Процесс оценки может происходить одновременно с разработкой ОО или следовать за ней. Основным исходным материалом для оценки является ЗБ, описывающее функции безопасности ОО, которое, в свою очередь, может ссылаться на один или несколько ПЗ, соответствие с которыми заявляется. Ниже определен подход к описанию в ПЗ и ЗБ функциональных возможностей безопасности ОО. Профиль защиты ПЗ описывает независимые от реализации наборы требований безопасности для определенных категорий ОО и формулирует проблему безопасности, для решения которой предназначен соответствующий продукт. В ПЗ указываются компоненты функциональных требований и требований доверия, включая ОУД, и представляется логическое обоснование для выбранных компонентов. В ПЗ выделяются следующие разделы. Введение Содержит информацию, необходимую при использовании реестра ПЗ. К ней относятся маркировка и аннотация, которая может применяться отдельно. Описание ОО Устанавливает контекст оценки. Поскольку рассматривается определенная категория ОО, могут быть указаны совокупность предположений и условия применения ОО этой категории. Среда безопасности В повествовательной форме приводится формулировка проблемы безопасности, решаемой ОО. Описываются аспекты безопасности среды, в которой предполагается применение ОО. Описание включает:
Цели безопасности Отражают заявленное намерение противостоять идентифицированным угрозам и/или соответствовать политике безопасности организации. Включают цели, относящиеся как к ОО, так и к его среде; все они должны быть сопоставлены с конкретными угрозами, политикой или предположениями. Требования безопасности ИТ Описывают функциональные требования и требования доверия для ОО. Функциональные требования обычно берутся из части 2 ОК. Требования доверия входят в состав компонентов из части 3 ОК и могут иметь вид предопределенного пакета (например, ОУД), дополнительно усиленного другими компонентами требований доверия из части 3. В некоторых случаях требования могут быть расширены включением компонентов требований, не входящих в ОК, с необходимым обоснованием. Дополнительно может быть включено описание требований безопасности для среды ИТ. (Последнее может быть опущено, если объектом оценки являются самодостаточные ФБО, не связанные с какими-либо утверждениями о среде ИТ). Обоснование Состоит из двух подразделов. Обоснование целей демонстрирует, что цели безопасности охватывают все выявленные аспекты среды, обеспечивая их полное покрытие. Обоснование требований демонстрирует пригодность требований безопасности для достижения целей безопасности. Задание по безопасности ЗБ является основой для соглашения между разработчиками, потребителями, оценщиками и органами оценки по безопасности, предоставляемой ОО, и области применения оценки. Круг лиц, заинтересованных в ЗБ, может также включать ответственных за управление, маркетинг, продажу, инсталляцию, конфигурирование, функционирование и применение ОО. ЗБ включает следующие разделы: Введение Содержит маркировку ЗБ (и ОО, для которого оно разработано), аннотацию ЗБ и утверждение о соответствии ОК. Аннотация предназначена для потенциального пользователя ОО и пригодна для включения в перечни оцененных продуктов. Утверждение о соответствии ОК устанавливает некоторое оцениваемое утверждение о соответствии ОО Общим критериям и может включать ссылки на профили защиты или оценочный уровень доверия. При необходимости может быть указан минимальный уровень стойкости функций безопасности. Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |
