logo search
Сборная ответов к госэкзаменам

Введение

Содержит маркировку ЗБ (и ОО, для которого оно разработано), аннотацию ЗБ и утверждение о соответствии ОК. Аннотация предназначена для потенциального пользователя ОО и пригодна для включения в перечни оцененных продуктов. Утверждение о соответствии ОК устанавливает некоторое оцениваемое утверждение о соответствии ОО Общим критериям и может включать ссылки на профили защиты или оценочный уровень уверенности в безопасности. При необходимости может быть указан минимальный уровень стойкости функций безопасности.

Описание ОО

Устанавливает контекст оценки. Способствует пониманию требований безопасности ОО и дает представление о типе ОО, его предполагаемом применении и основных характеристиках безопасности.

Среда безопасности

Как и для ПЗ, содержит описание угроз, политики безопасности организации, которой ОО должен соответствовать, а также аспектов безопасности среды, в которой предполагается применение ОО (предположений).

Цели безопасности

Включают цели безопасности как для ОО, так и для поддерживающей его среды. Эти цели направлены на противостояние идентифицированным угрозам и соответствуют политике безопасности организации и предположениям.

Требования безопасности ИТ

Приводятся требования безопасности ИТ ОО, включая конкретизированные функциональные требования и требования уверенности в безопасности. Там, где это необходимо, указываются требования безопасности для среды ИТ. Требования, выражаемые ссылкой на ПЗ, не обязательно повторяются в ЗБ. При необходимости также следует указать минимальный уровень стойкости функций безопасности.

Утверждения о соответствии ПЗ

Если в ЗБ заявлено о соответствии ОО требованиям одного или нескольких ПЗ, то требуются пояснения, мотивировка и прочие вспомогательные материалы. Здесь содержится ссылка на ПЗ, описание уточнений ПЗ и описание дополнений к ПЗ.

Краткая спецификация ОО

Обеспечивает высокоуровневое определение функций безопасности, заявленных для выполнения функциональных требований, и мер безопасности, предпринимаемых для выполнения требований уверенности в безопасности. При необходимости для отдельных функций безопасности может быть заявлена стойкость функций.

Обоснование

Демонстрирует, что ЗБ содержит полную и взаимосвязанную совокупность пригодных для использования и эффективных контрмер.

Оценка ПЗ и ЗБ

Для оценки ПЗ и ЗБ предназначены классы требований уверенности в безопасности APE и ASE соответственно. Все требования этих классов предназначены для применения при оценке ПЗ и ЗБ. Их применение предусмотрено для выяснения того, является ли ПЗ или ЗБ значимым основанием для оценки ОО.

Оценка профиля защиты (APE)

Цель оценки ПЗ состоит в том, чтобы показать, что ПЗ является полным, непротиворечивым и технически грамотным. В дальнейшем применение ПЗ предусмотрено при изложении требований к оцениваемому ОО. Семейства этого класса связаны со средой безопасности, целями безопасности и требованиями безопасности ОО.

Оценка задания по безопасности (ASE)

Цель оценки ЗБ состоит в том, чтобы показать, что ЗБ является полным, непротиворечивым и технически грамотным, и поэтому оно пригодно в качестве основы для оценки ОО. Требования семейств этого класса связаны со средой безопасности, целями безопасности, утверждениями о соответствии ПЗ, требованиями безопасности ОО и краткой спецификацией ОО.

Классы требований уверенности в безопасности при оценке ОО

Управление конфигурацией (ACM)

Класс «Управление конфигурацией» содержит требования по адекватному сохранению целостности ОО. В частности, управление конфигурацией предоставляет уверенность в том, что оцениваются именно те ОО и документация, которые подготовлены к распространению. Семейства данного класса связаны с возможностями, областью и автоматизацией управления конфигурацией.

Поставка и эксплуатация (ADO)

Этот класс содержит семейства, связанные с мерами, процедурами и стандартами для безопасной поставки, инсталляции и эксплуатации ОО, обеспечивая, что безопасность ОО не нарушается при их выполнении.

Разработка (ADV)

Семейства этого класса связаны с преобразованием ФБО от спецификации до реализации и отображением в них требований вплоть до самого нижнего уровня представления.

Руководства (AGD)

Класс «Руководства» связан с безопасной эксплуатацией ОО пользователями и администраторами.

Поддержка жизненного цикла (ALC)

Требования семейств данного класса связаны с жизненным циклом ОО, включая определение жизненного цикла, инструментальные средства и методы, безопасность разработки и устранение недостатков, обнаруженных потребителями ОО.

Тестирование (ATE)

Этот класс связан с демонстрацией того, что ОО удовлетворяет функциональным требованиям. В его семействах рассматриваются вопросы покрытия и глубины тестирования разработчиком, а также требования к независимому тестированию при оценке.

Оценка уязвимостей (AVA)

Данный класс определяет требования, направленные на идентификацию уязвимостей, возможных для использования, которые могут быть внесены при проектировании, эксплуатации, неправильном применении или неправильном конфигурировании ОО. В семействах, сосредоточенных здесь, для исследования выявленных уязвимостей применяются анализ тайных каналов, анализ конфигурации ОО, проверка стойкости механизмов функций безопасности и идентификация недостатков, внесенных при разработке ОО.