ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности
16 Класс АСО: Композиция
Класс АСО: "Композиция" включает пять семейств. Эти семейства определяют требования доверия, разработанные для обеспечения уверенности, что составной ОО будет функционировать в безопасном режиме, полагаясь на функциональные возможности безопасности, предоставляемые ранее оцененными программными, программно-аппаратными или аппаратными компонентами.
Композиция предполагает, что берутся две или более сущности ИТ, успешно прошедшие оценку на соответствие пакетам требований доверия из ИСО/МЭК 15408 (являющиеся базовым компонентом и зависимыми компонентами, см. приложение В) и объединяются для применения без дальнейшей разработки какой-либо сущности ИТ. Разработка дополнительных сущностей ИТ (сущностей, которые до этого не являлись предметом оценки компонентов) не предусматривается. Составной ОО образует новый продукт, который может быть установлен и интегрирован в любой конкретный образец среды, который удовлетворяет целям для среды.
Данный подход не предоставляет альтернативного подхода к оценке компонентов. Композиция в рамках АСО предоставляет интегратору составного ОО метод, который может быть использован как альтернатива другим уровням доверия, определенным в ИСО/МЭК 15408, с целью получения уверенности в ОО, который является композицией двух или более успешно оцененных компонентов без необходимости повторной оценки составных ФБО (интегратор составного ОО считается "разработчиком" в рамках класса АСО, при наличии же ссылок на разработчика базового или зависимых компонентов упоминается, какой именно разработчик имеется в виду).
Составные пакеты доверия, которые определены в разделе 8 и подразделе 6.3, являются шкалой доверия для составных ОО. Данная шкала доверия требуется в дополнение к ОУД, чтобы объединить компоненты, прошедшие оценку по ОУД, и получить итоговый уровень доверия ОУД; все ТДБ в ОУД должны быть применены к составному ОО. Хотя повторное использование результатов оценки ОО-компонентов может быть реализовано, часто есть дополнительные аспекты компонентов, которые должны быть рассмотрены в составном ОО, и которые описаны в приложении В.3. Вследствие того, что в оценку составного ОО вовлечены разные стороны, в общем случае не представляется возможным получить все необходимые свидетельства, касающиеся всех этих дополнительных аспектов компонентов для применения соответствующего ОУД. Поэтому для решения проблем объединения оцененных компонентов и получения значимого результата были определены СоПД. Этот вопрос более детально рассматривается в приложении В.
- Рисунок 16 - Взаимосвязь между семействами АСО и взаимодействиями между компонентами
- Рисунок 17 - Взаимосвязь между семействами класса АСО
- Рисунок 18 - Декомпозиция класса АСО "Композиция"
- 16.1 Обоснование композиции (ACO_COR)
- 16.2 Свидетельство разработки (ACO_DEV)
- 16.3 Зависимости зависимых компонентов (ACO_REL)
- 16.4 Тестирование составного ОО (АСО_СТТ)
- 16.5 Анализ уязвимостей композиции (ACO_VUL)