5.3 Пользователи ИСО/МЭК 15408 ГОСТ Р ИСО/МЭК 15408-1-2012

В оценке характеристик безопасности ОО заинтересованы в основном три группы пользователей: потребители, разработчики и оценщики. Критерии, представленные в настоящем документе, структурированы в интересах этих групп, потому что именно они рассматриваются как основные пользователи ИСО/МЭК 15408. Далее объясняется, какую пользу могут принести критерии каждой из этих групп [из 5.3 Пользователи ИСО/МЭК 15408 ГОСТ Р ИСО/МЭК 15408–1–2012]

5.3.1 Потребители ГОСТ Р ИСО/МЭК 15408-1-2012

ИСО/МЭК 15408 разработан, чтобы обеспечить посредством оценки удовлетворение запросов потребителей, поскольку это является основной целью и логическим обоснованием процесса оценки.

Результаты оценки помогают потребителям решить, удовлетворяет ли ОО их потребности в безопасности. Эти потребности обычно определяются как следствие анализа рисков, а также направленности политики безопасности. Потребители могут также использовать результаты оценки для сравнения различных ОО. Иерархическое представление требований доверия способствует этому.

ИСО/МЭК 15408 предоставляет потребителям, особенно входящим в группы и сообщества с едиными интересами, независимую от реализации структуру, называемую профилем защиты (ПЗ), для однозначного выражения их требований безопасности [из 5.3.1 Потребители ГОСТ Р ИСО/МЭК 15408–1–2012]

5.3.2 Разработчики ГОСТ Р ИСО/МЭК 15408-1-2012

ИСО/МЭК 15408 предназначен для поддержки разработчиков при подготовке к оценке своих ОО и содействии в ее проведении, а также при установлении требований безопасности, которым должны удовлетворять эти ОО. Данные требования содержатся в зависимой от реализации конструкции, называемой заданием по безопасности (ЗБ). Эти ЗБ могут базироваться на одном или нескольких ПЗ, чтобы показать, что ЗБ соответствуют требованиям безопасности, предъявленных потребителями, которые установлены в данных ПЗ.

ИСО/МЭК 15408 можно использовать для определения обязанностей и действий по предоставлению свидетельств, необходимых при проведении оценки ОО по этим требованиям. Он также определяет содержание и представление таких свидетельств [из 5.3.2 Разработчики ГОСТ Р ИСО/МЭК 15408–1–2012]

5.3.3 Оценщики ГОСТ Р ИСО/МЭК 15408-1-2012

В ИСО/МЭК 15408 содержатся критерии, предназначенные для использования оценщиками ОО при формировании заключения о соответствии объектов оценки предъявленным к ним требованиям безопасности. В ИСО/МЭК 15408 дается описание совокупности основных действий, выполняемых оценщиком. При этом в ИСО/МЭК 15408 не определены процедуры, которых следует придерживаться при выполнении этих действий. Дальнейшая информация по этим процедурам приведена в 5.5 [из 5.3.3 Оценщики ГОСТ Р ИСО/МЭК 15408–1–2012]

5.3.4 Прочие ГОСТ Р ИСО/МЭК 15408-1-2012

Хотя ИСО/МЭК 15408 ориентирован на определение и оценку характеристик безопасности ИТ для объектов оценки, он также может служить справочным материалом для всех, кто интересуется вопросами безопасности ИТ или несет ответственность за них. Среди них можно выделить, например, следующие группы, представители которых смогут извлечь пользу из информации, приведенной в ИСО/МЭК 15408:

  1. лица, ответственные за техническое состояние оборудования, и сотрудники служб безопасности, ответственные за определение и выполнение политики и требований безопасности организации в области ИТ;
  2. аудиторы как внутренние, так и внешние, ответственные за оценку адекватности безопасности ИТ–решения (которое может состоять из ОО или включать ОО);
  3. проектировщики систем безопасности, ответственные за характеристики безопасности продуктов ИТ;
  4. аттестующие, ответственные за приемку ИТ–решения в эксплуатацию в конкретной среде;
  5. заявители, заказывающие оценку и обеспечивающие ее проведение;
  6. органы оценки, ответственные за руководство и надзор за программами проведения оценок безопасности ИТ.

[из 5.3.4 Прочие ГОСТ Р ИСО/МЭК 15408–1–2012]