AMA_SIA_EXT.3.1D Разработчик должен представить материалы анализа влияния обновлений на безопасность САВЗ.
Элементы содержания и представления свидетельств
AMA_SIA_EXT.3.1C Материалы анализа влияния обновлений на безопасность САВЗ должны содержать краткое описание влияния обновлений на задание по безопасности, функции безопасности САВЗ или содержать логическое обоснование отсутствия такого влияния.
AMA_SIA_EXT.3.2C Материалы анализа влияния обновлений на безопасность САВЗ должны для обновлений, влияющих на безопасность, идентифицировать функции безопасности, компоненты САВЗ, на которые влияет данное обновление.
Элементы действий оценщика
AMA_SIA_EXT.3.1E Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению документированных материалов.
5.2. Требования безопасности для среды информационных технологий
Функциями безопасности, реализуемыми средой ИТ в интересах обеспечения безопасности ОО, являются функции "Идентификация и аутентификация" и "Защита ФБО".
Функциональные компоненты из ГОСТ Р ИСО/МЭК 15408-2, на которых основаны функциональные требования безопасности среды ИТ, приведены в таблице 5.5.
Таблица 5.5
Функциональные компоненты, на которых основаны ФТБ среды ИТ
Идентификатор компонента требований | Название компонента требований |
| FIA_AFL.1 | Обработка отказов аутентификации |
| FIA_SOS.1 | Верификация секретов |
| FIA_UAU.2 | Аутентификация до любых действий пользователя |
| FIA_UID.2 | Идентификация до любых действий пользователя |
| FPT_RVM.1 | Невозможность обхода ПБО |
| FPT_SEP.1 | Отделение домена ФБО |
5.2.1 Идентификация и аутентификация (FIA)
FIA_AFL.1 Обработка отказов аутентификации
FIA_AFL.1.1 Функции безопасности среды ИТ должны обнаруживать, когда произойдет [назначение: число попыток] неуспешных попыток аутентификации [с момента последней успешной попытки аутентификации пользователя].
FIA_AFL.1.2 При достижении определенного в элементе FIA_AFL.1.1 числа неуспешных попыток аутентификации функции безопасности среды ИТ должны: [назначение: список действий, направленных на дальнейшее предотвращение попыток доступа со стороны субъекта, ограниченное временным интервалом].
Зависимости: FIA_UAU.2 "Аутентификация до любых действий пользователя".
FIA_SOS.1 Верификация секретов
FIA_SOS.1.1 Функции безопасности среды ИТ должны предоставить механизм для верификации того, что пароли на доступ к ОО отвечают [назначение: определенная метрика качества паролей, включающая требования к длине паролей, требования по запрещению использования определенных комбинаций символов, а также требования к категории используемых символов].
Зависимости отсутствуют.
FIA_UAU.2 Аутентификация до любых действий пользователя
FIA_UAU.2.1 Функции безопасности среды ИТ должны требовать, чтобы каждый субъект доступа к ОО был успешно аутентифицирован до разрешения любого действия, выполняемого при посредничестве ФБО от имени этого субъекта доступа.
Зависимости: FIA_UID.1 "Выбор момента идентификации".
FIA_UID.2 Идентификация до любых действий пользователя
FIA_UID.2.1 Функции безопасности среды ИТ должны требовать, чтобы каждый пользователь был успешно идентифицирован до разрешения любого действия, выполняемого при посредничестве среды ИТ от имени этого пользователя.
Зависимости отсутствуют.
5.2.2 Защита ФБО (FPT)
FPT_RVM.1 Невозможность обхода ПБО
FPT_RVM.1.1 Функции безопасности среды ИТ должны обеспечить, чтобы функции, осуществляющие ПБО, вызывались и успешно выполнялись прежде, чем разрешается выполнение любой другой функции в пределах области действия функции безопасности объекта оценки (ОДФ).
Зависимости отсутствуют.
FPT_SEP.1 Отделение домена ФБО
FPT_SEP.1.1 Функции безопасности среды ИТ должны поддерживать домен безопасности для выполнения ФБО, защищающий их от вмешательства и искажения недоверенными субъектами.
FPT_SEP.1.2 Функции безопасности среды ИТ должны реализовать разделение между доменами безопасности субъектов в ОДФ.
Зависимости отсутствуют.
Замечания по применению: Представленные в данном подразделе требования могут быть реализованы средой ИТ, непосредственно ОО или совместно - средой ИТ и ОО.
6. Обоснование
В данном разделе дано обоснование целей безопасности, определенных в разделе 4, и требований безопасности, определенных в разделе 5 настоящего ПЗ.
6.1. Обоснование целей безопасности
6.1.1. Обоснование целей безопасности для ОО
В таблице 6.1 приведено отображение целей безопасности для ОО на угрозы и политику безопасности организации.
Таблица 6.1
Отображение целей безопасности на угрозы и политику безопасности организации
Цель безопасности-1 | Цель безопасности-2 | Цель безопасности-3 | Цель безопасности-4 | Цель безопасности-5 | Цель безопасности-6 | Цель безопасности-7 | Цель безопасности-8 | |
| Угроза-1 | X | X | X | |||||
| Угроза-2 | X | X | X | X | ||||
| Политика безопасности-1 | X | |||||||
| Политика безопасности-2 | X | |||||||
| Политика безопасности-3 | X | |||||||
| Политика безопасности-4 | X | |||||||
| Политика безопасности-5 | X | |||||||
| Политика безопасности-6 | X | |||||||
| Политика безопасности-7 | X | |||||||
| Политика безопасности-8 | X |
Цель безопасности-1
Достижение этой цели безопасности необходимо в связи с противостоянием угрозам Угроза-1, Угроза-2 и реализацией политики безопасности организации Политика безопасности-1, так как обеспечивает надлежащую регистрацию и предупреждение о любых событиях, относящихся к возможным нарушениям безопасности, возможность выборочного ознакомления с информацией о произошедших событиях.
Цель безопасности-2
Достижение этой цели безопасности необходимо в связи с противостоянием угрозам Угроза-1, Угроза-2 и реализацией политики безопасности организации Политика безопасности-2, так как обеспечивает возможность управления параметрами САВЗ, которые влияют на выполнение функций безопасности САВЗ, со стороны уполномоченных субъектов ИС.
Цель безопасности-3
Достижение этой цели безопасности необходимо в связи с противостоянием угрозам Угроза-1, Угроза-2 и реализацией политики безопасности организации Политика безопасности-3, так как обеспечивает управление со стороны уполномоченных субъектов ИС режимами выполнения функций безопасности САВЗ.
Цель безопасности-4