ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     10.3 Организация оценки по ОУД1

Оценка по ОУД1 предусматривает следующее:

a) задачу получения исходных данных для оценки (раздел 7);

b) виды деятельности по оценке по ОУД1, включающие в себя:

1) оценку ЗБ (раздел 9);

2) оценку управления конфигурацией (10.4);

3) оценку документов поставки и эксплуатации (10.5);

4) оценку документов разработки (10.6);

5) оценку руководств (10.7);

6) тестирование (10.8);

c) задачу оформления результатов оценки (раздел 7).

Виды деятельности по оценке следуют из требований доверия ОУД1, содержащихся в ИСО/МЭК 15408-3.

Оценка ЗБ начинается до выполнения любых подвидов деятельности по оценке ОО, так как ЗБ обеспечивает основание и контекст для выполнения этих подвидов деятельности.

В настоящем разделе приведено описание подвидов деятельности, выполняемых при оценке по ОУД1. Хотя выполнение подвидов деятельности может, в общем случае, начинаться более или менее случайным образом, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком.

Руководство по учету зависимостей см. в А.4 "Зависимости" (приложение А).