Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     10.7.3 Оценка руководства пользователя (AGD_USR.1)

10.7.3.1 Цели

Цель данного подвида деятельности - сделать заключение, описаны ли в руководстве пользователя функции безопасности и интерфейсы ФБО и содержит ли данное руководство инструкции и указания по безопасному использованию ОО.

10.7.3.2 Исходные данные

Свидетельствами оценки для этого подвида деятельности являются:

а) ЗБ;

b) функциональная спецификация;

c) руководство пользователя;

d) руководство администратора;

e) процедуры безопасной установки, генерации и запуска.

10.7.3.3 Замечания по применению

В ЗБ могут быть определены несколько различных ролей или групп пользователей, опознаваемых объектом оценки и взаимодействующих с ФБО. Возможности этих ролей и связанные с ними привилегии описывают в ЗБ в классе FMT "Управление безопасностью". Различные роли и группы пользователей должны быть рассмотрены в руководстве пользователя.

10.7.3.4 Действие AGD_USR.1.1E

10.7.3.4.1 Шаг оценивания 1:AGD_USR.1-1

ИСО/МЭК 15408-3 AGD_USR.1.1С: Руководство пользователя должно содержать описание функций и интерфейсов, которые доступны пользователям ОО, не связанным с администрированием.

Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описаны ли в нем функции безопасности и интерфейсы, доступные пользователям ОО, не связанным с администрированием.

В руководстве пользователя должен быть помещен краткий обзор функциональных возможностей безопасности, видимых через интерфейсы пользователя.

В руководстве пользователя должны быть идентифицированы эти интерфейсы и функции безопасности и описано их назначение.

10.7.3.4.2 Шаг оценивания 1:AGD_USR.1-2

ИСО/МЭК 15408-3 AGD_USR.1.2C: Руководство пользователя должно содержать описание применения доступных пользователям функций безопасности, предоставляемых ОО.

Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описано ли в нем применение доступных пользователю функций безопасности, предоставляемых ОО.

В руководстве пользователя должны быть идентифицированы и описаны режимы применения и взаимосвязь интерфейсов и функций безопасности, доступных пользователю.

Если пользователю разрешен вызов некоторой функции безопасности ОО, то в руководстве пользователя должно быть приведено описание интерфейсов этой функции, доступных пользователю.

Для каждых интерфейса и функции безопасности в руководстве пользователя должны быть описаны:

a) метод (методы) вызова интерфейса (например, с использованием командной строки, системных вызовов языка программирования, меню, командной клавиши);

b) параметры, устанавливаемые пользователем, их допустимые значения и значения по умолчанию;

c) реакция, сообщения или коды возврата непосредственно от ФБО.

10.7.3.4.3 Шаг оценивания 1:AGD_USR.1-3

ИСО/МЭК 15408-3 AGD_USR.1.3C: Руководство пользователя должно содержать предупреждения относительно доступных для пользователей функций и привилегий, которые следует контролировать в безопасной среде обработки информации.