Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 15408-2-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности

Приложение Н
(обязательное)

     
Управление безопасностью (FMT)


Класс FMT предназначен для спецификации управления некоторыми аспектами ФБО: атрибутами безопасности, данными и отдельными функциями. Могут быть также установлены различные роли управления и определено их взаимодействие, например распределение обязанностей.

Если ОО состоит из нескольких физически разделенных частей, то проблемы синхронизации, относящиеся к распространению атрибутов безопасности, данных ФБО и модификации функций, становятся очень сложными, особенно когда требуется дублирование информации в различных частях ОО. Эти проблемы следует принять во внимание при выборе компонентов FMT_REV.1 "Отмена" и FMT_SAE.1 "Ограниченная по времени авторизация", поскольку при этом возможно нарушение нормального выполнения ФБО. В такой ситуации рекомендуется воспользоваться компонентами семейства FPT_TRC "Согласованность данных ФБО при дублировании в пределах ОО".

Декомпозиция класса FMT на составляющие его компоненты приведена на рисунке Н.1.


Рисунок Н.1 - Декомпозиция класса FMT "Управление безопасностью"

Н.1 Управление отдельными функциями ФБО (FMT_MOF)
     

    Н.1.1 Замечания для пользователя

Функции управления из числа ФБО дают уполномоченным пользователям возможность устанавливать операции безопасности ОО и управлять ими. Эти административные функции обычно подразделяются на несколько категорий;

a) функции управления, относящиеся к управлению доступом, учету пользователей и аутентификации, реализованные в ОО. Например, определение и обновление характеристик безопасности пользователей (таких, как уникальные идентификаторы, ассоциированные с именами пользователей, учетные данные пользователей, параметры входа в систему), определение и обновление средств управления аудитом системы (выбор событий аудита, управление журналами аудита, анализ журнала аудита и генерация отчетов аудита), определение и обновление атрибутов политики, назначенных пользователю (таких, как уровень допуска), определение системных меток управления доступом, управление группами пользователей;

b) функции управления, относящиеся к контролю доступности. Например, определение и модификация параметров доступности или квот ресурсов;

c) функции управления, связанные в основном с инсталляцией и конфигурацией. Например, конфигурация ОО, ручное восстановление, инсталляция исправлений, относящихся к безопасности ОО (при их наличии), восстановление и реинсталляция аппаратных средств;

d) функции управления, связанные с текущим управлением и сопровождением ресурсов ОО. Например, подключение и отключение периферийных устройств, установка съемных носителей памяти, резервное копирование и восстановление.

Следует отметить, что эти функции требуется представить в ОО на основе семейств, включенных в ПЗ или ЗБ. Автор ПЗ/ЗБ должен предусмотреть необходимые функции, обеспечивающие управления ОО безопасным образом.

Допускается включение в число ФБО функций, которыми может управлять администратор. Например, могут быть предусмотрены отключение функций аудита, переключение синхронизации времени, модификация механизма аутентификации.

Н.1.2 FMT_MOF.1 Управление режимом выполнения функций безопасности
     

    Н.1.2.1 Замечания по применению для пользователя

Компонент FMT_MOF.1 предоставляет идентифицированным ролям возможность управления функциями из числа ФБО. Может потребоваться выяснить текущее состояние функции безопасности, отключить или подключить функцию безопасности, модифицировать режим ее выполнения. Примером модификации режима выполнения является изменение механизмов аутентификации.

Н.1.2.2 Операции
     

    Н.1.2.2.1 Выбор

В FMT_MOF.1.1 автору ПЗ/ЗБ следует выбрать для роли возможность следующих действий: определение режима выполнения функций безопасности, отключение функций безопасности, подключение функций безопасности и/или модификация режима выполнения функций безопасности.

Н.1.2.2.2 Назначение

В FMT_MOF.1.1 автору ПЗ/ЗБ следует специфицировать функции, которые могут быть модифицированы идентифицированными ролями. Примерами таких функций являются функции аудита или определения времени.

В FMT_MOF.1.1 автору ПЗ/ЗБ следует специфицировать роли, которые допускаются к модификации функций из числа ФБО. Все возможные роли специфицированы в FMT_SMR.1 "Роли безопасности".

Н.2 Управление атрибутами безопасности (FMT_MSA)
     

    Н.2.1 Замечания для пользователя

Семейство FMT_MSA определяет требования по управлению атрибутами безопасности.