ГОСТ Р ИСО/МЭК 18045—2013
ЗБ определять каждое слово. Предполагается, что у широкой аудитории, на которую рассчитан набор
требований безопасности, есть понимание ИТ в целом, основ информационной безопасности и знание
«Критериев оценки безопасности информационных технологий».
Все вышеупомянутое может быть представлено по группам, классам, ролям, типам или другим
классификациям и спецификациям, облегчающим понимание.
Оценщику следует помнить, что эти списки и определения недолжны быть частью изложения «Тре
бований безопасности», но могут быть размещены (частично или полностью) в различных подразделах
оного. Это может быть особенно полезным, если эти же понятия используются в остальной части ЗБ.
ИСО/МЭК 15408-3 ASE_REQ.2.3C: В изложении «Требований безопасности» должны быть иден
тифицированы все выполненные над требованиями безопасности операции.
9.8.2.3.4 Шаг оценивания ASE_REQ.2-4
Оценщик должен проверить, идентифицированы ли все возможные операции над требованиями
безопасности в изложении «Требований безопасности».
Оценщик делает заключение, все ли операции (это относится и к завершенным и к незавершен
ным) идентифицированы в каждом ФТБ и ТДБ. где они используются. Идентификация может прово
диться различными способами, например путем введения типографических различий, особого выделе
ния в сопутствующем тексте или других средств различия.
ИСО/МЭК 15408-3 ASE_REQ.2.4C: Все операции должны выполняться правильно.
9.8.2.3.5 Шаг оценивания ASE_REQ.2-5
Оценщик должен исследовать изложение «Требований безопасности», чтобы сделать заключе
ние о том. что все операции типа «назначение» выполняются правильно.
Руководство по правильному выполнению операций представлено в приложении С «Руководство
по выполнению операций» ИСО/МЭК 15408-1.
9.8.2.3.6 Шаг оценивания ASE_REQ.2-6
Оценщик должен исследовать изложение требований безопасности, чтобы сделать заключение
о том. что все операции типа «итерация» выполняются правильно.
Руководство по правильному выполнению операций представлено в приложении С «Руководство
по выполнению операций» ИСО/МЭК 15408-1.
9.8.2.3.7 Шаг оценивания ASE_REQ.2-7
Оценщик должен исследовать изложение «Требований безопасности», чтобы сделать заключе
ние о том. что все операции типа «выбор» выполняются правильно.
Руководство по правильному выполнению операций представлено в приложении С «Руководство
по выполнению операций» ИСО/МЭК 15408-1.
9.8.2.3.8 Шаг оценивания ASE_REQ.2-8
Оценщик должен исследовать изложение «Требований безопасности», чтобы сделать заключе
ние о том. выполняются ли все операции типа «уточнение» правильно.
Руководство по правильному выполнению операций представлено в приложении С «Руководство
по выполнению операций» ИСО/МЭК 15408-1.
ИСО/МЭК 1540&-3 ASE_REQ.2.5C: Каждая зависимость от «Требований безопасности» должна
быть либо удовлетворена, либо должно приводиться обоснование неудовлетворения зависимости.
9.8.2.3.9 Шаг оцонивания ASE_REQ.2-9
Оценщик должен исследовать изложение «Требований безопасности», чтобы сделать заключе
ние о том. что каждая зависимость требований безопасности или удовлетворена, или приведено обо
снование неудовлетворения зависимости.
Зависимость удовлетворяется включением соответствующего компонента (или того, который яв
ляется иерархическим к нему) в изложение «Требований безопасности». Компонент, используемый
для удовлетворения зависимости, при необходимости, следует изменить операциями, чтобы обеспе
чить фактическое удовлетворение данной зависимости.
В логическом обосновании того, что зависимость не удовлетворена, следует указать либо:
a) то. почему зависимость не является полезной или необходимой, при этом не требуется предо
ставлять дополнительную информацию; либо
b
) то. что зависимость обеспечивается средой функционирования ОО. в этом случае в логиче
ское обоснование следует включить описание того, как цели безопасности для среды функционирова
ния обеспечивают выполнение зависимости.
ИСО/МЭК 15408-3 ASE_REQ.2.6C: В «Обосновании требований безопасности» должно быть
представлено прослеживание каждого ФТБ к целям безопасности для ОО.
47