Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     9.2 Замечания по применению

9.2.1 Использование результатов оценки сертифицированных ПЗ

При осуществлении оценки ЗБ, которое основано на одном или нескольких сертифицированных ПЗ, есть возможность использовать тот факт, что данные ПЗ были сертифицированы. Возможность повторного использования результата оценки сертифицированных ПЗ больше, если оцениваемое ЗБ не добавляет угроз, ПБОр, предположений, целей и/или требований безопасности этим ПЗ. Если в ЗБ содержится намного больше угроз, ПБОр, предположений, целей и/или требований безопасности, чем в сертифицированном ПЗ, повторное использование результатов сертификации может вообще быть бесполезным.

Оценщику разрешается повторно использовать результаты оценки ПЗ, выполняя определенные исследования только частично или вовсе не выполняя их, если эти исследования или их части были проведены в рамках оценки ПЗ. Делая это, оценщику следует предположить, что анализ ПЗ был проведен правильно.

Примером может служить случай, когда ПЗ содержит набор требований безопасности, и по ним в процессе оценки ПЗ было получено заключение, что они являются внутренне непротиворечивыми. Если в ЗБ используются эти же требования, анализ непротиворечивости не обязательно повторно проводить во время оценки ЗБ. Если же ЗБ добавляет одно или более требований или выполняет операции над этими требованиями, анализ необходимо повторить. Однако есть возможность сократить объем работ при анализе непротиворечивости, используя тот факт, что исходные требования внутренне непротиворечивы. Если исходные требования внутренне непротиворечивы, оценщик должен только сделать заключение о том, что:

a) набор новых и/или измененных требований внутренне непротиворечив, и

b) набор всех новых и/или измененных требований не противоречит исходным требованиям.

Оценщик отмечает в ТОО каждый случай, где исследования не сделаны или сделаны только частично по этой причине.