ПРИЛОЖЕНИЕ Г,
(обязательное)
ГОСТ Р ИСО/МЭК 15408-1-2002
Спецификация профилей защиты
Б.1 Краткий обзор
ПЗ определяет независимую от конкретной реализации совокупность требований ИТ для некоторой
категории 0 0 . Такие ОО предназначены для удовлетворения общих запросов потребителей в безопасности ИТ.
Поэтому потребители могут выразить свои запросы вбезопасности ИТ. используя существующий или формируя
новый ПЗ. без ссылки на какой-либо конкретный ОО.
Данное приложение содержит требования к ПЗ в описательной форме. В классе доверия АРЕ. в разделе 4
ГОСТ Р ИСО/МЭК 15408-3 л и требования приведены в форме компонентов доверия, которые следует ис
пользовать при оценке ПЗ.
Б.2 Содержание профиля защиты
Б.2.1 С о д е р ж а н и е и п р е д с т а в л е н и е
ПЗ должен соответствовать требованиям к содержанию, изложенным в данном приложении. ПЗ следует
представить как ориентированный на пользователя документ с минимумом ссылок на другие материалы,
которые могут быть недоступны пользователю этого ПЗ. Логическое обоснование, при необходимости, может
быть оформлено отдельно.
Содержание Г13 представлено на рисунке Б.1. который следует использовать при создании структурной
схемы разрабатываемого ПЗ.
Б.2.2 Введе н не ПЗ
Введение ПЗ должно содержать информацию об упраатении документооборотом и обзорную информа
цию. необходимые для работы с реестром ПЗ:
а) идентификация ПЗ должна обеспечить маркировку и описательную информацию, необходимые, чтобы
идентифицировать, каталогизировать, регистрировать ПЗ и ссылаться на него;
б) аннотация ПЗ должна дать общую характеристику ПЗ в описательной форме. Она должна быть
достаточно подробной, чтобы потенциальный пользователь ПЗ мог решить, представляет ли ПЗ для него
интерес. Аннотация должна быть также применима для размещения в виде самостоятельного реферата в
каталогах и реестрах П3.
Б.2.3 О п и с а н и е ОО
Эта часть ПЗ должна содержать описание ОО. служащее цели лучшего понимания его требований
безопасности и дающее представление о типе продукта и основных характерных особенностях ИТ примени
тельно к ОО.
Описание ОО предоставляет контекст для оценки. Информации, содержащаяся в описании ОО. будет
использована в процессе оценки для выявления противоречий. Поскольку Г13 обычно нс ссылается на
конкретную реализацию, то характерные особенности ОО могут быть представлены в виде предположений.
Если ОО является продуктом или системой, основной функцией которых является безопасность, то эта часть ПЗ
может быть использована для описания более широкого контекста возможного применения ОО.
Б.2.4 С р ед а б е з о п а с н о с т и ОО
Изложение среды безопасности ОО должно содержать описание аспектов безопасности среды, в которой
предполагается использовать ОО. и ожидаемый способ его применения. Это изложение должно включать в
себя следующее.
а) Описание предположений, содержащее аспекты безопасности среды, в которой ОО будет использо
ваться или предполагается к использованию. Оно должно также содержать:
- информацию относительно предполагаемого использования ОО. включая такие аспекты, как предпо
лагаемая область применения, потенциальная значимость активов и возможные ограничении использования:
- информацию относительно среды применения ОО, включая аспекты физического окружения, персо
нала и внешних связей.
б) Описание угроз, содержащее все те угрозы активам, против которых требуется зашита средствами ОО
или сто среды. Заметим, что необходимо приводить не все угрозы, которые могут встретиться в среде, а только
те из них. которые атияют на безопасную эксплуатацию ОО.
Угроза должна быть описана с использованием понятий идентифицированного нарушителя, нападения
и актива, который подвергается нападению. Нарушителя Следует описать через такие аспекты, как компетент
ность. доступные ресурсы и мотивация. Нападение следует описать через такие аспекты, как возможность,
метод нападения и используемые уязвимости.
Если цеди безопасности ОО следуют только из политики безопасности организации и предположений,
то описание угроз может быть опущено.
25