Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности

     9.7 Требования безопасности ИТ, сформулированные в явном виде (ASE_SRE)

9.7.1 Цели

Если после тщательного рассмотрения окажется, что ни один из компонентов требований ИСО/МЭК 15408-2 или настоящего стандарта неприменим непосредственно ко всем или к части требований безопасности ИТ, разработчик ЗБ может сформулировать другие требования, которые не имеют ссылки на ИСО/МЭК 15408. Использование таких требований должно быть логически обосновано.

Данное семейство содержит требования оценки, позволяющие оценщику сделать заключение, что сформулированные в явном виде требования четко и однозначно выражены. Оценка требований по ИСО/МЭК 15408, используемых наряду со сформулированными в явном виде требованиями безопасности, определяется семейством ASE_REQ "Требования безопасности ИТ".

Сформулированные в явном виде требования безопасности ИТ для OO, представленные или указанные в ЗБ, требуется оценить для демонстрации четкости и однозначности их выражения.

9.7.2 Замечания по применению

Формулировка в явном виде требований по структуре, сопоставимой со структурой существующих компонентов и элементов по ИСО/МЭК 15408, включает в себя выбор подобной маркировки, способа выражения и уровня детализации.

Использование требований ИСО/МЭК 15408 в качестве образца означает, что требования могут быть четко идентифицированы, что они автономны, и что применение каждого требования возможно и даст значимый результат оценки, основанный на изложении соответствия ОО этому конкретному требованию.

Термин "требования безопасности ИТ" подразумевает "требования безопасности OO" с возможным включением "требований безопасности для среды ИТ".

Термин "требования безопасности OO" подразумевает "функциональные требования безопасности OO" и/или "требования доверия к безопасности OO".

Элементы APE_SRE.1.5С и APE_SRE.1.6С требуют, чтобы сформулированные в явном виде требования безопасности ИТ должны быть измеримыми, объективными, а также четко и однозначно выраженными. Имеющиеся в ИСО/МЭК 15408 функциональные требования и требования доверия должны использоваться как образец.

9.7.3 ASE_SRE.1 Задание по безопасности, требования безопасности ИТ, сформулированные в явном виде, требования оценки

Зависимости: ASE_REQ.1 Задание по безопасности, требования безопасности ИТ, требования оценки

9.7.3.1 Элементы действий разработчика

9.7.3.1.1 ASE_SRE.1.1D

Разработчик должен представить изложение требований безопасности ИТ как часть ЗБ.

9.7.3.1.2 ASE_SRE.1.2D

Разработчик должен представить обоснование требований безопасности.

9.7.3.2 Элементы содержания и представления свидетельств

9.7.3.2.1 ASE_SRE.1.1С

Все требования безопасности OO, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408, должны быть идентифицированы.

9.7.3.2.2 ASE_SRE.1.2C

Все требования безопасности для среды ИТ, которые сформулированы в явном виде без ссылки на ИСО/МЭК 15408, должны быть идентифицированы.

9.7.3.2.3 ASE_SRE.1.3C

Свидетельство должно содержать логическое обоснование, почему требования безопасности должны быть сформулированы в явном виде.

9.7.3.2.4 ASE_SRE.1.4C

Сформулированные в явном виде требования безопасности ИТ должны использовать компоненты, семейства и классы требований ИСО/МЭК 15408 как образец для представления.

9.7.3.2.5 ASE_SRE.1.5C

Сформулированные в явном виде требования безопасности ИТ должны быть измеримы и устанавливать такие объективные требования оценки, чтобы соответствие или несоответствие им ОО могло быть определено и последовательно продемонстрировано.