• Реклама

  • Реклама


  • Новости сайта
  • "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-2-2002" (утв. Постановлением Госстандарта РФ от 04.04.2002 N 133-ст)

    Страница 11


    Страницы: | Стр.1 | Стр.2 | Стр.3 | Стр.4 | Стр.5 | Стр.6 | Стр.7 | Стр.8 | Стр.9 | Стр.10 | Стр.11 | Стр.12 | Стр.13 | Стр.14 | Стр.15 | Стр.16 | Стр.17 | Стр.18 | Стр.19 | Стр.20 | Стр.21 | Стр.22 |


                  +---+FRU_PRS Приоритет обслуживания+-+1+-+2¦
                  ¦   L------------------------------- L-- L--
                  ¦   -------------------------------¬ --¬ --¬
                  L---+FRU_RSA Распределение ресурсов+-+1+-+2¦
                      L------------------------------- L-- L--

    Рисунок 11.1 - Декомпозиция класса "Использование ресурсов"

    11.1. Отказоустойчивость (FRU_FLT)

    Характеристика семейства

    Требования семейства FRU_FLT обеспечивают, чтобы OO продолжил поддерживать правильное функционирование даже в случае сбоев.

    Ранжирование компонентов

                       ---------------------------¬ --¬ --¬
                       ¦FRU_FLT Отказоустойчивость+-+1+-+2¦
                       L--------------------------- L-- L--

    FRU_FLT.1 "Пониженная отказоустойчивость" содержит требование, чтобы OO продолжил правильное выполнение указанных возможностей в случае идентифицированных сбоев.

    FRU_FLT.2 "Ограниченная отказоустойчивость" содержит требование, чтобы OO продолжил правильное выполнение всех своих возможностей в случае идентифицированных сбоев.

    Управление: FRU_FLT.1, FRU_FLT.2

    Действия по управлению не предусмотрены.

    Аудит: FRU_FLT.1

    Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

    а) Минимальный: любой сбой, обнаруженный ФБО.

    б) Базовый: все операции OO, прерванные из-за сбоя.

    Аудит: FRU_FLT.2

    Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

    а) Минимальный: любой сбой, обнаруженный ФБО.

    #FRU_FLT.1 Пониженная отказоустойчивость#

    Иерархический для: Нет подчиненных компонентов.

    #FRU_FLT.1.1 ФБО должны обеспечить выполнение [назначение: &список возможностей OO&], когда происходят следующие сбои: [назначение: &список типов сбоев&]#.

    Зависимости: #FPT_FLS.1 Сбой с сохранением безопасного состояния

    FRU_FLT.2 Ограниченная отказоустойчивость#

    Иерархический для: FRU_FLT.1

    #FRU_FLT.2.1# ФБО должны обеспечить выполнение #всех возможностей ОО#, когда происходят следующие сбои: [назначение: список типов сбоев].

    Зависимости: FPT_FLS.1 Сбой с сохранением безопасного состояния

    11.2. Приоритет обслуживания (FRU_PRS)

    Характеристика семейства

    Требования семейства FRU_PRS позволяют ФБО управлять использованием ресурсов пользователями и субъектами в пределах своей области действия так, что высокоприоритетные операции в пределах ОДФ всегда будут выполняться без препятствий или задержек со стороны операций с более низким приоритетом.

    Ранжирование компонентов

                       -------------------------------¬ --¬ --¬
                       ¦FRU_PRS Приоритет обслуживания+-+1+-+2¦
                       L------------------------------- L-- L--

    FRU_PRS.1 "Ограниченный приоритет обслуживания" предоставляет приоритеты для использования субъектами подмножества ресурсов в пределах ОДФ.

    FRU_PRS.2 "Полный приоритет обслуживания" предоставляет приоритеты для использования субъектами всех ресурсов в пределах ОДФ.

    Управление: FRU_PRS.1, FRU_PRS.2

    Для функций управления из класса FMT может рассматриваться следующее действие.

    а) Назначение приоритетов каждому субъекту в ФБО.

    Аудит: FRU.PRS.1, FRU_PRS.2

    Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

    а) Минимальный: отклонение операции на основании использования приоритета при распределении ресурса.

    б) Базовый: все попытки использования функции распределения ресурсов с учетом приоритетности обслуживания.

    #FRU_PRS.1 Ограниченный приоритет обслуживания#

    Иерархический для: Нет подчиненных компонентов.

    #FRU_PRS.1.1 ФБО должны установить приоритет каждому субъекту в ФБО.

    FRU_PRS.1.2 ФБО должны обеспечить доступ к [назначение: &управляемые ресурсы&] на основе приоритетов, назначенных субъектам#.

    Зависимости: отсутствуют.

    #FRU_PRS.2 Полный приоритет обслуживания#

    Иерархический для: FRU_PRS.1

    #FRU_PRS.2.1# ФБО должны установить приоритет каждому субъекту в ФБО.

    #FRU_PRS.2.2# ФБО должны обеспечить доступ ко #всем совместно используемым ресурсам# на основе приоритетов, назначенных субъектам.

    Зависимости: отсутствуют.

    11.3. Распределение ресурсов (FRU_RSA)

    Характеристика семейства

    Требования семейства FRU_RSA позволяют ФБО управлять использованием ресурсов пользователями и субъектами таким образом, чтобы не происходило отказов в обслуживании из-за несанкционированной монополизации ресурсов.

    Ранжирование компонентов

                    -------------------------------¬ --¬ --¬
                    ¦FRU_RSA Распределение ресурсов+-+1+-+2¦
                    L------------------------------- L-- L--

    FRU_RSA.1 "Максимальные квоты" содержит требования к механизмам квотирования, которые обеспечивают, чтобы пользователи и субъекты не монополизировали управляемый ресурс.

    FRU_RSA.2 "Минимальные и максимальные квоты" содержит требования к механизмам квотирования, которые обеспечивают, чтобы пользователи и субъекты всегда имели хотя бы минимум специфицированного ресурса, но при этом не могли бы монополизировать этот ресурс.

    Управление: FRU_RSA.1

    Для функций управления из класса FMT может рассматриваться следующее действие.

    а) Определение администратором максимальных квот ресурса для групп и/или отдельных пользователей и/или субъектов.

    Управление: FRU_RSA.2

    Для функций управления из класса FMT может рассматриваться следующее действие.

    а) Определение администратором минимальных и максимальных квот ресурса для групп и/или отдельных пользователей и/или субъектов.

    Аудит: FRU_RSA.1, FRU_RSA.2

    Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

    а) Минимальный: отклонение операции распределения ресурса из-за его ограниченности.

    б) Базовый: все обращения к функциям распределения ресурсов, управляемых ФБО.

    #FRU_RSA.1 Максимальные квоты#

    Иерархический для: Нет подчиненных компонентов.

    #FRU_RSA.1.1 ФБО должны реализовать максимальные квоты следующих ресурсов: [назначение: &управляемые ресурсы&], которые [выбор: отдельные пользователи, определенные группы пользователей, субъекты&] могут использовать [выбор: &одновременно, в течение определенного периода времени&]#.

    Зависимости: отсутствуют.

    #FRU_RSA.2 Минимальные и максимальные квоты#

    Иерархический для: FRU_RSA.1

    #FRU_RSA.2.1# ФБО должны реализовать максимальные квоты следующих ресурсов: [назначение: управляемые ресурсы], которые [выбор: отдельные пользователи, определенные группы пользователей, субъекты] могут использовать [выбор: одновременно, в течение определенного периода времени].

    #FRU_RSA.2.2 ФБО должны обеспечить выделение минимального количества каждого из [назначение: &управляемые ресурсы&], которые являются доступными для [выбор: &отдельный пользователь, определенная группа пользователей, субъекты&], чтобы использовать [выбор: &одновременно, в течение определенного периода времени&]#.

    Зависимости: отсутствуют.

    12. Класс FTA. Доступ к ОО

    Класс FTA определяет функциональные требования к управлению открытием сеанса пользователя.

    Декомпозиция класса на составляющие его компоненты приведена на рисунке 12.1.

         ------------¬
         ¦Доступ к ОО¦
         L----+-------
              ¦    ------------------------------¬ --¬
              +----+ FTA_LSA Ограничение области +-+1¦
              ¦    ¦    выбираемых атрибутов     ¦ ¦ ¦
              ¦    L------------------------------ L--
              ¦    ------------------------------¬ --¬  --¬
              +----+    FTA_MCS Ограничение на   +-+1+--+2¦
              ¦    ¦     параллельные сеансы     ¦ ¦ ¦  ¦ ¦
              ¦    L------------------------------ L--  L--
              ¦                                     --¬
              ¦                                   --+1¦
              ¦                                   ¦ L--
              ¦    ------------------------------¬¦ --¬
              +----+ FTA_SSL Блокирование сеанса ++-+2¦
              ¦    L------------------------------¦ L--
              ¦                                   ¦ --¬
              ¦                                   L-+3¦
              ¦                                     L--
              ¦    ------------------------------¬ --¬
              +----+FTA_TAB Предупреждения перед +-+1¦
              ¦    ¦предоставлением доступа к ОО ¦ ¦ ¦
              ¦    L------------------------------ L--
              ¦    ------------------------------¬ --¬
              +----+FTA_TAH История доступа к ОО +-+1¦
              ¦    L------------------------------ L--
              ¦    ------------------------------¬ --¬
              L----+FTA_TSE Открытие сеанса с ОО +-+1¦
                   L------------------------------ L--

    Рисунок 12.1 - Декомпозиция класса "Доступ к ОО"

    12.1. Ограничение области выбираемых атрибутов (FTA_LSA)

    Характеристика семейства

    Семейство FTA_LSA определяет требования по ограничению области атрибутов безопасности сеанса, которые можно выбирать для него пользователь.

    Ранжирование компонентов

                    ----------------------------¬ --¬
                    ¦FTA_LSA Ограничение области+-+1¦
                    ¦   выбираемых атрибутов    ¦ ¦ ¦
                    L---------------------------- L--

    FTA_LSA.1 "Ограничение области выбираемых атрибутов" предоставляет требование к OO по ограничению области атрибутов безопасности сеанса во время его открытия.

    Управление: FTA_LSA.1

    Для функций управления из класса FMT может рассматриваться следующее действие.

    а) Управление администратором областью атрибутов безопасности сеанса.

    Аудит: FTA_LSA.1

    Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

    а) Минимальный: все неуспешные попытки выбора атрибутов безопасности сеанса.

    б) Базовый: все попытки выбора атрибутов безопасности сеанса.

    в) Детализированный: фиксация значений атрибутов безопасности каждого сеанса.

    #FTA_LSA.1 Ограничение области выбираемых атрибутов#

    Иерархический для: Нет подчиненных компонентов.

    #FTA_LSA.1.1 ФБО должны ограничить область атрибутов безопасности сеанса [назначение: &атрибуты безопасности сеанса&], основываясь на [назначение: &атрибуты&]#.

    Зависимости: отсутствуют.

    12.2. Ограничение на параллельные сеансы (FTA_MCS)

    Характеристика семейства

    Семейство FTA_MCS определяет требования по ограничению числа параллельных сеансов, предоставляемых одному и тому же пользователю.

    Ранжирование компонентов

            -------------------------------------------¬ --¬ --¬
            ¦FTA_MCS Ограничение на параллельные сеансы+-+1+-+2¦
            L------------------------------------------- L-- L--

    FTA_MCS.1 "Базовое ограничение на параллельные сеансы" предоставляет ограничения, которые применяются ко всем пользователям ФБО.

    FTA_MCS.2 "Ограничение на параллельные сеансы по атрибутам пользователя" расширяет FTA_MCS.1 требованием возможности определить ограничения на число параллельных сеансов, основываясь на атрибутах безопасности, связанных с пользователем.

    Управление: FTA_MCS.1

    Для функций управления из класса FMT может рассматриваться следующее действие.

    а) Управление администратором максимально допустимым числом параллельных сеансов, предоставляемых пользователю.

    Управление: FTA_MCS.2

    Для функций управления из класса FMT могут рассматриваться следующие действия.

    а) Управление администратором правилами, которые определяют максимально допустимое число параллельных сеансов, предоставляемых пользователю.

    Аудит: FTA_MCS.1, FTA_MCS.2

    Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

    а) Минимальный: отклонение нового сеанса, основанное на ограничении числа паралелльных сеансов.

    б) Детализированный: фиксация числа параллельных сеансов пользователя, а также атрибутов безопасности этого пользователя.

    #FTA_MCS.1 Базовое ограничение на параллельные сеансы#

    Иерархический для: Нет подчиненных компонентов.

    #FTA_MCS.1.1 ФБО должны ограничить максимальное число параллельных сеансов, предоставляемых одному и тому же пользователю.

    FTA_MCS.1.2 ФБО должны задать по умолчанию ограничение [назначение: &задаваемое по умолчанию число&] сеансов пользователя#.

    Зависимости: #FIA_UID.1 Выбор момента идентификации

    FTA_MCS.2 Ограничение на параллельные сеансы по атрибутам пользователя#

    Иерархический для: FTA_MCS.1

    #FTA_MCS.2.1# ФБО должны ограничить максимальное число параллельных сеансов, предоставляемых одному и тому же пользователю, #согласно правилам [назначение: &правила определения максимального числа параллельных сеансов&].

    FTA_MCS.2.2# ФБО должны задать по умолчанию ограничение [назначение: задаваемое по умолчанию число] сеансов пользователя.

    Зависимости: FIA_UID.1 Выбор момента идентификации

    12.3. Блокирование сеанса (FTA_SSL)

    Характеристика семейства

    Семейство FTA_SSL определяет требования к ФБО по предоставлению возможности как ФБО, так и пользователю блокировать и разблокировать интерактивный сеанс.

    Ранжирование компонентов

                                                   --¬
                                                 --+1¦
                                                 ¦ L--
                   ----------------------------¬ ¦ --¬
                   ¦FTA_SSL Блокирование сеанса+-+-+2¦
                   L---------------------------- ¦ L--
                                                 ¦ --¬
                                                 L-+3¦
                                                   L--

    FTA_SSL.1 "Блокирование сеанса, инициированное ФБО" включает инициированное системой блокирование интерактивного сеанса после определенного периода бездействия пользователя.

    FTA_SSL.2 "Блокирование, инициированное пользователем" предоставляет пользователю возможность блокировать и разблокировать свои собственные интерактивные сеансы.

    FTA_SSL.3 "Завершение, инициированное ФБО" предоставляет требования к ФБО по завершению сеанса после определенного периода бездействия пользователя.

    Управление: FTA_SSL.1

    Для функций управления из класса FMT могут рассматриваться следующие действия.

    а) Задание времени бездействия пользователя, после которого происходит блокировка сеанса.

    б) Задание по умолчанию времени бездействия пользователя, после которого происходит блокировка.

    в) Управление событиями, которые предусматриваются до разблокирования сеанса.

    Управление: FTA_SSL.2

    Для функций управления из класса FMT может рассматриваться следующее действие.

    а) Управление событиями, которые предусматриваются до разблокирования сеанса.

    Управление: FTA_SSL.3

    Для функций управления из класса FMT могут рассматриваться следующие действия.

    а) Задание времени бездействия пользователя, после которого происходит завершение интерактивного сеанса.

    б) Задание по умолчанию времени бездействия пользователя, после которого происходит завершение интерактивного сеанса.

    Аудит: FTA_SSL.1, FTA_SSL.2

    Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

    а) Минимальный: блокирование интерактивного сеанса механизмом блокирования сеанса.

    б) Минимальный: успешное разблокирование интерактивного сеанса.

    в) Базовый: все попытки разблокирования интерактивного сеанса.

    Аудит: FTA_SSL.3

    Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

    а) Минимальный: завершение интерактивного сеанса механизмом блокирования сеанса.

    #FTA_SSL.1 Блокирование сеанса, инициированное ФБО#

    Иерархический для: Нет подчиненных компонентов.

    #FTA_SSL.1.1 ФБО должны блокировать интерактивный сеанс после [назначение: &интервал времени бездействия пользователя&], для чего предпринимаются следующие действия:

    а) очистка или перезапись устройств отображения, придание их текущему содержанию нечитаемого вида;

    б) блокирование любых действий по доступу к данным пользователя/устройствам отображения, кроме необходимых для разблокирования сеанса.

    FTA_SSL.1.2 ФБО должны требовать, чтобы до разблокирования сеанса произошли следующие события: [назначение: &события, которые будут происходить&]#.

    Зависимости: #FIA_UAU.1 Выбор момента аутентификации

    FTA_SSL.2 Блокирование, инициированное пользователем#

    Иерархический для: Нет подчиненных компонентов.

    #FTA_SSL.2.1 ФБО должны допускать инициированное пользователем блокирование своего собственного интерактивного сеанса, для чего предпринимаются следующие действия:

    а) очистка или перезапись устройств отображения, придание их текущему содержанию нечитаемого вида;

    б) блокирование любых действий по доступу к данным пользователя/устройствам отображения, кроме необходимых для разблокирования сеанса.

    FTA_SSL.2.2 ФБО должны требовать, чтобы до разблокирования сеанса произошли следующие события: [назначение: &события, которые будут происходить&]#.

    Зависимости: FIA_UAU.1 Выбор момента аутентификации

    #FTA_SSL.3 Завершение, инициированное ФБО#

    Иерархический для: Нет подчиненных компонентов.

    #FTA_SSL.3.1 ФБО должны завершить интерактивный сеанс после [назначение: &интервал времени бездействия пользователя&]#.

    Зависимости: отсутствуют.

    12.4. Предупреждения перед предоставлением доступа к ОО (FTA_TAB)

    Характеристика семейства

    Семейство FTA_TAB определяет требования к отображению для пользователей предупреждающего сообщения с перестраиваемой конфигурацией относительно характера использования ОО.

    Ранжирование компонентов

                      -------------------------------------¬ --¬
                      ¦     FTA_TAB Предупреждения перед   +-+1¦
                      ¦     предоставлением доступа к ОО   ¦ ¦ ¦
                      L------------------------------------- L--

    FTA_TAB.1 "Предупреждения по умолчанию перед предоставлением доступа к ОО" предоставляет требования к предупреждающим сообщениям, которые отображаются перед началом диалога в сеансе.

    Управление: FTA_TAB.1

    Для функций управления из класса FMT может рассматриваться следующее действие.

    а) Сопровождение уполномоченным администратором предупреждающих сообщений.

    Аудит: FTA_TAB.1

    Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.

    #FTA_TAB.1 Предупреждения по умолчанию перед предоставлением доступа к ОО#

    Иерархический для: Нет подчиненных компонентов.

    #FTA_TAB.1.1 Перед открытием сеанса пользователя ФБО должны отобразить предупреждающее сообщение относительно несанкционированного использования ОО#

    Зависимости: отсутствуют.

    12.5. История доступа к OO (FTA_TAH)

    Характеристика семейства

    Семейство FTA_TAH определяет требования к ФБО по отображению для пользователя, при успешном открытии сеанса, истории успешных и неуспешных попыток получить доступ от имени этого пользователя.

    Ранжирование компонентов

                     -----------------------------¬ --¬
                     ¦FTA_TAH История доступа к OO+-+1¦
                     L----------------------------- L--

    FTA_TAH.1 "История доступа к OO" предоставляет требования к OO по отображению информации, связанной с предыдущими попытками открыть сеанс.

    Управление: FTA_TAH.1

    Действия по управлению не предусмотрены.

    Аудит: FTA_TAH.1

    Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.

    #FTA_TAH.1 История доступа к OO#

    Иерархический для: Нет подчиненных компонентов.

    #FTA_TAH.1.1 При успешном открытии сеанса ФБО должны отобразить [выбор: &дата, время, метод, расположение&] последнего успешного открытия сеанса от имени пользователя.

    FTA_TAH.1.2 При успешном открытии сеанса ФБО должны отобразить [выбор: &дата, время, метод, расположение&] последней неуспешной попытки открытия сеанса и число неуспешных попыток со времени последнего успешного открытия сеанса.

    FТА_ТАН.1.3 ФБО не должны удалять информацию об истории доступа из интерфейса пользователя без предоставления пользователю возможности просмотреть ее#.

    Зависимости: отсутствуют.

    12.6. Открытие сеанса с OO (FTA_TSE)

    Характеристика семейства


    Страницы: | Стр.1 | Стр.2 | Стр.3 | Стр.4 | Стр.5 | Стр.6 | Стр.7 | Стр.8 | Стр.9 | Стр.10 | Стр.11 | Стр.12 | Стр.13 | Стр.14 | Стр.15 | Стр.16 | Стр.17 | Стр.18 | Стр.19 | Стр.20 | Стр.21 | Стр.22 |


    Архив правовых актов
  • Реклама
 
  • Реклама
  • Счетчики

  • Рейтинг@Mail.ru
  • Новости