Требуемое содержание ПЗ и ЗБ приведено в ИСО/МЭК 15408-1, приложение B. Пример содержания ПЗ представлен ниже:
1 Введение ПЗ
1.1 Идентификация ПЗ
1.2 Аннотация ПЗ
2 Описание ОО
3 Среда безопасности ОО
3.1 Предположения безопасности
3.2 Угрозы
3.3 Политика безопасности организации
4 Цели безопасности
4.1 Цели безопасности для ОО
4.2 Цели безопасности для среды
5 Требования безопасности ИТ
5.1 Функциональные требования безопасности ОО
5.2 Требования доверия к безопасности ОО
5.3 Требования безопасности для ИТ-среды
6 Замечания по применению
7 Обоснование
7.1 Обоснование целей безопасности
7.2 Обоснование требований безопасности.
В разделе "Введение ПЗ" идентифицируется ПЗ и приводится его аннотация в форме, наиболее подходящей для включения в каталоги и реестры ПЗ. Данный раздел ПЗ более подробно рассматривается в разделе 7 настоящего стандарта.
В раздел "Описание ОО" включают сопроводительную информацию об ОО (или типе ОО), предназначенную для пояснения его назначения и требований безопасности.
В раздел ПЗ "Среда безопасности ОО" включают описание аспектов среды безопасности ОО, которые должны учитываться для объекта оценки, в частности - детальное описание предположений безопасности, определяющих границы среды безопасности, угроз активам, требующим защиты (включая описание этих активов), и ПБОр, которой должен соответствовать ОО. Этот раздел ПЗ более подробно рассмотрен в разделе 8.
В раздел ПЗ "Цели безопасности" включают краткое изложение предполагаемой реакции на аспекты среды безопасности как с точки зрения целей безопасности, которые должны быть удовлетворены ОО, так и с точки зрения целей безопасности, которые должны быть удовлетворены ИТ- и не ИТ-мерами в пределах среды ОО. Данный раздел ПЗ более подробно рассмотрен в разделе 9.
В раздел ПЗ "Требования безопасности ИТ" включают функциональные требования безопасности ОО, требования доверия к безопасности, а также требования безопасности программного, программно-аппаратного и аппаратного обеспечения ИТ-среды ОО. Требования безопасности ИТ должны быть определены путем использования, где возможно, функциональных компонентов и компонентов доверия к безопасности в соответствии с ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3. Раздел ПЗ "Требования безопасности ИТ" более подробно рассмотрен в разделе 10.
В раздел ПЗ "Замечания по применению" допускается включать любую дополнительную информацию, которую разработчик ПЗ считает полезной. Отметим, что замечания по применению могут быть распределены по соответствующим разделам ПЗ. Раздел ПЗ "Замечания по применению" более подробно рассмотрен в разделе 7.
В разделе ПЗ "Обоснование" демонстрируется то, что ПЗ специфицирует полную и взаимосвязанную совокупность требований безопасности ИТ и соответствующий ОО учитывает идентифицированные аспекты среды безопасности. Раздел ПЗ "Обоснование" более подробно рассмотрен в разделе 12.
Существует также целый ряд необязательных разделов и подразделов, которые могут включаться в ПЗ. Возможны разные уровни детализации некоторых подразделов. Раздел "Обоснование" может быть оформлен в виде отдельного документа. На практике дополнительные разделы могут быть необходимы для предоставления полезной информации, например:
a) раздел "Введение ПЗ" может включать в себя подраздел, описывающий организацию ПЗ, а также ссылки на другие ПЗ и другие документы;
b) раздел "Среда безопасности ОО" может включать в себя отдельные подразделы для различных доменов в ИТ-среде для ОО;
c) раздел "Требования безопасности ИТ" может быть расширен за счет включения, где необходимо, требований безопасности для не ИТ-среды.
В случае если подраздел не используется (например, политика безопасности организации, требования безопасности ИТ для среды ОО), необходимо включить в ПЗ соответствующее пояснение.
Содержание ЗБ приведено в ИСО/МЭК 15408-1, приложение C. Пример содержания ЗБ представлен в таблице 2.
В разделе "Введение ЗБ" идентифицируется ЗБ и ОО (включая номер версии) и приводится аннотация ЗБ в форме, наиболее подходящей для включения в перечень оцененных (сертифицированных) продуктов ИТ. Раздел "Введение ЗБ" более подробно рассмотрен в разделе 7.
В раздел ЗБ "Описание ОО" включают сопроводительную информацию об ОО, предназначенную для пояснения его назначения и требований безопасности. Раздел ЗБ "Описание ОО" должен также включать в себя описание конфигурации, в которой ОО подлежит оценке. Раздел ЗБ "Описание ОО" более подробно рассмотрен в разделе 7.
В раздел ЗБ "Среда безопасности ОО" включают описание аспектов среды безопасности ОО, которые должны учитываться объектом оценки, в частности, предположений безопасности, определяющих границы среды безопасности, угроз активам, требующим защиты (включая описание этих активов), ПБОр, которой должен соответствовать ОО. Раздел ЗБ "Среда безопасности ОО" более подробно рассмотрен в разделе 8.
Пример содержания задания по безопасности представлен ниже:
1.1 Идентификация ЗБ
1.2 Аннотация ЗБ
2 Описание ОО
3 Среда безопасности ОО
3.1 Предположения безопасности
3.2 Угрозы
3.3 Политика безопасности организации
4 Цели безопасности
4.1 Цели безопасности для ОО
4.2 Цели безопасности для среды ОО
5 Требования безопасности ИТ
5.1 Функциональные требования безопасности ОО
5.2 Требования доверия к безопасности ОО
5.3 Требования безопасности для ИТ-среды
6 Краткая спецификация ОО
6.1 Функции безопасности ОО
6.2 Меры обеспечения доверия к безопасности
7 Утверждения о соответствии ПЗ
7.1 Ссылка на ПЗ
7.2 Уточнение ПЗ
7.3 Дополнение ПЗ
8 Обоснование
8.1 Обоснование целей безопасности
8.2 Обоснование требований безопасности
8.3 Обоснование краткой спецификации ОО
8.4 Обоснование утверждений о соответствии ПЗ.
В раздел ЗБ "Цели безопасности" включают краткое изложение предполагаемой реакции на аспекты среды безопасности как с точки зрения целей безопасности, которые должны соответствовать ОО, так и с точки зрения целей безопасности, которые должны соответствовать ИТ- и не ИТ-мерам в пределах среды ОО. Данный раздел ЗБ более подробно рассмотрен в разделе 9.
В раздел ЗБ "Требования безопасности ИТ" включают функциональные требования безопасности ОО, требования доверия к безопасности, а также требования безопасности программного, программно-аппаратного и аппаратного обеспечения ИТ-среды ОО. Требования безопасности ИТ должны быть определены путем использования, где это возможно, функциональных компонентов и компонентов доверия к безопасности в соответствии с ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3. Раздел ЗБ "Требования безопасности ИТ" более подробно рассмотрен в разделе 10.
В раздел "Краткая спецификация ОО" включают описание функций безопасности ИТ, реализуемых ОО и соответствующих специфицированным функциональным требованиям безопасности, а также любых мер доверия к безопасности, соответствующих специфицированным требованиям доверия к безопасности. Раздел ЗБ "Краткая спецификация ОО" более подробно рассмотрен в разделе 11.
В разделе "Утверждения о соответствии ПЗ" идентифицируются ПЗ, о соответствии которым заявляется в ЗБ, а также любые дополнения или уточнения целей или требований из этих ПЗ. Раздел ЗБ "Утверждения о соответствии ПЗ" более подробно рассмотрен в разделе 13.
В разделе ЗБ "Обоснование" демонстрируют, что ЗБ специфицирует полную и взаимосвязанную совокупность требований безопасности ИТ, соответствующий ОО учитывает определенные аспекты среды безопасности ИТ и функции безопасности ИТ и меры доверия к безопасности соответствуют требованиям безопасности ОО. Раздел ЗБ "Обоснование" более подробно рассмотрен в разделе 13.
Как и для ПЗ (см. 6.1) при разработке ЗБ допускается отступать от вышеуказанной структуры путем включения дополнительных и исключения необязательных разделов (и/или подразделов) ЗБ.