Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     9.3 Введение ЗБ (ASE_INT)

9.3.1 Подвид деятельности по оценке (ASE_INT.1)

9.3.1.1 Цели

Цель этого подвида деятельности - сделать заключение о том, правильно ли идентифицированы ЗБ и ОО, правильно ли описан ОО по трем уровням представления ("Ссылка на ОО", "Аннотация ОО" и "Описание ОО") и согласованы ли данные описания друг с другом.

9.3.1.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ЗБ.

9.3.1.3 Действие ASE_INT.1.1E

ИСО/МЭК 15408-3 ASE_INT.1.1С: "Введение ЗБ" должно содержать "Ссылку на ЗБ", "Ссылку на ОО", "Аннотацию ОО" и "Описание ОО".

9.3.1.3.1 Шаг оценивания ASE_INT.1-1

Оценщик должен проверить, содержит ли "Введение ЗБ" "Ссылку на ЗБ", "Ссылку на ОО", "Аннотацию ОО" и "Описание ОО".

ИСО/МЭК 15408-3 ASE_INT.1.2C: "Ссылка на ЗБ" должна однозначно идентифицировать ЗБ.

9.3.1.3.2 Шаг оценивания ASE_INT.1-2

Оценщик должен исследовать "Ссылку на ЗБ", чтобы сделать заключение о том, уникально ли в ней идентифицировано ЗБ.

Оценщик делает заключение о том, что "Ссылка на ЗБ" идентифицирует ЗБ так, чтобы его можно было легко отличить от других ЗБ, и что она также уникально идентифицирует каждую версию ЗБ, например благодаря включению номера версии и/или даты публикации.

При проведении оценок с использованием системы управления конфигурацией, оценщик может проверить уникальность ссылки путем проверки списка конфигурации. В других случаях в ЗБ рекомендуется наличие некоторой системы ссылок с поддержкой уникальных ссылок (например, с использованием номеров, букв или даты публикации).

ИСО/МЭК 15408-3 ASE_INT.1.3C: "Ссылка на ОО" должна однозначно идентифицировать ОО.

9.3.1.3.3 Шаг оценивания ASE_INT.1-3

Оценщик должен исследовать "Ссылку на ОО", чтобы сделать заключение о том, что она однозначно идентифицирует ОО.

Оценщик выносит заключение о том, что "Ссылка на ОО" идентифицирует ОО так, что ясно, к какому ОО относится ЗБ, и что она идентифицирует версию ОО, например благодаря включению номера версии/даты выпуска/создания.

9.3.1.3.4 Шаг оценивания ASE_INT.1-4

Оценщик должен исследовать "Ссылку на ОО", чтобы сделать заключение о том, что она не вводит в заблуждение.

Если ОО связан с одним или более широко известными продуктами, допускается отразить этот факт в "Ссылке на ОО". Однако это не следует использовать для введения пользователей в заблуждение: не позволяется допускать ситуации, когда в "Ссылке на ОО" не отражено, что оценена только небольшая часть продукта.

ИСО/МЭК 15408-3 ASE_INT.1.4C: В "Аннотации ОО" должна быть представлена краткая информация о его использовании и основных функциональных возможностях безопасности ОО.

9.3.1.3.5 Шаг оценивания ASE_INT.1-5

Оценщик должен исследовать "Аннотацию ОО", чтобы сделать заключение о том, что она описывает использование и основные характеристики безопасности ОО.

В "Аннотации ОО" следует приводить краткое (несколько параграфов) описание использования ОО и основные характеристики безопасности ОО. Рекомендуется, чтобы "Аннотация ОО" предоставляла потенциальным пользователям возможность быстро сделать заключение о том, подходит ли данный ОО их потребностям в безопасности.

В "Аннотации ОО" в ЗБ для составных ОО следует представить описание использования и основных характеристик безопасности для составного ОО, а не для отдельных ОО в его составе.

Оценщик делает заключение о том, является ли аннотация достаточно ясной для пользователей ОО и достаточной для получения ими общего понимания назначения ОО и его основных характеристик безопасности.

ИСО/МЭК 15408-3 ASE_INT.1.5C: В "Аннотации ОО" должен быть идентифицирован тип ОО.