ГОСТ Р ИСО/МЭК 18045— 2008
В своем анализеоценщик учитывает результаты выполненных операций, чтобы сделать заключение,
затрагивают ли они взаимную поддержку требованиями другдруга.
8.3.5.4 Действие APEJREQ.1,2Е
8.3.5.4.1 Шаг оценивания APE_REQ.1 -24
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать
заключение, является ли оно логически упорядоченным.
Изложение требований безопасности ИТ является логически упорядоченным, если его структура и
содержание понятны целевой аудитории (т.е. оценщикам и потребителям).
8.3.5.4.2 Шаг оценивания APE_REQ.1 -25
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать
заключение, является ли оно полным.
При выполнении данного шага оценивания используют результаты шагов оценивания, выполняемых
в соответствии с требованиями APE_REQ.1.1Е и APE_SRE.1.1Е. и в особенности — результаты исследо
вания оценщиком подраздела «Обоснование требований безопасности».
Изложение раздела «Требования безопасности ИТ» является полным, если оценщик считает требова
ния безопасности достаточными для того, чтобы удостовериться, что все цели безопасности для ОО удов
летворены.
8.3.5.4.3 Шаг оценивания APE_REQ.1 -26
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать
заключение, является ли оно внутренне непротиворечивым.
При выполнении данного шага оценивания используют результаты шагов оценивания, выполняемых
в соответствии с требованиями APE_REQ.1.1E иAPE_SRE.1.1E. и вособенности - результаты исследова
ния оценщиком подраздела «Обоснование требований безопасности».
Изложение раздела «Требования безопасности ИТ» является внутренне непротиворечивым, если оцен
щикделает заключение, что ни одно требование безопасности не противоречит любомудругому требова
нию безопасности таким образом, что цель безопасности не будет полностью удовлетворена.
Руководство по анализу непротиворечивости см.вА.З «Анализ непротиворечивости» (приложе
ние А).
8.3.6 Оценка требований безопасности ИТ, сформулированных в явном виде (APE_SRE.1)
8.3.6.1 Цели
Цель данного подвида деятельности — сделать заключение, являются ли функциональные требова
ния и/или требованиядоверия к безопасности, сформулированные без ссылки на ИСО/МЭК 15408. прием
лемыми и адекватными.
8.3.6.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ПЗ.
8.3.6.3 Замечания по применению
Этот пункт применяют только вслучае, если в ПЗ содержатся требования безопасности, сформулиро
ванные в явном виде без ссылки на ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3. В противном случае все
шаги оценивания, описанные в данном пункте, не применяют и поэтому считают удовлетворенными.
Требования семейства APE_SRE «Требования безопасности ИТ. сформулированные в явном виде»
не заменяют требования семейства APE_REQ «Требования безопасности ИТ», а являются дополнительны
ми к ним. Это означает, что требования безопасности, сформулированные в явном виде без ссылки на
ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3. должны быть оценены на соответствие критериям семейства
APE_SRE, а также в сочетании со всеми остальными требованиями безопасности - на соответствие
крите риям семейства APE_REQ.
8.3.6.4 Действие APE_SRE.1.1Е
8.3.6.4.1 Шаг оценивания APE_SRE.1-1
ИСО/МЭК 15408-3 APE_SRE.1.1C: бее требования безопааюсти ОО. которые сформулированы в
явном виде без ссылки на ИСО/МЭК 15408. должны быть идентифицированы.
Оценщикдолжен проверить, что визложении раздела «Требования безопасности ИТ» идентифициро
ваны все требования безопасности ОО. которые сформулированы в явном виде без ссылки на ИСО/МЭК
15408.
Необходимо, чтобы все функциональные требования безопасности ОО, которые не специфицированы
на основефункциональных компонентов из ИСО/МЭК 15408-2. были четко идентифицированы как таковые.
Аналогично необходимо, чтобы всетребования доверия к безопасности ОО, которые неспецифицированы
на основе компонентов доверия из ИСО/МЭК 15408-3. были четко идентифицированы кактаковые.
27