ГОСТ Р ИСО/МЭК 15408-2-2008; Страница 120

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53022.4-2008 Технологии лабораторные клинические. Требования к качеству клинических лабораторных исследований. Часть 4. Правила разработки требований к своевременности предоставления лабораторной информации Medical laboratory technologies. Requirement of quality of clinical laboratory tests. Part 4. Rules for development of requirements to timeliness of laboratory information submitting (Настоящий стандарт устанавливает единые правила разработки требований к срокам выполнения клинических лабораторных исследований в клинико-диагностических лабораториях и порядок их применения их организации лабораторного обеспечения деятельности медицинских организаций. Настоящий стандарт предназначен для применения всеми организациями, учреждениями и предприятиями, а также индивидуальными предпринимателями, деятельность которых связана с оказанием медицинской помощи) ГОСТ Р МЭК 60601-2-51-2008 Изделия медицинские электрические. Часть 2-51. Частные требования безопасности с учетом основных функциональных характеристик к регистрирующим и анализирующим одноканальным и многоканальным электрокардиографам Medical electrical equipment. Part 2-51. Particular requirements for safety, including essential performance, of recording and analysing single channel and multichannel electrocardiographs (Целью настоящего частного стандарта является установление частных требований безопасности, дополняющих требования МЭК 60601-2-25, с учетом основных функциональных характеристик к регистрирующим и анализирующим одноканальным и многоканальным электрокардиографам. Настоящий стандарт не распространяется на Холтеровские электрокардиографы, электрокардиографы для инвазивных исследований, системы контроля за пациентом, электрокардиографы высокого разрешения) ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements (Настоящий стандарт устанавливает требования доверия ИСО/МЭК 15408 и включает оценочные уровни доверия, определяющие шкалу для измерения доверия, собственно компоненты доверия, из которых составлены уровни доверия, и критерии для оценки профиля защиты и задания по безопасности)

Страница 120

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК15408-2—2008

способами. К способам установления ассоциации относятся совместное физическое размещение данных пользо

вателя и атрибутов безопасности (например, на одной дискете} или использование криптографических методов,

например, цифровых подписей, для ассоциации этих атрибутов и данных пользователя. Для обеспечения получе

ния правильных значений атрибутов другим доверенным продуктом ИТ можно использовать семейство FTPJTC

«Доверенный канал передачи между ФБО». в то время как семейство FPT

TDC «Согласованность данных ФБО

между ФБО» может применяться для достижения уверенности в правильной интерпретации этих атрибутов. В

свою очередь, семейство FTP TRP «Доверенный маршрут» может применяться для достижения уверенности в

инициации экспорта надлежащим пользователем.

F.4.3.2 Операции

F.4.3.2.1 Назначение

В FDP

ETC.2.1 автору ПЗ/ЗБ следует специфицировать, какие ПФБ управления доступом и.’или информаци

онными потоками будут осуществляться при экспорте данных пользователя. Данные пользователя, которые

экспортируются этой функцией, ограничиваются назначением этих ПФБ.

В FDPJETC.2.4 автору ПЗ/ЗБ следует специфицировать все дополнительные правила управления экспор

том или указать «Нет» при их отсутствии. Эти правила будут реализованы ФБО в дополнение к ПФБ управления

доступом и/или информационными потоками, выбранным в FDP

ETC.2.1.

F.5Политика управления информационными потоками (FDPJFC)

F.5.1 Замечания для пользователя

В семействе FDPJFC идентифицируются ПФБ управления информационными потоками и специфицируют

ся области действия каждой такой политики.

Примерами политик безопасности, которые могут быть применены, являются:

- модель безопасности Белла и Па Падулы [1]:

- модель целостности Биба [2};

- невмешательство [5]. [6J.

Компоненты этого семейства дают возможность идентификации ПФБ управления информационными по

токами. осуществляемых традиционными механизмами мандатного управления доступом при их наличии в 00.

Однако их возможности шире традиционных механизмов мандатного управления доступом. Они могут использо

ваться для определения политик невмешательства и политик, основанных на переходах между состояниями. В

этом семействе для каждой из ПФБ управления информационными потоками ОО определяются субъекты, ин

формация и операции перемещения информации к субьектам и от субъектов. Правила, определяющие функци

ональные возможности ПФБ управления информационными потоками, будут установлены другими семейства

ми. такими как FDPJFF «Функции управления информационными потоками» и FDP

RIP «Защита остаточной

информации». ПФБ управления информационными потоками, определенные в семействе FDPJFC. в дальней

шем будут использоваться повсеместно в тех функциональных компонентах, которые включают в себя операцию,

запрашивающую назначение или выбор «ПФБ управления информационными потоками».

Компоненты этого семейства достаточно гибки. Они позволяют специфицировать домен управления пото

ками. не требуя, чтобы механизм управления был основан на метках. Разные элементы компонентов управления

информационными потоками также допускают различную степень исключений из осуществляемой политики.

Каждая ПФБ распространяется на некоторое множество триад: «субъект, информация, операции переме

щения информации к субъектам и от субъектов». Некоторые политики управления информационными потоками

могут иметь очень подробную детализацию и описывать субъекты непосредственно в терминах процессов опера

ционной системы. Другие политики могут определяться с меньшими подробностями и описывать субъекты в

терминах пользователей или каналов ввода/вывода. Если политика управления информационными потоками

задана недостаточно подробно, то четкое определение требуемых функций безопасности ИТ может оказаться

невыполнимым. В этом случав целесообразнее описывать политики управления информационными потоками

как цели безопасности. Тогда требуемые функции безопасности ИТ можно специфицировать, исходя из этих

целей.

Во втором компоненте (FDPJFC.2 «Полное управление информационными потоками») каждая ПФБ уп

равления информационными потоками будет охватывать все возможные операции перемещения информации к

субъектам и от субъектов под управлением этой ПФБ. Более того, требуется, чтобы все информационные потоки

были охвачены какой-либо ПФБ. поэтому для каждого действия, вызвавшего перемещение информации, будет

существовать совокупность правил, определяющих, является ли данное действие допустимым. Если данный ин

формационный поток подчинен нескольким ПФБ. то необходимо его разрешение всеми этими политиками до его

начала.

Политика управления информационными потоками охватывает полностью определенное множество опе

раций. Для некоторых информационных потоков этот охват может быть «полным», а для других потоков он может

относиться только к некоторым из предусмотренных для них операций.

Политика управления доступом обеспечивает доступ к объектам, содержащим информацию. Политика

управления информационными потоками обеспечивает доступ к информации, независимо от места ее хранения.

Атрибуты информации, которые могут быть (или не быть, в случае многоуровневых баз данных) ассоциированы с

атрибутами места хранения, остаются с информацией при ее перемещении. Получатель доступа к информации не

имеет возможности без явного разрешения изменять ее атрибуты.

114