ГОСТ Р ИСО/МЭК 15408-2-2008; Страница 133

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53022.4-2008 Технологии лабораторные клинические. Требования к качеству клинических лабораторных исследований. Часть 4. Правила разработки требований к своевременности предоставления лабораторной информации Medical laboratory technologies. Requirement of quality of clinical laboratory tests. Part 4. Rules for development of requirements to timeliness of laboratory information submitting (Настоящий стандарт устанавливает единые правила разработки требований к срокам выполнения клинических лабораторных исследований в клинико-диагностических лабораториях и порядок их применения их организации лабораторного обеспечения деятельности медицинских организаций. Настоящий стандарт предназначен для применения всеми организациями, учреждениями и предприятиями, а также индивидуальными предпринимателями, деятельность которых связана с оказанием медицинской помощи) ГОСТ Р МЭК 60601-2-51-2008 Изделия медицинские электрические. Часть 2-51. Частные требования безопасности с учетом основных функциональных характеристик к регистрирующим и анализирующим одноканальным и многоканальным электрокардиографам Medical electrical equipment. Part 2-51. Particular requirements for safety, including essential performance, of recording and analysing single channel and multichannel electrocardiographs (Целью настоящего частного стандарта является установление частных требований безопасности, дополняющих требования МЭК 60601-2-25, с учетом основных функциональных характеристик к регистрирующим и анализирующим одноканальным и многоканальным электрокардиографам. Настоящий стандарт не распространяется на Холтеровские электрокардиографы, электрокардиографы для инвазивных исследований, системы контроля за пациентом, электрокардиографы высокого разрешения) ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements (Настоящий стандарт устанавливает требования доверия ИСО/МЭК 15408 и включает оценочные уровни доверия, определяющие шкалу для измерения доверия, собственно компоненты доверия, из которых составлены уровни доверия, и критерии для оценки профиля защиты и задания по безопасности)

Страница 133

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК15408-2— 2008

G.1 Отказы аутентификации (FIA

AFL)

G.1.1 Замечания для пользователя

Семейство FIA

AFL содержит требования по определению числа попыток аутентификации и действиям

ФБО в случав их неудачи. Параметрами, определяющими возможное число попыток аутентификации, среди

прочих могут быть число попыток и допустимый интервал времени.

Процесс открытия сеанса пользователя предусматривает взаимодействие с пользователем, позволяющее

открыть сеанс и независимое от фактической реализации. Если число неуспешных попыток аутентификации

превысило установленное значение, то блокируются учетные данные пользователя м/или терминал, с которого

выполнялись запросы. Если учетные данные пользователя заблокированы, то он не может войти в систему. Если

заблокирован терминал, то он (или его адрес) не может быть использован для входа в систему. Эта ситуация

сохранится, пока условия для повторения попыток открытия сеанса не будут удовлетворены.

G.1.2 FIA

AFL.1 Обработка отказов аутентификации

G.1.2.1 Замечания по применению для пользователя

Автор ПЗ/ЗБ может установить число неуспешных попыток аутентификации либо доверить это разработчику

ОО или уполномоченному пользователю. Подсчет неуспешных попыток аутентификации должен быть связан не

с последовательностью их возникновения, а с каким-либо событием аутентификации. Таким событием может

быть число неуспешных попыток с момента последнего сеанса, успешно открытого с данного терминала.

Автор ПЗ/ЗБ может определить список действий, которые должны предприниматься ФБО в случае отказа

аутентификации. Уполномоченному администратору также может быть разрешено управлять этими событиями,

если такую возможность предусмотрел автор ПЗ’ЗБ. Такими действиями, среди прочих, могут быть: отключение

терминала, отключение учетных данных пользователя или подача сигнала тревоги администратору. Условия, при

которых произойдет возвращение к обычному режиму работы, необходимо специфицировать через действия.

Для того, чтобы предотвратить полную невозможность обслуживания, в ОО обычно обеспечивается невоз

можность блокирования учетных данных, по меньшей мере, одного пользователя.

Автор ПЗ’ЗБ может устанавливать иные действия для ФБО. относящиеся в том числе к правилам деблокиро

вания процесса открытия сеанса пользователя или подаче сигнала тревоги администратору. Примерами таких

действий (правил) являются: до истечения установленного времени; пока уполномоченный администратор вновь

не деблокирует терминал или учетные данные пользователя; до истечения времени, связанного с предыдущими

неуспешными попытками (например, после каждой неуспешной попытки время блокирования удваивается).

G.1.2.2 Операции

G.1.2.2.1 Выбор

В FIA

AFL.1.1 автор ПЗ’ЗБ должен выбрать или назначение положительного целого числа, или выражение

«устанавливаемое администратором положительное целое число», определив диапазон допустимых значений.

G.1.2.2.2 Назначение

В FIA

AFL.1.1 автору ПЗ’ЗБ следует специфицировать события аутентификации. Примерами являются: чис

ло неуспешных попыток аутентификации для данного идентификатора пользователя с момента последней ус

пешной попытки: число неуспешных попыток аутентификации для данного терминала с момента последней ус

пешной попытки;

число

неуспешных попыток аутентификации за последние 10 мин. Необходимо указать, по

меньшей мере, одно событие аутентификации.

В FIA

AFL.1.1. если выбрано назначение положительного целого числа, автору ПЗ/ЗБ следует специфици

ровать задаваемое по умолчанию число (положительное целое) неуспешных попыток аутентификации, при дос

тижении или превышении которого будут инициироваться определенные действия.

В FLA

AFL.1.1 если выбрано «устанавливаемое администратором положительное целое число», то автору

ПЗ/ЗБ следует специфицировать диапазон допустимых значений, из которого администратор ОО может устано

вить число неудачных попыток аутентификации. Число неудачных попыток аутентификации должно быть меньше

или равняться значению верхней границы и больше или равняться значению нижней границы диапазона.

В F!A

AFL.1.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые в случае достижения

или превышения предельного значения числа попыток. Такими действиями могут быть: блокирование учетных

данных на 5 мин. блокирование терминала на увеличивающийся интервал времени (число секунд, равное

2п.

где

— число неуспешных попыток) или блокирование (с уведомлением администратора) учетных данных вплоть до его

снятия администратором. В описании действий следует указать принимаемые меры и срок их действия (или условия

прекращения действия этих мер).

G.2 Определение атрибутов пользователя (FIA

ATD)

G.2.1 Замечания для пользователя

Все уполномоченные пользователи могут, помимо идентификатора пользователя, иметь другие атрибуты

безопасности, применяемые при осуществлении ПБО. Семейство FIA

ATD определяет требования для ассоциа

ции атрибутов безопасности с пользователями в соответствии с необходимостью поддержки ПБО.

Существуют зависимости от определений отдельных политик безопасности. Следует, чтобы такие опреде

ления содержали списки атрибутов, необходимых для осуществления политики.

127