ГОСТ Р ИСО МЭК 15408-2 2007 (1027764), страница 44
Текст из файла (страница 44)
Три первых семейства имеют сложные взаимосвязи. При выборе семейства для применения следует учитывать выявленные угрозы. Для некоторых типов угроз приватности «Псевдонимность» подойдет больше, чем «Анонимность» (например, при требовании проведения аудита). Кроме того, некоторым видам угроз приватности наилучшим образомпротивостоит сочетание компонентов из нескольких семейств.Во всех семействах предполагается, что пользователь не предпринимает прямо никакихдействий, раскрывающих его собственный идентификатор. Например, не ожидается, чтобы ФБОскрывали имя пользователя в сообщениях электронной почты или базах данных.Все семейства этого класса имеют компоненты, область действия которых может быть задана операциями.
Эти операции позволяют автору ПЗ/ЗБ указать те действия, общие для пользователей/субъектов, которым необходимо противодействовать с использованием ФБО. Возможныйпример отображения анонимности: "ФБО должны обеспечить, чтобы пользователи и/или субъектыбыли не способны определить идентификатор пользователя, обратившегося за телеконсультацией."Следует, чтобы ФБО предоставляли защиту от действий не только отдельных пользователей, но и пользователей, объединившихся для получения определенной информации. Стойкостьзащиты, предоставляемой этим классом, следует описать как стойкость функции согласно приложениям А и B к ГОСТ ИСО/МЭК 15408-1.Декомпозиция класса FPR на составляющие его компоненты приведена на рисунке I.1.201ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)FPR_ANO Анонимность122FPR_PSE Псевдонимность13FPR_UNL Невозможность ассоциации11FPR_UNO Скрытность234Рисунок I.1 – Декомпозиция класса FPR «Приватность»I.1 Анонимность (FPR_ANO)I.1.1 Замечания для пользователяСемейство FPR_ANO обеспечивает, чтобы субъект мог использовать ресурсы или услугибез раскрытия идентификатора его пользователя.Данное семейство предназначено для определения, что пользователь или субъект сможетпредпринимать действия, не раскрывая идентификатора пользователя другим пользователям,субъектам или объектам.
Это семейство предоставляет автору ПЗ/ЗБ способ идентификации совокупности пользователей, которые не смогут узнать идентификатор исполнителя некоторых действий.Следовательно, если субъект, пользуясь анонимностью, выполняет некоторое действие,другой субъект будет не в состоянии определить ни идентификатор, ни даже ссылку на идентификатор пользователя, использовавшего первый субъект.
Анонимность сфокусирована на защитеидентификатора пользователя, а не на защите идентификатора субъекта. Поэтому идентификаторсубъекта не защищается от раскрытия.Хотя идентификатор пользователя не разглашается другим субъектам или пользователям,ФБО прямо не запрещено узнавать идентификатор пользователя.
Если не допускается, чтобыФБО был известен идентификатор пользователя, то можно прибегнуть к компоненту FPR_ANO.2«Анонимность». В этом случае ФБО не разрешается запрашивать информацию о пользователе.Термин "определить" следует понимать в самом широком смысле слова. Для конкретизациитребований к строгости автор ПЗ/ЗБ может воспользоваться понятием стойкости функций.В этом компоненте проводится различие между пользователями и уполномоченными пользователями.
Уполномоченный пользователь часто не упоминается в компонентах; тогда ему не запрещается знать идентификатор пользователя. Однако нет и явного требования, чтобы уполномоченный пользователь обязательно имел возможность определить идентификатор пользователя.Для достижения максимальной приватности в компоненте необходимо указать, что ни пользова-202ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)тель, ни уполномоченный пользователь не смогут узнать идентификатор кого-либо при выполнении какого-либо действия.В то время как некоторые системы обеспечат анонимность всех предоставляемых услуг, вдругих системах она предоставляется только для некоторых субъектов/операций.
Для необходимой гибкости включена операция, в которой задается область действия требования. Если авторПЗ/ЗБ захочет охватить все субъекты/операции, можно воспользоваться выражением "Все субъекты и операции".Возможные применения анонимности включают в себя запросы конфиденциального характера к общедоступным базам данных, ответы на опросы, проводимые через телекоммуникации,или осуществление анонимных выплат или пожертвований.Примерами потенциально враждебных пользователей или субъектов являются провайдеры,системные операторы, абоненты связи и пользователи, скрытно вводящие в систему опасныеэлементы (например, "троянских коней"). Все они могут изучать образ действий пользователей(например, какие пользователи какие услуги заказывают) и злоупотреблять этой информацией.I.1.2 FPR_ANO.1 АнонимностьI.1.2.1 Замечания по применению для пользователяКомпонент FPR_ANO.1 обеспечивает, чтобы идентификатор пользователя был защищен отраскрытия.
В некоторых случаях, однако, уполномоченный пользователь может определить, ктопроизвел определенные действия. Этот компонент дает возможность гибкого подхода, позволяявыбирать политику как ограниченной, так и полной приватности.I.1.2.2 ОперацииI.1.2.2.1 НазначениеВ FPR_ANO.1.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/илисубъектов, от которых ФБО необходимо предоставить защиту.
Например, даже если автор ПЗ/ЗБспецифицирует единственную роль пользователя или субъекта, ФБО необходимо предоставитьзащиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группойпользователей, выступающих в одной и той же роли или использующих одни и те же процессы.В FPR_ANO.1.1 автору ПЗ/ЗБ следует идентифицировать список субъектов и/или операций,и/или объектов, для которых подлинное имя пользователя данного субъекта следует защитить,например "голосование".I.1.3 FPR_ANO.2 Анонимность без запроса информацииI.1.3.1 Замечания по применению для пользователяКомпонент FPR_ANO.2 используется для обеспечения того, что ФБО не будет разрешенознать идентификатор пользователя.I.1.3.2 ОперацииI.1.3.2.1 НазначениеВ FPR_ANO.2.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/илисубъектов, от которых ФБО необходимо предоставить защиту.
Например, даже если автор ПЗ/ЗБспецифицирует единственную роль пользователя или субъекта, ФБО необходимо предоставитьзащиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группойпользователей, выступающих в одной и той же роли или использующих одни и те же процессы.В FPR_ANO.2.1 автору ПЗ/ЗБ следует идентифицировать список субъектов и/или операций,и/или объектов, для которых подлинное имя пользователя данного субъекта следует защитить,например "голосование".203ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)В FPR_ANO.2.2 автору ПЗ/ЗБ следует идентифицировать список услуг, на которые распространяется требование анонимности, например "доступ к описанию работ".В FPR_ANO.2.2 автору ПЗ/ЗБ следует идентифицировать список субъектов, для которыхподлинные имена пользователей следует защитить при предоставлении специфицированных услуг.I.2 Псевдонимность (FPR_PSE)I.2.1 Замечания для пользователяСемейство FPR_PSE обеспечивает, чтобы пользователь мог использовать ресурс или услугубез раскрытия своего идентификатора, оставаясь в то же время ответственным за это использование.
Пользователь может быть ответственным, будучи прямо связан со ссылкой (псевдонимом),предоставляемой ФБО, или с псевдонимом, используемым для целей обслуживания, таким какномер банковского счета.В некотором отношении псевдонимность походит на анонимность. В обоих случаях защищается идентификатор пользователя, но в псевдонимности поддерживается ссылка на идентификатор пользователя как для сохранения его ответственности, так и для других целей.Компонент FPR_PSE.1 «Псевдонимность» не специфицирует требований, относящихся кссылке на идентификатор пользователя.














