ГОСТ Р ИСО/МЭКТО 15446 — 2008
7 Утверждения о соответствии ПЗ
7.1 Ссылка на ПЗ
7.2 Уточнение ПЗ
7.3Дополнение ПЗ
8 Обоснование
8.1 Обоснование целей безопасности
8.2 Обоснование требований безопасности
8.3 Обоснование краткой спецификации ОО
8.4 Обоснование утверждений о соответствии ПЗ.
В раздел ЗБ «Цели безопасности» включают краткое изложение предполагаемой реакции на аспекты
среды безопасности как с точки зрения целей безопасности, которые должны соответствовать ОО. так и с
точки зрения целей безопасности, которыедолжны соответствовать ИТ- и не ИТ-мерам в пределахсреды ОО.
Данный раздел ЗБ более подробно рассмотрен в разделе 9.
В раздел ЗБ «Требования безопасности ИТ» включают функциональные требования безопасности
ОО. требования доверия к безопасности, а также требования безопасности программного, программно-
аппаратного и аппаратного обеспечения ИТ-среды ОО. Требования безопасности ИТ должны быть опреде
лены путем использования, где это возможно, функциональных компонентов и компонентов
доверия к безопасности в соответствии с ИСО/МЭК 15408-2 и ИСО/МЭК15408-3. Раздел ЗБ «Требования
безопас ности ИТ» более подробно рассмотрен в разделе 10.
В раздел «Краткая спецификация ОО» включают описание функций безопасности ИТ. реализуемых
ОО и соответствующих специфицированным функциональным требованиям безопасности, а также любых
мер доверия кбезопасности, соответствующих специфицированным требованиям доверия кбезопасности.
Раздел ЗБ «Краткая спецификация ОО» более подробно рассмотрен в разделе 11.
В разделе «Утверждения о соответствии ПЗ» идентифицируются ПЗ, о соответствии которым заявля
ется в ЗБ. а также любые дополнения или уточнения целей или требований из этих ПЗ. Раздел ЗБ «Утвер
ждения о соответствии ПЗ» более подробно рассмотрен в разделе 13.
В разделе ЗБ «Обоснование» демонстрируют, что ЗБ специфицирует полную и взаимосвязанную
совокупность требований безопасности ИТ. соответствующий ОО учитывает определенные аспекты среды
безопасности ИТ и функции безопасности ИТ и меры доверия к безопасности соответствуют требованиям
безопасности ОО. Раздел ЗБ «Обоснование» более подробно рассмотрен в разделе 13.
Как идля ПЗ {см. 6.1) при разработке ЗБдопускается отступать от вышеуказанной структуры путем
включения дополнительных и исключения необязательных разделов (и/или подразделов) ЗБ.
6.3 Взаимосвязь между профилями защиты и заданиями по безопасности
При сопоставлении таблиц 1 и 2 становится очевидной взаимосвязь между ПЗ и ЗБ вследствие высо
кой степени общности данных документов, в особенности разделов «Среда безопасности ОО». «Цели
безопасности». «Требования безопасности ИТ» и. частично. — раздела «Обоснование». Если в ЗБ
утверж дается о соответствии ПЗ и при этом не специфицируются дополнительные функциональные
требования и требования доверия кбезопасности, то содержание упомянутых выше разделов ЗБ может
быть идентично содержанию соответствующих разделов ПЗ. В таких случаях рекомендуется ссылка в
ЗБ на содержание ПЗ с добавлением (там. где необходимо) деталей, отличающих ЗБ от ПЗ.
Следующие разделы ЗБ не имеют аналогов в ПЗ и. таким образом, являются специфичными для ЗБ:
a) раздел «Краткая спецификация ОО» — включает в себя функции безопасности ИТ, механизмы и
способы обеспечения безопасности, а также меры доверия к безопасности:
b
) раздел «Утверждения о соответствии ПЗ» — мотивирует и детализирует требования соответ
ствия ПЗ;
c) подразделы раздела «Обоснование»— демонстрируют адекватность функций безопасности ИТ
и мердоверия к безопасности требованиям безопасности ОО.
6.4 Учет информационных потребностей потенциальных пользователей профилей защиты
и заданий по безопасности
В ПЗ и ЗБ необходимо учитывать следующие информационные потребности потенциальных пользо
вателей этихдокументов:
- потребители (дистрибуторы и покупатели) нуждаются в информации, дающей общее представление
о том. как ОО решает проблемы безопасности;
- разработчики нуждаются в однозначном понимании требований безопасности с тем. чтобы созда
вать (формировать)соответствующие ОО;
5