"Методический документ. Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" (утв. Банком России)

А.5.1. Противодействие использованию уязвимостей безопасности (FPT_AEX_EXT)

Характеристика семейства

Семейство FPT_AEX_EXT "Противодействие использованию уязвимостей безопасности" определяет компоненты требований, направленные на обеспечение противодействия возможности использования нарушителем потенциальных уязвимостей ОО.

Ранжирование компонентов

FPT_AEX_EXT.1 "Противодействие использованию уязвимостей безопасности" предназначен для задания требований, связанных с применением средств и процедур, с помощью которых ОО может противостоять действиям нарушителя по использованию потенциальных уязвимостей.

Управление: FPT_AEX_EXT.1

Действия по управлению не определены.

Аудит: FPT_AEX_EXT.1

Действия или события, подвергаемые аудиту, не определены.

FPT_AEX_EXT.1 Противодействие использованию уязвимостей безопасности

Иерархический для: нет подчиненных компонентов.

Зависимости:

отсутствуют.

FPT_AEX_EXT.1.1

ФБО не должны требовать отображения памяти с явными адресами, за исключением [назначение: список явных исключений].

FPT_AEX_EXT.1.2

ФБО должны [выбор:

не выделять никакую область памяти с разрешениями писать и выполнять;

выделять области памяти с разрешениями писать и выполнять только для [назначение: список функций, выполняющих компиляцию just-in-time]

].

FPT_AEX_EXT.1.3 ФБО должны [выбор:

запрещать запись пользовательской информации в системные директории;

разрешать запись пользовательской информации [назначение: список системных директорий]

].

FPT_AEX_EXT.1.4

ФБО не должны использовать элементы управления в графическом интерфейсе пользователя ППО, предназначенные для выполнения операций, права на выполнение которых у пользователя отсутствуют.

FPT_AEX_EXT.1.5

ФБО должны быть совместимы со средствами защиты, предоставляемыми поставщиком платформы.

FPT_AEX_EXT.1.6

ФБО не должны записывать модифицируемые пользователем файлы в директории, которые содержат исполняемые файлы, если делать так явно не предписано разработчиком.

FPT_AEX_EXT.1.7

ФБО должны позволять смену пароля пользователем или иного используемого параметра аутентификации только после предварительной аутентификации.

FPT_AEX_EXT.1.8

ФБО должны обеспечивать предварительную инициализацию переменных и структур данных при выделении оперативной памяти.

FPT_AEX_EXT.1.9

ФБО должны исключать возможность просмотра содержимого каталогов веб-сайта в случаях, когда такой просмотр не является необходимым.

FPT_AEX_EXT.1.10

ФБО не должны использовать при обработке данных в формате XML внешние сущности (External Entity), внешние параметры сущностей (External Parameter Entity) и внешние описания типа документа (External Doctype).

FPT_AEX_EXT.1.11

ОО не должен требовать для своего выполнения прав администратора операционной системы, за исключением случаев, когда такие права технически необходимы для корректного функционирования ОО.

А.5. Класс FPT "Защита ФБО" А.5.2. Использование поддерживаемых сервисов и прикладных программных интерфейсов (FPT_API_EXT)