9.2 Организация оценки ЗБ

Виды деятельности по проведению полной оценки ЗБ охватывают следующее:

a) задачу получения исходных данных для оценки (раздел 7);

b) вид деятельности по оценке ЗБ, включающий в себя следующие подвиды деятельности:

1) оценку раздела «Описание ОО» (9.3.1);

2) оценку раздела «Среда безопасности ОО» (9.3.2);

3) оценку раздела «Введение ЗБ» (9.3.3);

4) оценку раздела «Цели безопасности» (9.3.4);

5) оценку раздела «Утверждения о соответствии ПЗ» (9.3.5);

6) оценку раздела «Требования безопасности ИТ» (9.3.6);

7) оценку сформулированных в явном виде требований безопасности ИТ (9.3.7);

8) оценку раздела «Краткая спецификация ОО» (9.3.8);

c) задачу оформления результатов оценки (раздел 7).

Задачи получения исходных данных для оценки и оформления результатов оценки описаны в разделе 7. Подвиды деятельности по оценке вытекают из требований доверия класса ASE, содержащихся в ИСО/МЭК 15408-3.

В настоящей разделе описаны подвиды деятельности, включенные в оценку ЗБ. Хотя подвиды деятельности могут начинаться более или менее случайно, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком. Руководство по учету зависимостей см в А.4 «Зависимости» (приложение А).

Необходимость выполнения подвидов деятельности по оценке утверждений о соответствии ПЗ и по оценке сформулированных в явном виде требований безопасности ИТ не является постоянной: подвид деятельности по оценке утверждений о соответствии ПЗ выполняют только тогда, когда имеет место утверждение о соответствии ПЗ, а подвид деятельности по оценке сформулированных в явном виде требований безопасности ИТ выполняют только тогда, когда в изложение требований безопасности ИТ включены требования безопасности, взятые не из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3.

Некоторая информация, подлежащая включению в ЗБ, может быть представлена соответствующей ссылкой. Например, если в ЗБ утверждают о соответствии некоторому ПЗ, то такую информацию из ПЗ, как описание среды и угроз, можно рассматривать как часть ЗБ и предполагать, что она соответствует критериям для ЗБ.

Если в ЗБ утверждают о соответствии оцененному ПЗ и ЗБ в значительной степени основано на содержании этого ПЗ, то допускается повторное использование результатов оценки ПЗ при выполнении многих из перечисленных выше подвидов деятельности. В частности, повторное использование возможно при оценке изложения среды безопасности, целей безопасности и требований безопасности ИТ. В ЗБ допускается утверждение о соответствии нескольким ПЗ.

Далее >>>