Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
5.6 Требования безопасности ИТ (ASE_REQ)
Цели
Требования безопасности ИТ, выбранные для ОО и представленные или указанные в ЗБ, необходимо оценить для подтверждения их внутренней непротиворечивости и пригодности для разработки ОО, отвечающего его целям безопасности.
Это семейство представляет требования оценки, которые позволяют оценщику принять решение, что ЗБ пригодно для использования в качестве изложения требований к соответствующему ОО. Дополнительные критерии, необходимые для оценки требований, сформулированных в явном виде, приведены в семействе ASE_SRE.
Замечания по применению
Термин "требования безопасности ИТ" подразумевает "требования безопасности ОО" с возможным включением "требований безопасности для среды ИТ".
Термин "требования безопасности ОО" подразумевает "функциональные требования безопасности ОО" и/или "требования доверия к ОО".
В компоненте ASE_REQ.1 использованы несколько значений термина "appropriate" ("соответствующий", "необходимый", "приемлемый", "целесообразный") для указания, что данные элементы допускают выбор в определенных случаях. Какой выбор является приемлемым, зависит от контекста ЗБ. Подробная информация по этим аспектам содержится в приложении В к части 1 ОК.
ASE_REQ.1 | Задание по безопасности, требования безопасности ИТ, требования оценки |
Зависимости | |
ASE_OBJ.1 | Задание по безопасности, цели безопасности, требования оценки |
Элементы действий разработчика | |
ASE_REQ.1.1D | Разработчик должен представить изложение требований безопасности ИТ как часть ЗБ. |
ASE_REQ.1.2D | Разработчик должен представить логическое обоснование требований безопасности. |
Элементы содержания и представления свидетельств | |
ASE_REQ.1.1C | Изложение функциональных требований безопасности ОО должно идентифицировать функциональные требования безопасности ОО, составленные из компонентов функциональных требований из части 2 ОК. |
ASE_REQ.1.2C | Изложение требований доверия к ОО должно идентифицировать требования доверия к ОО, составленные из компонентов требований доверия из части 3 ОК. |
ASE_REQ.1.3C | В изложение требований доверия к ОО следует включить оценочный уровень доверия (ОУД), как определено в части 3 ОК. |
ASE_REQ.1.4C | Свидетельство должно содержать строгое обоснование, что изложение требований доверия к ОО является соответствующим. |
ASE_REQ.1.5C | ЗБ должно, при необходимости, идентифицировать каждое требование безопасности для среды ИТ. |
ASE_REQ.1.6C | Операции, предусмотренные в требованиях безопасности ИТ, включенных в ЗБ, должны быть идентифицированы и выполнены. |
ASE_REQ.1.7C | Зависимости между требованиями безопасности ИТ, включенными в ЗБ, следует удовлетворить. |
ASE_REQ.1.8C | Свидетельство должно содержать строгое обоснование каждого неудовлетворения зависимостей. |
ASE_REQ.1.9C | ЗБ должно включать в себя изложение приемлемого минимального уровня стойкости функций безопасности (СФБ) для функциональных требований безопасности ОО: базовой, средней или высокой СФБ. |
ASE_REQ.1.10C | ЗБ должно идентифицировать все конкретные функциональные требования безопасности ОО, для которых целесообразно явное указание стойкости функции, так же как и конкретной метрики. |
ASE_REQ.1.11C | Логическое обоснование требований безопасности должно демонстрировать, что минимальный уровень стойкости функции в ЗБ, как и каждое явное указание стойкости функции согласуются с целями безопасности ОО. |
ASE_REQ.1.12C | Логическое обоснование требований безопасности должно демонстрировать, что требования безопасности ИТ пригодны для достижения целей безопасности. |
ASE_REQ.1.13C | Логическое обоснование требований безопасности должно демонстрировать, что совокупность требований безопасности ИТ образует взаимно согласованное и внутренне непротиворечивое целое. |
Элементы действий оценщика | |
ASE_REQ.1.1E | Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств. |
ASE_REQ.1.2E | Оценщик должен подтвердить, что описание требований безопасности ИТ является полным, логически последовательным и внутренне непротиворечивым. |