4.2. Политика безопасности

Весь документ

4.2. Политика безопасности

ОО должен выполнять приведенные ниже правила политики безопасности.

Политика безопасности-1

Должны осуществляться идентификация и аутентификация пользователей ОС до выполнения любых действий по доступу в информационную систему или по управлению ОС.

Политика безопасности-2

Должна осуществляться идентификация субъектов доступа по физическим устройствам.

Политика безопасности-3

В ОО для управления доступом субъектов доступа (пользователей ОС и процессов, запускаемых от имени пользователей) к объектам доступа в ОС (объектам файловой системы, устройствам и (или) иным объектам доступа) должно быть реализовано дискреционное и (или) ролевое управление доступом.

Замечания по применению: при изложении данной политики безопасности в задании по безопасности допускаются следующие сочетания реализации методов управления доступом:

дискреционное и ролевое управление доступом;

дискреционное управление доступом;

ролевое управление доступом.

Если ОО реализует мандатное управление доступом, в ЗБ следует включить соответствующие компоненты ФТБ, уточнить соответствующую цель безопасности.

Политика безопасности-4

Должна осуществляться возможность задания правил управления доступом, разрешающих или запрещающих доступ субъектов доступа к объектам доступа (объектам файловой системы, устройствам и (или) иным объектам доступа), а также определяющих разрешенные типы доступа (операции: создание объекта файловой системы, модификация объекта файловой системы, удаление объекта файловой системы, добавление данных в объект файловой системы, удаление данных из объекта файловой системы, модификация данных в объекте файловой системы, чтение информации из объекта файловой системы, запуск исполняемых объектов файловой системы, использование устройства) с использованием атрибутов безопасности объектов доступа и субъектов доступа на основе реализованных в ОС методов управления доступом (дискреционный, ролевой).

Политика безопасности-5

Должны обеспечиваться возможности генерирования надежных меток времени.

Политика безопасности-6

Должны обеспечиваться возможности по управлению работой ОС и параметрами ОС со стороны администраторов.

Политика безопасности-7

Должна быть обеспечена регистрация возможных событий безопасности. Механизмы регистрации должны предоставлять администратору возможность ознакомления с информацией о произошедших событиях.

Политика безопасности-8

Должны обеспечиваться автоматический запуск прикладного программного обеспечения при старте СВТ, а также ограничение доступа пользователя ОС к интерактивным интерфейсам операционной системы.

Политика безопасности-9

Должны обеспечиваться контроль и проверка правомочности обращений субъектов доступа к объектам доступа.

Политика безопасности-10

Должна обеспечиваться защита данных аудита от несанкционированного раскрытия при их передаче к другому доверенному продукту ИТ.

<<< 4.1.2. Угрозы, которым противостоит среда4.1.2. Угрозы, которым противостоит среда ["ИТ.ОС.Б4.ПЗ. Методический документ. Профиль защиты операционных систем типа "Б" четвертого класса защиты" (утв. ФСТЭК России 11.05.2017)]
4.3. Предположения безопасности4.3. Предположения безопасности ["ИТ.ОС.Б4.ПЗ. Методический документ. Профиль защиты операционных систем типа "Б" четвертого класса защиты" (утв. ФСТЭК России 11.05.2017)] >>>