Information technology. Security techniques. Evaluation criteria for it security Security functional requirements
Вид материала | Документы |
6.1 Политика управления доступом (FDP_ACC) 6.2 Функции управления доступом (FDP_ACF) |
- On international information security, 88.63kb.
- Dr. Web Security Space 0 Возможности решения, 216.05kb.
- Настройка eset nod32 Smart Security, 3.46kb.
- Tourist services. Requirements provided for tourist's security, 226.16kb.
- Tourist services. Requirements provided for tourist's security, 242.62kb.
- О проведении открытого запроса предложений, 45kb.
- Информационный бюллетень osint №22 ноябрь декабрь 2011, 7189.58kb.
- Задание параметров для групп пользователей Настройка шаблонов, 432.37kb.
- Темы конференции: Криптография. Актуальность в современном обществе. Современная киберпреступность, 20.64kb.
- Kaspersky Internet Security 2010: обзор продукта, 176.55kb.
6.1 Политика управления доступом (FDP_ACC)
Характеристика семейства
Семейство FDP_ACC идентифицирует ПФБ управления доступом, устанавливая им имена, и определяет области действия политик, образующих идентифицированную часть управления доступом ПБО. Области действия можно характеризовать тремя множествами: субъекты под управлением политики, объекты под управлением политики и операции управляемых субъектов на управляемых объектах, на которые распространяется политика. Общие критерии допускают существование нескольких политик, каждая из которых имеет уникальное имя. Это достигается посредством выполнения итераций компонентов рассматриваемого семейства по одному разу для каждой именованной политики управления доступом. Правила, определяющие функциональные возможности ПФБ управления доступом, будут установлены другими семействами, такими как FDP_ACF и FDP_SDI. Предполагается, что имена ПФБ, идентифицированные в семействе FDP_ACC, будут использоваться повсеместно в функциональных компонентах, которые имеют операцию, запрашивающую назначение или выбор "ПФБ управления доступом".
Ранжирование компонентов
┌──────────────────────────────────┐ ┌───┐ ┌───┐
│ FDP_ACC Политика управления ├───┤ 1 ├──┤ 2 │
│ доступом │ └───┘ └───┘
└──────────────────────────────────┘
FDP_ACC.1 "Ограниченное управление доступом" содержит требование, чтобы каждая идентифицированная ПФБ управления доступом существовала для подмножества возможных операций на подмножестве объектов в ОО.
FDP_ACC.2 "Полное управление доступом" содержит требование, чтобы каждая идентифицированная ПФБ управления доступом охватывала все операции субъектов на объектах, управляемых этой ПФБ. Кроме этого требуется, чтобы все объекты и операции в ОДФ были охвачены по меньшей мере одной идентифицированной ПФБ управления доступом.
Управление: FDP_ACC.1, FDP_ACC.2
Действия по управлению не предусмотрены.
Аудит: FDP_ACC.1, FDP_ACC.2
Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.
FDP_ACC.1 Ограниченное управления доступом
Иерархический для: Нет подчиненных компонентов.
FDP_ACC.1.1 ФБО должны осуществлять [назначение: ПФБ управления доступом] для [назначение: список субъектов, объектов и операций субъектов на объектах, на которые распространяется ПФБ].
Зависимости: FDP_ACF.1 Управление доступом, основанное на атрибутах безопасности
FDP_ACC.2 Полное управление доступом
Иерархический для: FDP_ACC.1
FDP_ACC.2.1 ФБО должны осуществлять [назначение: ПФБ управления доступом] для [назначение: список субъектов и объектов] и всех операций субъектов на объектах, на которые распространяется ПФБ.
FDP_ACC.2.2 ФБО должны обеспечить, чтобы на операции любого субъекта из ОДФ на любом объекте из ОДФ распространялась какая-либо ПФБ управления доступом.
Зависимости: FDP_ACF.1 Управление доступом, основанное на атрибутах безопасности
6.2 Функции управления доступом (FDP_ACF)
Характеристика семейства
Семейство FDP_ACF описывает правила для конкретных функций, которые могут реализовать политики управления доступом, именованные в FDP_ACC. В FDP_ACC также определяется область действия этих политик.
Ранжирование компонентов
┌──────────────────────────────────┐ ┌───┐
│ FDP_ACF Функции управления ├───┤ 1 │
│ доступом │ └───┘
└──────────────────────────────────┘
В этом семействе рассмотрены использование атрибутов безопасности и характеристики политик управления доступом. Предполагается, что компонент из этого семейства будет использован, чтобы описать правила для функции, которая реализует ПФБ, ранее идентифицированную в FDP_ACC. Разработчик ПЗ/ЗБ может также выполнять итерации этого компонента, когда в ОО имеются несколько таких политик.
FDP_ACF.1 "Управление доступом, основанное на атрибутах безопасности" позволяет ФБО осуществить доступ, основанный на атрибутах и именованных группах атрибутов безопасности. Кроме того, ФБО могут иметь возможность явно разрешать или запрещать доступ к объекту, основываясь на атрибутах безопасности.
Управление: FDP_ACF.1
Для функций управления из класса FMT може рассматриваться следующее действие.
а) Управление атрибутами, используемыми для явного разрешения или запрещения доступа.
Если в ПЗ/ЗБ включено семейство FAV_GEN # "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.
а) Минимальный: успешные запросы на выполнение операций на объекте, на который распространяется ПФБ.
б) Базовый: все запросы на выполнение операций на объекте, на который распространяется ПФБ.
в) Детализированный: специальные атрибуты безопасности, используемые при проверке правомерности доступа.
FDP_ACF.1 Управление доступом, основанное на атрибутах безопасности
Иерархический для: Нет подчиненных компонентов.
FDP_ACF.1.1 ФБО должны осуществлять [назначение: ПФБ управления доступом] к объектам, основываясь на [назначение: атрибуты безопасности, именованные группы атрибутов безопасности].
FDP_ACF.1.2 ФБО должны реализовать следующие правила определения того, разрешена ли операция управляемого субъекта на управляемом объекте: [назначение: правила управления доступом управляемых субъектов к управляемым объектам с использованием управляемых операций на них].
FDP_ACF.1.3 ФБО должны явно разрешать доступ субъектов к объектам, основываясь на следующих дополнительных правилах: [назначение: правила, основанные на атрибутах безопасности, которые явно разрешают доступ субъектов к объектам].
FDP_ACF.1.4 ФБО должны явно отказывать в доступе субъектов к объектам, основываясь на следующих дополнительных правилах: [назначение: правила, основанные на атрибутах безопасности, которые явно запрещают доступ субъектов к объектам].
Зависимости: FDP_ACC.1 Ограниченное управление доступом
FMT_MSA.3 Инициализация статических атрибутов