
менимости критериев оценки безопасности ИТ. ОО. для которого требования безопасности выра
жены только в терминах функциональных требований и требований доверия из ОК. может быть
оценен по ОК. Использование пакетов требований доверия, не содержащих ОУД, должно быть
строго обосновано.
Однако может возникнуть потребность, чтобы ОО отвечал требованиям безопасности, непо
средственно не выраженным в ОК. В ОК признается необходимость оценки подобных ОО. но,
поскольку дополнительные требования лежат вне известной сферы применимости ОК. результаты
такой оценки должны сопровождаться соответствующим пояснением. Для подобных ОО может быть
поставлено под угрозу всеобщее признание результатов оценки заинтересованными органами оценки.
Результаты оценки ОО должны включать утверждение о соответствии ОК. Описание безопас ности
(X) в терминах ОК дает возможность сравнения характеристик безопасности различных (X).
5.3.1 Результаты оцен ки ОО
В результате оценки (X) должна быть установлена степень доверия тому, что (X) соответствует
требованиям.
Результат оценки ОО должен формулироваться как «соответствие/несоответствие*. ОО. для
которого оценка заканчивается положительно, должен получить право включения в реестр.
5.4 Пояснение результатов оценки
При положительном результатеоценки должна быть указана степень, с которой можно доверять
тому, что ПЗ или ОО соответствуют требованиям ОК. Должно поясняться соотношение с функци
ональными требованиями из части 2 ОК, требованиями доверия из части 3 ОК или же непосредст
венно с ПЗ. как это указано ниже:
2
0