Раздел "Среда безопасности ОО" должен содержать описание правил ПБОр, которым должен следовать ОО. В то же время, формулировка ПБОр может не включаться, если цели безопасности формулируются исключительно на основе угроз: другими словами, в случае, если аспекты среды безопасности ОО полностью определяются угрозами.
Под ПБОр понимается совокупность правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности. При необходимости, ПБОр может реализовываться ОО его средой либо некоторой их комбинацией.
Если ПЗ и ЗБ определяет и ПБОр, и угрозы, то следует кратко излагать в разделе "Среда безопасности ОО" аспекты среды безопасности ОО. Так, например, нецелесообразно включать в ПЗ и ЗБ правило ПБОр, являющееся простой переформулировкой угрозы.
Например, если идентифицирована угроза "Неуполномоченный субъект может получить логический доступ к ОО", то не имеет смысла включать в ПЗ и ЗБ следующее правило ПБОр: "Пользователи должны быть идентифицированы до предоставления им доступа".
Вышесказанное связано с тем, что сформулированное таким образом правило ПБОр не только просто переформулирует угрозу, но и заранее описывает цели безопасности.
Специфицировать соответствующие правила ПБОр имеет смысл в случаях, если ОО предполагается использовать в конкретных организациях, а также, если существует необходимость следования ОО ряду правил, которые не являются очевидными из описания угроз. Например:
a) идентификация применяемых правил управления информационными потоками;
b) идентификация применяемых правил управления доступом;
c) определение правил ПБОр для аудита безопасности;
d) решения, предписанные организацией, например, использование определенных криптографических алгоритмов или следование определенным стандартам.
Каждое правило ПБОр должно иметь уникальную метку.
Примеры правил ПБОр приведены в приложении B.