ГОСТ Р ИСО МЭК 15408-2 2007 (1027764), страница 47
Текст из файла (страница 47)
В этом случае в компоненте может быть установлено требование, что информация,связанная с приватностью пользователя, должна быть доступна только в одной идентифицированной части ОО, не распространяясь за ее пределы.Более сложный пример связан с некоторыми "алгоритмами голосования".
В предоставленииуслуги принимают участие несколько частей ОО, но никакая отдельная часть не сможет нарушитьпринятую политику. Какое-либо лицо может принять (или не принять) участие в голосовании; приэтом невозможно определить результат голосования и его участие в голосовании (если голосование было единогласным).Дополнительно к этому компоненту автору ПЗ/ЗБ может потребоваться «Анализ скрытых каналов».I.4.3.2 ОперацииI.4.3.2.1 НазначениеВ FPR_UNO.2.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/илисубъектов, от которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБспецифицирует единственную роль пользователя или субъекта, ФБО необходимо предоставитьзащиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов.
Совокупность пользователей, например, может являться группойпользователей, выступающих в одной и той же роли или использующих одни и те же процессы.В FPR_UNO.2.1 автору ПЗ/ЗБ следует идентифицировать список операций, на которые распространяется требование скрытности. Тогда другие пользователи/субъекты не смогут наблюдатьза операциями над объектом из специфицированного списка (например, за чтением и записью).В FPR_UNO.2.1 автору ПЗ/ЗБ следует идентифицировать список объектов, на которые распространяется требование скрытности.
Примером может быть конкретный сервер электроннойпочты или FTP-сайт.210ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)В FPR_UNO.2.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/илисубъектов, скрытность информации которых будет обеспечиваться, например "пользователи, получившие доступ к системе через Интернет".В FPR_UNO.2.2 автору ПЗ/ЗБ следует идентифицировать, распределение какой информации, связанной с приватностью, следует контролировать. Примером такой информации являютсяIP-адрес субъекта, IP-адрес объекта, время, используемые криптографические ключи.В FPR_UNO.2.2 автору ПЗ/ЗБ следует специфицировать условия распространения указанной информации. Эти условия следует поддерживать все время существования приватной информации пользователя в каждом случае.
Примерами таких условий могут быть: "информациядолжна быть представлена только в одной из разделенных частей ОО и не должна передаватьсяза ее пределы"; "информация должна пребывать только в одной из разделенных частей ОО, нодолжна передаваться в другие его части периодически"; "информация должна распределятьсямежду различными частями ОО таким образом, чтобы нарушение защиты любых пяти отдельныхчастей ОО не приводило к нарушению политики безопасности в целом".I.4.4 FPR_UNO.3 Скрытность без запроса информацииI.4.4.1 Замечания по применению для пользователяКомпонент FPR_UNO.3 применяется для требования, чтобы ФБО не стремились получитьинформацию, которая может нарушить скрытность при предоставлении определенных услуг.
Поэтому ФБО не будут запрашивать (т.е. стремиться получить из других источников) информацию,которая может быть использована для нарушения скрытности.I.4.4.2 ОперацииI.4.4.2.1 НазначениеВ FPR_UNO.3.1 автору ПЗ/ЗБ следует идентифицировать список услуг, на которые распространяется требование скрытности, например "доступ к описанию работ".В FPR_UNO.3.1 автору ПЗ/ЗБ следует идентифицировать список субъектов, от которых приполучении специфицированных услуг следует защищать информацию, связанную с приватностью.В FPR_UNO.3.1 автору ПЗ/ЗБ следует специфицировать информацию, связанную с приватностью, которая будет защищена от специфицированных субъектов.
Это может быть идентификатор субъекта, получающего услугу, или характеристики полученной услуги, например использованный ресурс памяти.I.4.5 FPR_UNO.4 Открытость для уполномоченного пользователяI.4.5.1 Замечания по применению для пользователяКомпонент FPR_UNO.4 применяется для предоставления права наблюдения за использованием ресурсов одному или нескольким уполномоченным пользователям. Без этого компонентавозможность наблюдения допускается, но не является обязательной.I.4.5.2 ОперацииI.4.5.2.1 НазначениеВ FPR_UNO.4.1 автору ПЗ/ЗБ следует специфицировать совокупность уполномоченныхпользователей, которым ФБО необходимо предоставить возможность наблюдения за использованием ресурсов.
Это может быть, например, группа уполномоченных пользователей, исполняющиходну и ту же роль или использующих одни и те же процессы.В FPR_UNO.4.1 автору ПЗ/ЗБ следует специфицировать список ресурсов и/или услуг, возможность наблюдения за которыми необходима уполномоченному пользователю.211ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)Приложение J(обязательное)Защита ФБО (FPT)Класс FPT содержит семейства функциональных требований, которые связаны с целостностью и управлением механизмами, реализованными в ФБО, не завися при этом от особенностейПБО, а также с целостностью данных ФБО, не завися от специфического содержания данных ПБО.В некотором смысле, компоненты семейств этого класса дублируют компоненты из класса FDP«Защита данных пользователя» и могут даже использовать одни и те же механизмы.
Однако классFDP «Защита данных пользователя» специализирован на защите данных пользователя, в то время как класс FPT «Защита ФБО» нацелен на защиту данных ФБО. Фактически, компоненты изкласса FPT «Защита ФБО» необходимы для реализации требований невозможности нарушения иобхода политик ФБ данного ОО.В рамках этого класса выделяются три существенные составные части ФБО.a) Абстрактная машина ФБО, т.е. виртуальная или физическая машина, на которой выполняется оцениваемая реализация ФБО.b) Реализация ФБО, которая выполняется на абстрактной машине и реализует механизмы,осуществляющие ПБО.c) Данные ФБО, которые являются административными базами данных, управляющимиосуществлением ПБО.Все семейства в классе FPT «Защита ФБО» можно связать с этими тремя частями и сгруппировать следующим образом.a) FPT_PHP «Физическая защита ФБО» предоставляет уполномоченному пользователювозможность обнаружения внешних атак на те части ОО, которые реализуют ФБО.b) FPT_AMT «Тестирование базовой абстрактной машины» и FPT_TST «СамотестированиеФБО» предоставляют уполномоченному пользователю возможность верифицировать правильность операций базовой абстрактной машины и ФБО, а также целостность данных и выполняемогокода ФБО.c) FPT_SEP «Разделение домена» и FPT_RVM «Посредничество при обращениях» защищают ФБО во время их выполнения и обеспечивают невозможность обхода ФБО.
Когда соответствующие компоненты этих семейств сочетаются с соответствующими компонентами семействаADV_INT "Внутренняя структура ФБО", можно говорить о наличии в ОО традиционного "монитораобращений".d) FPT_RCV «Надежное восстановление», FPT_FLS «Безопасность при сбое» и FPT_TRC«Согласованность данных ФБО при дублировании в пределах ОО» определяют режим выполнения ФБО при возникновении сбоя и непосредственно после него.e) FPT_ITA «Доступность экспортируемых данных ФБО», FPT_ITC «Конфиденциальностьэкспортируемых данных ФБО» и FPT_ITI «Целостность экспортируемых данных ФБО» определяютзащиту и доступность данных ФБО при их обмене между ФБО и удаленным доверенным продуктом ИТ.f) FPT_ITT «Передача данных ФБО в пределах ОО» предназначено для защиты данных ФБОпри их передаче между физически разделенными частями ОО.g) FPT_RPL «Обнаружение повторного использования» содержит требование защиты от повторного использования различных типов информации и/или операций.h) FPT_SSP «Протокол синхронизации состояний» определяет синхронизацию состояниймежду различными частями распределенных ФБО на основе данных ФБО.i) FPT_STM «Метки времени» предоставляет надежные метки времени.212ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)j) FPT_TDC «Согласованность данных ФБО между ФБО» предназначено для согласованияданных между ФБО и удаленным доверенным продуктом ИТ.Декомпозиция класса FPT на составляющие его компоненты приведена на рисунке J.1.FPT_AMT Тестирование базовойабстрактной машины1FPT_FLS Безопасность при сбое1FPT_ITA Доступность экспортируемыхданных ФБО1FPT_ITC Конфиденциальность экспортируемых данных ФБО1FPT_ITI Целостность экспортируемыхданных ФБО1212FPT_ITT Передача данных ФБОв пределах ОО312FPT_PHP Физическая защита ФБО3123FPT_RCV Надежное восстановление4Рисунок J.1 – Декомпозиция класса FPT «Защита ФБО»213ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)FPT_RPL Обнаружение повторногоиспользования1FPT_RVM Посредничество при обращениях1FPT_SEP Разделение домена12FPT_SSP Протокол синхронизациисостояний12FPT_STM Метки времени1FPT_TDC Согласованность данных ФБОмежду ФБО1FPT_TRC Согласованность данных ФБОпри дублировании в пределах ОО1FPT_TST Самотестирование ФБО13Рисунок J.1 – Декомпозиция класса FPT «Защита ФБО» (продолжение)J.1 Тестирование базовой абстрактной машины (FPT_AMT)J.1.1 Замечания для пользователяСемейство FPT_AMT определяет требования к выполнению тестирования функциями безопасности ОО предположений безопасности, сделанных относительно базовой абстрактной машины, на которую полагаются ФБО.
Данная "абстрактная" машина может быть как платформой аппаратных/программно-аппаратных средств, так и некоторым известным и прошедшим оценку сочетанием аппаратных/программных средств, действующим как виртуальная машина. В качестве примеров такого тестирования можно указать проверку аппаратной защиты, посылку типовых пакетовпо сети для проверки получения, верификацию режима функционирования виртуального машинного интерфейса и т.д.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
