Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15408-2-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 г. N 1339-ст)
- Приложение H (обязательное). Управление безопасностью (FMT)
Приложение H (обязательное). Управление безопасностью (FMT)
Приложение H
(обязательное)
Управление безопасностью (FMT)
Класс FMT предназначен для спецификации управления некоторыми аспектами ФБО: атрибутами безопасности, данными и отдельными функциями. Могут быть также установлены различные роли управления и определено их взаимодействие, например распределение обязанностей.
Если ОО состоит из нескольких физически разделенных частей, то проблемы синхронизации, относящиеся к распространению атрибутов безопасности, данных ФБО и модификации функций, становятся очень сложными, особенно когда требуется дублирование информации в различных частях ОО. Эти проблемы следует принять во внимание при выборе компонентов FMT_REV.1 "Отмена" и FMT_SAE.1 "Ограниченная по времени авторизация", поскольку при этом возможно нарушение нормального выполнения ФБО. В такой ситуации рекомендуется воспользоваться компонентами семейства FPT_TRC "Согласованность данных ФБО при дублировании в пределах ОО".
Декомпозиция класса FMT на составляющие его компоненты приведена на рисунке H.1.
Рисунок H.1. Декомпозиция класса FMT "Управление безопасностью"
H.1. Управление отдельными функциями ФБО (FMT_MOF)
H.1.1. Замечания для пользователя
Функции управления из числа ФБО дают уполномоченным пользователям возможность устанавливать операции безопасности ОО и управлять ими. Эти административные функции обычно подразделяются на несколько категорий:
a) функции управления, относящиеся к управлению доступом, учету пользователей и аутентификации, реализованные в ОО. Например, определение и обновление характеристик безопасности пользователей (таких, как уникальные идентификаторы, ассоциированные с именами пользователей, учетные данные пользователей, параметры входа в систему), определение и обновление средств управления аудитом системы (выбор событий аудита, управление журналами аудита, анализ журнала аудита и генерация отчетов аудита), определение и обновление атрибутов политики, назначенных пользователю (таких, как уровень допуска), определение системных меток управления доступом, управление группами пользователей;
b) функции управления, относящиеся к контролю доступности. Например, определение и модификация параметров доступности или квот ресурсов;
c) функции управления, связанные в основном с инсталляцией и конфигурацией. Например, конфигурация ОО, ручное восстановление, инсталляция исправлений, относящихся к безопасности ОО (при их наличии), восстановление и реинсталляция аппаратных средств;
d) функции управления, связанные с текущим управлением и сопровождением ресурсов ОО. Например, подключение и отключение периферийных устройств, установка съемных носителей памяти, резервное копирование и восстановление.
Следует отметить, что эти функции требуется представить в ОО на основе семейств, включенных в ПЗ или ЗБ. Автор ПЗ/ЗБ должен предусмотреть необходимые функции, обеспечивающие управление ОО безопасным образом.
Допускается включение в число ФБО функций, которыми может управлять администратор. Например, могут быть предусмотрены отключение функций аудита, переключение синхронизации времени, модификация механизма аутентификации.
H.1.2. FMT_MOF.1 Управление режимом выполнения функций безопасности
H.1.2.1. Замечания по применению для пользователя
Компонент FMT_MOF.1 предоставляет идентифицированным ролям возможность управления функциями из числа ФБО. Может потребоваться выяснить текущее состояние функции безопасности, отключить или подключить функцию безопасности, модифицировать режим ее выполнения. Примером модификации режима выполнения является изменение механизмов аутентификации.
H.1.2.2. Операции
H.1.2.2.1. Выбор
В FMT_MOF.1.1 автору ПЗ/ЗБ следует выбрать для роли возможность следующих действий: определение режима выполнения функций безопасности, отключение функций безопасности, подключение функций безопасности и/или модификация режима выполнения функций безопасности.
H.1.2.2.2. Назначение
В FMT_MOF.1.1 автору ПЗ/ЗБ следует специфицировать функции, которые могут быть модифицированы идентифицированными ролями. Примерами таких функций являются функции аудита или определения времени.
В FMT_MOF.1.1 автору ПЗ/ЗБ следует специфицировать роли, которые допускаются к модификации функций из числа ФБО. Все возможные роли специфицированы в FMT_SMR.1 "Роли безопасности".
H.2. Управление атрибутами безопасности (FMT_MSA)
H.2.1. Замечания для пользователя
Семейство FMT_MSA определяет требования по управлению атрибутами безопасности.
Атрибуты безопасности оказывают влияние на режим выполнения ФБО. Примерами атрибутов безопасности являются группы, в которые входит пользователь, роли, которые он может принимать; приоритет процесса (субъекта), а также права, которыми наделены роль или пользователь. Может возникнуть необходимость в управлении этими атрибутами безопасности со стороны пользователя, субъекта, специально уполномоченного пользователя (пользователя с явно предоставленными правами для такого управления) или унаследованных значений в соответствии с принятой политикой/набором правил.
Следует отметить, что право на назначение прав пользователям само по себе является атрибутом безопасности и/или потенциальным субъектом управления в компоненте FMT_MSA.1 "Управление атрибутами безопасности".
Компонент FMT_MSA.2 "Безопасные значения атрибутов безопасности" можно использовать для обеспечения, чтобы выбранное сочетание атрибутов безопасности находилось в рамках безопасного состояния. Определение, что понимать как "безопасное", возлагается на руководства.
В некоторых случаях субъекты, объекты или учетные данные пользователей создаются заново. Если при этом не заданы явно значения атрибутов безопасности, связанные с субъектами, объектами или пользователями, то необходимо использовать значения по умолчанию. Компонент FMT_MSA.1 можно использовать для определения, что этими значениями, задаваемыми по умолчанию, можно управлять.
H.2.2. FMT_MSA.1 Управление атрибутами безопасности
H.2.2.1. Замечания по применению для пользователя
Компонент FMT_MSA.1 допускает пользователей, исполняющих некоторые роли, к управлению идентифицированными атрибутами безопасности. Принятие роли пользователем осуществляется в компоненте FMT_SMR.1 "Роли безопасности".
Задаваемым по умолчанию называется значение параметра, которое он принимает, когда отображается без специально указанного значения. Начальное же значение предоставляется при отображении (создании) параметра, замещая заданное по умолчанию.
H.2.2.2. Операции
H.2.2.2.1. Назначение
В FMT_MSA.1.1 автору ПЗ/ЗБ следует указать ПФБ управления доступом или информационными потоками, для которой применимы атрибуты безопасности.
H.2.2.2.2. Выбор
В FMT_MSA.1.1 автору ПЗ/ЗБ следует специфицировать операции, которые можно применять к идентифицированным атрибутам безопасности. Автор ПЗ/ЗБ может специфицировать, что роль допускается к изменению задаваемых по умолчанию значений атрибутов безопасности, запросу и модификации значений атрибутов безопасности, полному удалению атрибутов безопасности, а также определить собственные операции с ними.
H.2.2.2.3. Назначение
В FMT_MSA.1.1 автору ПЗ/ЗБ следует специфицировать атрибуты безопасности, которыми могут оперировать идентифицированные роли. Допускается, что автор ПЗ/ЗБ специфицирует возможность управления задаваемыми по умолчанию величинами, такими как задаваемые по умолчанию права доступа. Примерами этих атрибутов безопасности являются: уровень допуска, приоритет уровня обслуживания, список управления доступом, права доступа по умолчанию.
В FMT_MSA.1.1 автору ПЗ/ЗБ следует специфицировать роли, которые допущены к операциям с атрибутами безопасности. Все возможные роли специфицированы в FMT_SMR.1.
В FMT_MSA.1.1, если сделан соответствующий выбор, автору ПЗ/ЗБ следует специфицировать, какие дополнительные операции может выполнять роль. Примером такой операции может быть "создать".
H.2.3. FMT_MSA.2 Безопасные значения атрибутов безопасности
H.2.3.1. Замечания по применению для пользователя
Компонент FMT_MSA.2 содержит требования к значениям, которые могут присваиваться атрибутам безопасности. Следует присваивать такие значения, чтобы ОО оставался в безопасном состоянии.
Определение, что является "безопасным", в этом компоненте не раскрывается, но оставлено для класса "Разработка" и руководств. Примером может служить нетривиальный пароль, назначаемый пользователю при регистрации.
H.2.3.2. Операции
H.2.3.2.1. Назначение
В FMT_MSA.2.1 автору ПЗ/ЗБ следует привести перечень атрибутов безопасности, для которых требуется предоставлять только безопасные значения.
H.2.4. FMT_MSA.3 Инициализация статических атрибутов
H.2.4.1. Замечания по применению для пользователя
Компонент FMT_MSA.3 содержит требования, чтобы ФБО предоставлял возможность как присвоения атрибутам безопасности объектов значений по умолчанию, так и их замены начальными значениями. Действительно, для новых объектов возможно иметь при создании различающиеся значения атрибутов безопасности, если существует механизм спецификации полномочий во время создания объекта.
H.2.4.2. Операции
H.2.4.2.1. Назначение
В FMT_MSA.3.1 автору ПЗ/ЗБ следует указать ПФБ управления доступом или информационными потоками, для которой применимы атрибуты безопасности.
H.2.4.2.2. Выбор
В FMT_MSA.3.1 автору ПЗ/ЗБ следует специфицировать, будут ли заданные по умолчанию свойства атрибутов управления доступом ограничивающими, разрешающими или иного характера. Может быть выбран только один из представленных вариантов.
H.2.4.2.3. Назначение
В FMT_MSA.3.1, если автор ПЗ/ЗБ выбирает другое свойство, то ему следует специфицировать требуемые характеристики значений по умолчанию.
В FMT_MSA.3.2 автору ПЗ/ЗБ следует специфицировать роли, которые допущены к модификации значений атрибутов безопасности. Все возможные роли специфицированы в FMT_SMR.1 "Роли безопасности".
H.2.5. FMT_MSA.4 Наследование значений атрибутами безопасности
H.2.5.1. Замечания по применению для пользователя
Компонент FMT_MSA.4 содержит требования спецификации набора правил, по которым атрибут безопасности наследует значения, и условий, которые должны выполняться для применения этих правил.
H.2.5.2. Операции
H.2.5.2.1. Назначение
В FMT_MSA.4.1 автор ПЗ/ЗБ определяет правила, управляющие значением, которое будет унаследовано указанным атрибутом безопасности, и условия, которые должны выполняться для применения этих правил. Например, если создается новый файл или папка (в многоуровневой файловой системе), ее метка будет соответствовать имеющейся у пользователя метке доступа на момент создания данной папки/файла.
H.3. Управление данными ФБО (FMT_MTD)
H.3.1. Замечания для пользователя
Семейство FMT_MTD устанавливает требования по управлению данными ФБО. Примерами данных ФБО являются текущее время и журнал аудита. Например, это семейство дает возможность специфицировать, кому разрешено читать, удалять или создавать журнал аудита.
H.3.2. FMT_MTD.1 Управление данными ФБО
H.3.2.1. Замечания по применению для пользователя
Компонент FMT_MTD.1 позволяет пользователям, которым присвоены определенные роли, управлять значениями данных ФБО. Назначение пользователей на роль рассмотрено в компоненте FMT_SMR.1 "Роли безопасности".
Задаваемым по умолчанию называется значение параметра, которое он принимает, когда отображается без специально указанного значения. Начальное же значение предоставляется при отображении (создании) параметра, замещая заданное по умолчанию.
H.3.2.2. Операции
H.3.2.2.1. Выбор
В FMT_MTD.1.1 автору ПЗ/ЗБ следует специфицировать операции, которые могут быть применены к идентифицированным данным ФБО. Автор ПЗ/ЗБ может специфицировать, что роль может изменять заданные по умолчанию значения, выполнять очистку, чтение, модификацию или полное удаление данных ФБО. По желанию автор ПЗ/ЗБ может специфицировать какой-либо тип операции. "Очистка данных ФБО" означает, что содержание данных удаляется, но сама сущность, сохраненная в данных ФБО, остается в ОО.
H.3.2.2.2. Назначение
В FMT_MTD.1.1 автору ПЗ/ЗБ следует специфицировать, какими данными ФБО могут оперировать идентифицированные роли. Допускается, что автор ПЗ/ЗБ специфицирует возможность управления значениями, задаваемыми по умолчанию.
В FMT_MTD.1.1 автору ПЗ/ЗБ следует специфицировать роли, которые допущены к операциям с данными ФБО. Все возможные роли специфицированы в FMT_SMR.1 "Роли безопасности".
В FMT_MTD.1.1, если сделан соответствующий выбор, автору ПЗ/ЗБ следует специфицировать, какие дополнительные операции может выполнять роль. Примером такой операции может быть "создать".
H.3.3. FMT_MTD.2 Управление ограничениями данных ФБО
H.3.3.1. Замечания по применению для пользователя
Компонент FMT_MTD.2 специфицирует граничные значения для данных ФБО и действия, предпринимаемые в случае их превышения. Могут быть указаны, например, допустимый объем журнала аудита и действия при его переполнении.
H.3.3.2. Операции
H.3.3.2.1. Назначение
В FMT_MTD.2.1 автору ПЗ/ЗБ следует специфицировать данные ФБО, имеющие ограничения, и значения этих ограничений. Примером таких данных ФБО является число пользователей, осуществивших вход в систему.
В FMT_MTD.2.1 автору ПЗ/ЗБ следует специфицировать роли, которые допущены к модификации как ограничений данных ФБО, так и действий в случае нарушения ограничений. Все возможные роли специфицированы в FMT_SMR.1 "Роли безопасности".
В FMT_MTD.2.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые в случае превышения предельных значений специфицированных данных ФБО. Примером таких действий, выполняемых ФБО, является информирование уполномоченного администратора и генерация записи аудита.
H.3.4. FMT_MTD.3 Безопасные данные ФБО
H.3.4.1. Замечания по применению для пользователя
Компонент FMT_MTD.3 распространяется на требования к значениям, которые могут присваиваться данным ФБО. Следует присваивать такие значения, чтобы ОО оставался в безопасном состоянии.
Определение, что является "безопасным", в этом компоненте не раскрывается, а оставлено для класса "Разработка" и руководств. Если разработчик предоставил четкое определение безопасных значений и объяснение, почему их следует считать безопасными, зависимостью FMT_MTD.3 "Безопасные данные ФБО" от ADV_SPM.1 "Неформальная модель политики безопасности ОО" можно пренебречь.
H.3.4.2. Операции
H.3.4.2.1. Назначение
В FMT_MTD.3.1 автору ПЗ/ЗБ следует специфицировать, что данным ФБО должны присваиваться только безопасные значения.
H.4. Отмена (FMT_REV)
H.4.1. Замечания для пользователя
Семейство FMT_REV связано с отменой атрибутов безопасности различных сущностей в пределах ОО.
H.4.2. FMT_REV.1 Отмена
H.4.2.1. Замечания по применению для пользователя
В компоненте FMT_REV.1 специфицируются требования по отмене прав. Он содержит требование спецификации правил отмены, например:
a) отмена произойдет при следующем входе пользователя в систему;
b) отмена произойдет при следующей попытке открыть файл;
c) отмена произойдет по истечении установленного времени, что может означать пересмотр всех открытых соединений через каждые X мин.
H.4.2.2. Операции
H.4.2.2.1. Назначение
В FMT_REV.1.1 автору ПЗ/ЗБ следует специфицировать, какие атрибуты безопасности должны задействоваться при изменении связанных с ними объектов/субъектов/пользователей/иных ресурсов.
H.4.2.2.2. Выбор
В FMT_REV.1.1 автору ПЗ/ЗБ следует специфицировать, должна ли быть предоставлена возможность отменять с использованием ФБО атрибуты безопасности пользователей, субъектов, объектов или каких-либо дополнительных ресурсов.
H.4.2.2.3. Назначение
В FMT_REV.1.1 автору ПЗ/ЗБ следует указать роли, которые допущены к отмене атрибутов безопасности. Все возможные роли специфицированы в FMT_SMR.1 "Роли безопасности".
В FMT_REV.1.1 автору ПЗ/ЗБ следует, если выбраны дополнительные ресурсы, специфицировать, должна ли быть предоставлена возможность отменять атрибуты безопасности с использованием ФБО.
В FMT_REV.1.2 автору ПЗ/ЗБ следует специфицировать правила отмены. К правилам, в частности, могут быть отнесены: "перед следующей операцией над ассоциированным ресурсом" или "при создании каждого нового субъекта".
H.5. Срок действия атрибутов безопасности (FMT_SAE)
H.5.1. Замечания для пользователя
Семейство FMT_SAE связано с возможностью установления срока действия атрибутов безопасности. Оно может применяться при спецификации требований к сроку действия атрибутов управления доступом, атрибутов идентификации и аутентификации, сертификатов (например, сертификатов ключей типа X.509), атрибутов аудита и т.д.
H.5.2. FMT_SAE.1 Ограниченная по времени авторизация
H.5.2.1. Операции
H.5.2.1.1. Назначение
В FMT_SAE.1.1 автору ПЗ/ЗБ следует представить список атрибутов безопасности, для которых поддерживается ограничение срока действия. Примером такого атрибута является уровень допуска пользователя.
В FMT_SAE.1.1 автору ПЗ/ЗБ следует указать роли, которые допущены к назначению срока действия атрибутов безопасности. Все возможные роли специфицированы в FMT_SMR.1 "Роли безопасности".
В FMT_SAE.1.2 автору ПЗ/ЗБ следует представить список действий, предпринимаемых по отношению к каждому атрибуту безопасности, когда заканчивается срок его действия. Примером является назначение уровню допуска пользователя, по истечении срока его действия, значения, минимального для данного ОО. Если в ПЗ/ЗБ предусматривается и немедленная отмена, то следует специфицировать действие "немедленная отмена".
H.6. Спецификация функций управления (FMT_SMF)
H.6.1. Замечания для пользователя
Данное семейство позволяет специфицировать функции управления, предоставляемые ОО. Каждая функция управления безопасностью, внесенная в список выполнения назначения, является либо функцией управления атрибутами безопасности, либо функцией управления данными ФБО, либо функцией управления функциями безопасности.
H.6.2. FMT_SMF.1 Спецификация функций управления
H.6.2.1. Замечания по применению для пользователя
Данный компонент специфицирует функции управления, которые должны быть предоставлены.
Авторам ПЗ/ЗБ следует принять во внимание пункты "Управление" для компонентов, включенных в их ПЗ/ЗБ, чтобы обеспечить основу для функций управления, которые будут перечислены в данном компоненте.
H.6.2.2. Операции
H.6.2.2.1. Назначение
В FMT_SMF.1 автору ПЗ/ЗБ следует специфицировать функции управления, предоставляемые ФБО, либо для управления атрибутами безопасности, либо для управления данными ФБО, либо для управления функциями безопасности.
H.7. Роли управления безопасностью (FMT_SMR)
H.7.1. Замечания для пользователя
Семейство FMT_SMR уменьшает вероятность ущерба, который могут нанести пользователи действиями, выходящими за рамки назначенных им функциональных обязанностей. В семействе также рассматривается противодействие угрозе применения неадекватных механизмов, предоставляемых для безопасного управления ФБО.
Это семейство содержит требования к предоставлению информации по поддержке идентификации полномочий пользователя на применение отдельных административных функций, относящихся к безопасности.
Некоторые действия управления могут выполнять пользователи, другие - только специально назначенные лица из данной организации. Семейство позволяет определять различные роли, такие как владелец, аудитор, администратор, дежурный администратор.
Все роли из этого семейства связаны с безопасностью. Каждая роль может предоставлять широкие возможности (например, доступ ко всей структуре UNIX) или незначительные права (например, право чтения объектов единственного типа, таких как файл помощи). Все роли определяются в этом семействе. Возможности ролей определяются в семействах FMT_MOF "Управление отдельными функциями ФБО", FMT_MSA "Управление атрибутами безопасности" и FMT_MTD "Управление данными ФБО".
Некоторые типы ролей могут быть взаимно исключающими. Например, дежурный администратор может быть способен определять и активизировать пользователей, но не удалять их (эта возможность закреплена за ролью администратора). Это семейство допускает спецификацию политик двойного управления.
H.7.2. FMT_SMR.1 Роли безопасности
H.7.2.1. Замечания по применению для пользователя
Компонент FMT_SMR.1 определяет различные роли, которые ФБО следует распознавать. В системах часто проводится различие между владельцем сущности, администратором и остальными пользователями.
H.7.2.2. Операции
H.7.2.2.1. Назначение
В FMT_SMR.1.1 автору ПЗ/ЗБ следует специфицировать роли, которые распознаются системой. Это роли, которые могут исполнять пользователи относительно безопасности. Примеры ролей: владелец, аудитор, администратор.
H.7.3. FMT_SMR.2 Ограничения на роли безопасности
H.7.3.1. Замечания по применению для пользователя
Компонент FMT_SMR.2 специфицирует различные роли, которые ФБО следует распознавать, и условия, при которых этими ролями можно управлять. В системах часто проводится различие между владельцем сущности, администратором и другими пользователями.
Условия, налагаемые на роли, определяют взаимоотношения различных ролей, а также ограничения на принятие роли пользователем.
H.7.3.2. Операции
H.7.3.2.1. Назначение
В FMT_SMR.2.1 автору ПЗ/ЗБ следует специфицировать роли, которые распознаются системой. Это роли, которые могут исполнять пользователи относительно безопасности. Примеры ролей: владелец, аудитор, администратор.
В FMT_SMR.2.3 автору ПЗ/ЗБ следует специфицировать условия, которым необходимо следовать при управлении назначением роли. Примерами таких условий являются: "заказчик не может исполнять роль аудитора или администратора" или "пользователю, исполняющему роль ассистента, необходимо также исполнять роль владельца".
H.7.4. FMT_SMR.3 Принятие ролей
H.7.4.1. Замечания по применению для пользователя
Компонент FMT_SMR.3 определяет, что для принятия некоторых ролей необходим явный запрос.
H.7.4.2. Операции
H.7.4.2.1. Назначение
В FMT_SMR.3.1 автору ПЗ/ЗБ следует специфицировать роли, для принятия которых требуется явный запрос. Примеры: аудитор и администратор.