Законодательная база Российской Федерации

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

9.8.1 Цели

Краткая спецификация ОО предоставляет определение в самом общем воде, функций безопасности, заявленных для удовлетворения функциональных. требований, и мер доверия, выбранных для удовлетворен ил требований доверия.

9.8.2 Замечания по применению

Отношение между функциями безопасности ИТ и функциональными требованиями безопасности ОО может быть отношением типа "многие ко многим". Тем не менее каждая функция безопасности должна способствовать удовлетворению, по меньшей мере, одного требования безопасности, чтобы можно было четко определить ФБО. Функции безопасности, несоответствующие этому требованию, обычно необязательны. Следует отметить, что требование о том, чтобы функция безопасности способствовала удовлетворению, по меньшей мере, одного требования безопасности, сформулировано в достаточно общем виде с тем, чтобы для всех функций безопасности, которые полезны для ОО, существовала бы возможность обоснования.

Изложение мер доверия уместно во всех случаях, когда в ЗБ включены требования доверия, не входящие в настоящий стандарт. Если требования доверия к ОО в 3Б основаны исключительно на оценочных уровнях доверия или других компонентах доверия из настоящего стандарта, то меры доверия могут быть представлены в форме ссылки на документы, которые указывают на удовлетворение требований доверил.

В компоненте ASE_TSS.1 "Задание по безопасности, краткая спецификация ОО, требования оценки" использованы несколько значений близких, по значению прилагательных ("соответствующий", "необходимый") для указания, что данные элементы допускают выбор в определенных случаях. Какой выбор является приемлемым, зависит от контекста ЗБ. Подробная информация по этим аспектам содержится в ИСО/МЭК15408-1, приложение В.

9.8.3 ASE_TSS.1 Задание по безопасности, краткая спецификация ОО, требования оценки

Зависимости: ASE_REG.1 Задание по безопасности, требования безопасности ИТ требования оценки

9.8.3.1 Элементы действий разработчика

9.8.3.1.1 ASE_TSS.1.1D

Разработчик должен представить краткую спецификацию ОО как часть ЗБ.

9.8.3.1.2 ASE_TSS.1.2D

Разработчик должен представить обоснование краткой спецификации ОО.

9.8.3.2 Элементы содержания и представления свидетельств

9.8.3.2.1 ASE_TSS.1.1С

Краткая спецификация ОО должна содержать описание функций безопасности ИТ и мер доверия к ОО.

9.8.3.2.2 ASE_TSS.1.2C

Краткая спецификация ОО должна сопоставить функции безопасности ИТ и функциональные требования безопасности ОО так, чтобы можно было отметить, какие функции безопасности ИТ каким функциональным требованиям безопасности ОО удовлетворяют, и что каждая функция безопасности ИТ способствует удовлетворению. по меньшей мере, одного функционального требования безопасности ОО.

9.8.3.2.3 ASE.TSS.1.3C

Функции безопасности ИТ должны быть определены в неформальном стиле на уровне детализации, необходимом для понимания их назначения.

9.8.3.2.4 ASE_TSS.1.4C

Все ссылки на механизмы безопасности, включенные в ЗБ, должны быть сопоставлены с соответствующими функциями безопасности так, чтобы можно было отметить, какие механизмы безопасности использованы при реализации каждой функции.

9.8.3.2.5 ASE_TSS.1.5C

Обоснование краткой спецификации ОО должно демонстрировать, что функции безопасности ИТ пригодны для удовлетворения функциональных требований безопасности ОО.

9.8.3.2.6 ASE_TSS.1.6C

Обоснование кратной спецификации ОО должно демонстрировать, что сочетание специфицированных функций безопасности ИТ а совокупности способно удовлетворить функциональные требования безопасности ОО.

9.8.3.2.7 ASE_TSS.1.7C

Краткая спецификация ОО должна сопоставить меры и требования доверия так, чтобы можно было отметить, какие меры способствуют удовлетворению каких требований.

9.8.3.2.8. ASE_TSS.1.8C

Обоснование кратком спецификации ОО должно демонстрировать, что меры доверия удовлетворяют всем требованиям доверии к ОО.

9.8.3.2.9 AEE_TSS.1.9C

Краткая спецификация ОО должна идентифицировать все функции безопасности ИТ, которые реализованы вероятностным или перестановочным механизмом соответственно.

9.8.3.2.10 ASE_TSS.1.10С

Краткая спецификация ОО должна установить для каждой функции безопасности ИТ, для которой это необходимо, требование стойкости функции либо по специальной метрике, либо как базовую, среднюю или высокую СФБ.

9.8.3.3 Элементы действий оценщика

9.8.3.3.1 ASE_TSS.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

9.8.3.3.2 ASE_TSS.1.2E

Оценщик должен подтвердить, что краткая спецификация ОО является полной, логически последовательной и внутренне непротиворечивой.