Из ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

ГОСТ Р ИСО/МЭК 15408–1–2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model. УДК 681.324:006.354 ОКС 35.040 П85 ОКСТУ 4002. Редакция от 16.12.2023.

В.4.2 Аннотация ОО ГОСТ Р ИСО/МЭК 15408-1-2012

Аннотация ОО нацелена на потенциальных потребителей ОО, просматривающих списки оцененных продуктов, чтобы найти ОО, которые могут удовлетворить их потребности в безопасности и поддерживаться их аппаратным, программным и программно–аппаратным обеспечением.

Аннотация ОО также предназначена для разработчиков, которые могут использовать ПЗ при разработке ОО или адаптации существующих продуктов.

Как правило, объем аннотации ОО — несколько параграфов.

В аннотации ОО кратко описывают использование ОО и его основные характеристики безопасности, идентифицируют тип ОО и все основные аппаратные средства/программное обеспечение/программно–аппаратные средства, не входящие в ОО, но доступные для ОО [из В.4.2 Аннотация ОО ГОСТ Р ИСО/МЭК 15408–1–2012]

    В.4.2.1 Использование и основные характеристики безопасности ОО ГОСТ Р ИСО/МЭК 15408-1-2012

    Описание использования и основных характеристик безопасности ОО предназначено, чтобы дать общее представление о возможностях ОО и о том, для чего можно использовать ОО. Это должно быть написано для (потенциальных) потребителей ОО с описанием использования и основных характеристик ОО в терминах бизнес–операций и на языке, понятном потребителям ОО [из В.4.2.1 Использование и основные характеристики безопасности ОО ГОСТ Р ИСО/МЭК 15408–1–2012]

      В.4.2.2 Тип ОО ГОСТ Р ИСО/МЭК 15408-1-2012

      В аннотации ОО идентифицируют общий тип ОО, такой как: межсетевой экран, шлюз виртуальной частной сети, смарт–карта, интранет, веб–сервер, система управления базами данных, веб–сервер и система управления базами данных, ЛВС, ЛВС с веб–сервером и системой управления базой данных и др. [из В.4.2.2 Тип ОО ГОСТ Р ИСО/МЭК 15408–1–2012]

        В.4.2.3 Доступные аппаратные средства/программное обеспечение/программно-аппаратные средства, не входящие в ОО ГОСТ Р ИСО/МЭК 15408-1-2012

        В то время как некоторые ОО не зависят от других ИТ, многие ОО (особенно программные ОО) зависят от дополнительных, не входящих в ОО, аппаратных средств/программного обеспечения и (или) программно–аппаратных средств. В последнем случае в «Аннотации ОО» требуется идентифицировать не входящие в ОО аппаратные средства/программное обеспечение и (или) программно–аппаратные средства.

        Поскольку профиль защиты не разрабатывают для конкретного продукта, во многих случаях в нем может быть дано только общее представление о доступных аппаратных средствах/программном обеспечении/программно–аппаратных средствах. В некоторых других случаях, например, при спецификации требований для конкретного потребителя, когда платформа уже известна, может быть предоставлена более конкретная информация.

        Примеры идентификации аппаратных средств/программного обеспечения/программно–аппаратных средств:

        [из В.4.2.3 Доступные аппаратные средства/программное обеспечение/программно–аппаратные средства, не входящие в ОО ГОСТ Р ИСО/МЭК 15408–1–2012]

          В.5 Утверждения о соответствии (APE_CCL) ГОСТ Р ИСО/МЭК 15408-1-2012

          В данном разделе ПЗ описывают соответствие ПЗ другим ПЗ и пакетам. Это идентично разделу «Утверждения о соответствии» для ЗБ (см. А.5) за одним исключением: тип утверждения о соответствии.

          В ПЗ в утверждении о соответствии излагается, каким образом ЗБ и (или) другие ПЗ должны соответствовать данному ПЗ. Разработчик ПЗ выбирает, какой тип соответствия требуется: «строгое (Строгое соответствие (strict conformance) по ГОСТ Р ИСО/МЭК 15408–1–2012, Строгое соответствие (strict conformance) по ГОСТ Р ИСО/МЭК 15408-1-2012, /46645)» соответствие или «демонстрируемое» соответствие. Более подробно этот вопрос рассмотрен в приложении D [из В.5 Утверждения о соответствии (APE_CCL) ГОСТ Р ИСО/МЭК 15408–1–2012]

            В.6 Определение проблемы безопасности (APE_SPD) ГОСТ Р ИСО/МЭК 15408-1-2012

            Данный раздел идентичен разделу ЗБ «Определение проблемы безопасности», рассмотренному в А.6 [из В.6 Определение проблемы безопасности (APE_SPD) ГОСТ Р ИСО/МЭК 15408–1–2012]

              В.7 Цели безопасности (APE_OBJ) ГОСТ Р ИСО/МЭК 15408-1-2012

              Данный раздел идентичен разделу ЗБ «Цели безопасности», рассмотренному в А.7 [из В.7 Цели безопасности (APE_OBJ) ГОСТ Р ИСО/МЭК 15408–1–2012]

                В.8 Определение расширенных компонентов (APE_ECD) ГОСТ Р ИСО/МЭК 15408-1-2012

                Данный раздел идентичен разделу ЗБ «Определение расширенных компонентов», рассмотренному в А.8 [из В.8 Определение расширенных компонентов (APE_ECD) ГОСТ Р ИСО/МЭК 15408–1–2012]

                  В.9 Требования безопасности (APE_REQ) ГОСТ Р ИСО/МЭК 15408-1-2012

                  Данный раздел идентичен разделу ЗБ «Требования безопасности», рассмотренному в А.9.

                  Однако следует заметить, что правила выполнения операций в ПЗ немного отличаются от правил выполнения операций в ЗБ. Более подробно этот вопрос рассмотрен в 7.1 [из В.9 Требования безопасности (APE_REQ) ГОСТ Р ИСО/МЭК 15408–1–2012]

                    Страницы

                    Подписка на Из ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель