Профили защиты, разработанные на основе "Общих критериев". Часть 1. Общие требования к сервисам безопасности

Общие предположения безопасности

Предположения безопасности - это часть описания среды, в которой функционирует объект оценки. Они выделяют объект оценки из общего контекста и задают границы рассмотрения. При проведении оценки истинность предположений принимается без доказательства.

Перечислим общие предположения:

• использование сервиса безопасности предусматривает наличие уполномоченного пользователя, который выполняет обязанности администратора, обладает достаточной квалификацией, отвечает за нормальное функционирование системы, осуществляет сопровождение сервиса и действует в соответствии с положениями политики безопасности;
• предусматривается возможность удаленного администрирования сервиса;
• политика управления данными аутентификации проводится в жизнь, и пользователи меняют эти данные должным образом и с требуемой регулярностью;
• после лишения пользователя прав доступа к сервису (например, в связи со сменой работы) его данные аутентификации и привилегии ликвидируются;
• предусматривается резервное копирование информации, ассоциированной с сервисом (такой, например, как значения конфигурационных параметров);
• аппаратно-программная среда сервиса безопасности является минимально достаточной для нормального функционирования (в частности, обычно отсутствуют средства разработки, а другие возможности модификации среды сведены к минимуму);
• предполагается физическая защищенность вычислительной установки, поддерживающей сервис безопасности ;
• не допускается возможность обхода узлов сети, на которых функционируют сервисы безопасности ;
• предполагается, что вредоносный код не может иметь подпись доверенной стороны;
• предполагается, что пользователи должным образом сообщают о случаях нарушения информационной безопасности ;
• предполагается, что пользователи и обслуживающий персонал способны противостоять методам морально-психологического воздействия.