ГОСТ Р ИСО/МЭК18045— 2008
13.7.3.4.3 Шагоценивания 4:AGD_USR.1-3
ИСО/МЭК 15408-3 AGD_USR.1 .ЗС: Руководство пользователя должно содержать предупреждения
относительно доступных для пользователей функций и привилегий, которые следует контролиро
вать в безопасной средеобработки информации.
Оценщик должен исследовать руководство пользователя, чтобы сделать заключение, содержит ли
оно предупреждения относительнодоступных пользователю функций и привилегий, которые необходимо
контролировать в безопасной среде эксплуатации.
Конфигурация ОО может позволять пользователям иметь различающиеся привилегии по использова
нию различныхфункций ОО. Это значит, что некоторые пользователи уполномочены выполнять определен
ные функции, в то время как другие пользователи могут быть не уполномочены на это. Такие доступные
пользователю функции и привилегии должны быть описаны в руководстве пользователя.
В руководстве пользователя должны быть идентифицированы функции и привилегии, которые могут
быть применены, требуемыедля них типы команд и объяснения таких команд. В руководстве пользователя
должны быть приведены предупреждающие сообщения относительно использования функций и привиле
гий. подлежащих контролю. Предупреждающие сообщения должны быть связаны с ожидаемыми послед
ствиями. возможными побочными эффектами и возможным взаимодействием сдругими функциями и
при вилегиями.
13.7.3.4.4 Шагоценивания 4:AGD_USR.1-4
ИСО/МЭК 15408-3AGDJJSR.1.4С: Руководство пользователядолжно четко представить все обя
занностипользователя, необходимые для безопасной эксплуатации ОО. включая обязанности, связан
ные с предположениями относительно действий пользователя, содержащимися в изложении среды
бозопааюсти ОО.
Оценщикдолжен исследовать руководство пользователя, чтобы сделать заключение, приведены ли
в нем все обязанности пользователя, необходимые для безопасной эксплуатации ОО. включая обязаннос
ти, связанные с предположениями относительнодействий пользователя, содержащимися в описании сре
ды безопасности ОО.
Предположения относительнодействий пользователя могут бытьописаны более подробно при изло
жении среды безопасности ОО в ЗБ. Однако в руководство пользователя должна быть включена только та
информация, которая относится к безопасной эксплуатации ОО.
В руководстве пользователя должны быть приведены рекомендации по эффективному использова
нию функций безопасности (например, описание практических приемов формирования паролей, рекомен
дуемая периодичность резервного копирования файлов пользователей, предполагаемые последствия из
менений привилегий доступа для пользователя).
Примером обязанности пользователей, необходимой для безопасной эксплуатации ОО. является со
хранение ими в тайне своих паролей.
В руководстве пользователя должно быть указано, может ли пользователь вызвать функцию, или же
для этого ему потребуется помощь администратора.
13.7.3.4.5 Шагоценивания 4:AGD_USR.1-5
ИСО/МЭК 15408-3 AGD_USR.1,5С: Руководство пользователя должую быть согласовано со всей
другойдокумеуутацией. представленной для оценки.
Оценщикдолжен исследовать руководство пользователя, чтобы сделать заключение о его согласо
ванности со всей другой документацией, представленной для оценки.
Оценщик должен удостовериться, что руководство пользователя и остальная документация, пред
ставленная для оценки, не противоречат другдругу. Этоособенно актуально, если ЗБ содержит подробную
информацию о любых предупреждающих сообщениях пользователям ОО. относящихся к среде безопас
ности и целям безопасности ОО.
Руководство по анализу непротиворечивости см.вА.З «Анализ непротиворечивости» (приложе
ние А).
13.7.3.4.6 Шаг оценивания 4:AGD_USR.1-6
ИСО/МЭК 15408-3 AGDJJSR.1.6C: Руководство пользователя должно содержать описание всех
требований безопасности к среде ИТ. которые имеют отношение к пользователю.
Оценщикдолжен исследовать руководство пользователя, чтобы сделать заключение, описаны ли в
нем все требования безопасности ИТ для среды ИТ объекта оценки, которые имеют отношение к пользо
вателю.
168