Профиль защиты для многоуровневых операционных систем в средах, требующих среднюю робастность



страница10/19
Дата05.03.2019
Размер1.38 Mb.
ТипРеферат
1   ...   6   7   8   9   10   11   12   13   ...   19

5.5Управление безопасностью (FMT)

5.5.1Управление отдельными функциями ФБО (FMT_MOF)


5.5.1.1 Управление режимом применения функций безопасности (FMT_MOF.1)

FMT_MOF.1.1(1) ФБО должны предоставлять возможность определения режима выполнения, отключения, подключения, модификации режима выполнения функций, относящихся к выбору событий, подвергаемых аудиту (см. FAU_SEL.1.1), только уполномоченным администраторам.

FMT_MOF.1.1(2) ФБО должны предоставлять возможность подключения функций, ассоциированных с изменением значений данных аутентификации пользователя, только уполномоченным администраторам, а также уполномоченным пользователям для модификации их собственных данных аутентификации.

5.5.2Управление атрибутами безопасности (FMT_MSA)


5.5.2.1 Управление атрибутами безопасности (FMT_MSA.1)

FMT_MSA.1.1(1) Уточнение: ФБО должны осуществлять политику дискреционного управления доступом, чтобы предоставлять возможность запроса и изменения значения атрибутов безопасности объекта только уполномоченным администраторам и владельцам объекта.



FMT_MSA_EXP.1.1 ФБО должны осуществлять следующие правила: [назначение: для каждого права доступа, которое может быть модифицировано, должен быть список ограничений, который существует для каждого типа пользователя].

Замечания по применению: Например, для изменения атрибутов безопасности файла пользователь должен быть владельцем. Для изменения признака владения файлом пользователь должен иметь возможность становиться владельцем файла.

5.5.2.2 Безопасные значения атрибутов безопасности (FMT_MSA.2)

FMT_MSA.2.1 ФБО должны обеспечить присваивание атрибутам безопасности только безопасных значений.

Замечания по применению: Термин «безопасные значения» определен в соответствующем руководстве. Атрибуты идентификатора перечислены в FDP_ACF.1, FDP_IFC.2 и FIA_ATD.1.

5.5.2.3 Инициализация статических атрибутов (FMT_MSA.3)

FMT_MSA.3.1 ФБО должны осуществлять политику дискреционного управления доступом, чтобы обеспечить ограничительные значения по умолчанию для атрибутов безопасности, которые используются для осуществления ПФБ.

FMT_MSA.3.2 ФБО должны предоставить возможность уполномоченному администратору определять альтернативные начальные значения для отмены значений по умолчанию при создании объекта или информации.



Замечания по применению: ОО должен обеспечить защиту по умолчанию для всех объектов во время их создания. Это может быть выполнено путем осуществления заданного, ограниченного по умолчанию, доступа к объектам через требование к уполномоченному пользователю, чтобы он явно определил желательные атрибуты управления доступом к объекту при его создании при условии, что нет уязвимости, с помощью которой может быть получен несанкционированный доступ к вновь создаваемым объектам.

5.5.3Управление данными ФБО (FMT_MTD)


5.5.3.1 Управление данными ФБО (FMT_MTD.1)

FMT_MTD.1.1(1) ФБО должны предоставлять возможность создания, запроса, модификации, удаления и очистки значимых для безопасности данных ФБО, кроме записей аудита, атрибутов безопасности пользователя, данных аутентификации и критичных параметров безопасности, только уполномоченному администратору.



Замечания по применению: Ограничения для записей аудита, атрибутов безопасности пользователя, данных аутентификации и критичных параметров безопасности определены ниже.

FMT_MTD.1.1(2) ФБО должны предоставлять возможность изменения значений по умолчанию, запроса, удаления и очистки записей аудита только уполномоченным администраторам.



Замечания по применению: Этот выбор («изменение значений по умолчанию, запрос, удаление или очистка») функций управления журналом аудита отражает общие функции управления.

FMT_MTD.1.1(3) ФБО должны предоставлять возможность инициализировать и модифицировать атрибуты безопасности пользователя, кроме данных аутентификации, только уполномоченным администраторам.

FMT_MTD.1.1(4) ФБО должны предоставлять возможность инициализировать данные аутентификации только уполномоченным администраторам и, с помощью политики дискреционного управления доступом, уполномоченным пользователям модифицировать (их собственные) данные аутентификации.

FMT_MTD.1.1(5) ФБО должны предоставлять возможность инициализировать и модифицировать критичные параметры безопасности только администраторам по криптографии.


5.5.4Отмена (FMT_REV)


5.5.4.1 Отмена (FMT_REV.1)

FMT_REV.1.1(1) ФБО должны предоставлять возможность отмены атрибутов безопасности, ассоциированных с пользователями, в пределах ОДФ только уполномоченным администраторам.



Замечания по применению: Термин «отмена атрибутов безопасности» означает «изменение атрибутов таким образом, чтобы доступ был отменен»

FMT_REV.1.2(1) ФБО должны реализовать правила:



а) отмена значимых для безопасности разрешений должна быть немедленной (например, при удалении учетных данных пользователя, доступ немедленно прекращается);

б) [назначение: любые другие правила отмены, связанные с управлением доступом, включающие состояние, при котором проверки доступа произведены].

Замечания по применению: Политика управления доступом может включать немедленную или отсроченную отмену. Права доступа считаются отмененными, когда все последующие решения управления доступом, сделанные ФБО, используют новую информацию управления доступом. Не требуется, чтобы каждая операция на объекте осуществляла свое решение управления доступом при условии, что осуществилось предыдущее решение, давшее разрешение на выполнение этой операции.

FMT_REV.1.1(2) Уточнение: ФБО должны предоставлять возможность отмены атрибутов безопасности объектов в пределах ОДФ только владельцам и уполномоченным администраторам.{14}



Замечания по применению: Термин «отмена атрибутов безопасности» означает «изменение атрибутов таким образом, чтобы доступ был отменен»

FMT_REV.1.2(2) ФБО должны реализовать правила:



а) права доступа, ассоциированные с пользователем, субъектом или объектом, должны быть реализованы, когда осуществлена проверка доступа;

б) правила политики дискреционного управления доступом реализуются на всех последующих операциях; и

в) [назначение: любые другие правила отмены, связанные с управлением доступом].

5.5.5Срок действия атрибута безопасности (FMT_SAE)


5.5.5.1 Ограниченная по времени авторизация (FMT_SAE.1)

FMT_SAE.1.1 ФБО должны предоставлять возможность назначать срок действия атрибутов безопасности для данных аутентификации пользователя только уполномоченному администратору.

FMT_SAE.1.2 Для каждого из этих атрибутов безопасности ФБО должны быть способны блокировать ассоциированные с пользователем учетные данные по истечении его срока действия.

5.5.6Роли управления безопасностью (FMT_SMR)


        1. Роли безопасности (FMT_SMR.1)

FMT_SMR.1.1 ФБО должны сопровождать следующие роли:

а) уполномоченного администратора;

Замечания по применению: Любой пользователь, уполномоченный на обход политики дискреционного управления доступом, по определению является уполномоченным администратором. ОО может предоставлять множество ролей администратора (администратор аудита, администратор безопасности и т.д.).

б) администратор по криптографии (т.е. пользователи, уполномоченные на выполнение инициализации и функций управления, связанных с криптографией);

в) уполномоченные пользователи (т.е. пользователи, уполномоченные на использование некоторых ресурсов ОО);

г) владелец объекта (пользователи, уполномоченные политиками дискреционного управления доступом (см. FDP_ACF.1.3) на изменение значений атрибутов безопасности объекта);

д) пользователи, уполномоченные на модификацию их собственных данных аутентификации;

е) пользователи, не проходящие аутентификацию и получающие доступ к общедоступным объектам, если такие объекты существуют; и

ж) [назначение: любые другие роли].

FMT_SMR.1.2 ФБО должны быть способны ассоциировать пользователей с ролями.

5.5.6.2 Принятие ролей (FMT_SMR.3)

FMT_SMR.3.1 ФБО должны требовать точный запрос для принятия следующих ролей:



а) уполномоченного администратора;

б) администратора по криптографии;

в) уполномоченных пользователей;

г) [назначение: любые другие роли, требующие конкретный запрос].


Поделитесь с Вашими друзьями:
1   ...   6   7   8   9   10   11   12   13   ...   19


База данных защищена авторским правом ©vossta.ru 2017
обратиться к администрации

    Главная страница