ГОСТ Р ИСО/МЭК 15408-3-2002 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
3 Критерии оценки профиля защиты и задания по безопасности
3.1 Краткий обзор
Настоящий раздел знакомит с критериями оценки для ПЗ и ЗБ, полностью представленными в классах АРЕ "Оценка профиля защиты" и ASE "Оценка задания по безопасности" (разделы 4 и 5 соответственно).
Эти критерии - первые требования оценки, представленные в настоящем стандарте, потому что, как правило, оценку ПЗ и ЗБ выполняют до оценки ОО. Они играют особую роль в оценке информации об ОО и оценке функциональных требований и требований доверия для выяснения, являются ли ПЗ и ЗБ содержательной основой для оценки ОО.
Хотя данные критерии оценки несколько отличаются от требований в разделах 8-14, они представлены аналогичным образом, потому что действия разработчика и оценщика при оценке сопоставимы для ПЗ, ЗБ и ОО.
Классы для ПЗ и ЗБ отличаются от классов для ОО тем, что при оценке ПЗ или ЗБ необходимо учесть все требования классов для ПЗ или ЗБ соответственно, в то время как далеко не все требования, представленные в классах для ОО, придется учитывать при оценке конкретного ОО.
Критерии оценки для ПЗ и ЗБ основаны на информации, приведенной в приложениях Б и В ГОСТ Р ИСО/МЭК 15408-1. Там можно найти полезную информацию о происхождении требований классов АРЕ и ASE.
3.2 Краткий обзор критериев профиля защиты
3.2.1 Оценка профиля защиты
Цель оценки ПЗ - показать, что он является полным, непротиворечивым, технически правильным и поэтому пригоден для изложения требований к одному или нескольким оцениваемым ОО. Такой ПЗ может быть приемлем для включения в реестр ПЗ.
3.2.2 Соотношение с критериями оценки задания по безопасности
Как показано в приложениях Б и В ГОСТ Р ИСО/МЭК 15408-1, имеется много совпадений в структуре и содержании ПЗ, ориентированного на определенный тип ОО, и ЗБ, разработанного для конкретного ОО. Поэтому многие критерии для оценки ПЗ содержат требования, которые подобны аналогичным для ЗБ и представлены таким же образом.
3.2.3 Задачи оценщика
Оценщики ПЗ, который содержит требования только из ГОСТ Р ИСО/МЭК 15408, должны применять требования класса АРЕ, приведенные в таблице 3.1.
Таблица 3.1 - Семейства оценки профиля защиты, содержащего требования только из ГОСТ Р ИСО/МЭК 15408
Класс | Семейство | Краткое имя |
АРЕ | Профиль защиты, описание ОО | АРЕ_DES |
Профиль защиты, среда безопасности | АРЕ_ENV | |
Профиль защиты, введение ПЗ | АРЕ_INT | |
Профиль защиты, цели безопасности | APE_OBJ | |
Профиль защиты, требования безопасности ИТ | APE_REQ |
Оценщики ПЗ, который содержит требования не из ГОСТ Р ИСО/МЭК 15408, должны применять требования класса АРЕ, приведенные в таблице 3.2.
Таблица 3.2 - Семейства оценки профиля защиты с требованиями, расширяющими ГОСТ Р ИСО/МЭК 15408
Класс | Семейство | Краткое имя |
АРЕ | Профиль защиты, описание ОО | АРЕ_DES |
Профиль защиты, среда безопасности | АРЕ_ENV | |
Профиль защиты, введение ПЗ | АРЕ_INT | |
Профиль защиты, цели безопасности | APE_OBJ | |
Профиль защиты, требования безопасности ИТ | APE_REQ | |
Профиль защиты, требования безопасности ИТ, сформулированные в явном виде | APE_SRE |
3.3 Краткий обзор критериев задания по безопасности
3.3.1 Оценка задания по безопасности
Цель оценки ЗБ - показать, что оно является полным, непротиворечивым, технически правильным и поэтому пригодно для использования в качестве основы при оценке соответствующего ОО.