Законодательная база Российской Федерации

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

8.6.1 Цепи

Если после тщательного рассмотрения окажется, что ни один из компонентов требований ИСО/МЭК 15408-2 или настоящего стандарта не применим непосредственно но всем или к части требований безопасности ИТ, разработчик ПЗ может сформулировать другие требования, которые не имеют ссылки на ИСО/МЭК 15408. Использование таким требований должно быть логически обосновано.

Данное семейство содержит требования оценки, позволяющие оценщику сделать заключение, что сформулированные в явном виде требования четко и однозначно выражены. Оценка требований по ИСО/МЭК 15408, используемых, наряду со сформулированными в явном виде требованиями безопасности, определяется семейством APE_REQ "Требования безопасности ИТ".

Сформулированные в явном виде требования безопасности ИТ для ОО, представленные или указанные в ПЗ, требуется оценить для демонстрации четкости и однозначности их выражения.

8.6.2 Замечания по применению.

Формулировка в новом виде требований по структуре, сопоставимой со структурой существующих компонентов и элементов по ИСО/МЭК 15408, включает в себя выбор подобной маркировки, способа выражения и уровня детализации.

Использование требований ИСО/МЭК 15408 в качестве образца означает, что требования могут быть четко идентифицированы, что они автономны, что применение каждого требования возможно, и даст значимый результат оценки, основанный на анализе соответствия ОО конкретному требованию.

Термин "требования безопасности ИТ" подразумевает "требования безопасности ОО" с возможным включением "требований безопасности для среды ИТ".

Термин "требования безопасности ОО" подразумевает "функциональные требования безопасности ОО" и/или "требования доверия к безопасности ОО".

Элементы APE_SRЕ.1.5C и APE_SRЕ.1.60 требуют, чтобы сформулированные в явном виде требования безопасности ИТ были измеримыми и объективными, а также четко и однозначно выраженными. Имеющиеся в ИСО/МЭК 15408 функциональные требования и требования доверия должны использоваться как образец.

8.6.3 APE_SRE.1 Профиль защиты, требования безопасности ИТ, сформулированные а явном виде, требования оценки

Зависимости: APE_REQ.1 Профиль защиты, требования безопасности ИТ, требования оценки.

8.6.3.1 Элементы действий разработчика.

8.6.3.1.1 APE_SRE.1.1D

Разработчик ПЗ должен представить изложение требований безопасности ИТ как часть ПЗ.

8.6.3.1.2 APE_SRE.1.2D

Разработчик ПЗ должен представить обоснование требований безопасности.

8.6.3.2 Элементы содержания и представления свидетельств.

8.6.3.2.1 APE_SRE.1.1C

Все требования безопасности ОО, которые сформулированы а явном виде без ссылки на ИСО/МЭК 15408, должны быть идентифицированы.

8.6.3.2.2 APE_SRE.1.2C

Все требования безопасности для среды ИТ, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408, должны быть идентифицированы.

8.6.3.2.3 APE_SRE.1.3C

Свидетельство должно содержать логическое обоснование, почему требования безопасности должны быть сформулированы в явном виде.

8.6.3.2.4 APE_SRE.1.4C

Сформулированные в явном виде требования безопасности ИТ должны использовать компоненты, семейства и классы требований ИСО/МЭК 15408 как образец для представления.

8.6.3.2.5 APE_SRE.1.5C

Сформулированные в явном виде требования безопасности ИТ должны быть измеримы и устанавливать такие объективные требования оценки, чтобы соответствие или несоответствие им ОО могло быть определено и последовательно продемонстрировано.

8.6.3.2.6 APE_SRE.1.6C

Сформулированный в явном виде требования безопасности ИТ должны быть четко и недвусмысленно выражены.

8.6.3.2.7 APE_SRE.1.7C

Обоснование требований безопасности должно демонстрировать, что требования доверия применимы и пригодны для поддержки каждого из сформулированных в явном виде функциональных требований безопасности ОО.

8.6.3.3 Элементы действий оценщика.

8.6.3 3 1 APE_SRE.1.1Е

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

8.6.3.3.2 APE_SRE.1.2E

Оценщик должен определить, что все зависимости сформулированных в явном виде требований безопасности ИТ были идентифицированы.