ГОСТ Р ИСО/МЭК 15408-3-2002 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
5 Класс ASE. Оценка задания по безопасности
Цель оценки ЗБ состоит в демонстрации, что ЗБ является полным, непротиворечивым, технически правильным и поэтому пригодно в качестве основы для оценки соответствующего ОО.
На рисунке 5.1 показаны семейства этого класса.
Рисунок 5.1 - Декомпозиция класса "Оценка задания по безопасности"
5.1 Описание ОО (ASE_DES)
Цели
Описание ОО способствует пониманию требований безопасности ОО. Оценка описания ОО требуется, чтобы показать, что оно является логически последовательным, внутренне непротиворечивым и согласованным со всеми другими частями ЗБ.
ASE_DES.1 Задание по безопасности, описание ОО, требования оценки | ||
Зависимости | ||
ASE_ENV.1 | Задание по безопасности, среда безопасности, требования оценки | |
ASE_INT.1 | Задание по безопасности, введение ЗБ, требования оценки | |
ASE_OBJ.1 | Задание по безопасности, цели безопасности, требования оценки | |
ASE_PPC.1 | Задание по безопасности, утверждения о соответствии ПЗ, требования оценки | |
ASE_REQ.1 | Задание по безопасности, требования безопасности ИТ, требования оценки | |
ASE_TSS.1 | Задание по безопасности, краткая спецификация ОО, требования оценки | |
Элементы действий разработчика | ||
ASE_DES.1.1D | Разработчик должен представить описание ОО как часть ЗБ. | |
Элементы содержания и представления свидетельств | ||
ASE_DES.1.1C | Описание ОО, как минимум, должно включать в себя тип продукта или системы, а также область и ограничения применения ОО в общеупотребительных терминах как в физическом, так и в логическом смысле. | |
Элементы действий оценщика | ||
ASE_DES.1.1E | Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств. | |
ASE_DES.1.2E | Оценщик должен подтвердить, что описание ОО является логически последовательным и внутренне непротиворечивым. | |
ASE_DES.1.3E | Оценщик должен подтвердить, что описание ОО согласуется с другими частями ЗБ. | |
5.2 Среда безопасности (ASE_ENV)
Цели
Для принятия решения о достаточности требований безопасности ИТ в ЗБ важно, чтобы решаемая задача безопасности ясно принималась всеми участниками оценки.
ASE_ENV.1 Задание по безопасности, среда безопасности, требования оценки | ||
Зависимости отсутствуют. | ||
Элементы действий разработчика | ||
ASE_ENV.1.1D | Разработчик должен представить изложение среды безопасности ОО как часть ЗБ. | |
Элементы содержания и представления свидетельств | ||
ASE_ENV.1.1C | Изложение среды безопасности ОО должно идентифицировать и объяснить любые предположения о предполагаемом применении ОО и среде использования ОО. | |
ASE_ENV.1.2C | Изложение среды безопасности ОО должно идентифицировать и объяснить любые известные или допускаемые угрозы активам, от которых будет требоваться защита посредством ОО или его среды. | |
ASE_ENV.1.3C | Изложение среды безопасности ОО должно идентифицировать и объяснить каждую политику безопасности организации, соответствие которой для ОО необходимо. | |
Элементы действий оценщика | ||
APE_ENV.1.1E | Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств. | |
APE_ENV.1.2E | Оценщик должен подтвердить, что описание среды безопасности ОО является логически последовательным и внутренне непротиворечивым. | |
5.3 Введение ЗБ (ASE_INT)
Цели
Введение ЗБ содержит материалы по идентификации и индексации материалов. Оценка введения ЗБ требуется для демонстрации, что ЗБ правильно идентифицировано и введение согласуется со всеми другими частями ЗБ.
ASE_INT.1 Задание по безопасности, введение ЗБ, требования оценки | ||
Зависимости | ||
ASE_DES.1 | Задание по безопасности, описание ОО, требования оценки | |
ASE_ETV.1 | Задание по безопасности, среда безопасности, требования оценки | |
ASE_OBJ.1 | Задание по безопасности, цели безопасности, требования оценки | |
ASE_PPC.1 | Задание по безопасности, утверждения о соответствии ПЗ, требования оценки | |
ASE_REQ.1 | Задание по безопасности, требования безопасности ИТ, требования оценки | |
ASE_TSS.1 | Задание по безопасности, краткая спецификация ОО, требования оценки | |
Элементы действий разработчика | ||
ASE_INT.1.1D | Разработчик должен представить введение ЗБ как часть ЗБ. | |
Элементы содержания и представления свидетельств | ||
ASE_INT.1.1C | Введение ЗБ должно содержать данные идентификации ЗБ, которые предоставляют маркировку и описательную информацию, необходимые для идентификации и применения ЗБ и ОО, к которому оно относится. | |
ASE_INT.1.2C | Введение ЗБ должно содержать аннотацию ЗБ с общей характеристикой ЗБ в описательной форме. | |
ASE_INT.1.3C | Введение ЗБ должно содержать утверждение о соответствии ГОСТ Р ИСО/МЭК 15408, излагающее все оцениваемые утверждения о соответствии ОО ГОСТ Р ИСО/МЭК 15408. | |
Элементы действия оценщика | ||
ASE_INT.1.1E | Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств. | |
ASE_INT.1.2E | Оценщик должен подтвердить, что введение ЗБ является логически последовательным и внутренне непротиворечивым. | |
ASE_INT.1.3E | Оценщик должен подтвердить, что введение ЗБ согласуется с другими частями ЗБ. | |
5.4 Цели безопасности (ASE_OBJ)