А.11 Вопросы, на которые можно ответить с помощью ЗБ ГОСТ Р ИСО/МЭК 15408-1-2012

По окончании оценки ЗБ определяет «что было оценено». В этой роли ЗБ служит основой для соглашения между разработчиком или поставщиком ОО и потенциальным потребителем ОО. Поэтому с помощью ЗБ можно ответить на следующие (а также и на другие) вопросы:

  1. Как найти необходимые ЗБ/ОО из множества существующих ЗБ/ОО? Этот вопрос обращен к «Аннотации ОО», в которой дается краткое (несколько параграфов) описание ОО;
  2. Согласован ли ОО с существующей инфраструктурой ИТ? Этот вопрос обращен к «Аннотации ОО», в которой идентифицируются основные элементы аппаратных средств/программно–аппаратных средств/программного обеспечения, под управлением которых должен функционировать ОО;
  3. Согласован ли ОО с существующей средой функционирования? Этот вопрос обращен к «Целям безопасности для среды функционирования», где определяются все ограничения на размещение ОО в среде функционирования;
  4. Что делает (возможности) ОО (заинтересованный пользователь)? Этот вопрос обращен к «Аннотации ОО», в которой дается краткое (несколько параграфов) описание ОО;
  5. Что делает ОО (потенциальный потребитель)? Этот вопрос обращен к «Описанию ОО», в котором дается более подробное, чем в «Аннотации ОО», описание ОО (на несколько страниц);
  6. Что делает ОО (технический специалист)? Этот вопрос обращен к «Краткой спецификации ОО», в которой приводится высокоуровневое описание механизмов, использованных в ОО;
  7. Что делает ОО (эксперт)? Этот вопрос обращен к ФТБ, которые обеспечивают достаточно абстрактное техническое описание, и к «Краткой спецификации ОО», в которой приводятся дополнительные подробности;
  8. Решает ли ОО проблему с учетом требований государства/организации? Если государство/организация определили пакеты и (или) ПЗ, чтобы определить решение, то ответ на указанный вопрос может быть найден в разделе ЗБ «Утверждения о соответствии», в котором перечисляются все пакеты и ПЗ, которым соответствует ЗБ;
  9. Отвечает ли ОО конкретной проблеме безопасности (эксперт)? Каким угрозам противостоит ОО? Какую политику безопасности организации реализует ОО? Какие предположения сделаны относительно среды функционирования? На эти вопросы отвечает «Определение проблемы безопасности»;
  10. Каков объем доверия к ОО? Ответ на этот вопрос может быть найден в ТДБ в разделе ЗБ «Требования безопасности», в котором определен уровень доверия, использованный при оценке ОО, а следовательно — объем доверия к корректности ОО, обеспечиваемый в результате оценки.

[из А.11 Вопросы, на которые можно ответить с помощью ЗБ ГОСТ Р ИСО/МЭК 15408–1–2012]