Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     7.3.4 Подзадача подготовки ТОО

7.3.4.1 Цели

Оценщик должен подготовить ТОО, чтобы представить техническое логическое обоснование вердиктов.

ТОО может содержать информацию, являющуюся собственностью разработчика или заявителя.

Настоящий стандарт определяет требования к минимальному содержанию ТОО; однако система оценки может задать дополнительные требования к содержанию, конкретному представлению и структуре информации. Например, в системе оценки может требоваться, чтобы конкретный вводный материал (например, налагаемые ограничения и заявление авторских прав) всегда был включен в ТОО.

Предполагается, что пользователь ТОО знаком с общими концепциями информационной безопасности, ИСО/МЭК 15408, настоящим стандартом, подходами к оценке и ИТ.

ТОО помогает органу оценки вынести свой вердикт, но, предположительно, может не содержать всей необходимой для этого информации, а задокументированные результаты оценки могут не содержать необходимых в данной системе оценки свидетельств для подтверждения правильности выполненной оценки. Этот фактор находится за рамками области действия настоящего стандарта и должен быть учтен посредством использования других методов надзора.

7.3.4.2 ТОО при оценке ПЗ

В настоящем подпункте приведено минимально необходимое содержание информации, включаемой в ТОО при оценке ПЗ. Содержание ТОО показано на рисунке 3; этот рисунок может быть использован как образец при построении структурной схемы ТОО.


Рисунок 3 - Содержание ТОО при оценке ПЗ



7.3.4.2.1 Введение

Оценщик должен привести в отчете идентификаторы системы оценки.

Идентификаторы системы оценки (например, логотип) являются информацией, требуемой для однозначной идентификации системы, ответственной за мониторинг оценки.

Оценщик должен привести в отчете идентификаторы контроля конфигурации ТОО.

Идентификаторы контроля конфигурации ТОО содержат информацию, которая идентифицирует ТОО (например, наименование, дату составления и номер версии).

Оценщик должен привести в отчете идентификаторы контроля конфигурации ПЗ.

Идентификаторы контроля конфигурации ПЗ (например, наименование, дата составления и номер версии) требуются, чтобы орган оценки мог определить, что именно оценивается, и подтвердить правильность вынесенных оценщиком вердиктов.

Оценщик должен привести в отчете идентификатор разработчика.

Идентификатор разработчика ПЗ требуется для идентификации стороны, ответственной за создание ПЗ.

Оценщик должен привести в отчете идентификатор заявителя.

Идентификатор заявителя требуется для идентификации стороны, ответственной за представление оценщику свидетельств оценки.

Оценщик должен привести в отчете идентификатор оценщика.

Идентификатор оценщика необходим для идентификации стороны, выполняющей оценку и ответственной за вердикты по результатам оценки.

7.3.4.2.2 Оценка

Оценщик должен привести в отчете сведения о методах оценки, технологии, инструментальных средствах и применяемых стандартах.

Оценщик приводит ссылки на критерии оценки, методологию и интерпретации, использованные при оценке ПЗ.

Оценщик должен привести в отчете сведения о любых ограничениях, принятых при оценке, об ограничениях на распространение результатов оценки и о предположениях, сделанных во время оценки, которые влияют на ее результаты.