Из ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

ГОСТ Р ИСО/МЭК 15408–1–2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model. УДК 681.324:006.354 ОКС 35.040 П85 ОКСТУ 4002. Редакция от 16.12.2023.

Разработка (development) по ГОСТ Р ИСО/МЭК 15408-1-2012

Стадия жизненного цикла продукта, связанная с созданием представления реализации ОО (TOE).

Примечание — В требованиях класса ALC термин «разработка» и связанные с ним термины (разработчик, разрабатывать) понимаются в более широком смысле и охватывают разработку и производство.

[из 3.4.16 ГОСТ Р ИСО/МЭК 15408–1–2012]

Разработка программного обеспечения (software engineering) по ГОСТ Р ИСО/МЭК 15408-1-2012

Применение систематического, упорядоченного, измеримого подхода к разработке и сопровождению программного обеспечения, т.е. применение методов разработки по отношению к программному обеспечению.

Примечание — Как в отношении технических методов в целом, при применении принципов разработки программного обеспечения должен использоваться некоторый объем экспертных суждений. На выбор влияет много факторов, а не только применение мер модульной декомпозиции, разделения на уровни и минимизации. Например, разработчик может спроектировать некоторую систему, ориентируясь на будущие приложения, которые первоначально не будут реализовываться. Разработчик может определить некоторую логику по управлению этими будущими приложениями без их полной реализации; в дальнейшем разработчик может реализовать некоторые вызовы пока еще не реализованных модулей, оставляя программные «заглушки» вызовов. Сделанное разработчиком логическое обоснование таких отклонений от хорошей структуризации программ должно быть оценено с использованием экспертных суждений, так же как должно быть оценено использование надлежащего порядка разработки программного обеспечения.

[из 3.2.24 ГОСТ Р ИСО/МЭК 15408–1–2012]

Разработчик (developer) по ГОСТ Р ИСО/МЭК 15408-1-2012

Организация, ответственная за разработку ОО (TOE) [из 3.4.15 ГОСТ Р ИСО/МЭК 15408–1–2012]

Расширение (extension) по ГОСТ Р ИСО/МЭК 15408-1-2012

Добавление в ЗБ или ПЗ (PP) функциональных требований, не содержащихся в ИСО/МЭК 15408–2, и (или) требований доверия, не содержащихся в ИСО/МЭК 15408–3 [из 3.1.32 ГОСТ Р ИСО/МЭК 15408–1–2012]

Ресурс ОО (TOE) (TOE resource) по ГОСТ Р ИСО/МЭК 15408-1-2012

Все, что может быть использовано или потреблено ОО (TOE) [из 3.1.73 ГОСТ Р ИСО/МЭК 15408–1–2012]

Роль (role) по ГОСТ Р ИСО/МЭК 15408-1-2012

Предопределенная совокупность правил, устанавливающих допустимое взаимодействие между пользователем и ОО (TOE) [из 3.1.55 ГОСТ Р ИСО/МЭК 15408–1–2012]

С.1 Введение ГОСТ Р ИСО/МЭК 15408-1-2012

Профили защиты и задания по безопасности содержат предопределенные требования безопасности: разработчикам ПЗ и ЗБ при некоторых обстоятельствах также предоставляется возможность расширить список компонентов требований безопасности [из С.1 Введение ГОСТ Р ИСО/МЭК 15408–1–2012]

    С.2 Примеры операций ГОСТ Р ИСО/МЭК 15408-1-2012

    В 7.1 приведены четыре типа операций. Примеры выполнения различных операций рассмотрены ниже.

      С.2.1 Операция «итерация» ГОСТ Р ИСО/МЭК 15408-1-2012

      Как описано в 7.1.1, операция «итерация» может быть выполнена по отношению к любому компоненту. Разработчик ПЗ/ЗБ выполняет операцию «итерация» путем включения нескольких требований, основанных на одном и том же компоненте. Каждая итерация компонента должна отличаться от всех других итераций этого компонента, что реализуется завершением по–другому операций «назначение» и «выбор» или применением по–другому операции «уточнение».

      Различные итерации следует уникально идентифицировать, чтобы обеспечить четкое обоснование и про–слеживаемость от или к этим требованиям.

      Типичный пример выполнения итерации – повторение дважды компонента FCS_COP1 для того, чтобы потребовать реализации двух различных криптографических алгоритмов. Пример уникальной идентификации каждой итерации:

      • Криптографическая операция (FCS_COP 1(1));
      • Криптографическая операция (FCS_COP.1(2)).

      [из С.2.1 Операция «итерация» ГОСТ Р ИСО/МЭК 15408–1–2012]

        С.2.2 Операция «назначение» ГОСТ Р ИСО/МЭК 15408-1-2012

        Как описано в 7.1.2, операцию «назначение» осуществляют тогда, когда рассматриваемый компонент включает элемент с некоторым параметром, значение которого может быть установлено разработчиком ПЗ/ЗБ. Параметром может быть ничем не ограниченная переменная или правило, которое ограничивает переменную конкретным диапазоном значений.

        Пример элемента требований с операцией «назначение»: FIA_AFL1.2 «При достижении или превышении определенного числа неуспешных попыток аутентификации ФБО должны выполнить [назначение: список действий]» [из С.2.2 Операция «назначение» ГОСТ Р ИСО/МЭК 15408–1–2012]

          Страницы

          Подписка на Из ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель