5.1.1. Функциональные требования безопасности ОО

Весь документ

5.1.1. Функциональные требования безопасности ОО

Функциональные компоненты из ГОСТ Р ИСО/МЭК 15408-2, на которых основаны функциональные требования безопасности ОО, а также компоненты сформулированных в явном виде расширенных требований приведены в таблице 5.1.

Таблица 5.1

Функциональные компоненты, на которых основаны ФТБ ОО

Компонент
Название компонента
FIA_AFL.1
Обработка отказов аутентификации
FIA_UAU.1
Выбор момента аутентификации
FIA_UID.1
Выбор момента идентификации
FDP_ACC.1
Ограниченное управление доступом
FDP_ACF.1
Управление доступом, основанное на атрибутах безопасности
FMT_SMF.1
Спецификация функций управления
FMT_MTD.1
Управление данными функций безопасности
FMT_MSA.1
Управление атрибутами безопасности
FMT_MSA.3
Инициализация статических атрибутов
FMT_SMR.1
Роли безопасности

5.1.1.1. Защита данных пользователя (FDP)

FDP_ACC.1 Ограниченное управление доступом

FDP_ACC.1.1 ФБО должны осуществлять [политику управления доступом к ресурсам средства вычислительной техники] для

[а) субъектов доступа: пользователи; процессы, запущенные от имени пользователей;

б) объектов доступа: ресурсы СВТ со штатной ОС, данными пользователей;

в) операций субъектов на объектах: доступность (в соответствии с правилами разграничения доступа); недоступность].

Зависимости: FDP_ACF.1 "Управление доступом, основанное на атрибутах безопасности".

FDP_ACF.1 Управление доступом, основанное на атрибутах безопасности

FDP_ACF.1.1 ФБО должны осуществлять [политику управления доступом к ресурсам средства вычислительной техники] к объектам, основываясь на [выбор: идентификаторы пользователей, [назначение: другие атрибуты безопасности, именованные группы атрибутов безопасности]].

FDP_ACF.1.2 ФБО должны реализовать следующие правила определения того, разрешена ли операция управляемого субъекта на управляемом объекте:

[а) доступность ресурсов средства вычислительной техники со штатной операционной системой, данными пользователями, если результат аутентификации пользователя - положительный;

б) недоступность ресурсов средства вычислительной техники со штатной операционной системой, данными пользователями, если результат аутентификации пользователя - отрицательный].

FDP_ACF.1.3 ФБО должны явно разрешать доступ субъектов к объектам, основываясь на следующих дополнительных правилах: [нет].

FDP_ACF.1.4 ФБО должны явно отказывать в доступе субъектов к объектам, основываясь на следующих дополнительных правилах: [нет].

Зависимости: FDP_ACC.1 "Ограниченное управление доступом",

FMT_MSA.3 "Инициализация статических атрибутов".

Замечания по применению: Разработчик ЗБ FDP_ACF.1.1 может ограничить список атрибутов безопасности идентификаторами пользователями и (или) использовать (в соответствии с FMT_MSA.3) другие атрибуты безопасности.

5.1.1.2. Идентификация и аутентификация (FIA)

FIA_AFL.1 Обработка отказов аутентификации

FIA_AFL.1.1 ФБО должны обнаруживать, когда произойдет [выбор: [десять], устанавливаемое администратором СДЗ положительное целое число в пределах [от 1 до 10]] неуспешных попыток аутентификации, относящихся к [назначение: список событий аутентификации].

FIA_AFL.1.2 При достижении или превышении установленного в FIA_AFL.1.1 числа неуспешных попыток аутентификации ФБО должны выполнить [назначение: список действий].

Зависимости: FIA_UAU.1 "Выбор момента аутентификации".

FIA_UAU.1 Выбор момента аутентификации

FIA_UAU.1.1 ФБО должны допускать выполнение [назначение: список действий, выполняемых при посредничестве ФБО] от имени пользователя прежде, чем пользователь аутентифицирован.

FIA_UAU.1.2 ФБО должны требовать, чтобы каждый пользователь был успешно аутентифицирован до разрешения любого другого действия, выполняемого при посредничестве ФБО от имени этого пользователя.

Зависимости: FIA_UID.1 "Выбор момента идентификации".

FIA_UID.1 Выбор момента идентификации

FIA_UID.1.1 ФБО должны допускать [назначение: перечень действий, выполняемых при посредничестве ФБО] от имени пользователя прежде, чем он идентифицирован.

FIA_UID.1.2 ФБО должны требовать, чтобы каждый пользователь был успешно идентифицирован до разрешения любого другого действия, выполняемого при посредничестве ФБО от имени этого пользователя.

Зависимости отсутствуют.

5.1.1.3. Управление безопасностью (FMT)

FMT_SMF.1 Спецификация функций управления

FMT_SMF.1.1 ФБО должны быть способны к выполнению следующих функций управления безопасностью: [управление режимом выполнения функций безопасности, управление данными ФБО, управление атрибутами безопасности].

Зависимости отсутствуют.

FMT_MTD.1 Управление данными ФБО

FMT_MTD.1.1 ФБО должны ограничить возможность [выбор: изменение значений по умолчанию, запрос, модификация, удаление, очистка, [назначение: другие операции]] следующих данных [назначение: список данных ФБО] только [назначение: уполномоченные идентифицированные роли].

Зависимости: FMT_SMR.1 "Роли безопасности",

FMT_SMF.1 "Спецификация функций управления".

FMT_MSA.1 Управление атрибутами безопасности

FMT_MSA.1.1 ФБО должны осуществлять [политику управления атрибутами безопасности], предоставляющую возможность [выбор: изменять значения по умолчанию, запрашивать, модифицировать, удалять, [назначение: другие операции]] атрибуты безопасности [выбор: идентификаторы пользователей, [назначение: список других атрибутов безопасности] только [назначение: уполномоченные идентифицированные роли].

Зависимости: [FDP_ACC.1 "Ограниченное управление доступом" или

FDP_IFC.1 "Ограниченное управление информационными потоками"],

FMT_SMR.1 "Роли безопасности",

FMT_SMF.1 "Спецификация функций управления".

FMT_MSA.3 Инициализация статических атрибутов

FMT_MSA.3.1 ФБО должны осуществлять [политику управления атрибутами безопасности], предусматривающую [выбор (выбрать одно из): ограничительные, разрешающие, другие свойства] значений по умолчанию для атрибутов безопасности, которые используются для осуществления политики управления атрибутами безопасности.

FMT_MSA.3.2 ФБО должны позволять [назначение: уполномоченные идентифицированные роли] определять альтернативные начальные значения для отмены значений по умолчанию при создании объекта или информации.

Зависимости: FMT_MSA.1 "Управление атрибутами безопасности",

FMT_SMR.1 "Роли безопасности".

Замечания по применению: В FMT_MSA.3.2 "объект или информация" следует трактовать как ресурс СВТ, на базе которого создаются объекты хранения штатной ОС и данных пользователей.

FMT_SMR.1 Роли безопасности

FMT_SMR.1.1 ФБО должны поддерживать следующие роли [

а) администратор СДЗ;

б) пользователь,

[назначение: другие уполномоченные идентифицированные роли]].

FMT_SMR.1.2 ФБО должны быть способны ассоциировать пользователей с ролями.

Зависимости: FIA_UID.1 "Выбор момента идентификации".

Замечания по применению: Конкретизация данного требования определяет различные роли, которые ФБО следует распознавать.

<<< 5.1. Требования безопасности для объекта оценки5.1. Требования безопасности для объекта оценки ["ИТ.СДЗ.336.ПЗ. Методический документ. Профиль защиты средства доверенной загрузки уровня загрузочной записи шестого класса защиты" (утв. ФСТЭК России 30.12.2013)]
5.1.2. Требования доверия к безопасности ОО5.1.2. Требования доверия к безопасности ОО ["ИТ.СДЗ.336.ПЗ. Методический документ. Профиль защиты средства доверенной загрузки уровня загрузочной записи шестого класса защиты" (утв. ФСТЭК России 30.12.2013)] >>>