"РУКОВОДЯЩИЙ ДОКУМЕНТ. БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ " (Утв. Приказом Гостехкомиссии РФ от 19.06.2002 N 187)

12. Класс FTA. Доступ к ОО

Класс FTA определяет функциональные требования к управлению открытием сеанса пользователя.

Декомпозиция класса на составляющие его компоненты приведена на рисунке 12.1.

Рисунок 12.1. Декомпозиция класса "Доступ к ОО"

12.1. Ограничение области выбираемых атрибутов (FTA_LSA)

Характеристика семейства

Семейство FTA_LSA определяет требования по ограничению области атрибутов безопасности сеанса, которые может выбирать для него пользователь.

Ранжирование компонентов

FTA_LSA.1 "Ограничение области выбираемых атрибутов" предоставляет требование к ОО по ограничению области атрибутов безопасности сеанса во время его открытия.

Управление: FTA_LSA.1

Для функций управления из класса FMT может рассматриваться следующее действие:

а) управление администратором областью атрибутов безопасности сеанса.

Аудит: FTA_LSA.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров:

а) минимальный: все неуспешные попытки выбора атрибутов безопасности сеанса;

б) базовый: все попытки выбора атрибутов безопасности сеанса;

в) детализированный: фиксация значений атрибутов безопасности каждого сеанса.

FTA_LSA.1. Ограничение области выбираемых атрибутов

Иерархический для: Нет подчиненных компонентов.

FTA_LSA.1.1 ФБО должны ограничить область атрибутов безопасности сеанса [назначение: атрибуты безопасности сеанса], основываясь на [назначение: атрибуты].

Зависимости: отсутствуют.

12.2. Ограничение на параллельные сеансы (FTA_MCS)

Характеристика семейства

Семейство FTA_MCS определяет требования по ограничению числа параллельных сеансов, предоставляемых одному и тому же пользователю.

Ранжирование компонентов

FTA_MCS.1 "Базовое ограничение на параллельные сеансы" предоставляет ограничения, которые применяются ко всем пользователям ФБО.

FTA_MCS.2 "Ограничение на параллельные сеансы по атрибутам пользователя" расширяет FTA_MCS.1 требованием возможности определить ограничения на число параллельных сеансов, основываясь на атрибутах безопасности, связанных с пользователем.

Управление: FTA_MCS.1

Для функций управления из класса FMT может рассматриваться следующее действие:

а) управление администратором максимально допустимым числом параллельных сеансов, предоставляемых пользователю.

Управление: FTA_MCS.2

Для функций управления из класса FMT может рассматриваться следующее действие:

а) управление администратором правилами, которые определяют максимально допустимое число параллельных сеансов, предоставляемых пользователю.

Аудит: FTA_MCS.1, FTA_MCS.2

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров:

а) минимальный: отклонение нового сеанса, основанное на ограничении числа параллельных сеансов;

б) детализированный: фиксация числа параллельных сеансов пользователя, а также атрибутов безопасности этого пользователя.

FTA_MCS.1. Базовое ограничение на параллельные сеансы

Иерархический для: Нет подчиненных компонентов.

FTA_MCS.1.1 ФБО должны ограничить максимальное число параллельных сеансов, предоставляемых одному и тому же пользователю.

FTA_MCS.1.2 ФБО должны задать по умолчанию ограничение [назначение: задаваемое по умолчанию число] сеансов пользователя.

Зависимости: FIA_UID.1 Выбор момента идентификации.

FTA_MCS.2. Ограничение на параллельные сеансы по атрибутам пользователя

Иерархический для: FTA_MCS.1

FTA_MCS.2.1 ФБО должны ограничить максимальное число параллельных сеансов, предоставляемых одному и тому же пользователю, согласно правилам [назначение: правила определения максимального числа параллельных сеансов].

FTA_MCS.2.2 ФБО должны задать по умолчанию ограничение [назначение: задаваемое по умолчанию число] сеансов пользователя.

Зависимости: FIA_UID.1 Выбор момента идентификации.

12.3. Блокирование сеанса (FTA_SSL)

Характеристика семейства

Семейство FTA_SSL определяет требования к ФБО по предоставлению возможности как ФБО, так и пользователю блокировать и разблокировать интерактивный сеанс.

Ранжирование компонентов

FTA_SSL.1 "Блокирование сеанса, инициированное ФБО" включает инициированное системой блокирование интерактивного сеанса после определенного периода бездействия пользователя.

FTA_SSL.2 "Блокирование, инициированное пользователем" предоставляет пользователю возможность блокировать и разблокировать свои собственные интерактивные сеансы.

FTA_SSL.3 "Завершение, инициированное ФБО" предоставляет требования к ФБО по завершению сеанса после определенного периода бездействия пользователя.

Управление: FTA_SSL.1

Для функций управления из класса FMT могут рассматриваться следующие действия:

а) задание времени бездействия пользователя, после которого происходит блокировка сеанса;

б) задание по умолчанию времени бездействия пользователя, после которого происходит блокировка;

в) управление событиями, которые предусматриваются до разблокирования сеанса.

Управление: FTA_SSL.2

Для функций управления из класса FMT может рассматриваться следующее действие:

а) управление событиями, которые предусматриваются до разблокирования сеанса.

Управление: FTA_SSL.3

Дня функций управления из класса FMT могут рассматриваться следующие действия:

а) задание времени бездействия пользователя, после которого происходит завершение интерактивного сеанса;

б) задание по умолчанию времени бездействия пользователя, после которого происходит завершение интерактивного сеанса.

Аудит: FTA_SSL.1, FTA_SSL.2

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров:

а) минимальный: блокирование интерактивного сеанса механизмом блокирования сеанса;

б) минимальный: успешное разблокирование интерактивного сеанса;

в) базовый: все попытки разблокирования интерактивного сеанса.

Аудит: FTA_SSL.3

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров:

а) минимальный: завершение интерактивного сеанса механизмом блокирования сеанса.

FTA_SSL.1. Блокирование сеанса, инициированное ФБО

Иерархический для: Нет подчиненных компонентов.

FTA_SSL.1.1 ФБО должны блокировать интерактивный сеанс после [назначение: интервал времени бездействия пользователя], для чего предпринимаются следующие действия: а) очистка или перезапись устройств отображения, придание их текущему содержанию нечитаемого вида;

б) блокирование любых действий по доступу к данным пользователя/устройствам отображения, кроме необходимых для разблокирования сеанса.

FTA_SSL.1.2 ФБО должны требовать, чтобы до разблокирования сеанса произошли следующие события: [назначение: события, которые будут происходить].

Зависимости: FIA_UAU.1 Выбор момента аутентификации.

FTA_SSL.2. Блокирование, инициированное пользователем

Иерархический для: Нет подчиненных компонентов.

FTA_SSL.2.1 ФБО должны допускать инициированное пользователем блокирование своего собственного интерактивного сеанса, для чего предпринимаются следующие действия:

а) очистка или перезапись устройств отображения, придание их текущему содержанию нечитаемого вида;

б) блокирование любых действий по доступу к данным пользователя/устройствам отображения, кроме необходимых для разблокирования сеанса.

FTA_SSL.2.2 ФБО должны требовать, чтобы до разблокирования сеанса произошли следующие события: [назначение: события, которые будут происходить].

Зависимости: FIA_UAU.1 Выбор момента аутентификации.

FTA_SSL.3. Завершение, инициированное ФБО

Иерархический для: Нет подчиненных компонентов.

FTA_SSL.3.1 ФБО должны завершить интерактивный сеанс после [назначение: интервал времени бездействия пользователя].

Зависимости: отсутствуют.

12.4. Предупреждения перед предоставлением доступа к ОО (FTA_TAB)

Характеристика семейства

Семейство FTA_TAB определяет требования к отображению для пользователей предупреждающего сообщения с перестраиваемой конфигурацией относительно характера использования ОО.

Ранжирование компонентов

FTA_TAB.1 "Предупреждения по умолчанию перед предоставлением доступа к ОО" предоставляет требования к предупреждающим сообщениям, которые отображаются перед началом диалога в сеансе.

Управление: FTA_TAB.1

Для функций управления из класса FMT может рассматриваться следующее действие:

а) сопровождение уполномоченным администратором предупреждающих сообщений.

Аудит: FTA_TAB.1

Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.

FTA_TAB.1 Предупреждения по умолчанию перед предоставлением доступа к ОО

Иерархический для: Нет подчиненных компонентов.

FTA_TAB.1.1 Перед открытием сеанса пользователя ФБО должны отобразить предупреждающее сообщение относительно несанкционированного использования ОО.

Зависимости: отсутствуют.

12.5. История доступа к ОО (FTA_TAH)

Характеристика семейства

Семейство FTA_TAH определяет требования к ФБО по отображению для пользователя, при успешном открытии сеанса, истории успешных и неуспешных попыток получить доступ от имени этого пользователя.

Ранжирование компонентов

FTA_TAH.1 "История доступа к ОО" предоставляет требования к ОО по отображению информации, связанной с предыдущими попытками открыть сеанс.

Управление: FTA_TAH.1

Действия по управлению не предусмотрены.

Аудит: FTA_TAH.1

Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.

FTA_TAH.1. История доступа к ОО

Иерархический для: Нет подчиненных компонентов.

FTA_TAH.1.1 При успешном открытии сеанса ФБО должны отобразить [выбор: дата, время, метод, расположение] последнего успешного открытия сеанса от имени пользователя.

FTA_TAH.1.2 При успешном открытии сеанса ФБО должны отобразить [выбор: дата, время, метод, расположение] последней неуспешной попытки открытия сеанса и число неуспешных попыток со времени последнего успешного открытия сеанса.

FTA_TAH.1.3 ФБО не должны удалять информацию об истории доступа из интерфейса пользователя без предоставления пользователю возможности просмотреть ее.

Зависимости: отсутствуют.

12.6. Открытие сеанса с ОО (FTA_TSE)

Характеристика семейства

Семейство FTA_TSE определяет требования по запрещению пользователям открытия сеанса с ОО.

Ранжирование компонентов

FTA_TSE.1 "Открытие сеанса с ОО" предоставляет условия запрещения пользователям доступа к ОО, основанного на атрибутах.

Управление: FTA_TSE.1

Для функций управления из класса FMT может рассматриваться следующее действие:

а) управление уполномоченным администратором условиями открытия сеанса.

Аудит: FTA_TSE.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров:

а) минимальный: запрещение открытия сеанса механизмом открытия сеанса;

б) базовый: все попытки открытия сеанса пользователя;

в) детализированный: фиксация значений выбранных параметров доступа (таких, как место доступа или время доступа).

FTA_TSE.1. Открытие сеанса с ОО

Иерархический для: Нет подчиненных компонентов.

FTA_TSE.1.1 ФБО должны быть способны отказать в открытии сеанса, основываясь на [назначение: атрибуты].

Зависимости: отсутствуют.