Гарантийные требования безопасности

Гарантийные требования безопасности основываются на активном исследовании безопасности системы на всех этапах жизненного цикла. Не достижение целей безопасности возникает в следствие преднамеренного использования или случайной активизации уязвимостей. Причинами уязвимостей являются: неполнота выбранных функциональных требований; некорректная реализация функциональных требований; несоответствующие условия эксплуатации.

Форма представления гарантийные требования безопасности аналогична форме представления функциональных требований: класс – семейство – компонент – элемент.

Каждый класс имеет название и маркировку из трех символов. Первый символ «А»- означает, что это класс гарантийных требований. Например, класс ADF «Разработка».

Семейство охватывает некоторую часть класса. Имеет название и семибуквенную маркировку. Например, семейство ADF_FSP «Функциональная спецификация».

Компонент - составная часть семейства. Имеет маркировку и название. Например, ADF_FSP.1 «Неформальная функциональная спецификация».

Семейства гарантийных требований содержат только иерархические компоненты (компонент с большим номером содержит больше требований, чем компонент с меньшим).

Элемент гарантий маркируется дополнительной цифрой и буквой, сопровождается описанием. Например, ADF_FSP1.1Е «Эксперт должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию свидетельств».

Элемент гарантий принадлежит к одному из трех типов: элементы действий разработчика (маркируются символом D); элементы представления и содержания свидетельств (маркируются символом С); элементы действий эксперта (маркируются символом Е).

Пример структуры гарантийных требований одного класса изображен на рис.7.2.

Всего сформировано 10 классов, 44 семейства, 93 компонентов. Перечислим классы гарантийных требований: ADF «Разработка», ALC «Поддержка жизненного цикла», ATE «Тестирование», AVA «Оценка уязвимостей», ADO «Поставка и эксплуатация», ACM «Управление конфигурацией», AGD «Руководства», AMA «Поддержка гарантий», APE «Оценка профиля защиты», ASE «Оценка задания по безопасности».