ГОСТ Р ИСО/МЭК 18045—2013
Оценщик делаетзаключение о том. что каждое ФТБидентифицировано одним изследующих способов:
a) ссылкой на конкретный компонент ИСО/МЭК 15408-2;
b
) ссылкой на расширенный компонент в «Определении расширенных компонентов» ПЗ:
c) ссылкой на конкретный компонент ПЗ. о соответствии с которым утверждается в ПЗ;
d) ссылкой на конкретный компонент в пакете требований безопасности, о соответствии с кото
рым утверждается в ПЗ;
e) с помощью воспроизведения в ПЗ.
Не обязательно использовать одинаковые способы идентификации для всех ФТБ.
8.8.2.3.2 Шаг оценивания APE_REQ.2-2
Оценщик должен проверить, что изложение «Требований безопасности» содержит описание тре
бований доверия к безопасности.
Оценщик делает заключениео том. чтокаждое ТДБидентифицировано одним из следующих способов:
a) ссылкой на конкретный компонент ИСО/МЭК 15408-3;
b
) ссылкой на расширенный компонент в «Определении расширенных компонентов» ПЗ;
c) ссылкой на конкретный компонент ПЗ. о соответствии с которым утверждается в ПЗ;
d) ссылкой на конкретный компонент в пакете требований безопасности, о соответствии с кото
рым утверждается в ПЗ;
e) с помощью воспроизведения в ПЗ.
Не обязательно использовать одинаковые способы идентификации для всех ТДБ.
ИСО/МЭК 15408-3 APE_REQ.2.2C: Все субъекты, объекты, операции, атрибуты безопасно
сти. внешние сущности и другие понятия, используемые в ФТБ и ТДБ. должны быть определены.
8.8.2.3.3 Шаг оценивания APE_REQ.2-3
Оценщик должен исследовать ПЗ для того, чтобы сделать заключение о том. что все субъекты,
объекты, операции, атрибуты безопасности, внешние сущности и другие понятия, используемые в ФТБ
и ТДБ. определены.
Оценщик делает заключение о том. что ПЗ определяет все;
- субъекты и объекты (их типы), используемые в ФТБ;
- атрибуты безопасности субъектов (их типы), пользователей, объектов, информации, сеансов
и/или ресурсов, возможные значения, которые могут принимать данные атрибуты и любые отношения
между этими значениями (например «Совершенно секретно» выше, чем «Секретно»);
- операции (ихтипы), которые используются в ФТБ. включая результаты выполнения этих операций;
- внешние сущности (их типы) в ФТБ;
- прочие понятия, которые введены в ФТБ и ТДБ путем выполнения операций, если эти понятия
не являются ясными без дополнительного объяснения или используются вне их словарных значений.
Цель этого шага оценивания состоит в том. чтобы удостовериться, что ФТБ и ТДБ четко опреде
лены и что не может произойти их неправильного понимания из-за употребления неопределенных тер
минов. При выполнении этого шага оценивания не следует доходить до крайностей, вынуждая автора ПЗ
определять каждое слово. Предполагается, что у широкой аудитории, на которую рассчитан набор
требований безопасности, есть понимание ИТ в целом, основ информационной безопасности и знание
«Критериев оценки безопасности информационных технологий».
Все вышеупомянутое может быть представлено по группам, классам, ролям, типам или другим
классификациям и спецификациям, облегчающим понимание.
Оценщику следует помнить, что эти списки и определения недолжны быть частью изложения «Тре
бований безопасности», но могут быть размещены (частично или полностью) в различных подпунктах
оного. Это может быть особенно полезным, если эти же понятия используются в остальной части ПЗ.
ИСО/МЭК 15408-3APE_REQ.2.3C: В изложении кТребований безопасности» должны быть иден
тифицированы все операции над требованиями безопасности.
8.8.2.3.4 Шаг оценивания APE_REQ.2-4
Оценщик должен проверить, идентифицированы ли все операции над требованиями безопасно
сти в изложении «Требований безопасности».
Оценщик делает заключение, все ли операции (это относится и к завершенным и незавершен
ным) идентифицированы в каждом ФТБ и ТДБ. где они используются. Идентификация может прово
диться различными способами, например путем введения типографических различий, особого выделе
ния в сопутствующем тексте или других средств различия.
ИСО/МЭК 15408-3 APE_REQ.2.4C; Все операции должны быть выполнены правильно.
27