ГОСТ Р ИСО/МЭК 15408-3 — 2008
8.6 Требования безопасности ИТ, сформулированные в явном виде (APE_SRE)
8.6.1 Цели
Если после тщательного рассмотрения окажется, что ни один из компонентов требований
ИСО/МЭК 15408-2 или настоящегостандарта не применим непосредственно ковсем или к части требова
ний безопасности ИТ, разработчик ПЗ может сформулироватьдругие требования, которые не имеют
ссылки на ИСО/МЭК 15408. Использованиетаких требований должно бытьлогически обосновано.
Данное семейство содержит требования оценки, позволяющие оценщику сделать заключение, что
сформулированные в явном виде требования четко и однозначно выражены. Оценка требований по
ИСО/МЭК 15408. используемых наряду со сформулированными в явном видетребованиями безопас
ности, определяется семейством APE_REQ «Требования безопасности ИТ».
Сформулированные в явном виде требования безопасности ИТ для ОО. представленные илиуказан
ные в ПЗ. требуется оценитьдля демонстрациичеткости и однозначности ихвыражения.
8.6.2 Замечания по применению
Формулировка в явном виде требований по структуре, сопоставимой со структурой существующих
компонентови элементов поИСО/МЭК 15408. включает всебя выбор подобной маркировки, способа выра
жения иуровнядетализации.
Использованиетребований ИСО/МЭК 15408 в качестве образца означает, что требования могутбыть
четко идентифицированы, что они автономны, что применение каждого требования возможно, и даст значи
мый результат оценки, основанный на анализе соответствия ОО конкретному требованию.
Термин «требования безопасности ИТ» подразумевает «требования безопасности ОО» свозможным
включением «требований безопасностидля среды ИТ».
Термин «требования безопасности ОО» подразумевает «функциональные требования безопасности
ОО» и/или «требования доверия к безопасности ОО».
Элементы APE_SRE.1.5C иAPE_SRE.1.6С требуют, чтобы сформулированные в явном виде требо
вания безопасности ИТ были измеримыми и объективными, а также четко и однозначно выраженными.
Имеющиеся в ИСО/МЭК 15408 функциональные требования итребования доверия должны использовать ся
как образец.
8.6.3 APE_SRE.1 Профиль защиты, требования безопасности ИТ, сформулированные в
явном виде, требования оценки
Зависимости: APE_REQ.1 Профиль защиты, требования безопасности ИТ. требования оценки
8.6.3.1 Элементы действий разработчика
8.6.3.1.1 APE_SRE.1.1D
Разработчик ПЗ должен представить изложение требований безопасности ИТкак часть ПЗ.
8.6.3.1.2APE_SRE.1.2D
Разработчик ПЗ должен представить обоснование требований безопасности.
8.6.3.2 Элементысодержания и представления свидетельств
8.6.3.2.1 APE_SRE.1.1C
Все требования безопасности ОО, которые сформулированы в явном виде без ссылки на
ИСО/МЭК 15408, должны быть идентифицированы.
8.6.3.2.2APE_SRE.1,2С
Все требования безопасности для среды ИТ, которые сформулированы в явном виде без
ссылки на ИСО/МЭК 15408, должны быть идентифицированы.
8.6.3.2.3APE_SRE.1.ЗС
Свидетельство должно содержать логическое обоснование, почему требования безопаснос
ти должны быть сформулированы в явном виде.
8.6.3.2.4APE_SRE.1,4С
Сформулированные в явном виде требования безопасности ИТ должны использовать ком
поненты, семейства и классы требований ИСО/МЭК 15408 как образецдля представления.
8.6.3.2.5APE_SRE.1.5С
Сформулированные в явном виде требования безопасности ИТ должны быть измеримы и
устанавливать такие объективные требования оценки, чтобы соответствие или несоответствие им
ОО могло быть определено и последовательно продемонстрировано.
8.6.3.2.6APE_SRE.1.6C
Сформулированные в явном виде требования безопасности ИТдолжны быть четко и недвус
мысленно выражены.
8.6.3.2.7APE SRE.1.7C
21