7.2.4. Оценка задания по безопасности (ASE)

ASE_CCL.1

Утверждения о соответствии

Зависимости:

ASE_INT.1 Введение ЗБ;

ASE_ECD.1 Определение расширенных компонентов;

ASE_REQ.1 Установленные требования безопасности.

Элементы действий заявителя (разработчика, производителя)

ASE_CCL.1.1D

Заявитель (разработчик, производитель) должен представить в ЗБ "Утверждения о соответствии".

ASE_CCL.1.2D

Заявитель (разработчик, производитель) должен представить в ЗБ "Обоснование утверждений о соответствии".

Элементы содержания и представления документированных материалов

ASE_CCL.1.1C

В "Утверждения о соответствии" должно быть включено "Утверждение о соответствии ИСО/МЭК 15408", которое определяет, для какой редакции ГОСТ Р ИСО/МЭК 15408 утверждается соответствие ЗБ и ОО.

ASE_CCL.1.2C

В "Утверждении о соответствии ИСО/МЭК 15408" должно приводиться описание соответствия ЗБ ГОСТ Р ИСО/МЭК 15408-2; ЗБ либо описывается как соответствующее требованиям ГОСТ Р ИСО/МЭК 15408-2, либо как содержащее расширенные по отношению к ГОСТ Р ИСО/МЭК 15408-2 требования (специальные требования).

ASE_CCL.1.3C

В "Утверждении о соответствии ИСО/МЭК 15408" должно приводиться описание соответствия ПЗ ГОСТ Р ИСО/МЭК 15408-3; ЗБ либо описывается как соответствующее требованиям ГОСТ Р ИСО/МЭК 15408-3, либо как содержащее расширенные по отношению к ГОСТ Р ИСО/МЭК 15408-3 требования (специальные требования).

ASE_CCL.1.4C

"Утверждение о соответствии ИСО/МЭК 15408" должно согласовываться с "Определением расширенных компонентов".

ASE_CCL.1.5C

В "Утверждении о соответствии" должны быть идентифицированы все ПЗ и пакеты требований безопасности, о соответствии которым утверждается в ЗБ.

ASE_CCL.1.6C

В "Утверждении о соответствии ЗБ пакету требований" должно приводиться описание любого соответствия ЗБ некоторому пакету требований; ЗБ либо описывается как соответствующее пакету требований, либо как содержащее расширенные по отношению к пакету требования.

ASE_CCL.1.7C

В "Обосновании утверждений о соответствии" должно быть продемонстрировано, что тип ОО согласуется с типом ОО в тех ПЗ, о соответствии которым утверждается.

ASE_CCL.1.8C

В "Обосновании утверждений о соответствии" должно быть продемонстрировано, что изложение "Определения проблемы безопасности" согласуется с изложением "Определения проблемы безопасности" в тех ПЗ, о соответствии которым утверждается.

ASE_CCL.1.9C

В "Обосновании утверждений о соответствии" должно быть продемонстрировано, что изложение "Целей безопасности" согласуется с изложением "Целей безопасности" в тех ПЗ, о соответствии которым утверждается.

ASE_CCL.1.10C

В "Обосновании утверждений о соответствии" должно быть продемонстрировано, что изложение "Требований безопасности" согласуется с изложением "Требований безопасности" в тех ПЗ, о соответствии которым утверждается.

Элементы действий испытательной лаборатории

ASE_CCL.1.1E

Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_CCL.1.1C - ASE_CCL.1.10C.

Замечания по применению: испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 9.4.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".

ASE_ECD.1

Определение расширенных компонентов

Зависимости:

отсутствуют.

Элементы действий заявителя (разработчика, производителя)

ASE_ECD.1.1D

Заявитель (разработчик, производитель) должен представить в ЗБ изложение "Требований безопасности".

ASE_ECD.1.2D

Заявитель (разработчик, производитель) должен представить в ЗБ "Определение расширенных компонентов".

Элементы содержания и представления документированных материалов

ASE_ECD.1.1C

В изложении "Требований безопасности" должны быть идентифицированы все расширенные (специальные) требования безопасности.

ASE_ECD.1.2C

В "Определении расширенных компонентов" должен определяться расширенный (специальный) компонент для каждого расширенного требования безопасности.

ASE_ECD.1.3C

В "Определении расширенных компонентов" должно указываться, как каждый расширенный (специальный) компонент связан с существующими компонентами, семействами и классами ГОСТ Р ИСО/МЭК 15408.

ASE_ECD.1.4C

В "Определении расширенных компонентов" должны использоваться в качестве модели представления компоненты, семейства, классы и методология ГОСТ Р ИСО/МЭК 15408.

ASE_ECD.1.5C

Расширенные (специальные) компоненты должны состоять из измеримых объективных элементов, обеспечивающих возможность демонстрации соответствия или несоответствия этим элементам.

Элементы действий испытательной лаборатории

ASE_ECD.1.1E

Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_ECD.1.1C - ASE_ECD.1.5C.

ASE_ECD.1.2E

Испытательная лаборатория должна подтвердить, что ни один из расширенных (специальных) компонентов не может быть четко выражен с использованием существующих компонентов.

Замечания по применению: испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 9.7.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".

ASE_INT.1

Введение ЗБ

Зависимости:

отсутствуют.

Элементы действий заявителя (разработчика, производителя)

ASE_INT.1.1D

Заявитель (разработчик, производитель) ЗБ должен представить в ЗБ "Введение ЗБ".

Элементы содержания и представления документированных материалов

ASE_INT.1.1C

"Введение ЗБ" должно содержать "Ссылку на ЗБ", "Ссылку на ОО", "Аннотацию ОО" и "Описание ОО".

ASE_INT.1.2C

"Ссылка на ЗБ" должна однозначно идентифицировать ЗБ.

ASE_INT.1.3C

"Ссылка на ОО" должна однозначно идентифицировать ОО.

ASE_INT.1.4C

В "Аннотации ОО" должна быть представлена краткая информация о его использовании и основных функциональных возможностях безопасности ОО.

ASE_INT.1.5C

В "Аннотации ОО" должен быть идентифицирован тип ОО.

ASE_INT.1.6C

В "Аннотации ОО" должны быть идентифицированы любые не входящие в ОО аппаратные, программные, а также программно-аппаратные средства, требуемые ОО.

ASE_INT.1.7C

"Описание ОО" должно включать описание физических границ ОО.

ASE_INT.1.8C

"Описание ОО" должно включать описание логических границ ОО.

Элементы действий испытательной лаборатории

ASE_INT.1.1E

Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_INT.1.1C - ASE_INT.1.8C.

ASE_INT.1.2E

Испытательная лаборатория должна подтвердить, что "Ссылка на ОО", "Аннотация ОО" и "Описание ОО" не противоречат друг другу.

Замечания по применению: испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 9.3.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".

ASE_OBJ.2

Цели безопасности

Зависимости:

ASE_SPD.1 Определение проблемы безопасности.

Элементы действий заявителя (разработчика, производителя)

ASE_OBJ.2.1D

Заявитель (разработчик, производитель) должен предоставить в ЗБ "Определение целей безопасности".

ASE_OBJ.2.2D

Заявитель (разработчик, производитель) должен предоставить в ЗБ "Обоснование целей безопасности".

Элементы содержания и представления документированных материалов

ASE_OBJ.2.1C

Изложение "Целей безопасности" должно включать в себя описание целей безопасности для ОО и для среды функционирования ОО.

ASE_OBJ.2.2C

В "Обосновании целей безопасности" каждая цель безопасности для ОО должна быть прослежена к угрозам, на противостояние которым направлена эта цель безопасности, и к политикам безопасности, на осуществление которых направлена эта цель безопасности.

ASE_OBJ.2.3C

В "Обосновании целей безопасности" каждая цель безопасности для среды функционирования должна быть прослежена к угрозам, на противостояние которым направлена эта цель безопасности, к ПБОр, на осуществление которых направлена эта цель безопасности, а также к предположениям, поддерживаемым данной целью безопасности.

ASE_OBJ.2.4C

В "Обосновании целей безопасности" должно быть продемонстрировано, что цели безопасности направлены на противостояние всем идентифицированным угрозам.

ASE_OBJ.2.5C

В "Обосновании целей безопасности" должно быть продемонстрировано, что цели безопасности направлены на осуществление всех политик безопасности.

ASE_OBJ.2.6C

В "Обосновании целей безопасности" должно быть продемонстрировано, что цели безопасности для среды функционирования поддерживают все предположения.

Элементы действий испытательной лаборатории

ASE_OBJ.2.1E

Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_OBJ.2.1C - ASE_OBJ.2.6C.

Замечания по применению: испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 9.6.2 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".

ASE_REQ.2

Производные требования безопасности

Зависимости:

ASE_OBJ.2 Цели безопасности;

ASE_ECD.1 Определение расширенных компонентов.

Элементы действий заявителя (разработчика, производителя)

ASE_REQ.2.1D

Заявитель (разработчик, производитель) должен представить в ЗБ изложение "Требований безопасности".

ASE_REQ.2.2D

Заявитель (разработчик, производитель) должен представить в ЗБ "Обоснование требований безопасности".

Элементы содержания и представления документированных материалов

ASE_REQ.2.1C

Изложение "Требований безопасности" должно содержать описание ФТБ и ТДБ.

ASE_REQ.2.2C

Все субъекты, объекты, операции, атрибуты безопасности, внешние сущности и другие понятия, использующиеся в ФТБ и ТБД, должны быть определены.

ASE_REQ.2.3C

В изложении "Требований безопасности" должны быть идентифицированы все выполненные над требованиями безопасности операции.

ASE_REQ.2.4C

Все операции должны быть выполнены правильно.

ASE_REQ.2.5C

Каждая зависимость от "Требований безопасности" должна быть либо удовлетворена, либо должно приводиться обоснование неудовлетворения зависимости.

ASE_REQ.2.6C

В "Обосновании требований безопасности" должно быть представлено прослеживание каждого ФТБ к целям безопасности для ОО.

ASE_REQ.2.7C

В "Обосновании требований безопасности" должно быть продемонстрировано, что ФТБ обеспечивают выполнение всех целей безопасности для ОО.

ASE_REQ.2.8C

В "Обосновании требований безопасности" должно приводиться пояснение того, почему выбраны определенные ТДБ.

ASE_REQ.2.9C

Изложение "Требований безопасности" должно быть внутренне непротиворечивым.

Элементы действий испытательной лаборатории

ASE_REQ.2.1E

Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_REQ.2.1C - ASE_REQ.2.9C.

Замечания по применению: испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 9.8.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".

ASE_SPD.1

Определение проблемы безопасности

Зависимости:

отсутствуют.

Элементы действий заявителя (разработчика, производителя)

ASE_SPD.1.1D

Заявитель (разработчик, производитель) должен представить в ЗБ "Определение проблемы безопасности".

Элементы содержания и представления документированных материалов

ASE_SPD.1.1C

"Определение проблемы безопасности" должно включать в себя описание угроз.

ASE_SPD.1.2C

Описание всех угроз должно проводиться в терминах источника угрозы, активов и негативного действия.

ASE_SPD.1.4C

"Определение проблемы безопасности" должно содержать описание предположений относительно среды функционирования ОО.

Элементы действий испытательной лаборатории

ASE_SPD.1.1E

Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_SPD.1.1C - ASE_SPD.1.4C.

Замечания по применению: испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 9.5.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий".

ASE_TSS.1

Краткая спецификация ОО

Зависимости:

ASE_INT.1 Введение ЗБ;

ASE_REQ.1 Установленные требования безопасности;

ADV_FSP.1 Базовая функциональная спецификация.

Элементы действий заявителя (разработчика, производителя)

ASE_TSS.1.1D

Заявитель (разработчик, производитель) должен представить в ЗБ "Краткую спецификацию ОО".

Элементы содержания и представления документированных материалов

ASE_TSS.1.1C

"Краткая спецификация ОО" должна описывать, каким образом ОО выполняет каждое ФТБ, а также описывать меры доверия, направленные на реализацию ТДБ.

Элементы действий испытательной лаборатории

ASE_TSS.1.1E

Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в ASE_TSS.1.1C.

ASE_TSS.1.2E

Испытательная лаборатория должна подтвердить, что "Краткая спецификация ОО" не противоречит "Аннотации ОО" и "Описанию ОО".

Замечания по применению: испытательная лаборатория должна выполнять указанные действия в соответствии с пунктом 9.9.1 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 18045 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий". Дополнительно должно быть проанализировано покрытие ТДБ мерами доверия.