Структура
У названий стандарт ISO 15408 входять три частини:
- Введення і загальне уявлення.
- Функціональні вимоги до безпеки.
- Вимоги гарантованості безпеки.
З цього списку стає зрозуміло, що загальними критеріями передбачено два типи вимог до захисту інформації: функціональні і гарантовані. Перші мають відношення до сервісів безпеки, які включають аутентифікацію, ідентифікацію, управління доступом, аудит та інше. Гарантованість включає технологію розробки, тестування, аналізу вразливості, експлуатації, супроводу та інше.
Всі класи безпеки та вимоги до них мають загальний стиль і організовані в ієрархію. Між ними можуть існувати залежності за умови недостатності можливостей компонента для виконання мети безпеки і необхідності в наявності іншого компонента.
Моделі загроз
Для ефективного використання і розробки профілю безпеки, у процесі його створення, виконується аналіз усіх загроз, які можуть бути здійснені щодо технології цієї групи. Під час цього складаються моделі загроз, які включають в себе наступне:
- життєвий цикл загрози;
- напрямок загрози;
- джерело;
- піддаються загрозі системи;
- потребують захисту активи;
- методи та алгоритми реалізації загрози;
- можливі проблеми;
- ризики та інші аспекти.
