|
FDP_ACC.1(1)
|
Ограниченное управление доступом
|
|
FDP_ACC.1.1(1)
|
ФБО должны осуществлять [политику дискреционного управления доступом] для [назначение: список субъектов доступа и объектов доступа].
|
|
Зависимости:
|
FDP_ACF.1(1) Управление доступом, основанное на атрибутах безопасности.
|
|
Замечания по применению: компонент FDP_ACC.1(1) включается в ЗБ, если в Политике безопасности-2 и Цели безопасности-2 определена реализация дискреционного метода управления доступом.
|
|
FDP_ACC.1(2)
|
Ограниченное управление доступом
|
|
FDP_ACC.1.1(2)
|
ФБО должны осуществлять [политику ролевого управления доступом] для [назначение: список ролей и объектов].
|
|
Зависимости:
|
FDP_ACF.1(2) Управление доступом, основанное на атрибутах безопасности.
|
|
Замечания по применению: компонент FDP_ACC.1(2) включается в ЗБ, если в Политике безопасности-2 и Цели безопасности-2 определена реализация ролевого метода управления доступом.
|
|
FDP_ACF.1(1)
|
Управление доступом, основанное на атрибутах безопасности (дискреционное управление доступом к объектам ОС)
|
|
FDP_ACF.1.1(1)
|
ФБО должны осуществлять [политику дискреционного управления доступом] к объектам, основываясь на [назначение: список доступа и объектов доступа, находящихся под управлением политики дискреционного управления доступом, и для каждого из них - относящиеся к политике дискреционного управления доступом атрибуты безопасности или именованные группы атрибутов безопасности].
|
|
FDP_ACF.1.2(1)
|
ФБО должны осуществлять следующие правила определения того, разрешена ли операция управляемого субъекта доступа на управляемом объекте доступа: [назначение: правила управления доступом управляемых субъектов доступа к управляемым объектам доступа с использованием управляемых операций на них, основанные на списках контроля доступа].
|
|
FDP_ACF.1.3(1)
|
ФБО должны явно разрешать доступ субъектов к объектам, основываясь на следующих дополнительных правилах: [нет].
|
|
FDP_ACF.1.4(1)
|
ФБО должны явно отказывать в доступе субъектов к объектам, основываясь на следующих дополнительных правилах: [назначение: правила, основанные на атрибутах безопасности, которые явно запрещают доступ субъектов доступа к объектам доступа].
|
|
Зависимости:
|
FDP_ACC.1(1) Ограниченное управление доступом;
FMT_MSA.3 Инициализация статических атрибутов.
|
|
Замечания по применению: компонент FDP_ACF.1(1) включается в ЗБ, если в Политике безопасности-2 и Цели безопасности-2 определена реализация дискреционного метода управления доступом.
|
|
FDP_ACF.1(2)
|
Управление доступом, основанное на атрибутах безопасности (ролевое управление доступом к объектам ОС)
|
|
FDP_ACF.1.1(2)
|
ФБО должны осуществлять [политику ролевого управления доступом] к объектам, основываясь на [назначение: список ролей и объектов, находящихся под управлением политики ролевого управления доступом, и для каждого из них - относящиеся к политике ролевого управления доступом атрибуты безопасности или именованные группы атрибутов безопасности].
|
|
FDP_ACF.1.2(2)
|
ФБО должны осуществлять следующие правила определения того, разрешена ли операция управляемого субъекта доступа на управляемом объекте: [назначение: правила управления доступом управляемых ролей к управляемым объектам с использованием управляемых операций на них, основанные на списках прав доступа].
|
|
FDP_ACF.1.3(2)
|
ФБО должны явно разрешать доступ субъектов доступа к объектам доступа, основываясь на следующих дополнительных правилах: [нет].
|
|
FDP_ACF.1.4(2)
|
ФБО должны явно отказывать в доступе субъектов доступа к объектам доступа, основываясь на следующих дополнительных правилах: [назначение: правила, основанные на атрибутах безопасности, которые явно запрещают доступ ролей к объектам].
|
|
Зависимости:
|
FDP_ACC.1(2) Ограниченное управление доступом;
FMT_MSA.3 Инициализация статических атрибутов.
|
|
Замечания по применению: компонент FDP_ACF.1(2) включается в ЗБ, если в Политике безопасности-2 и Цели безопасности-2 определена реализация ролевого метода управления доступом.
|
|
FDP_RIP.1
|
Ограниченная защита остаточной информации
|
|
FDP_RIP.1.1
|
ФБО должны обеспечить недоступность любого предыдущего информационного содержания ресурсов при [выбор: распределение ресурса, освобождение ресурса] для следующих объектов: [назначение: список объектов].
|
|
Зависимости:
|
отсутствуют.
|
|
FDP_RSI_EXT.1
|
Управление установкой программного обеспечения
|
|
FDP_RSI_EXT.1.1
|
Функциональные возможности безопасности операционной системы должны предоставлять возможность установки (инсталляции) программного обеспечения (компонентов программного обеспечения) только [назначение: роли пользователей ОС в соответствии с FMT_SMR.1]
|
|
Зависимости:
|
отсутствуют.
|
|
FDP_RSP_EXT.1
|
Правила контроля запуска компонентов программного обеспечения
|
|
FDP_RSP_EXT.1.1
|
Функциональные возможности безопасности операционной системы должны обеспечивать возможность задания перечня компонентов программного обеспечения, разрешенных для автоматического запуска при загрузке операционной системы, запрещенных для автоматического запуска при загрузке операционной системы, [выбор: разрешенных для запуска в процессе функционирования операционной системы; запрещенных для запуска в процессе функционирования операционной системы].
|
|
Зависимости:
|
отсутствуют.
|
|
FDP_RSP_EXT.2
|
Контроль запуска компонентов программного обеспечения
|
|
FDP_RSP_EXT.2.1
|
Функциональные возможности безопасности операционной системы должны контролировать запуск компонентов программного обеспечения и при обнаружении попытки запуска компонентов программного обеспечения, произведенных в нарушение установленных правил запуска компонентов программного обеспечения, обеспечивать [выбор: оповещение пользователя, выполняющего запуск, и администратора, [назначение: иные действия]], блокирование попытки запуска.
|
|
FDP_RSP_EXT.2.2
|
Функциональные возможности безопасности операционной системы должны контролировать целостность компонентов программного обеспечения, разрешенного для запуска, и при обнаружении попытки запуска компонентов программного обеспечения, целостность которых была нарушена, обеспечивать возможность [выбор: оповещение пользователя, выполняющего запуск, и администратора, [назначение: иные действия]], блокирование попытки запуска.
|
|
Зависимости:
|
отсутствуют.
|
|
Замечания по применению:
1. В FDP_RSP_EXT.2.1 разработчику ЗБ следует определить типы пользователей ОС, для которых реализованы функциональные возможности по оповещению о попытках запуска компонентов программного обеспечения, произведенных в нарушение установленных правил запуска компонентов программного обеспечения.
Для информирования администратора о попытках запуска компонентов программного обеспечения, произведенных в нарушение установленных правил запуска компонентов программного обеспечения, в FAU_GEN.1 необходимо предусмотреть действия по аудиту.
2. В FDP_RSP_EXT.2.2 разработчику ЗБ следует определить типы пользователей ОС, для которых реализованы функциональные возможности по оповещению о попытках запуска компонентов программного обеспечения, целостность которых была нарушена.
Для информирования администратора о попытках запуска компонентов программного обеспечения, целостность которых была нарушена, в FAU_GEN.1 необходимо предусмотреть действия по аудиту.
|