ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     11.3 Организация оценки по ОУД2

Оценка по ОУД2 предусматривает следующее:

а) задачу получения исходных данных для оценки (раздел 7);

b) виды деятельности по оценке по ОУД2, включающие в себя:

1) оценку ЗБ (раздел 9);

2) оценку управления конфигурацией (11.4);

3) оценку документов поставки и эксплуатации (11.5);

4) оценку документов разработки (11.6);

5) оценку руководств (11.7);

6) оценку тестов (11.8);

7) тестирование (11.8);

8) оценку оценки уязвимостей (11.9);

c) задачу оформления результатов оценки (раздел 7).

Виды деятельности по оценке следуют из требований доверия ОУД2, содержащихся в ИСО/МЭК 15408-3.

Оценка ЗБ начинается до выполнения любых подвидов деятельности по оценке OO, так как ЗБ обеспечивает основание и контекст для выполнения этих подвидов деятельности.

В настоящем разделе приведено описание подвидов деятельности, выполняемых при оценке по ОУД2. Хотя выполнение подвидов деятельности может, в общем случае, начинаться более или менее случайным образом, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком.

Руководство по учету зависимостей см. в А.4 "Зависимости" (приложение А).