 |
Общие критерии. Сопутствующие документы
|
|
|
|
Рассмотренные три части общих критериев представляют собой законченный и самодостаточный стандарт. Дополнительные документы, используемые в рамках «Общих критериев», являются вспомогательными и призваны в первую очередь обеспечить лёгкую интерпретацию положений «Общих критериев» для тех или иных практических вариантов их применения.
Наибольший интерес среди сопутствующих «Общим критериям» материалов представляет документ «Руководящий документ. Безопасность информационных технологий. Общая методология оценки безопасности информационных технологий», более известный как «Общая методология оценки» (ОМО). Документ охватывает все виды деятельности по оценке, соответствующие классам доверия из части 3 ОК, входящим в оценочные уровни доверия 1-4, кроме связанных с оценкой профилей защиты и заданий по безопасности.
«Общая методология» описывает минимум действий, выполняемых оценщиком при проведении оценки по ОК, с использованием критериев и свидетельств оценки, определенных в ОК. Документ предназначен, прежде всего, для оценщиков, использующих ОК, и экспертов органов по сертификации, подтверждающих действия оценщиков.
Основные принципы ОМО:
Принципами ОМО являются:
· Объективность – результаты оценки основываются на фактических свидетельствах и не зависят от личного мнения оценщика.
· Беспристрастность – результаты оценки являются непредубежденными, когда требуется субъективное суждение.
· Воспроизводимость – действия оценщика, выполняемые с использованием одной и той же совокупности поставок для оценки, всегда приводят к одним и тем же результатам.
· Корректность – действия оценщика обеспечивают точную техническую оценку.
|
|
|
· Достаточность – каждый вид деятельности по оценке осуществляется до уровня, необходимого для удовлетворения всех заданных требований доверия.
· Приемлемость – каждое действие оценщика способствует повышению доверия, по меньшей мере, пропорционально затраченным усилиям.
Взаимосвязь между ОМО и частью 3 ОК показана на рис. 3.4.7.1.
Рис. 3.4.7.1. Взаимосвязь между ОК и ОМО
Тем самым, ОМО в основном представляет собой детализированную последовательность действий оценщика при проведении проверок по каждому из компонентов доверия части 3 ОК для ОУД 1-4. Для более высоких ОУД методология считается в настоящее время неопределённой.
Процесс оценки состоит из выполнения оценщиком задачи получения исходных данных для оценки, задачи оформления результатов оценки и подвидов деятельности по оценке (рис. 3.4.7.2).
По каждому элементу действий оценщик выносит вердикт – положительный или отрицательный. Общий вердикт является положительным тогда и только тогда, когда все составляющие вердикта положительные.
Результаты оценки оформляются в виде технического отчёта об оценке (ТОО), имеющего следующую структуру:
Введение
· идентификаторы системы сертификации;
· идентификаторы контроля конфигурации ТОО (название, дата, номер версии и т.д.);
· идентификаторы контроля конфигурации ЗБ и ОО;
· ссылка на ПЗ;
· идентификатор разработчика;
· идентификатор заявителя;
· идентификатор оценщика.
Рис. 3.4.7.2. Процесс оценки
Описание архитектуры ОО
· высокоуровневое описание ОО и его главных компонентов, основанное на проекте верхнего уровня.
Оценка
· методы, технологии, инструментальные средства и стандарты, применяемые при оценке;
· сведения об ограничениях, принятых при проведении оценки;
· правовые аспекты оценки, заявления о конфиденциальности и т.д.
Результаты оценки
|
|
|
Для каждого вида деятельности приводятся:
· название рассматриваемого вида деятельности;
· вердикт, сопровождаемый обоснованием, для каждого компонента доверия, определяющего этот вид деятельности, как результат выполнения соответствующего действия ОМО и составляющих его шагов оценивания.
|
|
|
