ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     8.2 Организация оценки ПЗ

Виды деятельности по проведению полной оценки ПЗ охватывают следующее:

a) задачу получения исходных данных для оценки (раздел 7);

b) вид деятельности по оценке ПЗ, включающий в себя следующие подвиды деятельности:

1) оценку раздела "Описание ОО" (8.3.1);

2) оценку раздела "Среда безопасности ОО" (8.3.2);

3) оценку раздела "Введение ПЗ" (8.3.3);

4) оценку раздела "Цели безопасности" (8.3.4);

5) оценку раздела "Требования безопасности ИТ" (8.3.5);

7) оценку сформулированных в явном виде требований безопасности ИТ (8.3.6);

с) задачу оформления результатов оценки (раздел 7).

Задачи получения исходных данных для оценки и оформления результатов оценки описаны в разделе 7. Подвиды деятельности по оценке вытекают из требований доверия класса АРЕ, содержащихся в ИСО/МЭК 15408-3.

В настоящем разделе описаны подвиды деятельности, включенные в оценку ПЗ. Хотя подвиды деятельности могут начинаться более или менее случайно, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком. Руководство по учету зависимостей см. в А.4 "Зависимости" (приложение А).

Подвид деятельности по оценке сформулированных в явном виде требований безопасности ИТ выполняют только тогда, когда в состав требований безопасности ИТ включены требования безопасности, взятые не из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3.