Вопрос 1: Описание функциональных требований на примере класса FCO "Связь" в ГОСТ Р ИСО/МЭК 15408

Вопрос 15: Основные понятия и идеи Общей методологии оценки безопасности ИТ. Входная и выходная задачи, задача оценки

подписали соглашение о признании сертификатов по ОК в области безопасности ОТ. Участие в соглашении предусматривает соблюдение 2 независимых условий:

признание сертификатов, выданных соответствующими органами других стран-участниц;

возможность осуществления подобной сертификации.

соглашение предусматривает жёсткий контроль при получении и подтверждении этого права

Основная цель ОМО — добиться объективности, повторяемости и воспроизводимости. В процессе оценки выделяются задачи:

входная задача;
задача оценки;
выходная задача.

Входная задача имеет дело с представленными для оценки свидетельствами. Её назначение — убедиться, что версии свидетельств корректны и должным образом защищены.

На всех этапах оценки должна обеспечиваться конфиденциальность.

Задача оценки в общем случае разбивается на следующие подзадачи:

оценка ЗБ,
оценка управления конфигурацией ОО,
оценка документации по передаче ОО потребителю и эксплуатационная документация,
оценка документации разработчиков,
оценка руководств,
оценка поддержки жизненного цикла объекта оценки,
оценка тестов,
оценка анализа уязвимостей.

Необходимый элемент проверки — проверка внутренней согласованности каждого из представленных свидетельств, а также внешние взаимные согласованности различных свидетельств.

Внутренняя согласованность проверяется в первую очередь для сущностей, имеющих несколько представлений для спецификаций проекта всех уровней, для руководств.

Проверка внешней согласованности производится для описания функций, параметров безопасности, процедур и событий, связанных с безопасностью, поскольку эти описания могут содержаться в разных документах.

Внутренняя несогласованность высокоуровневых сущностей может иметь глобальные последствия для процесса оценки, например выявление противоречий в целях безопасности.

ЗБ среди других характеристик ОО определяет его границы и спектр рассматриваемых угроз, следовательно, процесс и результат оценки одного и того же продукта в сочетании с разными ЗБ могут быть разными. Например, если в ОО содержатся средства межсетевого экранирования и поддержки виртуальных частных сетей, но в ЗБ предусмотрено исключительно защита внутренней сети от внешних устройств, то средство ВЧС функций важны в этом случае лишь в контексте возможности обхода средств экранирования.

ОМО предписывает следующую структуру подобных отчётов:

введение;
архитектурное (высокоуровневое описание объекта оценки с рассмотрением основных компонент);
описание процесса оценки, применённых методов, методологический инструмент, средства и стандарты;
представления результатов оценки, выводы и рекомендации;
список представленных свидетельств;
список сокращений, словарь терминов;
словарь замечаний.