Законодательная база Российской Федерации

"МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 3. ТРЕБОВАНИЯ ДОВЕРИЯ К БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-3-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст)

Класс AGD "Руководства" содержит требования к содержанию "Руководства администратора" и "Руководства пользователя". Для безопасного администрирования и использования ОО необходимо описать все аспекты, относящиеся к безопасному применению ОО. Документация руководств включает в себя руководства пользователя и администратора, а также, когда пакет доверия содержит соответствующие требования, - специфические руководства для пользователей и администраторов, вытекающие из требований класса ADO "Поставка и эксплуатация" и семейства ALC_FLR "Устранение недостатков".

Декомпозиция класса AGD "Руководства" на составляющие его семейства и иерархия компонентов этих семейств показаны на рисунке 12.

15.1.1 Цели

Руководство администратора относится к печатным документам, предназначенным для использования лицами, ответственными за правильное конфигурирование, сопровождений и администрирование ОО в целях максимальной безопасности. Так как безопасность эксплуатации ОО зависит от правильного выполнения ФБО, лица, ответственные за выполнение указанных выше функций, являются доверенными для ФБО. Руководство предназначено способствовать пониманию администраторами функций безопасности, предоставляемых ОО, включая как функции, требующие выполнения администратором действий, критичных для безопасности, так и функции, предоставляющие информацию, критичную для безопасности.

15.1.2 Ранжирование компонентов

Данное семейство содержит только один компонент.

15.1.3 Замечания по применении]

Требования AGD_ADM.1.3C и AGD_ADM.1.7C касаются того аспекта, что в руководстве администратора соответствующим образом должны быть отражены все упомянутые в ПЗ/ЗБ предупреждения пользователям ОО, относящиеся к среде безопасности и целям безопасности ОО.

Понятие "безопасные значения", как оно используется в AGD_ADM.1.5C, уместно при управлении администратором параметрами безопасности. В руководстве необходимо представить безопасные и опасные устанавливаемые значения для таких параметров. Это понятие связано с применением компонента FMT_MSA.2 из ИСО/МЭК15408-2.

AGD_ADM.1.6C требует, чтобы руководство администратора содержало описан не соответствующей реакции администратора на все относящиеся к безопасности события. Хотя многие относящиеся к безопасности события являются результатом выполнения административных функции, это не всегда должно быть так (например, заполнение журнала аудита, обнаружение вторжения). Кроме того, относящееся к безопасности событие может происходить в результате выполнения определенного ряда функций администратора или, наоборот, несколько относящихся к безопасности событий могут быть вызваны выполнением одной функции.

15.1.4 AGD_ADM.1 Руководство администратора

Зависимости: ADV_FEP.1 Неформальная функциональная спецификация

15.1.4.1 Элементы действий разработчика

15.1.4.1.1 AGD_ADM.1.1D

Разработчик должен представить руководство администратора, предназначенное для персонала системного администрирования.

15.1.4.2 Элементы содержания и представления свидетельств

15.1.4.2.1 AGD_ADM.1.1С

Руководство администратора должно содержать описание функций администрирования и интерфейсов, доступных администратору ОО.

15.1.4.2.2 AGD_ADM.1.2C

Руководство администратора должно содержать описание того, как управлять ОО безопасным способом.

15.1.4.2.3 AGD_ADM.1.3C

Руководство администратора должно содержать предупреждения относительно функций и привилегий, которые следует контролировать в безопасной среде обработки информации.

15.1.4.2.4 AGD_ADM.1.4C

Руководство администратора должно содержать описание всех предположений о поведении пользователя, которые связаны с безопасной эксплуатацией ОО.

15.1.4.2.5 AGD_ADM.1.5C

Руководство администратора должно содержать описание всех параметров безопасности, контролируемых администратором, указывая, при необходимости, безопасные значения.

15.1.4.2.6 AGD_ADM.1.6C

Руководство администратора должно содержать описаний каждого типа относящихся к безопасности событий, связанных с выполнением обязательных функций администрирования, включая изменение характеристик безопасности сущностей, контролируемых ФБО.

15.1.4.2.7 AGD.ADM.1.7C

Руководство администратора должно быть согласовано со всей другой документацией, представленной для оценки.

15.1.4.2.8. AGD_ADM.1.8C

Руководство администратора должно содержать описание всех требований безопасности к среде ИТ, которые относятся к администратору.

15.1.4.3 Элементы действий оценщика

15.1.4.31 AG D_ADM.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.

15.2.1 Цели

Руководство пользователя относится к материалам, предназначенным для применения пользователями ОО, не связанными с администрированием, и другими лицами (например, программистами), использующими внешние интерфейсы ОО. Руководство описывает доступные пользователям функции безопасности, входящие в состав ФБО, и содержит инструкции и предписания, включая предупреждения, по их безопасному использованию.

Руководство пользователя является основой для предположений об использовании ОО и обеспечивает уверенность в том, что лояльные пользователи, поставщики приложении и прочие лица, использующие внешние интерфейсы ОО, поймут, как безопасно эксплуатировать ОО, и будут использовать его в соответствии с назначением.

15.2.2 Ранжирование компонентов

Данное семейство содержит только один компонент.

15.2.3 Замечания по применению

Требования AGD_USR.1.3С и AGD_USR.1.5C касаются того, что в руководстве пользователя соответствующим образом должны быть отражены все упомянутые в ПЗ/ЗБ предупреждения пользователям ОО, относящиеся к среде безопасности и целям безопасности ОО.

Во многих случаях может оказаться целесообразным, чтобы руководство было представлено несколькими различными документами: один для пользователей, а другой для прикладных программистов и/или проектировщиков аппаратных средств, использующих программные или аппаратные интерфейсы.

15.2.4 AGD_USR.1 Руководство пользователя

Зависимости: ADV_FSP.1 Неформальная функциональная спецификация

15.2.4.1 Элементы действий разработчика

15.2.4.1.1 AGD_USR.1.1D

Разработчик должен представить руководство пользователя,

15.2.4.2 Элементы содержания и представления свидетельств

15.2.4.2.1 AGD_USR.1.1С

Руководство пользователя должно содержать описание функций и интерфейсов, которые доступны пользователям ОО, не связанным с администрированием.

15.2.4.2.2 AGD_USR.1.2C

Руководство пользователя должно содержать описание применения доступных пользователям функций безопасности, предоставляемых ОО.

15.2.4.2.3 AGD_USR.1.3C

Руководство пользователя должно содержать предупреждения относительно доступных для пользователей функций и привилегий, которые следует контролировать в безопасной среде обработки информации.

15.2.4.2.4 AGD_USR.1.4C

Руководство пользователя должно четко представить все обязанности пользователя, необходимые для безопасной эксплуатации ОО, включая обязанности, связанные с предположениями относительно действий пользователя, содержащимися в изложении среды безопасности ОО.

15.2.4.2.5 AGD_USR.1.5C

Руководство пользователя должно быть согласовано со всей другой документацией, представленной для оценки.

15.2.4.2.6 AGD_USR.1.6C

Руководство пользователя должно содержать описание всех требований безопасности к среде ИТ, которые имеют отношение к пользователю.

15.2.4.3 Элементы действий оценщика

15.2.4.3.1 AGD_USR.1.1E

Оценщик должен подтвердить, что представленная информация соответствует всем требованиям к содержанию и представлению свидетельств.