Подход к оценке

Процесс оценки может происходить одновременно с разработкой ОО или следовать за ней. Основным исходным материалом для оценки является ЗБ, описывающее функции безопасности ОО, которое, в свою очередь, может ссылаться на один или несколько ПЗ, соответствие с которыми заявляется. Ниже определен подход к описанию в ПЗ и ЗБ функциональных возможностей безопасности ОО.

Оценка

Оценкой называется проверка продукта или системы ИТ по определенным критериям. Оценка по ОК использует ОК как основу для оценивания характеристик безопасности ИТ. Оценки по единому стандарту повышают сопоставимость итоговых результатов оценок. Чтобы далее повышать сопоставимость результатов оценок, они должны быть выполнены в рамках полномочной системы оценки, в которой установлены стандарты и постоянно контролируется качество оценок. Такие системы существуют в настоящее время во многих странах.

Определены различные стадии оценки, соответствующие основным уровням представления ОО.

Оценка ПЗ – выполняемая по критериям оценки для ПЗ (из части 3 ОК)

Оценка ЗБ – выполняемая по критериям оценки для ЗБ (из части 3 ОК)

Оценка ОО – выполняемая по критериям оценки из части 3 ОК с использованием оцененного ЗБ в качестве основы

Поддержание уверенности в безопасности – выполняемое в соответствии со схемой, основанной на требованиях из части 3 ОК.

Тестирование, проверка проекта и проверка реализации вносят значительный вклад в снижение риска наличия нежелательного поведения ОО. ОК представляют структуру проведения экспертного анализа (оценки) в указанных областях.

Ранние версии ОК содержали примеры ПЗ, которые были идентифицированы в исходных критериях, и предложения по процедурам создания и управления реестром одобренных ПЗ. Сейчас реестр ПЗ в ОК не рассматривается. Имеется в виду, что будет создана система взаимосвязанных национальных реестров. ПЗ могут быть определены как разработчиками при формулировании спецификаций безопасности для ОО, так и сообществами пользователей.