Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     8.8 Требования безопасности (APE_REQ)

8.8.1 Подвид деятельности по оценке (APE_REQ.1)

8.8.1.1 Цели

Цель этого подвида деятельности - сделать заключение, является ли описание требований безопасности (как функциональных требований безопасности, так и требований доверия к безопасности) четким, недвусмысленным, полным и внутренне непротиворечивым.

8.8.1.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ПЗ.

8.8.1.3 Действие APE_REQ.1.1E

ИСО/МЭК 15408-3 APE_REQ.1.1C: Изложение "Требований безопасности" должно содержать описание ФТБ и ТДБ.

8.8.1.3.1 Шаг оценивания APE_REQ.1-1

Оценщик должен проверить, что изложение "Требований безопасности" описывает функциональные требования безопасности.

Оценщик делает заключение о том, что каждое ФТБ идентифицировано одним из следующих способов:

a) ссылкой на конкретный компонент ИСО/МЭК 15408-2;

b) ссылкой на расширенный компонент в "Определении расширенных компонентов" ПЗ;

c) ссылкой на ПЗ, о соответствии с которым утверждается в ПЗ;

d) ссылкой на пакет требований безопасности, о соответствии с которым утверждается в ПЗ;

e) с помощью воспроизведения в ПЗ.

Не обязательно использовать одинаковые способы идентификации для всех ФТБ.

8.8.1.3.2 Шаг оценивания APE_REQ.1-2

Оценщик должен проверить, что изложение "Требований безопасности" описывает требования доверия к безопасности.

Оценщик делает заключение о том, что каждое ТДБ идентифицировано одним из следующих способов:

a) ссылкой на конкретный компонент ИСО/МЭК 15408-3;

b) ссылкой на расширенный компонент в "Определении расширенных компонентов" ПЗ;

c) ссылкой на ПЗ, о соответствии с которым утверждается в ПЗ;

d) ссылкой на пакет требований безопасности, о соответствии с которым утверждается в ПЗ;

e) с помощью воспроизведения отображения в ПЗ.

Не обязательно использовать одинаковые способы идентификации для всех ТДБ.

ИСО/МЭК 15408-3 APE_REQ.1.2C: Все субъекты, объекты, операции, атрибуты безопасности, внешние сущности и другие понятия, используемые в ФТБ и ТДБ, должны быть определены.

8.8.1.3.3 Шаг оценивания APE_REQ.1-3

Оценщик должен исследовать ПЗ для того, чтобы сделать заключение о том, что все субъекты, объекты, операции, атрибуты безопасности, внешние сущности и другие понятия, используемые в ФТБ и ТДБ, определены.