Данный раздел содержит рекомендации по идентификации и спецификации целей безопасности в ПЗ или ЗБ.
Цели безопасности представляют собой краткую формулировку предполагаемой реакции на проблему безопасности. Краткость формулирования целей безопасности предполагает отсутствие необходимости глубокого рассмотрения деталей их достижения.
При этом цели безопасности следует расценивать как промежуточное звено, помогающее пользователю ПЗ и ЗБ отследить взаимосвязь между аспектами среды безопасности ОО и требованиями безопасности (см. рисунок 2).
Рисунок 2 - Роль и место целей безопасности в структуре профиля защиты и задания по безопасности
В ПЗ и ЗБ необходимо различать два типа целей безопасности (см. рисунок 2):
a) цели безопасности для ОО, которые должны достигаться применением контрмер, реализуемых ОО;
b) цели безопасности для среды ОО, которые должны достигаться применением технических мер, реализуемых ИТ-средой, или не ИТ-мер (например, организационных).
Деление целей безопасности на два типа (для ОО и его среды) позволяет в контексте среды безопасности ОО вкратце изложить, решение каких аспектов проблемы безопасности возлагается на ОО. Разделение ответственности за решение отдельных аспектов проблемы безопасности между ОО и его средой позволяет в некоторой степени снизить риск компрометации активов, требующих защиты. Более того, такое разделение ответственности при формулировании целей безопасности позволяет определить границы оценки безопасности ОО, так как цели безопасности ОО влияют как на выбор необходимых функциональных требований безопасности ОО, так и на определение уровня доверия к обеспечению безопасности ОО.