Три роли (из многих), для которых не следует использовать ПЗ:
- детальная спецификация: ПЗ разрабатывается в качестве спецификации безопасности на относительно высоком уровне абстракции. Обычно в ПЗ не следует включать детальные спецификации протоколов, детальное описание алгоритмов и (или) механизмов, длинное описание детализированных операций и т. д.;
- полная спецификация: ПЗ разрабатывается в качестве спецификации безопасности, а не общей спецификации. Кроме относящихся к безопасности, другие характеристики, такие как возможности взаимодействия, физические размеры и масса, требуемое напряжение и т. д., не следует включать в ПЗ. Это означает, что в целом ПЗ может быть частью полной спецификации, но не полной спецификацией сам по себе.
- спецификация некоторого отдельно взятого продукта. В отличие от ЗБ, ПЗ разрабатывается для описания определенного типа продуктов ИТ, а не отдельно взятого продукта ИТ. При описании некоторого отдельно взятого продукта ИТ лучше использовать для этой цели ЗБ.
Рисунок В.1 — Содержание профиля защиты
[из В.3.2 Как не следует использовать ПЗ ГОСТ Р ИСО/МЭК 15408–1–2012]