ГОСТ Р ИСО/МЭК 18045—2013
9.8.2.3.10 Шаг оценивания ASE_REQ.2-10
Оценщик должен проверить, прослежены ли ФТБ в «Обосновании требований безопасности»
к целям безопасности для ОО.
Оценщикделает заключение, прослежено ли каждое ФТБ по крайней мере к одной цели безопас
ности для ОО.
Неудача при попытке такого прослеживания означает, что либо «Обоснование требований без
опасности» является неполным, либо цели безопасности для ОО являются неполными, либо ФТБ яв
ляются бесполезными.
ИСО/МЭК 15408-3ASE_REQ.2.7C: В «Обоснованиитребований безопасности» должно быть про
демонстрировано. что ФТБобеспечивают выполнение всех целей безопасности для ОО.
9.8.2.3.11 Шаг оценивания ASE_REQ.2-11
Оценщик должен исследовать «Обоснование требований безопасности», чтобы сделать заключе
ние. содержится ли в нем для каждой цели безопасности для ОО логическое обоснование того, что ФТБ
пригодны для достижения данной цели безопасности для ОО.
Если никакие ФТБ не прослежены к конкретной цели безопасности для ОО. то результат данного
шага оценивания отрицательный (выносится отрицательный вердикт).
Оценщик делает заключение о том. демонстрирует ли логическое обоснование целей безопасно
сти для ОО. что ФТБ достаточны: если все ФТБ. прослеженные к данной цели, удовлетворены, то цель
безопасности для ОО достигнута.
Оценщик также делает заключение, действительно ли кахадое требование безопасности ОО. про
слеженное к цели безопасности для ОО. необходимо и при успешном выполнении вносит вклад в до
стижение данной цели безопасности.
Следует отметить, что прослеживание от ФТБ к целям безопасности для ОО. представленное
в «Обосновании требований безопасности», может быть частью логического обоснования, но само
по себе оно не является логическим обоснованием.
ИСО/МЭК 15408-3 ASE_REQ.2.8C: В «Обоаювании требований безопасности» должно приво
диться пояснение того, почему выбраны определенные ТДБ.
9.8.2.3.12 Шаг оценивания ASE_REQ.2-12
Оценщик должен проверить, что в «Обосновании требований безопасности» объясняется, почему
выбраны определенные ТДБ.
Оценщику следует помнить, что любое объяснение является правильным, пока оно составлено
четко и ясно, и ни в ТДБ, ни в объяснении нет очевидных несогласованностей с прочими частями ЗБ.
Пример очевидной несогласованности между ТДБ и остальными частями ЗБ — когда имеются ис
точники угроз, обладающие большими возможностями для атаки, но ТДБ в семействе AVA_VAN не обе
спечивают мер защиты от этих источников угроз.
ИСО/МЭК 15408-3 ASE_REQ.2.9C: Изложение «Требований безопасности» должно быть внутрен
не непротиворечивым.
9.8.2.3.13 Шаг оценивания ASE_REQ.2-13
Оценщик должен исследовать изложение «Требований безопасности», чтобы сделать заключе
ние о том, что оно внутренне непротиворечиво.
Оценщикделает заключение о том. является ли объединенный набор всех ФТБ и ТДБ внутренне
непротиворечивым.
Оценщик делает заключение о том. что во всех случаях, когда различные требования безопас
ности применяются к одним и тем же типам свидетельств разработчика, событий, операций, данных,
проводимых тестирований и т. д. или ко «всем объектам», «всем субъектам» и т. д., эти требования не
противоречат другдругу.
Некоторые примеры возможных конфликтов:
a) в расширенном ТДБ определяется, что проект некоторого криптографического алгоритма дол
жен содержаться в секрете, а другое расширенное ТДБ предписывает общий доступ к этим данным:
b
) компонент FAU_GEN.1 «Генерация данных аудита» определяет, что некая сущность субъекта
должна регистрироваться в журнале: FDP_ACC.1 «Ограниченное управление доступом» определяет, у
кого есть право доступа к этим журналам и FPRJJN0.1; «Скрытность», определяет, что рекоменду ется.
чтобы некоторые действия субъектов не были доступны для просмотра другим субъектам. Если субъект,
которому не следует иметь возможность видеть действия других субъектов, может получить доступ к
журналам данных действий, эти ФТБ являются конфликтующими;
c) в компоненте FDP_RIP.1 «Ограниченная защита остаточной информации» указывается,
что удаление остаточной информации более не является необходимостью, а в FDP_ROL.1; «Базовый
48