7.2.1. Оценка задания по безопасности (ASE)
7.2.1. Оценка задания по безопасности (ASE) 
|
ASE_INT.1 Введение Задания по безопасности
|
|
|
Зависимости:
|
отсутствуют.
|
|
Элементы действий разработчика
|
|
|
ASE_INT.1.1D
|
Разработчик ЗБ должен представить "Введение ЗБ".
|
|
Элементы содержания и представления документированных материалов
|
|
|
ASE_INT.1.1C
|
"Введение ЗБ" должно содержать "Ссылку ЗБ", "Ссылку ОО", "Аннотацию ОО" и "Описание ОО".
|
|
ASE_INT.1.2C
|
"Ссылка ЗБ" должна однозначно идентифицировать ЗБ.
|
|
ASE_INT.1.3C
|
"Ссылка ОО" должна однозначно идентифицировать ОО.
|
|
ASE_INT.1.4C
|
В "Аннотации ОО" должна быть представлена краткая информация об использовании и основных функциональных возможностях безопасности ОО.
|
|
ASE_INT.1.5C
|
В "Аннотации ОО" должен быть идентифицирован тип ОО.
|
|
ASE_INT.1.6C
|
В "Аннотации ОО" должны быть идентифицированы любые не входящие в ОО аппаратные, программные, а также программно-аппаратные средства, требуемые ОО.
|
|
ASE_INT.1.7C
|
"Описание ОО" должно включать описание физических границ ОО.
|
|
ASE_INT.1.8C
|
"Описание ОО" должно включать описание логических границ ОО.
|
|
Элементы действий оценщика
|
|
|
ASE_INT.1.1E
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_INT.1.1C - ASE_INT.1.8C.
|
|
ASE_INT.1.2E
|
Оценщик должен подтвердить, что "Справка ОО", "Аннотация ОО" и "Описание ОО" не противоречат друг другу.
|
|
Работы оценки
Оценщик должен выполнять указанные действия в соответствии с пунктом 9.3.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
|
ASE_CCL.1 Утверждения о соответствии
|
|
|
Зависимости:
|
ASE_INT.1 Введение ЗБ;
ASE_ECD.1 Определение расширенных компонентов;
ASE_REQ.1 Установленные требования безопасности.
|
|
Элементы действий разработчика
|
|
|
ASE_CCL.1.1D
|
Разработчик должен представить "Утверждения о соответствии".
|
|
ASE_CCL.1.2D
|
Разработчик должен представить "Обоснование утверждений о соответствии".
|
|
Элементы содержания и представления документированных материалов
|
|
|
ASE_CCL.1.1C
|
В "Утверждения о соответствии" должно быть включено "Утверждение о соответствии ИСО/МЭК 15408", которое определяет, для какой редакции ГОСТ Р ИСО/МЭК 15408 утверждается соответствие ЗБ и ОО.
|
|
ASE_CCL.1.2C
|
В "Утверждении о соответствии ИСО/МЭК 15408" должно приводиться описание соответствия ЗБ ГОСТ Р ИСО/МЭК 15408-2; ЗБ описывается либо как соответствующее требованиям ГОСТ Р ИСО/МЭК 15408-2, либо как содержащее расширенные по отношению к ГОСТ Р ИСО/МЭК 15408-2 требования.
|
|
ASE_CCL.1.3C
|
В "Утверждении о соответствии ИСО/МЭК 15408" должно приводиться описание соответствия ПЗ ГОСТ Р ИСО/МЭК 15408-3; ЗБ описывается либо как соответствующее требованиям ГОСТ Р ИСО/МЭК 15408-3, либо как содержащее расширенные по отношению к ГОСТ Р ИСО/МЭК 15408-3 требования.
|
|
ASE_CCL.1.4C
|
"Утверждение о соответствии ИСО/МЭК 15408" должно согласовываться с "Определением расширенных компонентов".
|
|
ASE_CCL.1.5C
|
В "Утверждении о соответствии" должны быть идентифицированы все ПЗ и пакеты требований безопасности, о соответствии которым утверждается в ЗБ.
|
|
ASE_CCL.1.6C
|
В "Утверждении о соответствии ЗБ пакету требований" должно приводиться описание любого соответствия ЗБ некоторому пакету требований; ЗБ описывается либо как соответствующее пакету требований, либо как содержащее расширенные по отношению к пакету требования.
|
|
ASE_CCL.1.7C
|
В "Обосновании утверждений о соответствии" должно быть продемонстрировано, что тип ОО согласуется с типом ОО в тех ПЗ, о соответствии которым утверждается в ЗБ.
|
|
ASE_CCL.1.8C
|
В "Обосновании утверждений о соответствии" должно быть продемонстрировано, что изложение "Определения проблемы безопасности" согласуется с изложением "Определения проблемы безопасности" в тех ПЗ, о соответствии которым утверждается в ЗБ.
|
|
ASE_CCL.1.9C
|
В "Обосновании утверждений о соответствии" должно быть продемонстрировано, что изложение "Целей безопасности" согласуется с изложением "Целей безопасности" в тех ПЗ, о соответствии которым утверждается в ЗБ.
|
|
ASE_CCL.1.10C
|
В "Обосновании утверждений о соответствии" должно быть продемонстрировано, что изложение "Требований безопасности" согласуется с изложением "Требований безопасности" в тех ПЗ, о соответствии которым утверждается в ЗБ.
|
|
Элементы действий оценщика
|
|
|
ASE_CCL.1.1E
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_CCL.1.1C - ASE_CCL.1.10C.
|
|
Работы оценки
Оценщик должен выполнить действия в соответствии с пунктом 9.4.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
|
ASE_SPD.1 Определение проблемы безопасности
|
|
|
Зависимости:
|
отсутствуют.
|
|
Элементы действий разработчика
|
|
|
ASE_SPD.1.1D
|
Разработчик должен представить "Определение проблемы безопасности".
|
|
Элементы содержания и представления документированных материалов
|
|
|
ASE_SPD.1.1C
|
"Определение проблемы безопасности" должно включать в себя описание угроз.
|
|
ASE_SPD.1.2C
|
Описание всех угроз должно проводиться в терминах источника угрозы, активов и негативного действия.
|
|
ASE_SPD.1.4C
|
"Определение проблемы безопасности" должно содержать описание предположений относительно среды функционирования ОО.
|
|
Элементы действий оценщика
|
|
|
ASE_SPD.1.1E
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_SPD.1.1C - ASE_SPD.1.4C.
|
|
Работы оценки
Оценщик должен выполнять указанные действия в соответствии с пунктом 9.5.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
|
ASE_OBJ.2 Цели безопасности
|
|
|
Зависимости:
|
ASE_SPD.1 Определение проблемы безопасности.
|
|
Элементы действий разработчика
|
|
|
ASE_OBJ.2.1D
|
Разработчик должен предоставить "Определение целей безопасности".
|
|
ASE_OBJ.2.2D
|
Разработчик должен предоставить "Обоснование целей безопасности".
|
|
Элементы содержания и представления документированных материалов
|
|
|
ASE_OBJ.2.1C
|
Изложение "Целей безопасности" должно включать в себя описание целей безопасности для ОО и для среды функционирования ОО.
|
|
ASE_OBJ.2.2C
|
В "Обосновании целей безопасности" каждая цель безопасности для ОО должна быть прослежена к угрозам, на противостояние которым направлена эта цель безопасности, и к политикам безопасности, на осуществление которых направлена эта цель безопасности.
|
|
ASE_OBJ.2.3C
|
В "Обосновании целей безопасности" каждая цель безопасности для ОО должна быть прослежена к угрозам, на противостояние которым направлена эта цель безопасности, к политикам безопасности, на осуществление которых направлена эта цель безопасности, а также к предположениям, поддерживаемым данной целью безопасности.
|
|
ASE_OBJ.2.4C
|
В "Обосновании целей безопасности" должно быть продемонстрировано, что цели безопасности направлены на противостояние всем идентифицированным угрозам.
|
|
ASE_OBJ.2.5C
|
В "Обосновании целей безопасности" должно быть продемонстрировано, что цели безопасности направлены на осуществление всех политик безопасности.
|
|
ASE_OBJ.2.6C
|
В "Обосновании целей безопасности" должно быть продемонстрировано, что цели безопасности для среды функционирования поддерживают все предположения.
|
|
Элементы действий оценщика
|
|
|
ASE_OBJ.2.1E
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_OBJ.2.1C - ASE_OBJ.2.6C.
|
|
Работы оценки
Оценщик должен выполнить действия в соответствии с пунктом 9.6.2 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
|
ASE_ECD.1 Определение расширенных компонентов
|
|
|
Зависимости:
|
отсутствуют.
|
|
Элементы действий разработчика
|
|
|
ASE_ECD.1.1D
|
Разработчик должен представить изложение "Требований безопасности".
|
|
ASE_ECD.1.2D
|
Разработчик должен представить "Определение расширенных компонентов".
|
|
Элементы содержания и представления документированных материалов
|
|
|
ASE_ECD.1.1C
|
В изложении "Требований безопасности" должны быть идентифицированы все расширенные требования безопасности.
|
|
ASE_ECD.1.2C
|
В "Определении расширенных компонентов" должен определяться расширенный компонент для каждого расширенного требования безопасности.
|
|
ASE_ECD.1.3C
|
В "Определении расширенных компонентов" должно указываться, как каждый расширенный компонент связан с существующими компонентами, семействами и классами ГОСТ Р ИСО/МЭК 15408.
|
|
ASE_ECD.1.4C
|
В "Определении расширенных компонентов" должны использоваться в качестве модели представления компоненты, семейства, классы и методология ГОСТ Р ИСО/МЭК 15408.
|
|
ASE_ECD.1.5C
|
Расширенные компоненты должны состоять из измеримых объективных элементов, чтобы была возможность продемонстрировать соответствие или несоответствие этим элементам.
|
|
Элементы действий оценщика
|
|
|
ASE_ECD.1.1E
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_ECD.1.1C - ASE_ECD.1.5C.
|
|
ASE_ECD.1.2E
|
Оценщик должен подтвердить, что ни один из расширенных компонентов не может быть четко выражен с использованием существующих компонентов.
|
|
Работы оценки
Оценщик должен выполнить действия в соответствии с пунктом 9.7.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
|
ASE_REQ.2 Производные требования безопасности
|
|
|
Зависимости:
|
ASE_OBJ.2 Цели безопасности;
|
|
ASE_ECD.1 Определение расширенных компонентов.
|
|
|
Элементы действий разработчика
|
|
|
ASE_REQ.2.1D
|
Разработчик должен представить изложение "Требований безопасности".
|
|
ASE_REQ.2.2D
|
Разработчик должен представить обоснование "Требований безопасности".
|
|
Элементы содержания и представления документированных материалов
|
|
|
ASE_REQ.2.1C
|
Изложение "Требований безопасности" должно содержать описание ФТБ и ТДБ.
|
|
ASE_REQ.2.2C
|
Все субъекты, объекты, операции, атрибуты безопасности, внешние сущности и другие понятия, использующиеся в ФТБ и ТБД, должны быть определены.
|
|
ASE_REQ.2.3C
|
В изложении "Требований безопасности" должны быть идентифицированы все выполненные над требованиями безопасности операции.
|
|
ASE_REQ.2.4C
|
Все операции должны быть выполнены правильно.
|
|
ASE_REQ.2.5C
|
Каждая зависимость от "Требований безопасности" должна быть либо удовлетворена, либо должно приводиться обоснование неудовлетворения зависимости.
|
|
ASE_REQ.2.6C
|
В "Обосновании требований безопасности" должно быть представлено прослеживание каждого ФТБ к целям безопасности для ОО.
|
|
ASE_REQ.2.7C
|
В "Обосновании требований безопасности" должно быть продемонстрировано, что ФТБ обеспечивают выполнение всех целей безопасности для ОО.
|
|
ASE_REQ.2.8C
|
В "Обосновании требований безопасности" должно приводиться пояснение того, почему выбраны определенные ТДБ.
|
|
ASE_REQ.2.9C
|
Изложение "Требований безопасности" должно быть внутренне непротиворечивым.
|
|
Элементы действий оценщика
|
|
|
ASE_REQ.2.1E
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_REQ.2.1C - ASE_REQ.2.9C.
|
|
Работы оценки
Оценщик должен выполнить действия в соответствии с пунктом 9.8.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".
|
|
|
ASE_TSS.1 Краткая спецификация ОО
|
|
|
Зависимости:
|
ASE_INT.1 Введение ЗБ.
|
|
ASE_REQ.1 Установленные требования безопасности
|
|
|
ADV_FSP.1 Базовая функциональная спецификация
|
|
|
Элементы действий разработчика
|
|
|
ASE_TSS.1.1D
|
Разработчик должен представить "Краткую спецификацию ОО".
|
|
Элементы содержания и представления документированных материалов
|
|
|
ASE_TSS.1.1C
|
"Краткая спецификация ОО" должна описывать, каким образом ОО выполняет каждое ФТБ.
|
|
Элементы действий оценщика
|
|
|
ASE_TSS.1.1E
|
Оценщик должен подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_TSS.1.1C.
|
|
ASE_TSS.1.2E
|
Оценщик должен подтвердить, что "Краткая спецификация ОО" не противоречит "Аннотации ОО" и "Описанию ОО".
|
|
Работы оценки
Оценщик должен выполнить действия в соответствии с пунктом 9.9.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий". Дополнительно должно быть проанализировано покрытие ТДБ мерами доверия.
|
|
