ПРИЛОЖЕНИЕ В
(обязательное)
ГОСТ Р ИСО/МЭК 15408-1-2002
Спецификация заданий но безопасности
В.1 Краткий обзор
ЗБ содержит требования безопасности ИТ для конкретного 0 0 и специфицирует функции безопасности
и меры доверия, предлагаемые объектом оценки дтя удовлетворения установленных требований.
ЗБ для ОО является основой для соглашения между разработчиками, оценщиками и. где необходимо,
потребителями по характеристикам безопасности 0 0 и области применения оценки. Круг лиц, заинтересован
ных в ЗБ. нс ограничивается только ответственными за разработку 0 0 и его оценку, но может включать также
ответственных за управление, маркетинг, продажу, инсталляцию, конфшурированис. функционирование и
использование ОО.
В ЗБ разрешено включать требования из одного или нескольких ПЗ или утверждать о соответствии им.
Влияние таких утверждений о соответствии ПЗ не учитывается при первоначальном определении требуемого
содержания ЗБ в подразделе В.2. Влияние утверждения о соответствии ПЗ на содержание ЗБ рассматривается
в В.2.8.
Данное приложение содержит требования к ЗБ в описательной форме. В классе доверия ASE. в разделе 5
ГОСТ Р ИСО/МЭК 15408-3 эти требования приведены в форме компонентов доверия, которые следует ис
пользовать при оценке ЗБ.
В.2 Содержание задания по безопасности
В.2.1 С о д е р ж а н и е и п р е д с т а в л е н и е ЗБ
ЗБ должно соответствовать требованиям к содержанию, изложенным в данном приложении. ЗБ следует
представить в виде ориентированного на пользователя документа с минимумом ссылок на друг ие материалы,
которые могут быть недоступны пользователю этого ЗБ. Логическое обоснование, при необходимости, может
быть оформлено отдельно.
Содержание ЗБ представлено на рисунке В.1. который рекомендуется использовать при создании струк
турной схемы ЗБ.
В.2.2 В ве д ен и е ЗБ
Введение ЗБ должно содержать информацию .тля управлении документооборотом и обзорную информацию:
а) идентификация ЗБ должна обеспечить маркировку иописательную информацию, необходимые, чтобы
контролировать и идентифицировать ЗБ и ОО, к которому оно относится;
б) аннотация
ЗБ
должна дать общую характеристику ЗБ в описательной форме. Она должна быть
достаточно подробной, чтобы потенциальный потребитель 0 0 мог решить, представляет ли ОО для него
интерес. Аннотация должна быть также применима для размещения в виде самостоятельного реферата в
перечнях оцененных продуктов;
в) утверждение о соответствии ОК должно изложить каждое поддающееся оценке утверждение о соот
ветствии 0 0 общим критериям, как указано в подразделе 5.4.
В.2.3 Он пеан не ОО
Эта часть ЗБ должна содержать описание 0 0 , служащее цели лучшего понимания его требований
безопасности и дающее представление о типе продукта или системы. Область и ограничения применения СЮ
должны быть описаны в общих терминах как в отношении физической (аппаратные и/или
программные компоненты/модули), гак и логической его организации (характерные возможности ИГ и
безопасности, предлагаемые объектом оценки).
Описание 0 0 предоставляет контекст для оценки. Информация, содержащаяся в описании ОО, будет
использована в процессе оценки для выявления противоречии. Если ОО представляет собой продукт или
систему, основной функцией которых является безопасность, то эту часть ЗБ разрешается использовать для
более подробного описания контекста возможного применения ОО.
В.2.4 Ср ед а б е з о п а с н о с т и ОО
Изложение среды безопасности ОО должно содержать описание аспектов безопасности среды, в которой
предполагается использовать ОО. 31ожидаемый способ его применения. Это изложение должно включать в
себя следующее.
а) Описание предположений, содержащее аспекты безопасности среды, в которой ОО будет использо
ваться или предполагается к использованию. Оно должно также содержать:
- информацию относительно предполагаемого использования ОО. включая такие аспекты, как предпо
лагаемая область применения, потенциальная значимость активов и возможные ограничения на использование;
- информацию относительно среды применения ОО. включая аспекты физического окружения, персо
нала и внешних связей.
29