9 Результаты оценки ГОСТ Р ИСО/МЭК 15408-1-2012|Техническая документация

9.1 Введение ГОСТ Р ИСО/МЭК 15408-1-2012

В этом разделе представлены ожидаемые результаты оценки ПЗ и ЗБ/ОО, выполненной в соответствии с ИСО/МЭК 18045:

оценки профилей защиты позволяют создавать каталоги (реестры) оцененных ПЗ;
оценка ЗБ дает промежуточные результаты, которые затем используются при оценке ОО;
оценки ЗБ/ОО позволяют создавать каталоги (реестры) оцененных ОО. Во многих случаях эти каталоги будут ссылаться на продукты ИТ, на основе которых определены эти ОО, а не на конкретные ОО. Следовательно, наличие продукта ИТ в каталоге не должно интерпретироваться как признак того, что весь продукт ИТ прошел оценку; реальный объем оценки ЗБ/ОО определяется ЗБ. Ссылка на портал с примерами таких каталогов приведена в разделе «Библиография».

На рисунке 5 продемонстрированы ожидаемые результаты оценки ПЗ и ЗБ/ОО.

ЗБ могут базироваться на пакетах, оцененных ПЗ, неоцененных ПЗ; тем не менее, совсем не обязательно, чтобы ЗБ на чем–то базировались.

- Результаты оценки

Рисунок 5 — Результаты оценки

Необходимо, чтобы оценка приводила к объективным и повторяемым результатам, на которые затем можно ссылаться как на свидетельство даже при отсутствии абсолютно объективной шкалы для представления результатов оценки безопасности ИТ. Наличие совокупности критериев оценки является необходимым предварительным условием для того, чтобы оценка приводила к значимому результату, предоставляя техническую основу для взаимного признания результатов оценки различными органами оценки.

Результат оценки представляет собой итоговые данные специфического типа исследования характеристик безопасности ОО. Такой результат не гарантирует пригодность к использованию в какой–либо конкретной среде применения. Решение о приемке ОО к использованию в конкретной среде применения основывается на учете многих аспектов безопасности, включая и выводы оценки [из 9.1 Введение ГОСТ Р ИСО/МЭК 15408–1–2012]

Открыть в новой вкладке

9.2 Результаты оценки ПЗ ГОСТ Р ИСО/МЭК 15408-1-2012

⇪В 28412 💥

ИСО/МЭК 15408–3 содержит критерии оценки, которые оценщику необходимо принять во внимание для того, чтобы установить, является ли ПЗ полным, непротиворечивым, технически правильным и, следовательно, пригодным для использования при разработке ЗБ.

Результаты оценки должны также включать «Утверждение о соответствии» (см. 9.4) [из 9.2 Результаты оценки ПЗ ГОСТ Р ИСО/МЭК 15408–1–2012]

Открыть в новой вкладке

9.3 Результаты оценки ЗБ/ОО ГОСТ Р ИСО/МЭК 15408-1-2012

⇪В 28412 💥

ИСО/МЭК 15408–3 содержит критерии оценки, которые оценщику необходимо принять во внимание для того, чтобы установить, существует ли достаточное доверие к тому, что ОО удовлетворяет ФТБ из ЗБ.

Результат оценки ОО должен формулироваться как «соответствие/несоответствие» по отношению к ЗБ. Если и для ЗБ, и для ОО результат оценки — «соответствует», то соответствующий продукт получает право включения в реестр. Результаты оценки должны также включать «Утверждение о соответствии», как определено в 9.4.

Возможно, результаты оценки в дальнейшем будут использованы в процессе сертификации, но этот процесс находится за рамками ИСО/МЭК 15408 [из 9.3 Результаты оценки ЗБ/ОО ГОСТ Р ИСО/МЭК 15408–1–2012]

Открыть в новой вкладке

9.4 Утверждение о соответствии ГОСТ Р ИСО/МЭК 15408-1-2012

⇪В 28412 💥

Утверждение о соответствии указывает источник совокупности требований, которым удовлетворяет ПЗ или ЗБ, проходящие оценку. Это утверждение о соответствии содержит утверждение о соответствии ИСО/МЭК 15408, которое:

описывает ту версию ИСО/МЭК 15408, о соответствии которой заявлено в ПЗ или ЗБ;
описывает соответствие ИСО/МЭК 15408–2 (функциональные требования безопасности), включающее одно из следующего:
- «соответствие ИСО/МЭК 15408–2» — ПЗ или ЗБ соответствует ИСО/МЭК 15408–2, если все ФТБ в данном ПЗ или ЗБ основаны только на функциональных компонентах из ИСО/МЭК 15408–2;
- «расширение ИСО/МЭК 15408–2» — ПЗ или ЗБ является расширенным по отношению к ИСО/МЭК 15408–2, если как минимум одно ФТБ в данном ПЗ или ЗБ не основано на функциональных компонентах из ИСО/МЭК 15408–2;
описывает соответствие ИСО/МЭК 15408–3 (требования доверия к безопасности), включающее одно из следующего:
- «соответствие ИСО/МЭК 15408–3» — ПЗ или ЗБ соответствует ИСО/МЭК 15408–3, если все ТДБ в данном ПЗ или ЗБ основаны только на компонентах доверия из ИСО/МЭК 15408–3;
- «расширение ИСО/МЭК 15408–3» — ПЗ или ЗБ является расширенным по отношению к ИСО/МЭК 15408–3, если как минимум одно ТДБ в данном ПЗ или ЗБ не основано на компонентах доверия из ИСО/МЭК 15408–3.

Кроме того, утверждение о соответствии может включать утверждение, сделанное относительно пакетов требований; в данном случае оно включает одно из следующего:

«соответствие именованному пакету» — ПЗ или ЗБ соответствует предопределенному именованному пакету (например, ОУД), если:
- ФТБ в ПЗ или ЗБ идентичны ФТБ в пакете или ТДБ в ПЗ или ЗБ идентичны ТДБ в пакете;
- «усиление именованного пакета» — ПЗ или ЗБ является усилением предопределенного именованного пакета, если:
- ФТБ в ПЗ или ЗБ включают все ФТБ из пакета, а также содержат как минимум одно дополнительное ФТБ или ФТБ, которое является иерархичным по отношению к некоторому ФТБ из пакета;
- ТДБ в ПЗ или ЗБ включают все ТДБ из пакета, а также содержат как минимум одно дополнительное ТДБ или ТДБ, которое является иерархичным по отношению к некоторому ТДБ из пакета.

При успешном прохождении ОО оценки на соответствие ЗБ, любые утверждения о соответствии задания по безопасности также относятся и к ОО. Таким образом, ОО также, например, может соответствовать ИСО/МЭК 15408–2.

И наконец, утверждение о соответствии может также включать два утверждения относительно профилей защиты:

«соответствие ПЗ» — ПЗ или ОО удовлетворяет конкретному(ым) профилю (ям) защиты, который(ые) перечислен(ы) как часть утверждения о соответствии;
«изложение соответствия» (только для профилей защиты) — В данном изложении описывается способ, которым должно быть обеспечено соответствие профилей защиты или заданий по безопасности рассматриваемому ПЗ: строгое или демонстрируемое. Более подробная информация по вопросу «изложения соответствия» приведена в приложении В.

[из 9.4 Утверждение о соответствии ГОСТ Р ИСО/МЭК 15408–1–2012]

Открыть в новой вкладке

9.5 Использование результатов оценки ЗБ/ОО ГОСТ Р ИСО/МЭК 15408-1-2012

⇪В 28412 💥

После оценки ЗБ и ОО у владельцев активов имеется доверие (как определено в ЗБ) к тому, что ОО вместе со средой функционирования противостоят конкретным угрозам. Результаты оценки могут быть использованы владельцем активов при принятии решения о принятии риска, связанного с подверженностью активов воздействию конкретных угроз.

При этом владелец активов должен тщательно проверить следующее:

соответствует ли определение проблемы безопасности в ЗБ конкретной проблеме безопасности владельца активов;
соответствует ли среда функционирования у владельца активов (или может ли быть обеспечено ее соответствие) целям безопасности для среды функционирования, описанным в ЗБ.

Если что–либо из перечисленного не выполняется, то ОО может оказаться непригодным с точки зрения целей владельца активов.

После ввода оцененного ОО в эксплуатацию сохраняется возможность проявления в ОО ранее неизвестных ошибок или уязвимостей. В этом случае разработчик может внести изменения в ОО (чтобы устранить уязвимости) или изменить ЗБ, чтобы исключить уязвимости из области оценки. В любом случае прежние результаты оценки могут оказаться уже недействительными.

Если окажется необходимым восстановить уверенность, то потребуется переоценка. Для переоценки может быть использован ИСО/МЭК 15408, однако подробные процедуры переоценки находятся вне области данной части ИСО/МЭК 15408 [из 9.5 Использование результатов оценки ЗБ/ОО ГОСТ Р ИСО/МЭК 15408–1–2012]

Открыть в новой вкладке

Из ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

⇪В 28501 💥