7.1.2. Защита данных пользователя (FDP)

Весь документ

7.1.2. Защита данных пользователя (FDP)

FDP_ACC.1(1)
Ограниченное управление доступом
FDP_ACC.1.1(1)
ФБО должны осуществлять [политику дискреционного управления доступом] для [назначение: список субъектов доступа и объектов доступа].
Зависимости:
FDP_ACF.1(1) Управление доступом, основанное на атрибутах безопасности.
Замечания по применению: компонент FDP_ACC.1(1) включается в ЗБ, если в Политике безопасности-2 и Цели безопасности-2 определена реализация дискреционного метода управления доступом.
FDP_ACC.1(2)
Ограниченное управление доступом
FDP_ACC.1.1(2)
ФБО должны осуществлять [политику ролевого управления доступом] для [назначение: список ролей и объектов].
Зависимости:
FDP_ACF.1(2) Управление доступом, основанное на атрибутах безопасности.
Замечания по применению: компонент FDP_ACC.1(2) включается в ЗБ, если в Политике безопасности-2 и Цели безопасности-2 определена реализация ролевого метода управления доступом.
FDP_ACF.1(1)
Управление доступом, основанное на атрибутах безопасности (дискреционное управление доступом к объектам ОС)
FDP_ACF.1.1(1)
ФБО должны осуществлять [политику дискреционного управления доступом] к объектам, основываясь на [назначение: список доступа и объектов доступа, находящихся под управлением политики дискреционного управления доступом, и для каждого из них - относящиеся к политике дискреционного управления доступом атрибуты безопасности или именованные группы атрибутов безопасности].
FDP_ACF.1.2(1)
ФБО должны осуществлять следующие правила определения того, разрешена ли операция управляемого субъекта доступа на управляемом объекте доступа: [назначение: правила управления доступом управляемых субъектов доступа к управляемым объектам доступа с использованием управляемых операций на них, основанные на списках контроля доступа].
FDP_ACF.1.3(1)
ФБО должны явно разрешать доступ субъектов к объектам, основываясь на следующих дополнительных правилах: [нет].
FDP_ACF.1.4(1)
ФБО должны явно отказывать в доступе субъектов к объектам, основываясь на следующих дополнительных правилах: [назначение: правила, основанные на атрибутах безопасности, которые явно запрещают доступ субъектов доступа к объектам доступа].
Зависимости:
FDP_ACC.1(1) Ограниченное управление доступом;
FMT_MSA.3 Инициализация статических атрибутов.
Замечания по применению: компонент FDP_ACF.1(1) включается в ЗБ, если в Политике безопасности-2 и Цели безопасности-2 определена реализация дискреционного метода управления доступом.
FDP_ACF.1(2)
Управление доступом, основанное на атрибутах безопасности (ролевое управление доступом к объектам ОС)
FDP_ACF.1.1(2)
ФБО должны осуществлять [политику ролевого управления доступом] к объектам, основываясь на [назначение: список ролей и объектов, находящихся под управлением политики ролевого управления доступом, и для каждого из них - относящиеся к политике ролевого управления доступом атрибуты безопасности или именованные группы атрибутов безопасности].
FDP_ACF.1.2(2)
ФБО должны осуществлять следующие правила определения того, разрешена ли операция управляемого субъекта доступа на управляемом объекте: [назначение: правила управления доступом управляемых ролей к управляемым объектам с использованием управляемых операций на них, основанные на списках прав доступа].
FDP_ACF.1.3(2)
ФБО должны явно разрешать доступ субъектов доступа к объектам доступа, основываясь на следующих дополнительных правилах: [нет].
FDP_ACF.1.4(2)
ФБО должны явно отказывать в доступе субъектов доступа к объектам доступа, основываясь на следующих дополнительных правилах: [назначение: правила, основанные на атрибутах безопасности, которые явно запрещают доступ ролей к объектам].
Зависимости:
FDP_ACC.1(2) Ограниченное управление доступом;
FMT_MSA.3 Инициализация статических атрибутов.
Замечания по применению: компонент FDP_ACF.1(2) включается в ЗБ, если в Политике безопасности-2 и Цели безопасности-2 определена реализация ролевого метода управления доступом.
FDP_RIP.2
Полная защита остаточной информации
FDP_RIP.2.1
ФБО должны обеспечить недоступность любого предыдущего информационного содержания ресурсов при [выбор: распределение ресурса, освобождение ресурса] для всех объектов.
Зависимости:
отсутствуют.
FDP_RSI_EXT.1
Управление установкой программного обеспечения
FDP_RSI_EXT.1.1
Функциональные возможности безопасности операционной системы должны предоставлять возможность установки (инсталляции) программного обеспечения (компонентов программного обеспечения) только [назначение: роли пользователей ОС в соответствии с FMT_SMR.1]
Зависимости:
отсутствуют.
FDP_RSP_EXT.1
Правила контроля запуска компонентов программного обеспечения
FDP_RSP_EXT.1.1
Функциональные возможности безопасности операционной системы должны обеспечивать возможность задания перечня компонентов программного обеспечения, разрешенных для автоматического запуска при загрузке операционной системы, запрещенных для автоматического запуска при загрузке операционной системы, разрешенных для запуска в процессе функционирования операционной системы и запрещенных для запуска в процессе функционирования операционной системы.
Зависимости:
отсутствуют.
FDP_RSP_EXT.2
Контроль запуска компонентов программного обеспечения
FDP_RSP_EXT.2.1
Функциональные возможности безопасности операционной системы должны контролировать запуск компонентов программного обеспечения и при обнаружении попытки запуска компонентов программного обеспечения, произведенных в нарушение установленных правил запуска компонентов программного обеспечения, обеспечивать [выбор: оповещение пользователя, выполняющего запуск, и администратора, [назначение: иные действия]], блокирование попытки запуска.
FDP_RSP_EXT.2.2
Функциональные возможности безопасности операционной системы должны контролировать целостность компонентов программного обеспечения, разрешенного для запуска, и при обнаружении попытки запуска компонентов программного обеспечения, целостность которых была нарушена, обеспечивать возможность [выбор: оповещение пользователя, выполняющего запуск, и администратора, [назначение: иные действия]], блокирование попытки запуска.
Зависимости:
отсутствуют.
Замечания по применению:
1. В FDP_RSP_EXT.2.1 разработчику ЗБ следует определить типы пользователей ОС, для которых реализованы функциональные возможности по оповещению о попытках запуска компонентов программного обеспечения, произведенных в нарушение установленных правил запуска компонентов программного обеспечения.
Для информирования администратора о попытках запуска компонентов программного обеспечения, произведенных в нарушение установленных правил запуска компонентов программного обеспечения, в FAU_GEN.1 необходимо предусмотреть действия по аудиту.
2. В FDP_RSP_EXT.2.2 разработчику ЗБ следует определить типы пользователей ОС, для которых реализованы функциональные возможности по оповещению о попытках запуска компонентов программного обеспечения, целостность которых была нарушена.
Для информирования администратора о попытках запуска компонентов программного обеспечения, целостность которых была нарушена, в FAU_GEN.1 необходимо предусмотреть действия по аудиту.

<<< 7.1.1. Аудит безопасности (FAU)7.1.1. Аудит безопасности (FAU) ["ИТ.ОС.В4.ПЗ. Методический документ. Профиль защиты операционных систем типа "В" четвертого класса защиты" (утв. ФСТЭК России 11.05.2017)]
7.1.3. Идентификация и аутентификация (FIA)7.1.3. Идентификация и аутентификация (FIA) ["ИТ.ОС.В4.ПЗ. Методический документ. Профиль защиты операционных систем типа "В" четвертого класса защиты" (утв. ФСТЭК России 11.05.2017)] >>>