1042 ガイダンス文書アクティビティの目的は、運用 TOE を使用する方法を記述してい
る証拠資料が適切であることを判断することである。そのような証拠資料には、正 しくないアクションが TOE のセキュリティに悪影響を与えることがある信頼され た管理者と管理者以外の利用者に対する文書と、正しくないアクションが自分自身 のデータのセキュリティに悪影響を与える可能性がある信頼できない利用者に対す る両方の文書がある。
1043 EAL3 でのガイダンス文書アクティビティには、次のコンポーネントに関係するサ
ブアクティビティが含まれる。
a) AGD_ADM.1 b) ADG_USR.1
7.7.1 適用上の注釈
1044 ガイダンス文書アクティビティは、TOE のセキュリティに関係する機能とインタ
フェースに適用される。TOEのセキュアな構成は、STに記述されている。
7.7.2 管理者ガイダンスの評価(AGD_ADM.1)
7.7.2.1 目的
1045 このサブアクティビティの目的は、管理者ガイダンスがセキュアな方法で TOE を
管理する方法を記述しているかどうかを決定することである。
7.7.2.2 適用上の注釈
1046 用語「管理者」(administrator)は、TOE 構成パラメタの設定など、TOE 内のセ キュリティの重要な操作を実行することを任された人間利用者を示す。この操作は、
TSP の実施に影響を与えるので、管理者は、これらの操作を行うために必要な特定 の権限を有している。管理者(一人または複数)の役割は、TOE の管理者以外の利用 者の役割から明確に区別する必要がある。
1047 監査者、管理者、または日常的管理など、TOE により認識され、TSF と相互作用
することができる ST に定義された異なる管理者の役割またはグループが存在する ことができる。各役割は、広範な能力のセットを含むか、または単一の能力である ことができる。これらの役割の能力とそれらに関係する権限は、FMT クラスに記 述されている。異なる管理者の役割とグループは、管理者ガイダンスにて考慮され るべきである。
7.7.2.3 入力
1048 このサブアクティビティ用の評価証拠は、次のとおりである。
a) ST b) 機能仕様
c) 上位レベル設計 d) 利用者ガイダンス e) 管理者ガイダンス
f) セキュアな設置、生成、及び立上げの手順
7.7.2.4 評価者アクション
1049 このサブアクティビティは、次の1つのCCパート3評価者アクションエレメント
からなる。
a) AGD_ADM.1.1E 7.7.2.4.1 アクションAGD_ADM.1.1E
AGD_ADM.1.1C
3:AGD_ADM.1-1 評価者は、管理者ガイダンスが TOE の管理者が利用できる管理セキュリティ機能 とインタフェースを記述していることを決定するために、そのガイダンスを検査し検査し検査し検査し なければならない。
なければならない。
なければならない。
なければならない。
1050 管理者ガイダンスには、管理者インタフェースで見ることができるセキュリティ機
能の概要を含めるべきである。
1051 管理者ガイダンスは、管理者セキュリティインタフェースと機能の目的、ふるまい、
及び相互関係を識別し、記述するべきである。
1052 各管理者セキュリティインタフェースと機能に対して、管理者ガイダンスは、次の
ことを行うべきである。
a) インタフェースを起動する方法を記述する(例えば、コマンド行、プログラミ ング言語システムコール、メニュー選択、コマンドボタン)。
b) 管理者が設定するパラメタ、それらの正当な値とデフォルトの値を記述する。
c) 即時TSF応答、メッセージ、またはリターンコードを記述する。
AGD_ADM.1.2C
3:AGD_ADM.1-2 評価者は、管理者ガイダンスがセキュアな方法で TOE を管理する方法を記述して いることを決定するために、そのガイダンスを検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
1053 管理者ガイダンスは、ST に記述されているものと一貫する IT 環境の TSP に従っ
て、TOEを操作する方法を記述する。
AGD_ADM.1.3C
EAL3:AGD_ADM.1
3:AGD_ADM.1-3 評価者は、管理者ガイダンスがセキュアな処理環境で管理されなければならない機 能と権限に関する警告を含んでいることを決定するために、そのガイダンスを検査検査検査検査 しなければならない。
しなければならない。
しなければならない。
しなければならない。
1054 TOE の構成は、TOE の異なる機能を使用するための異なる権限を持つことを利用
者に許すことができる。これは、ある利用者にはある種の機能を実行することが許 可されるが、他の利用者にはそれが許可されないことを意味する。これらの機能と 権限は、管理者ガイダンスに記述されるべきである。
1055 管理者ガイダンスでは、管理するべき機能と権限、それらに必要な管理のタイプ、
そのような管理の理由を識別する。警告では、期待される効果、考えられる副次的 効果、他の機能と権限との考えられる相互作用を指摘する。
AGD_ADM.1.4C
3:AGD_ADM.1-4 評価者は、管理者ガイダンスが TOE のセキュアな運用に関連する利用者のふるま いに関するすべての前提条件を記述していることを決定するために、そのガイダン スを検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
1056 利用者のふるまいについての前提条件は、STのTOEセキュリティ環境のステート
メントにさらに詳細に記述することができる。ただし、TOE のセキュアな運用に 関する情報のみを管理者ガイダンスに含める必要がある。
1057 セキュアな運用に必要な利用者の責任の例は、利用者が自らののパスワードの秘密
を保つことである。
AGD_ADM.1.5C
3:AGD_ADM.1-5 評価者は、管理者ガイダンスが管理者の管理下にあるすべてのセキュリティパラメ タを、セキュアな値を適切に示して、記述していることを決定するために、そのガ イダンスを検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
1058 各セキュリティパラメタに対して、管理者ガイダンスは、パラメタの目的、パラメ
タの正当な値とデフォルトの値、そのようなパラメタの安全及び安全でない、個別 または組み合わせによる、使用設定を記述するべきである。
AGD_ADM.1.6C
3:AGD_ADM.1-6 評価者は、管理者ガイダンスが TSF の制御下にあるエンティティのセキュリティ 特質の変更を含む、実行が必要な管理機能に関連するセキュリティ関連事象の各タ イプを記述していることを決定するために、そのガイダンスを検査しなければなら検査しなければなら検査しなければなら検査しなければなら ない。
ない。
ない。
ない。
1059 セキュリティ関連事象のすべてのタイプは、詳細に記述されているので、管理者は、
発生する可能性がある事象とセキュリティを維持するために管理者が取る必要があ るアクション(存在する場合)を知る。TOE の運用中に発生するセキュリティ関 連事象(例えば、監査証跡のオーバフロー、システム故障、利用者レコードの更新、
利用者が組織を離れるときの利用者アカウントの削除)は、管理者がセキュアな運 用を維持するために介入できるように適切に定義される。
AGD_ADM.1.7C
3:AGD_ADM.1-7 評価者は、管理者ガイダンスが評価のために提供された他のすべての文書と一貫し ていることを決定するために、そのガイダンスを検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
1060 特にSTには、TOEセキュリティ環境とセキュリティ対策方針に関する TOE 管理
者への警告に対する詳細な情報を含めることができる。
1061 一貫性の分析のガイダンスについては、附属書B.3を参照のこと。
AGD_ADM.1.8C
3:AGD_ADM.1-8 評価者は、管理者ガイダンスが管理者に関連するTOEのIT環境に対するすべての ITセキュリティ要件を記述していることを決定するために、そのガイダンスを検査検査検査検査 しなければならない。
しなければならない。
しなければならない。
しなければならない。
1062 ST に IT 環境に対する IT セキュリティ要件が含まれていない場合、このワークユ
ニットは適用されず、満たされているものとみなされる。
1063 このワークユニットは、IT セキュリティ要件のみに関係し、組織のセキュリティ方
針には関係しない。
1064 評価者は、TOE の IT 環境に対するセキュリティ要件(ST のオプションステート
メント)を分析し、管理者にとって適切な ST のすべてのセキュリティ要件が管理 者ガイダンスに適切に記述されていることを保証するために、それらを管理者ガイ ダンスと比較するべきである。