ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     9.3.5 Оценка раздела "Утверждение о соответствии ПЗ" (ASE_PPC.1)

9.3.5.1 Цели

Цель данного подвида деятельности - сделать заключение, является ли ЗБ корректным отображением любого ПЗ, соответствие которому заявлено в ЗБ.

9.3.5.2 Исходные данные

Свидетельствами оценки для этого подвида деятельности являются:

а) ЗБ;

b) профиль (профили) защиты, о соответствии которому (которым) заявлено в ЗБ.

9.3.5.3 Замечания по применению

Данный пункт применим, только если в ЗБ утверждают о соответствии одному или нескольким ПЗ. Если в ЗБ не утверждают о соответствии одному или нескольким ПЗ, то все шаги оценивания из этого пункта не применяют и поэтому считают удовлетворенными.

9.3.5.4 Действие ASE_PPC.1.1Е

9.3.5.4.1 Шаг оценивания ASE_PPC.1-1

ИСО/МЭК 15408-3 ASE_PPC.1.1С: Каждое утверждение о соответствии ПЗ должно идентифицировать ПЗ, соответствие которому утверждается, включая необходимые уточнения, связанные с этим утверждением.

Оценщик должен проверить, что в каждом утверждении о соответствии ПЗ в ЗБ идентифицирован ПЗ, о соответствии которому сделано утверждение.

Оценщик делает заключение, идентифицирован ли однозначно каждый ПЗ, о соответствии которому в ЗБ сделано утверждение (например, путем указания наименования и номера версии или использования идентификационной информации, включенной в раздел "Введение" данного ПЗ). Оценщику необходимо иметь в виду, что утверждения о частичном соответствии ПЗ не допускаются ИСО/МЭК 15408.

9.3.5.4.2 Шаг оценивания ASE_PPC.1-2

ИСО/МЭК 15408-3 ASE_PPC.1.2C: Каждое утверждение о соответствии ПЗ должно идентифицировать формулировки требований безопасности ИТ, в которых завершены разрешенные операции или иначе выполнено дальнейшее уточнение требований ПЗ.

Оценщик должен проверить, что в каждом утверждении о соответствии ПЗ идентифицированы формулировки требований безопасности ИТ, в которых завершены разрешенные операции ПЗ или иначе выполнено дальнейшее уточнение требований ПЗ.

В ЗБ нет необходимости повторять формулировки требований безопасности, содержащиеся в ПЗ и не модифицируемые в данном ЗБ. Если, однако, функциональные требования безопасности ПЗ содержат незавершенные операции, или разработчик ЗБ применил операцию "уточнение" к какому-либо требованию безопасности ПЗ, то эти требования в ЗБ должны быть ясно определены.

9.3.5.4.3 Шаг оценивания ASE_PPC.1-3

ИСО/МЭК 15408-3 ASE_PPC.1.3C: Каждое утверждение о соответствии ПЗ должно идентифицировать формулировки содержащихся в ЗБ целей безопасности и требований безопасности ИТ, которые дополняют имеющиеся в ПЗ.

Оценщик должен проверить, что для каждого утверждения о соответствии ПЗ идентифицированы те цели безопасности и требования безопасности ИТ, которые являются дополнительными по отношению к целям безопасности и требованиям безопасности ИТ, содержащимся в ПЗ.

Оценщик делает заключение, ясно ли определены все цели безопасности и требования безопасности, которые включены в ЗБ, но не были включены в ПЗ.

9.3.5.5 Действие ASE_PPC.1.2E

9.3.5.5.1 Шаг оценивания ASE_PPC.1-4

Для каждого утверждения о соответствии ПЗ оценщик должен исследовать ЗБ, чтобы сделать заключение, все ли операции, выполненные по отношению к требованиям безопасности ИТ из ПЗ, не выходят за рамки, установленные ПЗ.

Данный шаг оценивания охватывает не только незавершенные операции "назначение" и "выбор" в ПЗ, но также и любое применение операции "уточнение" по отношению к требованиям безопасности, взятым из ПЗ.