ГОСТ Р ИСО МЭК 15408-2 2007 (1027764), страница 42
Текст из файла (страница 42)
Например, определение имодификация параметров доступности или квот ресурсов.c) Функции управления, связанные в основном с инсталляцией и конфигурацией. Например,конфигурация ОО, ручное восстановление, инсталляция исправлений, относящихся к безопасности ОО (при их наличии), восстановление и реинсталляция аппаратных средств.d) Функции управления, связанные с текущим управлением и сопровождением ресурсов ОО.Например, подключение и отключение периферийных устройств, установка съемных носителейпамяти, резервное копирование и восстановление объектов пользователей и системы.Отметим, что эти функции требуется представить в ОО на основе семейств, включенных вПЗ или ЗБ.
Автор ПЗ/ЗБ должен предусмотреть необходимые функции, обеспечивающие управления системой безопасным образом.Допускается включение в число ФБО функций, которыми может управлять администратор.Например, могут быть предусмотрены отключение функций аудита, переключение синхронизациивремени, модификация механизма аутентификации.H.1.2 FMT_MOF.1 Управление режимом выполнения функций безопасностиH.1.2.1 Замечания по применению для пользователяКомпонент FMT_MOF.1 предоставляет идентифицированным ролям возможность управления функциями из числа ФБО.
Может потребоваться выяснить текущее состояние функции безопасности, отключить или подключить функцию безопасности, модифицировать режим ее выполнения. Примером модификации режима выполнения является изменение механизмов аутентификации.H.1.2.2 ОперацииH.1.2.2.1 ВыборВ FMT_MOF.1.1 автору ПЗ/ЗБ следует выбрать для роли возможность следующих действий:определение режима выполнения функций безопасности, отключение функций безопасности, подключение функций безопасности и/или модификация режима выполнения функций безопасности.H.1.2.2.2 НазначениеВ FMT_MOF.1.1 автору ПЗ/ЗБ следует специфицировать функции, которые могут быть модифицированы идентифицированными ролями.
Примерами таких функций являются функции аудита или определения времени.В FMT_MOF.1.1 автору ПЗ/ЗБ следует специфицировать роли, которые допускаются к модификации функций из числа ФБО. Все возможные роли специфицированы в FMT_SMR.1 «Ролибезопасности».H.2 Управление атрибутами безопасности (FMT_MSA)H.2.1 Замечания для пользователяСемейство FMT_MSA определяет требования по управлению атрибутами безопасности.У пользователей, субъектов и объектов есть ассоциированные атрибуты безопасности, которые оказывают влияние на режим выполнения ФБО. Примерами атрибутов безопасности являются группы, в которые входит пользователь, роли, которые он может принимать, приоритет процесса (субъекта), а также права, которыми наделены роль или пользователь. Может возникнутьнеобходимость в управлении этими атрибутами безопасности со стороны пользователя, субъектаили специально уполномоченного пользователя (пользователя с явно предоставленными правамидля такого управления).194ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)Отметим, что право на назначение прав пользователям само по себе является атрибутомбезопасности и/или потенциальным субъектом управления в компоненте FMT_MSA.1 «Управлениеатрибутами безопасности».Компонент FMT_MSA.2 «Безопасные значения атрибутов безопасности» можно использовать для обеспечения, чтобы выбранное сочетание атрибутов безопасности находилось в рамкахбезопасного состояния.
Определение, что понимать как "безопасное", возлагается на руководстваОО и модель ПБО. Если разработчик предоставил четкое определение безопасных значений и доводы, почему их следует считать безопасными, зависимостью FMT_MSA.2 «Безопасные значенияатрибутов безопасности» от ADV_SPM.1 «Неформальная модель политики безопасности ОО»можно пренебречь.В некоторых случаях субъекты, объекты или учетные данные пользователей создаются заново. Если при этом не заданы явно значения атрибутов безопасности, связанные с субъектами,объектами или пользователями, то необходимо использовать значения по умолчанию. КомпонентFMT_MSA.1 можно использовать для определения, что этими значениями, задаваемыми по умолчанию, можно управлять.H.2.2 FMT_MSA.1 Управление атрибутами безопасностиH.2.2.1 Замечания по применению для пользователяКомпонент FMT_MSA.1 допускает пользователей, исполняющих некоторые роли, к управлению идентифицированными атрибутами безопасности.
Принятие роли пользователем осуществляется в компоненте FMT_SMR.1 «Роли безопасности».Задаваемым по умолчанию называется значение параметра, которое он принимает, когдаотображается без специально указанного значения. Начальное же значение предоставляется приотображении (создании) параметра, замещая заданное по умолчанию.H.2.2.2 ОперацииH.2.2.2.1 НазначениеВ FMT_MSA.1.1 автору ПЗ/ЗБ следует указать ПФБ управления доступом или информационными потоками, для которой применимы атрибуты безопасности.H.2.2.2.2 ВыборВ FMT_MSA.1.1 автору ПЗ/ЗБ следует специфицировать операции, которые можно применять к идентифицированным атрибутам безопасности.
Автор ПЗ/ЗБ может специфицировать, чтороль допускается к изменению задаваемых по умолчанию значений атрибутов безопасности, запросу и модификации значений атрибутов безопасности, полному удалению атрибутов безопасности, а также определить собственные операции с ними.H.2.2.2.3 НазначениеВ FMT_MSA.1.1 автору ПЗ/ЗБ следует специфицировать атрибуты безопасности, которымимогут оперировать идентифицированные роли. Допускается, что автор ПЗ/ЗБ специфицирует возможность управления задаваемыми по умолчанию величинами, такими как задаваемые по умолчанию права доступа. Примерами этих атрибутов безопасности являются: уровень допуска, приоритет уровня обслуживания, список управления доступом, права доступа по умолчанию.В FMT_MSA.1.1 автору ПЗ/ЗБ следует специфицировать роли, которые допущены к операциям с атрибутами безопасности. Все возможные роли специфицированы в FMT_SMR.1.В FMT_MSA.1.1, если сделан соответствующий выбор, автору ПЗ/ЗБ следует специфицировать, какие дополнительные операции может выполнять роль.
Примером такой операции можетбыть "создать".H.2.3 FMT_MSA.2 Безопасные значения атрибутов безопасностиH.2.3.1 Замечания по применению для пользователя195ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)Компонент FMT_MSA.2 содержит требования к значениям, которые могут присваиваться атрибутам безопасности. Следует присваивать такие значения, чтобы ОО оставался в безопасномсостоянии.Определение, что является "безопасным", в этом компоненте не раскрывается, но оставленодля класса «Разработка» (конкретно, для компонента ADV_SPM.1 «Неформальная модель политики безопасности ОО») и руководств.
Примером может служить нетривиальный пароль, назначаемый пользователю при регистрации.H.2.4 FMT_MSA.3 Инициализация статических атрибутовH.2.4.1 Замечания по применению для пользователяКомпонент FMT_MSA.3 содержит требования, чтобы ФБО предоставлял возможность какприсвоения атрибутам безопасности объектов значений по умолчанию, так и их замены начальными значениями. Действительно, для новых объектов возможно иметь при создании различающиеся значения атрибутов безопасности, если существует механизм спецификации полномочийво время создания объекта.H.2.4.2 ОперацииH.2.4.2.1 НазначениеВ FMT_MSA.3.1 автору ПЗ/ЗБ следует указать ПФБ управления доступом или информационными потоками, для которой применимы атрибуты безопасности.H.2.4.2.2 ВыборВ FMT_MSA.3.1 автору ПЗ/ЗБ следует специфицировать, будут ли заданные по умолчаниюсвойства атрибутов управления доступом ограничивающими, разрешающими или иного характера.В последнем случае автору ПЗ/ЗБ следует уточнить характер этих свойств.
Может быть выбрантолько один из представленных вариантов.H.2.4.2.3 НазначениеВ FMT_MSA.3.1, если автор ПЗ/ЗБ выбирает другое свойство, то ему следует специфицировать требуемые характеристики значений по умолчанию.В FMT_MSA.3.2 автору ПЗ/ЗБ следует специфицировать роли, которые допущены к модификации значений атрибутов безопасности. Все возможные роли специфицированы в FMT_SMR.1«Роли безопасности».H.3 Управление данными ФБО (FMT_MTD)H.3.1 Замечания для пользователяСемейство FMT_MTD устанавливает требования по управлению данными ФБО. Примерамиданных ФБО являются текущее время и журнал аудита. Например, это семейство дает возможность специфицировать, кому разрешено читать, удалять или создавать журнал аудита.H.3.2 FMT_MTD.1 Управление данными ФБОH.3.2.1 Замечания по применению для пользователяКомпонент FMT_MTD.1 позволяет пользователям, которым присвоены определенные роли,управлять значениями данных ФБО.
Назначение пользователей на роль рассмотрено в компоненте FMT_SMR.1 «Роли безопасности».Задаваемым по умолчанию называется значение параметра, которое он принимает, когдаотображается без специально указанного значения. Начальное же значение предоставляется приотображении (создании) параметра, замещая заданное по умолчанию.196ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)H.3.2.2 ОперацииH.3.2.2.1 ВыборВ FMT_MTD.1.1 автору ПЗ/ЗБ следует специфицировать операции, которые могут быть применены к идентифицированным данным ФБО. Автор ПЗ/ЗБ может специфицировать, что роль может изменять заданные по умолчанию значения, выполнять очистку, чтение, модификацию илиполное удаление данных ФБО.
По желанию автор ПЗ/ЗБ может специфицировать какой-либо типоперации. "Очистка данных ФБО" означает, что содержание данных удаляется, но сама сущностьостается в системе.H.3.2.2.2 НазначениеВ FMT_MTD.1.1 автору ПЗ/ЗБ следует специфицировать, какими данными ФБО могут оперировать идентифицированные роли. Допускается, что автор ПЗ/ЗБ специфицирует возможностьуправления значениями, задаваемыми по умолчанию.В FMT_MTD.1.1 автору ПЗ/ЗБ следует специфицировать роли, которые допущены к операциям с данными ФБО. Все возможные роли специфицированы в FMT_SMR.1 «Роли безопасности».В FMT_MTD.1.1, если сделан соответствующий выбор, автору ПЗ/ЗБ следует специфицировать, какие дополнительные операции может выполнять роль.
Примером такой операции можетбыть "создать".H.3.3 FMT_MTD.2 Управление ограничениями данных ФБОH.3.3.1 Замечания по применению для пользователяКомпонент FMT_MTD.2 специфицирует граничные значения для данных ФБО и действия,предпринимаемые в случае их превышения. Могут быть указаны, например, допустимый объемжурнала аудита и действия при его переполнении.H.3.3.2 ОперацииH.3.3.2.1 НазначениеВ FMT_MTD.2.1 автору ПЗ/ЗБ следует специфицировать данные ФБО, имеющие ограничения, и значения этих ограничений. Примером таких данных ФБО является число пользователей,осуществивших вход в систему.В FMT_MTD.2.1 автору ПЗ/ЗБ следует специфицировать роли, которые допущены к модификации как ограничений данных ФБО, так и действий в случае нарушения ограничений.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
