ГОСТ Р ИСО/МЭК ТО 15446— 2008
ИСО/МЭК
134№е
ИССЛКЭК
15406-3
Рисунок 3 — Формирование требований безопасности информационных технологий
Стандарты серии ИСО/МЭК 15408 обеспечивают определенную степень гибкости формирования ФТБ
и ТДБ на основе компонентов требований, определяя набор разрешенных операций над компонентами.
Разрешенными операциями являются: назначение, итерация, выбор и уточнение.
Рекомендации по выполнению операций над функциональными компонентами, определенных в
ИСО/МЭК 15408. включены в 10.1.2; компонентами доверия к безопасности — в 10.2.2.
Следует отметить, что в ИСО/МЭК 15408 каждому компоненту требований безопасности назначена
предусмотренная на определенной классификации уникальная метка. Например, для FAU_GEN.1.2 компо
нента FAU_GEN.1 метка имеет вид:
a) ’F’-метка указывает на то, что это — функциональное требование;
b
) AU -метка указывает на то. что ФТБ принадлежит классу ФТБ «Аудит безопасности»;
c) GEN’-метка указывает на то, что ФТБ принадлежит семейству «Генерация данныхаудита безопас
ности» класса FAU:
d) ’1-метка указывает на то, что ФТБ принадлежит компоненту «Генерация данных аудита» семейства
FAU_GEN;
e) ’2 -метка указывает на то, что ФТБ является вторым элементом компонента FAU_GEN.1.
Требования ФТБ и ТДБ выбирают на уровне компонентов: элементы, входящие в компонент, должны
быть включены в ПЗ и ЗБ, если в ПЗ и ЗБ включается данный компонент.
В процессе выбора требований безопасности ИТ необходимо учитывать следующиедва типа взаимо
связей между компонентами требований безопасности ИТ:
1) компоненты одного семейства могут находиться в иерархической связи. Иерархия предполагает,
что один компонент включает в себя все элементы требований, определенные в другом компоненте этого
семейства. Например. FAU_STG.4 иерархичен по отношению к FAU_STG.3. потому что все функциональ
ные элементы, определенные в FAU_STG.3. также включены в FAU_STG.4. Однако FAU_STG.4 не иерар
хичен по отношению к FAU_STG.1 и поэтому может потребоваться включение в разрабатываемые ПЗ и ЗБ
обоихэтих компонентов:
2) компоненты могут зависетьот компонентовдругихсемейств. Например, компонент F1A_UAU.1 (свя
занный с требованием аутентификации пользователей)зависит от компонента FIA_UID.1 (связанный стре
бованием идентификации пользователей).
При формировании ПЗ и ЗБ все зависимости компонентов требований безопасности ИТ должны быть,
как правило, удовлетворены, что достигается включением в ПЗ и ЗБ компонентов, от которых зависят уже
включенные в ПЗ и ЗБ компоненты. Зависимости могут не удовлетворяться в случаях, если в ПЗ и ЗБ
показано, что зависимости не соответствуют целям безопасности и угрозам.
В дополнение к ФТБ и ТДБ в разделе ПЗ и ЗБ «Требования безопасности ИТ» требуется (где необхо
димо) определить минимальный уровень стойкости функции безопасности ОО, а также (где необходимо)
требования кточному значению стойкости.
18