Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     9.3.3 Оценка раздела "Введение ЗБ" (ASE_INT.1)

9.3.3.1 Цели

Цель данного подвида деятельности - сделать заключение, является ли раздел "Введение ЗБ" полным и согласованным со всеми другими частями ЗБ и правильно ли в нем идентифицировано ЗБ.

9.3.3.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ЗБ.

9.3.3.3 Действие ASE_INT.1.1Е

9.3.3.3.1 Шаг оценивания ASE_INT.1-1

ИСО/МЭК 15408-3 ASE_INT.1.1С: Введение ЗБ должно содержать данные идентификации ЗБ, которые предоставляют маркировку и описательную информацию, необходимые для идентификации и применения ЗБ и ОО, к которому оно относится.

Оценщик должен проверить, представлена ли в разделе "Введение ЗБ" идентификационная информация, необходимая для контроля и идентификации ЗБ и ОО, на который данное ЗБ ссылается.

Оценщик делает заключение, включает ли в себя идентификационная информация ЗБ:

a) информацию, необходимую для контроля и уникальной идентификации ЗБ (например, наименование ЗБ, номер версии, дату публикации, авторов);

b) информацию, необходимую для контроля и уникальной идентификации ОО, на который данное ЗБ ссылается (например, идентификационную информацию ОО, номер версии ОО);

c) указание версии ИСО/МЭК 15408, использованной при разработке ЗБ;

d) дополнительную информацию в соответствии с требованиями системы оценки.

9.3.3.3.2 Шаг оценивания ASE_INT.1-2

ИСО/МЭК 15408-3 ASE_INT.1.2С: Введение ЗБ должно содержать аннотацию ЗБ с общей характеристикой ЗБ в описательной форме.

Оценщик должен проверить, представлена ли в разделе "Введение ЗБ" "Аннотация ЗБ" в повествовательной форме.

"Аннотация ЗБ" предназначена для того, чтобы предоставить краткое резюме содержания ЗБ (более детальное описание приведено в разделе "Описание ОО"), которое является достаточно подробным, чтобы позволить потенциальному потребителю сделать заключение, представляет ли для него интерес данный ОО (а значит, и все остальные части ЗБ).

9.3.3.3.3 Шаг оценивания ASE_INT.1-3

ИСО/МЭК 15408-3 ASE_INT.1.3C: Введение ЗБ должно содержать утверждение о соответствии ИСО/МЭК 15408, излагающее все оцениваемые утверждения о соответствии ОО ИСО/МЭК 15408.

Оценщик должен проверить, содержит ли "Введение ЗБ" подраздел "Утверждение о соответствии ИСО/МЭК 15408", в котором изложено утверждение о соответствии ОО ИСО/МЭК 15408.

Оценщик делает заключение, соответствует ли "Утверждение о соответствии ИСО/МЭК 15408" подразделу 6.4 ИСО/МЭК 15408-1.

Оценщик делает заключение, что "Утверждение о соответствии ИСО/МЭК 15408" содержит утверждение о соответствии либо ИСО/МЭК 15408-2, либо ИСО/МЭК 15408-2, расширенному другими компонентами функциональных требований.

Оценщик делает заключение, что "Утверждение о соответствии ИСО/МЭК 15408" содержит утверждение о соответствии либо ИСО/МЭК 15408-3, либо ИСО/МЭК 15408-3, расширенному другими компонентами требований доверия.

Если утверждается о расширении ИСО/МЭК 15408-3 и пакет требований доверия включает в себя требования доверия из ИСО/МЭК 15408-3, оценщик делает заключение, сформулировано ли в подразделе "Утверждение о соответствии ИСО/МЭК 15408", какие требования доверия из ИСО/МЭК 15408-3 заявлены.

Если утверждается о соответствии именованному пакету, оценщик делает заключение, сформулировано ли в подразделе "Утверждение о соответствии ИСО/МЭК 15408", какой пакет заявлен.

Если утверждается об усилении именованного пакета, оценщик делает заключение, сформулировано ли в подразделе "Утверждение о соответствии ИСО/МЭК 15408", какой пакет заявлен и какое усиление к этому пакету заявлено.

Если утверждается о соответствии ПЗ, то оценщик делает заключение, сформулировано ли в подразделе "Утверждение о соответствии ИСО/МЭК 15408", по отношению к какому профилю защиты или профилям защиты сделано утверждение о соответствии.

Оценщику необходимо иметь в виду, что если утверждается о соответствии ПЗ, то применяются критерии оценки утверждений о соответствии ПЗ (ASE_PPC.1), а если утверждается о расширении ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3, то применяются критерии оценки требований безопасности, сформулированных в явном виде (ASE_SRE.1).