O.Auth_2examine

Die Anwendung SOLL Authentisierungsmechanismen und Autorisierungsfunktionen separat realisieren. Sind für die Anwendung verschiedene Rollen notwendig, MUSS eine Autorisierung bei jedem Datenzugriff separat realisiert werden.

Der Evaluator prüft und bewertet die getroffenen Maßnahmen zur Trennung von Autorisierungs- und Authentisierungsmechanismen. Sollte keine Trennung der Mechanismen vorgenommen sein oder die getroffenen Maßnahmen nicht ausschließlich vom Hintergrundsystem durchgesetzt werden, sind die Abwägungen des Herstellers zu prüfen und in der Risikobewertung zu berücksichtigen.