ГОСТ Р ИСО/МЭК 15408-1-2002
а) ОК не содержат критериев оценки безопасности, касающихся административных мер без
опасности, непосредственно не относящихся к мерам безопасности ИГ. Известно, однако, что
безопасность ОО в значительной степени может быть достигнута административными мерами,
такими как организационные меры, управление персоналом, физическая защита и процедурный
контроль. Административные меры безопасности в среде эксплуатации ОО рассматриваются в
качестве предположений о безопасном использовании там, где они влияют на способность мер
безопасности ИТ противостоять установленным угрозам.
б) Оценка специальных физических аспектов безопасности ИТ. таких как контроль электро
магнитного излучения, прямо не затрагивается, хотя многие концепции ОК применимы и в этой
области. В частности, рассмотрены некоторые аспекты физической защиты ОО.
в) В ОК не рассматривается ни методология оценки, ни административно-правовая структура,
в рамках которой критерии могут применяться органами оценки. Тем не менее, ожидается, что ОК
будут использоваться для целей оценки в контексте такой структуры и такой методологии.
г) Процедуры использования результатов опенки при аттестации продуктов и систем И’Г
находятся вне области действия ОК. Аттестация продукта или системы ИТ яатяется администра
тивным процессом, посредством которого предоставляются полномочия на их использование в
конкретной среде эксплуатации. Оценка концентрируется на тех аспектах безопасности продукта
или системы ИТ и на тех аспектах среды эксплуатации, которые могут непосредственно влиять на
безопасное использование элементов ИТ. Результаты процесса оценки являются, следовательно,
важными исходными материалами для процесса аттестации. Однако, поскольку для оценки не
связанных с ИТ характеристик безопасности продукта или системы, а также их соотнесения
с аспектами безопасности ИТ более приемлемы другие способы, аттестующим следует
предусмотреть дтя этих аспектов особый подход.
д) Критерии дтя оценки специфических качеств криптографических алгоритмов не входят в
ОК. Если требуется независимая оценка математических свойств криптографии, встроенной в ОО.
то в системе оценки, в рамках которой применяются ОК. необходимо предусмотреть
проведение таких оценок.
2 Определения
2.1 Общие сокращения
Следующие сокращения являются общими дтя всех частей ОК.
ЗБ (ST)
ИТ (ГГ)
ИФБО (TSFI)
ОДФ (TSC)
ОК
(СО
ОО (ТОЕ)
ОУД (EAL)
ИБО (TSP)
ПЗ (РР)
Г1ФБ (SFP)
СФБ (SOF)
ФБ (SF)
ФБО (TSF)
Задание по безопасности
Информационная технология
Интерфейс ФБО
Область действия ФБО
Общие критерии, исторически сложившееся название, часто используемое в
ГОСТ Р ИСО/МЭК 15408 вместо его официального названия «Критерии
оценки безопасности информационных технологий*
Обьект оценки
Оценочный уровень доверия
Политика безопасности ОО
Профиль зашиты
Политика функции безопасности
Стойкость функции безопасности
Функция безопасности
Функции безопасности ОО
2.2 Область применения глоссария
Подраздел 2.3 содержит только те термины, которые используются во всем тексте ОК особым
образом. Большинство терминов в ОК применяется согласно словарным или общепринятым опре
делениям, которые включены в глоссарии по безопасности ИСО или в другие широко известные
сборники терминов по безопасности. Некоторые комбинации общих терминов, используемые вОК и
не вошедшие в глоссарий, обьясняются непосредственно в тексте по месту использования.
Объяснение терминов и понятий, применяемых особым образом в ГОСТ Р ИСО/МЭК 15408-2 и
ГОСТ Р ИСО/МЭК 15408-3, можно найти в подрахтеле «Парадигма* соответствующего стандарта.
2