воскресенье, 29 августа 2010 г.

Публичное обсуждение MoReq2010, третий тур - часть 5

(Окончание, предыдущую часть см. по адресу http://rusrim.blogspot.com/2010/08/moreq2010-4.html )

6. Рейтинг безопасности и соответствие требованиям (см. http://contribute2moreq.eu/portal/conceptpart3?pointId=1282127195858  )

Общие положения

Предполагается, что различные соответствующие MoReq2010 системы будут иметь разные уровни сложности и управление доступом будет реализовано в них по-разному. В предыдущих версиях спецификаций не применялась единая модель управления доступом на основе ролей.

Поэтому разработчики считают необходимым применить скользящую «шкалу соответствия», по которой оценивается, как СЭД-решения реализуют управление доступом на основе ролей, как оно будет определено в MoReq2010. По этой шкале СЭД-решениям центром тестирования будет присваиваться «рейтинг безопасности» (security rating) от одной до пяти звёзд, в рамках процесса тестирования на соответствие и сертификации (При чём здесь безопасность, авторы не уточняют – Н.Х.)

Предложенный схема определения рейтинга позволит сертифицировать как соответствующие MoReq2010 очень простые СЭД-решения (Вот из-за чего весь сыр-бор! – Н.Х.), одновременно признавая уровень развитости средств управления доступом в других СЭД.

Схема определения рейтинга безопасности


В приведенной ниже таблице представлена предлагаемая схема определения «рейтинга безопасности»:


Уровень соответствия «одна звезда»

СЭД, которые реализуют только роли, определяемые по умолчанию (пользовательскую и административную) в качестве общесистемных ролей, и не поддерживают назначение ролей на ограниченный период времени, получат рейтинг «одна звезда».

Следует иметь в виду, что, поскольку все роли на этом уровне соответствия общесистемные, то от «однозвёздочных» СЭД, для сертификации их по MoReq2010, не требуется реализации механизма наследования для вложенных объектов.

Уровень соответствия «две звезды»

Для получения более чем одной звезды,  все СЭД должны поддерживать возможность назначения ролей в отношении конкретных объектов, механизма наследования для вложенных объектов, а также возможность назначения ролей на ограниченный период времени.

Уровень соответствия «три звезды»

Три звезды даются СЭД, поддерживающей, помимо предусмотренных в MoReq2010 ролей по умолчанию, и другие роли. Эти роли могут быть «зашиты» в систему - это означает, что функции MoReq2010, которые они поддерживают, были определены поставщиком СЭД и не могут настраиваться пользователем. СЭД должны поддерживать, по крайней мере, шесть ролей (Любопытно, почему именно шесть? Или просто полдюжины – хорошее число?  – Н.Х.), включая роли по умолчанию.

Уровень соответствия «четыре звезды»

СЭД, дающая пользователям возможность определять собственные роли в дополнение к встроенным ролям и ролям, определенным по умолчанию, а также позволяющая определить, по крайней мере, 12 таких ролей (Дюжина! – Н.Х.), получит четыре звезды.

Этот рейтинг выставляется и в том случае, если роли могут быть выборочно назначаться в отношении и не всех определенных в MoReq2010 отдельных функций.

Например, конкретное СЭД-решение может быть реализовано таким образом, что отдельные функции, определенные в MoReq2010, могут быть сгруппированы в более высокоуровневые «права» (permissions), которые затем объединяются при определении ролей. В этом примере виды ролей, которые пользователи могут определить, ограничены примененным поставщиком СЭД подходом к её проектированию - решением о группировке отдельных функций.

Уровень соответствия «пять звёзд»

Рейтинг соответствия «пять звёзд» зарезервирован для тех решений, которые полностью реализуют предлагаемую в MoReq2010 модель управления доступом на основе ролей.

Мой комментарий: Вспоминается классическое: «Но если посмотреть вооружённым глазом, то можно увидеть одну звёздочку, две звёздочки, три звёздочки… Но лучше всего пять звёздочек!» :)

О следующем туре обсуждения проекта MoReq2 см. http://rusrim.blogspot.com/2010/09/moreq2010-i.html

Источник: Портал публичного обсуждения MoReq2010
http://contribute2moreq.eu/portal/

Комментариев нет:

Отправить комментарий