Общие предположения безопасности
Предположения безопасности - это часть описания среды, в которой функционирует объект оценки. Они выделяют объект оценки из общего контекста и задают границы рассмотрения. При проведении оценки истинность предположений принимается без доказательства.
Перечислим общие предположения:
-
использование сервиса безопасности предусматривает наличие уполномоченного пользователя, который выполняет обязанности администратора, обладает достаточной квалификацией, отвечает за нормальное функционирование системы, осуществляет сопровождение сервиса и действует в соответствии с положениями политики безопасности;
- предусматривается возможность удаленного администрирования сервиса;
- политика управления данными аутентификации проводится в жизнь, и пользователи меняют эти данные должным образом и с требуемой регулярностью;
- после лишения пользователя прав доступа к сервису (например, в связи со сменой работы) его данные аутентификации и привилегии ликвидируются;
- предусматривается резервное копирование информации, ассоциированной с сервисом (такой, например, как значения конфигурационных параметров);
- аппаратно-программная среда сервиса безопасности является минимально достаточной для нормального функционирования (в частности, обычно отсутствуют средства разработки, а другие возможности модификации среды сведены к минимуму);
- предполагается физическая защищенность вычислительной установки, поддерживающей сервис безопасности;
- не допускается возможность обхода узлов сети, на которых функционирует сервисы безопасности;
- предполагается, что вредоносный код не может иметь подпись доверенной стороны;
- предполагается, что пользователи должным образом сообщают о случаях нарушения информационной безопасности;
- предполагается, что пользователи и обслуживающий персонал способны противостоять методам морально-психологического воздействия.
