Приложение Н (обязательное). Управление безопасностью (FMT). Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15408-2-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. "Функциональные требования безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 520-ст) (отменен)

Приложение Н
(обязательное)

Управление безопасностью (FMT)

Класс FMT предназначен для спецификации управления некоторыми аспектами ФБО: атрибутами безопасности, данными и отдельными функциями. Могут быть также установлены различные роли управления и определено их взаимодействие, например распределение обязанностей.

Если ОО состоит из нескольких физически разделенных частей, образующих распределенную систему, то проблемы синхронизации, относящиеся к распространению атрибутов безопасности, данных ФБО и модификации функций, становятся очень сложными, особенно, если требуется дублирование информации в различных частях ОО. Эти проблемы следует принять во внимание при выборе компонентов FMT_REV.1 "Отмена" и FMT_SAE.1 "Ограниченная по времени авторизация", поскольку при этом возможно нарушение нормального выполнения ФБО. В такой ситуации рекомендуется воспользоваться компонентами семейства FPT_TRC "Согласованность данных ФБО при дублировании в пределах ОО".

Декомпозиция класса FMT "Управление безопасностью" на составляющие его компоненты показана на рисунке Н.1.

Н.1 Управление отдельными функциями ФБО (FMT_MOF)

Н.1.1 Замечания для пользователя

Функции управления из числа ФБО дают уполномоченным пользователям возможность устанавливать операции безопасности ОО и управлять ими. Эти административные функции обычно подразделяют на несколько категорий:

a) функции управления, относящиеся к управлению доступом, учету пользователей и аутентификации, реализованные в ОО, например определение и обновление характеристик безопасности пользователей (таких, как уникальные идентификаторы, ассоциированные с именами пользователей, учетные данные пользователей, параметры входа в систему), определение и обновление средств управления аудитом системы (выбор событий аудита, управление журналами аудита, анализ журнала аудита и генерация отчетов аудита), определение и обновление атрибутов политики, назначенных пользователю (таких, как уровень допуска), определение системных меток управления доступом, управление группами пользователей;

b) функции управления, относящиеся к контролю доступности, например определение и модификация параметров доступности или квот ресурсов;

c) функции управления, связанные в основном с инсталляцией и конфигурацией, например конфигурация ОО, ручное восстановление, инсталляция исправлений, относящихся к безопасности ОО (при их наличии), восстановление и реинсталляция аппаратных средств;

d) функции управления, связанные с текущим управлением и сопровождением ресурсов ОО, например подключение и отключение периферийных устройств, установка съемных носителей памяти, резервное копирование и восстановление объектов пользователей и системы.

Следует отметить, что эти функции требуется представить в ОО на основе семейств, включенных в ПЗ или ЗБ. Автор ПЗ/ЗБ должен предусмотреть необходимые функции, обеспечивающие безопасное управления системой.

Допускается включение в число ФБО функций, которыми может управлять администратор. Например, могут быть предусмотрены отключение функций аудита, переключение синхронизации времени, модификация механизма аутентификации.

Н.1.2 FMT_MOF.1 Управление режимом выполнения функций безопасности

Н.1.2.1 Замечания по применению для пользователя

Компонент FMT_MOF.1 предоставляет идентифицированным ролям возможность управления функциями из числа ФБО. Может потребоваться выяснить текущее состояние функции безопасности, отключить или подключить функцию безопасности, модифицировать режим ее выполнения. Примером модификации режима выполнения является изменение механизмов аутентификации.

Н.1.2.2 Операции

Н.1.2.2.1 Выбор

В FMT_MOF.1.1 автору ПЗ/ЗБ следует выбрать для роли возможность следующих действий: определение режима выполнения функций безопасности, отключение функций безопасности, подключение функций безопасности и/или модификация режима выполнения функций безопасности.

Н.1.2.2.2 Назначение

В FMT_MOF.1.1 автору ПЗ/ЗБ следует специфицировать функции, которые могут быть модифицированы идентифицированными ролями. Примерами таких функций являются функции аудита или определения времени.

В FMT_MOF.1.1 автору ПЗ/ЗБ следует специфицировать роли, которые допускаются к модификации функций из числа ФБО. Все возможные роли специфицированы в FMT_SMR.1 "Роли безопасности".

Н.2 Управление атрибутами безопасности (FMT_MSA)

Н.2.1 Замечания для пользователя

Семейство FMT_MSA определяет требования по управлению атрибутами безопасности.

У пользователей, субъектов и объектов есть ассоциированные атрибуты безопасности, которые оказывают влияние на режим выполнения ФБО. Примерами атрибутов безопасности являются группы, в которые входит пользователь, роли, которые он может принимать, приоритет процесса (субъекта), а также права, которыми наделены роль или пользователь. Может возникнуть необходимость в управлении этими атрибутами безопасности со стороны пользователя, субъекта или специально уполномоченного пользователя (пользователя с явно предоставленными правами для такого управления).

Следует отметить, что право на назначение прав пользователям само по себе является атрибутом безопасности и/или потенциальным субъектом управления в компоненте FMT_MSA.1 "Управление атрибутами безопасности".

Компонент FMT_MSA.2 "Безопасные значения атрибутов безопасности" можно использовать для обеспечения того, что выбранное сочетание атрибутов безопасности находится в рамках безопасного состояния. Определение, что понимать как "безопасное", возлагается на руководства ОО и модель ПБО. Если разработчик предоставил четкое определение безопасных значений и доводы, почему их следует считать безопасными, зависимостью FMT_MSA.2 "Безопасные значения атрибутов безопасности" от ADV_SPM.1 "Неформальная модель политики безопасности ОО" можно пренебречь.

В некоторых случаях субъекты, объекты или учетные данные пользователей создаются заново. Если при этом не заданы явно значения атрибутов безопасности, связанные с субъектами, объектами или пользователями, то необходимо использовать значения по умолчанию. Компонент FMT_MSA.1 можно использовать для определения того, что этими значениями, задаваемыми по умолчанию, можно управлять.

Н.2.2 FMT_MSA.1 Управление атрибутами безопасности

Н.2.2.1 Замечания по применению для пользователя

Компонент FMT_MSA.1 допускает пользователей, исполняющих некоторые роли, к управлению идентифицированными атрибутами безопасности. Принятие роли пользователем осуществляется в компоненте FMT_SMR.1 "Роли безопасности".

Задаваемым по умолчанию называется значение параметра, которое он принимает, когда отображается без специально указанного значения. Начальное же значение предоставляется при отображении (создании) параметра, замещая заданное по умолчанию.

Н.2.2.2 Операции

Н.2.2.2.1 Назначение

В FMT_MSA.1.1 автору ПЗ/ЗБ следует указать ПФБ управления доступом или информационными потоками, для которой применимы атрибуты безопасности.

Н.2.2.2.2 Выбор

В FMT_MSA.1.1 автору ПЗ/ЗБ следует специфицировать операции, которые можно применять к идентифицированным атрибутам безопасности. Автор ПЗ/ЗБ может специфицировать, что роль допускается к изменению задаваемых по умолчанию значений атрибутов безопасности, запросу и модификации значений атрибутов безопасности, полному удалению атрибутов безопасности, а также определить собственные операции с ними.

Н.2.2.2.3 Назначение

В FMT_MSA.1.1 автору ПЗ/ЗБ следует специфицировать атрибуты безопасности, которыми могут оперировать идентифицированные роли. Допускается, чтобы автор ПЗ/ЗБ специфицировал возможность управления задаваемыми по умолчанию величинами, например, задаваемыми по умолчанию правами доступа. Примерами данных атрибутов безопасности являются: уровень допуска, приоритет уровня обслуживания, список управления доступом, права доступа по умолчанию.

В FMT_MSA.1.1 автору ПЗ/ЗБ следует специфицировать роли, допущенные к операциям с атрибутами безопасности. Все возможные роли специфицируют в FMT_SMR.1.

В FMT_MSA.1.1, если сделан соответствующий выбор, автору ПЗ/ЗБ следует специфицировать, какие дополнительные операции может выполнять роль. Примером такой операции может служить операция "создать".

Н.2.3 FMT_MSA.2 Безопасные значения атрибутов безопасности

Н.2.3.1 Замечания по применению для пользователя

Компонент FMT_MSA.2 содержит требования к значениям, которые могут присваиваться атрибутам безопасности. Следует присваивать такие значения, чтобы ОО оставался в безопасном состоянии.

Определение "безопасных" значений в этом компоненте не раскрывается и оставлено для разработчика ОО (конкретно для компонента ADV_SPM.1 "Неформальная модель политики безопасности OO") и руководств. Примером может служить нетривиальный пароль, назначаемый пользователю при регистрации.

Н.2.4 FMT_MSA.3 Инициализация статических атрибутов

Н.2.4.1 Замечания по применению для пользователя

Компонент FMT_MSA.3 содержит требования, чтобы ФБО предоставлял возможность как присвоения атрибутам безопасности объектов значений по умолчанию, так и их замены начальными значениями. Действительно, при создании новых объектов возможно иметь различающиеся значения атрибутов безопасности, если существует механизм спецификации полномочий во время создания объекта.

Н.2.4.2 Операции

Н.2.4.2.1 Назначение

В FMT_MSA.3.1 автору ПЗ/ЗБ следует указать ПФБ управления доступом или информационными потоками, для которой применимы атрибуты безопасности.

Н.2.4.2.2 Выбор

В FMT_MSA.3.1 автору ПЗ/ЗБ следует специфицировать, будут ли заданные по умолчанию свойства атрибутов управления доступом ограничивающими, разрешающими или иного характера. В последнем случае автору ПЗ/ЗБ следует уточнить характер этих свойств. Может быть выбран только один из представленных вариантов.

Н.2.4.2.3 Назначение

В FMT_MSA.3.1, если автор ПЗ/ЗБ выбирает другое свойство, то ему следует специфицировать требуемые характеристики значений по умолчанию.

В FMT_MSA.3.2 автору ПЗ/ЗБ следует специфицировать роли, допущенные к модификации значений атрибутов безопасности. Все возможные роли специфицируют в FMT_SMR.1 "Роли безопасности".

Н.3 Управление данными ФБО (FMT_MTD)

Н.3.1 Замечания для пользователя

Семейство FMT_MTD устанавливает требования по управлению данными ФБО. Примерами данных ФБО являются текущее время и журнал аудита. Например, данное семейство дает возможность специфицировать, кому разрешено читать, удалять или создавать журнал аудита.

H.3.2 FMT_MTD.1 Управление данными ФБО

Н.3.2.1 Замечания по применению для пользователя

Компонент FMT_MTD.1 позволяет пользователям, которым присвоены определенные роли, управлять значениями данных ФБО. Назначение пользователей на роль рассмотрено в компоненте FMT_SMR.1 "Роли безопасности".

"Задаваемым по умолчанию" называется значение параметра, которое он принимает, если отображается без специально указанного значения. Начальное же значение предоставляется при отображении (создании) параметра, замещая заданное по умолчанию.

Н.3.2.2 Операции

Н.3.2.2.1 Выбор

В FMT_MTD.1.1 автору ПЗ/ЗБ следует специфицировать операции, которые могут быть применены к идентифицированным данным ФБО. Автор ПЗ/ЗБ может специфицировать, что роль может изменять заданные по умолчанию значения, выполнять очистку, чтение, модификацию или полное удаление данных ФБО. По желанию автор ПЗ/ЗБ может специфицировать какой-либо тип операции. "Очистка данных ФБО" означает, что содержание данных удаляется, но категория данных остается в системе.

Н.3.2.2.2 Назначение

В FMT_MTD.1.1 автору ПЗ/ЗБ следует специфицировать, какими данными ФБО могут оперировать идентифицированные роли. Допускается, что автор ПЗ/ЗБ специфицирует возможность управления значениями, задаваемыми по умолчанию.

В FMT_MTD.1.1 автору ПЗ/ЗБ следует специфицировать роли, допущенные к операциям с данными ФБО. Все возможные роли специфицируют в FMT_SMR.1 "Роли безопасности".

В FMT_MTD.1.1, если сделан соответствующий выбор, автору ПЗ/ЗБ следует специфицировать, какие дополнительные операции может выполнять роль. Примером такой операции может быть операция "создать".

Н.3.3 FMT_MTD.2 Управление ограничениями данных ФБО

Н.3.3.1 Замечания по применению для пользователя

Компонент FMT_MTD.2 специфицирует граничные значения для данных ФБО и действия, предпринимаемые в случае их превышения. Могут быть указаны, например, допустимый объем журнала аудита и действия при его переполнении.

Н.3.3.2 Операции

Н.3.3.2.1 Назначение

В FMT_MTD.2.1 автору ПЗ/ЗБ следует специфицировать данные ФБО, имеющие ограничения, и значения этих ограничений. Примером таких данных ФБО является число пользователей, осуществивших вход в систему.

В FMT_MTD.2.1 автору ПЗ/ЗБ следует специфицировать роли, допущенные к модификации как ограничений данных ФБО, так и действий в случае нарушения ограничений. Все возможные роли специфицированы в FMT_SMR.1 "Роли безопасности".

В FMT_MTD.2.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые в случае превышения предельных значений специфицированных данных ФБО. Примером таких действий, выполняемых ФБО, является информирование уполномоченного администратора и генерация записи аудита.

Н.3.4 FMT_MTD.3 Безопасные данные ФБО

Н.3.4.1 Замечания по применению для пользователя

Компонент FMT_MTD.3 распространяется на требования к значениям, которые могут присваиваться данным ФБО. Следует присваивать такие значения, чтобы ОО оставался в безопасном состоянии.

Определение "безопасных" значений в этом компоненте не раскрывается и оставлено для разработчика ОО (конкретно для компонента ADV_SPM.1 "Неформальная модель политики безопасности OO") и руководств. Если разработчик предоставил четкое определение безопасных значений и объяснение, почему их следует считать безопасными, зависимостью FMT_MTD.3 "Безопасные данные ФБО" от ADV_SPM.1 "Неформальная модель политики безопасности OO" можно пренебречь.

Н.4 Отмена (FMT_REV)

Н.4.1 Замечания для пользователя

Семейство FMT_REV связано с отменой атрибутов безопасности различных сущностей в пределах ОО.

Н.4.2 FMT_REV.1 Отмена

Н.4.2.1 Замечания по применению для пользователя

В компоненте FMT_REV.1 специфицируются требования по отмене прав. Он содержит требование спецификации правил отмены, например:

a) отмена произойдет при следующем входе пользователя в систему;

b) отмена произойдет при следующей попытке открыть файл;

c) отмена произойдет по истечении установленного времени, что может означать пересмотр всех открытых соединений через каждые X минут.

Н.4.2.2 Операции

Н.4.2.2.1 Выбор

В FMT_REV.1.1 автору ПЗ/ЗБ следует специфицировать, должна ли быть предоставлена возможность отменять с использованием ФБО атрибуты безопасности пользователей, субъектов, объектов или каких-либо дополнительных ресурсов.

Н.4.2.2.2