ГОСТ Р ИСО/МЭК 15408-3-2002 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
4 Класс АРЕ. Оценка профиля защиты
Цель оценки ПЗ состоит в демонстрации, что ПЗ является полным, непротиворечивым и технически правильным. Оцененный ПЗ пригоден в качестве основы для разработки заданий по безопасности. Такой ПЗ приемлем для включения в реестр ПЗ.
На рисунке 4.1 показаны семейства этого класса.
Рисунок 4.1 - Декомпозиция класса "Оценка профиля защиты"
4.1 Описание ОО (APE_DES)
Цели
Описание ОО способствует пониманию требований безопасности ОО. Оценка описания ОО требуется, чтобы показать, что оно является логически последовательным, внутренне непротиворечивым и согласованным со всеми другими частями ПЗ.
APE_DES.1. Профиль защиты, описание ОО, требования оценки | |||
Зависимости | |||
APE_ENV.1 | Профиль защиты, среда безопасности, требования оценки | ||
APE_INT.1 | Профиль защиты, введение ПЗ, требования оценки | ||
APE_OBJ.1 | Профиль защиты, цели безопасности, требования оценки | ||
APE_REQ.1 | Профиль защиты, требования безопасности ИТ, требования оценки | ||
Элементы действий разработчика | |||
APE_DES.1.1D | Разработчик ПЗ должен представить описание ОО как часть ПЗ. | ||
Элементы содержания и представления свидетельств | |||
APE_DES.1.1C | Описание ОО, как минимум, должно включать в себя тип продукта и общие свойства ИТ, присущие ОО. | ||
Элементы действий оценщика | |||
APE_DES.1.1E | Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств. | ||
APE_DES.1.2E | Оценщик должен подтвердить, что описание ОО является логически последовательным и внутренне непротиворечивым. | ||
APE_DES.1.3E | Оценщик должен подтвердить, что описание ОО согласуется с другими частями ПЗ. | ||
4.2 Среда безопасности (APE_ENV)
Цели
Для принятия решения о достаточности требований безопасности ИТ в ПЗ важно, чтобы решаемая задача безопасности ясно понималась всеми участниками оценки.
APE_ENV.1 Профиль защиты, среда безопасности, требования оценки | |
Зависимости отсутствуют | |
Элементы действий разработчика | |
APE_ENV.1.1D | Разработчик ПЗ должен представить изложение среды безопасности ОО как часть ПЗ. |
Элементы содержания и представления свидетельств | |
APE_ENV.1.1C | Изложение среды безопасности ОО должно идентифицировать и объяснить любые предположения о предполагаемом применении ОО и среде использования ОО. |
APE_ENV.1.2C | Изложение среды безопасности ОО должно идентифицировать и объяснить любые известные или допускаемые угрозы активам, от которых будет требоваться защита посредством ОО или его среды. |
APE_ENV.1.3C | Изложение среды безопасности ОО должно идентифицировать и объяснить каждую политику безопасности организации, соответствие которой для ОО необходимо. |
Элементы действий оценщика | |
APE_ENV.1.1E | Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств. |
APE_ENV.1.2E | Оценщик должен подтвердить, что описание среды безопасности ОО является логически последовательным и внутренне непротиворечивым. |
4.3 Введение ПЗ (APE_INT)
Цели
Введение ПЗ содержит информацию для управления документооборотом и обзорную информацию о документе, необходимую для сопровождения реестра ПЗ. Оценка введения ПЗ требуется для демонстрации, что ПЗ правильно идентифицирован и введение согласуется со всеми другими частями ЗБ.
APE_INT.1 Профиль защиты, введение ПЗ, требования оценки | |||
Зависимости | |||
APE_DES.1 | Профиль защиты, описание ОО, требования оценки | ||
APE_ENV.1 | Профиль защиты, среда безопасности, требования оценки | ||
APE_ODJ.1 | Профиль защиты, цели безопасности, требования оценки | ||
APE_REQ.1 | Профиль защиты, требования безопасности ИТ, требования оценки | ||
Элементы действий разработчика | |||
APE_INT.1.1D | Разработчик ПЗ должен представить введение ПЗ как часть ПЗ. | ||
Элементы содержания и представления свидетельств | |||
APE_INT.1.1C | Введение ПЗ должно содержать данные идентификации ПЗ, которые предоставляют маркировку и описательную информацию, необходимые для идентификации, каталогизации, регистрации ПЗ и ссылок на него. | ||
APE_INT.1.2C | Введение ПЗ должно содержать аннотацию ПЗ с общей характеристикой ПЗ в описательной форме. | ||
Элементы действий оценщика | |||
APE_INT.1.1E | Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств. | ||
APE_INT.1.2E | Оценщик должен подтвердить, что введение ПЗ является логически последовательным и внутренне непротиворечивым. | ||
APE_INT.1.3E | Оценщик должен подтвердить, что введение ПЗ согласуется с другими частями ПЗ. | ||
4.4 Цели безопасности (APE_OBJ)