ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     9.7 Определение расширенных компонентов (ASE_ECD)

9.7.1 Подвид деятельности по оценке (ASE_ECD.1)

9.7.1.1 Цели

Цель этого подвида деятельности состоит в том, чтобы сделать заключение о том, определены ли расширенные компоненты ясно и однозначно, и необходимы ли они, то есть не могут ли они быть ясно выражены с использованием существующих компонентов ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3.

9.7.1.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ЗБ.

9.7.1.3 Действие ASE_ECD.1.1E

ИСО/МЭК 15408-3 ASE_ECD.1.1С: В изложении "Требований безопасности" должны быть идентифицированы все расширенные требования безопасности.

9.7.1.3.1 Шаг оценивания ASE_ECD.1-1

Оценщик должен проверить, что все требования безопасности в изложении "Требований безопасности", которые не идентифицированы как расширенные требования, присутствуют в ИСО/МЭК 15408-2 или в ИСО/МЭК 15408-3.

ИСО/МЭК 15408-3 ASE_ECD.1.2C: В "Определении расширенных компонентов" должен определяться расширенный компонент для каждого расширенного требования безопасности.

9.7.1.3.2 Шаг оценивания ASE_ECD.1-2

Оценщик должен проверить, что "Определение расширенных компонентов" определяет расширенный компонент для каждого расширенного требования безопасности.

Если ЗБ не содержит расширенные требования безопасности, то этот шаг оценивания не применим и считается удовлетворенным.

Единственный расширенный компонент может быть использован для определения множественных итераций расширенного требования безопасности, не обязательно повторять это определение для каждой итерации данного требования.

ИСО/МЭК 15408-3 ASE_ECD.1.3C: В "Определении расширенных компонентов" должно указываться, как каждый расширенный компонент связан с существующими компонентами, семействами и классами ИСО/МЭК 15408.

9.7.1.3.3 Шаг оценивания ASE_ECD.1-3

Оценщик должен исследовать "Определение расширенных компонентов", чтобы сделать заключение о том, что оно описывает, как каждый расширенный компонент связан с существующими в стандарте ИСО/МЭК 15408 компонентами, семействами и классами.

Если ЗБ не содержит расширенные требования безопасности, то этот шаг оценивания не применим и считается удовлетворенным.

Оценщик делает заключение о том, что каждый расширенный компонент является:

a) компонентом семейства ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3, или

b) компонентом нового семейства, определенного в ЗБ.

Если расширенный компонент является компонентом существующего семейства ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3, оценщик делает заключение о том, что "Определение расширенных компонентов" в достаточной мере описывает, почему расширенному компоненту следует быть компонентом этого семейства и как это касается других компонентов семейства.

Если расширенный компонент является компонентом нового семейства, определенного в ЗБ, то оценщик подтверждает, что расширенный компонент не подходит ни к одному из существующих семейств.

Если ЗБ определяет новые семейства, оценщик делает заключение о том, что каждое новое семейство или:

a) входит в состав существующего класса ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3, или

b) входит в состав нового класса, определенного в ЗБ.

Если семейство является семейством класса ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3, то оценщик делает заключение о том, что "Определение расширенных компонентов" в достаточной мере описывает, почему семейству следует входить в этот класс и как оно связано с другими семействами этого класса.

Если семейство является семейством нового класса, определенного в ЗБ, оценщик подтверждает, что семейство не подходит ни к одному из существующих классов.