ГОСТ Р ИСО МЭК 15408-2 2007 (1027764), страница 37
Текст из файла (страница 37)
ФБО, например, могут запросить повторную передачуданных пользователя. ПФБ, специфицированные в FDP_ITT.3.1, будут осуществляться как действия, предпринимаемые ФБО.F.8.5 FDP_ITT.4 Мониторинг целостности по атрибутамF.8.5.1 Замечания по применению для пользователяКомпонент FDP_ITT.4 используется в сочетании с FDP_ITT.2 «Разделение передачи по атрибутам». Он обеспечивает, чтобы ФБО проверяли целостность полученных данных пользователя, переданных по разделенным каналам (в соответствии со значениями специфицированных атрибутов безопасности). Компонент позволяет автору ПЗ/ЗБ специфицировать действия, предпринимаемые в случае обнаружения ошибки целостности.Компонент, например, может использоваться для обеспечения как обнаружения различныхошибок целостности, так и действий над информацией на различных уровнях целостности.Автор ПЗ/ЗБ должен специфицировать виды ошибок, подлежащих обнаружению.
АвторуПЗ/ЗБ следует рассмотреть, помимо прочих нарушений целостности, следующие виды ошибокданных: модификация, подмена, невосстанавливаемое изменение последовательности, повторноеиспользование, неполнота.Автору ПЗ/ЗБ следует специфицировать атрибуты (и ассоциированные с ними каналы передачи), требующие мониторинга ошибок целостности.Автору ПЗ/ЗБ необходимо специфицировать, какие действия следует предпринять ФБО приобнаружении ошибки, например, игнорировать данные пользователя, запросить данные повторно,сообщить уполномоченному администратору, направить трафик по другим каналам.175ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)F.8.5.2 ОперацииF.8.5.2.1 НазначениеВ FDP_ITT.4.1 автору ПЗ/ЗБ следует специфицировать, какие ПФБ управления доступоми/или информационными потоками распространяются на передаваемую и проверяемую на ошибкицелостности информацию.В FDP_ITT.4.1 автору ПЗ/ЗБ следует специфицировать типы возможных ошибок целостности, отслеживаемых во время передачи данных пользователя.В FDP_ITT.4.1 автору ПЗ/ЗБ следует специфицировать список атрибутов безопасности, требующих разделения каналов передачи.
Этот список используется для определения того, какиеданные пользователя будут отслеживаться на ошибки целостности на основе атрибутов безопасности данных и каналов передачи данных. Этот элемент прямо зависит от компонента FDP_ITT.2«Разделение передачи по атрибутам».В FDP_ITT.4.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые ФБО вслучае обнаружения ошибки целостности. ФБО, например, могут запросить повторную передачуданных пользователя. ПФБ, специфицированные в FDP_ITT.4.1, будут осуществляться как действия, предпринимаемые ФБО.F.9 Защита остаточной информации (FDP_RIP)F.9.1 Замечания для пользователяСемейство FDP_RIP связано с необходимостью обеспечения последующей недоступностиудаленной информации и отсутствия во вновь созданных объектах информации из объектов, ранее использовавшихся в ОО. Это семейство не применяется к объектам, хранимым автономно.Это семейство содержит требования защиты информации, которая уже логически удаленаили освобождена (недоступна для пользователя, но все еще находится в пределах системы и может быть восстановлена).
В частности, это относится к информации, которая содержится в объекте как часть ресурсов ФБО многократного использования, когда уничтожение объекта необязательно эквивалентно уничтожению ресурса или какой-либо части ресурса.Семейство применимо также при попеременном использовании различными субъектами ресурсов в системе. Например, в большинстве операционных систем для поддержки системных процессов обычно используются аппаратные регистры (в качестве ресурсов). Поскольку процессы постоянно переходят из активного состояния в состояние ожидания и обратно, эти регистры попеременно используются различными субъектами.
Хотя подобные действия "подкачки" можно не считать занятием или освобождением ресурса, к таким событиям и ресурсам может быть примененосемейство FDP_RIP Защита остаточной информации.Семейство FDP_RIP «Защита остаточной информации» обычно связано с доступом к информации, не являющейся частью объекта, который определен в данный момент, или к которому осуществляется доступ; однако это правило не всегда соблюдается. Пусть, например, объект А является файлом, а объект В – диском, на котором размещается этот файл.
Когда объект А удален, доступк его остаточной информации определяется семейством FDP_RIP «Защита остаточной информации», хотя она все еще остается частью объекта В.Важно иметь в виду, что FDP_RIP «Защита остаточной информации» применяется только кобъектам типа on-line, а не off-line (т.е. не к автономным объектам, таким как резервные копииобъектов на магнитных лентах). Например, если в ОО удаляется файл, в FDP_RIP может бытьотображено требование отсутствия любой остаточной информации при освобождении ресурса;тем не менее, ФБО не могут распространить осуществление этого требования на тот же самыйфайл, существующий в виде автономной резервной копии. Следовательно, этот файл попрежнему доступен. Если важно обеспечить недоступность, то автору ПЗ/ЗБ следует удостовериться, что соответствующая цель безопасности для среды отражена в руководстве администратора применительно к автономным объектам.176ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)Семейства FDP_RIP «Защита остаточной информации» и FDP_ROL «Откат» могут вступатьв конфликт, когда в первом отображено требование уничтожения остаточной информации во время передачи объекта от приложения к функциям безопасности (т.е.
при освобождении объекта).Поэтому результат выполнения операции выбора "недоступность при освобождении ресурса" вFDP_RIP «Защита остаточной информации» нельзя совместить с использованием FDP_ROL «Откат» из-за возможного отсутствия информации, необходимой для отката в предыдущее состояние.В этом случае в FDP_RIP «Защита остаточной информации» следует выбрать "недоступность прираспределении ресурса", что позволяет использовать FDP_ROL «Откат», хотя имеется риск, чторесурс, содержавший информацию, распределен новому объекту до выполнения отката. Если этопроизойдет, то откат будет невозможен.В FDP_RIP «Защита остаточной информации» нет требований аудита из-за того, что в немне отражены функции, вызываемые пользователем.
Аудит распределенных или освобожденныхресурсов будет возможен как часть операций ПФБ управления доступом или информационнымипотоками.Это семейство следует применять к объектам, специфицированным в ПФБ управления доступом или информационными потоками автором ПЗ/ЗБ.F.9.2 FDP_RIP.1 Ограниченная защита остаточной информацииF.9.2.1 Замечания по применению для пользователяКомпонент FDP_RIP.1 содержит требование, что ФБО будут обеспечивать для подмножества объектов ОО отсутствие в распределенном этим объектам или освобожденном ими ресурседоступной остаточной информации.F.9.2.2 ОперацииF.9.2.2.1 ВыборВ FDP_RIP.1.1 автору ПЗ/ЗБ следует специфицировать, в каком именно случае, при распределении или освобождении ресурсов, вызывается функция защиты остаточной информации.F.9.2.2.2 НазначениеВ FDP_RIP.1.1 автору ПЗ/ЗБ следует привести список объектов, для которых выполняетсязащита остаточной информации.F.9.3 FDP_RIP.2 Полная защита остаточной информацииF.9.3.1 Замечания по применению для пользователяКомпонент FDP_RIP.2 содержит требование, что ФБО будут обеспечивать для всех объектовОО отсутствие в распределенном этим объектам или освобожденном ими ресурсе доступной остаточной информации.F.9.3.2 ОперацииF.9.3.2.1 ВыборВ FDP_RIP.2.1 автору ПЗ/ЗБ следует специфицировать, в каком именно случае, при распределении или освобождении ресурсов, вызывается функция защиты остаточной информации.F.10 Откат (FDP_ROL)F.10.1 Замечания для пользователяСемейство FDP_ROL связано с необходимостью возврата в полностью определенное допустимое состояние, например, когда пользователю требуется отменить модификацию файла илиотменить транзакции при незаконченной серии транзакций применительно к базе данных.177ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)Это семейство предназначено для содействия пользователю в возвращении в полностьюопределенное допустимое состояние после того, как он решил отменить некоторую совокупностьпоследних действий или, для распределенной базы данных, вернуть все распределенные копиибазы данных к состоянию перед выполнением отмененной операции.Семейства FDP_RIP «Защита остаточной информации» и FDP_ROL «Откат» вступают вконфликт, когда FDP_RIP «Защита остаточной информации» устанавливает, что содержание ресурса становится недоступным при освобождении ресурса объектом.
Тогда FDP_RIP «Защита остаточной информации» нельзя использовать совместно с FDP_ROL «Откат» из-за отсутствия необходимой для отката информации. FDP_RIP «Защита остаточной информации» можно использовать совместно с FDP_ROL «Откат», если FDP_RIP «Защита остаточной информации» устанавливает, что при распределении ресурса объекту предыдущее содержание ресурса будет недоступно.Это возможно потому, что для успешного отката механизм FDP_ROL «Откат» получит доступ кпредыдущей информации, которая все еще может находиться в ОО.На требование отката накладываются некоторые ограничения.














