ГОСТРИСО/МЭК ТО 15446— 2008
b) показать, что все зависимости требований безопасности для ИТ-среды удовлетворены;
c) продемонстрировать взаимную поддержку требований безопасности для ИТ-среды и показать под
держку с их стороны по отношению к требованиям безопасности ИТ.
14.3.7 Обоснование задания по безопасности
Если в ЗБ определяются требования безопасности для ИТ-среды, то онидолжны быть рассмотрены в
разделе ЗБ «Обоснование». В частности, должны быть рассмотрены вопросы, аналогичные тем. которые
рассматриваются в ПЗ (см. 14.2.6). Дополнительные детали, например, связанные с зависимостями, вве
денными в ЗБ. должны быть также рассмотрены в соответствующих частях ЗБ «Обоснование».
15 Функциональные пакеты и пакеты требований доверия к безопасности
15.1 Общая информация
Настоящий раздел содержит методические рекомендации по формированию пакетов требований
безопасности. Концепция пакета требований представлена в 4.4.2.1 ИСО/МЭК 15408-1. Пакет можно оха
рактеризовать следующим образом:
a) представляет собой промежуточную комбинацию функциональных компонентов или компонентов
требований доверия к безопасности;
b
) предназначен для:
- многократного использования при создании более крупных пакетов, профилей защиты и заданий по
безопасности.
- определения требований безопасности, которые считаются подходящими для удовлетворения оп
ределенного подмножества целей безопасности.
Основное преимущество пакетов требований заключается в снижении рабочей нагрузки на разработ
чиков ПЗ и ЗБ при формулировании требований безопасности ИТ (см. раздел 10).
Оценочные уровни доверия к безопасности, определенные в разделе 6 ИСО/МЭК 15408-3. необходи
мо рассматривать как пример оформления пакетов требований доверия кбезопасности.
15.2 Формирование функционального пакета
15.2.1 Разработчики функциональных пакетов
В качестве разработчика функционального пакета (ФП) может выступатьлюбая организация, заинте
ресованная в продвижении стандартизованной спецификации функциональных возможностей обеспечения
безопасности. Разработка ФП может рассматриваться как первый шаг при формировании профиля защиты
(или семейства ПЗ) либо как составная часть ЗБ. ФП может, например, быть использован организацией для
спецификации стандартного набора функциональных требований безопасности, которыедолжны удовлет
ворить поставщики продукта.
15.2.2 Содержимое функционального пакета
ФП представляет собой спецификацию функциональных требований безопасности. Для формулиро
вания данных ФТБ необходимо использовать рекомендации в соответствии с 10.1. Отдельные ФТБ. входя
щие в ФП. должны либо идентифицировать стандартизованные функциональные компоненты в соответ
ствии со стандартами серии ИСО/МЭК 15408. либо представлять собой требования, сформулированные в
явном виде и по форме представлениясоответствующие оформлению компонентов требований стандартов
серии ИСО/МЭК 15408. При этом сформулированные в таком виде требования должны сопровождаться
четким обоснованием того, почему их необходимо было формулировать в явном виде. Совокупность ФТБ,
определенных в ФП. должна быть направлена на удовлетворение определенного подмножества целей
безопасности.
При разработке ФП можно использовать один издвух подходов (или их комбинацию):
- формировать совокупность ФТБ. исходя из уже изложенных конкретных целей безопасности;
- формулировать цели безопасности, исходя из определенной совокупности ФТБ.
15.2.3 Информация, включаемая в функциональный пакет
Кроме собственно функциональных требований, в ФП следует включать следующую информацию,
представляющую интерес при разработке больших ФП. ПЗ и ЗБ:
a) идентификацию целей безопасности, которым удовлетворяют ФТБ;
b
) информацию об использовании функциональных компонентов в соответствии со стандартами се
рии ИСО/МЭК 15408 или об отклонениях от требований стандартов серии ИСО/МЭК 15408;
42