3. Содержание задания по безопасности.

Задание по безопасности служит основой для проведения оценки ОО (объект оценки) с целью демонстрации соответствия его требованиям безопасности

Перед оценкой и в процессе оценки ЗБ определяет, "что должно быть оценено". В этой роли ЗБ служит основой для соглашения между разработчиком и оценщиком о точных характеристиках безопасности ОО и точной области оценки. Техническая правильность и полнота являются основными проблемными вопросами для этой роли.

После оценки ЗБ определяет, "что было оценено". В этой роли ЗБ служит основанием для соглашения между разработчиком или поставщиком ОО и потенциальным потребителем ОО. ЗБ описывает точные характеристики безопасности ОО в краткой форме, и потенциальный потребитель может доверять этому описанию, так как ОО был оценен на предмет удовлетворения данному ЗБ. Удобство использования и понятность являются основными проблемными вопросами для этой роли.

4. Оценка достаточности контрмер.

При оценке достаточность контрмер анализируется через конструкцию, называемую заданием по безопасности.

Задание по безопасности начинается с описания активов и угроз этим активам. Затем описываются контрмеры и демонстрируется, что они являются достаточными, чтобы противостоять описанным угрозам: если контрмеры осуществляют то, что заявлено по отношению к ним, то обеспечено противостояние угрозам

Далее в задании по безопасности контрмеры делятся на две группы:

a) цели безопасности для ОО: они описывают контрмеры, корректность которых будет определяться при оценке;

b) цели безопасности для среды функционирования: они описывают контрмеры, корректность которых не будет определяться при оценке.

5. Взаимосвязь параметров безопасности.

6. Методы обеспечения безопасности при использовании информационных технологий.

ГОСТ Р ИСО/МЭК 15408-1-2012

Настоящий стандарт устанавливает основные понятия и принципы оценки безопасности ИТ, а также определяет общую модель оценки.

В данном стандарте определяются различные операции, посредством которых функциональные компоненты и компоненты доверия могут быть доработаны для конкретного применения путем использования разрешенных операций.

В данном стандарте определяются ключевые понятия профилей защиты (ПЗ), пакетов требований безопасности, а также рассматриваются вопросы, связанные с утверждениями о соответствии; описываются выводы и результаты оценки.

В данном стандарте даны инструкции по спецификации заданий по безопасности (ЗБ) и описание структуры компонентов в рамках всей модели. Также дана общая информация о методологии оценки и области действия системы оценки.

В контексте оценки в стандарте используется термин "ОО" (объект оценки).

ОО определяется как набор программных, программно-аппаратных и/или аппаратных средств, возможно сопровождаемых руководствами.

Хотя бывают случаи, что ОО представляет собой продукт информационных технологий (ИТ), это не всегда так. ОО может быть продуктом ИТ, частью продукта ИТ, набором продуктов ИТ, уникальной технологией, которая может быть никогда не будет реализована в виде продукта, или сочетанием указанных вариантов.

7. Критерии оценки безопасности информационных технологий.

Результаты оценки помогают потребителям решить, удовлетворяет ли ОО их потребности в безопасности.

Так как в процессе оценки будет определяться, удовлетворяет ли ОО определенным требованиям, данная гибкость конфигурации может привести к проблемам, так как все возможные конфигурации ОО должны удовлетворять этим требованиям. По этим причинам частыми являются случаи, когда руководства как часть ОО строго ограничивают возможные конфигурации ОО. Таким образом, руководства ОО могут отличаться от общих руководств для продукта ИТ.