ГОСТ Р ИСО МЭК 15408-2 2007 (1027764), страница 31
Текст из файла (страница 31)
Эти политики будут, как правило, учитывать аспекты конфиденциальности, целостности и доступности так, как это потребуется для удовлетворения требований кОО. Следует побеспокоиться, чтобы на каждый объект обязательно распространялась, по меньшей мере, одна ПФБ, и чтобы при реализации различных ПФБ не возникали конфликты.156ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)Во время разработки ПЗ/ЗБ с использованием компонентов класса FDP «Защита данныхпользователя» при их просмотре и выборе необходимо руководствоваться следующим.Требования класса FDP «Защита данных пользователя» определены в терминах функцийбезопасности (ФБ), которые реализуют ПФБ.
Поскольку ОО может одновременно следовать нескольким ПФБ, автору ПЗ/ЗБ необходимо дать каждой из ПФБ название, на которое можно ссылаться в других семействах. Это название будет затем использоваться в каждом компоненте, выбранном для определения части требований для соответствующей функции. Это позволяет авторулегко указать область действия, например охватываемые объекты и операции, уполномоченныепользователи и т.д.Как правило, каждое применение компонента возможно только для одной ПФБ. Поэтому, если ПФБ специфицирована в компоненте, то она будет применена во всех элементах этого компонента. Эти компоненты могут применяться в ПЗ/ЗБ несколько раз, если желательно учесть несколько политик.Ключом к выбору компонентов из этого семейства является наличие полностью определенной политики безопасности ОО, обеспечивающей правильный выбор компонентов из семейств«Политика управления доступом» FDP_ACC и «Политика управления информационными потоками» FDP_IFC.
В FDP_ACC «Политика управления доступом» и FDP_IFC «Политика управленияинформационными потоками» присваивают имя соответственно каждой политике управления доступом или информационными потоками. Кроме того, эти компоненты определяют субъекты, объекты и операции, входящие в область действия соответствующей функции безопасности. Предполагается, что имена этих политик будут использоваться повсеместно в тех функциональных компонентах, которые имеют операцию, запрашивающую назначение или выбор "ПФБ управления доступом" и/или "ПФБ управления информационными потоками". Правила, которые определяютфункциональные возможности именованных ПФБ управления доступом или информационнымипотоками, будут установлены в семействах FDP_ACF «Функции управления доступом» и FDP_IFF«Функции управления информационными потоками» соответственно.Ниже приведена рекомендуемая последовательность применения этого класса при построении ПЗ/ЗБ, для чего необходимо идентифицировать следующее.a) Осуществляемые политики, применив семейства FDP_ACC «Политика управления доступом» и FDP_IFC «Политика управления информационными потоками».
Эти семейства определяютобласть действия каждой политики, уровень детализации управления и могут идентифицироватьнекоторые правила следования политике.b) Требуемые компоненты, после чего выполнить все применяемые операции в компонентах, относящихся к политикам. Операции назначения могут выполняться как в обобщенном виде(например, "все файлы"), так и конкретно ("файлы "А", "В" и т.д.) в зависимости от уровня детализации.c) Все потенциально применяемые компоненты, относящиеся к функциям, из семействFDP_ACF «Функции управления доступом» и FDP_IFF «Функции управления информационным потоками», связанные с именованными политиками из семейств FDP_ACC «Политика управлениядоступом» и FDP_IFC «Политика управления информационными потоками». Выполнить операции,чтобы получить компоненты, определяющие правила этих политик.
Это следует сделать так, чтобы компоненты отражали требования выбранной функции, которые уже можно себе представитьили которые только подлежат разработке.d) Тех, кому будет предоставлена возможность управления атрибутами функций безопасности и их изменения, например, только администратору безопасности, только владельцу объекта ит.д., после чего выбрать соответствующие компоненты из класса FMT «Управление безопасностью» и выполнить в них операции. Здесь могут быть полезны уточнения для идентификации недостающих свойств, например, некоторые или все изменения необходимо выполнять только с использованием доверенного маршрута.157ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)e) Все подходящие компоненты класса FMT «Управление безопасностью», необходимые дляспецификации начальных значений новых объектов и субъектов.f) Все компоненты семейства FDP_ROL «Откат», применяемые для отката к предшествующему состоянию.g) Все требования из семейства FDP_RIP «Защита остаточной информации», применяемыедля защиты остаточной информации.h) Все компоненты из семейств FDP_ITC «Импорт данных из-за пределов действия ФБО» иFDP_ETC «Экспорт данных за пределы действия ФБО», используемые при импорте или экспортеданных, указав, как следует обращаться при этом с атрибутами безопасности.i) Все используемые компоненты, относящиеся к внутренним передачам ОО, из семействаFDP_ITT «Передача в пределах ОО».j) Требования защиты целостности хранимой информации из FDP_SDI «Целостность хранимых данных».k) Все применяемые компоненты, относящиеся к передаче данных между ФБО, из семействFDP_UCT «Защита конфиденциальности данных пользователя при передаче между ФБО» илиFDP_UIT «Защита целостности данных пользователя при передаче между ФБО».Декомпозиция класса FDP на составляющие его компоненты приведена на рисунке F.1.FDP_ACC Политика управления доступом1FDP_ACF Функции управления доступом1FDP_DAU Аутентификация данных1221FDP_ETC Экспорт данных за пределыдействия ФБО2FDP_IFC Политика управления информационными потоками121FDP_IFF Функции управления информационными потоками36158245ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)1FDP_ITC Импорт данных из-за пределовдействия ФБО21234FDP_RIP Защита остаточной информации12FDP_ROL Откат12FDP_SDI Целостность хранимых данных12FDP_ITT Передача в пределах ООFDP_UCT Защита конфиденциальности данныхпользователя при передаче между ФБО11FDP_UIT Защита целостности данныхпользователя при передаче между ФБО23Рисунок F.1 – Декомпозиция класса FDP «Защита данных пользователя»Рисунок F.1 –Декомпозиция класса FDP «Защита данных пользователя» (продолжение)F.1 Политика управления доступом (FDP_ACC)F.1.1 Замечания для пользователяВ основу семейства FDP_ACC положена концепция произвольного управления взаимодействием субъектов и объектов.
Область и цель управления определяются атрибутами получателяправ доступа (субъекта), атрибутами хранилища данных, к которому предоставляется доступ(объекта), действиями (операциями) и ассоциированными правилами управления доступом.Компоненты этого семейства дают возможность идентификации (по имени) ПФБ управлениядоступом, в основе которых лежат традиционные механизмы дискреционного управления доступом (DAC). В семействе определяются субъекты, объекты и операции, которые входят в область159ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)действия идентифицированных политик управления доступом.
Правила, определяющие функциональные возможности ПФБ управления доступом, будут установлены другими семействами, такими как FDP_ACF «Функции управления доступом» и FDP_RIP «Защита остаточной информации».Предполагается, что имена ПФБ, идентифицированные в семействе FDP_ACC «Политика управления доступом», будут использоваться повсеместно в тех функциональных компонентах, которыеимеют операцию, запрашивающую назначение или выбор "ПФБ управления доступом".В область действия ПФБ управления доступом входит множество триад "субъект, объект,операции".
Следовательно, на субъект могут распространяться несколько ПФБ, но только в различных сочетаниях с объектами и операциями. Разумеется, то же относится и к объектам, и к операциям.Важнейшим аспектом функции управления доступом, осуществляющей ПФБ управлениядоступом, является предоставление пользователям возможности модифицировать атрибутыуправления доступом. Семейство FDP_ACC «Политика управления доступом» для этого не предназначено. Часть относящихся к этой проблеме требований не определена, но их можно ввестикак уточнение; часть содержится в других семействах и классах, например в классе FMT «Управление безопасностью».В семействе FDP_ACC «Политика управления доступом» нет требований аудита, посколькуоно специфицирует только требования ПФБ управления доступом.
Требования аудита присутствуют в семействах, специфицирующих функции для удовлетворения ПФБ управления доступом,идентифицированных в этом семействе.Это семейство предоставляет автору ПЗ/ЗБ возможность спецификации нескольких политик,например жесткую ПФБ управления доступом в одной области действия и гибкую в другой. Дляспецификации нескольких политик управления доступом компоненты этого семейства могут использоваться в ПЗ/ЗБ несколько раз для различных подмножеств операций и объектов. Это применимо к ОО, в которых предусмотрено несколько политик для различных подмножеств операцийи объектов.
Другими словами, автору ПЗ/ЗБ следует специфицировать, применяя компонент АСС,необходимую информацию о каждой из ПФБ, которые будут осуществляться ФБО. Например,ПЗ/ЗБ для ОО, включающего в себя три ПФБ, каждая из которых действует для своей части объектов, субъектов и операций в пределах ОО, будет содержать по одному компоненту FDP_ACC.1«Ограниченное управление доступом» для каждой из трех ПФБ.F.1.2 FDP_ACC.1 Ограниченное управление доступомF.1.2.1 Замечания по применению для пользователяТермины "объект" и "субъект" являются обобщенными понятиями для ОО. Для каждой реализуемой политики необходимо четко идентифицировать сущности этой политики.
В ПЗ объекты иоперации можно представить с использованием типов, например именованные объекты, хранилища данных, доступ для чтения и т.п. Для конкретной системы необходимо уточнение обобщенныхпонятий "объект" и "субъект", например файлы, регистры, порты, присоединенные процедуры, запросы на открытие и т.п.Компонент FDP_ACC.1 определяет, что политика распространяется на некоторое полностьюопределенное множество операций на каком-либо подмножестве объектов.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
