ГОСТ Р ИСО/МЭК18045— 2008
9.3.7.5 Действие ASE_SRE.1.2Е
9.37.5.1 Шаг оценивания ASE_SRE.1-8
Оценщик должен исследовать изложение раздела «Требования безопасности ИТ», чтобы сделать
заключение, всели зависимости сформулированных вявном виде требований безопасности ИТ были иден
тифицированы.
Оценщик подтверждает, что никакие подлежащие удовлетворению зависимости не были пропущены
разработчиком ЗБ.
Примеры возможных зависимостей: компоненты класса FAU «Аудит безопасности», если в сформу
лированном вявном видефункциональномтребовании упоминается аудит; компоненты семейства ADVJMP
«Представление реализации».если в сформулированном вявном виде требовании доверия упоминается
исходный код или представление реализации ОО.
9.3.8 Оценка раздела «Краткая спецификация ОО» (ASEJTSS.1)
9.3.8.1 Цели
Цель данного подвида деятельности — сделать заключение, представлено ли в разделе «Краткая
спецификация ОО» четкое и непротиворечивое высокоуровневое определение функций безопасности и
мердоверия, и удовлетворяют ли они специфицированным требованиям безопасности ОО.
9.3.8.2 Исходные данные
Свидетельством оценки для этого подвидадеятельности является ЗБ.
9.3.8.3 Действие ASE_TSS.1.1Е
9.3.8.3.1 Шаг оценивания ASE_TSS.1-1
ИСО/МЭК 15408-3 ASE_TSS.1.1С: Краткая спецификация ОО должна содержать описание функций
безопасности ИТ и мер доверия к ОО.
Оценщик должен проверить, что раздел «Краткая спецификация ОО» содержит описание функций
безопасности ИТ и мердоверия ОО.
Оценщикделает заключение, представлено ли в разделе «Краткая спецификация ОО» высокоуров
невое определениефункций безопасности, заявленных как предназначенныедля удовлетворения функци
ональных требований, и мер доверия, заявленных как предназначенныедля удовлетворения требований
доверия к безопасности ОО.
Меры доверия могут быть сформулированы в явном виде или определены посредством ссылки на
документы, которые удовлетворяют требованиям доверия к безопасности (например, соответствующие
планы качества, планы жизненного цикла, планы управления).
9.3.8.3.2 Шаг оценивания ASE_TSS.1-2
ИСО/МЭК 15408-3 ASE_TSS.1.2С: Краткая спецификация ОО должна сопоставить функции безо
пасности ИТ и функциональные требования безопасности ОО таким образом, чтобы можно было от
метить. какие функции безопасности ИТкаким функциональным требованиям безопасности ОО удов
летворяют. и чтокаждая функция безопасности ИТспособствует удовлетворению, по меньшеймере,
одного функционального требования безопасности ОО.
Оценщикдолжен проверить раздел «Краткая спецификация ОО». чтобы сделать заключение, просле
жена ли каждая функция безопасности ИТ по крайней мере кодному функциональному требованию безо
пасности ОО.
Неудача при попытке такого прослеживания означает, чтолибо «Краткая спецификация ОО» является
неполной, либо изложение функциональных требований безопасности ОО является неполным, либо функ
ция безопасности ИТ является бесполезной.
9.3.8.3.3 Шаг оценивания ASE_TSS.1-3
ИСО/МЭК 15408-3 ASE_TSS.1 .ЗС: Функции безопасности ИТ должны быть определены в нефор
мальном стиле на уровне детализации, необходимом для понимания их назначения.
Оценщикдолжен исследовать каждую функцию безопасности ИТ. чтобы сделать заключение, описа
на ли она в неформальном стиле на уровне детализации, необходимом для понимания ее назначения.
В одних случаях функция безопасности ИТ может быть представлена на уровнедетализации не боль
шем, чем уровеньдетализации соответствующего функционального требования или требований безопас
ности ОО. В других случаях разработчик ЗБ может добавить специфические для ОО детали, например,
используя специфическую для ОО терминологию вместо общих терминов, таких, например, как «атрибут
безопасности».
Необходимоотметить, что полуформальный или формальный стильописания функций безопасности
ИТ здесь недопустим, если он не сопровождается неформальным описанием тех же функций. Преследуе
мая цель— это. в первую очередь, обеспечение понимания назначения функции, а не вынесение
заключе ния о таких свойствах функций безопасности, как полнота и корректность.
48