Вопрос 1: Описание функциональных требований на примере класса FCO "Связь" в ГОСТ Р ИСО/МЭК 15408

Вопрос 2: Основные понятия и идеи Общих Критериев в ГОСТ Р ИСО/МЭК 15408

ОК содержат 2 основных требования вида безопасности:

функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим им механизмам;

требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.

Требования безопасности формулируются и их выполнение проверяется для определённого объекта оценки (ОО), т. е. аппаратно-программного продукта ИТ или системы ИТ.

Безопасность в ОК рассматривается на жизненном цикле ОО.

Кроме того, объект оценки рассматривается в контексте среды безопасности, характеризующейся определёнными условиями и угрозами. Требования в общих критериях формулируются в документах 2 видов:

профиля защиты (ПЗ). Типовой набор требования, которым должны удовлетворять продукты и (или) системы определённого класса;

задания по безопасности (ЗБ). Содержит совокупность требований к конкретной разработке продукта или системы.

Системой ИТ называется специфичная реализация ИТ с конкретным назначением и условиями эксплуатации.

Продукт ИТ представляет собой совокупность средств ИТ

В среду безопасности объекта оценки включаются:

Законодательная среда

Административная среда

Процедурная среда

Программно-техническая среда

Угрозы безопасности объекту оценки, наличие которых в рассматриваемой среде установлено или предполагается. Они характеризуются следующими параметрами:

источник;

метод воздействия;

опасные с точки зрения закономерности использования уязвимости;

активы, потенциально подверженные повреждению.

При анализе рисков угроз принимается во внимание вероятность активации угрозы и её успешного осуществления, а также размер возможного ущерба.

По результатам анализа из множества допустимых угроз отбираются только те, ущерб от которых нуждается в уменьшении.

Для структуризации простраства требований в ОК введения иерархия Класс - Семейство - Компонент - Элемент.

ПЗ от ЗБ отличается двумя разделами. В ЗБ добавляются краткая спецификация объекта оценки и утверждение о соответствии профилю защиты.

При проведении оценки главными являются следующие вопросы:

Отвечают ли функции безопасности объекта оценки функциональным требованиям.

Конкретна ли реализация функции безопасности.

Если оба ответа положительны, то говорят о достижении целей безопасности.