8.3 確定安全要求（PEN_ISR）

8.3.1　安全保障工程目的

確定安全要求的目的在于，明確地為系統標識出與安全相關的需求。指定安全需求涉及定義系統安全的基本原則，以此滿足有關安全的所有法律、策略、組織要求。這些需求按照系統的目標運行安全的前后聯系、組織的當前安全和系統環境，以及一系列被標識的安全目標來進行裁剪。與安全相關的需求集合被定義為系統安全的基線。
確定安全要求的目標是在所有部門，包括顧客之間達成對安全要求的共同認識。
圖12描述了確定安全要求（PEN_ISR）安全工程保障控制子類組成結構。
。

8.3.2　PEN_ISR.1 獲得對顧客安全需求的理解

8.3.2.1　安全工程保障控制組件控制

應獲得對顧客安全需求的理解。

8.3.2.2　安全工程保障控制組件注解

術語“顧客”可指產品、系統或服務的特定接收人，或者指基于市場調查或以產品作為目標的普通接收人。
工作產品示例：
a) 顧客安全需求的陳述――對顧客所要求的安全的高層描述

8.3.3　PEN_ISR.2 標識可用的法律、策略和約束

8.3.3.1　安全工程保障控制組件控制

應標識出管理該系統的法律、策略、標準外部影響和約束。
這一基本實踐的目的在于，收集所有對系統安全產生影響的外部影響。一個具有可適用性的決定應標識出支配系統目標環境的法律、規則、策略和商務標準。應執行全局和局部間優先權的決定。由系統顧客對系統提出的安全需求必須被標識并提出安全含意。

8.3.3.2　安全工程保障控制組件注解

當系統要跨越多個物理域時需要進行特殊考慮。不同的國家和不同類型的商務活動中的法律和規則可能會發生沖突。作為標識過程的一部分，沖突應按最小化原則加以標識，并在可能條件下予以解決。
工作產品示例：
a) 安全約束――影響系統安全的法律、策略、規則和其它約束條件
b) 安全輪廓――安全環境（威脅、組織策略）；安全目標（例如，需對抗的威脅）；安全功能和保證需求；開發出滿足目標需求的系統合理性。

8.3.4　PEN_ISR.3 標識系統安全關聯性

8.3.4.1　安全工程保障控制組件控制

要標識系統安全關聯性，應標識出系統的用途，并以此來決定安全上下文關系。
這一基本實踐的目的在于標識出系統間的關系是如何影響安全的。它涉及了對系統（例如，情報、金融、醫療）用途的理解。任務的處理和運行概要作為安全因素加以評估。對系統遭受到的，或可能的威脅，在這一階段有深入理解。評估性能和功能需求對安全可能產生的影響。就安全含意而言，運行的約束條件也要受到檢查。
為定義的系統安全邊界，環境可能也包括與其它組織或系統的接口。接口部件被確定為位于安全邊界的內側或外側。
組織的許多外部因素也影響組織安全需求的變化程度。這些因素包括策略上的傾向性和策略重點的改變、技術開發、經濟影響、全局性事件以及信息戰。由于這些因素沒有一個是靜態的，它們需要監視和定期地評估這些變化潛在的影響。

8.3.4.2　安全工程保障控制組件注解

系統的安全邊界不必與系統邊界等同。例如，安全邊界可以包括系統駐留的設備和運行該系統的人，而系統邊界則可能停在人機界面處。可以認為，就訪問控制而言，這一擴展的安全邊界可使物理方法成為除了純技術方面以外的有效安全措施。
工作產品示例：
a) 預期的威脅環境――對系統資產的已知或假定的威脅；包括威脅作用力（專門技術、可用資源、動機）；攻擊（方法、可開發的脆弱性、機會）；資產
b) 評估目標――描述被評估的系統或產品的安全特性（類型、預期的應用、通用特性、使用限制）

8.3.5　PEN_ISR.4 收集系統運行的安全思想

8.3.5.1　安全工程保障控制組件控制

收集系統運行的面向安全的高層次思想。
本基本實踐的目的在于開發一個高層的、面向安全的規劃思想，包括任務、職責信息流、資產、資源、人員保護以及物理保護。這一描述應該包括對規劃如何都能在系統要求約束條件內實施的討論。系統的這一思想在運行安全概念中典型地被提了出來，而且應該包括一個有關系體系結構、過程和環境的高層的安全思想。與系統開發環境有關的要求也要在這一階段進行收集。

8.3.5.2　安全工程保障控制組件注解

無。
工作產品示例：
a) 運行安全概念――系統高層的、面向安全的思想（任務、職責、資產、信息流、過程）
b) 概念性安全體系結構――一個安全體系結構的概念性見解；見PEN_PSI.3安全體系結構。

8.3.6　PEN_ISR.5 收集安全的高層目標

8.3.6.1　安全工程保障控制組件控制

收集定義系統安全的高層目標。
本基本實踐的目的在于，標識出在運行環境中怎樣提供足夠的安全才能為該系統滿足其安全目標。PAS_EAE“建立保證證據”中確定的系統保證目標可能對安全目標產生影響。

8.3.6.2　安全工程保障控制組件注解

目標應該是盡可能地獨立于任何特殊的具體實現。當其為了做出有科學依據的工程選擇而要決定安全約束條件和考慮時，如果因現有環境而存在特殊約束條件，那么它們應在PEN_PSI“提供安全輸入”中被提出。作為最低限度安全目標應提出系統和信息的可用性、可記錄性、真實性、機密性、完整性和可靠性要求。
工作產品示例：
a) 運行/環境的安全策略――支配資產怎樣在一個組織的內部和外部進行管理、保護和發布的規則、指令和實施。
b) 系統安全策略——支配資產怎樣被系統或產品進行管理、保護和發布的規則、指令和實施。

8.3.7　PEN_ISR.6 定義安全相關需求

8.3.7.1　安全工程保障控制組件控制

定義一套確定在系統中實施保護措施的一致性陳述。
本基本實踐的目的在于定義與系統的安全相關的需求。這一實施應確保每個需求與可適用的策略、法律、標準、安全需求以及系統的約束條件協調一致。這些需求應完全地定義出系統的安全需求，包括那些通過非技術手段提供的需求。通常有必要定義或確定目標的邏輯或物理邊界，以確保所有的方面都被提到。這些需求應與系統目標建立映射關系或發生關聯。與安全相關的需求應被清楚地、簡明地陳述，而且彼此不應發生矛盾。無論何時，安全都應將對系統功能和性能的任何影響降到最小。與安全相關的需求應為在目標環境中對系統安全的評價提供一個基礎。

8.3.7.2　安全工程保障控制組件注解

許多需求應用于多種科目，所以幾乎沒有什么需求是安全所專有的。因此，這一過程域需要同其它的科目進行大量的協調，正確地產生出系統真正所需的結果。與這些相互作用相關的活動在PEN_PSI“安全協調”中有描述。
工作產品示例：
a) 與安全相關的需求――直接影響系統的安全運行，或強迫與某一特殊安全策略的一致性需求。
b) 可跟蹤模型――將安全需求映射成為必需條件、解決方法（例如，體系結構、設計、實現）、測試和測試結果。

8.3.8　PEN_ISR.7 達成安全協議

8.3.8.1　安全工程保障控制組件控制

達成特殊安全滿足顧客需求的協議。
本基本實踐的目的在于，在系統的安全需求中所有適用部分與特定安全之間達成協議。在未被標識的特殊用戶，而不是一個通用用戶組的情況下，特定安全要滿足目標設置。特定的安全應該是完整地、一致地反映對策略、法律和用戶需求的管理。問題應被標識并修改直到達成協議。

8.3.8.2　安全工程保障控制組件注解

重要的是確保達成一致的東西能真正地被所有相關事物理解，并且理解得完全一樣。需要特別關注的是，要確保安全需求意味著對過程中包含的所有部分具有同樣含義。
工作產品示例：
a) 被審定的安全目標――陳述需對抗的已標識的威脅，和/或遵從已標識的安全策略（已被顧客認可）的計劃。
b) 與安全相關的需求基線――在特定的重要階段，被所有的適用部分（特別是顧客）認可的，與安全相關的最低要求。