Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     8.3.5 Оценка раздела "Требования безопасности ИТ" (APE_REQ.1)

8.3.5.1 Цели

Цель данного подвида деятельности - сделать заключение, является ли описание требований безопасности ОО (как функциональных требований безопасности ОО, так и требований доверия к безопасности ОО) и требований безопасности для среды ИТ полным и непротиворечивым и обеспечивают ли данные требования безопасности адекватную основу для разработки ОО, который бы достигал своих целей безопасности.

8.3.5.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ПЗ.

8.3.5.3 Действие APE_REQ.1.1Е

8.3.5.3.1 Шаг оценивания APE_REQ.1-1

ИСО/МЭК 15408-3 APE_REQ.1.1С: Изложение функциональных требований безопасности ОО должно идентифицировать функциональные требования безопасности ОО, составленные из компонентов функциональных требований ИСО/МЭК 15408-2.

Оценщик должен проверить изложение функциональных требований безопасности ОО, чтобы сделать заключение, идентифицированы ли в нем функциональные требования безопасности ОО, составленные из компонентов функциональных требований по ИСО/МЭК 15408-2.

Оценщик делает заключение, что все компоненты функциональных требований безопасности ОО, взятые из ИСО/МЭК 15408-2, идентифицированы либо путем ссылки на отдельные компоненты по ИСО/МЭК 15408-2, либо путем воспроизведения их в ПЗ.

8.3.5.3.2 Шаг оценивания APE_REQ.1-2

Оценщик должен проверить, что каждая ссылка на компонент функциональных требований безопасности ОО является правильной.

Для каждой ссылки на компонент функционального требования безопасности ОО по ИСО/МЭК 15408-2 оценщик делает заключение, существует ли упомянутый компонент в ИСО/МЭК 15408-2.

8.3.5.3.3 Шаг оценивания APE_REQ.1-3

Оценщик должен проверить, что каждый компонент функциональных требований безопасности ОО, взятый из ИСО/МЭК 15408-2 и воспроизведенный в ПЗ, воспроизведен правильно.

Оценщик делает заключение, правильно ли воспроизведены требования в подразделе "Функциональные требования безопасности ОО"; при этом исследование разрешенных операций не проводится. Исследование правильности операций над компонентами осуществляется при выполнении шага оценивания APE_REQ.1-11.

8.3.5.3.4 Шаг оценивания APE_REQ.1-4

ИСО/МЭК 15408-3 APE_REQ.1.2C: Изложение требований доверия к ОО должно идентифицировать требования доверия к ОО, составленные из компонентов требований доверия ИСО/МЭК 15408-3.

Оценщик должен проверить изложение подраздела "Требования доверия к безопасности ОО", чтобы сделать заключение, идентифицированы ли в нем требования доверия к безопасности ОО, составленные из компонентов требований доверия ИСО/МЭК 15408-3.

Оценщик делает заключение, все ли компоненты требований доверия к безопасности ОО, взятые из ИСО/МЭК 15408-3, идентифицированы либо путем ссылки на некоторый ОУД, либо на отдельные компоненты из ИСО/МЭК 15408-3, либо путем их воспроизведения в ПЗ.

8.3.5.3.5 Шаг оценивания APE_REQ.1-5

Оценщик должен проверить, что каждая ссылка на компоненты требований доверия к безопасности ОО является правильной.

Для каждой ссылки на компонент требований доверия к безопасности ОО по ИСО/МЭК 15408-3 оценщик делает заключение, существует ли упомянутый компонент в ИСО/МЭК 15408-3.

8.3.5.3.6 Шаг оценивания APE_REQ.1-6

Оценщик должен проверить, что каждый компонент требований доверия к безопасности ОО, взятый из ИСО/МЭК 15408-3 и воспроизведенный в ПЗ, воспроизведен правильно.

Оценщик делает заключение, правильно ли воспроизведены требования в подразделе "Требования доверия к безопасности ОО"; при этом исследование выполнения разрешенных операций не проводится. Исследование правильности операций над компонентами осуществляется при выполнении шага оценивания APE_REQ.1-11.

8.3.5.3.7 Шаг оценивания APE_REQ.1-7

ИСО/МЭК 15408-3 APE_REQ.1.3C: В изложение требований доверия к ОО следует включить оценочный уровень доверия (ОУД), как определено в ИСО/МЭК 15408-3.

Оценщик должен исследовать изложение подраздела "Требования доверия к безопасности ОО", чтобы сделать заключение, содержит ли оно ОУД, определенный в ИСО/МЭК 15408-3, либо в нем логически обосновано отсутствие ОУД.