Приложение И. Управление безопасностью (FMT) (справочное). Государственный стандарт РФ ГОСТ Р ИСО/МЭК 15408-2-2002 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности" (принят постановлением Госстандарта РФ от 04.04.2002 N 133-ст) (отменен)

Приложение И
(справочное)

Управление безопасностью (FMT)

Класс FMT предназначен для спецификации управления некоторыми аспектами ФБО: атрибутами безопасности, данными и отдельными функциями. Могут быть также установлены различные роли управления и определено их взаимодействие, например распределение обязанностей.

Если ОО состоит из нескольких физически разделенных частей, образующих распределенную систему, то проблемы синхронизации, относящиеся к распространению атрибутов безопасности, данных ФБО и модификации функций становятся очень сложными, особенно когда требуется дублирование информации в различных частях ОО. Эти проблемы следует принять во внимание при выборе компонентов FMT_REV.1 "Отмена" и FMT_SAE.1 "Ограниченная по времени авторизация", поскольку при этом возможно нарушение нормального выполнения ФБО. В такой ситуации рекомендуется воспользоваться компонентами семейства FPT_TRC.

Декомпозиция класса FMT на составляющие его компоненты приведена на рисунке И.1.

И.1 Управление отдельными функциями ФБО (FMT_MOF)

Функции управления из числа ФБО дают уполномоченным пользователям возможность устанавливать операции безопасности ОО и управлять ими. Эти административные функции обычно подразделяются на несколько категорий.

а) Функции, относящиеся к управлению доступом, учету пользователей и аутентификации, реализованные в ОО. Например, определение и обновление характеристик безопасности пользователей (таких, как уникальные идентификаторы, ассоциированные с именами пользователей, учетные данные пользователей, параметры входа в систему), определение и обновление средств управления аудитом системы (выбор событий аудита, управление журналами аудита, анализ журнала аудита и генерация отчетов аудита), определение и обновление атрибутов политики, назначенных пользователю (таких, как уровень допуска), определение системных меток управления доступом, управление группами пользователей.

б) Функции управления, относящиеся к контролю доступности. Например, определение и модификация параметров доступности или квот ресурсов.

в) Функции управления, связанные в основном с инсталляцией и конфигурацией. Например, конфигурация ОО ручное восстановление инсталляция исправлений, относящихся к безопасности ОО (при их наличии), восстановление и реинсталляция аппаратных средств.

г) Функции управления, связанные с текущим управлением и сопровождением ресурсов ОО. Например, подключение и отключение периферийных устройств, установка съемных носителей памяти, резервное копирование и восстановление объектов пользователей и системы.

Отметим, что эти функции требуется представить в ОО на основе семейств, включенных в ПЗ или ЗБ. На автора ПЗ/ЗБ возлагается ответственность за предоставление функций управления системой безопасным образом.

Управление безопасностью

    | /----------------------------------\   /---\

    |-|  FMT_MOF Управление отдельными   |---| 1 |

    | |           функциями ФБО          |   \---/

    | \----------------------------------/

    |                                        /---\

    |                                      /-| 1 |

    | /----------------------------------\ | \---/

    |-|   FMT_MSA Управление атрибутами  | |        /---\

    | |         безопасности             |-+--------| 2 |

    | \----------------------------------/ | /---\  \---/

    |                                      \-| 3 |

    |                                        \---/

    |                                        /---\

    |                                      /-| 1 |

    | /----------------------------------\ | \---/

    |-|  FMT_MTD Управление данными ФБО  | |        /---\

    | |                                  |-+--------| 2 |

    | \----------------------------------/ | /---\  \---/

    |                                      \-| 3 |

    |                                        \---/

    | /----------------------------------\   /---\

    |-|         FMT REV Отмена           |---| 1 |

    | |                                  |   \---/

    | \----------------------------------/

    | /----------------------------------\   /---\

    |-|  FMT_SAE Срок действия атрибута  |---| 1 |

    | |           безопасности           |   \---/

    | \----------------------------------/

    |                                        /---\  /---\

    | /----------------------------------\ /-| 1 |--| 2 |

    \-|     FMT_SMR Роли управления      | | \---/  \---/

      |         безопасностью            |-| /---\

      \----------------------------------/ \-| 3 |

                                             \---/

     Рисунок И.1 - Декомпозиция класса "Управление безопасностью"

Допускается включение в число ФБО функций, которыми может управлять администратор. Например, могут быть предусмотрены отключение функций аудита, переключение синхронизации времени, модификация механизма аутентификации.

FMT_MOF.1 Управление режимом выполнения функций безопасности

Компонент FMT_MOF.1 предоставляет идентифицированным ролям возможность управления функциями из числа ФБО. Может потребоваться выяснить текущее состояние функции безопасности, отключить или подключить функцию безопасности, модифицировать режим ее выполнения. Примером модификации режима выполнения является изменение механизмов аутентификации.

Операции

Выбор

В FMT_MOF.1.1 автору ПЗ/ЗБ следует выбрать для роли возможность следующих действий: определение режима выполнения функций безопасности, отключение функций безопасности, подключение функций безопасности и/или модификация режима выполнения функций безопасности.

Назначение

В FMT_MOF.1.1 автору ПЗ/ЗБ следует специфицировать функции, которые могут быть модифицированы идентифицированными ролями. Примерами таких функций являются функции аудита или определения времени.

В FMT_MOF.1.1 автору ПЗ/ЗБ следует специфицировать роли, которые допускаются к модификации функций из числа ФБО. Все возможные роли специфицированы в FMT_SMR.1.

И.2 Управление атрибутами безопасности (FMT_MSA)

Семейство FMT_MSA определяет требования по управлению атрибутами безопасности.

У пользователей, субъектов и объектов есть ассоциированные атрибуты безопасности, которые оказывают влияние на режим выполнения ФБО. Примерами атрибутов безопасности являются группы, в которые входит пользователь, роли, которые он может принимать, приоритет процесса (субъекта), а также права, которыми наделены роль или пользователь. Может возникнуть необходимость в управлении этими атрибутами безопасности со стороны пользователя, субъекта или специально уполномоченного пользователя (пользователя с явно представленными правами такого управления).

Существенно, что право на назначение прав пользователям само по себе является атрибутом безопасности и/или потенциальным субъектом управления в компоненте FMT_MSA.1.

Компонент FMT_MSA.2 можно использовать для обеспечения, чтобы выбранное сочетание атрибутов безопасности находилось в рамках безопасного состояния. Определение, что понимать как "безопасное", возлагается на руководство ОО и модель ПБО. Если разработчик предоставил четкое определение безопасных значений и доводы, почему их следует считать безопасными, зависимостью FMT_MSA.2 от ADV_SPM.1 можно пренебречь.

В некоторых случаях субъекты, объекты или учетные данные пользователей создаются заново. Если при этом не заданы явно значения атрибутов безопасности, связанные с субъектами, объектами или пользователями, то необходимо использовать значения по умолчанию. Компонент FMT_MSA.1 можно использовать для определения, что этими значениями, задаваемыми по умолчанию, можно управлять.

FMT_MSA.1 Управление атрибутами безопасности

Компонент FMT_MSA.1 допускает пользователей, исполняющих некоторые роли, к управлению идентифицированными атрибутами безопасности. Принятие роли пользователем осуществляется в компоненте FMT_SMR.1.

Задаваемым по умолчанию называется значение параметра, которое он принимает, когда отображается без специально указанного значения. Начальное же значение предоставляется при отображении (создании) параметра, замещая заданное по умолчанию.

Операции

Назначение

В FMT_MSA.1.1 автору ПЗ/ЗБ следует указать ПФБ управления доступом или информационными потоками, для которой применимы атрибуты безопасности.

Выбор

В FMT_MSA.1.1 автору ПЗ/ЗБ следует специфицировать операции, которые можно применять к идентифицированным атрибутам безопасности. Автор ПЗ/ЗБ может специфицировать, что роль допускается к изменению задаваемых по умолчанию значений атрибутов безопасности, запросу и модификации значений атрибутов безопасности, полному удалению атрибутов безопасности, а также определить собственные операции с ними.

Назначение

В FMT_MSA.1.1, если сделан соответствующий выбор, автору ПЗ/ЗБ следует специфицировать, какие дополнительные операции может выполнять роль. Примером такой операции может быть "создать".

В FMT_MSA.1.1 автору ПЗ/ЗБ следует специфицировать атрибуты безопасности, которыми могут оперировать идентифицированные роли. Допускается, что автор ПЗ/ЗБ специфицирует возможность управления задаваемыми по умолчанию величинами, такими как задаваемые по умолчанию права доступа. Примерами этих атрибутов безопасности являются: уровень допуска, приоритет уровня обслуживания, список управления доступом, права доступа по умолчанию.

В FMT_MSA.1.1 автору ПЗ/ЗБ следует специфицировать роли, которые допущены к операциям с атрибутами безопасности. Все возможные роли специфицированы в FMT_SMR.1.

FMT_MSA.2 Безопасные значения атрибутов безопасности

Компонент FMT_MSA.2 содержит требования к значениям, которые могут присваиваться атрибутами безопасности. Следует присваивать такие значения, чтобы ОО оставался в безопасном состоянии.

Определение, что является "безопасным", в этом компоненте не раскрывается, но оставлено для класса "Разработка" (конкретно, для компонента ADV_SPM.1 "Неформальная модель политики безопасности ОО") и руководств. Примером может служить нетривиальный пароль, назначаемый пользователю при регистрации.

FMT_MSA.3 Инициализация статических атрибутов

Замечания по применению для пользователя

Компонент FMT_MSA.3 содержит требования, чтобы ФБО предоставлял возможность как присвоения атрибутам безопасности объектов значений по умолчанию, так и их замены начальными значениями. Действительно, для новых объектов возможно иметь при создании различающиеся значения атрибутов безопасности, если существует механизм спецификации полномочий во время создания объекта.

Операции

Назначение

В FMT_MSA.3.1 автору ПЗ/ЗБ следует указать ПФБ управления доступом или информационными потоками, для которой применимы атрибуты безопасности.

Выбор

В FMT_MSA.3.1 автору ПЗ/ЗБ следует специфицировать, будут ли заданные по умолчанию свойства атрибутов управления доступом ограничивающими, разрешающими или иного характера. В последнем случае автору ПЗ/ЗБ следует уточнить характер этих свойств.

Назначение

В FMT_MSA.3.2 автору ПЗ/ЗБ следует специфицировать роли, которые допущены к модификации значений атрибутов безопасности. Все возможные роли специфицированы в FMT_SMR.1.

И.3 Управление данными ФБО (FMT_MTD)

Семейство FMT_MTD устанавливает требования по управлению данными ФБО. Примерами данных ФБО являются текущее время и журнал аудита. Например, это семейство дает возможность специфицировать, кому разрешено читать, удалять или создавать журнал аудита.

FMT_MTD.1 Управление данными ФБО

Компонент FMT_MTD.1 позволяет пользователям, которым присвоены определенные роли, управлять значениями данных ФБО. Назначение пользователей на роль рассмотрено в компоненте FMT_SMR.1.

Задаваемым по умолчанию называется значение параметра, которое он принимает, когда отображается без специально указанного значения. Начальное же значение предоставляется при отображении (создании) параметра, замещая заданное по умолчанию.

Операции

Выбор

В FMT_MTD.1.1 автору ПЗ/ЗБ следует специфицировать операции, которые могут быть применены к идентифицированным данным ФБО. Автор ПЗ/ЗБ может специфицировать, что роль может изменять заданные по умолчанию значения, выполнять очистку, чтение, модификацию или полное удаление данных ФБО. По желанию автор ПЗ/ЗБ может специфицировать какой-либо тип операции. "Очистка данных ФБО" означает, что содержание данных удаляется, но сама сущность остается в системе.

Назначение

В FMT_MTD.1.1, если сделан соответствующий выбор, автору ПЗ/ЗБ следует специфицировать, какие дополнительные операции может выполнять роль. Примером такой операции может быть "создать".

В FMT_MTD.1.1 автору ПЗ/ЗБ следует специфицировать, какими данными ФБО могут оперировать идентифицированные роли. Допускается, что автор ПЗ/ЗБ специфицирует возможность управления значениями, задаваемыми по умолчанию.

В FMT_MTD.1.1 автору ПЗ/ЗБ следует специфицировать роли, которые допущены к операциям с данными ФБО. Все возможные роли специфицированы в FMT_SMR.1.

FMT_MTD.2 Управление ограничениями данных ФБО

Компонент FMT_MTD.2 специфицирует граничные значения для данных ФБО и действия, предпринимаемые в случае их превышения. Могут быть указаны, например, допустимый объем журнала аудита и действия при его переполнении.

Операции

Назначение

В FMT_MTD.2.1 автору ПЗ/ЗБ следует специфицировать данные ФБО, имеющие ограничения, и значения этих ограничений. Примером таких данных ФБО является число пользователей, осуществивших вход в систему.

В FMT_MTD.2.1 автору ПЗ/ЗБ следует специфицировать роли, которые допущены к модификации как ограничений данных ФБО, так и действий в случае нарушения ограничений. Все возможные роли специфицированы в FMT_SMR.1.

В FMT_MTD.2.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые в случае превышения предельных значений специфицированных данных ФБО. Примером таких действий, выполняемых ФБО, является информирование уполномоченного администратора и генерация записи аудита.

FMT_MTD.3 Безопасные данные ФБО

Компонент FMT_MTD.3 распространяется на требования к значениям, которые могут присваиваться данным ФБО. Следует присваивать такие значения, чтобы ОО оставался в безопасном состоянии.

Определение, что является "безопасным", в этом компоненте не раскрывается, а оставлено для класса "Разработка" (конкретно для компонента ADV_SPM.1 "Неформальная модель политики безопасности ОО") и руководств. Если разработчик предоставил четкое определение безопасных значений и объяснение, почему их следует считать безопасными, зависимостью FMT_MSA.2 от ADV_SPM.1 можно пренебречь.

И.4 Отмена (FMT_REV)

Характеристика семейства

Семейство FMT_REV связано с отменой атрибутов безопасности различных сущностей в пределах ОО.

FMT_REV.1 Отмена

В компоненте FMT_REV.1 специфицируются требования по отмене прав. Он содержит требование спецификации правил отмены, например:

а) отмена произойдет при следующем входе пользователя в систему;

б) отмена произойдет при следующей попытке открыть файл;

в) отмена произойдет по истечении установленного времени, что может означать пересмотр всех открытых соединений через каждые Х мин.

Операции

Выбор

В FMT_REV.1.1 автору ПЗ/ЗБ следует специфицировать, должна ли быть предоставлена возможность отменять с использованием ФБО атрибуты безопасности пользователей, субъектов, объектов или каких-либо иных ресурсов. Если выбран последний вариант, то следует использовать операцию уточнения для определения ресурсов.

Назначение

В FMT_REV.1.1 автору ПЗ/ЗБ следует указать роли, которые допущены к отмене атрибутов безопасности. Все возможные роли специфицированы в FMT_SMR.1.

В FMT_REV.1.2 автору ПЗ/ЗБ следует специфицировать правила отмены. К правилам, в частности, могут быть отнесены: "перед следующей операцией над ассоциированным ресурсом" или "при создании каждого нового субъекта".

И.5 Срок действия атрибутов безопасности (FMT_SAE)

Семейство FMT_SAE связано с возможностью установления срока действия атрибутов безопасности. Оно может применяться при спецификации требований к сроку действия атрибутов управления доступом, атрибутов идентификации и аутентификации, сертификатов (например, сертификатов ключей типа Х.509), атрибутов аудита и т.д.

FMT_SAE.1 Ограниченная по времени авторизация

Операции

Назначение

В FMT_SAE.1.1 автору ПЗ/ЗБ следует представить список атрибутов безопасности, для которых поддерживается ограничение срока действия. Примером такого атрибута является уровень допуска пользователя.

В FMT_SAE.1.1 автору ПЗ/ЗБ следует указать роли, которые допущены к назначению срока действия атрибутов безопасности. Все возможные роли специфицированы в FMT_SMR.1.

В FMT_SAE.1.2 автору ПЗ/ЗБ следует представить список действий, предпринимаемых по отношению к каждому атрибуту безопасности, когда заканчивается срок его действия. Примером является назначение уровню допуска пользователя, по истечении срока его действия, значения, минимального для данного ОО. Если в ПЗ/ЗБ предусматривается и немедленная отмена, то следует специфицировать действие "немедленная отмена".

И.6 Роли управления безопасностью (FMT_SMR)

Семейство FMT_SMR уменьшает вероятность ущерба, который могут нанести пользователи действиями, выходящими за рамки назначенных им функциональных обязанностей. В семействе также рассматривается противодействие угрозе применения неадекватного механизма, предоставляемого для безопасного управления ФБО.

Это семейство содержит требования к предоставлению информации по поддержке идентификации полномочий пользователя на применение отдельных административных функций, относящихся к безопасности.

Некоторые действия управления могут выполнять пользователи, другие - только специально назначенные лица из данной организации. Семейство позволяет определять различные роли, такие как владелец, аудитор, администратор, дежурный администратор.

Все роли из этого семейства связаны с безопасностью. Каждая роль может предоставлять широкие возможности (например, доступ ко всей структуре UNIX) или незначительные права (например, право чтения объектов единственного типа, таких как файл помощи). Все роли определяются в этом семействе. Возможности ролей определяются в семействах FIA_MOF #, FMT_MSA и FMT_MTD.

Некоторые типы ролей могут быть взаимно исключающими. Например, дежурный администратор может быть способен определять и активизировать пользователей, но не удалять их (эта возможность закреплена за ролью администратора). Это семейство допускает спецификацию политик двойного управления.

FMT_SMR.1 Роли безопасности

Компонент FMT_SMR.1 определяет различные роли, которые ФБО следует распознавать. В системах часто проводится различие между владельцем сущности, администратором и остальными пользователями.

Операции

Назначение

В FMT_SMR.1. автору ПЗ/ЗБ следует специфицировать роли, которые распознаются системой. Это роли, которые могут исполнять пользователи относительно безопасности. Примеры ролей: владелец, аудитор, администратор.

FMT_SMR.2 Ограничения на роли безопасности

Компонент FMT_SMR.2 специфицирует различные роли, которые ФБО следует распознавать, и условия, при которых этими ролями можно управлять. В системах часто проводится различие между владельцем сущности, администратором и другими пользователями.

Условия, налагаемые на роли, определяют взаимоотношения различных ролей, а также ограничения на принятие роли пользователем.

Операции

Назначение

В FMT_SMR.2.1 автору ПЗ/ЗБ следует специфицировать роли, которые распознаются системой. Это роли, которые могут исполнять пользователи относительно безопасности. Примеры ролей: владелец, аудитор, администратор.

В FMT_SMR.2.3 автору ПЗ/ЗБ следует специфицировать условия, которым необходимо следовать при управлении назначением роли. Примерами таких условий являются: "заказчик не может исполнять роль аудитора или администратора" или "пользователю, исполняющему роль ассистента, необходимо также исполнять роль владельца".

FMT_SMR.3 Принятие ролей

Компонент FMT_SMR.3 определяет, что для принятия некоторых ролей необходим точный запрос.

Операции

Назначение

В FMT_SMR.3.1 автору ПЗ/ЗБ следует специфицировать роли, для принятия которых требуется точный запрос. Примеры: аудитор и администратор.