ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     7.3.3 Подзадача подготовки СП

СП предоставляют оценщику механизм для запроса разъяснений (например, от органа оценки о применении требований) или для определения проблемы по одному из вопросов оценки.

При отрицательном вердикте оценщик должен представить СП для отражения результата оценки. Оценщик может также использовать СП как один из способов выражения потребности в разъяснении.

В любом СП оценщик должен привести следующее:

a) идентификатор оцениваемого ПЗ или ОО;

b) задачу/подвид деятельности по оценке, при выполнении которой/которого проблема была выявлена;

c) суть проблемы;

d) оценку ее серьезности (например, приводит к отрицательному вердикту, задерживает выполнение оценки или требует решения до завершения оценки);

e) наименование организации, ответственной за решение вопроса;

f) рекомендуемые сроки решения;

g) влияние на оценку отрицательного результата решения проблемы.

Адресаты рассылки СП и процедуры обработки сообщения зависят от характера содержания сообщения и от конкретной системы оценки. Система оценки может различать типы СП или определять дополнительные, различающиеся по требуемой информации и рассылке (например, СП органу оценки и заявителю).