2015-10-13
374
Цели
Если после тщательного рассмотрения окажется, что ни один из компонентов требований ГОСТ Р ИСО/МЭК 15408-2 или настоящего стандарта не применим непосредственно ко всем или к части требований безопасности ИТ, разработчик ПЗ может сформулировать другие требования, которые не ссылаются на ГОСТ Р ИСО/МЭК 15408. Использование таких требований должно быть строго обосновано.
Это семейство содержит требования оценки, которые позволяют оценщику сделать заключение, что сформулированные в явном виде требования четко и однозначно выражены. Оценка требований, выбранных из ГОСТ Р ИСО/МЭК 15408 и используемых наряду со сформулированными в явном виде допустимыми требованиями безопасности, определяется семейством APE_REQ.
Сформулированные в явном виде требования безопасности ИТ для ОО, представленные или указанные в ПЗ, требуется оценить для демонстрации четкости и однозначности их выражения.
Замечания по применению
Формулировка в явном виде требований по структуре, сопоставимой со структурой существующих компонентов и элементов из ГОСТ Р ИСО/МЭК 15408, включает в себя выбор аналогичного маркирования, способа выражения и уровня детализации.
|
|
|
Использование требований ГОСТ Р ИСО/МЭК 15408 как образца означает, что требования могут быть четко идентифицированы, что они автономны, и применение каждого требования возможно и даст значимый результат оценки, основанный на анализе соответствия ОО этому конкретному требованию.
Термин "требования безопасности ИТ" подразумевает "требования безопасности ОО" с возможным включением "требований безопасности для среды ИТ".
Термин "требования безопасности ОО" подразумевает "функциональные требования безопасности ОО" и/или "требования доверия к ОО".
| APE_SRE.1 Профиль защиты, требования безопасности ИТ, сформулированные в явном виде, требования оценки | |||
| Зависимости | |||
| APE_REQ.1 | Профиль защиты, требования безопасности ИТ, требования оценки | ||
| Элементы действий разработчика | |||
| APE_SRE.1.1D | Разработчик ПЗ должен представить изложение требований безопасности ИТ как часть ПЗ. | ||
| APE_SRE.1.2D | Разработчик ПЗ должен представить логическое обоснование требований безопасности. | ||
| Элементы содержания и представления свидетельств | |||
| APE_SRE.1.1C | Все требования безопасности ОО, которые сформулированы в явном виде без ссылки на ГОСТ Р ИСО/МЭК 15408, должны быть идентифицированы. | ||
| APE_SRE.1.2C | Все требования безопасности для среды ИТ, которые сформулированы в явном виде без ссылки на ГОСТ Р ИСО/МЭК 15408, должны быть идентифицированы. | ||
| APE_SRE.1.3C | Свидетельство должно содержать строгое обоснование, почему требования безопасности должны быть сформулированы в явном виде. | ||
| APE_SRE.1.4C | Сформулированные в явном виде требования безопасности ИТ должны использовать компоненты, семейства и классы требований ГОСТ Р ИСО/МЭК 15408 как образец для представления. | ||
| APE_SRE.1.5C | Сформулированные в явном виде требования безопасности ИТ должны быть измеримы и устанавливать объективные требования оценки, такие, что соответствие или несоответствие им ОО может быть определено и последовательно продемонстрировано. | ||
| APE_SRE.1.6C | Сформулированные в явном виде требования безопасности ИТ должны быть четко и недвусмысленно выражены. | ||
| APE_SRE.1.7C | Логическое обоснование требований безопасности должно демонстрировать, что требования доверия применимы и пригодны для поддержки каждого из сформулированных в явном виде функциональных требований безопасности ОО. | ||
| Элементы действий оценщика | |||
| APE_SRE.1.1E | Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств. | ||
| APE_SRE.1.2E | Оценщик должен определить, что все зависимости сформулированных в явном виде требований безопасности ИТ были идентифицированы. | ||
|
|
|
