ИСО/МЭК 15408 состоит из нескольких отдельных, но взаимосвязанных частей, перечисленных ниже. Термины, используемые при описании отдельных частей ИСО/МЭК 15408, приведены в разделе 6.
- Часть 1 «Введение и общая модель» является введением в ИСО/МЭК 15408. В ней определяются общие понятия и принципы оценки безопасности ИТ и приводится общая модель оценки.
- Часть 2 «Функциональные компоненты безопасности» устанавливает совокупность функциональных компонентов, предназначенных для использования в качестве стандартных шаблонов, на основе которых следует устанавливать функциональные требования к ОО. ИСО/МЭК 15408–2 содержит каталог функциональных компонентов, систематизированных по семействам и классам.
- Часть 3 «Компоненты доверия к безопасности» устанавливает совокупность компонентов доверия, предназначенных для использования в качестве стандартных шаблонов, на основе которых следует устанавливать требования доверия к ОО. ИСО/МЭК 15408–3 содержит каталог компонентов доверия, систематизированных по семействам и классам. Кроме того, в ИСО/МЭК 15408–3 определены критерии оценки профилей защиты и заданий по безопасности и представлены семь предопределенных пакетов доверия, которые названы оценочными уровнями доверия (ОУД).
В поддержку трех частей ИСО/МЭК 15408, перечисленных выше, опубликованы и другие документы. Например, ИСО/МЭК 18045 предоставляет методологию оценки безопасности ИТ, используя ИСО/МЭК 15408 как основу. Предполагается, что будут опубликованы и другие документы, включая нормативно–методические материалы и руководства.
В таблице 1 показано, в каком качестве различные части ИСО/МЭК 15408 будут представлять интерес для каждой из трех основных групп пользователей ИСО/МЭК 15408.
Таблица 1 — Использование частей ИСО/МЭК 15408 основными группами пользователей
Часть ИСО/МЭК 15408 | Оценщики | ||
1 | Используют для получения общих сведений и должны использовать в качестве справочного руководства и руководства по структуре профилей защиты | Используют для получения общих сведений и в качестве справочного руководства. Должны использовать при разработке спецификаций безопасности для объектов оценки | Должны использовать в качестве справочного руководства и руководства по структуре профилей защиты и заданий по безопасности |
2 | Используют в качестве руководства и справочника при формулировании требований для ОО | Должны использовать в качестве справочника при интерпретации изложения функциональных требований и формулировании функциональных спецификаций для объектов оценки | Должны использовать в качестве справочного руководства при интерпретации изложения функциональных требований |
3 | Используют в качестве руководства при определении требуемых уровней доверия | Используют в качестве справочника при интерпретации изложения требований доверия и определении подходов к установлению доверия к объектам оценки | Используют в качестве справочного руководства при интерпретации изложения требований доверия |
[из 5.4 Части ГОСТ Р ИСО/МЭК 15408–1–2012]