Виды деятельности по проведению полной оценки ЗБ охватывают следующее:
a) задачу получения исходных данных для оценки (раздел 7);
b) вид деятельности по оценке ЗБ, включающий в себя следующие подвиды деятельности:
1) оценку раздела "Описание ОО" (9.3.1);
2) оценку раздела "Среда безопасности ОО" (9.3.2);
3) оценку раздела "Введение ЗБ" (9.3.3);
4) оценку раздела "Цели безопасности" (9.3.4);
5) оценку раздела "Утверждения о соответствии ПЗ" (9.3.5);
6) оценку раздела "Требования безопасности ИТ" (9.3.6);
7) оценку сформулированных в явном виде требований безопасности ИТ (9.3.7);
8) оценку раздела "Краткая спецификация ОО" (9.3.8);
c) задачу оформления результатов оценки (раздел 7).
Задачи получения исходных данных для оценки и оформления результатов оценки описаны в разделе 7. Подвиды деятельности по оценке вытекают из требований доверия класса ASE, содержащихся в ИСО/МЭК 15408-3.
В настоящем разделе описаны подвиды деятельности, включенные в оценку ЗБ. Хотя подвиды деятельности могут начинаться более или менее случайно, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком. Руководство по учету зависимостей см. в А.4 "Зависимости" (приложение А).
Необходимость выполнения подвидов деятельности по оценке утверждений о соответствии ПЗ и по оценке сформулированных в явном виде требований безопасности ИТ не является постоянной: подвид деятельности по оценке утверждений о соответствии ПЗ выполняют только тогда, когда имеет место утверждение о соответствии ПЗ, а подвид деятельности по оценке сформулированных в явном виде требований безопасности ИТ выполняют только тогда, когда в изложение требований безопасности ИТ включены требования безопасности, взятые не из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3.
Некоторая информация, подлежащая включению в ЗБ, может быть представлена соответствующей ссылкой. Например, если в ЗБ утверждают о соответствии некоторому ПЗ, то такую информацию из ПЗ, как описание среды и угроз, можно рассматривать как часть ЗБ и предполагать, что она соответствует критериям для ЗБ.
Если в ЗБ утверждают о соответствии оцененному ПЗ и ЗБ в значительной степени основано на содержании этого ПЗ, то допускается повторное использование результатов оценки ПЗ при выполнении многих из перечисленных выше подвидов деятельности. В частности, повторное использование возможно при оценке изложения среды безопасности, целей безопасности и требований безопасности ИТ. В ЗБ допускается утверждение о соответствии нескольким ПЗ.