ГОСТ Р ИСО/МЭК18045— 2008
Изложение раздела «Требования безопасности ИТ» является полным, если все операции над требо
ваниями завершены и оценщиксчитает требования безопасности достаточными для того, чтобы удостове
риться. что все цели безопасности для ОО удовлетворены.
9.3.6.4.3 Шагоценивания ASE_REQ.1-26
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать
заключение, является ли оно внутренне непротиворечивым.
При выполнении данного шага оценивания используют результаты шагов оценивания, выполняемых
в соответствии с требованиями ASE_REQ.1.1Е и ASE_SRE.1.1E, и в особенности — результаты исследо
вания оценщиком подраздела «Обоснование требований безопасности».
Изложение раздела «Требования безопасности ИТ» является внутренне непротиворечивым,если оцен
щикделает заключение, что ни одно требование безопасности не противоречит любому другому требова
нию безопасности таким образом, что цель безопасности не будет полностью удовлетворена.
Руководство по анализу непротиворечивости см.вА.З «Анализ непротиворечивости» (приложе
ние А).
9.3.7 Оценка требований безопасности ИТ, сформулированных в явном виде (ASE_SRE.1)
9.3.7.1 Цели
Цель данного подвида деятельности — сделать заключение, являются ли функциональные требова
ния и/или требования доверия к безопасности, сформулированные без ссылки на ИСО/МЭК 15408. прием
лемыми и адекватными.
9.3.7.2 Исходные данные
Свидетельством оценки для этого подвида деятельности является ЗБ.
9.3.7.3 Замечания по применению
Этот пункт применяюттолько в случае, если в ЗБ содержатся требования безопасности, сформулиро
ванные в явном виде без ссылки на ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3. В противном случае все
шаги оценивания, описанные в данном пункте, не применяют и поэтому считают удовлетворенными.
Требования семейства ASE_SRE «Требования безопасности ИТ. сформулированные вявном виде»
не заменяют требования семейства ASE_REQ «Требования безопасности ИТ», а являются дополнительны
ми к ним. Это означает, что требования безопасности, сформулированные в явном виде без ссылки на
ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3, должны быть оценены на соответствие критериям семейства
ASE_SRE. а также в сочетании со всеми остальными требованиями безопасности — на соответствие
кри териям семейства ASE_REQ.
9.3.7.4 Действие ASE_SRE.1.1Е
9.3.7.4.1 Шаг оценивания ASE_SRE.1-1
ИСО/МЭК 15408-3 ASE_SRE.1.1C: Всетребования безопасности ОО. которые сформулированы в
явном виде без ссыпки на ИСО/МЭК 15408. должны быть идентифицированы.
Оценщик должен проверить, что в изложении раздела «Требования безопасности ИТ» идентифи
цированы все требования безопасности ОО. которые сформулированы в явном виде без ссылки на
ИСО/МЭК 15408.
Необходимо, чтобы всефункциональные требования безопасности ОО. которые не специфицированы
на основефункциональных компонентов из ИСО/МЭК 15408-2, были четко идентифицированы кактаковые.
Аналогично необходимо, чтобы всетребования доверия к безопасности ОО. которые неспецифицированы
на основе компонентов доверия из ИСО.МЭК 15408-3. были четко идентифицированы как таковые.
9.3.7.4.2 Шагоценивания ASE_SRE.1-2
ИСО/МЭК 15408-3 ASE_SRE.1,2С: Все требования безопасности для среды ИТ. которые сформу
лированы в явном виде без ссылки на ИСО/МЭК 15408. должны быть идентифицированы.
Оценщикдолжен проверить, что в изложении раздела «Требования безопасности ИТ» идентифициро
ваны все требования безопасности для среды ИТ. которые сформулированы в явном виде без ссылки на
ИСО/МЭК 15408.
Требуется, чтобы все функциональные требования безопасности для среды ИТ. которые неспецифи
цированы на основе функциональных компонентов из ИСО.МЭК 15408-2. были четко идентифицированы
кактаковые. Аналогично также требуется, чтобы все требования доверия к среде ИТ. которые не специфи
цированы на основе компонентовдоверия из ИСО/МЭК 15408-3. были четко идентифицированы кактако
вые.
9.3.7.4.3 Шагоценивания ASE_SRE.1-3
ИСО/МЭК 15408-3 ASE_SRE.1 .ЗС: Свидетельство должно содержать логическое обоснование, по
чемутребования безопасности должны быть сформулированы в явном виде.
46