Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     11.7.3 Оценка руководства пользователя (AGD_USR.1)

11.7.3.1 Цели

Цель данного подвида деятельности - сделать заключение, описаны ли в руководстве пользователя функции безопасности и интерфейсы ФБО и содержит ли данное руководство инструкции и указания по безопасному использованию OO.

11.7.3.2 Исходные данные

Свидетельствами оценки для этого подвида деятельности являются:

а) ЗБ;

b) функциональная спецификация;

с) проект верхнего уровня;

d) руководство пользователя;

e) руководство администратора;

f) процедуры безопасной установки, генерации и запуска.

11.7.3.3 Замечания по применению

В ЗБ могут быть определены несколько различных ролей или групп пользователей, опознаваемых объектом оценки и взаимодействующих с ФБО. Возможности этих ролей и связанные с ними привилегии описывают в ЗБ в классе FMT "Управление безопасностью". Различные роли и группы пользователей должны быть рассмотрены в руководстве пользователя.

11.7.3.4 Действие AGD_USR.1.1Е

11.7.3.4.1 Шаг оценивания 2:AGD_USR.1-1

ИСО/МЭК 15408-3 AGD_USR.1.1С: Руководство пользователя должно содержать описание функций и интерфейсов, которые доступны пользователям OO, не связанным с администрированием.

Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описаны ли в нем функции безопасности и интерфейсы, доступные пользователям OO, несвязанным с администрированием.

В руководстве пользователя должен быть помещен краткий обзор функциональных возможностей безопасности, видимых через интерфейсы пользователя.

В руководстве пользователя должны быть идентифицированы эти интерфейсы и функции безопасности и описано их назначение.

11.7.3.4.2 Шаг оценивания 2:AGD_USR.1-2

ИСО/МЭК 15408-3 AGD_USR.1.2С: Руководство пользователя должно содержать описание применения доступных пользователям функций безопасности, предоставляемых OO.

Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, описано ли в нем применение доступных пользователю функций безопасности, предоставляемых OO.

В руководстве пользователя должны быть идентифицированы и описаны режимы применения и взаимосвязь интерфейсов и функций безопасности, доступных пользователю.

Если пользователю разрешен вызов некоторой функции безопасности OO, то в руководстве пользователя должно быть приведено описание интерфейсов этой функции, доступных пользователю.

Для каждых интерфейса и функции безопасности в руководстве пользователя должны быть описаны:

a) метод (методы) вызова интерфейса (например, с использованием командной строки, системных вызовов языка программирования, меню, командной клавиши);

b) параметры, устанавливаемые пользователем, их допустимые значения и значения по умолчанию;

c) реакция, сообщения или коды возврата непосредственно от ФБО.

11.7.3.4.3 Шаг оценивания 2:AGD_USR.1-3