Статус документа
Статус документа

ГОСТ Р ИСО/МЭК ТО 15446-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности

     11.1 Введение


Настоящий раздел представляет собой руководство по формированию раздела ЗБ "Краткая спецификация ОО". При этом необходимо учитывать, что аналогичный раздел в ПЗ отсутствует. В раздел "Краткая спецификация ОО" необходимо включать:

a) определение функций безопасности ИТ;

b) ссылки на механизмы или методы защиты, используемые для осуществления функций безопасности ИТ (необязательно);

c) изложение мер доверия к безопасности, которые соответствуют сформулированным требованиям доверия к безопасности.

Содержание раздела "Краткая спецификация ОО" представлено на рисунке 5:


Рисунок 5 - Содержание раздела "Краткая спецификация объекта оценки"


Основное назначение раздела ЗБ "Краткая спецификация ОО" состоит в том, чтобы показать, как конкретным объектом оценки обеспечивается выполнение функций безопасности и мер доверия к безопасности для удовлетворения требований безопасности ИТ. Исходя из этого, должна быть сформирована краткая спецификация ОО, определяющая, каким образом ОО обеспечивает выполнение требований безопасности.

В разделе ЗБ "Краткая спецификация ОО" целесообразно формулировать функции безопасности ИТ так, чтобы представить функциональные возможности безопасности ОО в более понятном для пользователя ЗБ виде по сравнению с ФТБ. В частности:

a) функции безопасности ИТ могут быть изложены так, чтобы показать, что ОО предпринимает для обеспечения безопасности;

b) функции безопасности ИТ могут быть специфицированы так, чтобы более точно отражать документацию ОО, например, путем использования специфической для ОО терминологии. Данное обстоятельство может повысить рентабельность оценки ОО, облегчая верификацию уровней представления ФБО (ЗБ, проектная документация). Один из возможных методов заключается в спецификации одной функции безопасности ИТ, удовлетворяющей нескольким ФТБ, если известно, что эти ФТБ выполняются теми же основными механизмами при проектировании и реализации (разработке) ОО. Данный подход выгоден для сокращения числа доказательств соответствия представления, которое должен обеспечить разработчик;

c) специфическая для конкретного ОО терминология может быть учтена для того, чтобы описания, например, функций безопасности ИТ лучше соотносились с терминологией проекта руководства пользователя или администратора. Может потребоваться введение характерных терминов - таких как "субъект", "объект" или "роль администратора". Поэтому раздел "Краткая спецификация ОО" может быть охарактеризован как развитие требований, которым должен соответствовать конкретный ОО. При этом отсутствует необходимость в описании деталей реализации ОО, его архитектуры или принципов проектирования, или в подробном описании того, как, например, разработчик проводит функциональное тестирование безопасности ОО.