ГОСТ Р ИСО/МЭК 15408-2-2008; Страница 101

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53022.4-2008 Технологии лабораторные клинические. Требования к качеству клинических лабораторных исследований. Часть 4. Правила разработки требований к своевременности предоставления лабораторной информации Medical laboratory technologies. Requirement of quality of clinical laboratory tests. Part 4. Rules for development of requirements to timeliness of laboratory information submitting (Настоящий стандарт устанавливает единые правила разработки требований к срокам выполнения клинических лабораторных исследований в клинико-диагностических лабораториях и порядок их применения их организации лабораторного обеспечения деятельности медицинских организаций. Настоящий стандарт предназначен для применения всеми организациями, учреждениями и предприятиями, а также индивидуальными предпринимателями, деятельность которых связана с оказанием медицинской помощи) ГОСТ Р МЭК 60601-2-51-2008 Изделия медицинские электрические. Часть 2-51. Частные требования безопасности с учетом основных функциональных характеристик к регистрирующим и анализирующим одноканальным и многоканальным электрокардиографам Medical electrical equipment. Part 2-51. Particular requirements for safety, including essential performance, of recording and analysing single channel and multichannel electrocardiographs (Целью настоящего частного стандарта является установление частных требований безопасности, дополняющих требования МЭК 60601-2-25, с учетом основных функциональных характеристик к регистрирующим и анализирующим одноканальным и многоканальным электрокардиографам. Настоящий стандарт не распространяется на Холтеровские электрокардиографы, электрокардиографы для инвазивных исследований, системы контроля за пациентом, электрокардиографы высокого разрешения) ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements (Настоящий стандарт устанавливает требования доверия ИСО/МЭК 15408 и включает оценочные уровни доверия, определяющие шкалу для измерения доверия, собственно компоненты доверия, из которых составлены уровни доверия, и критерии для оценки профиля защиты и задания по безопасности)

Страница 101

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК15408-2— 2008

Для каждого выбранного функционального компонента в общую совокупность событий, потенциально под

вергаемых аудиту, следует включить те указанные в нем события, которые соответствуют уровню, установленному в

FAU

GEN «Генерация данных аудита безопасности». Если в приведенном выше примере в FAU

GEN «Генера ция

данных аудита безопасности» выбран уровень «базовый», события, указанные в перечислениях а) — с), следует

отнести к потенциально подвергаемым аудиту.

Следует обратить внимание на то. что категорирование событий, потенциально подвергаемых аудиту, иерар-

хично. Например, если требуется «Генерация базового аудита», то все события, потенциально подвергаемые как

минимальному, так и базовому аудиту, следует включить в ПЗ.’ЗБ с помощью соответствующей операции назначе

ния. за исключением случая, когда событие более высохого уровня имеет большую детализацию, чем событие

более низкого уровня. Если требуется «Генерация детализированного аудита», то в ПЗ/ЗБ следует включить все

события, потенциально подвергаемые аудиту (минимальному, базовому и детализированному).

По усмотрению авторов ПЗ/ЗБ в список событий, потенциально подвергаемых аудиту, могут включаться

события помимо требуемых для данного уровня аудита. Например, в ПЗ/ЗБ можно заявить только возможности

проведения минимального аудита, несмотря на включение большой части возможностей базового аудита, по

скольку некоторые из оставшихся вступают в противоречие с ограничениями ПЗ/ЗБ (например, могут требовать

сбора недоступных данных).

Функциональные возможности, выполнение которых порождает события, потенциально подвергаемые

аудиту, следует устанавливать в ПЗ или ЗБ как функциональные требования.

Ниже приведены примеры типов событий, которые следует определить как потенциально подвергаемые

аудиту в каждом функциональном компоненте ПЗ/ЗБ:

a) введение объектов из ОДФ в адресное пространство субъекта:

) удаление объектов;

c) предоставление или отмена прав или возможностей доступа;

d) изменение атрибутов безопасности субьекта или объекта;

e) проверки политики, выполняемые ФБО как результат запроса субъекта;

f) использование прав доступа для обхода проверок политики:

д) использование функций идентификации и аутентификации;

h) действия, предпринимаемые оператором и/или уполномоченным пользователем (например, подавле

ние такого механизма защиты ФБО. как доступные человеку метки);

i) ввод1вывод данных с/на заменяемые носители (например, печатные материалы, ленты, дискеты).

С.3.2 FAU

GEN.1 Генерация данных аудита

С.3.2.1 Замечания по применению для пользователя

Компонент FAU

GEN.1 «Генерация данных аудита» определяет требования по идентификации событий,

потенциально подвергаемых аудиту, для которых следует генерировать записи аудита, и состав информации в

этих записях.

Если ПБО не предусматривает ассоциации событий аудита с идентификатором пользователя, то достаточ

но применения только компонента FAU

GEN.1 «Генерация данных аудита». То же приемлемо и в случае, когда

ПЗ/ЗБ содержит требования приватности. Если необходимо подключение идентификатора пользователя, допус

кается дополнительно использовать компонент FAU

GEN.2 «Ассоциация идентификатора пользователя».

С.3.2.2 Замечания по применению для оценщика

Имеется зависимость от FPT

STM «Метки времени». Если точное значение времени событий для данного

ОО несущественно, то допускается логически обоснованный отказ от этой зависимости.

С.3.2.3Операции

С.3.2.3.1 Выбор

В FAU

GEN.1.1 в разделе аудита функциональных требований, входящих в ПЗ/ЗБ. следует выбрать уровень

событий, потенциально подвергаемых аудиту, указанный в разделе аудита друтх функциональных компонентов,

включенных в ПЗ/ЗБ. Этот уровень гложет быть «минимальным», «базовым», «детализированным» или «неопре

деленным».

С.3.2.3.2 Назначение

В FAU

GEN.1.1 автору ПЗ/ЗБ следует составить список и других событий, потенциально подвергаемых ауди

ту. для включения в список событий, потенциально подвергаемых аудиту. Назначение в перечислении с) гложет не

включать в себя ни одного события («нет») или включать события из функциональных требований, потенциально

подвергаемые аудиту более высокого уровня, чем требуется в перечислении Ь). а также события, генерируемые

при использовании специфицированного интерфейса прикладного программирования (API).

В FAU

GEN.1.2 автору ПЗ/ЗБ следует для всех событий, потенциально подвергаемых аудиту и включенных в

ПЗ/ЗБ, составить список иной информации, имеющей отношение к аудиту, для включения в записи событий

аудита.

С.3.3 FAU

GEN.2 Ассоциация идентификатора пользователя

С.3.3.1 Замечания по применению для пользователя

Компонент FAU

GEN.2 связан с требованием использования идентификаторов пользователей при учете

событий, потенциально подвергаемых аудиту. Этот компонент следует использовать в дополнение к FAU

GEN.1

«Генерация данных аудита».