ГОСТ Р ИСО/МЭК 15408-2-2008; Страница 136

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53022.4-2008 Технологии лабораторные клинические. Требования к качеству клинических лабораторных исследований. Часть 4. Правила разработки требований к своевременности предоставления лабораторной информации Medical laboratory technologies. Requirement of quality of clinical laboratory tests. Part 4. Rules for development of requirements to timeliness of laboratory information submitting (Настоящий стандарт устанавливает единые правила разработки требований к срокам выполнения клинических лабораторных исследований в клинико-диагностических лабораториях и порядок их применения их организации лабораторного обеспечения деятельности медицинских организаций. Настоящий стандарт предназначен для применения всеми организациями, учреждениями и предприятиями, а также индивидуальными предпринимателями, деятельность которых связана с оказанием медицинской помощи) ГОСТ Р МЭК 60601-2-51-2008 Изделия медицинские электрические. Часть 2-51. Частные требования безопасности с учетом основных функциональных характеристик к регистрирующим и анализирующим одноканальным и многоканальным электрокардиографам Medical electrical equipment. Part 2-51. Particular requirements for safety, including essential performance, of recording and analysing single channel and multichannel electrocardiographs (Целью настоящего частного стандарта является установление частных требований безопасности, дополняющих требования МЭК 60601-2-25, с учетом основных функциональных характеристик к регистрирующим и анализирующим одноканальным и многоканальным электрокардиографам. Настоящий стандарт не распространяется на Холтеровские электрокардиографы, электрокардиографы для инвазивных исследований, системы контроля за пациентом, электрокардиографы высокого разрешения) ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements (Настоящий стандарт устанавливает требования доверия ИСО/МЭК 15408 и включает оценочные уровни доверия, определяющие шкалу для измерения доверия, собственно компоненты доверия, из которых составлены уровни доверия, и критерии для оценки профиля защиты и задания по безопасности)

Страница 136

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК15408-2—2008

Для обеспечения возможностей механизмов аутентификации. а также правил, определяющих успешность

аутентификации, можно привлекать функции управления из класса FMT.

Для допуска в систему анонимных пользователей можно ввести механизм аутентификации типа «отсут

ствие аутентификации». Использование доступа такого типа следует четко разъяснить в правилах FIA

UAU.5.2.

G.4.6.2 Операции

G.4.6.2.1 Назначение

В FIAJJAU.5.1 автору ПЗ/ЗБ следует определить предоставляемые механизмы аутентификации. Примером

списка механизмов может быть следующий: «отсутствие аутентификации, механизм пароля, биометрия (скани

рование сетчатки), механизм ключа шифрования».

В FIA

UAU.5.2 автору ПЗ/ЗБ следует специфицировать правила, описывающие, как механизмы аутентифи

кации обеспечивают аутентификацию и когда используется каждый из них. Это значит, что для любой возможной

ситуации необходимо указать совокупность механизмов, которые могли бы использоваться для аутентификации.

Пример такого правила: «для аутентификации пользователей, имеющих особые права доступа, должны совме

стно использоваться механизм пароля и биометрия, причем аутентификация успешна при успешной аутентифи

кации каждым механизмом: для аутентификации остальных пользователей должен использоваться только ме

ханизм пароля».

Автор ПЗ/ЗБ может задать ограничения, в пределах которых уполномоченному администратору разрешено

специфицировать конкретные правила. Пример правила: «аутентификация пользователя всегда должна произ

водиться посредством аппаратного ключа; администратор может специфицировать дополнительные механиз мы

аутентификации, которые также необходимо использовать». Автор ПЗ.‘ЗБ может и не специфицировать огра

ничения, а оставить выбор механизмов аутентификации и их правил полностью на усмотрение уполномоченного

администратора.

G.4.7 F1A

UAU.6 Повторная аутентификация

G.4.7.1 Замечания по применению для пользователя

В компоненте FIA

UAU.6 рассматривается потенциальная потребность повторной аутентификации пользо

вателей в определенные моменты времени. Такая потребность может возникнуть при обращении пользователя к

ФБО с запросом о выполнении действий, критичных по безопасности, а также при запросах о повторной аутен

тификации. исходящих от сущностей, не связанных с ФБО. например, от серверного приложения, которое запра

шивает от ФБО повторную аутентификацию обслуживаемого клиента.

G.4.7.2 Операции

G.4.7.2.1 Назначение

В FIAJJAU.6.1 автору ПЗ/ЗБ следует привести С

ИСОК условий, требующих повторной аутентификации. Этот

список гложет включать в себя завершение периода времени, выделенного пользователю, запрос пользователя с

целью изменения действующих атрибутов безопасности или запрос пользователя к ФБО с целью выполнения

некоторых критичных функций безопасности.

Автор ПЗ/ЗБ может задать пределы, в которых следует допускать повторную аутентификацию, оставив их

детализацию на усмотрение уполномоченного администратора. Пример подобного правила: «пользователь дол

жен проходить повторную аутентификацию не реже одного раза в сутки: администратор может потребовать бо лев

частую повторную аутентификацию, но не чаще одного раза в 10 мин».

G.4.8 F1A

UAU.7Аутентификация с защищенной обратной связью

G.4.8.1 Замечания по применению для пользователя

В компоненте FIAJJAU.7 рассматривается обратная связь с пользователем в процессе аутентификации. В

некоторых системах обратная связь выражается в том. что пользователю сообщается число набранных им сим

волов. но сами символы скрываются, в других системах даже эта информация может считаться неприемлемой.

Этот компонент содержит требование, чтобы аутентификационные данные не возвращались пользовате

лю в первоначальном виде. В рабочих станциях принято представлять набранные символы пароля условными

знаками (например, звездочками).

G.4.8.2 Операции

G.4.8.2.1 Назначение

В FIA

UAU.7.1 автору ПЗ/ЗБ следует определить вид обратной связи с пользователем при проведении

аутентификации. Примером такого назначения может служить «число набранных символов», другой тип обрат ной

связи — «механизм аутентификации, через который не удалось осуществить аутентификацию».

G.5 Идентификация пользователя (FIA

UID)

G.5.1 Замечания для пользователя

Семейство FLA

UID определяет условия, при которых от пользователей требуется собственная идентифи

кация до выполнения при посредничестве ФБО каких-либо иных действий, требующих идентификации пользова

теля.

G.5.2 F1A

UID.1 Выбор момента идентификации

G.5.2.1 Замечания по применению для пользователя

Компонент FIA

UID.1 устанавливает требования по идентификации пользователей. Автор ПЗ/ЗБ может

указать конкретные действия, которые могут быть выполнены до завершения идентификации.

130