Последнее обновление: 22.04.2024
Законодательная база Российской Федерации
8 (800) 350-23-61
Бесплатная горячая линия юридической помощи
- Главная
- "МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)
9.7 Требования безопасности ИТ, сформулированные в явном виде (ASE_SRE)
9.7.1 Цели
Если после тщательного рассмотрения окажется, что ни один из компонентов требований ИСО/МЭК 15408-2 или настоящего стандарта не применим непосредственно ко всем или к части требований безопасности ИТ, разработчик ЗБ может сформулировать другие требования, которые не имеют ссылки на ИСО/МЭК 15408. Использование таких требований должно быть логически обосновано.
Данное семейство содержит требования оценки, позволяющие оценщику сделать заключение, что сформулированные в явном виде требования четко и, однозначно выражены. Оценка требовании по ИСО/МЭК 15408, используемым наряду со сформулированными в явном виде требованиями безопасности, определяется семейством ASE_REQ "Требования безопасности ИТ".
Сформулированные в явном виде требован ил безопасности ИТ для ОО, представленные или указанные в ЗБ, требуется оценить для демонстрации четкости и однозначности их выражения.
9.7.2 Замечания по применению
Формулировка в явном виде требований по структуре, сопоставимой со структурой существующих компонентов и элементов по ИСО/МЭК 15408, включает в себя выбор подобной маркировки, способа выражения и уровне детализации.
Использование требований ИСО/МЭК 15408 в качество образца означает, что требования могут быть четко идентифицированы, что они автономны, и что применение каждого требования возможно и даст значимый результат оценки, основанный на изложении соответствия ОО этому конкретному требованию.
Термин "требования безопасности ИТ" подразумевает "требования безопасности ОО" с возможным включением "требований безопасности для среды ИТ".
Термин "требования безопасности ОО" подразумевает "функциональные требования безопасности OO" и/или "требования доверия к безопасности ОО".
Элементы APE_SRE.1.5C и APE_SRE.1.6C требуют, чтобы сформулированные в явном виде требования безопасности ИТ должны быть измеримыми, объективными, а также четко и однозначно выраженными. Имеющиеся в ИСО/МЭК 15408 функциональные требования и требования доверия должны использоваться как образец.
9.7.3 ASE_SRE.1 Задание по безопасности, требования безопасности ИТ, сформулированные в явном виде, требования оценки
Зависимости: ASE_REQ.1 Задание по безопасности, требования безопасности ИТ, требования оценки
9.7.3.1 Элементы действий разработчика
9.7.3.1.1 ASE_SRE.1.1D
Разработчик должен представить изложение требований безопасности ИТ как часть ЗБ.
Разработчик должен представить обоснование требований безопасности,
9.7.3.2 Элементы содержания и представления свидетельств
9.7.3.2.1 ASE_SRE.1.1С
Все требования безопасности ОО, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408, должны быть идентифицированы.
9.7.3.2.2 ASE_5RE.1.2C
Все требования безопасности для среды ИТ, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408, должны быть идентифицированы.
97.3.2.3 ASE_SRE.1.3C
Свидетельство должно содержать логическое обоснование, почему требования безопасности должны быть сформулированы в явном виде.
Сформулированные в явном виде требования безопасности ИТ должны: использовать компоненты, семейства и классы требований ИСО/МЭК 15408 как образец для представления.
9.7.3.2.5 ASE_SRE.1.5C
Сформулированные в явном виде требования безопасности ИТ должны быть измеримы и устанавливать такие объективные требования оценки, чтобы соответствие или несоответствие им ОО могло быть определено и последовательно продемонстрировано.
9.7.3.2.6 ASE_SRE.1.6C
Сформулированные в явном виде требования безопасности ИТ должны быть четко и недвусмысленно выражены.
9.7.3.2.7 ASE_SRE.1.7C
Обоснование требований безопасности должно демонстрировать, что требования доверия применимы и пригодны для поддержки каждого на сформулированных в явном виде функциональных требований безопасности ОО.
9.7.3.3 Элементы действий оценщика
9.7.3.3.1 ASE_SRE.1.1E
Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.
9.7.3.3.2 ASE_SRE.1.2E
Оценщик должен определить, что все зависимости сформулированных в явном виде требований безопасности ИТ были идентифицированы.
- Главная
- "МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)