Перечень документов, которые могут быть предоставлены экспертами в ходе проведения аналитических работ
1. «Безопасность информационной среды»
Документ содержит описание проблемы безопасности информационной среды объекта Заказчика в терминах выбранного экспертами профиля защиты (используемая политика безопасности, условия использования объекта анализа, угрозы безопасности). Описание угроз дается в соответствии с их классами.
2. «Паспорт риска объекта»
Документ содержит наименование (идентификация) и основные характеристики подлежащих защите ресурсов информационной среды Заказчика.
3. «Паспорт риска ресурса»
Документ содержит подробное описание сущности и значение ценностной характеристики каждого идентифицированного ранее ресурса. Данный документ, за исключением некоторых формулировок, соответствует разделу профиля защиты «Цели безопасности».
4. «Модель нарушителя»
Документ содержит необходимую информацию о нарушителе, его цели и характеристики, представленные в унифицированной форме.
5. «Организационная политика безопасности»
Документ описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности.
6. «Условия безопасного использования объекта Заказчика»
Документ описывает требования к системе обеспечения безопасности объекта Заказчика на правильность управления и использования. Операционная среда должна управляться согласно принятой для данного профиля защиты нормативной документации, а также инструкций администраторов и пользователей.
7. «Функциональные требования безопасности»
Документ содержит уточненный для объекта Заказчика перечень компонент функций безопасности и описание взаимосвязи компонент.
8. «Требования гарантии достигаемой защищенности»
Документ содержит критерии оценки и описание компонент требований гарантированности, а также указание на уровень гарантированности.
9. «План защиты объекта Заказчика»
Документ содержит набор требований безопасности информационной среды объекта Заказчика, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде.
Все документы согласуются с Заказчиком и утверждаются им.