Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     9.3.1 Оценка раздела "Описание ОО" (ASE_DES.1)

9.3.1.1 Цели

Цель данного подвида деятельности - сделать заключение, содержит ли "Описание ОО" соответствующую для понимания назначения ОО и его функциональных возможностей информацию, а также является ли описание ОО полным и непротиворечивым.

9.3.1.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ЗБ.

9.3.1.3 Замечания по применению

Между ОО и продуктом, который может приобрести потребитель, могут существовать некоторые отличия. Материалы по данному вопросу представлены в А.6 "Границы ОО" (приложение А).

9.3.1.4 Действие ASE_DES.1.1Е

9.3.1.4.1 Шаг оценивания ASE_DES.1-1

ИСО/МЭК 15408-3 ASE_DES.1.1С: Описание ОО должно включать в себя тип продукта или системы, область применения ОО, а также физические и логические границы ОО.

Оценщик должен исследовать раздел "Описание ОО", чтобы сделать заключение, описан ли в нем тип продукта или системы для ОО.

Оценщик делает заключение, достаточно ли "Описание ОО" для общего понимания предполагаемого использования продукта или системы и обеспечивает ли, таким образом, контекст оценки. Примерами некоторых типов продуктов и систем являются: межсетевой экран, смарт-карта, криптомодем, веб-сервер, интрасеть.

Существуют ситуации, когда является очевидным, что у ОО ожидается наличие некоторых функциональных возможностей, определяемых типом продукта или системы. Если эти функциональные возможности отсутствуют, то оценщик делает заключение, адекватно ли это отсутствие рассмотрено в разделе "Описание ОО". Примером этого является ОО типа "межсетевой экран", в "Описании ОО" которого изложено, что он не может быть подключен к сетям.

9.3.1.4.2 Шаг оценивания ASE_DES.1-2

Оценщик должен исследовать "Описание ОО", чтобы сделать заключение, описаны ли в нем в общих чертах физическая область применения и границы ОО.

Оценщик делает заключение, рассмотрены ли в разделе "Описание ОО" аппаратные, программно-аппаратные и программные компоненты и/или модули, которые составляют ОО, на том уровне детализации, который достаточен для общего понимания этих компонентов и/или модулей.

Если ОО не тождествен продукту, то оценщик делает заключение, описано ли надлежащим образом в "Описании ОО" физическое соотношение между ОО и продуктом.

9.3.1.4.3 Шаг оценивания ASE_DES.1-3

Оценщик должен исследовать "Описание ОО", чтобы сделать заключение, описаны ли в нем в общих чертах логическая область применения и границы ОО.

Оценщик делает заключение, рассмотрены ли в разделе "Описание ОО" ИТ-характеристики, и в особенности характеристики безопасности, предоставляемые ОО, на таком уровне детализации, который достаточен для общего понимания этих характеристик.

Если ОО не тождествен продукту, то оценщик делает заключение, описано ли надлежащим образом в "Описании ОО" логическое соотношение между ОО и продуктом.

9.3.1.5 Действие ASE_DES.1.2Е

9.3.1.5.1 Шаг оценивания ASE_DES.1-4

Оценщик должен исследовать ЗБ, чтобы сделать заключение, является ли "Описание ОО" логически упорядоченным.

Изложение раздела "Описание ОО" является логически упорядоченным, если его структура и содержание понятны целевой аудитории (т.е. оценщикам и потребителям).

9.3.1.5.2 Шаг оценивания ASE_DES.1-5

Оценщик должен исследовать ЗБ, чтобы сделать заключение, является ли "Описание ОО" внутренне непротиворечивым.

Оценщику необходимо иметь в виду, что данный раздел ЗБ предназначен только для того, чтобы определить общее назначение ОО.

Руководство по анализу непротиворечивости см. в А.3 "Анализ непротиворечивости" (приложение А).