Общие критерии безопасности информационных технологий (Common Criteria for Information Technology Security Evaluation, далее – Общие критерии) являются результатом совместных усилий авторов Европейских критериев безопасности информационных технологий, Федеральных критериев безопасности информационных технологий и Канадских критериев безопасности компьютерных систем, направленных на объединение основных положений этих документов и создание единого международного стандарта безопасности информационных технологий.
Версия 2.1 данного стандарта утверждена Международной организацией по стандартизации (ISO) в 1999 году в качестве международного стандарта информационной безопасности ISO / IEC 15408.
Первая версия Общих критериев была опубликована 31 января 1996 г. Разработчиками документа выступили Национальный институт стандартов и технологий и Агентство национальной безопасности США, а также соответствующие организации Великобритании, Канады, Финляндии и Нидерландов. Вторая версия вышла в мае 1998 г., причем она отличается от первоначальной довольно существенными исправлениями и дополнениями.
Общие критерии сохраняют совместимость с существующими стандартами и развивают их путем введения новых концепций, соответствующих современному уровню развития информационных технологий, интеграции национальных информационных систем в единое мировое информационное пространство. Общие критерии оперируют уже знакомым понятием ИТ-продукт и используют концепцию профиля защиты.
Общие критерии разрабатывались в расчете на то, чтобы удовлетворить запросы трех групп специалистов, в равной степени являющихся пользователями таких документов: производителей и потребителей продуктов информационных технологий, а также экспертов по оценке уровня их безопасности.
Производители должны использовать Общие критерии при проектировании и разработке ИТ-продуктов, а также в подготовке их к квалификационному анализу и сертификации. Этот документ дает возможность производителям на основании анализа запросов потребителя определить набор требований, которым должен удовлетворять разрабатываемый ими продукт. Кроме того, производители могут использовать Общие критерии для определения границ своей ответственности, а также условий, которые необходимо выполнить для успешного прохождения квалификационного анализа и сертификации ими продукта.
Потребители используют предлагаемую Общими критериями технологию для обоснования своих претензий на то, что поставляемый им ИТ-продукт успешно противостоит угрозам безопасности, на основании того, что он удовлетворяет выдвинутым функциональным требованиям и их реализация осуществлена с достаточным уровнем адекватности.
Эксперты по сертификации используют этот документ в качестве критериев определения соответствия средств защиты ИТ-продукта требованиям, предъявляемым к нему потребителями, и угрозам, действующим в среде его эксплуатации. Общие критерии описывают только общую схему проведения квалификационного анализа и сертификации, но не регламентируют процедуру их осуществления. Вопросам методологии квалификационного анализа и сертификации посвящен отдельный раздел – Общая методология оценки безопасности информационных технологий.
Таким образом, Общие критерии обеспечивают нормативную поддержку процесса выбора ИТ-продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.
Общие критерии рассматривают информационную безопасность, во‑первых, как совокупность конфиденциальности и целостности, обрабатываемой ИТ-продуктом информации, а также доступности ресурсов ВС, и, во-вторых, ставят перед средствами защиты задачу противодействия угрозам, актуальным для среды эксплуатации этого продукта и реализации политики безопасности, принятой в этой среде эксплуатации. Поэтому в концепцию Общих критериев входят все аспекты процесса проектирования, производства и эксплуатации ИТ-продуктов, предназначенных для работы в условиях действия определенных угроз безопасности.
Общие критерии регламентируют все стадии разработки, квалификационного анализа и эксплуатации ИТ-продуктов используя схему, заимствованную из Федеральных критериев. Они предлагают достаточно сложную и бюрократичную концепцию процесса разработки и квалификационного анализа, требующую от потребителей и производителей большой работы по составлению и оформлению весьма объемных и подробных отчетных документов.
Разработчики Общих критериев также продолжили подход Федеральных критериев, направленный на отказ от единой шкалы безопасности и усилили гибкость предложенных в них решений путем введения частично упорядоченных шкал, благодаря чему потребители и производители получили дополнительные возможности по выбору требований и их адаптации к своим прикладным задачам.
Особое внимание стандарт уделяет адекватности реализации функциональных требований, которая обеспечивается как независимым тестированием и анализом ИТ-продукта, так и применением соответствующих технологий на всех этапах его проектирования и разработки.
В целом требования Общих критериев охватывают практически все аспекты безопасности ИТ-продуктов и технологии их создания, а также содержат все исходные материалы, необходимые потребителям и разработчикам для формирования соответствующих документов. Как следствие, требования Общих критериев являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника по безопасности информационных технологий.
Данный стандарт ознаменовал собой новый уровень стандартизации информационных технологий, подняв его на межгосударственный уровень. За этим проглядывается реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что даст возможности для интеграции национальных информационных систем, а это в свою очередь откроет совершенно новые сферы применения информационных технологий.
ГОСТ Р ИСО/МЭК 15408-2002 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий"
ГОСТ Р ИСО/МЭК 15408-2002 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" относится к разновидности стандартов, оформленных на основе аутентичного текста. Основой для него стал описанный выше международный стандарт ISO/IEС 15408-99 "Общие критерии безопасности информационных технологий" (далее – Общие критерии или ОК).
Общие критерии состоят из 3-х частей:
1. Введение и общая модель.
2. Функциональные требования безопасности.
3. Требования доверия к безопасности.
Область использования ОК включает как процесс разработки ИТ‑продуктов или АС, так и приобретение коммерческих продуктов и систем. При проведении оценки такой продукт или систему информационных технологий называют объектом оценки (ОО), к числу которых ОК относят: ВС, ОС, распределённые системы, вычислительные сети и приложения.
К числу основных пользователей ОК относит следующих физических и юридических лиц:
1. Сотрудников служб безопасности (СБ), ответственных за определение и выполнение политики и требований безопасности организации в области ИТ.
2. Сотрудников, ответственных за техническое состояние оборудования.
3. Аудиторов (внешних и внутренних).
4. Проектировщиков систем безопасности, ответственных за спецификацию систем безопасности и продуктов ИТ.
5. Аттестующих, ответственных за приёмку системы ИТ в эксплуатацию в конкретной среде.
6. Заявителей, заказывающих оценку и обеспечивающих её проведение.
7. Органы оценки, ответственных за руководство и надзор за программами проведения оценок безопасности ИТ.
Часть 1 стандарта включает методологию оценки безопасности ИТ, определяет виды требований безопасности (функциональные и доверия), основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах трёх категорий пользователей: потребителей, разработчиков и оценщиков продуктов и систем ИТ. Требования безопасности ОО по методологии Общих критериев определяются исходя из целей безопасности, которые, в свою очередь, основываются на анализе назначения ОО и условий среды его использования (угроз, предположений, политики безопасности).
В первой части определено от чего надо защищать информацию:
от несанкционированного раскрытия (конфиденциальность);
от модификации (целостность);
от потери возможности её использования (доступность).
Часть 2 стандарта включает универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
Часть 3 стандарта включает систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям. В этой же части содержится описание оценочных уровней доверия, определяющих шкалу требований, которые позволяют с возрастающей степенью полноты и строгости провести оценку проектной, тестовой и эксплуатационной документации, правильности функционирования комплекса средств безопасности, оценку уязвимостей продукта или системы ИТ, стойкости механизмов защиты и сделать заключение об уровне безопасности объекта оценки.
Некоторые вопросы рассматриваются как лежащие вне области действия ОК, поскольку они требуют привлечения специальных методов или являются смежными по отношению к безопасности ИТ. Часть из них перечислена ниже.
Стандарт не содержит критериев оценки безопасности, касающихся административных мер безопасности (организационные меры, управление персоналом, физическая защита и процедурный контроль), непосредственно не относящихся к мерам безопасности ИТ.
Оценка специальных физических аспектов безопасности ИТ, таких как контроль электромагнитного излучения, прямо не затрагивается, хотя многие концепции ОК применимы и в этой области. В частности, рассмотрены некоторые аспекты физической защиты ОО.
В ОК не рассматривается ни методология оценки, ни административно-правовая структура, в рамках которой критерии могут применяться органами оценки и сертификации. Тем не менее, ожидается, что ОК будут использоваться для целей оценки в контексте такой структуры и такой методологии.
Процедуры использования результатов оценки при аттестации продуктов и систем ИТ находятся вне области действия ОК. Аттестация продукта или системы ИТ является административным процессом, посредством которого предоставляются полномочия на их использование в конкретной среде эксплуатации.
Критерии для оценки специфических качеств криптографических алгоритмов также не входят в ОК. Если требуется независимая оценка математических свойств криптосистем, встроенной в ОО, то в системе оценки, в рамках которой применяются ОК, необходимо предусмотреть проведение таких оценок.
ОК определяют следующий перечень сокращений, являющихся обязательными для всех частей стандарта.
ЗБ (ST) – задание по безопасности;
ИТ (IT) – информационная технология;
ИФБО (TSFI) – интерфейс ФБО;
ОДФ (TSC) – область действия ФБО;
ОК (CC) – общие критерии;
ОО (TOE) – объект оценки;
ОУД (EAL) – оценочный уровень доверия;
ПБО (TSP) – политика безопасности ОО;
ПЗ (РР) – профиль защиты;
ПФБ (SFP) – политика функции безопасности;
СФБ (SOF) – стойкость функции безопасности;
ФБ (SF) – функция безопасности;
ФБО (TSF) – функция безопасности ОО.
Часть 1. Введение и общая модель
Первая часть стандарта включает описание рассмотренной выше структуры стандарта в целом, области его применения, список основных сокращений. Далее описывается используемый глоссарий, он представлен в табл.
Таблица
Глоссарий Общих критериев
| № | Термин | Смысловое содержание | Английский эквивалент |
| 1. | Активы | Информация или ресурсы, подлежащие защите контрмерами ОО | Assets |
| 2. | Атрибут безопасности | Информация, связанная с субъектами, пользователями и/или объектами, которая используется для осуществления ПБО | Security attribute |
| 3. | Аутентификаци-онные данные | Информация, используемая для верификации предъявленного идентификатора пользователя | Authentication data |
| 4. | Базовая СФБ | Уровень стойкости функции безопасности ОО, на котором, как показывает анализ, функция предоставляет адекватную защиту от случайного нарушения безопасности ОО нарушителями с низким потенциалом нападения | SOF - basic |
| 5. | Внешний объект ИТ | Любые продукт или система ИТ, доверенные или нет, находящиеся вне ОО и взаимодействующие с ним | External IT entity |
| 6. | Выбор | Выделение одного или нескольких элементов из перечня в компоненте | Selection |
| 7. | Внутренний канал связи | Канал связи между разделёнными частями ОО | Internal communication channel |
| 8. | Высокая СФБ | Уровень стойкости функции безопасности ОО, на котором, как показывает анализ, функция предоставляет адекватную защиту от тщательно спланированного и организованного нарушения безопасности ОО нарушителями с высоким потенциалом нападения | SOF - high |
| 9. | Данные ФБО | Данные, созданные ФБО или для ФБО, которые могут повлиять на выполнение ФБО | TSF data |
| 10. | Данные пользователя | Данные, созданные пользователем и для пользователя, которые не влияют на выполнение ФБО | User data |
| 11. | Доверенный канал | Средство взаимодействия между ФБО и удалённым доверенным продуктом ИТ, обеспечивающее необходимую степень уверенности в поддержании ПБО | Trusted channel |
| 12. | Доверенный маршрут | Средство взаимодействия между пользователем и ФБО, обеспечивающее необходимую степень уверенности в поддержании ПБО | Trusted path |
| 13. | Доверие | Основание для уверенности в том, что сущность отвечает своим целям безопасности | Assurance |
| 14. | Зависимость | Соотношение между требованиями, при котором требование, от которого зависят другие требования, должно быть, как правило, удовлетворено, чтобы и другие требования могли бы отвечать своим целям | Dependency |
| 15. | Задание по безопасности | Совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки конкретного ОО | Security target |
| 16. | Идентификатор | Представление уполномоченного пользователя (например, строка символов), однозначно его идентифицирующее. Таким представлением может быть либо полное или сокращённое имя этого пользователя, либо его псевдоним | Identity |
| 17. | Интерфейс функций безопасности ОО | Совокупность интерфейсов, как интерактивных (человеко-машинные интерфейсы), так и программных (интерфейсы прикладных программ), с использованием которых осуществляется доступ к ресурсам ОО при посредничестве ФБО или получение от ФБО какой-либо информации | TOE security functions interface |
| 18. | Итерация | Более чем однократное использование компонента при различном выполнении операций | Iteration |
| 19. | Класс | Группа семейств, объединённых общим назначением | Class |
| 20. | Компонент | Наименьшая выбираемая совокупность элементов, которая может быть включена в ПЗ, ЗБ или пакет | Component |
| 21. | Механизм проверки правомочности обращений | Реализация концепции монитора обращений, обладающая следующими свойствами: защищённостью от проникновения; постоянной готовностью; простотой, достаточной для проведения исчерпывающего анализа и тестирования | Reference validation mechanism |
| 22. | Модель политики безопасности ОО | Структурированное представление политики безопасности, которая должна быть осуществлена ОО | TOE security policy model |
| 23. | Монитор обращений | Концепция абстрактной машины, осуществляющей политику управления доступом ОО | Reference monitor |
| 24. | Назначение | Спецификация определённого параметра в компоненте | Assignment |
| 25. | Неформальный | Выраженный на естественном языке | Informal |
| 26. | Область действия ФБО | Совокупность возможных взаимодействий с ОО или в его пределах, которые подчинены правилам ПБО | TSF scope of control |
| 27. | Объект | Сущность в пределах ОДФ, которая содержит или получает информацию и над которой субъекты выполняют операции | Object |
| 28. | Объект оценки | Подлежащие оценке продукт ИТ или система с руководствами администратора и пользователя | Target of evaluation |
| 29. | Орган оценки | Организация, которая посредством системы оценки обеспечивает реализацию ОК для определённого сообщества и в связи с этим устанавливает стандарты и контролирует качество оценок, проводимых организациями в пределах данного сообщества | Evaluation authority |
| 30. | Оценка | Оценка ПЗ, ЗБ или ОО по определённым критериям | Evaluation |
| 31. | Оценочный уровень доверия | Пакет компонентов доверия из части 3 настоящего стандарта, представляющий некоторое положение на предопределённой в стандарте шкале доверия | Evaluation assurance level |
| 32. | Пакет | Предназначенная для многократного использования совокупность функциональных компонентов или компонентов доверия (например, ОУД), объединённых для удовлетворения совокупности определённых целей безопасности | Package |
| 33. | Передача в пределах ОО | Передача данных между разделёнными частями ОО | Internal TOE transfer |
| 34. | Передача за пределы области действия ФБО | Передача данных сущностям, не контролируемым ФБО | Transfer outside TSF control |
| 35. | Передача между ФБО | Передача данных между ФБО и функциями безопасности других доверенных продуктов ИТ | Inter-TSF transfers |
| 36. | Политика безопасности организации | Одно или несколько правил, процедур, практических приёмов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности | Organizational security policies |
| 37. | Политика безопасности ОО | Совокупность правил, регулирующих управление активами, их защиту и распределение в пределах ОО | TOE security policy |
| 38. | Политика функции безопасности | Политика безопасности, осуществляемая ФБ | Security function policy |
| 39. | Полуфор-мальный | Выраженный на языке с ограниченным синтаксисом и определённой семантикой | Semiformal |
| 40. | Пользователь | Любая сущность (человек-пользователь или внешний объект ИТ) вне ОО, которая взаимодействует с ОО | User |
| 41. | Потенциал нападения | Прогнозируемый потенциал для успешного (в случае реализации) нападения, выраженный в показателях компетентности, ресурсов и мотивации нарушителя | Attack potential |
| 42. | Продукт | Совокупность программных, программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определённые функциональные возможности и предназначенная для непосредственного использования или включения в различные системы | Product |
| 43. | Профиль защиты | Независимая от реализации совокупность требований безопасности для некоторой категории ОО, отвечающая специфическим запросам потребителя | Protection profile |
| 44. | Расширение | Добавление в ЗБ или ПЗ функциональных требований, не содержащихся в части 2 настоящего стандарта, и/или требований доверия, не содержащихся в части 3 настоящего стандарта | Extension |
| 45. | Ресурс ОО | Всё, что может использоваться или потребляться в ОО | TOE resource |
| 46. | Роль | Заранее определённая совокупность правил, устанавливающих допустимое взаимодействие между пользователем и ОО | Role |
| 47. | Связность | Свойство ОО, позволяющее ему взаимодействовать с объектами ИТ, внешними по отношению к ОО. Это взаимодействие включает обмен данными по проводным или беспроводным средствам на любом расстоянии, в любой среде или при любой конфигурации | Connectivity |
| 48. | Секрет | Информация, которая должна быть известна только уполномоченным пользователям и/или ФБО для осуществления определённой ПФБ | Secret |
| 49. | Семейство | Группа компонентов, которые объединены одинаковыми целями безопасности, но могут отличаться акцентами или строгостью | Family |
| 50. | Система | Специфическое воплощение ИТ с конкретным назначением и условиями эксплуатации | System |
| 51. | Система оценки | Административно-правовая структура, в рамках которой в определённом обществе органы оценки применяют ОК | Evaluation scheme |
| 52. | Средняя СФБ | Уровень стойкости функции безопасности ОО, на котором, как показывает анализ, функция предоставляет адекватную защиту от прямого или умышленного нарушения безопасности ОО нарушителями с умеренным потенциалом нападения | SOF - medium |
| 53. | Стойкость функции безопасности | Характеристика функции безопасности ОО, выражающая минимальные усилия, предположительно необходимые для нарушения её ожидаемого безопасного поведения при прямой атаке на лежащие в её основе механизмы безопасности | Strength of function |
| 54. | Субъект | Сущность в пределах ОДФ, которая инициирует выполнение операций | Subject |
| 55. | Уполномочен-ный пользователь | Пользователь, которому в соответствии с ПБО разрешено выполнять какую-либо операцию | Authorized user |
| 56. | Усиление | Добавление одного или нескольких компонентов доверия из части 3 настоящего стандарта в ОУД или пакет требований доверия | Augmentation |
| 57. | Уточнение | Добавление деталей в компонент | Refinement |
| 58. | Функции безопасности ОО | Совокупность всех функций безопасности ОО, направленных на осуществление ПБО | TOE security functions |
| 59. | Функция безопасности | Функциональные возможности части или частей ОО, обеспечивающие выполнение подмножества взаимосвязанных правил ПБО | Security function |
| 60. | Формальный | Выраженный на языке с ограниченным синтаксисом и определённой семантикой, основанной на установившихся математических понятиях | Formal |
| 61. | Человек-пользователь | Любое лицо, взаимодействующее с ОО | Human user |
| 62. | Цель безопасности | Изложенное намерение противостоять установленным угрозам и/или удовлетворять установленной политике безопасности организации и предположениям | Security objective |
| 63. | Элемент | Неделимое требование безопасности | Element |
Хотя ОК не предписывают конкретную методологию разработки или модель жизненного цикла, они, тем не менее представляют некоторые основополагающие предположения о соотношениях между требованиями безопасности и собственно разрабатываемым ОО. В основе данной методологии лежит уточнение требований безопасности, сведенных в краткую спецификацию в составе задания по безопасности, являющегося по сути исходным документом для разработки и последующей оценки (фактически некий аналог ТЗ). Каждый последующий уровень уточнения представляет декомпозицию проекта с его дополнительной детализацией. Наиболее подробным (и наименее абстрактным) представлением в итоге является непосредственно реализация ОО.
Количество уровней детализации при этом зависит от уровня доверия, который требуется обеспечить. В ОК предусмотрены следующие промежуточные этапы детализации, формируемые на основе задания по безопасности: функциональная спецификация, проект верхнего уровня, проект нижнего уровня и реализация.
С методологией создания ОО тесно связан процесс его оценки, который может проводиться как параллельно с разработкой, так и после ее окончания. Основными исходными материалами для оценки ОО являются:
совокупность материалов, характеризующих ОО, включая прошедшее оценку ЗБ в качестве основы;
сам ОО, безопасность которого требуется оценить;
критерии, методология и система оценки.
Кроме того, в качестве исходных материалов для оценки возможно также использование вспомогательных материалов и специальных знаний в области безопасности ИТ, которыми располагает оценщик и сообщество участников оценок.
Ожидаемым результатом оценки является подтверждение удовлетворения объектом оценки требований безопасности, изложенных в его ЗБ, а также один или несколько отчетов, документирующих выводы оценщика относительно ОО, сделанные в соответствии с критериями оценки. Такие отчеты, помимо разработчика, очевидно, будут полезны также реальным и потенциальным потребителям продукта или системы.
Таким образом, основой разработки и эксплуатации любого ОО в Общих критериях провозглашается совокупность требований безопасности.
В ОК определены 3 группы конструкций для описания требований безопасности: пакет, профиль защиты (ПЗ) и задание по безопасности (ЗБ).
Пакет представляет собой некую промежуточную комбинацию компонентов безопасности. Он предназначен для многократного использования и определяет требования, которые известны как полезные и эффективные для достижения некоторых установленных целей. Допускается применение пакета при создании более крупных пакетов, профилей защиты и заданий по безопасности.
Профиль защиты содержит совокупность требований безопасности, взятых из ОК или сформулированных в явном виде. ПЗ позволяет выразить независимые от конкретной реализации требования безопасности для некоторой совокупности ОО, которые полностью согласуются с набором целей безопасности. ПЗ также предназначен для многократного использования и определения как функциональных требований, так и требований доверия к ОО, которые полезны и эффективны для достижения установленных целей. ПЗ также содержит логическое обоснование требований и целей безопасности.
Задание по безопасности содержит совокупность требований безопасности, которые могут быть определены ссылками на ПЗ, непосредственно на функциональные компоненты или компоненты доверия или же сформулированы в явном виде. ЗБ позволяет выразить требования безопасности для конкретного ОО, которые по результатам оценки ЗБ признаны полезными и эффективными для достижения установленных целей безопасности. ЗБ является основой для соглашения между всеми сторонами относительно того, какую безопасность предлагает ОО.
В первой части ОК подробно описан и процесс формирования требований безопасности, поскольку данные требования, выраженные в итоге в ЗБ, должны быть обоснованы и непротиворечивы, достаточны, после чего только на их основе производится оценка ОО.
В соответствии с ОК на основании исследования политик безопасности, угроз и рисков должны быть сформированы следующие материалы, относящиеся к безопасности:
изложение предположений, которым удовлетворяла бы среда разрабатываемой ИТ для того, чтобы она считалась безопасной;
изложение угроз безопасности активов, в котором были бы идентифицированы все угрозы, при этом угрозы раскрываются через понятия агента угрозы (нарушителя), предполагаемого метода нападения, любых уязвимостей, которые являются предпосылкой для нападения, и идентификации активов, которые являются целью нападения;
изложение политики безопасности, применяемой в организации, для системы ИТ такая политика может быть описана достаточно точно, тогда как для продуктов ИТ общего предназначения или класса продуктов о политике безопасности организации могут быть сделаны, при необходимости, только рабочие предположения.
Результаты анализа среды безопасности затем должны использоваться для установления целей безопасности, которые направлены на противостояние установленным угрозам, а также проистекают из установленной политики безопасности организации и сделанных предположений. Необходимо, чтобы цели безопасности были согласованы с определенными ранее целями применения или предназначением продукта, а также со сведениями о физической среде.
Требования безопасности являются результатом преобразования целей безопасности в совокупность требований безопасности для объекта оценки и требований безопасности для среды, которые, в случае их удовлетворения, обеспечат для него способность достижения его целей безопасности.
Имеется две различные категории требований безопасности – функциональные требования и требования доверия.
Функциональные требования налагаются на те функции, которые предназначены для поддержания безопасности ОО и определяют желательный безопасный режим функционирования. Примерами функциональных требований являются требования к идентификации, аутентификации, аудиту безопасности и т.д.
Требования доверия налагаются на действия разработчика, представленные свидетельства и действия оценщика. Примерами требований доверия являются требования к строгости процесса разработки, по поиску потенциальных уязвимостей и анализу их влияния на безопасность.
Требования безопасности обычно включают как требования наличия желательных режимов функционирования, так и требования отсутствия нежелательных режимов. Наличие желательного режима обычно можно продемонстрировать путем непосредственного применения или испытаний (тестирования). Не всегда удается убедительно продемонстрировать отсутствие нежелательного режима. Уменьшению риска наличия нежелательного режима в значительной мере способствуют испытания (тестирование), экспертиза проекта и окончательной реализации.
