Вопрос 1: Описание функциональных требований на примере класса FCO "Связь" в ГОСТ Р ИСО/МЭК 15408

Вопрос 9: Основные понятия и классификация требований доверия безопасности в ГОСТ Р ИСО/МЭК 15408

ОК содержат 2 основных требования вида безопасности:

функциональные, соответствующие активному аспекту защиты

требования доверия, соответствующие пассивному аспекту

Требования безопасности формулируются и их выполнение проверяется для определённого объекта оценки (ОО), т. е. аппаратно-программного продукта ИТ или системы ИТ.

Безопасность в ОК рассматривается на жизненном цикле ОО.

Требования в общих критериях формулируются в документах 2 видов:

профиля защиты (ПЗ). Типовой набор требования, которым должны удовлетворять продукты и (или) системы определённого класса;

задания по безопасности (ЗБ). Содержит совокупность требований к конкретной разработке продукта или системы.

Системой ИТ называется специфичная реализация ИТ

Продукт ИТ представляет собой совокупность средств ИТ

Общие критерии, а именно 2 и 3 части являются каталогами требований безопасности.

Для структуризации простраства требований в ОК введения иерархия Класс - Семейство - Компонент - Элемент.

Классы определяют наиболее общую группировка требований. Семейства в пределах класса различаются по строгости и другим характерстикам. Компонент определяется минимальным набором требований, фигурирующим как единое целое. Элемент — это неделимое требование к безопасности.

Между критериями введены зависимости, когда компонент сам по себе недостаточен для достижения целей безопасности.

ПЗ от ЗБ отличается двумя разделами. В ЗБ добавляются краткая спецификация объекта оценки и утверждение о соответствии профилю защиты.

Часть 2 общих критериев описывает 11 классов, 66 семейств, 35 компонентов ФТБ и содержат требования о том, какие цели безопасности могут быть достигнуты при современном уровне ИТ и каким образом.

Функциональные компоненты могут быть не до конца конкретизированы в ОК, поэтому фактические параметры подставляются в ПЗ и ЗБ. Такая операция называется назначением.

В качестве параметров могут выступать, например такие сложные сущности, как политика безопасности.

Некоторые компоненты в ОК задаются с "запросом". В них включается список возможностей, из которых потом осуществляется выбор той, что необходима в конкретной ситуации. Например обнаружение и/или предотвращение определённых положений политики безопасности.

Любой функциональный компонент допускает операции по многократному использованию, например для охвата различных аспектов объекта оценки, называемые в ОК итерациями, а также уточнение и добавление дополнительных деталей.

Между компонентами ФТБ могут существовать зависимости. Они возникают, когда компонент не является самодостаточным и для своей реализации нуждается в привлечении других компонентов.

Классы ФТБ можно условно разделить в зависимости от того, описывают ли они элементарные сервисы безопасности или производные, реализуемые на основе элементарных; направлены ли они на достижение высокоуровневых целей безопасности или играю инфраструктурную роль.