Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 15446-2008 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности" (утв. введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 526-ст) (утратил силу)
- 7. Описательные разделы профилей защиты и заданий по безопасности
7. Описательные разделы профилей защиты и заданий по безопасности
7 Описательные разделы профилей защиты и заданий по безопасности
7.1 Введение
Настоящий раздел содержит рекомендации по формированию следующих описательных разделов ПЗ и ЗБ:
a) "Введение ПЗ и ЗБ";
b) "Описание ОО" в ПЗ и ЗБ;
c) "Замечания по применению в ПЗ".
7.2 Описательные части профиля защиты и задания по безопасности
7.2.1 Раздел "Введение"
7.2.1.1 Подраздел "Идентификация"
Назначение данного подраздела состоит в предоставлении информации для идентификации ПЗ, например, в целях последующей регистрации ПЗ. Идентификация, как минимум, должна включать в себя название ПЗ и идентификатор, который является уникальным для данной версии ПЗ. В подраздел "Идентификация ПЗ" также целесообразно включить следующую информацию:
a) ключевые слова;
b) оценочный уровень доверия (ОУД), если применяется в ПЗ;
c) утверждение о соответствии версии конкретному стандарту серии ИСО/МЭК 15408;
d) состояние оценки ПЗ.
7.2.1.2 Подраздел "Аннотация"
В соответствии со стандартами серии ИСО/МЭК 15408 подраздел "Аннотация ПЗ" должен быть представлен в форме резюме, используемого также в реестрах и каталогах ПЗ. В данный раздел необходимо включить высокоуровневый обзор проблемы безопасности, которая подлежит решению в ПЗ. Также желателен краткий обзор того, как ПЗ способствует решению проблемы безопасности. Этот обзор должен соответствовать техническому содержанию ПЗ. В случае необходимости "Аннотация ПЗ" может быть расширена до "Резюме для руководителя" или "Резюме для менеджера". Однако если предполагается, что ПЗ будет включен в реестр ПЗ, то соответствующий краткий обзор (обычно один-два параграфа) должен быть сформирован так, чтобы его можно было перенести в реестр.
При формировании раздела ЗБ "Введение" целесообразно руководствоваться рекомендациями по формированию раздела ПЗ "Введение", за исключением того, что:
a) утверждение о соответствии ИСО/МЭК 15408 является необязательным для ЗБ;
b) к ЗБ неприменимы процедуры регистрации ПЗ;
c) может потребоваться идентификация ЗБ, связанных с рассматриваемым ЗБ, если ОО представляет собой составной ОО либо является частью составного ОО.
7.2.2 Раздел "Описание объекта оценки"
В раздел "Описание ОО" ПЗ включают информацию о следующих видах (первые два вида информации - предписаны ИСО/МЭК 15408, два последних - являются необязательными):
a) тип продукта ИТ;
b) основные функциональные возможности ОО;
c) границы ОО (необязательная информация);
d) среда функционирования ОО (необязательная информация).
Описание "основных функциональных возможностей ОО" включает в себя описание функциональных возможностей ОО, а не только характеристик безопасности (в случае, если обеспечение безопасности не является единственным предназначением ОО).
Описание "границ ОО" (необязательное) - это описание того, что включает и чего не включает в себя ОО. При этом ПЗ может оставлять возможность разработчику соответствующего ЗБ установить окончательные границы между ОО и средой ОО. Тем не менее диапазон допустимого выбора таких границ должен быть в явном виде установлен в ПЗ.
Описание "среды функционирования ОО" (необязательное) - это описание того, где функционирует ОО, включая важные предположения, ограничения, накладываемые процессами деятельности, и другие ключевые параметры, важные с точки зрения пользователей ПЗ.
При формировании раздела "Описание ОО" необходимо стремиться к тому, чтобы максимально исключить возможность неправильного понимания пользователями ПЗ и ЗБ предназначения ОО и его возможностей по обеспечению безопасности информации (то есть необходимо исключить те детали описания ОО, которые не представляют интереса в свете предполагаемой оценки ОО).
При формировании раздела ЗБ "Описание ОО" целесообразно руководствоваться рекомендациями по формированию раздела ПЗ "Описание ОО", за исключением того, что "границы ОО" должны быть определены как в части аппаратных и программных компонентов (физические границы), так и в части функциональных характеристик безопасности ОО.
7.2.3 Раздел "Замечания по применению"
Раздел "Замечания по применению" является необязательным. Замечания по применению могут быть оформлены как отдельный раздел ПЗ либо сопровождать различные части ПЗ, например, отдельные требования безопасности ОО. В замечания по применению целесообразно включать сопроводительную информацию, которая может оказаться полезной при проектировании, оценке и эксплуатации ОО. Основное назначение раздела "Замечания по применению" - пояснить, как конкретные требования безопасности необходимо интерпретировать для рассматриваемого ОО, а также предоставить разработчикам ЗБ рекомендации по выполнению операций (выбор, назначение, уточнение) над функциональными компонентами.
Если замечания по применению распределены по всему тексту ПЗ, то в этих случаях их необходимо однозначно идентифицировать как таковые, чтобы пользователь ПЗ интерпретировал их именно как "Замечания по применению", а не как, например, уточнения для ФТБ и ТДБ.