ГОСТ Р ИСО МЭК 15408-2 2007 (1027764), страница 46
Текст из файла (страница 46)
Отметим, что к "объектам" относят любыеатрибуты, позволяющие другим пользователям или субъектам раскрыть действительный идентификатор данного пользователя.В FPR_PSE.3.2 автору ПЗ/ЗБ следует идентифицировать число псевдонимов (один или более), которое ФБО способны предоставить.В FPR_PSE.3.2 автору ПЗ/ЗБ следует идентифицировать список субъектов, которым ФБОспособны предоставлять псевдонимы.I.2.4.2.2 ВыборВ FPR_PSE.3.3 автору ПЗ/ЗБ следует специфицировать, создаются псевдонимы функциямибезопасности ОО или выбираются самими пользователями.
Может быть выбран только один изэтих вариантов.I.2.4.2.3 НазначениеВ FPR_PSE.3.3 автору ПЗ/ЗБ следует идентифицировать метрику, которой удовлетворял быпсевдоним, созданный ФБО или выбранный пользователем.FPR_PSE.3.4 автору ПЗ/ЗБ следует идентифицировать список условий, указывающих, в каких случаях ссылки на подлинное имя пользователя должны быть одинаковы, а в каких должныбыть различными, например "когда пользователь осуществляет многократный вход в узел сети, онбудет использовать один и тот же псевдоним".I.3 Невозможность ассоциации (FPR_UNL)I.3.1 Замечания для пользователяСемейство FPR_UNL обеспечивает, чтобы пользователь мог неоднократно использовать ресурсы или услуги, не давая никому возможности связать вместе их использование.
Невозможностьассоциации отличается от псевдонимности тем, что хотя при псевдонимности сам пользовательтакже неизвестен, связи между его различными действиями не скрываются.Требования невозможности ассоциации предназначены для защиты идентификатора пользователя от применения профиля операций. Например, телефонная компания может определить207ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)поведение пользователя телефонной карты, используемой с единственного номера. Если известны профили использования телефона группой пользователей, то карту можно связать с конкретным пользователем. Сокрытие связи между различными обращениями за услугой или за доступомк ресурсу предотвратит накопление подобной информации.В результате, требования невозможности ассоциации могут означать защиту идентификатора субъекта и пользователя для некоторой операции.
В противном случае эта информация можетбыть использована для связывания операций вместе.Семейство содержит требование исключить установление связи между различными операциями. Эта связь может приобретать различные формы. Например, с пользователем ассоциируется операция или терминал, с которого инициировано действие, или продолжительность выполнения действия. Автор ПЗ/ЗБ может специфицировать, раскрытию какого типа связей необходимопротиводействовать.Возможные приложения включают в себя возможность многократного использования псевдонима, исключающие создание шаблона использования, по которому можно раскрыть идентификатор пользователя.Примерами потенциально враждебных субъектов или пользователей являются провайдеры,системные операторы, абоненты связи и пользователи, скрытно вводящие в систему опасныеэлементы (например, "троянских коней").
Сами они не выполняют операции в системе, но стремятся получить информацию об операциях. Все они могут изучать образ действий пользователей (например, какие пользователи какие услуги заказывают) и злоупотреблять этой информацией. Невозможность ассоциации защищает пользователей от сопоставления, которое может быть произведено между различными действиями потребителя. Например, серия телефонных вызовов, сделанных анонимным потребителем по различным номерам, может дать информацию для раскрытия его идентификатора по сочетанию номеров.I.3.2 FPR_UNL.1 Невозможность ассоциацииI.3.2.1 Замечания по применению для пользователяКомпонент FPR_UNL.1 обеспечивает, чтобы пользователи не могли связывать между собойразличные операции в системе и таким образом получать информацию.I.3.2.2 ОперацииI.3.2.2.1 НазначениеВ FPR_UNL.1.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/илисубъектов, от которых ФБО необходимо предоставить защиту.
Например, даже если автор ПЗ/ЗБспецифицирует единственную роль пользователя или субъекта, ФБО необходимо предоставитьзащиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группойпользователей, выступающих в одной и той же роли или использующих один и тот же процесс.В FPR_UNL.1.1 автору ПЗ/ЗБ следует идентифицировать список операций, на которые следует распространить требование невозможности ассоциации, например "отправка электроннойпочты".I.3.2.2.2 ВыборВ FPR_UNL.1.1 автору ПЗ/ЗБ следует выбрать взаимосвязи, которые следует скрыть.
Этотвыбор позволяет специфицировать либо идентификатор пользователя, либо операцию назначения списка соотношений.I.3.2.2.3 НазначениеВ FPR_UNL.1.1 автору ПЗ/ЗБ следует идентифицировать список соотношений, которые следует защищать, например "посланные с одного и того же терминала".208ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)I.4 Скрытность (FPR_UNO)I.4.1 Замечания для пользователяСемейство FPR_UNO обеспечивает, чтобы пользователь мог использовать ресурс или услугу без предоставления кому-либо, в особенности третьей стороне, возможности знать об использовании ресурса или услуги.Подход к защите идентификатора пользователя в этом семействе отличает его от остальных семейств данного класса.
Скрывается факт использования ресурса или услуги, а не идентификатор пользователя.Для реализации скрытности могут быть применены различные методы. Примеры некоторыхиз них приведены ниже.a) Размещение информации, влияющее на скрытность. Информацию, которую необходимоскрыть (например, указывающую на выполнение операции), можно разместить в ОО различнымиспособами. Место ее размещения в ОО можно выбирать случайно, так, чтобы нарушитель не знал,какую именно часть ОО следует атаковать. Данную информацию можно распределить таким образом, чтобы ни в одной части ОО ее не было достаточно для нарушения приватности пользователя.Этот способ рассматривается в компоненте FPR_UNO.2 «Распределение информации, влияющеена скрытность».b) Массовое распространение информации (по локальной сети, по радио).
Пользователи немогут определить, кто конкретно получил и использовал данную информацию. Этот метод особенно полезен, когда информацию следует довести до того, кто опасается показывать свою заинтересованность в данной информации (например, чувствительной медицинской информации).c) Криптографическая защита и дополнение сообщений незначащей информацией. Путемнаблюдения за потоком сообщений можно извлечь информацию из самого факта передачи сообщения и его атрибутов.
Защиту передаваемых сообщений и их атрибутов можно обеспечить посредством дополнения трафика и самих сообщений незначащей информацией или шифрования.Иногда пользователей не следует допускать к наблюдению за использованием ресурсов, ауполномоченным пользователям такое наблюдение необходимо для исполнения своих обязанностей. В таком случае может применяться компонент FPR_UNO.4 «Открытость для уполномоченного пользователя», который предоставляет эту возможность одному или нескольким уполномоченным пользователям.В этом семействе используется понятие "часть ОО".
Под ней подразумевается какая-либочасть ОО, отделенная физически или логически от других частей ОО. В случае логического отделения может быть уместно применение семейства FPT_SEP «Разделение домена».Скрытность связей может быть важным фактором во многих областях, таких как осуществление конституционных прав, политика организации или приложения, связанные с обороннымивопросами.I.4.2 FPR_UNO.1 СкрытностьI.4.2.1 Замечания по применению для пользователяКомпонент FPR_UNO.1 содержит требования недопустимости наблюдения неуполномоченными пользователями за использованием услуги или ресурса.
Дополнительно к этому компонентуавтору ПЗ/ЗБ может потребоваться «Анализ скрытых каналов».I.4.2.2 ОперацииI.4.2.2.1 НазначениеВ FPR_UNO.1.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/илисубъектов, от которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБспецифицирует единственную роль пользователя или субъекта, ФБО необходимо предоставить209ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)защиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов.
Совокупность пользователей, например, может являться группойпользователей, выступающих в одной и той же роли или использующих одни и те же процессы.В FPR_UNO.1.1 автору ПЗ/ЗБ следует идентифицировать список операций, на которые распространяется требование скрытности. Тогда другие пользователи/субъекты не смогут наблюдатьза указанными в списке операциями над специфицированными ниже объектами (например, зачтением и записью на объекте).В FPR_UNO.1.1 автору ПЗ/ЗБ следует идентифицировать список объектов, на которые распространяется требование скрытности. Примером может быть конкретный сервер электроннойпочты или FTP-сайт.В FPR_UNO.1.1 автору ПЗ/ЗБ следует специфицировать совокупность защищаемых пользователей и/или субъектов, скрытность информации которых будет обеспечиваться.
Примером может быть: "пользователи, получившие доступ к системе через Интернет".I.4.3 FPR_UNO.2 Распределение информации, влияющее на скрытностьI.4.3.1 Замечания по применению для пользователяКомпонент FPR_UNO.2 содержит требования недопустимости наблюдения определеннымипользователями за использованием услуги или ресурса. Кроме этого, в нем определяется, какаяинформация, связанная с приватностью пользователя, распределяется в ОО таким образом, чтобы нарушитель не мог установить, в какой именно части ОО она содержится, или был вынужденатаковать несколько частей ОО.Примером использования этого компонента является случайный выбор узла для предоставления услуги.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
