Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     8.3.1 Оценка раздела "Описание ОО" (APE_DES.1)

8.3.1.1 Цели

Цель данного подвида деятельности - сделать заключение, содержит ли "Описание ОО" соответствующую для понимания назначения ОО и его функциональных возможностей информацию, а также является ли описание ОО полным и непротиворечивым.

8.3.1.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ПЗ.

8.3.1.3 Действие APE_DES.1.1Е

8.3.1.3.1 Шаг оценивания APE_DES.1-1

ИСО/МЭК 15408-3 APE_DES.1.1С: Описание ОО должно включать в себя тип продукта и общие свойства ИТ, присущие ОО.

Оценщик должен исследовать раздел "Описание ОО", чтобы сделать заключение, описан ли в нем тип продукта или системы для ОО.

Оценщик делает заключение, достаточно ли "Описание ОО" для общего понимания предполагаемого использования продукта или системы и обеспечивает ли, таким образом, контекст оценки. Примерами некоторых типов продуктов и систем являются: межсетевой экран, смарт-карта, криптомодем, веб-сервер, интрасеть.

Существуют ситуации, когда является очевидным, что у ОО ожидается наличие некоторых функциональных возможностей, определяемых типом продукта или системы. Если эти функциональные возможности отсутствуют, то оценщик делает заключение, адекватно ли это отсутствие рассмотрено в разделе "Описание ОО". Примером этого является ОО типа "межсетевой экран", в "Описании ОО" которого изложено, что он не может быть подключен к сетям.

8.3.1.3.2 Шаг оценивания APE_DES.1-2

Оценщик должен исследовать раздел "Описание ОО", чтобы сделать заключение, описаны ли в нем в общих чертах ИТ-характеристики ОО.

Оценщик делает заключение, рассмотрены ли в разделе "Описание ОО" ИТ-характеристики и в особенности характеристики безопасности, предоставляемые ОО, на таком уровне детализации, который достаточен для общего понимания этих характеристик.

8.3.1.4 Действие APE_DES.1.2E

8.3.1.4.1 Шаг оценивания APE_DES.1-3

Оценщик должен исследовать ПЗ, чтобы сделать заключение, является ли "Описание ОО" логически упорядоченным.

Изложение раздела "Описание ОО" является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. разработчикам, оценщикам и потребителям).

8.3.1.4.2 Шаг оценивания APE_DES.1-4

Оценщик должен исследовать ПЗ, чтобы сделать заключение, является ли "Описание ОО" внутренне непротиворечивым.

Оценщику необходимо иметь в виду, что данный раздел ПЗ предназначен только для того, чтобы определить общее назначение ОО.

Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).

8.3.1.5 Действие APE_DES.1.3Е

8.3.1.5.1 Шаг оценивания APE_DES.1-5

Оценщик должен исследовать ПЗ, чтобы сделать заключение, согласовано ли "Описание ОО" с другими частями ПЗ.

Оценщик делает заключение, в частности, что в разделе "Описание ОО" неописаны угрозы, характеристики безопасности или конфигурации ОО, которые не рассмотрены в каком-либо другом месте ПЗ.

Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).