Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     8.4 Утверждения о соответствии (APE_CCL)

8.4.1 Подвид деятельности по оценке (APE_CCL.1)

8.4.1.1 Цели

Цель этого подвида деятельности состоит в том, чтобы определить обоснованность различных утверждений о соответствии. Он описывает, каким образом ПЗ соответствует ИСО/МЭК 15408, другим ПЗ и пакетам требований.

8.4.1.2 Исходные данные

Свидетельством оценки для этого подвида деятельности являются:

a) ПЗ;

b) другие ПЗ, соответствие которым утверждается в ПЗ;

c) пакеты требований, соответствие которым утверждается в ПЗ.

8.4.1.3 Действие АРЕ_ССL.1.1Е

ИСО/МЭК 15408-3 АРЕ_ССL.1.1С: В "Утверждения о соответствии" должно быть включено "Утверждение о соответствии ИСО/МЭК 15408", которое определяет, для какой редакции ИСО/МЭК 15408 утверждается соответствие ПЗ.

8.4.1.3.1 Шаг оценивания АРЕ_ССL.1-1

Оценщик должен проверить, что в "Утверждения о соответствии" включено "Утверждение о соответствии ИСО/МЭК 15408", которое определяет, для какой редакции ИСО/МЭК 15408 должен соответствовать ПЗ.

Оценщик делает заключение о том, что "Утверждение о соответствии ИСО/МЭК 15408" идентифицирует редакцию ИСО/МЭК 15408, которая использовалась для разработки данного ПЗ. В "Утверждение" следует включать номер редакции ИСО/МЭК 15408 и, если не использовалась международная редакция ИСО/МЭК 15408 на английском языке, то в нем следует указать язык используемой редакции ИСО/МЭК 15408.

ИСО/МЭК 15408-3 APE_CCL.1.2C: В "Утверждении о соответствии ИСО/МЭК 15408" должно приводиться описание соответствия ПЗ ИСО/МЭК 15408-2; ПЗ либо описывается как соответствующий требованиям ИСО/МЭК 15408-2, либо как содержащий расширенные по отношению к ИСО/МЭК 15408-2 требования.

8.4.1.3.2 Шаг оценивания АРЕ_ССL.1-2

Оценщик должен проверить, что "Утверждение о соответствии ИСО/МЭК 15408" описывает соответствие ПЗ ИСО/МЭК 15408-2; ПЗ либо описывается как соответствующий требованиям ИСО/МЭК 15408-2, либо как содержащий расширенные по отношению к ИСО/МЭК 15408-2 требования.

ИСО/МЭК 15408-3 APE_CCL.1.3C: В "Утверждении о соответствии ИСО/МЭК 15408" должно приводиться описание соответствия ПЗ ИСО/МЭК 15408-3; ПЗ либо описывается как соответствующий требованиям ИСО/МЭК 15408-3, либо как содержащий расширенные по отношению к ИСО/МЭК 15408-3 требования.

8.4.1.3.3 Шаг оценивания АРЕ_ССL.1-3

Оценщик должен проверить, что "Утверждение о соответствии ИСО/МЭК 15408" описывает соответствие ПЗ ИСО/МЭК 15408-3; ПЗ либо описывается как соответствующий требованиям ИСО/МЭК 15408-3, либо как содержащий расширенные по отношению к ИСО/МЭК 15408-3 требования.

ИСО/МЭК 15408-3 APE_CCL.1.4C: "Утверждение о соответствии ИСО/МЭК 15408" должно согласовываться с "Определением расширенных компонентов".

8.4.1.3.4 Шаг оценивания АРЕ_ССL.1-4

Оценщик должен исследовать "Утверждение о соответствии ИСО/МЭК 15408-2" в целях вынесения заключения о его согласованности с "Определением расширенных компонентов".

Если "Утверждение о соответствии ИСО/МЭК 15408" в ПЗ содержит "Утверждение о соответствии ИСО/МЭК 15408-2", оценщик делает заключение о том, что "Определение расширенных компонентов" не определяет функциональные компоненты.

Если "Утверждение о соответствии ИСО/МЭК 15408" в ПЗ содержит утверждение о соответствии расширению ИСО/МЭК 15408-2, оценщик делает заключение о том, что "Определение расширенных компонентов" определяет хотя бы один расширенный функциональный компонент.

8.4.1.3.5 Шаг оценивания АРЕ_ССL.1-5

Оценщик должен исследовать "Утверждение о соответствии ИСО/МЭК 15408" в отношении ИСО/МЭК 15408-3 в целях вынесения заключения о его согласованности с "Определением расширенных компонентов".

Если "Утверждение о соответствии ИСО/МЭК 15408" содержит "Утверждение о соответствии ИСО/МЭК 15408-3", оценщик делает заключение о том, что "Определение расширенных компонентов" не определяет компоненты требований доверия.

Если "Утверждение о соответствии ИСО/МЭК 15408" содержит "Утверждение о соответствии расширению ИСО/МЭК 15408-3", оценщик делает заключение о том, что "Определение расширенных компонентов" определяет хотя бы один расширенный компонент доверия.