Законодательная база Российской Федерации

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

9.6.1 Цели

Требования безопасности ИТ, выбранные для ОО и представленные, или указанные в ЗБ. необходимо оценить для подтверждения их внутренней непротиворечивости и пригодности для разработки ОО, соответствующего целям его безопасности.

Данное семейство представляет требования оценки, позволяющие оценщику принять решение о том, что ЗБ пригодно для использования в качестве изложения требований к соответствующему ОО. Дополнительные критерии, необходимые для оценки требований, сформулированных в явном виде, приведены в семействе ASE_SRE "Требования безопасности ИТ, сформулированные в явном виде".

9.6.2 Замечания по применению

Термин "требования безопасности ИТ" подразумевает "требования безопасности ОО" с возможным включением "требований безопасности для среды ИТ".

Термин "требования безопасности ОО" подразумевает "функциональные требования безопасности ОО" и/или "требования доверия к безопасности ОО".

В компоненте ASE_REQ.1 "Задание по безопасности, требования безопасности ИТ, сформулированные в явном виде, требования оценки" использованы несколько значении, близких по значению прилагательных ("соответствующий" "необходимый", "приемлемый", "целесообразный") для указания на то, что данные элементы допускают выбор в определенных случаях. То, какой выбор является приемлемым, зависит от контекста ЗБ. Подробная информация по этим аспектам содержится в ИСО/МЭК 15408-1, приложение В.

ИСО/МЭК 15408 предусматривает возможность выделения нескольких доменов СФБ в рамках конкретного ОО. Домен СФБ является подмножеством ОО (логическим или физическим), для которого является необходимым определенный уровень стойкости функции безопасности в контексте предопределенной среды. Это позволяет ОО для некоторых функциональных возможностей иметь более высокое требование к "минимальной стойкости функции", чем для других функциональных возможностей. Для ОО с несколькими доменами СФБ словосочетание "минимальная стойкость функции" используется для указания набора, содержащего определение минимальной стойкости функции для каждого домена. Кроме того, в обосновании требований должен быть рассмотрен уровень СФБ для каждого домена в свете того, какое влияние данный домен оказывает на удовлетворение целей безопасности.

9.6.3 ASE_REG.1 Задание по безопасности, требования безопасности ИТ, требования оценки

Зависимости: ASE_OBJ.1 Задание по безопасности, цели безопасности, требования оценки

9.6.3.1 Элементы действий разработчика

9.6.3.1.1 ASE_REQ.1.1D

Разработчик должен представить изложение требований безопасности ИТ как часть 3Б.

9.6.3.1.2 ASE_REQ.1.2D

Разработчик должен представить обоснование требований безопасности.

9.6.3.2 Элементы содержания и представления свидетельств

9.6.3.2.1 ASE_REQ.1.1С

Изложение функциональных требований безопасности ОО должно идентифицировать функциональные требования безопасности ОО, составленные из компонентов функциональных требований ИСО/МЭК 15408-2.

9.6.3.2.2 ASE_REQ.1.2C

Изложение требований доверия к ОО должно идентифицировать требования доверия к ОО, составленные из компонентов требований доверия настоящего стандарта.

9.6.3.2.3 ASE_REQ.1.3С

В изложение требований доверия к ОО следует включить оценочный уровень доверия (ОУД), как определено в настоящем стандарте.

9.6.3.2.4 ASE_REO.1.4C

Свидетельство должно содержать логическое обоснование, что изложение требований доверия к ОО является соответствующим.

9.6.3.2.5 ASE_REQ.1.5C

ЗБ должно, при необходимости, идентифицировать каждое требование безопасности для среды ИТ.

9.6.3.2.6 ASE_REQ.1.6С

Операции, предусмотренные в требованиях безопасности ИТ, включенных в ЗБ, должны быть идентифицированы и выполнены.

9.6.3.2.7 ASE_REQ.1.7C

Зависимости между требованиями безопасности ИТ, включенными в 35, следует удовлетворить.

9.6.3.2.8 ASE_REQ.1.8C

Свидетельство должно содержать логической обоснование каждого неудовлетворения зависимостей.

9.6.3.2.9 ASE_REQ.1.9C

ЭБ должно включать в себя изложение приемлемого минимального уровня стойкости функций безопасности (СФБ) для функциональных требований безопасности ОО: базовой, средней или высокой СФБ.

9.6.3.2.10 ASE_REQ.1.10C

При изложении требований безопасности должны быть идентифицированы все функциональные требования безопасности, для которых требуется явное заявление стойкости функции, с явным заявлением стойкости функции для каждого такого функционального требования безопасности.

9.6.3.2.11 ASE_REQ.1.11C

Обоснование требований безопасности должно демонстрировать, что минимальный уровень стойкости функции в ЗБ, как и каждое явное указание стойкости функции, согласуются с целями безопасности ОО,

9.6.3.2.12 ASE_REQ.1.12С

Обоснование требований безопасности должно демонстрировать, что требования безопасности ИТ пригодны для достижения целей безопасности,

9.6.3.2.13 ASЕ_REQ.1.13C

Обоснование требований безопасности должно демонстрировать, что совокупность требований безопасности ИТ образует взаимно согласованное и внутренне непротиворечивое целое.

9.6.3.3 Элементы действий оценщика

9.6.3.3.1 ASE_REQ.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

9.6.3.3.2 ASE_REQ.1.2E

Оценщик должен подтвердить, что описание требований безопасности ИТ является полным, логически последовательным и внутренне непротиворечивым.