ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     9.2 Организация оценки ЗБ

Виды деятельности по проведению полной оценки ЗБ охватывают следующее:

a) задачу получения исходных данных для оценки (раздел 7);

b) вид деятельности по оценке ЗБ, включающий в себя следующие подвиды деятельности:

1) оценку раздела "Описание ОО" (9.3.1);

2) оценку раздела "Среда безопасности ОО" (9.3.2);

3) оценку раздела "Введение ЗБ" (9.3.3);

4) оценку раздела "Цели безопасности" (9.3.4);

5) оценку раздела "Утверждения о соответствии ПЗ" (9.3.5);

6) оценку раздела "Требования безопасности ИТ" (9.3.6);

7) оценку сформулированных в явном виде требований безопасности ИТ (9.3.7);

8) оценку раздела "Краткая спецификация ОО" (9.3.8);

c) задачу оформления результатов оценки (раздел 7).

Задачи получения исходных данных для оценки и оформления результатов оценки описаны в разделе 7. Подвиды деятельности по оценке вытекают из требований доверия класса ASE, содержащихся в ИСО/МЭК 15408-3.

В настоящем разделе описаны подвиды деятельности, включенные в оценку ЗБ. Хотя подвиды деятельности могут начинаться более или менее случайно, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком. Руководство по учету зависимостей см. в А.4 "Зависимости" (приложение А).

Необходимость выполнения подвидов деятельности по оценке утверждений о соответствии ПЗ и по оценке сформулированных в явном виде требований безопасности ИТ не является постоянной: подвид деятельности по оценке утверждений о соответствии ПЗ выполняют только тогда, когда имеет место утверждение о соответствии ПЗ, а подвид деятельности по оценке сформулированных в явном виде требований безопасности ИТ выполняют только тогда, когда в изложение требований безопасности ИТ включены требования безопасности, взятые не из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3.

Некоторая информация, подлежащая включению в ЗБ, может быть представлена соответствующей ссылкой. Например, если в ЗБ утверждают о соответствии некоторому ПЗ, то такую информацию из ПЗ, как описание среды и угроз, можно рассматривать как часть ЗБ и предполагать, что она соответствует критериям для ЗБ.

Если в ЗБ утверждают о соответствии оцененному ПЗ и ЗБ в значительной степени основано на содержании этого ПЗ, то допускается повторное использование результатов оценки ПЗ при выполнении многих из перечисленных выше подвидов деятельности. В частности, повторное использование возможно при оценке изложения среды безопасности, целей безопасности и требований безопасности ИТ. В ЗБ допускается утверждение о соответствии нескольким ПЗ.