ГОСТ Р ИСО/МЭК 18045—2013
Оценщик делает заключениео том. чтокаждое ФТБ идентифицировано одним из следующих способов:
a) ссылкой на конкретный компонент ИСО/МЭК 15408-2;
b
) ссылкой на расширенный компонент в «Определении расширенных компонентов» ЗБ;
c) ссылкой на ПЗ. с которым утверждается соответствие в ЗБ;
d) ссылкой на пакет требований безопасности, с которым утверждается соответствие ЗБ;
e) с помощью воспроизведения в ЗБ.
Не обязательно использовать одинаковые способы идентификации для всех ФТБ.
9.8.1.3.2 Шаг оценивания ASE_REQ.1-2
Оценщик должен проверить, что изложение «Требований безопасности» содержит описание ТДБ.
Оценщик делает заключение о том. что каждое ТДБ идентифицировано одним из следующих спо
собов;
a) ссылкой на конкретный компонент ИСО/МЭК 15408-3;
b
) ссылкой на расширенный компонент в «Определении расширенных компонентов» ЗБ;
c) ссылкой на ПЗ. с которым утверждается соответствие в ЗБ;
d) ссылкой на пакет требований безопасности, с которым утверждается соответствие ЗБ:
e) с помощью воспроизведения в ЗБ.
Не обязательно использовать одинаковые способы идентификации для всех ТДБ.
ИСО/МЭК 15408-3 ASE_REQ.1.2C: Все субъекты, объекты, операции, атрибуты безопасно
сти. внешние сущности и другие понятия, используемые в ФТБ и ТДБ. должны быть определены.
9.8.1.3.3 Шаг оценивания ASE_REQ.1-3
Оценщик должен исследовать ЗБ для того, чтобы сделать заключение о том. что все субъекты,
объекты, операции, атрибуты безопасности, внешние сущности и другие понятия, используемые в ФТБ
и ТДБ. определены.
Оценщик делает заключение о том. что ЗБ определяет все;
- субъекты и объекты (их типы), используемые в ФТБ;
- атрибуты безопасности субъектов (их типы), пользователей, объектов, информации, сеансов
и/или ресурсов, возможные значения, которые могут принимать данные атрибуты и любые отношения
между этими значениями (например «Совершенно секретно» выше, чем «Секретно»);
- операции (их типы), которые используются в ФТБ. включая результаты этих операций;
- внешние сущности (их типы) в ФТБ;
- прочие понятия, которые введены в ФТБ и/или ТДБ путем выполнения операций, если эти по
нятия не являются ясными без объяснения или использованы вне их словарных значений.
Цель этого шага оценивания состоит в том. чтобы удостовериться, чтобы ФТБ и ТДБ были четко
определены и что нет возможности их недопонимания или неверной интерпретации из-за употребления
неопределенных терминов. При выполнении этого шага оценивания не следует доходить до крайно
стей. вынуждая автора ЗБ определять каждое слово. Предполагается, что у широкой аудитории, на ко
торую рассчитан набор требований безопасности, есть понимание ИТ в целом, основ информационной
безопасности и знание «Критериев оценки безопасности информационных технологий».
Все вышеупомянутое может быть представлено по группам, классам, ролям, типам или другим
классификациям и спецификациям, облегчающим понимание.
Оценщику следует помнить, что эти списки и определения не должны быть частью изложения
«Требований безопасности», но могут быть размещены (частично или полностью) в различных подраз
делах оного. Это может быть особенно полезным, если одни и те же понятия используются в остальной
части ЗБ.
ИСО/МЭК 15408-3 ASE_REQ.1.3C: Изложение «Требований безопасности» должно идентифи
цировать все выполненные над требованиями безопасности операции.
9.8.1.3.4 Шаг оценивания ASE_REQ,1-4
Оценщик должен проверить, идентифицированы ли все операции над требованиями безопасно
сти в изложении «Требований безопасности».
Оценщик делает заключение, все ли операции идентифицированы в каждом ФТБ и ТДБ. где они
используются. Идентификация может проводиться с помощью типографических различий или особого
выделения в сопутствующем тексте или других средств различия.
ИСО/МЭК 15408-3ASE_REQ.1.4C: Все операции должны выполняться правильно.
9.8.1.3.5 Шаг оценивания ASE_REQ.1-5
Оценщик должен исследовать изложение «Требований безопасности», чтобы сделать заключе
ние о том. что все операции типа «назначение» выполняются правильно.
44