Аннотация ОО нацелена на потенциальных потребителей ОО, просматривающих списки оцененных ОО/продуктов, чтобы найти ОО, которые могут удовлетворить их потребности в безопасности и поддерживаться их аппаратным, программным и программно–аппаратным обеспечением. Как правило, объем аннотации ОО — несколько параграфов.
В аннотации ОО кратко описывают использование ОО и его основные характеристики безопасности, идентифицируют тип ОО и все основные аппаратные средства/программное обеспечение/программно–аппаратные средства, не входящие в ОО, но требуемые для ОО [из А.4.2 Аннотация ОО ГОСТ Р ИСО/МЭК 15408–1–2012]
А.4.2.1 Использование и основные характеристики безопасности ОО ГОСТ Р ИСО/МЭК 15408-1-2012
Описание использования и основных характеристик безопасности ОО предназначено, чтобы дать общее представление о возможностях ОО с точки зрения безопасности и о том, для чего можно использовать ОО в контексте безопасности. Это должно быть написано для (потенциальных) потребителей ОО с описанием использования и основных характеристик ОО в терминах бизнес–операций и на языке, понятном потребителям.
Пример такого описания: «The MauveCorp MauveRAM Database v2.11 является многопользовательской системой управления базами данных, предназначенной для использования в сетевой среде. Она предоставляет возможность одновременной работы до 1024 пользователей, возможность использовать аутентификацию, основанную на пароле/токене, а также — биометрическую аутентификацию; обеспечивает защиту от случайного повреждения данных и откат назад на десять тысяч транзакций. Существует возможность настройки механизмов аудита в широком диапазоне, позволяющая осуществлять детальный аудит по отношению к некоторым пользователям и транзакциям, обеспечивая при этом приватность для других пользователей и транзакций» [из А.4.2.1 Использование и основные характеристики безопасности ОО ГОСТ Р ИСО/МЭК 15408–1–2012]
А.4.2.2 Тип ОО ГОСТ Р ИСО/МЭК 15408-1-2012
В аннотации ОО идентифицируют общий тип ОО, такой как: межсетевой экран, шлюз виртуальной частной сети, смарт–карта, интранет, веб–сервер, система управления базами данных, веб–сервер вместе с системой управления базами данных, ЛВС, ЛВС с веб–сервером и системой управления базой данных и др.
Возможна ситуация, когда ОО не может быть легко отнесен к имеющемуся типу, при которой приемлемым является указание на то, что ОО не отнесен ни к одному типу.
В некоторых случаях тип ОО может ввести в заблуждение потребителей. Например:
- от ОО с учетом его типа могут ожидать определенные функциональные возможности, в то время как у данного ОО эти функциональные возможности отсутствуют. Например:
- ОО типа «ATM–карта», который не поддерживает какие–либо функциональные возможности идентификации/аутентификации;
- ОО типа «межсетевой экран», который не поддерживает протоколы, используемые почти повсеместно; ОО типа «ИОК», у которого нет функциональных возможностей аннулирования сертификатов.
- от ОО с учетом его типа могут ожидать возможность функционирования в определенной среде, в то время как для данного ОО такая возможность отсутствует. Например:
- ОО типа «Операционная система ПК», который не может безопасно функционировать при наличии у ПК сетевого подключения, накопителя на гибких дисках, CD/DVD–дисковода;
- межсетевой экран, который может безопасно функционировать только при условии, что все пользователи, которые могут подключаться через этот межсетевой экран, являются благонадежными.
[из А.4.2.2 Тип ОО ГОСТ Р ИСО/МЭК 15408–1–2012]
А.4.2.3 Требуемые аппаратные средства/программное обеспечение/программно-аппаратные средства, не входящие в ОО ГОСТ Р ИСО/МЭК 15408-1-2012
В то время как некоторые ОО не зависят от других ИТ, многие ОО (особенно программные ОО) зависят от дополнительных, не входящих в ОО, аппаратных средств/программного обеспечения и (или) программно–аппаратных средств. В последнем случае в «Аннотации ОО» требуется идентифицировать соответствующие, не входящие в ОО, аппаратные средства/программное обеспечение и (или) программно–аппаратные средства. Полная и абсолютно детальная идентификация дополнительных аппаратных средств/программного обеспечения и (или) программно–аппаратных средств не требуется, но при этом необходима полнота и детализация идентификации, достаточная для определения потенциальными потребителями основных аппаратных средств, программного обеспечения и (или) программно–аппаратных средств, необходимых для использования ОО.
Примеры идентификации аппаратных средств/программного обеспечения/программно–аппаратных средств:
- стандартный ПК с процессором 1 ГГц или более и ОП 512 Мб или более, функционирующий под управлением операционной системы Yaiza версии 3.0 с установленным обновлением 6d, с или 7 или версии 4.0;
- стандартный ПК с процессором 1 ГГц или более и ОП 512 Мб или более, функционирующий под управлением операционной системы Yaiza версии 3.0 с установленным обновлением 6d, с, установленной графической картой WonderMagic 1.0 с набором драйверов для WM версии 1.0;
- стандартный ПК с операционной системой Yaiza версии 3.0 (или выше);
- интегральная схема CleverCard SB2067;
- интегральная схема CleverCard SB2067 с установленной операционной системой для смарт–карт QuickOS;
- локальная вычислительная сеть департамента транспорта по состоянию на декабрь 2002 года.
[из А.4.2.3 Требуемые аппаратные средства/программное обеспечение/программно–аппаратные средства, не входящие в ОО ГОСТ Р ИСО/МЭК 15408–1–2012]