ГОСТ Р ИСО МЭК 15408-2 2007 (1027764), страница 20
Текст из файла (страница 20)
Это семейство важно, потому что начальное состояние ФБО при запуске или восстановлении определяет защищенность ОО в последующем.14.8.2 Ранжирование компонентов123FPT_RCV Надежное восстановление4Рисунок 64 – Ранжирование компонентов семейства FPT_RCVFPT_RCV.1 «Ручное восстановление» позволяет ОО предоставить только такие механизмывозврата к безопасному состоянию, которые предполагают вмешательство человека.FPT_RCV.2 «Автоматическое восстановление» предоставляет, хотя бы для одного типапрерывания обслуживания, восстановление безопасного состояния без вмешательства человека;восстановление после прерываний других типов может потребовать вмешательства человека.FPT_RCV.3 «Автоматическое восстановление без недопустимой потери» также предусматривает автоматическое восстановление, но повышает уровень требований, препятствуя недопустимой потере защищенных объектов.FPT_RCV.4 «Восстановление функции» предусматривает восстановление на уровне отдельных ФБ, обеспечивая либо их нормальное завершение после сбоя, либо возврат к безопасному состоянию данных ФБО.14.8.3 Управление: FPT_RCV.1Для функций управления из класса FMT могут рассматриваться следующие действия.99ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)a) Управление списком доступа к средствам восстановления в режиме аварийной поддержки.14.8.4 Управление: FPT_RCV.2, FPT_RCV.3Для функций управления из класса FMT могут рассматриваться следующие действия.a) Управление списком доступа к средствам восстановления в режиме аварийной поддержки.b) Управление списком сбоев/прерываний обслуживания, которые будут обрабатываться автоматическими процедурами.14.8.5 Управление: FPT_RCV.
4Действия по управлению не предусмотрены.14.8.6 Аудит: FPT_RCV.1, FPT_RCV.2, FPT_RCV.3Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», тоследует предусмотреть возможность аудита следующих действий.a) Минимальный: факт возникновения сбоя или прерывания обслуживания.b) Минимальный: возобновление нормальной работы.c) Базовый: тип сбоя или прерывания обслуживания.14.8.7 Аудит: FPT_RCV.
4Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», тоследует предусмотреть возможность аудита следующих действий.a) Минимальный: невозможность возврата к безопасному состоянию после сбоя функциибезопасности, если аудит возможен.b) Базовый: обнаружение сбоя функции безопасности, если аудит возможен.14.8.8 FPT_RCV.1 Ручное восстановлениеИерархический для: Нет подчиненных компонентов.Зависимости:AGD_ADM.1 Руководство администратораADV_SPM.1 Неформальная модель политики безопасности ОО14.8.8.1 FPT_RCV.1.1После [назначение: список сбоев/прерываний обслуживания] ФБО должны перейти врежим аварийной поддержки, который предоставляет возможность возврата ОО к безопасному состоянию.FPT_RCV.2Автоматическое восстановлениеИерархический для: FPT_RCV.1 Ручное восстановлениеЗависимости:AGD_ADM.1 Руководство администратораADV_SPM.1 Неформальная модель политики безопасности ОО14.8.9.1 FPT_RCV.2.1Когда автоматическое восстановление после [назначение: список сбоев/прерываний обслуживания] невозможно, ФБО должны перейти в режим аварийной поддержки, который предоставляет возможность возврата ОО к безопасному состоянию.14.8.9.2 FPT_RCV.2.2Для [назначение: список сбоев/прерываний обслуживания] ФБО должны обеспечитьвозврат ОО к безопасному состоянию с использованием автоматических процедур.100ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)14.8.10 FPT_RCV.3 Автоматическое восстановление без недопустимой потериИерархический для: FPT_RCV.2 Автоматическое восстановлениеЗависимости:AGD_ADM.1 Руководство администратораADV_SPM.1 Неформальная модель политики безопасности ОО14.8.10.1 FPT_RCV.3.1Когда автоматическое восстановление после [назначение: список сбоев/ прерываний обслуживания] невозможно, ФБО должны перейти в режим аварийной поддержки, который предоставляет возможность возврата ОО к безопасному состоянию.14.8.10.2 FPT_RCV.3.2Для [назначение: список сбоев/прерываний обслуживания] ФБО должны обеспечить возвратОО к безопасному состоянию с использованием автоматических процедур.14.8.10.3 FPT_RCV.3.3Функции из числа ФБО, предназначенные для преодоления последствий сбоя илипрерывания обслуживания, должны обеспечить восстановление безопасного начальногосостояния без превышения [назначение: количественная мера] потери данных ФБО илиобъектов в пределах ОДФ.14.8.10.4 FPT_RCV.3.4ФБО должны обеспечить способность определения, какие объекты могут, а какие немогут быть восстановлены.14.8.11 FPT_RCV.4 Восстановление функцииИерархический для: Нет подчиненных компонентов.Зависимости: ADV_SPM.1 Неформальная модель политики безопасности ОО14.8.11.1 FPT_RCV.4.1ФБО должны обеспечить следующее свойство для [назначение: список ФБ и сценариев сбоев]: ФБ нормально заканчивает работу или, для предусмотренных сценариев сбоев,восстанавливается ее устойчивое и безопасное состояние.14.9 Обнаружение повторного использования (FPT_RPL)14.9.1 Характеристика семействаСемейство FPT_RPL связано с обнаружением повторного использования различных типовсущностей (таких, как сообщения, запросы на обслуживание, ответы на запросы обслуживания) ипоследующими действиями по его устранению.
При обнаружении повторного использования выполнение требований семейства эффективно предотвращает его.14.9.2 Ранжирование компонентовFPT_RPL Обнаружение повторногоиспользования1Рисунок 65 – Ранжирование компонентов семейства FPT_RPLСемейство состоит из одного компонента FPT_RPL.1 «Обнаружение повторного использования», который содержит требование, чтобы ФБО были способны обнаружить повторное использование идентифицированных сущностей.101ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)14.9.3 Управление: FPT_RPL.1Для функций управления из класса FMT могут рассматриваться следующие действия.a) Управление списком идентифицированных сущностей, для которых повторное использование должно быть обнаружено.b) Управление списком действий, которые необходимо предпринять при повторном использовании.14.9.4 Аудит: FPT_RPL.1Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», тоследует предусмотреть возможность аудита следующих действий.a) Базовый: обнаруженные нападения посредством повторного использования.b) Детализированный: предпринятые специальные действия.14.9.5 FPT_RPL.1 Обнаружение повторного использованияИерархический для: Нет подчиненных компонентов.Зависимости: отсутствуют.14.9.5.1 FPT_RPL.1.1ФБО должны обнаруживать повторное использование для следующих сущностей: [назначение: список идентифицированных сущностей].14.9.5.2 FPT_RPL.1.2ФБО должны выполнить [назначение: список специальных действий] при обнаружении повторного использования.14.10 Посредничество при обращениях (FPT_RVM)14.10.1 Характеристика семействаТребования семейства FPT_RVM связаны с аспектом "постоянная готовность" традиционного монитора обращений.
Цель этого семейства состоит в обеспечении для заданной ПФБ, чтобывсе действия, требующие осуществления политики, проверялись ФБО на соответствие ПФБ. Еслипомимо этого часть ФБО, осуществляющая ПФБ, выполняет требования соответствующих компонентов из семейств FPT_SEP «Разделение домена» и ADV_INT «Внутренняя структура ФБО», тоэта часть ФБО обеспечивает "монитор обращений" для этой ПФБ.ФБО при реализации ПФБ предоставляют эффективную защиту от несанкционированныхопераций тогда и только тогда, когда правомочность всех потенциально осуществляемых действий(например, доступа к объектам), запрошенных субъектами, недоверенными относительно всех илиименно этой ПФБ, проверяется ФБО до выполнения действий. Если действия по проверке, которые должны выполняться ФБО, исполнены неправильно или проигнорированы (обойдены), тоосуществление ПФБ в целом может быть поставлено под угрозу (ее можно обойти).
Тогда субъекты смогут обходить ПФБ различными способами (такими, как обход проверки доступа для некоторых субъектов и объектов, обход проверки для объектов, чья защита управляется прикладнымипрограммами, сохранение права доступа после истечения установленного срока действия, обходаудита действий, подлежащих аудиту, обход аутентификации). Важно отметить, что некоторымсубъектам, так называемым "доверенным субъектам" относительно одной из ПФБ, может быть непосредственно доверено осуществление этой ПФБ, предоставляя тем самым возможность обойтись без ее посредничества.14.10.2 Ранжирование компонентов102ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)FPT_RVM Посредничество при обращениях1Рисунок 66 – Ранжирование компонентов семейства FPT_RVMЭто семейство состоит только из одного компонента, FPT_RVM.1 «Невозможность обходаПБО», который содержит требование предотвращения обхода для всех ПФБ из ПБО.14.10.3 Управление: FPT_RVM.1Действия по управлению не предусмотрены.14.10.4 Аудит: FPT_RVM.1Нет событий, для которых следует предусмотреть возможность аудита.14.10.5 FPT_RVM.1 Невозможность обхода ПБОИерархический для: Нет подчиненных компонентов.Зависимости: отсутствуют.14.10.5.1 FPT_RVM.1.1ФБО должны обеспечить, чтобы функции, осуществляющие ПБО, вызывались и успешно выполнялись прежде, чем разрешается выполнение любой другой функции в пределах ОДФ.14.11 Разделение домена (FPT_SEP)14.11.1 Характеристика семействаКомпоненты семейства FPT_SEP обеспечивают, чтобы, по меньшей мере, один домен безопасности был доступен только для собственного выполнения ФБО, и этим они были защищены отвнешнего вмешательства и искажения (например, модификации кода или структур данных ФБО)со стороны недоверенных субъектов.
Выполнение требований этого семейства устанавливает такую самозащиту ФБО, что недоверенный субъект не сможет модифицировать или повредить ФБО.Это семейство содержит следующие требования.a) Ресурсы домена безопасности ФБО ("защищенного домена") и ресурсы субъектов и активных сущностей, внешних по отношению к этому домену, разделяются так, что сущности, внешние по отношению к защищенному домену, не смогут получить или модифицировать данные иликод ФБО в пределах защищенного домена.b) Обмен между доменами управляется так, что произвольный вход в защищенный доменили произвольный выход из него невозможны.c) Параметры пользователя или прикладной программы, переданные в защищенный доменпо адресу, проверяются относительно адресного пространства защищенного домена, а переданные по значению – относительно значений, ожидаемых этим доменом.d) Защищенные домены субъектов разделены, за исключением случаев, когда совместноеиспользование одного домена управляется ФБО.14.11.2 Ранжирование компонентов103ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)FPT_SEP Разделение домена123Рисунок 67 – Ранжирование компонентов семейства FPT_SEPFPT_SEP.1 «Отделение домена ФБО» предоставляет отдельный защищенный домен дляФБО и обеспечивает разделение между субъектами в ОДФ.FPT_SEP.2 «Отделение домена ПФБ» содержит требования дальнейшего разбиения защищенного домена ФБО с выделением отдельного (ных) домена (ов) для идентифицированной совокупности ПФБ, которые действуют как мониторы обращений для них, и домена для остальной части ФБО, а также доменов для частей ОО, не связанных с ФБО.FPT_SEP.3 «Полный монитор обращений» содержит требования, чтобы имелся отдельный(ные) домен (ны) для осуществления ПБО, домен для остальной части ФБО, а также домены длячастей ОО, не связанных с ФБО.14.11.3 Управление: FPT_SEP.1, FPT_SEP.2, FPT_SEP.3Действия по управлению не предусмотрены.14.11.4 Аудит: FPT_SEP.1, FPT_SEP.2, FPT_SEP.3Нет событий, для которых следует предусмотреть возможность аудита.14.11.5 FPT_SEP.1 Отделение домена ФБОИерархический для: Нет подчиненных компонентов.Зависимости: отсутствуют.14.11.5.1 FPT_SEP.1.1ФБО должны поддерживать домен безопасности для собственного выполнения, защищающий их от вмешательства и искажения недоверенными субъектами.14.11.5.2 FPT_SEP.1.2ФБО должны осуществлять разделение между доменами безопасности субъектов вОДФ.14.11.6 FPT_SEP.2 Отделение домена ПФБИерархический для: FPT_SEP.1 Отделение домена ФБОЗависимости: отсутствуют.14.11.6.1 FPT_SEP.2.1Неизолированная часть ФБО должна поддерживать домен безопасности для собственного выполнения, защищающий их от вмешательства и искажения недоверенными субъектами.14.11.6.2 FPT_SEP.2.2ФБО должны осуществлять разделение между доменами безопасности субъектов в ОДФ14.11.6.3 FPT_SEP.2.3ФБО должны поддерживать часть ФБО, связанных с [назначение: список ПФБ управления доступом и/или управления информационными потоками] в домене безопасностидля их собственного выполнения, защищающем их от вмешательства и искажения остальной частью ФБО и субъектами, недоверенными относительно этих ПФБ.104ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)14.11.7 FPT_SEP.3 Полный монитор обращенийИерархический для: FPT_SEP.2 Отделение домена ПФБЗависимости:отсутствуют.14.11.7.1 FPT_SEP.3.1Неизолированная часть ФБО должна поддерживать домен безопасности для собственноговыполнения, защищающий их от вмешательства и искажения недоверенными субъектами.14.11.7.2 FPT_SEP.3.2ФБО должны осуществлять разделение между доменами безопасности субъектов в ОДФ.14.11.7.3 FPT_SEP.3.3ФБО должны поддерживать ту часть ФБО, которая осуществляет ПФБ управлениядоступом и/или управления информационными потоками, в домене безопасности для ее собственного выполнения, защищающем их от вмешательства и искажения остальной частью ФБО исубъектами, недоверенными относительно ПБО.14.12 Протокол синхронизации состояний (FPT_SSP)14.12.1 Характеристика семействаРаспределенные системы могут иметь большую сложность, чем нераспределенные, из-замногообразия состояний частей системы, а также из-за задержек связи.















